Issuu on Google+


LA PROTECCIÓN DE DATOS PERSONALES EN MÉXICO

Coordinadores

JOSÉ LUIS PIÑAR MAÑAS

Catedrático de Derecho Administrativo Universidad CEU-San Pablo de Madrid

LINA ORNELAS NÚÑEZ

Profesora Investigadora Asociada del Centro de Investigación y Docencia Económicas (CIDE)

Prólogo

JENNIFER STODDART

México D.F., 2013


Copyright ® 2013 Todos los derechos reservados. Ni la totalidad ni parte de este libro puede reproducirse o transmitirse por ningún procedimiento electrónico o mecánico, incluyendo fotocopia, grabación magnética, o cualquier almacenamiento de información y sistema de recuperación sin permiso escrito de los autores y del editor. En caso de erratas y actualizaciones, la Editorial Tirant lo Blanch México publicará la pertinente corrección en la página web www.tirant.com (http:// www.tirant.com).

Libro financiado por el Ministerio de Economía y Competitividad, Proyecto de Investigación sobre “Protección de Datos, transparencia, Seguridad y Mercado” Referencia DER 2009-1318.

© José Luis Piñar Mañas Lina Ornelas Núñez

© TIRANT LO BLANCH MÉXICO EDITA: TIRANT LO BLANCH MÉXICO Avda. General Mariano Escobedo, 568 y Herschel, 12 Colonia Nueva Anzures Delegación Miguel Hidalgo CP 11590 MÉXICO D.F. Telf.: (55) 5000 5000 Email:tlb@tirant.com http://www.tirant.com Librería virtual: http://www.tirant.es I.S.B.N.: 978-84-9033-680-9 MAQUETA: PMc Media Si tiene alguna queja o sugerencia envíenos un mail a: atencioncliente@tirant.com. En caso de no ser atendida su sugerencia por favor lea en www.tirant.net/index.php/empresa/politicas-de-empresa nuestro Procedimiento de quejas.


ÍNDICE PRÓLOGO............................................................................................... 15 INTRODUCCIÓN.................................................................................... 17 EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS PERSONALES EN MÉXICO JACQUELINE PESCHARD MARISCAL

I. INTRODUCCIÓN........................................................................... 19 II. LA EVOLUCIÓN DE LOS DERECHOS ANTE LOS CAMBIOS DE LA SOCIEDAD TECNOLÓGICA. EL DERECHO A LA PROTECCIÓN DE DATOS PERSONALES............................................ 21 III. EL MARCO JURÍDICO MEXICANO EN MATERIA DE PROTECCIÓN DE DATOS. ANTECEDENTES A LA LEY FEDERAL DE PROTECCIÓN DE DATOS EN POSESIÓN DE LOS PARTICULARES........................................................................................ 26 IV. LA LEY FEDERAL DE PROTECCIÓN DE DATOS EN POSESIÓN DE LOS PARTICULARES............................................................... 32 V. EJES TORALES DE LA LEY FEDERAL DE PROTECCIÓN DE DATOS EN POSESIÓN DE LOS PARTICULARES......................... 36 LOS PRINCIPIOS DE LA PROTECCIÓN DE DATOS PERSONALES JOSÉ LUIS PIÑAR MAÑAS LINA ORNELAS NÚÑEZ

I. INTRODUCCIÓN. LA PROTECCIÓN DE DATOS COMO DERECHO FUNDAMENTAL.............................................................. 39 II. DE LOS ORÍGENES A LA CONSIDERACIÓN DE LA PROTECCIÓN DE DATOS COMO DERECHO FUNDAMENTAL.............. 41 1. The right to be let alone. Self Determination y derecho a la autodeterminación informativa. Protección de datos y mercado......... 41 2. El derecho a la protección de datos como nuevo derecho, autónomo e independiente del derecho a la intimidad........................ 48 3. El Derecho a la privacidad alcanza también a los dispositivos informáticos que utilizamos........................................................ 50 4. La protección de datos como derecho fundamental en América Latina.......................................................................................... 52 III. LOS PRINCIPIOS DE LA PROTECCIÓN DE DATOS PERSONALES EN LA LFPDPPP. REFLEXIÓN DE CARÁCTER GENERAL.. 53


6

Índice

IV. LOS PRINCIPIOS DE LA PROTECCIÓN DE DATOS PERSONALES.................................................................................................. 56 1. Los principios internacionalmente reconocidos........................... 56 2. Los principios en México............................................................ 57 A) Licitud................................................................................... 61 B) Consentimiento...................................................................... 62 D) Calidad.................................................................................. 78 E) Finalidad................................................................................ 79 F) Lealtad y expectativa razonable de privacidad....................... 83 G) Proporcionalidad................................................................... 86 H) Responsabilidad..................................................................... 89 I) Principio de control independiente y sanciones...................... 93 V. CONCLUSIONES........................................................................... 94 CARACTERÍSTICAS DEL MODELO DE LA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES Y SU REGLAMENTO LINA ORNELAS NÚÑEZ

I. INTRODUCCIÓN........................................................................... 97 II. ¿POR QUÉ ERA NECESARIO PARA MÉXICO REGULAR LA PROTECCIÓN DE DATOS PERSONALES?................................... 99 III. ANTECEDENTES LEGISLATIVOS................................................. 102 A) Breve análisis de las iniciativas de Ley.................................... 104 B) Las necesarias reformas constitucionales................................ 108 2009, el año clave.................................................................. 112 IV. EJES RECTORES DE LA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES. 116 V. GENERALIDADES Y ASPECTOS RELEVANTES DE LA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES Y SU REGLAMENTO DE DESARROLLO......................................................................................... 117 1. Objeto y ámbito de aplicación..................................................... 117 2. Sujetos regulados......................................................................... 118 3. Principios de protección de datos personales............................... 119 4. Derechos de Acceso, Rectificación, Cancelación y Oposición, su ejercicio y tutela.......................................................................... 121 5. Ejercicio y tutela de los derechos ARCO (acceso, rectificación, cancelación y oposición).............................................................. 123 6. Controles de seguridad aplicados a las bases de datos................. 124 7. Régimen especial para datos sensibles......................................... 125 8. Régimen para transferencias nacionales e internacionales........... 126 9. Delitos......................................................................................... 127


7

Índice

VI. EL INSTITUTO FEDERAL DE ACCESO A LA INFORMACIÓN Y PROTECCIÓN DE DATOS COMO AUTORIDAD GARANTE...... 128 1. Atribuciones informativas........................................................... 130 2. Atribuciones regulatorias............................................................ 130 3. Atribuciones de verificación........................................................ 131 4. Atribuciones resolutorias............................................................. 131 5. Atribuciones en materia de cooperación...................................... 131 6. Atribuciones sancionadoras......................................................... 132 7. Régimen transitorio..................................................................... 133 VII. INNOVACIONES DE LA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES. 136 VIII. PARTICULARIDADES DEL REGLAMENTO................................. 139 IX. CONCLUSIONES........................................................................... 141 SUJETOS QUE INTERVIENEN EN LA RELACIÓN JURÍDICA QUE SE GENERA DERIVADO DEL TRATAMIENTO DE DATOS PERSONALES: CASO DEL RESPONSABLE, ENCARGADO Y TERCERO ALEJANDRO DEL CONDE UGARTE EDGARDO MARTÍNEZ ROJAS

I. INTRODUCCIÓN........................................................................... 143 II. SOBRE LOS CONCEPTOS DEL RESPONSABLE, ENCARGADO Y TERCERO EN ALGUNOS INSTRUMENTOS INTERNACIONALES............................................................................................. 146 1. Sobre el “responsable del tratamiento”........................................ 146 2. Sobre el “encargado del tratamiento”.......................................... 151 A) La figura del “encargado” y su relación con el “mandato” de carácter civil.......................................................................... 153 3. Sobre el concepto de “tercero”.................................................... 155 III. EL PAPEL DE LOS PRINCIPIOS EN EL TRATAMIENTO DE LOS DATOS DE CARÁCTER PERSONAL............................................. 158 IV. RESPONSABLE, ENCARGADO Y TERCERO CONFORME A LA NORMATIVIDAD MEXICANA EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES................................................... 160 1. Definición del “responsable del tratamiento”.............................. 161 A) Obligaciones a cargo del responsable del tratamiento............ 162 2. Definición del “encargado”......................................................... 165 A) Relación entre el responsable y el encargado del tratamiento. 166 B) Sobre la figura de la “remisión” entre el responsable y encargado....................................................................................... 168 3. Definición del “tercero”............................................................... 169 A) Un caso particular: Las transferencias de datos personales y su relación con la figura del “tercero”.................................... 169


8

Índice

V. DESAFIOS EN TORNO A LA APLICACIÓN DE LA LEY MEXICANA DE PROTECCIÓN DE DATOS............................................ 173 VI. CONCLUSIONES........................................................................... 176 VII. BIBLIOGRAFÍA............................................................................... 177 LOS DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN EN LA LEY DE DATOS PERSONALES Y SU REGLAMENTO NELSON REMOLINA ANGARITA

I. INTRODUCCIÓN........................................................................... 181 II. LOS DERECHOS ARCO EN EL CONTEXTO INTERNACIONAL................................................................................................. 182 III. LOS DERECHOS ARCO COMO NÚCLEO FUNDAMENTAL DEL DERECHO CONSTITUCIONAL DE LA PROTECCIÓN DE DATOS PERSONALES EN LA CONSTITUCIÓN MEXICANA..... 187 IV. DE LOS DERECHOS ARCO EN LA REGULACIÓN MEXICANA. 190 1. Generalidades.............................................................................. 191 2. Acceso......................................................................................... 192 3. Rectificación................................................................................ 193 4. Cancelación................................................................................. 194 5. Oposición.................................................................................... 196 V. DE LAS INFRACCIONES Y SANCIONES POR DESCONOCIMIENTO DE LOS DERECHOS ARCO........................................... 199 VI. LA APLICACIÓN DE LOS DERECHOS ARCO MÁS ALLÁ DE LA PROTECCIÓN DE LA PRIVACIDAD....................................... 200 VII. BIBLIOGRAFÍA............................................................................... 204 LA TRANSFERENCIA NACIONAL E INTERNACIONAL DE DATOS PERSONALES MIGUEL RECIO GAYO

I. INTRODUCCIÓN........................................................................... 207 II. DEFINICIÓN DE TRANSFERENCIA DE DATOS.......................... 209 1. Distinción entre transferencia y remisión de datos....................... 211 2. Transferencia nacional e internacional........................................ 213 3. Responsable, tercero y encargado del tratamiento....................... 214 III. ASPECTOS GENERALES DE LAS TRANSFERENCIAS................. 217 IV. RÉGIMEN DE LA TRANSFERENCIA NACIONAL...................... 223 V. RÉGIMEN DE LA TRANSFERENCIA INTERNACIONAL........... 225 VI. CUESTIONES ESPECÍFICAS SOBRE LA TRANSFERENCIA INTERNACIONAL............................................................................. 230 VII. CONCLUSIONES........................................................................... 235


9

Índice

DE LOS PROCESOS DE VERIFICACIÓN E IMPOSICIÓN DE SANCIONES. UN ESTUDIO COMPARADO CON LA EXPERIENCIA INTERNACIONAL JAVIER CORRAL JURADO

I. INTRODUCCIÓN........................................................................... 237 II. DESARROLLO................................................................................ 239 1. Antecedentes en México.............................................................. 239 A) Procesos de verificación e imposición de sanciones en México........................................................................................... 242 2. Antecedentes en España.............................................................. 245 A) Procesos de verificación e imposición de sanciones en España.......................................................................................... 247 B) Ilustración España................................................................. 251 C) Antecedentes en Argentina..................................................... 253 a) Procesos de verificación e imposición de sanciones en Argentina............................................................................. 255 b) Ilustración Argentina........................................................ 258 III. CONCLUSIONES........................................................................... 259 IV. BIBLIOGRAFÍA............................................................................... 263 EL PAPEL DE LA AUTORIDAD GARANTE Y SU REESTRUCTURA PARA AFRONTAR LOS RETOS LINA ORNELAS NÚÑEZ GABRIELA MENDOZA CORREA

I. INTRODUCCIÓN........................................................................... 265 II. EL MODELO DE AUTORIDAD EN LAS INICIATIVAS DE LEY EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES....... 267 III. EL IFAI COMO EL ÓRGANO GARANTE DE DOS DERECHOS FUNDAMENTALES: ACCESO A LA INFORMACIÓN Y PROTECCIÓN DE DATOS.................................................................... 279 IV. ATRIBUCIONES DEL INSTITUTO FEDERAL DE ACCESO A LA INFORMACIÓN Y PROTECCIÓN DE DATOS............................. 281 1. Atribuciones informativas........................................................... 281 2. Atribuciones normativas............................................................. 281 3. Atribuciones de verificación........................................................ 282 4. Atribuciones resolutorias............................................................. 282 5. Atribuciones en materia de cooperación...................................... 283 6. Atribuciones sancionadoras......................................................... 283 7. Régimen transitorio..................................................................... 284 V. MODELOS DE AUTORIDADES EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES EN EL ÁMBITO INTERNACIONAL. BREVE ANÁLISIS........................................................... 285


10

Índice

1. Portugal y Francia....................................................................... 285 2. Canadá........................................................................................ 289 3. España........................................................................................ 290 4. Reino Unido................................................................................ 292 5. Italia............................................................................................ 293 VI. VENTAJAS DE CONCENTRAR EN EL IFAI ATRIBUCIONES EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES............. 299 VII. LA NECESARIA REESTRUCTURA DEL IFAI PARA AFRONTAR LOS RETOS..................................................................................... 300 VIII. CONCLUSIONES........................................................................... 307 EL SECTOR PRIVADO MEXICANO Y LOS RETOS PARA IMPLEMENTAR LAS MEDIDAS DE CUMPLIMIENTO DE LA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES EN EL ÁMBITO DE LA SEGURIDAD CARLOS A.P. CHALICO

I. INTRODUCCIÓN........................................................................... 309 II. LA CONCIENCIA DE RIESGO EN EL SECTOR PRIVADO EN MÉXICO......................................................................................... 312 III. EL ESTADO DE LA FUNCIÓN DE LA SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR PRIVADO EN MÉXICO.............. 315 IV. ¿QUÉ ES LA PROTECCIÓN DE DATOS PERSONALES?.............. 323 V. RECONOCIENDO EL RETO DE CUMPLIMIENTO EN MÉXICO CON LA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES..................... 326 VI. DISEÑANDO EL CAMINO............................................................ 336 VII. CONCLUSIONES........................................................................... 355 LEGISLACIÓN MEXICANA EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES; AUTORREGULACIÓN Y SELLOS DE CONFIANZA ALFREDO A. REYES KRAFFT

I. PRIVACIDAD, VIDA PRIVADA E INTIMIDAD.............................. 363 II. FLUJO MUNDIAL.......................................................................... 365 III. OBLIGACIONES UNIVERSALES................................................... 366 IV. FLUJO TRANSFRONTERIZO DE DATOS..................................... 368 V. INSTRUMENTOS INTERNACIONALES....................................... 369 VI. AUTORREGULACIÓN Y SELLOS DE CONFIANZA.................... 379


11

Índice

LA PROTECCIÓN DE DATOS EN EL ÁMBITO DE LAS TELECOMUNICACIONES E INTERNET JULIO CÉSAR VEGA GÓMEZ MIGUEL RECIO GAYO

I. INTRODUCCIÓN........................................................................... 395 II. ANTECEDENTES........................................................................... 398 III. ALGUNOS CONCEPTOS A CONSIDERAR.................................. 402 1. Usuario y abonado...................................................................... 403 2. Telecomunicaciones y comunicaciones electrónicas..................... 404 3. Red pública de comunicaciones electrónicas................................ 405 IV. PRIVACIDAD Y DESARROLLO DE LAS COMUNICACIONES ELECTRÓNICAS............................................................................ 406 V. CUESTIONES ESPECÍFICAS DEL EJEMPLO EUROPEO.............. 412 1. La relación entre la Directiva general y las Directivas sectoriales. 413 2. Retención de datos personales..................................................... 413 3. Notificaciones de incidentes de seguridad.................................... 415 VI. NECESIDAD DE MODIFICACIONES LEGISLATIVAS.................. 417 VII. LA AUTORIDAD DE CONTROL U ÓRGANO GARANTE.......... 420 VIII. CONCLUSIONES........................................................................... 422 LA PROTECCIÓN DE DATOS EN EL SECTOR SANITARIO ÁLVARO CANALES GIL

I. INTRODUCCIÓN........................................................................... 423 II. LA PROTECCIÓN DE DATOS DE SALUD..................................... 429 1. Planteamiento general................................................................. 429 2. Concepto de “dato de salud”....................................................... 431 3. Naturaleza de los datos de salud................................................. 433 4. Principios que inspiran el tratamiento de los datos de salud........ 434 A) Principio de información........................................................ 434 a) Planteamiento general...................................................... 434 b) Aviso de Privacidad: Su aplicación a los datos de salud.... 437 B) Principio de consentimiento................................................... 439 a) Planteamiento general...................................................... 439 b) Consentimiento expreso y por escrito y “consentimiento informado”...................................................................... 441 c) Excepciones al principio de consentimiento...................... 443 a’) Respecto al tratamiento de los datos de salud............. 444 b’) Respecto a la cesión de los datos de salud................... 448 C) Principios de calidad y proporcionalidad............................... 452 D) Principios de finalidad y lealtad............................................. 454 E) Principio de seguridad............................................................ 455


12

Índice

III. CONCLUSIONES........................................................................... 457 IV. BIBLIOGRAFÍA............................................................................... 462 LA PROTECCIÓN DE DATOS EN EL ÁMBITO DE LA MERCADOTECNIA LUIS VERA VALLEJO

I. PRÓLOGO...................................................................................... 465 II. LA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES: SU EVOLUCIÓN......... 466 1. Objetivos..................................................................................... 467 2. Derechos..................................................................................... 468 3. Consentimiento........................................................................... 468 4. Aviso de privacidad..................................................................... 469 III. LA MERCADOTECNIA EN MÉXICO. CLASIFICACIÓN POR ACTIVIDAD.................................................................................... 472 1. Agencias de publicidad................................................................ 472 2. Empresas de investigación de mercado........................................ 472 3. Empresas de mercadotecnia directa............................................. 473 4. Empresas recolectoras y comercializadoras de bases de datos...... 473 5. Centros de contacto (call centers)................................................ 473 6. Empresas de tarjetas de crédito................................................... 474 7. Bancos......................................................................................... 474 8. Buros de crédito.......................................................................... 474 9. Tiendas departamentales............................................................. 474 10. Empresas en general................................................................... 475 La industria en números.............................................................. 475 IV. LA LEY Y SU IMPACTO EN LA MERCADOTECNIA................... 476 1. El responsable............................................................................. 477 A) Pertinencia-Actualización....................................................... 478 B) Limitación de las Finalidades................................................. 478 C) Responsabilidad Solidaria...................................................... 479 D) Medidas Compensatorias....................................................... 479 E) Medidas de Seguridad............................................................ 479 F) Medidas de Confidencialidad................................................. 479 2. El encargado............................................................................... 480 3. Departamento de protección de datos personales y/o “el designado”.............................................................................................. 481 4. Los datos sensibles...................................................................... 481 5. El “tratamiento”: transferencia de datos..................................... 482 6. Datos financieros y patrimoniales................................................ 483 7. Vulneración culpable a las medidas de seguridad de las bases de datos........................................................................................... 484 V. LOS DERECHOS ARCO, SU EJECUCIÓN Y PROTECCIÓN........ 484


Índice

13

1. Los derechos arco (habeas data).................................................. 484 2. Procedimiento ante los particulares............................................. 485 3. El procedimiento contencioso ante el IFAI................................... 486 4. Procedimiento de verificación...................................................... 487 5. Imposición de sanciones-multas.................................................. 487 6. Tipificación de delitos-cárcel....................................................... 489 7. Leyes supletorias......................................................................... 489 VI. CÓDIGOS DE ÉTICA Y AUTORREGULACIÓN DE LA INDUSTRIA: CERTIFICACIÓN................................................................. 490 1. Facultades de la secretaría de economía...................................... 490 VII. VIGENCIA...................................................................................... 491 VIII. LAS NUEVAS DISPOSICIONES DEL REGLAMENTO DE LA LEY................................................................................................. 491 1. Exclusiones................................................................................. 492 2. Ámbito territorial de aplicación.................................................. 493 3. Aviso de privacidad: finalidades del tratamiento de los datos...... 493 4. Medidas compensatorias............................................................. 493 5. Necesidad de contratos............................................................... 494 6. Tratamiento de datos personales en el denominado “computo en la nube”...................................................................................... 494 7. Obligaciones del encargado......................................................... 494 8. Medidas de seguridad-vigencia.................................................... 495 9. Auto-regulación vinculante......................................................... 496 10. Ejercicio de los derechos arco (outsourcing)............................... 497 11. Visitas de inspección y certificación............................................ 497 12. Sanciones.................................................................................... 497 IX. EPÍLOGO........................................................................................ 498 CV DE LOS COORDINADORES Y DE LOS AUTORES......................... 499


Prólogo Me siento honrada de haber sido invitada a escribir una introducción a esta colección de ensayos sobre la Ley Federal de Protección de Datos de México. He tenido un interés personal en el desarrollo de la ley de protección de datos de México y de la evolución del Instituto Federal de Acceso a la Información y Protección de Datos (IFAI), que celebra su décimo aniversario este año. Mi Oficina dio la bienvenida a dos miembros del IFAI que desafiaron un gélido Noviembre en Ottawa para pasar dos semanas con nosotros en 2005. En 2006, recibimos a una delegación de altos funcionarios del gobierno mexicano, entre ellos la entonces presidenta del IFAI, que llegó a Canadá, en parte, para lograr una mejor comprensión de los retos de la implementación de la legislación sobre privacidad en un estado federal. En 2010, participamos en una conferencia en la Ciudad de México para celebrar la aprobación de la Ley del sector privado de México. Espero que, de alguna manera, mi Oficina haya contribuido al régimen de protección de datos de México. Uno de los beneficios de nuestra colaboración ha sido la estrecha relación de trabajo que se ha desarrollado entre los miembros de ambas oficinas. Compartimos mucho con México. Además de vecinos, somos miembros de la Organización para la Cooperación y el Desarrollo Económico (OCDE) y del Foro de Cooperación Económica Asia-Pacífico (APEC). Tanto el IFAI como mi Oficina participamos activamente en el diálogo mundial sobre el futuro de la protección de datos que se está llevando a cabo en la OCDE y en APEC. En 2010, México se unió a las listas crecientes de los países que cuentan con leyes de privacidad de datos personales para el sector privado. En los últimos años, hemos asistido a una proliferación de nuevas leyes de privacidad en todos los rincones del mundo. Legislaciones integrales a nivel nacional, se están convirtiendo en la regla, lo cual es un acontecimiento muy positivo. En un mundo en el que cada vez más estamos utilizando las mismas tecnologías de la información y la comunicación, el intercambio de información a través de las mismas plataformas de redes sociales


16

Jennifer Stoddart

y el almacenamiento de nuestra información personal en las mismas nubes, es necesario contar con leyes sólidas de privacidad para proteger la información personal, independientemente de dónde se obtiene, trata o almacena. El surgimiento de las industrias intensivas de información y nuevos modelos de negocio basados en ​​ el uso de la información personal ha creado una serie de desafíos nuevos para la privacidad. La protección de datos debe evolucionar para reflejar esta nueva realidad. La ley de México es innovadora: es una ley moderna que incorpora cuidadosamente las mejores características de la estrategia europea para la protección de datos al tiempo que reconoce las realidades del negocio norteamericano. Esta legislación tiene el potencial de ser un modelo para otros países de América Latina y otros lugares que están considerando la adopción de leyes de protección de datos. Este libro es una contribución importante y bienvenido a la literatura sobre privacidad y protección de datos. Contiene lecciones importantes no sólo para los ciudadanos mexicanos y las empresas, sino también para todos los que tienen un interés en la protección de la información personal.

Jennifer Stoddart Comisionada de Privacidad de Canadá 10 de diciembre de 2012


Introducción Cuando la Ley Federal de Protección de Datos Personales en Posesión de Particulares fue publicada en el Diario Oficial de la Federación el 5 de julio de 2010, pensamos que sería importante reunir a un selecto grupo de expertos en privacidad y protección de datos, tanto mexicanos, como nacionales de otros países. Una vez aceptada la invitación a ser coautores de este libro, les pedimos que escribieran artículos con base en un índice, mismo que parte de la estructura de la propia ley, de modo que pudiera abarcar todos sus temas con la profundidad y relevancia que requiere comenzar a familiarizarse y entender conceptos jurídicos que son de reciente acuñación y recepción en el derecho mexicano. Al tratarse de un derecho fundamental, el de la protección de datos personales reviste un carácter muy técnico, ya que tiene que ver con cuestiones transnacionales, de manejo de instrumentos tecnológicos como las bases de datos o los dispositivos digitales, así como con principios y deberes que se concretan a través de procedimientos estandarizados a nivel internacional. La presente obra estaba ya terminada a mediados de 2011, sin embargo, consideramos que resultaba central actualizar los artículos al nuevo marco normativo derivado de la expedición del Reglamento de la Ley en diciembre de ese mismo año. Por lo tanto, el lector encontrará no solo referentes de derecho comparado, si no un análisis a profundidad de prácticamente la totalidad de los temas que aborda la ley y su Reglamento de desarrollo, volviéndose por ello una obra inédita en su tipo y un referente de consulta obligatoria en el ámbito del derecho. Sin duda alguna, creemos que el lector tiene entre sus manos una obra de obligada referencia para quienes se dedican a la protección de datos personales o que están interesados en esta materia y necesitan conocer desde conceptos básicos, como por ejemplo las figuras del responsable y el encargado del tratamiento, hasta las implicaciones que tiene la normatividad mexicana en sectores como el comercio electrónico, las telecomunicaciones o la salud. La obra se conforma de trece capítulos en los que se abordan desde los antecedentes legislativos de la Ley Federal de Protección de Datos


18

José Luis Piñar Mañas y Lina Ornelas Núñezs

Personales en Posesión de los Particulares (LFPDPPP), los contornos del derecho fundamental, pasando por el desarrollo de los principios de la protección de datos personales en la Ley y su Reglamento; los deberes de confidencialidad y las medidas de seguridad; los derechos de acceso, rectificación cancelación y oposición; el régimen de las transferencias internacionales de datos; el IFAI como autoridad garante, así como las implicaciones de dicha normatividad en diferentes sectores de la industria, comercio electrónico: telecomunicaciones e Internet, sector sanitario o mercadotecnia. Si bien tuvieron que transcurrir 9 años de discusiones en el Congreso Federal, lo anterior sirvió para incubar una ley que es considerada como un modelo a seguir en el ámbito comparado, ya que cuenta con particularidades que la hacen única. Debido a la situación geopolítica del país, los actores políticos, la industria y la sociedad civil, lograron introducir y combinar las mejores prácticas internacionales en la materia. Ha sido reconocida mundialmente por ser la primera regulación en adoptar gran parte de los Estándares de Madrid de 2009, que se basa en principios europeos y reconoce un autoridad independiente, pero introduce prácticas americanas, tales como la de notificar las vulneraciones de seguridad. Estamos en la etapa más primigenia de este novel derecho, sin embargo, su llegada no podía ser más oportuna en plena era digital y de los grandes datos, donde la información de las personas se ha convertido en el petróleo de Internet y el comodity de mayor valor en las transacciones comerciales a nivel global. Esperaremos a que con el paso del tiempo, primero el IFAI en sede administrativa y después los tribunales, definan y aclaren los contornos de este nuevo derecho. Los coordinadores José Luis Piñar Mañas y Lina Ornelas Núñez


El derecho fundamental a la protección de datos personales en México Jacqueline Peschard Mariscal*

Doctora en Ciencias Sociales por el Colegio de Michoacán

SUMARIO: I. INTRODUCCIÓN. II. LA EVOLUCIÓN DE LOS DERECHOS ANTE LOS CAMBIOS DE LA SOCIEDAD TECNOLÓGICA. EL DERECHO A LA PROTECCIÓN DE DATOS PERSONALES. III. EL MARCO JURÍDICO MEXICANO EN MATERIA DE PROTECCIÓN DE DATOS. ANTECEDENTES A LA LEY FEDERAL DE PROTECCIÓN DE DATOS EN POSESIÓN DE LOS PARTICULARES. IV. LA LEY FEDERAL DE PROTECCIÓN DE DATOS EN POSESIÓN DE LOS PARTICULARES. V. EJES TORALES DE LA LEY FEDERAL DE PROTECCIÓN DE DATOS EN POSESIÓN DE LOS PARTICULARES.

I. INTRODUCCIÓN El derecho a la protección de datos de carácter personal es un derecho fundamental reconocido internacionalmente. Se trata de un derecho subjetivo, autónomo y de tercera generación, que constituye un instrumento jurídico imprescindible en el desarrollo de una sociedad democrática y que garantiza la libertad del individuo en el seno de la misma. Este derecho está consagrado en la Carta de Derechos Fundamentales de la Unión Europea1 y algunas constituciones en el ámbito internacional —entre ellas México— y se ha desarrollado en las últimas cuatro décadas de manera paralela al avance informático y tecnológico que ha traído como consecuencia el empleo intensivo de información.

*

1

Miembro del Sistema Nacional de Investigadores y de la Academia Mexicana de Ciencias. Ocupó el cargo de Comisionada del Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) en México, desde 2009 hasta 2012. El derecho a la protección de datos es reconocido como derecho fundamental por el artículo 8 de la mencionada Carta, aprobada en la Cumbre de Jefes de Estado y de Gobierno de la Unión Europea, celebrada en Niza el 7 de diciembre de 2000.


20

Jacqueline Peschard Mariscal

La Carta de Derechos Fundamentales de la Unión Europea no se acota a enunciar el reconocimiento expreso del derecho a la protección de datos personales como fundamental y autónomo, sino que dota de contenido al mismo a través del establecimiento de los principios básicos que lo rigen, así como señala la existencia de una autoridad de control independiente encargada de velar expresamente por el respeto de este nuevo derecho. El avance de las comunicaciones nos obliga a reflexionar y a revisar cuándo tienen un carácter intrusivo que empobrece la calidad de la vida de las personas y cuándo sirve para potencializar sus posibilidades. En tanto que, toda transformación tecnológica es una oportunidad de beneficios, pero también un riesgo de perjuicios. De estos avances, surge una prerrogativa que dota al individuo de un poder para disponer de su propia información y decidir quién, cómo, cuándo y para qué se utilizará dicha información. Es así como, en una sociedad que se precie de ser democrática, se debe garantizar que existen límites claros sobre la manera como se utilizan nuestros datos personales, en tanto que tales datos son los que nos identifican y distinguen del resto de la población, nos permiten acceder a bienes y servicios, así como también acreditar el cumplimiento de las leyes. Dada la diversidad de medios de comunicación, gobiernos y entidades privadas acumulan y transmiten datos personales para distintos fines. Para facilitar este flujo de datos sin vulnerar la privacidad de las personas, los Estados están obligados a tomar medidas que no se limiten al ámbito doméstico, sino que deben también procurar la cooperación internacional, precisamente porque la transferencia de información no queda circunscrita por las fronteras nacionales. En consecuencia, la obtención, manejo y tratamiento de datos se debe regular bajo estándares internacionales que permitan garantizar a las personas la confidencialidad y la seguridad de su información personal, y al mismo tiempo potenciar las capacidades competitivas y comerciales del país, a través de una adecuada y ágil transmisión de información.


El derecho fundamental a la protección de datos personales en México

21

II. LA EVOLUCIÓN DE LOS DERECHOS ANTE LOS CAMBIOS DE LA SOCIEDAD TECNOLÓGICA. EL DERECHO A LA PROTECCIÓN DE DATOS PERSONALES Como ya es bien sabido, los derechos humanos se presentan como exigencias morales de realización, tanto a nivel personal como comunitario y que, a partir del desarrollo histórico se encuentran sustentados por un aparato institucional amplio así como de un cuerpo normativo en continua expansión. En este marco, introducir la variable tecnológica significa atender a la necesidad de traducir el discurso de los derechos humanos en términos que puedan abarcar también a la ciencia y la tecnología, en virtud de que éstos son elementos que modifican el concepto de espacio o ámbito en el que se manifiestan, profundizan y desarrollan los derechos humanos en lo general. De tal forma que, este nuevo contexto abre nuevas perspectivas para comprender, de una forma más amplia la Declaración Universal de los Derechos Humanos, al surgir problemas éticos, políticos y jurídicos que tienen que ver con nuestros derechos. En este sentido, resulta ineludible que presenciamos el desarrollo tecnológico como característica esencial de nuestra sociedad, y en consecuencia, surge la necesidad de repensar nuestra condición humana y el discurso ético de los derechos humanos. Asimismo, reflexionar en torno a las políticas y los derechos que reconocen el nuevo contexto tecnológico y sus implicaciones sociales. Las posibilidades que se abren a partir de la tecnología y las redes de información en la vida social son demasiadas que hace evidente la necesidad de una protección más global e imaginativa de los derechos de los individuos en este nuevo contexto social. Dichos derechos, juegan un papel importante en la actualidad en virtud de la universalización del acceso a la tecnología, la libertad de expresión en la Red y la libre circulación de la información, al tiempo que subyacen las cuestiones sobre la protección de la información. Ahora bien, el derecho a la protección de datos personales es de acuñación predominantemente europea, en virtud de que los primeros estudios especializados y la aparición de las primeras legislaciones en esta materia tuvieron lugar en ese continente.


22

Jacqueline Peschard Mariscal

Los primeros esbozos y aproximaciones al derecho a la protección de datos personales, devienen del reconocimiento del derecho fundamental a la vida privada y familiar, como lo muestran diversos instrumentos internacionales, como son la Declaración Universal de los Derechos Humanos, el convenio para la Protección de los Derechos Humanos y Libertades Fundamentales, el Pacto de Derechos Civiles y Políticos y la Convención Americana sobre Derechos Humanos, por mencionar solo algunos. El conjunto de estas disposiciones reconocen como derechos fundamentales inherentes a cada persona el respeto y la no injerencia a la vida privada, vida familiar, domicilio y correspondencia. En este marco, en 1967 la Asamblea Parlamentaria del Consejo de Europa dirigió al Comité de Ministros la Recomendación 509 sobre los derechos humanos y los nuevos logros científicos y técnicos. El objeto de estudio de esta Recomendación se centró en analizar la relación existente entre la tecnología de la información y el potencial peligro de las mismas para los derechos personales. Asimismo, el Comité manifestó su preocupación sobre la insuficiente protección que las legislaciones nacionales daban al derecho a la vida privada del individuo en relación con el tratamiento automatizado de datos personales. Al respecto, y citando a Puente Escobar quien fuera Jefe del Gabinete Jurídico de la Agencia Española de Protección de Datos (2005), refiere que la Recomendación 509 puede ser considerada como el origen de lo que posteriormente sería conocido como la protección de datos de carácter personal, dado que la misma ayudó sustancialmente al desarrollo de diversos estudios referidos a la incidencia de las nuevas tecnologías en la intimidad de las personas. Asimismo, fomentó los primeros desarrollos normativos que reconocieron explícitamente la existencia de un derecho específico a la privacidad en relación con dichas tecnologías. En este punto, es importante hacer mención sobre la distinción entre el derecho a la protección de datos y el derecho a la intimidad. Durante la década de los setentas los ordenamientos jurídicos reconocían el derecho a la intimidad, con el que se garantizaba un determinado ámbito, esto es, el ámbito de la “vida privada”, de lo “íntimo”, de lo “reservado”, que se consideraba fuera del conocimiento de terceros para que el individuo pudiera desarrollar libremente su personalidad.


1_9788490336809