Protección de los Datos Personales en Posesión de los Particulares

 Lic. Carlos Eduardo Castillejos Avendaño
Lic. Juan de Dios Hernández Hernández

En la era de las comunicaciones, el manejo e intercambio de datos se ha convertido en una práctica habitual. Muchos los compartimos sin discriminación a las empresas, ya sea en internet, por teléfono o físicamente, sin estar conscientes de que pueden ser vendidos o distribuidos con otras compañías para ser utilizados con fines distintos a la intención de origen. La tecnología tiene tal grado de avance que existe más información allá afuera de la que podemos imaginar. Nuestros datos son utilizados por todo tipo de empresas, desde bancos y aseguradoras, hasta medios de comunicación sociales, pasando por motores de búsqueda y firmas de análisis de otorgamiento de crédito o inclusive para otorgar un empleo. El hecho de que hoy en día nuestra información sea pública y que se use indiscriminadamente sin nuestra autorización va en detrimento del honor e intimidad personal y familiar e inclusive de nuestra seguridad.

Surge en paralelo otra situación en México y en el mundo que es la ola de reformas y legislación en materia de transparencia, dando a las personas el derecho de consultar información pública que, aunque por un lado tiene que ver con acciones de gobierno que deben estar disponibles para todo ciudadano, por otro lado involucra la actividad de particulares. Para que no sean vulnerados los datos y privacidad de estos particulares frente a la transparencia, es necesario normar la protección de datos.

Los datos personales han cobrado tanto interés que ha requerido que se regule su uso. Su protección es un derecho que permite a las personas controlar la información que comparten con otros, así como el derecho para que sea usada de forma adecuada para permitir el ejercicio de otros derechos y evitar daños a su intimidad y privacidad.

Muchos compartimos sin
discriminación nuestros datos
personales a las empresas,
ya sea en internet,
por teléfono o físicamente,
sin estar conscientes
de que pueden ser
vendidos o compartidos
con otras empresas.

La protección de los datos personales en posesión de la autoridad así como de los particulares, se encuentra regulada en las normas tanto de carácter internacional, como nacional. El Estado mexicano cuenta con una legislación muy completa en materias de transparencia, protección de datos y rendición de cuentas de las autoridades.

Los datos personales se refieren a toda aquella información relativa al individuo, lo que lo identifica o lo hace identificable. Existen datos públicos, privados y datos personales sensibles e íntimos.

Datos Públicos: Como su nombre lo indica, cualquier persona puede tener acceso a estos datos por ser de interés social y no afecta a la persona, por ejemplo el nombre, los  apellidos, número de Registro Federal de Contribuyente (RFC), número de cédula profesional, puesto, dirección electrónica de empleo, teléfono de oficina.

Datos Privados: Son los que su revelación puede afectar la esfera social del individuo como el domicilio completo, edad, fecha de nacimiento.

Datos personales sensibles e íntimos: Revelan las cuestiones íntimas de las personas y pueden provocar discriminación, poner en riesgo su vida e integridad, por ejemplo: información relativa a su religión, si forma parte de un sindicato, algún grupo étnico, información racial, información sexual, información de salud, información genética, si pertenece o no a un partido político.

El Estado mexicano está
inmerso en normas jurídicas
que son perfectas en materias
de transparencia, protección
de datos y rendición de
cuentas de las autoridades.

La protección de datos personales, para efectos de seguridad, se clasifican en 3 grandes sectores que deben ser obligatoriamente observados por los poseedores de los datos de terceros, evitar la propagación de los mismos, que puedan poner en peligro o riesgo a la persona en su integridad:

Seguridad Administrativa: Consiste en llevar a cabo las acciones y los mecanismos de gestión, soporte, revisión, identificación, clasificación de la información; así como la concientización del personal en materia de protección de datos personales.

1. Seguridad Física: Implica acciones y mecanismos sean tecnológicas o no, para evitar acceso no autorizado, perdida y daño de la información, así como evitar interferencias en las comunicaciones, identificando áreas críticas o de riego, y realizar mantenimiento a los dispositivos tecnológicos.
2. Seguridad Técnica: Son las acciones y mecanismos tecnológicos, cuya finalidad de que el acceso a las bases de datos o a la información sea utilizada por personas identificadas y autorizadas para realizar sus funciones en sistemas seguros.

Según la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), los elementos esenciales para proteger los datos personales son el aviso de privacidad, las bases de datos y contar con el personal capacitado en la materia sobre los cuales profundizaremos en la siguiente parte de este artículo.

Normatividad

México es uno de los países que posee con un sistema jurídico para abordar los temas de transparencia, protección de datos y rendición de cuentas, por lo que cuenta con los siguientes ordenamientos decretados:

1. Constitución Política de los EstadosUnidos Mexicanos

La Constitución señala en su artículo 16 a la protección de datos personales como una garantía individual: “Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros”.

2. Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental

Esta ley fue publicada en el Diario Oficial de la Federación (DOF) el 11 de junio de 2002, y en sus capítulos lll y lV, regula la información reservada, información confidencial y protección de datos personales en posesión de la autoridad.

3. Reglamento de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental

Esta ley fue publicada en el Diario Oficial de la Federación (DOF) el día 11 de junio de 2013, indica la forma de aplicación de la ley antes mencionada en lo relativo a la protección de datos personales en posesión de los particulares.

4. Ley Federal de Protección de Datos Personalesen Posesión de los Particulares

La nueva Ley fue publicada en el Diario Oficial de la Federación el día 5 de julio de 2010, y es la norma fundamental para el debido tratamiento de los datos personales, que como su nombre lo indica, se enfoca a las personas físicas o morales que tengan en su posesión datos de terceros, misma que señala principios, derechos, obligaciones, procedimientos, sanciones y delitos.

5. Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (RLFPDPPP)

 Establece los Criterios Generales para la Instrumentación de medidas compensatorias sin la autorización expresa del Instituto Federal de Acceso a la Información y Protección de Datos (IFAI); lineamientos del aviso de privacidad; parámetros para el correcto desarrollo de los esquemas de auto-regulación vinculante a que se refiere el artículo 44 de la LFPDTPP y las recomendaciones en materia de seguridad de datos personales.

En cuanto a las autoridades, encontramos al propio IFAI, que es un organismo constitucional autónomo de México, el cual fue creado mediante Decreto Oficial, publicado en el DOF de fecha 07 de febrero del 2014.

Principios

Antes de seguir con el planteamiento de los datos personales en México, encontramos un documento de carácter internacional base de nuestra normativa, que versa sobre la estructura del tratamiento de la información personal, que consiste en las directrices para la regulación de los archivos de datos personales informatizados, de la Organización de las Naciones Unidas (ONU), mediante la resolución 45/95 de la Asamblea General del 14 de diciembre del 1990; que menciona los principios rectores de cualquier norma sobre esta materia:

• Principio de legalidad – Consiste particularmente que los datos personales deben ser tratados conforme a las normas jurídicas internacionales y de cada Estado, sin contravenir las normas que salvaguardan los Derechos Humanos (DH) de cada persona. Es de mencionar que el tratamiento inicia desde la obtención de los datos hasta la supresión total de la información.
• Principio de lealtad – Más que un principio jurídico lo que encontramos es un principio social que consiste en emplear los datos de una forma limitada y regulada que implica la posibilidad de tener un control y confianza en el tratamiento.
• Principio de exactitud – Consiste en tener la base de datos con información actualizada. Esta obligación es para ambas partes, me refiero al titular de los datos personales a proporcionar información cierta, real y verdadera. Cuando sufra algún cambio notificar al poseedor; de igual manera encontramos la obligación a los poseedores de los datos personales quienes se encuentran obligados a realizar actualizaciones periódicas para conservar la calidad de la información en su base de datos.
• Principio de finalidad – Este principio es de gran trascendencia al momento de llevar acabo el tratamiento de la información personal, debido a que los datos personales en el momento de obtenerlos, debe de especificarse para qué serán usados, y los datos no podrán ser destinados a otras finalidades.
• Principio de acceso de la persona interesada – Este principio, faculta al titular de los datos personales la posibilidad de ejercer los derechos derivados del tratamiento de la información personal mediante un proceso simple y requisitos mínimos, como son el ejercicio de los derechos de consulta, acceso, cancelación, rectificación, u oposición.
• Principio de no discriminación – Los datos personales sensibles por naturaleza, pueden provocar una afectación en la esfera privada e íntima de la persona; debido a la forma en que se obtiene, por eso, el responsable del tratamiento de los datos personales debe poner especial atención cuando obtiene datos relativo al origen racial, origen étnico, color de piel, color de ojos, color de cabello, vida sexual, opiniones políticas, religiosas, filosóficas, creencias afiliación a sindicatos.
• Principio de seguridad – Un principio que todo responsable del tratamiento de la información personal, debe de cubrir con los requerimientos físicos, administrativos y técnicas para evitar que los archivos sean afectados por peligros naturales, perdida o destrucción accidental, acceso no autorizado, uso fraudulento o contaminación mediante virus.

Por su parte la LFPDTPP recoge los siguientes principios antes mencionados:

• Licitud – Artículo 7, “Los datos personales deberán recabarse y tratarse de manera licita conforme a las disposiciones establecidas por esta Ley y demás normativa aplicable”.
• Consentimiento – Artículo 8, “Todo tratamiento de datos personales estará sujeto al consentimiento de su titular, salvo las excepciones previstas por la presente Ley”.
• Información – Artículo 15, “El responsable tendrá la obligación de informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, a través del aviso de privacidad”.
• Calidad – Artículo 11, “El responsable procurará que los datos personales contenidos en las bases de datos sean pertinentes, correctos y actualizados para los fines para los cuales fueron recabados”.
• Finalidad – Artículo 12, “El tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas en el aviso de privacidad. Si el responsable pretende tratar los datos para un fin distinto que no resulte compatible o análogo a los fines establecidos en aviso de privacidad, se requerirá obtener nuevamente el consentimiento del titular”.
• Lealtad – Artículo 7, “Los datos personales deberán recabarse y tratarse de manera lícita conforme a las disposiciones establecidas por esta Ley y demás normatividad aplicable”. “La obtención de datos personales no debe hacerse a través de medios engañosos o fraudulentos”. “En todo tratamiento de datos personales, se presume que existe la expectativa razonable de privacidad entendida como la confianza que deposita cualquier persona en otra, respecto de que los datos personales proporcionados entre ellos serán tratados conforme a lo que acordaron las partes en los términos establecidos por esta Ley”.
• Proporcionalidad – Artículo 13, “El tratamiento de datos personales será el que resulte necesario, adecuado y relevante en relación con las finalidades previstas en el aviso de privacidad. En particular para datos personales sensibles, el responsable deberá realizar esfuerzos razonables para limitar el período de tratamiento de los mismos a efecto de que sea el mínimo indispensable”.
• Responsabilidad – Artículo 21, “El responsable o terceros que intervengan en cualquier fase del tratamiento de datos personales, deberán guardar confidencialidad respecto de éstos, obligación que subsistirá aún después de finalizar sus relaciones con el titular o, en su caso, con el responsable”.

Infracciones y Sanciones

La ley que rige este tema es obligatoria para todas las personas que realizan tratamiento1 de datos personales de terceros, que abarca cualquier acción de su acceso, su manejo, su aprovechamiento, su transferencia o su disposición. (Art. 3 Frac. XVlll de la LFPDPPP).

Por eso, necesitamos reconsiderar las infracciones a la Ley que castigan con multa de hasta por $22,432,000 pesos en caso de omisión a la norma. En el caso de reincidencia, la infracción prevalece, sin embargo, puede imponer la autoridad otra multa hasta por la misma cantidad. Cabe señalar que estas infracciones corresponden al manejo da datos que no son considerados sensibles por la Ley.

Tratándose de la omisión a la norma por el tratamiento de datos sensibles la sanción es hasta por un máximo de $44 millones 864 mil pesos, y en caso de reincidencia, ésta sanción puede llegar hasta la cantidad de $89,724,000 pesos, tomando en consideración la naturaleza del dato, el carácter intencional, la capacidad económica y la reincidencia de las personas que cometan infracciones. No debemos olvidar que estas infracciones son independiente a la responsabilidad civil o penal.

Lo que hemos discutido los expertos en materia de protección de datos personales, es lo elevado de las multas y lo reducido de la pena privativa de la libertad. Independientemente de lo anterior, deben cumplirse diversos criterios jurídicos como son una debida motivación legal, es decir, al momento de imponerse la sanción económica, debe tomarse en cuenta la capacidad contributiva del infractor, la intencionalidad y la reincidencia para así aplicar la sanción que proceda. Por ejemplo, que la pena de prisión mínima sea de 3 meses y la máxima de 3 años, autorizado y que sin ánimo de lucro, se vulnere la seguridad de la base de datos que se encuentra bajo su custodia.

El principio de finalidad es
de gran trascendencia al
momento de llevar acabo el
tratamiento de la información
personal, debido a que
los datos personales en el
momento de obtenerlos, debe
de especificarse para qué
serán usados.

Cuando existe un lucro, se castiga con prisión que va desde 6 meses hasta la máxima de 5 años, sin omitir, que tratándose de datos sensibles las penas se duplican, al requerirse más seguridad y que su vulneración puede poner en peligro o riesgo la integridad física, psicológica y emocional de una persona. Derivado de lo anterior, se concluye que las multas independientemente del grado de inobservancia, son excesivas en comparación con las penas privativas de la libertad, por lo que los legisladores deberán poner más atención en cuanto a la gravedad de la violación de la norma, y sus posibles consecuencias, para imponer sanciones que inhiban este delito.