Embed Size (px)
Citation preview
Instituto Nacional de Transparencia, Acceso a la Información y Protección
de Datos Personales
Estudio de viabilidad técnica del marco jurídico mexicano en materia de
protección de datos personales, para que México sea reconocido como un país con un nivel de protección adecuado conforme el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016,
relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por
el que se deroga la Directiva 95/46/CE para el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales
Entregable 3
“Señalamiento de las asimetrías existentes en la normatividad de
protección de datos personales aplicable para los sectores público y privado”
Elaborado por Davara Abogados
Diciembre 2019
ELABORADO POR:
Davara Abogados:
Dra. Isabel Davara F. de Marcos (Coordinadora) Prof. José Luis Rodríguez Álvarez
Mtro. Gregorio Barco Vega Mtro. Alexis Cervantes Padilla Dra. Pamela Rodríguez Padilla
Contenido
I. Abreviaturas ................................................................................................................................ 1
II. Introducción ............................................................................................................................... 3
III. Objetivos y alcance ................................................................................................................. 3
IV. Metodología .............................................................................................................................. 3
V. Las transferencias a terceros países según el RGPD ............................................................ 4
VI. Sobre el Capítulo I del WP 254: Información general sobre el concepto de adecuación .. 9
VII. Breve introducción al sistema normativo mexicano ......................................................... 12 1. Sistema constitucional y régimen político en México .................................................................... 12
A. El Poder Ejecutivo y la Administración Pública Federal .................................................................. 13 B. Poder Legislativo ............................................................................................................................ 13 C. Poder Judicial .................................................................................................................................. 14
2. El ordenamiento jurídico mexicano. Legislación relevante ........................................................... 14 A. Reforma constitucional en materia de derechos humanos ............................................................. 15 B. Compromisos internacionales asumidos por México ...................................................................... 17
3. Análisis del estado de cumplimiento de derechos humanos en el México ................................. 19
VIII. Sobre el Capítulo II del WP 254: Procedimiento para declarar el nivel de protección adecuado .......................................................................................................................................... 20
IX. Sobre el Capítulo III del WP 254 ............................................................................................ 21 1. Consideraciones preliminares ......................................................................................................... 21
A. Ámbito de aplicación ....................................................................................................................... 21 2. Principios relativos al contenido ..................................................................................................... 25
A. Conceptos ....................................................................................................................................... 25 B. Fundamentos del Tratamiento ........................................................................................................ 31 C. Limitación de la finalidaad ............................................................................................................... 37 D. Principio de calidad de los datos y proporcionalidad ...................................................................... 40 E. Principio de proporcionalidad .......................................................................................................... 41 F. Principio de retención de datos ....................................................................................................... 42 G. Principio de seguridad y confidencialidad ....................................................................................... 43 H. Principio de transparencia .............................................................................................................. 52 I. Derecho de acceso, rectificación, supresión y oposición ................................................................. 56 J. Restricciones a transferencias ulteriores .......................................................................................... 65
3. Ejemplos de principios de contenido adicionales que deben aplicarse a tipos específicos de tratamiento ................................................................................................................................................. 81
A. Categorías especiales de datos ...................................................................................................... 81 B. Mercadotecnia directa ..................................................................................................................... 89 C. Decisiones automatizadas y elaboración de perfiles ....................................................................... 91
4. Mecanismos relativos al procedimiento y la ejecución: ................................................................ 93 A. Autoridades de control competentes e independientes. ................................................................. 94 B. El sistema de protección de datos debe garantizar un buen nivel de cumplimiento. ...................... 98 C. Responsabilidad proactiva ............................................................................................................ 109
X. Capítulo 4: Garantías esenciales en terceros países para el acceso a los datos por parte de los cuerpos policiales y de seguridad nacional a fin de limitar las injerencias en los derechos fundamentales ............................................................................................................... 124
1. El tratamiento debe basarse en normas claras, precisas y accesibles (base jurídica) ............. 125 A. Análisis de la normatividad interna ............................................................................................... 126
2. Se deben demostrar la necesidad y la proporcionalidad respecto a los objetivos legítimos perseguidos .............................................................................................................................................. 143 3. El tratamiento debe estar sujeto a una supervisión independiente ............................................ 145 4. Las personas deben disponer de vías de acción efectivas ......................................................... 149
XI. Resumen y fundamentación de las asimetrías principales detectadas .......................... 150
XII. Manifestación concreta de viabilidad de una decisión de adecuación de la CE como tercer país para México ................................................................................................................. 166
1
I. Abreviaturas
Abreviaturas Terminología Definición
C108
Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal del 28 de enero
de 1981
C108+ Convenio modernizado para la protección de las personas con respecto al procesamiento
de datos personales CE Comisión Europea
CEPD Comité Europeo de Protección de Datos CNPP Código Nacional de Procedimientos Penales
CPEUM Constitución Política de los Estados Unidos
Mexicanos
Derechos ARCO Derechos de Acceso, Rectificación,
Cancelación y Oposición
Directiva 95/46/CE
Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995,
relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos
datos
EPDP Estándares de Protección de Datos Personales para los Estados Iberoamericanos
Estudio Técnico o Estudio
Estudio de viabilidad técnica del marco jurídico mexicano en materia de protección de
datos personales, para que México sea reconocido como un país con un nivel de
protección adecuado conforme el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE para el
Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos
Personales
GISGSDP Guía para la Implementación de un Sistema
de Gestión de Seguridad de Datos Personales
GT29 Grupo de Trabajo sobre Protección de Datos
del Artículo 29
2
INAI Instituto Nacional de Transparencia, Acceso a
la Información y Protección de Datos Personales
LAP Lineamientos del Aviso de Privacidad
LCMSJ Lineamientos de Colaboración en Materia de
Seguridad y Justicia
LFPDPPP Ley Federal de Protección de Datos
Personales en Posesión de los Particulares
LFTAIP Ley Federal de Transparencia y Acceso a la
Información Pública
LFTR Ley Federal de Telecomunicaciones y
Radiodifusión. LGN Ley de la Guardia Nacional
LGPDPPSO Ley General de Protección de Datos Personales en Posesión de Sujetos
Obligados
LGSNSP Ley General del Sistema Nacional de Seguridad Pública
LSN Ley de Seguridad Nacional PJF Poder Judicial de la Federación
RGPD Reglamento General de Protección de Datos RIPD Red Iberoamericana de Protección de Datos
RLFPDPPP Reglamento de la Ley Federal de Protección
de Datos Personales en Posesión de los Particulares
TFJA Tribunal Federal de Justicia Administrativa TJUE Tribunal de Justicia de la Unión Europea
TMEC Tratado entre México, Estados Unidos y
Canadá UE Unión Europea
UMA Unidad de Medida y Actualización
WP 237
Documento de Trabajo 1/2016 sobre la justificación de las interferencias a los
derechos fundamentales de privacidad y protección de datos a través de medidas de
vigilancia en la transferencia de datos personales (Garantías Europeas Esenciales) adoptado por el Grupo de Trabajo del Artículo
29 el 13 de abril de 2016
WP 254
Referencias sobre adecuación del Grupo de Trabajo sobre Protección de Datos del Artículo 29, revisadas por última vez y
aprobadas el 6 de febrero de 2018
3
II. Introducción El Estudio Técnico encomendado por el INAI a Davara Abogados bajo la dirección de la Dra. Isabel Davara F. de Marcos y el profesor José Luis Rodríguez Álvarez se conforma de distintos entregables a partir de los cuales se pretende determinar la viabilidad legal de que México sea reconocido por la CE como un país con nivel adecuado de protección de datos personales. De acuerdo con los requerimientos técnicos establecidos por el INAI, en este Entregable se realiza una descripción puntual de las asimetrías existentes entre los elementos normativos de la legislación mexicana en materia de protección de datos personales para los sectores público y privado respecto de los requerimientos previstos en el RGPD, el WP 254, el WP 237 y demás elementos valorados por la CE para reconocer a un país con un nivel de protección. Asimismo, la descripción anterior se acompaña de una manifestación expresa sobre la viabilidad jurídica de que México sea reconocido por la CE como un país con un nivel de protección adecuado. De esta manera, se ha analizado de manera detallada las asimetrías y/o divergencias derivadas de la comparación de la normatividad mexicana en su conjunto (sector privado y público), principalmente respecto de la norma de referencia en la Unión Europea (RGPD), pero también tomando en consideración el Convenio 108 y el Convenio 108+, dado que México es signatario del primero y esto, tal y como señala el artículo 45 del RGPD que refiere que deben tomarse en cuenta los compromisos internacionales asumidos por el tercer país debe tenerse en consideración al evaluar la factibilidad de dicha adecuación.
III. Objetivos y alcance Este documento tiene como objetivos, los siguientes:
Identificar las asimetrías existentes entre la normatividad nacional y la normatividad europea, en particular, el RGPD y los distintos elementos valorados por la CE para el reconocimiento de un tercer país como país con nivel adecuado de protección.
Realizar una manifestación concreta sobre la viabilidad del reconocimiento de México como un país con nivel adecuado de protección.
IV. Metodología El enfoque metodológico, como adelantábamos en la presentación inicial del primer entregable, sigue la estructura de análisis provista por el WP 254 (“Referencias sobre adecuación del Grupo de Trabajo sobre Protección de Datos del Artículo 29 revisadas por última vez y aprobadas el 6 de febrero de 2018”), que a su vez contiene y remite a la interpretación prevista por el WP 237, dado que esta estructura es la seguida por el CEPD en su asesoramiento a la CE.
4
El WP 254 se compone de cuatro capítulos, que son los mismos que se analizarán en este entregable 3, a efectos de seguir la metodología que sigue en su evaluación el CEPD, como quedó de manifiesto en la Decisión de Japón:
1. Información general sobre el concepto de adecuación: 2. Aspectos procedimentales para las decisiones de adecuación en virtud del RGPD: 3. Principios generales en materia de protección de datos: 4. Garantías esenciales para el acceso por parte de los cuerpos policiales y de seguridad
nacional a fin de limitar las injerencias en los derechos fundamentales de acuerdo con lo previsto con el WP 237.1
V. Las transferencias a terceros países según el RGPD La globalización conlleva en muchas ocasiones la necesidad de tratar datos personales de manera transfronteriza, dando lugar a transferencias internacionales de datos entre organismos y empresas de diversos países que realizan el tratamiento de datos personales, y mismas que deben adecuarse a las previsiones legales establecidas en los distintos ordenamientos jurídicos materia de análisis, que tienen como fin garantizar al individuo, cuyos datos son objeto de tratamiento, su derecho fundamental a la protección de datos personales. Como señala el RGPD en sus considerandos 6 y 7, la tecnología en particular ha transformado la economía y la vida social, y debe facilitar aún más la libre circulación de datos personales dentro de la UE y la transferencia a terceros países y organizaciones internacionales, garantizando al mismo tiempo un elevado nivel de protección de los datos personales, para lo que es indispensable un marco más sólido y coherente para la protección de datos, respaldado por una ejecución estricta, dada la importancia de generar la confianza que permita a la economía digital desarrollarse, reforzando la seguridad jurídica y práctica para las personas físicas, los operadores económicos y las autoridades públicas2.
1 Al respecto es importante señalar que el WP 237 establece 4 garantías esenciales: a) el tratamiento debe basarse en normas claras, precisas y accesibles (base jurídica); se deben demostrar la necesidad y la proporcionalidad respecto a los objetivos legítimos perseguidos; el tratamiento debe estar sujeto a una supervisión independiente; las personas deben disponer de vías de acción efectivas. 2 Vid asimismo el Considerando 101 del RGPD: Los flujos transfronterizos de datos personales a, y desde, países no pertenecientes a la Unión y organizaciones internacionales son necesarios para la expansión del comercio y la cooperación internacionales. El aumento de estos flujos plantea nuevos retos e inquietudes en lo que respecta a la protección de los datos de carácter personal. No obstante, si los datos personales se transfieren de la Unión a responsables, encargados u otros destinatarios en terceros países o a organizaciones internacionales, esto no debe menoscabar el nivel de protección de las personas físicas garantizado en la Unión por el presente Reglamento, ni siquiera en las transferencias ulteriores de datos personales desde el tercer país u organización internacional a responsables y encargados en el mismo u otro tercer país u organización internacional. En todo caso, las transferencias a terceros países y organizaciones internacionales solo pueden llevarse a cabo de plena conformidad con el presente Reglamento. Una transferencia solo podría tener lugar si, a reserva de las demás disposiciones del presente Reglamento, el responsable o encargado cumple las disposiciones del presente Reglamento relativas a la transferencia de datos personales a terceros países u organizaciones internacionales.
5
El principio general que rige las transferencias de datos a un tercer país (las realizadas a países no pertenecientes al Espacio Económico Europeo3) desde la UE se encuentra en el artículo 44 del RGPD:
Artículo 44 Principio general de las transferencias Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado.
En relación con lo anterior, el apartado segundo del artículo 45 del RGPD indica que, al evaluar la adecuación del nivel de protección, la CE tendrá en cuenta, en particular, los siguientes elementos:
El Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales, así como la aplicación de dicha legislación, las normas de protección de datos, las normas profesionales y las medidas de seguridad, incluidas las normas sobre transferencias ulteriores de datos personales a otro tercer país u organización internacional observadas en ese país u organización internacional, la jurisprudencia, así como el reconocimiento a los interesados cuyos datos personales estén siendo transferidos de derechos efectivos y exigibles y de recursos administrativos y acciones judiciales que sean efectivos;
La existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país o a las cuales esté sujeta una organización internacional, con la responsabilidad de garantizar y hacer cumplir las normas en materia de protección de datos, incluidos poderes de ejecución adecuados, de asistir y asesorar a los interesados en el ejercicio de sus derechos, y de cooperar con las autoridades de control de la UE y de los Estados miembros.
Los compromisos internacionales asumidos por el tercer país u organización internacional de que se trate, u otras obligaciones derivadas de acuerdos o instrumentos jurídicamente vinculantes, así como de su participación en sistemas multilaterales o regionales, en particular en relación con la protección de los datos personales.
Así, el apartado tercero del artículo 45 del RGPD indica que, tras haber evaluado la adecuación del nivel de protección, la CE podrá decidir, mediante un acto de ejecución,4 que un tercer país, un
3 Estados miembros de la Unión Europea (Alemania, Austria, Bélgica, Chipre, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Italia, Letonia, Lituania, Luxemburgo, Malta, Países Bajos, Polonia Portugal, Reino Unido, República Checa, Rumania y Suecia) y del Espacio Económico Europeo (Noruega, Islandia y Liechtenstein). 4 Según el RGPD, el acto de ejecución establecerá un mecanismo de revisión periódica, al menos cada cuatro años, que tenga en cuenta todos los acontecimientos relevantes en el tercer país o en la organización internacional. El acto de ejecución especificará su ámbito de aplicación territorial y sectorial, y, en su caso, determinará la autoridad o autoridades de control a que se refiere el
6
territorio o uno o varios sectores específicos de un tercer país, o una organización internacional garantizan un nivel de protección adecuado a tenor de lo dispuesto en el apartado 2 del citado artículo. Además, una vez emitido el acto de ejecución, con fundamento en lo previsto por el apartado 4 del artículo 45 del RGPD, la CE podrá supervisar de manera continuada los acontecimientos en países terceros y organizaciones internacionales que puedan afectar a la efectiva aplicación de las decisiones adoptadas con arreglo al apartado 3 del artículo en mención. En consonancia con lo señalado en el párrafo anterior, el apartado 5 del artículo del RGPD precisa que, en caso de que la información disponible, en particular tras la revisión a que se refiere el apartado 3 del artículo 45 antes mencionado, muestre que un tercer país, un territorio o un sector específico de ese tercer país, o una organización internacional ya no garantiza un nivel de protección adecuado a tenor del apartado 2 del artículo 45, la CE, mediante actos de ejecución, derogará, modificará o suspenderá, en la medida necesaria y sin efecto retroactivo, la decisión previamente concedida. Otro aspecto importante que considerar sobre las consecuencias de toda decisión de adecuación es que, esta se entiende sin perjuicio de las transferencias de datos personales al tercer país, a un territorio o uno o varios sectores específicos de ese tercer país, o a la organización internacional de que se trate con fundamento en los artículos 46 a 49 del RGPD (apartado 7 del artículo 45 del RGPD. Finalmente, según declara el apartado 8 del artículo 45 del RGPD, la CE publicará en el Diario Oficial de la Unión Europea y en su página web una lista de terceros países, territorios y sectores específicos en un tercer país, y organizaciones internacionales respecto de los cuales haya decidido que se garantiza, o ya no, un nivel de protección adecuado. 5 Aunque no forma parte de este análisis, resulta relevante señalar que el RGPD también establece los siguientes supuestos para permitir las transferencias de datos personales a terceros países:
apartado 2, letra b), del presente artículo. El acto de ejecución se adoptará con arreglo al procedimiento de examen a que se refiere el artículo 93, apartado 2. 5 A la fecha, los siguientes países han sido reconocidos como territorios seguros para la recepción de datos personales: -Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000 -Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos -Argentina. Decisión 2003/490/CE de la Comisión, de 3 de junio de 2003 -Guernesey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003 -Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004 -Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008 -Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010 -Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010 -Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011 -Uruguay. Decisión 2012/484/UE, de la Comisión de 21 de agosto de 2012. -Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012 -Estados Unidos. Aplicable a las entidades certificadas en el marco del Escudo de Privacidad UE-EE.UU. Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016. -Japón. Decisión de 23 de enero de 2019.
7
1. Transferencias mediante garantías y mecanismos adecuados: El artículo 46 del RGPD indica que a falta de una decisión de adecuación de la CE el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas. Al respecto, el apartado 2 del artículo 46 indica que las garantías adecuadas podrán ser aportadas, sin que se requiera ninguna autorización expresa de una autoridad de control, por:
a. Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos;
b. Normas corporativas vinculantes; c. Cláusulas tipo de protección de datos adoptadas por la CE; d. Cláusulas tipo de protección de datos adoptadas por una autoridad de control y
aprobadas por la CE; e. Un código de conducta aprobado con arreglo al artículo 40, junto con compromisos
vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados;
f. Un mecanismo de certificación aprobado con arreglo al artículo 42, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados.
El apartado 3 del artículo 46 del RGPD añade que siempre que exista autorización de la autoridad de control competente, las garantías adecuadas contempladas en el apartado 1 podrán igualmente ser aportadas, en particular, mediante cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional, o disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.
2. Normas corporativas vinculantes: El artículo 47 del RGPD señala que la autoridad de control
competente aprobará normas corporativas vinculantes de conformidad con el mecanismo de coherencia del artículo 63 con la condición de que estas sean jurídicamente vinculantes y se apliquen y sean cumplidas por todos los miembros correspondientes del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, incluidos sus empleados; confieran expresamente a los interesados derechos exigibles en relación con el tratamiento de sus datos personales, y cumplan los requisitos establecidos en el apartado 2 del artículo 47.6
6 Artículo 47 Normas corporativas vinculantes 1. La autoridad de control competente aprobará normas corporativas vinculantes de conformidad con el mecanismo de coherencia establecido en el artículo 63, siempre que estas: […] 2. Las normas corporativas vinculantes mencionadas en el apartado 1 especificarán, como mínimo, los siguientes elementos: a) la estructura y los datos de contacto del grupo empresarial o de la unión de empresas dedicadas a una actividad económica
conjunta y de cada uno de sus miembros; b) las transferencias o conjuntos de transferencias de datos, incluidas las categorías de datos personales, el tipo de tratamientos y sus
fines, el tipo de interesados afectados y el nombre del tercer o los terceros países en cuestión; c) su carácter jurídicamente vinculante, tanto a nivel interno como externo;
8
3. Transferencias o comunicaciones no autorizadas por el Derecho de la UE. El artículo 48 del RGPD indica que cualquier sentencia de un órgano jurisdiccional o decisión de una autoridad administrativa de un tercer país que exijan que un responsable o encargado del tratamiento transfiera o comunique datos personales únicamente será reconocida o ejecutable en cualquier modo si se basa en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el país tercero requirente y la UE o un Estado miembro, sin perjuicio de otros motivos para la transferencia al amparo del presente capítulo.
4. Excepciones por situaciones específicas: El artículo 49 del RGPD establece que, en ausencia de una decisión de adecuación o de garantías adecuadas una transferencia o un conjunto de transferencias de datos personales a un tercer país u organización internacional únicamente se realizará si se cumple alguna de las condiciones siguientes:
a. El interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas
d) la aplicación de los principios generales en materia de protección de datos, en particular la limitación de la finalidad, la minimización
de los datos, los periodos de conservación limitados, la calidad de los datos, la protección de los datos desde el diseño y pordefecto, la base del tratamiento, el tratamiento de categorías especiales de datos personales, las medidas encaminadas agarantizar la seguridad de los datos y los requisitos con respecto a las transferencias ulteriores a organismos no vinculados por lasnormas corporativas vinculantes;
e) los derechos de los interesados en relación con el tratamiento y los medios para ejercerlos, en particular el derecho a no ser objetode decisiones basadas exclusivamente en un tratamiento automatizado, incluida la elaboración de perfiles de conformidad con lodispuesto en el artículo 22, el derecho a presentar una reclamación ante la autoridad de control competente y ante los tribunalescompetentes de los Estados miembros de conformidad con el artículo 79, y el derecho a obtener una reparación, y, cuandoproceda, una indemnización por violación de las normas corporativas vinculantes;
f) la aceptación por parte del responsable o del encargado del tratamiento establecidos en el territorio de un Estado miembro de laresponsabilidad por cualquier violación de las normas corporativas vinculantes por parte de cualquier miembro de que se trate noestablecido en la Unión; el responsable o el encargado solo será exonerado, total o parcialmente, de dicha responsabilidad sidemuestra que el acto que originó los daños y perjuicios no es imputable a dicho miembro;
g) la forma en que se facilita a los interesados la información sobre las normas corporativas vinculantes, en particular en lo querespecta a las disposiciones contempladas en las letras d), e) y f) del presente apartado, además de los artículos 13 y 14;
h) las funciones de todo delegado de protección de datos designado de conformidad con el artículo 37, o de cualquier otra persona oentidad encargada de la supervisión del cumplimiento de las normas corporativas vinculantes dentro del grupo empresarial o de launión de empresas dedicadas a una actividad económica conjunta, así como de la supervisión de la formación y de la tramitaciónde las reclamaciones;
i) los procedimientos de reclamación; j) los mecanismos establecidos dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica
conjunta para garantizar la verificación del cumplimiento de las normas corporativas vinculantes. Dichos mecanismos incluiránauditorías de protección de datos y métodos para garantizar acciones correctivas para proteger los derechos del interesado. Losresultados de dicha verificación deberían comunicarse a la persona o entidad a que se refiere la letra h) y al consejo deadministración de la empresa que controla un grupo empresarial, o de la unión de empresas dedicadas a una actividad económicaconjunta, y ponerse a disposición de la autoridad de control competente que lo solicite;
k) los mecanismos establecidos para comunicar y registrar las modificaciones introducidas en las normas y para notificar esasmodificaciones a la autoridad de control;
l) el mecanismo de cooperación con la autoridad de control para garantizar el cumplimiento por parte de cualquier miembro del grupoempresarial o de la unión de empresas dedicadas a una actividad económica conjunta, en particular poniendo a disposición de laautoridad de control los resultados de las verificaciones de las medidas contempladas en la letra j);
m) los mecanismos para informar a la autoridad de control competente de cualquier requisito jurídico de aplicación en un país tercero aun miembro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, que probablementetengan un efecto adverso sobre las garantías establecidas en las normas corporativas vinculantes, y
n) la formación en protección de datos pertinente para el personal que tenga acceso permanente o habitual a datos personales. 3. La Comisión podrá especificar el formato y los procedimientos para el intercambio de información entre los responsables, los encargados y las autoridades de control en relación con las normas corporativas vinculantes a tenor de lo dispuesto en el presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen a que se refiere el artículo 93, apartado 2.
9
transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas;
b. La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado;
c. La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica;
d. La transferencia sea necesaria por razones importantes de interés público; e. La transferencia sea necesaria para la formulación, el ejercicio o la defensa de
reclamaciones; f. La transferencia sea necesaria para proteger los intereses vitales del interesado o
de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento;
g. La transferencia se realice desde un registro público que, con arreglo al Derecho de la UE o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la UE o de los Estados miembros para la consulta.
A partir de sustento anterior se puede resumir que el régimen jurídico de las transferencias internacionales de datos personales regulado en el RGPD es amplio, siendo la decisión de adecuación emitida por la CE un componente fundamental para permitir el libre intercambio de información.
VI. Sobre el Capítulo I del WP 254: Información general sobre el concepto de adecuación
Como decíamos, una de las vías que el RGPD dispone para garantizar que en las transferencias a terceros países se cumpla el principio general previsto en su artículo 44 –esto es, que todos los sujetos intervinientes en el tratamiento transfronterizo cumplan con la normatividad– es que la CE haya determinado, mediante un acto de ejecución, tras un proceso de evaluación previo, que un país tiene un “nivel de protección adecuado” 7, como contempla el apartado 1 del artículo 45 del RGPD:
7 La Comisión, antes del RGPD y en consonancia con la Directiva 95/46/CE declaró mediante las correspondientes Decisiones el nivel adecuado de: Suiza (Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000), Canadá (Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos), Argentina (Decisión 2003/490/CE de la Comisión, de 3 de junio de 2003) Guernesey (Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003), Isla de Man (Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004), (Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008), (Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010), Andorra (Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010), Israel (Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011), Uruguay (Decisión 2012/484/UE, de la Comisión de 21 de agosto de 2012), Nueva Zelanda (Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012) y Estados Unidos en relación con las entidades certificadas en el marco del Escudo de Privacidad UE-EE.UU. Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016.
10
1. Podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica.
Lo que nos lleva inmediatamente a preguntarnos qué se entiende por nivel de protección adecuado. Al respecto, el considerando 104 del RGPD indica con claridad que el tercer país “debe ofrecer garantías que aseguren un nivel adecuado de protección equivalente en lo esencial al ofrecido en la Unión”. Y el TJUE8 ha señalado que un nivel de protección “equivalente” no ha de ser “idéntico”, por lo que los medios de los que se sirve el país en cuestión pueden ser diferentes de los de la UE, siempre que en la práctica sean eficaces para proporcionar el nivel de protección adecuado. Es decir, para que un país sea reconocido con un nivel adecuado de protección no se exige que sus disposiciones internas reflejen literalmente las normas de la UE, sino que el sistema, en su conjunto, ofrezca una protección equivalente. A estos efectos, el apartado segundo de este artículo 459 dispone que dicho carácter adecuado se evalúa atendiendo no sólo respecto de la existencia de normas sobre protección de datos, sino que es necesario que esas normas se apliquen en la práctica. Por lo tanto, son tres los elementos básicos para una protección adecuada, mismos que se describen en los numerales a), b) y c) del apartado 2 del artículo 45 del RGPD:
2. Al evaluar la adecuación del nivel de protección, la Comisión tendrá en cuenta, en particular, los siguientes elementos: a) el Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales, así como la aplicación de dicha legislación, las normas de protección de datos, las normas profesionales y las medidas de seguridad, incluidas las normas sobre transferencias ulteriores de datos personales a otro tercer país u organización internacional observadas en ese país u organización internacional, la jurisprudencia, así como el reconocimiento a los interesados cuyos datos personales estén siendo transferidos de derechos efectivos y exigibles y de recursos administrativos y acciones judiciales que sean efectivos; b) la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país o a las cuales esté sujeta una organización internacional, con la responsabilidad de garantizar y hacer cumplir las normas en materia de protección de datos,
8 Asunto c-362/14, Maximillian Schrems/Data Proteccion Commissioner, apartados 73 y ss. 9 Vid también el considerando 104 del RGPD: En consonancia con los valores fundamentales en los que se basa la Unión, en particular la protección de los derechos humanos, la Comisión, en su evaluación del tercer país, o de un territorio o un sector específico de un tercer país, debe tener en cuenta de qué manera respeta un determinado tercer país respeta el Estado de Derecho, el acceso a la justicia y las normas y criterios internacionales en materia de derechos humanos y su Derecho general y sectorial, incluida la legislación relativa a la seguridad pública, la defensa y la seguridad nacional, así como el orden público y el Derecho penal. En la adopción de una decisión de adecuación con respecto a un territorio o un sector específico de un tercer país se deben tener en cuenta criterios claros y objetivos, como las actividades concretas de tratamiento y el alcance de las normas jurídicas aplicables y la legislación vigente en el tercer país. El tercer país debe ofrecer garantías que aseguren un nivel adecuado de protección equivalente en lo esencial al ofrecido en la Unión, en particular cuando los datos personales son objeto de tratamiento en uno o varios sectores específicos. En particular, el tercer país debe garantizar que haya un control verdaderamente independiente de la protección de datos y establecer mecanismos de cooperación con las autoridades de protección de datos de los Estados miembros, así� como reconocer a los interesados derechos efectivos y exigibles y acciones administrativas y judiciales efectivas.
11
incluidos poderes de ejecución adecuados, de asistir y asesorar a los interesados en el ejercicio de sus derechos, y de cooperar con las autoridades de control de la Unión y de los Estados miembros, y c) los compromisos internacionales asumidos por el tercer país u organización internacional de que se trate, u otras obligaciones derivadas de acuerdos o instrumentos jurídicamente vinculantes, así como de su participación en sistemas multilaterales o regionales, en particular en relación con la protección de los datos personales.
La CE, según lo establecido en el artículo 45.3 del RGPD, podrá, entonces, adoptar una Decisión en la que establezca que un tercer país, un territorio o uno o varios sectores específicos de un tercer país garantiza un nivel de protección adecuado:
3. La Comisión, tras haber evaluado la adecuación del nivel de protección, podrá decidir, mediante un acto de ejecución, que un tercer país, un territorio o uno o varios sectores específicos de un tercer país, o una organización internacional garantizan un nivel de protección adecuado a tenor de lo dispuesto en el apartado 2 del presente artículo. El acto de ejecución establecerá un mecanismo de revisión periódica, al menos cada cuatro años, que tenga en cuenta todos los acontecimientos relevantes en el tercer país o en la organización internacional. El acto de ejecución especificará su ámbito de aplicación territorial y sectorial, y, en su caso, determinará la autoridad o autoridades de control a que se refiere el apartado 2, letra b), del presente artículo. El acto de ejecución se adoptará con arreglo al procedimiento de examen a que se refiere el artículo 93, apartado 2.
La CE, para evaluar el nivel de protección existente en terceros países, debe consultar al CEPD, tal y como señala la fracción s del apartado 1 del artículo 70 del RGPD10:
s) facilitará a la Comisión un dictamen para evaluar la adecuación del nivel de protección en un tercer país u organización internacional, en particular para evaluar si un tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o una organización internacional, ya no garantizan un nivel de protección adecuado. A tal fin, la Comisión facilitará al Comité toda la documentación necesaria, incluida la correspondencia con el gobierno del tercer país, que se refiera a dicho tercer país, territorio o específico o a dicha organización internacional;
Como resultado de la exposición anterior se puede concluir que la noción de “nivel adecuado de protección hace referencia a un término amplio a partir del cual la CE valora de forma comprehensiva distintos elementos normativos, jurídicos, institucionales, políticos e internacionales sin que ello implique reflejar de forma idéntica la normatividad existente, sino más bien, evaluar por qué los elementos analizados garantizan una protección equivalente.
10 Vid también Considerando 105 del RGPD. “(…) La Comisión debe consultar al Comité al evaluar el nivel de protección existente en terceros países u organizaciones internacionales”.
12
VII. Breve introducción al sistema normativo mexicano El apartado primero del artículo 45 del RGPD precisa que la transferencia de datos personales a un tercer país u organización internacional podrá realizarse cuando la CE haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Con base en lo anterior, el apartado segundo del citado artículo 45 señala que, al evaluar la adecuación del nivel de protección, la CE tendrá en cuenta, en particular, los siguientes elementos:
El Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales, así como la aplicación de dicha legislación, las normas de protección de datos, las normas profesionales y las medidas de seguridad, incluidas las normas sobre transferencias ulteriores de datos personales a otro tercer país u organización internacional observadas en ese país u organización internacional, la jurisprudencia, así como el reconocimiento a los interesados cuyos datos personales estén siendo transferidos de derechos efectivos y exigibles y de recursos administrativos y acciones judiciales que sean efectivos;
La existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país o a las cuales esté sujeta una organización internacional, con la responsabilidad de garantizar y hacer cumplir las normas en materia de protección de datos, incluidos poderes de ejecución adecuados, de asistir y asesorar a los interesados en el ejercicio de sus derechos, y de cooperar con las autoridades de control de la UE y de los Estados miembros.
Los compromisos internacionales asumidos por el tercer país u organización internacional de que se trate, u otras obligaciones derivadas de acuerdos o instrumentos jurídicamente vinculantes, así como de su participación en sistemas multilaterales o regionales, en particular en relación con la protección de los datos personales
En consecuencia, este documento presenta una breve descripción sobre aspectos como el Estado de Derecho, el respeto de los derechos humanos, libertades fundamentales en México, así como a la legislación aplicable. Además, se incluye un apartado relativo a los compromisos internacionales en materia de derechos humanos asumidos por México destacando los instrumentos internacionales que regulan los derechos de protección de datos personales, vida privada y privacidad.
1. Sistema constitucional y régimen político en México El Estado mexicano se encuentra constituido por 32 entidades federativas (o “estados”) organizados en una estructura federal, de acuerdo con lo establecido en el artículo 40 de la CPEUM. Las facultades y obligaciones de estas entidades como del Gobierno Federal (“Federación”) se encuentran establecidos en los artículos 117, 122 y 124 constitucionales. A su vez, las entidades se organizan en divisiones político-administrativas más reducidas (“municipios”, en el caso de los estados y “alcaldías” en el interior de la Ciudad de México) que operan en los términos del artículo 115 de la Constitución.
13
El artículo 41 constitucional establece la división tripartita de poderes y contempla la existencia, funcionamiento y financiamiento primordialmente público de los partidos y asociaciones políticas. También dedica dos apartados enteros (A y B) al establecimiento de las bases constitucionales del Instituto Nacional Electoral, un órgano constitucional autónomo dedicado a la organización de las elecciones y a la fiscalización del financiamiento de los partidos políticos, entre otras funciones. Sobre este particular podemos señalar que en las tres últimas décadas la distribución de poderes del Estado mexicano se ha reconfigurado con la creación de varios órganos constitucionales autónomos, encargados de una diversidad de funciones estratégicas: conformación de mediciones y estadísticas imparciales (INEGI), la competencia y regulación económicas (COFECE), la regulación en materia de telecomunicaciones y competencia económica en este sector (IFETEL), la defensa y protección de los derechos humanos (CNDH) y finalmente, garantizar los derechos de acceso a la información pública, transparencia y protección de datos personales (INAI). En particular, destaca la actuación del INAI como un órgano constitucionalmente autónomo, especializado, independiente, imparcial y colegiado, con personalidad jurídica y patrimonio propio, con plena autonomía técnica, de gestión, capacidad para decidir sobre el ejercicio de su presupuesto y determinar su organización interna de acuerdo con lo previsto por el apartado A, fracción XVIII del artículo sexto de la CPEUM y su Estatuto Orgánico. Este órgano como se ha destacado tiene las facultadas propias de una autoridad de control en materia de protección de datos personales que garantiza el derecho humano a la protección de datos personales.
A. El Poder Ejecutivo y la Administración Pública Federal
La CPEUM establece que el Supremo Poder Ejecutivo de la Unión se deposita en el "Presidente de los Estados Unidos Mexicanos" cuyas facultades y obligaciones se describen en el artículo 89 de dicho ordenamiento. El catálogo de facultades y obligaciones es amplio y abarcan actividades de carácter legislativo (facultad reglamentaria), económico y hacendario, así como jurisdiccionales.
B. Poder Legislativo De acuerdo con el artículo 50 constitucional, el poder legislativo se organiza de manera bicameral, con una Cámara de diputados y otra de senadores. La primera está integrada por 300 diputadas y diputados electos según el principio de votación mayoritaria relativa (sistema de distritos electorales uninominales) y 200 diputadas y diputados elegidos a través del principio de representación proporcional (artículo 52). Por su parte, la Cámara de Senadores se integra por 128 senadoras y senadores, elegidos a través de los principios de votación mayoritaria relativa (64), primera minoría (32) y representación proporcional (32) en cada entidad federativa y la Ciudad de México según lo dispuesto en el artículo 56 de la CPEUM. Al respecto, el artículo 73 de la CPEUM establece las facultades del Congreso de
14
la Unión, el artículo 75 las facultades que corresponden a la Cámara de Diputados y finalmente, el artículo 76 las del Senado de la República.
C. Poder Judicial La organización básica es similar al sistema judicial norteamericano, con Jueces de Distrito, Tribunales de Circuito y una Corte Suprema (en adelante, SCJN o “Corte”) en el ápice. Desde 1917, esta estructura sólo ha sufrido dos cambios sustanciales, a saber, la creación de los Tribunales de Circuito en la década de 1950 –para aliviar la carga de trabajo de las Salas de la SCJN– y la reforma judicial de 1994, encaminada a la transformación de la Corte en un tribunal constitucional. Estas medidas reafirmaron el contenido de la reforma de 1988, que delegaba tareas propias de la casación en los citados Tribunales, introduciendo de esta manera el control abstracto en el ordenamiento jurídico mexicano. La Suprema Corte de Justicia de la Nación (SCJN) se encuentra compuesta por once jueces elegidos para un periodo de 15 años mediante un procedimiento donde el titular del Ejecutivo Federal envía una terna de candidatos al Senado para su nominación. La SCJN puede sesionar en Pleno o en Salas especializadas por materia y su Presidente es elegido a través de una votación inter pares. El o la ministra que resulta electo/a participa y dirige las discusiones en el Pleno y no participa en las Salas. En el aspecto organizacional, la SCJN constituye un actor bastante poderoso, ya que encabeza un Poder Judicial bien financiado y al mismo tiempo ejerce influencia formal e informal sobre los tribunales inferiores mediante un sistema de precedentes y a través del Consejo de la Judicatura. La Corte Suprema mexicana decide acciones de inconstitucionalidad, controversias constitucionales (entendidos como conflictos horizontales y verticales de jurisdicción), contradicciones de tesis (donde los Tribunales Colegiados deciden asuntos de naturaleza similar en sentidos diferentes debido a diferencias interpretativas), amparos de segunda instancia (interpuestos en contra de decisiones judiciales o amparos directos, y contra actos administrativos y leyes, llamados amparos indirectos); una amplia variedad de cuestiones aisladas o complementarias al interior de procedimientos más amplios. Dicho órgano también tiene facultades para resolver procedimientos de inconformidad, procedimientos relacionados con violaciones al Sistema de Coordinación Fiscal, modificaciones o sustituciones de precedentes obligatorios (“jurisprudencia”); puede revisar las decisiones de Consejo de la Judicatura Federal relativas a la suspensión o expulsión de jueces, así como participar en los nombramientos de jueces del Tribunal Electoral y de los miembros del Consejo de la Judicatura, entre otras.
2. El ordenamiento jurídico mexicano. Legislación relevante El texto constitucional actualmente en vigor es el producto de negociaciones y concesiones entre diferentes grupos, más que el producto de amplias movilizaciones populares que marcaran una disrupción política. Pese a la irrupción del gobierno dividido (descrito supra en el apartado sobre el Poder Legislativo), el incremento en la pluralidad política no tuvo una correlación directa con el grado de rigidez del texto constitucional. Por el contrario, dio paso a un escenario en donde las reformas a
15
la Constitución se traducen en espacios para la negociación –y, por ende, para la inclusión política–, al menos en lo que concierne a los partidos políticos. Al día de hoy, es viable señalar que la CPEUM es un conjunto de herramientas desordenadas –algunas de ellas, ciertamente, interesantes cuando se aprecian de manera aislada– y desarticuladas al interior de un proyecto político colectivo, que es percibido por las y los ciudadanos como inclusivo y alineado normativamente con sus derechos y necesidades.
A. Reforma constitucional en materia de derechos humanos
La reforma constitucional de derechos humanos es un “conjunto de prerrogativas sustentadas en la dignidad humana, cuya realización efectiva resulta indispensable para el desarrollo integral de la persona”.11 Esta modificación del texto constitucional ha tenido como mandato el crear una nueva cultura de derechos humanos, poniendo al centro la dignidad de las personas.12 La reforma constitucional de derechos humanos tiene una indiscutible relevancia para todos los operadores del Derecho. Es por ello que autores como Miguel Carbonell y Pedro Salazar indican que la reforma constitucional en materia de derechos humanos del 10 de junio de 2011 significó un nuevo paradigma para el sistema jurídico mexicano.13 De forma particular como aspectos fundamentales y trascendentales de la reforma constitucional de derechos humanos 14cabe señalar los siguientes:
1. Se cambia la denominación del Capítulo I del Título Primero de la CPEUM. A partir de la Reforma Constitucional se denomina “De los derechos humanos y sus garantías”.
2. El artículo primero constitucional “reconoce” los derechos humanos consignados en la CPEUM y los tratados internacionales a favor de todas las personas. Este artículo también establece la “interpretación conforme”, al precisar que todas las normas relativas a derechos humanos se deberán interpretar a la luz de la propia CPEUM y los tratados internacionales.
3. Se incorpora el principio de interpretación pro personae en el párrafo segundo del artículo primero de la CPEUM.
4. Se señala, en el párrafo tercero del artículo primero, la obligación del Estado mexicano de promover, respetar, proteger y garantizar los derechos humanos. En consecuencia, se obliga a todas las autoridades a promover, respetar, proteger y garantizar los derechos humanos conforme a los principios de universalidad, interdependencia, indivisibilidad y
11 Comisión Nacional de Derechos Humanos, consultado el 24 de septiembre de 2018, disponible en http://www.cndh.org.mx/Que_son_Derechos_Humanos 12 Secretaría de Gobernación, ¿Por qué la Reforma Constitucional de Derechos Humanos de 2011 modificó la relación entre el gobierno y la sociedad? https://www.gob.mx/segob/articulos/por-que-la-reforma-constitucional-de-derechos-humanos-de-2011-cambio-la-forma-de-ver-la-relacion-entre-el-gobierno-y-la-sociedad?idiom=es 13 vid Carbonell Sánchez, Miguel y Salazar Ugarte, Pedro, (Coords.), La reforma constitucional de derechos humanos: un nuevo paradigma, México, Universidad Nacional Autónoma de México, Instituto de Investigaciones Jurídicas, 2011. 14 Por ejemplo, para un estudio más detallado de este tema puede consultarse: MARTÍNEZ BULLÉ-GOYRI, Víctor M.”Reforma constitucional en materia de derechos humanos”,Boletín Mexicano de Derecho Comparado, vol. XLIV, núm. 130, enero-abril, 2011, pp. 405-425 Universidad Nacional Autónoma de MéxicoDistrito Federal, México.
16
progresividad y al Estado mexicano a prevenir, investigar, sancionar y reparar las violaciones de derechos humanos.
5. Se prohíbe la discriminación por causa de “preferencias sexuales”. 6. Se indica en el artículo 3 de la CPEUM que una de las finalidades de la educación que
imparta el Estado mexicano será el respeto a los derechos humanos. 7. Se eleva a rango constitucional el derecho de asilo para toda persona que sea perseguida
por motivos políticos y se reconoce el “derecho de refugio. 8. Se indica, en el artículo 18, que el respeto a los derechos humanos es una de las bases
sobre las que se debe organizar el sistema penitenciario nacional, junto con el trabajo, la capacitación para el mismo, la educación, la salud y el deporte.
9. Se modifica el artículo 33 constitucional, para establecer que, el Ejecutivo Federal, previa audiencia, podrá expulsar del territorio nacional a personas extranjeras con fundamento en la ley, la cual regulará el procedimiento administrativo, así como el lugar y tiempo que dure la detención.
10. Se adiciona la fracción X del artículo 89 constitucional para efecto de incorporar como principios de la política exterior del Estado mexicano “el respeto, la protección y promoción de los derechos humanos”.
11. Se establece que la SCJN podrá solicitar al Consejo de la Judicatura Federal que averigüe la conducta de algún juez o magistrado federal.
12. Se obliga a los servidores públicos que no acepten recomendaciones de la Comisión Nacional de los Derechos Humanos (CNDH) o de las respectivas comisiones locales a fundar y motivar su negativa, así como a hacerla pública.
13. Se establece que las comisiones de derechos humanos podrán conocer sobre quejas relacionadas con materia laborales.
14. Se establece un mecanismo de consulta pública para la elección del titular de la CNDH y para los miembros de su Consejo Consultivo.
15. Se faculta a la CNDH para realizar la investigación de violaciones graves de derechos humanos.
La reforma constitucional en materia de derechos humanos tiene una incidencia directa en la protección de los derechos humanos, incluyendo al derecho de protección de datos personales previsto en el segundo párrafo del artículo 16 de la CPEUM, pues, entre otros aspectos ya señalados, a partir del texto constitucional se coloca a la persona como el eje central de la protección de los derechos humanos al establecer que en la interpretación de las normas relativas a derechos humanos se emplee el principio pro persona y se preserve el concepto de dignidad humana como el elemento rector de los derechos humanos.15
15 vid Carbonell Sánchez, Miguel y Salazar Ugarte, Pedro, (Coords.), La reforma constitucional de derechos humanos: un nuevo paradigma, México, Universidad Nacional Autónoma de México, Instituto de Investigaciones Jurídicas, 2011.
17
B. Compromisos internacionales asumidos por México
Considerando que el inciso c) del apartado 2 del artículo 45 del RGPD indica que, al evaluar la adecuación del nivel de protección, la CE tendrá en cuenta, en particular, los compromisos internacionales asumidos por el tercer país u organización internacional de que se trate, u otras obligaciones derivadas de acuerdos o instrumentos jurídicamente vinculantes, así como de su participación en sistemas multilaterales o regionales, en particular en relación con la protección de los datos personales, se considera pertinente señalar los distintos instrumentos jurídicos internacionales y documentos suscritos por México y que se refieren a la tutela efectiva de los derechos a la vida privada, privacidad y protección de datos personales. Al respecto, es relevante destacara que los tratados internacionales suscritos con México son, de acuerdo con el artículo 133 de la CPEUM, Ley Suprema de la Unión:
Artículo 133. Esta Constitución, las leyes del Congreso de la Unión que emanen de ella y todos los tratados que estén de acuerdo con la misma, celebrados y que se celebren por el Presidente de la República, con aprobación del Senado, serán la Ley Suprema de toda la Unión. Los jueces de cada entidad federativa se arreglarán a dicha Constitución, leyes y tratados, a pesar de las disposiciones en contrario que pueda haber en las Constituciones o leyes de las entidades federativas.
La redacción anterior tiene importantes implicaciones jurídicas para el sistema dedicado a la protección de derechos humanos ya que se reconoce que los tratados internacionales, incluyendo aquellos relativos a los derechos humanos, cuando estén de acuerdo con la CPEUM serán Ley Suprema de la Unión. Par efectos de facilitar la explicación posterior, nos permitimos enunciar los distintos instrumentos y documentos internacionales que acreditan el firme compromiso de México con la garantía del derecho a la protección de datos personales y los derechos a la privacidad y la vida privada.
Tratados y convenios internacionales suscritos por México relevantes en materia de protección de datos personales
Instrumento internacional Aspectos relevantes
Declaración Universal de los Derechos Humanos
Su artículo 12 establece que nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.
Declaración Americana de los Derechos y Deberes del Hombre
El artículo 5 titulado “Derecho a la protección a la honra, la reputación personal y la vida privada y familiar” establece que toda persona tiene derecho a la protección de la Ley contra los ataques abusivos a su honra, a su reputación y a su vida privada y familiar.
Pacto Internacional de Derechos Civiles y Políticos
El artículo 17 establece que nadie será objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques ilegales a su honra y reputación. Asimismo, se establece que toda persona tiene derecho a la protección de la ley contra esas injerencias o esos ataques.
18
Del contenido de los tratados internacionales y documentos enunciados se puede concluir que:
Existen diversos instrumentos internacionales suscritos por México en los que se reconocen los derechos a la privacidad y la vida privada. Entre estos se encuentran la Declaración Universal de los Derechos Humanos, la Declaración Americana de los Derechos y Deberes del Hombre, el Pacto Internacional de Derechos Civiles y Políticos, la Convención Americana de Derechos Humanos, la Convención sobre los Derechos del Niño, la Convención Internacional sobre la Protección de los Derechos de todos los Trabajadores Migratorios y de sus Familias, la Convención sobre los Derechos de las Personas con Discapacidad y el Convenio 108.
Respecto de los instrumentos internacionales en materia de derechos humanos suscritos por México destaca el Convenio 108 aprobado por la Cámara de Senadores, el veintiséis de abril de dos mil dieciocho, según decreto publicado en el DOF del doce de junio del propio año. Asimismo, su instrumento de adhesión fue firmado por el Ejecutivo Federal el diecinueve de junio de dos mil dieciocho y depositado ante el Secretario General del
Convención Americana de Derechos Humanos
El artículo 11 sobre “Protección de la Honra y de la Dignidad” establece que toda persona tiene derecho al respeto de su honra y al reconocimiento de su dignidad y que nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su honra o reputación. Asimismo, se señala que toda persona tiene derecho a la protección de la ley contra esas injerencias o esos ataques.
Convención sobre los Derechos del Niño
El artículo 16 de esta Convención establece tanto el derecho de las niñas, niños y adolescentes a ser respetados en su esfera privada, así como la obligación estatal expresa de protegerlo:
1. Ningún niño será objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques ilegales a su honra y a su reputación. 2. El niño tiene derecho a la protección de la ley contra esas injerencias o ataques.
Convención Internacional sobre la Protección de los Derechos de todos los Trabajadores
Migratorios y de sus Familias
En el artículo 14 de esta Convención se consagra el derecho de las y los trabajadores migratorios, así como de sus familiares, a no ser sometido a injerencias arbitrarias o ilegales en su vida privada, familia, hogar, correspondencia u otras comunicaciones ni a ataques ilegales contra su honor y buen nombre. También se reconoce el derecho de estos trabajadores y sus familias a contar con la protección legal del país donde se encuentren
Convención sobre los Derechos de las Personas con Discapacidad
El artículo 22, denominado “Respeto de la privacidad”, reconoce el derecho de las personas con discapacidad a la privacidad de su hogar y correspondencia, así como a su honra y reputación. En particular, el párrafo segundo establece una obligación de los Estados de “proteger la privacidad de la información personal y relativa a la salud y a la rehabilitación de las personas con discapacidad en igualdad de condiciones con las demás”
Convenio 108
Fue el primer instrumento internacional jurídicamente vinculante adoptado en el ámbito de la protección de datos. De acuerdo con su artículo primero tiene por objeto garantizar, en el territorio de cada Parte, a cualquier persona física sean cuales fueren su nacionalidad o su residencia, el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona (“protección de datos"). El 28 de septiembre de 2018 se publicó en el DOF el decreto Promulgatorio del Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, hecho en Estrasburgo, Francia, el veintiocho de enero de mil novecientos ochenta y uno.
19
Consejo de Europa, el veintiocho de junio de 2019. Este instrumento supone una serie de beneficios para el Estado mexicano en términos políticos y económicos, así como para las personas, toda vez que los instrumentos regulan un derecho humano fundamental.
Los instrumentos jurídicos referidos demuestran el compromiso del Estado Mexicano con la garantía efectiva del derecho a la protección de datos personales y los derechos a la privacidad y la vida privada.
Asimismo, es importante mencionar los que EPDP fueron elaborados por la RIPD durante el período en que esta fue presidida por el INAI dando lugar a la emisión de una serie de disposiciones modernas que establecen un conjunto de principios y derechos de protección de datos personales que los Estados Iberoamericanos puedan adoptar y desarrollar en su legislación nacional, con la finalidad de garantizar un debido tratamiento de los datos personales.
3. Análisis del estado de cumplimiento de derechos humanos en el México
En lo que concierne a la exigibilidad de los derechos humanos en México, los resultados son encontrados. Por una parte, el marco jurídico federal y estatal es muy completo e integra de manera directa los principales instrumentos de derechos humanos. De manera coherente, los criterios jurisprudenciales del máximo tribunal, la SCJN, así como de algunos tribunales de segunda instancia, han reforzado la adopción de los estándares internacionales de los derechos humanos. En ese sentido, el PJF ha enfatizado en diversos precedentes16 la necesidad de garantizar el “núcleo esencial” de los derechos sociales y reconoce la interdependencia plena de los derechos humanos.17 Sin embargo, en la práctica, existen muchos casos documentados donde las víctimas de violaciones de derechos enfrentan dificultades para acceder a recursos judiciales efectivos, incluyendo el juicio de Amparo. Y cuando acceden, muchas veces las sentencias emitidas carecen de cumplimiento
16 DERECHOS ECONÓMICOS, SOCIALES Y CULTURALES. DEBER DE PROTEGER DE MANERA INMEDIATA SU NÚCLEO ESENCIAL. Esta Suprema Corte de Justicia de la Nación ha sostenido que los derechos sociales atribuyen un deber incondicional de proteger su núcleo esencial. Así, dichos derechos imponen un deber de resultado, esto es, el Estado mexicano tiene el deber de garantizar de manera inmediata la protección del núcleo esencial de los derechos sociales. Esta obligación se justifica porque existen violaciones tan graves a los derechos sociales que no sólo impiden a las personas gozar de otros derechos, sino que atacan directamente su dignidad, luego se entiende que se viola el núcleo esencial de los derechos sociales cuando la afectación a éstos, atenta la dignidad de las personas. Por tanto, los tribunales, en cada caso, deberán valorar si la afectación a un derecho social es de tal gravedad que vulnera la dignidad de las personas y de ser así, deberán declarar que se viola el núcleo esencial de ese derecho y ordenar su inmediata protección. Vid Tesis: 1a. CXXIV/2017 (10a.), Primera Sala, Décima Época, Libro 46, Septiembre de 2017, Tomo I, Gaceta del Semanario Judicial de la Federación, p. 217. 17 DERECHOS ECONÓMICOS, SOCIALES Y CULTURALES. SU NÚCLEO O CONTENIDO ESENCIAL. En algunas circunstancias, la protección a los derechos fundamentales constituye un gran reto para el Estado y sus autoridades, máxime respecto de los derechos económicos, sociales y culturales, cuyo contenido suele ser indeterminado y circunstancial que no permite determinar los alcances de su protección. Es por ello que, en muchas ocasiones, la actividad jurisdiccional tiene la función de determinar el contenido, alcances, así como los límites de estos derechos fundamentales, constituyendo una función esencial para el desarrollo y el progreso de un verdadero Estado democrático. En ese sentido, para determinar los elementos mínimos necesarios para exigir un derecho fundamental, es necesario identificar el denominado "núcleo o contenido esencial de los derechos fundamentales"; esto es, aquella parte del contenido del derecho que es absolutamente necesaria para que los intereses jurídicamente protegidos que le dan vida resulten real, concreta y efectivamente protegidos. De lo que se concluye que las autoridades desconocen la protección a un derecho fundamental cuando por alguna circunstancia su contenido esencial queda sometido a limitaciones que impiden su ejercicio, lo dificultan más allá de lo razonable, o bien, lo despojan de una necesaria protección. Vid Tesis: 2a. XCII/2016 (10a.), Tesis Aislada, Segunda Sala Décima Época, Libro 34, Septiembre de 2016, Tomo I, Libro 34, Septiembre de 2016, Tomo I, p. 842.
20
efectivo. Por ejemplo, el Comité de Derechos Económicos, Sociales y Culturales, en sus Observaciones finales sobre a los informes periódicos quinto y sexto combinados de México (2018) —relativo a los informes que México debía entregar en 2012, pero consignó 4 años después— recomendó, entre otras cuestiones, la adopción de las medidas necesarias para garantizar la exigibilidad y capacitar a los actores jurídicos involucrados.
VIII. Sobre el Capítulo II del WP 254: Procedimiento para declarar el nivel de protección adecuado
La CE, para evaluar el nivel de protección existente en terceros países, debe consultar al CEPD, tal y como señala la fracción s del apartado 1 del artículo 70 del RGPD18:
s) facilitará a la Comisión un dictamen para evaluar la adecuación del nivel de protección en un tercer país u organización internacional, en particular para evaluar si un tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o una organización internacional, ya no garantizan un nivel de protección adecuado. A tal fin, la Comisión facilitará al Comité toda la documentación necesaria, incluida la correspondencia con el gobierno del tercer país, que se refiera a dicho tercer país, territorio o específico o a dicha organización internacional;
Tras la consulta al CEPD –que seguirá en su análisis lo previsto por el WP 254, la CE, según lo establecido en el artículo 45.3 del RGPD, podrá adoptar una Decisión –como acto de ejecución– en la que establezca que un país tercero garantiza un nivel de protección adecuado:
3. La Comisión, tras haber evaluado la adecuación del nivel de protección, podrá decidir, mediante un acto de ejecución, que un tercer país, un territorio o uno o varios sectores específicos de un tercer país, o una organización internacional garantizan un nivel de protección adecuado a tenor de lo dispuesto en el apartado 2 del presente artículo. El acto de ejecución establecerá un mecanismo de revisión periódica, al menos cada cuatro años, que tenga en cuenta todos los acontecimientos relevantes en el tercer país o en la organización internacional. El acto de ejecución especificará su ámbito de aplicación territorial y sectorial, y, en su caso, determinará la autoridad o autoridades de control a que se refiere el apartado 2, letra b), del presente artículo. El acto de ejecución se adoptará con arreglo al procedimiento de examen a que se refiere el artículo 93, apartado 2.
Para mayor detalle remitimos al lector a la consulta del apartado VI relativo al concepto de adecuación.
18 Vid también Considerando 105 del RGPD. “(…) La Comisión debe consultar al Comité al evaluar el nivel de protección existente en terceros países u organizaciones internacionales”.
21
IX. Sobre el Capítulo III del WP 254 En este apartado se analiza la forma en la que la normatividad mexicana aplicable a los sectores público y privado cumple con los siguientes requerimientos previstos en el WP 254: 1. Consideraciones preliminares
A. Ámbito de aplicación 2. Principios relativos al contenido
A. Conceptos (definiciones) B. Fundamentos del tratamiento lícito y leal para fines legítimos C. Principio de limitación de la finalidad D. Principio de calidad de los datos y proporcionalidad E. Principio de retención de datos F. Principio de seguridad y confidencialidad G. Principio de transparencia H. Derecho de acceso, rectificación, supresión y oposición I. Restricciones a transferencias ulteriores
3. Ejemplos de principios de contenido adicionales que deben aplicarse a tipos específicos de
tratamiento A. Categorías especiales de datos B. Mercadotecnia directa C. Decisiones automatizadas y elaboración de perfiles
4. Mecanismos relativos al procedimiento y la ejecución:
A. Autoridades de control competentes independientes B. El sistema de protección de datos debe garantizar un buen nivel de cumplimiento C. Responsabilidad proactiva D. El sistema de protección de datos debe ofrecer apoyo y ayuda a los interesados
individuales en el ejercicio de sus derechos y mecanismos de reclamación adecuados
1. Consideraciones preliminares
A. Ámbito de aplicación Sin lugar a duda, uno de los principales problemas a los que se puede enfrentar la normatividad mexicana aplicable para el sector privado en el marco del examen de adecuación radica en dejar fuera de la aplicación de la actual regulación a las sociedades de información crediticia.
Debe recordarse que la normatividad de datos personales aplicable para sector privado es de observancia obligatoria para todos los particulares – personas físicas o morales – que lleven a cabo el tratamiento de datos personales. Sin embargo, la LFPDPPP, en su artículo 2, prevé dos excepciones. Estas excepciones excluyen del ámbito de aplicación de la LFPDPPP a las sociedades
22
de información crediticia y a las personas que realicen tratamientos de datos para fines de uso personal y sin fines de divulgación o utilización comercial. Para efectos de la comparación, reproducimos a continuación las disposiciones relativas al ámbito de aplicación material tanto de la legislación mexicana como del RGPD:
LFPDPPP RGPD
Artículo 2.– Son sujetos regulados por esta Ley, los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, con excepción de: I. Las sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables, y II. Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.
Artículo 2. 1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. 2. El presente Reglamento no se aplica al tratamiento de datos personales: a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión; b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE; c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas; d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.
En particular, el hecho de que las sociedades de información crediticia estén fuera del ámbito de aplicación de la normatividad de datos personales significa que los tratamientos de aquellos datos personales en su posesión estarán sujetos a las leyes específicas que las regulan. En virtud de lo anterior, el propósito de este apartado es presentar un análisis de las disposiciones existentes en la normatividad aplicable para las sociedades de información crediticia cuyo objeto es la protección de datos personales. De un análisis integral de la Ley para Regular las Sociedades de Información Crediticia (“LSIC”), puede advertirse que en lo que refiere a la materia de protección de datos personales, se encuentran regulados los siguientes aspectos:
1) Seguridad de la información. La LSIC obliga a las sociedades de información crediticia a
adoptar las medidas de seguridad y control que resulten necesarias para evitar el manejo indebido de la información19.
2) Calidad. La LSIC prevé un plazo de conservación de la información de los titulares de 72
meses20, lo cual podría equipararse como un intento de cumplir con el principio de
19 Se entiende por uso o manejo indebido de la información cualquier acto u omisión que cause daño en su patrimonio, al sujeto del que se posea información, así� como cualquier acción que se traduzca en un beneficio patrimonial a favor de los funcionarios y empleados de la Sociedad o de esta última, siempre y cuando no se derive de la realización propia de su objeto. 20 Artículo 23.- Las Sociedades están obligadas a conservar los historiales crediticios que les sean proporcionados por los Usuarios, correspondientes a cualquier persona física o moral, al menos durante un plazo de setenta y dos meses.
23
calidad, pero, evidentemente sin tener el alcance que tiene dicho principio en términos de la LFPDPPP. Asimismo, la LSIC obliga a las sociedades de mantener la información de los usuarios correcta y actualizada.
3) Acceso. Los titulares tienen derecho a la información contenida en el reporte de crédito
que generen las sociedades de información crediticia.
4) Consentimiento. A la información en posesión de las sociedades de información crediticia únicamente pueden acceder aquellos terceros que cuenten con la autorización del titular.
5) Rectificación. Los titulares tienen derecho de solicitar a una sociedad de información
crediticia la rectificación de la información contenida en el reporte de crédito21.
6) Confidencialidad. Las sociedades de información crediticia se sujetan a la obligación de secreto bancario22 para proteger la confidencialidad de la información de los titulares.
Como puede advertirse, la LSIC contiene disposiciones muy limitadas en lo que respecta a la materia de protección de datos personales, quedando las sociedades reguladas por dicha Ley con mínimas obligaciones en lo que refiere a la materia objeto de análisis. Antes de identificar las posibles implicaciones que pudiere tener en la evaluación de adecuación la situación actual en la que se encuentran las sociedades de información crediticia en lo que refiere a la tutela del derecho de protección de datos personales, es fundamental entender el papel que hoy en día juegan estas sociedades en cualquier economía, ya que esto fue uno de los factores que se consideraron en México para excluir del ámbito de aplicación de la LFPDPPP a dichas sociedades. Las sociedades de información crediticia son un jugador vital en cualquier sociedad en virtud de que mitigan riesgos para el sistema financiero mediante el conocimiento de la situación crediticia de las personas. Es por esta razón que en México se optó por regular a estas sociedades de manera
Las Sociedades podrán eliminar del historial crediticio del Cliente aquella información que refleje el cumplimiento de cualquier obligación, después de setenta y dos meses de haberse incorporado tal cumplimiento en dicho historial. 21 Artículo 40. …Las Sociedades estarán obligadas a: a) Enviar o a poner a disposición de los Clientes, junto con cada Reporte de Crédito Especial, un resumen de sus derechos y de los procedimientos para acceder y, en su caso, rectificar los errores de la información contenida en dicho documento; b) Mantener a disposición del público en general el contenido del resumen mencionado, y c) Poner a disposición del público en general en forma fácil y accesible, el significado de las claves que se utilicen en los Reportes de Crédito Especiales y mantener actualizada en todo momento dicha información. 22 Artículo 38.- Con excepción de la información que las Sociedades proporcionen en los términos de esta ley y de las disposiciones generales que se deriven de ella, serán aplicables a las Sociedades, a sus funcionarios y a sus empleados las disposiciones legales relativas al Secreto Financiero, aun cuando los mencionados funcionarios o empleados dejen de prestar sus servicios en dichas Sociedades. Los Usuarios de los servicios proporcionados por las Sociedades y cualquier otra persona distinta del Cliente que tenga acceso a sus Reportes de Crédito o Reportes de Crédito Especiales, así� como los funcionarios, empleados y prestadores de servicios de dichos Usuarios y personas, deberán guardar confidencialidad sobre la información contenida en los referidos reportes y no utilizarla en forma diferente a la autorizada. Artículo 40.- Los Clientes tendrán el derecho de solicitar a la Sociedad su Reporte de Crédito Especial, a través de las unidades especializadas de la Sociedad, de las Entidades Financieras o de las Sofomes E.N.R. o, en el caso de Empresas Comerciales, a través de quienes designen como responsables para esos efectos. Dichas unidades especializadas y los responsables mencionados estarán obligados a tramitar las solicitudes presentadas por los Clientes, así� como a informarles el número telefónico a que hace referencia el penúltimo párrafo de este artículo.
24
distinta al resto de los sujetos, puesto que se pensó que sujetarlas a la regulación de datos personales hubiere implicado un obstáculo para el cumplimiento de su objeto. Desafortunadamente, dicha decisión no fue del todo adecuada, ya que, como veremos más adelante, los regímenes de protección de datos personales europeos, al momento de regular a las sociedades de información crediticia, buscaron lograr un equilibrio para garantizar el derecho humano de protección de datos personales, pero que a su vez les permitiera a dichas sociedades seguir cumpliendo con su objeto principal. En Europa esto se logró, a diferencia de lo ocurrido en México, en optar por sujetar a las sociedades de información crediticia al cumplimiento total de las normatividades de datos personales con reglas específicas que les facilitara el cumplimiento de su objeto sin menoscabar el derecho de protección de datos personales. Así, en la actualidad los países bajo el régimen del RGPD obligan a las sociedades de información crediticia a cumplir con la totalidad de las obligaciones previstas en dicho ordenamiento, lo cual representa una diferencia significativa a lo que actualmente está regulado en México, ya que, como hemos analizado, las disposiciones que en materia de protección de datos personales están contenidas en la LSIC son muy limitadas, y por ello puede afirmarse que la regulación actual en México para las sociedades de información crediticia en materia de protección de datos personales es de un nivel inferior al existente en Europa. Esta conclusión fue alcanzada por el propio Consejo de Europa como parte de la Opinión que emitió en respuesta a la solicitud presentada por México de adhesión al Convenio 108, a través de la cual, en relación con el tema de la regulación actual existente en México a la que están sujetas las sociedades de información crediticia, señaló que esta no ofrece las garantías tuteladas en la LFPDPPP y que dicha situación tendría que ser considerada por México. Así, podemos afirmar que en las normatividades europeas de protección de datos personales las sociedades de información crediticia tienen las mismas obligaciones que cualquier otro ente que trata datos personales, pero con la adición de reglas específicas que permitan a las sociedades de información crediticia cumplir con su objeto sin menoscabar el derecho de protección de datos personales. Por ejemplo, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales española establece en lo que refiera a las sociedades de información crediticia las siguientes obligaciones específicas:
Artículo 20. Sistemas de información crediticia. 1. Salvo prueba en contrario, se presumirá lícito el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia cuando se cumplan los siguientes requisitos: a) Que los datos hayan sido facilitados por el acreedor o por quien actúe por su cuenta o interés. b) Que los datos se refieran a deudas ciertas, vencidas y exigibles, cuya existencia o cuantía no hubiese sido objeto de reclamación administrativa o judicial por el deudor o mediante un procedimiento alternativo de resolución de disputas vinculante entre las partes. c) Que el acreedor haya informado al afectado en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas, con indicación de aquéllos en los que participe. La entidad que mantenga el sistema de información crediticia con datos relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito deberá notificar al afectado la inclusión de tales datos y le informará sobre la posibilidad de ejercitar los
25
derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 dentro de los treinta días siguientes a la notificación de la deuda al sistema, permaneciendo bloqueados los datos durante ese plazo. d) Que los datos únicamente se mantengan en el sistema mientras persista el incumplimiento, con el límite máximo de cinco años desde la fecha de vencimiento de la obligación dineraria, financiera o de crédito. e) Que los datos referidos a un deudor determinado solamente puedan ser consultados cuando quien consulte el sistema mantuviese una relación contractual con el afectado que implique el abono de una cuantía pecuniaria o este le hubiera solicitado la celebración de un contrato que suponga financiación, pago aplazado o facturación periódica, como sucede, entre otros supuestos, en los previstos en la legislación de contratos de crédito al consumo y de contratos de crédito inmobiliario. Cuando se hubiera ejercitado ante el sistema el derecho a la limitación del tratamiento de los datos impugnando su exactitud conforme a lo previsto en el artículo 18.1.a) del Reglamento (UE) 2016/679, el sistema informará a quienes pudieran consultarlo con arreglo al párrafo anterior acerca de la mera existencia de dicha circunstancia, sin facilitar los datos concretos respecto de los que se hubiera ejercitado el derecho, en tanto se resuelve sobre la solicitud del afectado. f) Que, en el caso de que se denegase la solicitud de celebración del contrato, o éste no llegara a celebrarse, como consecuencia de la consulta efectuada, quien haya consultado el sistema informe al afectado del resultado de dicha consulta. 2. Las entidades que mantengan el sistema y las acreedoras, respecto del tratamiento de los datos referidos a sus deudores, tendrán la condición de corresponsables del tratamiento de los datos, siendo de aplicación lo establecido por el artículo 26 del Reglamento (UE) 2016/679. Corresponderá al acreedor garantizar que concurren los requisitos exigidos para la inclusión en el sistema de la deuda, respondiendo de su inexistencia o inexactitud. 3. La presunción a la que se refiere el apartado 1 de este artículo no ampara los supuestos en que la información crediticia fuese asociada por la entidad que mantuviera el sistema a informaciones adicionales a las contempladas en dicho apartado, relacionadas con el deudor y obtenidas de otras fuentes, a fin de llevar a cabo un perfilado del mismo, en particular mediante la aplicación de técnicas de calificación crediticia.
Como puede advertirse del citado artículo, las sociedades de información crediticia sujetas al régimen europeo están plenamente reguladas por lo que a la hora de valorar si México cumple con los requisitos exigidos por la Unión Europea en relación con el régimen bajo el cual están regulados las sociedades de información crediticia es claro que esto no es así, por lo que resultará fundamental que México prevea alternativas para subsanar esta omisión.
2. Principios relativos al contenido
A. Conceptos De acuerdo con lo previsto en las Referencias WP 254 (rev.01), para garantizar que el nivel de protección de datos en un tercer país es esencialmente equivalente al establecido por la legislación de la UE, en primer lugar, “deben existir una serie de conceptos o principios básicos sobre protección de datos. Estos no deben imitar la terminología del RGPD, pero deben reflejar los conceptos consagrados en la legislación europea en materia de protección de datos y ser
26
coherentes con ellos. A modo de ejemplo, el RGPD incluye los siguientes conceptos importantes: «datos personales», «tratamiento de datos personales», «responsable del tratamiento», «encargado del tratamiento», «destinatario» y «datos sensibles». Procede, por tanto, examinar el elenco de conceptos sobre los que la normatividad mexicana asienta el régimen de protección de los datos de carácter personal, prestando especial atención a aquellos que se mencionan expresamente en el documento del GT29, ahora asumido por el CEPD.
a) Datos personales Lo primero que hay que subrayar es que la definición de “datos personales” contenida en la LFPDPPP es conceptualmente homogénea a la del RGPD. La caracterización de los datos personales como “cualquier información concerniente a una persona física identificada o identificable” coincide semánticamente con el contenido del primer inciso del apartado primero del artículo del RGPD.23 La precisión complementaria establecida en la fracción VIII del artículo 2 del RLFPDPPP acerca de que “persona física identificable” es “toda persona física cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información” especifica el sentido de esta relevante categoría en términos equivalentes a los previstos en el apartado primero del artículo 4 del RGPD. Únicamente la afirmación recogida en la fracción VIII del artículo 2 del RLFPDPPP in fine, conforme a la cual “no se considera persona física identificable cuando para lograr la identidad de ésta se requieran plazos o actividades desproporcionadas”, presenta hoy en día un ligero matiz diferenciador respecto del planteamiento seguido por el RGPD y el TJUE para deslindar negativamente la noción de persona identificable. Aunque el RGPD nada dice al respecto en su articulado, sí se ocupa de esta cuestión en el considerando 26 cuando indica que “para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tectológicos.” Y el TJUE se ha pronunciado sobre este particular en la Sentencia de 19 de octubre de 201624 que, si bien versa sobre la anterior Directiva, establece una doctrina que claramente tenía también el RGPD en su visor. En ella, el TJUE, al evaluar cuándo se ha de considerar que un medio “pueda ser razonablemente utilizado para identificar al interesado” considera que no estamos ante tal supuesto “cuando la identificación del interesado esté prohibida por la ley o sea prácticamente irrealizable, por ejemplo, porque implique un esfuerzo desmesurado en cuanto a tiempo, costes y recursos humanos, de modo que el riesgo de identificación sea en realidad insignificante” (ap.46). A
23 Artículo 4 RGPD: A efectos del presente Reglamento se entenderá por: 1) «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona; 24 STJUE de 19 de octubre de 2016, Asunto C-582/14, Breyer, ECLI:EU:C:2016:779
27
la vista de todo ello, cabe sostener que el enunciado de la fracción VIII del artículo 2 del RLFPDDPPP, a pesar de su diferente tenor literal, puede ser interpretado en un sentido equivalente al criterio empleado tanto por el RGPD como por el TJUE para deslindar negativamente los supuestos de “identificabilidad” de las personas físicas.
Mayor grado de coincidencia hay aún en la caracterización de “datos personales” contenida en la fracción IX del artículo 3 de la LGPDPPSO que los define como: “Cualquier información concerniente a una persona física identificada o identificable. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información”. El hecho de que, a diferencia del artículo 4.1) RGPD, no se relacionen ejemplos de identificadores no reviste mayor importancia dado que sólo tienen carácter ejemplificativo y, en todo caso, se pueden subsumir en la cláusula general “a través de cualquier información”.
Cabe concluir, en consecuencia, que la noción de “datos personales” con la que opera la normatividad mexicana es plenamente equivalente a la acogida en la regulación de la UE, por lo que en este punto no existe asimetría alguna sino todo lo contrario: homogeneidad.
b) Tratamiento
El RGPD determina la noción de “tratamiento” mediante una técnica de doble paso. Primero perfila el concepto en términos abstractos, definiéndolo como “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjunto de datos personales ya sea por procedimientos automatizados o no”. Y, en segundo lugar, suministra una larga lista (no exhaustiva) de operaciones que constituyen ejemplos de tratamientos: la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.25
El ordenamiento mexicano utiliza una técnica distinta, pero con resultados materialmente equiparables. Comenzando por la normativa aplicable a los particulares, la fracción XVIII del artículo 3 de la LFPDPPP define tratamiento como “La obtención, uso, divulgación o almacenamiento de datos personales por cualquier medio” Y, a continuación, precisa que “El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales”. Si bien el elenco de las operaciones descritas es mucho más reducido que el del RGPD, el empleo de fórmulas tan amplias como “cualquier acción” y “cualquier medio” permite conferirle un alcance coextenso con el del RGPD, abarcando todas las operaciones en él descritas, ya se realicen por procedimiento automatizados o no.
En la LGPDPPSO, la definición de tratamiento figura en la fracción XXXII de su artículo 3 en los siguientes términos: “Cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales o automatizados aplicados a los datos personales, relacionadas con la obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación, difusión, almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o
25 Cfr. Artículo 4, apartado 2) del RGPD
28
disposición de datos personales”. En este caso, el tenor literal de la definición podría dar pie a una interpretación que le confiere un ámbito menor al que tiene en la regulación de la UE, en la medida en que se entienda que sólo abarca las operaciones “relacionadas” con las actividades que expresamente se mencionan. El carácter aparentemente tasado de esta relación podría dejar fuera actividades típicas de tratamiento en el ordenamiento europeo como pueden ser la supresión o la destrucción.
Aunque no se trata de una asimetría esencial, debería ser corregida en las directrices de aplicación o mediante una interpretación vinculante del INAI.
c) Responsable del tratamiento
Las definiciones del concepto de “responsable del tratamiento” o “responsable” en la legislación mexicana son materialmente equivalentes a la europea. La LFPDPPP en la fracción XIV de su artículo 3 atribuye la condición de responsable a “la persona física o moral de carácter privado que decide sobre el tratamiento de datos personales”. La LGPDPPSO, por su parte, caracteriza en la fracción XXVIII de su artículo 3 como responsables a “Los sujetos obligados […] que deciden sobre el tratamiento de datos personales”.
Con arreglo al RGPD, el “responsable” es la persona física o jurídica, autoridad pública, servicio u organismo que, sólo o junto con otros, “determine los fines y los medios del tratamiento”.26 El elemento esencial de esta definición es que se trata de la persona que toma las decisiones sobre qué datos se tratan, con qué medios y para qué fines, por lo que las sintéticas fórmulas de las leyes mexicanas (“que decide”, “que deciden”) condensan el sentido básico de la noción de responsable propia del RGPD y acotan en términos equivalentes quiénes asumen la posición jurídica de tales a efectos de la exigencia de responsabilidad y de ser los destinatarios principales de las obligaciones establecidas por la normativa de protección de datos.
d) Encargado
La LFPDPPP define al “encargado” en la fracción IX de su artículo 3 como “La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable”; y el artículo 49 RLFPDPPP precisa aún más el concepto al señalar que “El encargado es la persona física o moral, pública o privada, ajena a la organización del responsable, que sola o conjuntamente con otras, trata datos personales por cuenta del responsable, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.” A su vez, la LGPDPPSO establece en la fracción XV de su artículo 3 que por “encargado” se entenderá “La persona física o jurídica, pública o privada, ajena a la organización del responsable, que sola o conjuntamente con otras trate datos personales a nombre y por cuenta del responsable”.
26 Artículo 4. Apartado 7) del RGPD: «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;
29
En estas definiciones se da paralelismo casi absoluto con la noción de “encargado” o “encargado del tratamiento” expresada en el apartado 8) del artículo 4 del RGPD.27 El elemento esencial que caracteriza la posición jurídica del encargado es que no toma decisiones sobre los tratamientos, sino que los lleva a cabo “por cuenta del responsable”, en virtud de lo establecido en un contrato u otro acto jurídico vinculante.
e) Destinatario
El RGPD emplea el concepto de “destinatario” en un sentido amplio para designar a la persona, autoridad o ente público a la que se comunican datos personales. 28 Se trata de un concepto genérico, que no depende de la posición jurídica del receptor ni de las consecuencias jurídicas de la comunicación. Abarca, en consecuencia, tanto a terceros en sentido estricto como a encargados y a responsables sucesivos. En el sistema europeo esta categoría desempeña un papel de identificación muy relevante en relación con el cumplimiento de las obligaciones, particularmente en las relativas a la transparencia y al deber de información. Opera también en el contexto de la exigencia de responsabilidades y cumple una función auxiliar para facilitar el ejercicio de los derechos por los interesados. La normativa mexicana no acoge la categoría de destinatario. Esta asimetría sin embargo no será relevante si la regulación de los elementos subjetivos permite individualizar de manera apropiada a los distintos sujetos comprendidos en la categoría de “destinatarios” a efectos de dotar de transparencia a los tratamientos, imputar las obligaciones correspondientes y proteger adecuadamente los derechos de los interesados.
f) Datos sensibles La tradicional categoría de los “datos sensibles” no aparece expresamente definida en el RGPD y tampoco figura como tal en su articulado. El RGPD, como incidentalmente se adelanta en el considerando 10 emplea otra noción, la de “categorías especiales de datos personales” como sinónima de la usual categoría de “datos sensibles”. Con todo, vuelve a aludir a ella en el considerando 51 al proclamar que “los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riegos para los derechos y las libertades fundamentales” merecen “especial protección”. 27 Artículo 4.8) RGPD: «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento; 28 Artículo 4. 9) RGPD: «destinatario»: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento;
30
Cuáles son esas “categorías especiales” de datos personales considerados “particularmente sensibles”, viene especificado en el artículo 9 a saber: los “que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.” Categorías todas ellas para la que el mismo artículo 9 establece un régimen reforzado de protección, que parte de una prohibición general de los tratamientos y sólo admite un elenco tasado de excepciones. Más adelante se analizará el contenido de este régimen especial de protección y el grado de correspondencia que encuentra en el mexicano. Dado que este apartado tiene por objeto valorar la correspondencia entre los conceptos utilizados en ambos ordenamientos, por lo que En este punto se trata tan sólo de determinar si el ordenamiento mexicano reconoce la categoría y si es similar o no su contenido. La LFPDPPP sí incorpora expresamente en sus definiciones la de “datos personales sensibles” en su articulado. Utiliza una técnica normativa distinta a la del RGPD, pero el contenido otorgado a la categoría es equiparable. En la fracción VI de su artículo 3, en primer lugar, delimita en términos generales la noción de dato sensible recurriendo a tres criterios que cubren un área muy amplia: a) que afecten a la “esfera más íntima de su titular”; b) que la utilización indebida pueda dar origen a discriminación”; c) que “[la utilización indebida] conlleve un riesgo grave para éste [su titular]”. Y a continuación proporciona una relación no tasada (“en particular”) de categorías de datos que se consideran sensibles: “aquellos que puedan revelar aspectos como el origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual”. De la simple comparación de este catálogo con el enunciado en el artículo 9 del RGPD se constata un alto grado de coincidencia. No obstante, se echa en falta la mención de los “datos biométricos”,29 cuyo tratamiento se ha desarrollado ampliamente en los últimos años. Esta asimetría se puede considerar reducible en la medida en que cabe incluir los datos biométricos entre aquellos “cuya utilización indebida conlleve un riesgo grave” para su titular. Sin embargo, con ello no se lograría una correspondencia plena ya que, con arreglo a la concepción subyacente en el RGPD, cualquier tratamiento (no sólo los indebidos) de datos biométricos comporta un importante riesgo para los derechos y las libertades fundamentales de las personas y, por tanto, están sometidos a un régimen agravado de protección. No obstante, pese a no estar plenamente reconocidos como “datos sensibles” en la normatividad, el INAI, a través de la Guía para el tratamiento de datos biométricos, ha esclarecido que “si bien los datos biométricos no están mencionados de manera expresa en el listado de datos personales sensibles, ello no implica que no se puedan considerar como tal bajo ciertas circunstancias.”30
29 Definidos en el artículo 4. 11 RGPD en los siguientes términos: «datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos. 30 Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), Guía para el tratamiento de datos biométricos, 2018, p. 19, disponible en http://inicio.ifai.org.mx/DocumentosdeInteres/GuiaDatosBiometricos_Web_Links.pdf
31
Cuanto se acaba de decir vale también para la definición de “datos personales sensibles” recogida en el artículo 3. X LGPDPPSO dada su correspondencia casi literal. Cuestión aparte plantea el régimen singular de los datos personales relativos a “condenas e infracciones penales o medidas de seguridad conexas” que, si bien no están entre las “categorías especiales de datos personales” del artículo 9 RGPD, sí cuentan con un régimen especial de protección en el artículo 10 en atención al elevado riesgo que su tratamiento comporta para los afectados. Ni la LFPDPPP ni la LGPDPPSO hacen referencia a estas categorías por lo que en este punto existe una carencia. La ausencia de mención expresa, sólo dejaría de ser relevante si el ordenamiento jurídico mexicano proporciona en otros textos normativos una protección equivalente a la del RGPD.
B. Fundamentos del Tratamiento El sistema europeo de protección de datos personales se asienta sobre el principio de que todo tratamiento, para ser lícito, ha de contar con una base legalmente reconocida que lo legitime. En correspondencia con ello, en la Referencias WP 254 se establecen las siguientes directrices para evaluar el nivel de protección de un tercer Estado:
“El tratamiento de los datos debe ser lícito, leal y legítimo. Las bases legítimas, según las cuales el tratamiento de los datos personales puede ser lícito, leal y legítimo, deben establecerse de manera clara. El marco europeo reconoce varios de estos fundamentos legítimos, incluidas disposiciones en el Derecho nacional, el consentimiento del interesado, la ejecución de un contrato o los intereses legítimos del responsable del tratamiento o de una tercera parte que no prevalezcan sobre los intereses del interesado.”
En estas directrices se condensan los elementos esenciales de la regulación contenida en el inciso a) del apartado 1 del artículo 5 del RGPD y el inciso a) del apartado 1 del artículo 6. En el apartado 1) del artículo 5 del RGPD se establecen los principios generales que han de regir todos los tratamientos de datos personales, el primero de los cuales es el de “licitud”.31 El artículo apartado 1 de su artículo 6 RGPD concreta el principio de licitud al establecer que el tratamiento de datos personales “solo será lícito” si se cumple al menos una de las seis “condiciones” que expresamente relaciona32, determinando así que cualquier actividad de tratamiento, para ser lícita, ha de descansar en alguna de las bases o supuestos habilitantes estipulados con carácter tasado.
31 Artículo 5 RGPD: Los datos personales serán: tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”) […] 32 Artículo 6.1 RGPD: 1.El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
32
El primer supuesto habilitante es que el interesado haya dado su consentimiento al tratamiento de sus datos con fines específicos (letra a). Las otras cinco bases no tienen carácter absoluto sino que se hacen depender de que los tratamientos sean necesarios para alcanzar determinadas finalidades, a saber: la ejecución de un contrato en el que el interesado sea parte o la aplicación a petición suya de medidas precontractuales (letra b), el cumplimiento de una obligación legal aplicable al responsable (letra c), proteger intereses vitales del interesado o de otra persona física (letra e), el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable (letra d) o, por último, la satisfacción de intereses legítimos perseguidos por el responsable o por un tercero siempre que sobre ellos no prevalezcan los intereses, derechos y libertades de los interesados (letra f). Es necesario tener presente que los presupuestos de las letras c) y e) no constituyen bases por sí mismos, sino que remiten al derecho de los Estados o de la Unión, que son quienes han de concretar las obligaciones legales y las misiones en interés público que justifican el tratamiento de los datos personales. Por otra parte, es preciso advertir que la base de la letra f), si bien confiere cierta flexibilidad al sistema al permitir tratar datos personales sin el consentimiento del afectado ni una habilitación legal específica cuando sea necesario para perseguir intereses legítimos, exige que los intereses legítimos perseguidos sean lo suficientemente relevantes como para prevalecer sobre los intereses o los derechos y libertades fundamentales de los interesados. La regulación de la legitimidad de los tratamientos en el régimen mexicano responde a un planteamiento parcialmente distinto, más próximo al de las hoy derogadas Directiva 95/46/CE y la española Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, que al planteamiento que subyace al RGPD. En este sentido, la característica principal (y, a la vez, la más diferenciadora) es que la normatividad mexicana sitúa el consentimiento del interesado (titular) como base principal de la legitimidad de los tratamientos, cuando en el modelo europeo es una base más entre las varias admitidas en el apartado primero del artículo 6 del RGPD, relevante por su naturaleza, pero sin corresponderle una posición jerárquica superior ni un papel central. La regulación mexicana, en cambio, se articula en torno a un régimen de regla-excepción, en el que la regla es el consentimiento y, a partir de ella, se establecen una serie de supuestos en los que es legítimo tratar datos personales sin el consentimiento del titular. Así se deriva, tanto de la fracción primear del artículo 8 de la LFPDPPP (“Todo tratamiento de datos personales estará sujeto al consentimiento de su titular, salvo las excepciones previstas por la presente ley”), como de lo previsto en la primera fracción del artículo 20 de la LGPDPPSO que señala lo siguiente:
“Cuando no se actualicen algunas de las causales de excepción previstas en el artículo 22 de la presente Ley, el responsable deberá contar con el consentimiento previo del titular para el tratamiento de los datos personales […]”)
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.
33
Pero una vez constatada esta asimetría, antes de examinar el alcance de las excepciones admitidas y su correspondencia con el régimen europeo es necesario detenerse en el análisis de los requisitos exigidos para que el consentimiento sea válido. A este respecto, es preciso tener presente que el RGPD ha endurecido sensiblemente las condiciones de validez del consentimiento. En el apartado 11 de su artículo 4 se define como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. Junto a ello, el RGPD exige en el inciso a) apartado 1 de su artículo 6 que el consentimiento se haya otorgado “para uno o varios fines específicos” y dedica los artículos 733, 834 y 9.2 a)35 a establecer las condiciones específicas en las que ha de ser otorgado.36 Pues bien, dejando a un lado las particularidades del consentimiento de los menores de edad y del referido a datos pertenecientes a categorías especiales (“datos sensibles”), con carácter general, para que el consentimiento sea considerado válido se requiere que la manifestación de voluntad por la que el interesado acepta el tratamiento de los datos que le conciernen reúna las siguientes condiciones: a) que sea libre, esto es manifestada sin coacción o en situación de desequilibrio claro (considerando 43) y sin condicionalidad (apartado 4 del artículo 7); b) que sea específica, esto es, referida al tratamiento para uno o varios fines específicos (artículos 6, apartado 1, inciso a y apartado 2 del artículo 7; c) que el interesado haya sido informado previamente conforme a lo 33 Artículo 7 RGPD: Condiciones para el consentimiento 1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales. 2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento. 3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo. 4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato. 34 Artículo 8 RGPD: Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información 1. Cuando se aplique el artículo 6, apartado 1, letra a), en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó. Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años. 2. El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible. 3. El apartado 1 no afectará a las disposiciones generales del Derecho contractual de los Estados miembros, como las normas relativas a la validez, formación o efectos de los contratos en relación con un niño. 35 Artículo 9 RGPD: Tratamiento de categorías especiales de datos personales 1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física. 2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes: a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado; 36 Para la interpretación del contenido de estos preceptos véase el documento del GT 29 “Directrices sobre el consentimiento en el sentido del Reglamento UE 2016/679” (WP 259, rev. 1)
34
previsto en los artículos 12 y 13 (como mínimo de la identidad del responsable y de los fines del tratamiento, tal y como exige el considerando 4237); y d) que la manifestación de voluntad sea inequívoca, esto es, que consista en una “clara acción afirmativa” como establece el apartado 11 del artículo 4., o en un “acto afirmativo claro” como se dice en el considerando 32 38 , donde expresamente se descarta que “el silencio, las casillas ya marcadas o la inacción” sean fórmulas válidas para obtener el consentimiento. En la normatividad mexicana el consentimiento se define en unos términos un tanto vagos en la fracción IV del artículo 3 de la LFPDPPP como “Manifestación de voluntad del titular de los datos mediante la cual se efectúa el tratamiento de los mismos” y, con algo más de precisión, en la fracción VIII del artículo 3 de la LGPDPPSO como “Manifestación de la voluntad libre, específica e informada del titular de los datos mediante la cual se efectúa el tratamiento de los mismos”. En el primer caso se echan en falta los requisitos de que ha de ser “libre, específica, informada e inequívoca”, y en el segundo la exigencia de que sea “inequívoca”. La ausencia de los atributos del consentimiento en la LFPDPPP, sin embargo, es compensada en su Reglamento en cuyo artículo 12 39 se precisa que la obtención del consentimiento debe ser libre, específica e informada, concretando el sentido de cada uno de estos requisitos. En cuanto a la regulación complementaria de la prestación del consentimiento, en el artículo 8 de la LFPDPPP se admiten dos modalidades de prestación: a) expreso “cuando la voluntad se manifieste verbalmente, por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos” y b) tácito “cuando habiéndose puesto a su disposición el aviso de privacidad, no manifieste su oposición”. Para los datos financieros o patrimoniales se requiere que sea expreso,
37 Considerando 42 RGPD: “Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento. En particular en el contexto de una declaración por escrito efectuada sobre otro asunto, debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace. De acuerdo con la Directiva 93/13/CEE del Consejo (1), debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.” 38 Considerando 32 RGPD: “El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.” 39 Artículo 12 RLFPDPPP: La obtención del consentimiento tácito o expreso deberá ser: I. Libre: sin que medie error, mala fe, violencia o dolo, que puedan afectar la manifestación de voluntad del titular; II. Específica: referida a una o varias finalidades determinadas que justifiquen el tratamiento, y III. Informada: que el titular tenga conocimiento del aviso de privacidad previo al tratamiento a que serán sometidos sus datos personales y las consecuencias de otorgar su consentimiento. El consentimiento expreso también deberá ser inequívoco, es decir, que existan elementos que de manera indubitable demuestren su otorgamiento.
35
salvo cuando se aplique alguna de las excepciones al consentimiento. En el caso de los datos personales sensibles, el artículo 9 endurece el régimen y exige que el responsable obtenga el consentimiento “expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica o cualquier mecanismo de autenticación que al efecto se establezca”. La LGPDPPSO, por su parte, precisa en el artículo 20 el significado de los requisitos de que el consentimiento se otorgue de forma libre, específica e informada en unos términos que se pueden considerar equiparables a los expresados en el RGPD. En el artículo 21 dispone que el consentimiento puede ser prestado tanto de forma expresa como tácita, describiendo ambas modalidades en términos similares a los de la LFPDPPP. Añade, sin embargo, que “por regla general será válido el consentimiento tácito, salvo que la ley o las disposiciones aplicables exijan que la voluntad del titular se manifieste expresamente”. Y, al igual que la LFPDPPP, exige el consentimiento expreso y por escrito para el tratamiento de los datos sensibles, salvo en los casos en los que la misma ley permite tratar los datos sin consentimiento. Como puede apreciarse, son varias y notables las asimetrías existentes entre la normatividad mexicana y la europea en lo tocante a la regulación del consentimiento como base de legitimación de los tratamientos de datos personales. Pero, entre todas ellas, la más relevante, hasta el punto de que puede erigirse en un obstáculo serio para el reconocimiento de un nivel de protección equivalente es la aceptación de la prestación del consentimiento de manera tácita, entendiéndose que el titular consiente el tratamiento de sus datos simplemente cuando, habiéndose puesto a su disposición el aviso de privacidad, “no manifieste su oposición”, como enuncia el artículo 8 de la LFPDPPP, o “no manifieste su voluntad en sentido contrario” como prevé el artículo 21 de la LGPDPPSO, precepto éste último que, además, eleva el consentimiento tácito a la categoría de regla general. A este respecto, hay que tener en cuenta que uno de los objetivos declarados de la reforma de la regulación europea materializada con el RGPD fue, precisamente, el de introducir mayores garantías en relación con la prestación del consentimiento, con el fin de que asegurar que el interesado sea plenamente consciente de que efectivamente lo otorga y de cuál es su contenido y alcance. Esta cuestión fue una de las más debatidas en el proceso de elaboración del RGPD y, tras descartarse otras fórmulas, se optó por mantener la exigencia ya presente en la Directiva 95/46/CE de que el consentimiento ha de ser “inequívoco” (unambiguous) para ser considerado válido, pero dejando muy claro cuál es el sentido que se confiere al término, con el fin de evitar las discrepancias interpretativas habidas en el pasado. De ahí que, como ya se ha reseñado, en la propia definición del consentimiento en el apartado 11) del artículo 4 se especifique que la voluntad por la que se acepta el tratamiento de los datos personales se ha de manifestar “mediante una declaración o una clara acción afirmativa”. Y de ahí también que en el considerando 32 antes citado se establezca con claridad que “el consentimiento debe darse mediante un acto afirmativo claro”, admitiéndose a estos efectos diversas modalidades de declaración o conductas, siempre que “indique(n) claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales”. Y, por si aún quedaba alguna duda, se concluye afirmando que “Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento”. La claridad y la contundencia de estas manifestaciones no dejan el más mínimo resquicio para considerar que un consentimiento tácito –al modo en el que se admite en la legislación mexicana o de cualquier otro pueda considerarse válido como base legitimadora de los tratamientos de datos de carácter personal–.
36
Por otro lado, la normatividad mexicana prevé una serie de supuestos en los que se considera lícito el tratamiento de datos sin contar con el consentimiento del titular. Formalmente se configuran como excepciones al requisito del consentimiento, pero, en realidad, constituyen otras tantas bases de legitimación de los tratamientos. La LFPDPPP incorpora dos listados de excepciones: uno genérico en el artículo 10 y otro específico para las transferencias en el artículo 37 que, sin embargo, presentan gran semejanza. Siguiendo el mismo enfoque, la LGPDPPSO establece las excepciones generales a la regla del consentimiento en el artículo 22 y las específicas para las transferencias en el artículo 70. Habida cuenta del alto grado de similitud entre las excepciones preceptuadas en una y otra ley, procederemos a examinar en paralelo su compatibilidad con el régimen del RGPD. La primera disonancia apreciable deriva de la legitimación de los tratamientos sin consentimiento cuando los disponga o los prevea una Ley (o un Tratado), tal y como se establece en la LFPDPPP (fracción I del artículo 10 y fracción I del artículo 37) y la LGPDPPSO (fracción I del artículo 22 y fracción I del artículo 70). En el régimen del RGPD la habilitación legal no es admitida en sí misma como una base de legitimación. Para que un tratamiento se pueda considerar legítimo no basta con una mera previsión legal, sino que, además, tendrá que ser “necesario para el cumplimiento de una obligación legal aplicable al responsable” (incuso del apartado 1 del artículo 6 del RGPD), o ser “necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”. El matiz es relevante porque, si bien tanto la obligación como la misión en interés público o la atribución de poderes públicos han de estar establecidas en una ley, no se confiere al legislador libertad para legitimar tratamientos de datos personales con otros fines. Igualmente, problemática resulta la legitimación incondicionada de los tratamientos de “datos que figuren en fuentes de acceso público” reconocida en el artículo 10. II LFPDPPP y en el artículo 22.VIII LGPDPPSO. En el ordenamiento europeo no se contempla esta base. Que los datos figuren en fuentes de acceso público es un factor que valorar en el marco de la ponderación necesaria cuando se recurre a la base del interés legítimo de la letra f) del artículo 6.1 RGPD, pero no legitima directamente cualquier tratamiento de los mismos. Por último, también está en discordancia con el derecho de la UE la excepción acogida en la fracción III del artículo 37 de la LFPDPPP, que autoriza las transferencias nacionales o internacionales sin el consentimiento del titular “Cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas”. Dejando un lado la cuestión de las transferencias internacionales que se tratará en otro apartado, con arreglo al derecho europeo las empresas pertenecientes al mismo grupo tienen la consideración de “terceros”, por lo que el tratamiento consistente en transmitirles datos personales necesita una base de legitimación propia. A estos efectos, se admite el recurso a la base del “interés legítimo” para la transmisión de datos personales dentro de un grupo empresarial “para fines administrativos, incluido el tratamiento de datos personales de clientes o empleados” (considerando 48 RGPD)40, 40 48) Los responsables que forman parte de un grupo empresarial o de entidades afiliadas a un organismo central pueden tener un interés legítimo en transmitir datos personales dentro del grupo empresarial para fines administrativos internos, incluido el tratamiento de datos personales de clientes o empleados. Los principios generales aplicables a la transmisión de datos personales, dentro de un grupo empresarial, a una empresa situada en un país tercero no se ven afectados.
37
pero únicamente con estos fines. En consecuencia, la legitimación para ceder datos personales a sociedades del mismo grupo conferida por la fracción III del artículo 37 de la LFPDPPP, en todo lo que exceda de la transmisión de datos para fines administrativos, resulta incompatible con el RGPD. Por lo anterior, se considera que para que cualquier cesión (transferencia) de datos entre empresas de un mismo grupo o entidades afiliadas a un organismo central para ser lícita habrá de ampararse en un interés legítimo del responsable en transmitir los datos exclusivamente para fines administrativos internos sin que pueda advertirse una equivalencia con los supuestos previstos en la fracción II del artículo 37 de la LFPDPPP.
C. Limitación de la finalidad
Entre los principios generales por los que se han de regir los tratamientos de datos personales, ocupa un lugar destacado el de “limitación de la finalidad”, enunciado en la letra b) del artículo 5.1 RGPD, conforme al cual los datos deben ser “recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines”. Su objetivo no es otro que el de impedir que el responsable disponga de un señorío pleno sobre el uso de los datos, en detrimento del poder de decisión y control del titular que constituye la esencia del derecho fundamental.
En concordancia con el contenido del inciso b) aparatado 1 del artículo 5 del RGPD, en las Referencias del WP 254 se incluye el “Principio de limitación de la finalidad” entre los parámetros para la evaluación de la protección equivalente de un tercer país, indicando que “los datos deben ser tratados para un fin específico y utilizados posteriormente sólo en la medida en que esto no sea incompatible con el fin del tratamiento”.
El ordenamiento mexicano incorpora en su legislación este fundamental principio. En lo que respecta a los tratamientos realizados en el sector privado, el artículo 12 de la LFPDPPP establece con rotundidad que “El tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas en el aviso de privacidad”. Y, a continuación, dispone que “Si el responsable pretende tratar los datos para un fin distinto que no resulte compatible o análogo a los fines establecidos en aviso de privacidad, se requerirá obtener nuevamente el consentimiento del titular. Por otra parte, la exigencia de que el fin sea específico y esté determinado con carácter previo al inicio del tratamiento –que ya aparece implícita en el artículo de la 12 LFPDPPP al remitir al aviso de privacidad–, se plasma con minuciosidad en el artículo 40 del RLFPDPPP, en el que se estipula que, para los efectos de lo previsto en el artículo de la 12 LFPDPPP, “ la finalidad o las finalidades establecidas en el aviso de privacidad deberán ser determinadas”, precisando incluso cómo se logra cumplir con la exigencia de determinación: “cuando con claridad, sin lugar a confusión y de manera objetiva se especifica para qué objeto serán tratados los datos personales”. Y el artículo 41 refuerza aún más la obligación de determinar los fines de los tratamientos al prescribir que “El responsable identificará y distinguirá en el aviso de privacidad entre las finalidades que dieron origen y son necesarias para la relación jurídica entre el responsable y el titular, de aquéllas que no lo son.”
En lo que concierne a los tratamientos realizados por responsables pertenecientes al sector público, el artículo 18 de la LGPDPPSO impone la limitación de las finalidades con una técnica distinta. No
38
remite al aviso de privacidad, sino que emplea una fórmula que ofrece cierta similitud con los enunciados del RGPD, en cuanto dispone que “Todo tratamiento de datos personales que efectúe el responsable deberá estar justificado por finalidades concretas, lícitas, explícitas y legítimas, relacionadas con las atribuciones que la normatividad aplicable les confiera”. Y el artículo 9 de los LGPDPSP se encarga de precisar escrupulosamente el sentido en el que se deben entender los atributos “concretas”, “lícitas”, “explicitas” y “legítimas” para cumplir con la obligación impuesta por el artículo 18 de la LGPDPPSO.41
Pero, más allá de las exigencias relativas a la determinación inicial de los fines del tratamiento, es necesario tener en cuenta que, el RGDP presta una especial atención a la hipótesis de un posible uso ulterior de los datos personales con finalidades distintas. A este respecto la regla general es la expresada en el propio inciso b) apartado 1 del artículo según la cual se prohíbe todo tratamiento ulterior que no sea compatible con los fines del tratamiento originario. No obstante, no se trata de una regla absoluta, y en el mismo apartado del artículo 5 se reconoce la compatibilidad del “el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos”, reenviando a lo establecido en al artículo 89. Por otra parte, el RGPD flexibiliza en el apartado 4 del artículo 642 la prohibición general derivada del principio de limitación de finalidad al proporcionar una serie de criterios con arreglo a los cuales los responsables pueden valorar si un tratamiento ulterior con otro fin es o no compatible con el inicial. En esta suerte de “test de compatibilidad” previsto en el apartado 4 del artículo 6 del RGPD se deberán tener en cuenta entre otras cosas: la relación entre el fin primigenio y el ulterior; el contexto de la recogida de datos; la naturaleza de los datos; las consecuencias que sobre el interesado tendrá el tratamiento ulterior; y la existencia de garantías adecuadas, por ejemplo, el cifrado o la seudonimización. Además, es obligado informar al interesado con anterioridad al tratamiento ulterior y podrá, lógicamente, ejercer sus derechos, entre ellos, el de oposición.
La LFPDPPP no hace girar el tratamiento ulterior sobre el juicio de compatibilidad del responsable, sino sobre el consentimiento del interesado, tal y como se preceptúa el artículo 12, que dispone que 41 Principio de finalidad Artículo 9. Para efectos de lo previsto en el articulo 18, primer párrafo de la Ley General y los presentes Lineamientos generales, se entenderá� que las finalidades son: l. Concretas: cuando el tratamiento de los datos personales atiende a la consecución de fines específicos o determinados, sin que admitan errores, distintas interpretaciones o provoquen incertidumbre, dudas o confusión en el titular; II. Explícitas: cuando las finalidades se expresan y dan a conocer de manera clara en el aviso de privacidad; III. Licitas: cuando las finalidades que justifican el tratamiento de los datos personales son acordes con las atribuciones o facultades del responsable, conforme a lo previsto en la legislación mexicana y el derecho internacional que le resulte aplicable, IV. Legítimas: cuando las finalidades que motivan el tratamiento de los datos personales se encuentran habilitadas por el consentimiento del titular, salvo que se actualice alguna de las causales de excepción previstas en el articulo 22 de la Ley General. 42 Artículo 6.4 RGPD: Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas: a) cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto; b) el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento; c) la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10; d) las posibles consecuencias para los interesados del tratamiento ulterior previsto; e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.
39
“Si el responsable pretende tratar los datos para un fin distinto que no resulte compatible o análogo a los fines establecidos en aviso de privacidad, se requerirá obtener nuevamente el consentimiento del titular”. Esta exigencia que, en principio, es más garantista que el sistema europeo resulta sin embargo en parte relativizada en la fracción I del artículo 43 del RLFPDPPP en la medida en que habilita el tratamiento ulterior con fines distintos sin el consentimiento del titular cuando “lo permita de forma explícita una ley o reglamento”. El carácter general e incondicionado de esta previsión puede suscitar algunas dudas en la medida en que se entienda que existe una discrecionalidad absoluta para habilitar por ley o por reglamento tratamientos ulteriores con fines incompatibles con el originario. A este respecto, hay que tener presente que el RGPD si bien también prevé en el apartado 4 de su artículo 6 que el Derecho de la UE o de los Estados pueden autorizar tratamientos ulteriores con otros fines, somete esta habilitación al requisito de que “constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23” (interés público).
La LGPDPPSO es más garantista a este respecto por cuanto en su artículo 18 condiciona los tratamientos ulteriores para finalidades distintas a las establecidas en el aviso de privacidad al doble requisito que el responsable cuente con atribuciones legales y medie el consentimiento del titular, salvo el caso singular de las personas reportadas como desaparecidas.43 Sin embargo, el artículo 10 LGPDPSP en abierta contradicción con su literalidad, flexibiliza el régimen de los tratamientos ulteriores, reconociendo al responsable la facultad de tratar los datos “para finalidades distintas a aquéllas que motivaron su tratamiento original” valorando una serie de elementos que tienen gran similitud con los que integran el test de compatibilidad del artículo 6.4 RGPD.44
En todo caso, sin perjuicio de las disonancias reseñadas, cabe concluir que la normatividad mexicana reconoce el principio de limitación de la finalidad con un contenido y alcance ampliamente equiparable al del Derecho de la UE.
43 Artículo 18 LGPDPSO […] El responsable podrá tratar datos personales para finalidades distintas a aquéllas establecidas en el aviso de privacidad, siempre y cuando cuente con atribuciones conferidas en la ley y medie el consentimiento del titular, salvo que sea una persona reportada como desaparecida, en los términos previstos en la presente Ley y demás disposiciones que resulten aplicables en la materia 44 Artículo 10 LGPDPSP: Tratamiento para finalidades distintas Artículo 10. En el tratamiento de datos personales para finalidades distintas a aquellas que motivaron su tratamiento original a que se refiere el articulo 18, segundo párrafo de la Ley General, el responsable deberá� considerar: l. La expectativa razonable de privacidad del titular basada en la relación que tiene con éste; II. La naturaleza de los datos personales; III. Las consecuencias del tratamiento posterior de los datos personales para el titular, y IV. Las medidas adoptadas para que el tratamiento posterior de los datos personales cumpla con las disposiciones previstas en la Ley General y los presentes Lineamientos generales.
40
D. Principio de calidad de los datos y proporcionalidad
El RGPD establece en la letra d) del apartado 1 del artículo el principio de “exactitud” de los datos, que viene a sustituir al tradicional principio de “calidad”. En este sentido, establece que los datos personales deberán ser “exactos y, si fuera necesario, actualizados” por lo que, los responsables “adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan”. El principio de exactitud de los datos y las obligaciones que del él se desprenden se correlacionan directamente con el derecho de rectificación previsto en el artículo 16 RGPD.
En el WP 254 este principio figura como “principio de calidad de los datos” y se ciñe a indicar que “Los datos deberán ser precisos y, en caso necesario, se mantendrán actualizados”.
En el ordenamiento mexicano este principio goza de pleno reconocimiento. En primer lugar, en la LFPDPPP, en cuyo artículo 11 se dispone que “El responsable procurará que los datos personales contenidos en las bases de datos sean pertinentes, correctos y actualizados para los fines para los cuales fueron recabados”. El contenido de este mandato se precisa y refuerza en el artículo 36 del RLFPDPPP al establecer que “Se cumple con el principio de calidad cuando los datos personales tratados sean exactos, completos, pertinentes, correctos y actualizados según se requiera para el cumplimiento de la finalidad para la cual son tratados.”
La correspondencia con el RGPD se da también en relación con las obligaciones de exactitud/corrección/compleción de los datos. De un lado, como hemos señalado, la LFPDPPP ordena en el artículo 11 al responsable que mantenga los datos actualizados. De otro, el RLFPDPPP exige que el responsable, cuando los datos no fueron obtenidos del titular, adopte las “medidas razonables” para que respondan al principio de calidad y, con carácter general, le impone la obligación de adoptar los “mecanismos necesarios” para procurar que los datos sean “exactos, completos, pertinentes, correctos y actualizados”45 En ese mismo artículo 36 se establece una presunción de exactitud cuando los datos son aportados por el titular, presunción que decae por rectificación de este o “evidencia objetiva” en contrario.
La LGPDPPSO es más incisiva aún y en su artículo 23 estipula que los datos han de mantenerse “exactos, completos, correctos y actualizados”.46 Establece también la presunción de veracidad de 45 Artículo 36 RLFPDPPP: Se cumple con el principio de calidad cuando los datos personales tratados sean exactos, completos, pertinentes, correctos y actualizados según se requiera para el cumplimiento de la finalidad para la cual son tratados. Se presume que se cumple con la calidad en los datos personales cuando éstos son proporcionados directamente por el titular, y hasta que éste no manifieste y acredite lo contrario, o bien, el responsable cuente con evidencia objetiva que los contradiga. Cuando los datos personales no fueron obtenidos directamente del titular, el responsable deberá adoptar medidas razonables para que éstos respondan al principio de calidad, de acuerdo con el tipo de datos personales y las condiciones del tratamiento. El responsable deberá adoptar los mecanismos que considere necesarios para procurar que los datos personales que trate sean exactos, completos, pertinentes, correctos y actualizados, a fin de que no se altere la veracidad de la información, ni que ello tenga como consecuencia que el titular se vea afectado por dicha situación. 46 Artículo 23 LGPDPPSO: El responsable deberá adoptar las medidas necesarias para mantener exactos, completos, correctos y actualizados los datos personales en su posesión, a fin de que no se altere la veracidad de éstos. Se presume que se cumple con la calidad en los datos personales cuando éstos son proporcionados directamente por el titular y hasta que éste no manifieste y acredite lo contrario.
41
los datos proporcionados por el titular, si bien esta presunción se mantiene solo hasta que el titular “manifieste y acredite lo contrario” o el responsable cuente con una “evidencia objetiva que lo contradiga”. Junto a ello, el artículo 21 de los LGPDPSP aporta precisión al establecer la definición de las nociones sobre las que se asientan las obligaciones de los responsables.47 Y en el artículo 22 refuerzan la obligación del responsable de adoptar medidas que garanticen la calidad de los datos cuando no hubieran sido obtenidos directamente del titular.48
En suma, la normatividad mexicana es equivalente a la europea en lo referente al reconocimiento del principio de exactitud o calidad de los datos personales que se tratan.
E. Principio de proporcionalidad
El RGPD incorpora el principio de proporcionalidad en la letra c) del apartado 1 del artículo 5 bajo la nueva denominación sintética de “minimización de datos”, preceptuando que los datos personales deberán ser “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”. Este principio se proyecta en múltiples manifestaciones concretas a lo largo del articulado del RGPD, tanto en lo relacionado con el ejercicio de los derechos de los interesados como en lo relativo a las obligaciones de responsables y encargados
Al respecto, el WP254 se acoge en esencia el contenido del artículo 5.1 c) RGPD, si bien con una redacción aún tributaria de la literalidad de la Directiva 95/46/CE al indicarse que “Los datos deberán ser adecuados, pertinentes y no excesivos con respecto a los fines para los que se traten.”
En el ordenamiento mexicano el principio de proporcionalidad tiene amplio reconocimiento. De entrada, el artículo 11 de la LFPDPPP acoge ya en parte el principio de proporcionalidad al exigir que los datos contenidos en las bases sean “pertinentes” y al ordenar la cancelación cuando “hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas por el aviso de privacidad”. Luego, en el artículo 13 de la LFPDPPP consagra una definición canónica de este principio al establecer que “El tratamiento de datos personales será el que resulte necesario, adecuado y relevante en relación con las finalidades previstas en el aviso de privacidad” (y, en un sentido casi idéntico, se expresa el artículo 45 del RLFPDPPP49). Junto a ello, se hace una mención expresa a los datos sensibles, en relación con los cuales el responsable “deberá realizar esfuerzos razonables para limitar el periodo de tratamiento de los mismos a efecto de que sea el mínimo indispensable”. Y, finalmente, la correspondencia del ordenamiento mexicano con la garantía del
47 Articulo 21 LGPDPSP: Para efectos del artículo 23 de la Ley General y los presentes Lineamientos generales, se entenderá que los datos personales son: I. Exactos y correctos: cuando los datos personales en posesión del responsable no presentan errores que pudieran afectar su veracidad; II. Completos: cuando su integridad permite el cumplimiento de las finalidades que motivaron su tratamiento y de [as atribuciones del responsable, y III. Actualizados: cuando los datos personales responden fielmente a la situación actual del titular 48 Articulo 21 LGPDPSP: Cuando los datos personales fueron obtenidos indirectamente del titular, el responsable deberá adoptar medidas de cualquier naturaleza dirigidas a garantizar que éstos responden al principio de calidad, de acuerdo con la categoría de datos personales y las condiciones y medios del tratamiento. 49 Artículo 45 RLFPDPPP: Sólo podrán ser objeto de tratamiento los datos personales que resulten necesarios, adecuados y relevantes en relación con las finalidades para las que se hayan obtenido.
42
principio de proporcionalidad establecida en el derecho de la UE se refuerza con el artículo 46 del RLFPDPPP, que impone al responsable la obligación de “realizar esfuerzos razonables para que los datos personales tratados sean los mínimos necesarios de acuerdo con la finalidad del tratamiento que tenga lugar”50, con lo que, en línea con el RGPD equipara proporcionalidad a “minimización de datos”.
La LGPDPPSO sigue la misma tónica de correspondencia al ofrecer un concepto meridiano de proporcionalidad en el artículo 25: “El responsable sólo deberá tratar los datos personales que resulten adecuados, relevantes y estrictamente necesarios para la finalidad que justifica su tratamiento”. Y los LGPDPSP contribuyen a su efectividad, precisando su sentido en el artículo 2451 e imponiendo un mandato claro de minimización en el 2552.
Se constata en consecuencia un alto grado de correspondencia entre la normatividad mexicana y lo estipulado en el RGPD en relación con el principio de proporcionalidad de los datos.
F. Principio de retención de datos
El principio de “limitación del plazo de conservación” es una manifestación específica del principio de proporcionalidad, que en el apartado 1.e) del artículo 5 del RGPD se articula con una regla general que obliga a no mantener los datos personales “de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento”. Sin solución de continuidad, el RGPD establece, sin embargo, una excepción, permitiéndose la conservación “durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos […]”.
En el WP254 se alude a este principio bajo la vieja denominación de “principio de retención de datos”, especificando que “por regla general, los datos deben almacenarse durante un período no superior al necesario para los fines para los que se tratan”
En plena correspondencia con las exigencias derivadas del principio de limitación de la conservación, la LFPDPPP ordena en su artículo 11, como ya se ha señalado al examinar el principio de proporcionalidad, la cancelación de los datos de carácter personal cuando “hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas por el aviso de privacidad y las disposiciones legales aplicables”.53 Por su parte, el artículo 37 del RLFPDPPP reitera esta
50 Artículo 46 RLFPDPPP: El responsable deberá realizar esfuerzos razonables para que los datos personales tratados sean los mínimos necesarios de acuerdo con la finalidad del tratamiento que tenga lugar. 51 Artículo 24 LGPDPSP: En términos del artículo 25 de la Ley General y los presentes Lineamientos generales, se entenderá� que los datos personales son adecuados, relevantes y estrictamente necesarios cuando son apropiados, indispensables y no excesivos para el cumplimiento de las finalidades que motivaron su obtención, de acuerdo con las atribuciones conferidas al responsable por la normatividad que le resulte aplicable 52 Artículo 25 LGPDPSP: El responsable deberá realizar esfuerzos razonables para limitar los datos personales tratados al mínimo necesario, con relación a las finalidades que motivan su tratamiento. 53 Además, incluye una limitación temporal específica para lo datos relativos a obligaciones contractuales: “El responsable de la base de datos estará obligado a eliminar la información relativa al incumplimiento de obligaciones contractuales, una vez que transcurra un plazo de setenta y dos meses, contado a partir de la fecha calendario en que se presente el mencionado incumplimiento”
43
obligación de cancelar cuando se ha cumplido la finalidad, añadiendo la exigencia de un bloqueo previo de los datos54. Este artículo, no obstante, admite excepciones “cuando no exista disposición legal o reglamentaria que establezca lo contrario” cuya generalidad puede resultar inapropiada si se entiende desvinculada de un fin de interés general.
La LGPDPPSO también impone en su artículo 23 un inequívoco mandato de supresión al señalar: “Cuando los datos personales hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas en el aviso de privacidad”, previo bloqueo en su caso, añadiendo que “los plazos de conservación de los datos personales no deberán exceder aquéllos que sean necesarios para el cumplimiento de las finalidades que justificaron su tratamiento, y deberán atender a las disposiciones aplicables en la materia de que se trate y considerar los aspectos administrativos, contables, fiscales, jurídicos e históricos de los datos personales”.
Finalmente, los LGPDPSP determinan en el artículo 23 que el responsable deberá establecer “políticas, métodos y técnicas” para que la supresión se lleve a cabo de modo irreversible con seguridad y confidencialidad, de modo que la probabilidad de recuperarlos o reutilizarlos sea mínima, proporcionando una serie de indicaciones al respecto.55
De todo ello se deriva que el ordenamiento mexicano regula el principio de limitación de la conservación de los datos personales en términos ampliamente coincidentes con los del derecho de la UE.
G. Principio de seguridad y confidencialidad El WP254 indica que el sistema de un tercer país u organización internacional debe incluir los principios de seguridad y confidencialidad de modo tal que, cualquier entidad que trate datos personales debe garantizar que estos son tratados de tal manera que se garantice su seguridad, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidentales, mediante la aplicación de medidas técnicas u organizativas adecuadas.
54 Artículo 37 RLFPDPPP: Los plazos de conservación de los datos personales no deberán exceder aquéllos que sean necesarios para el cumplimiento de las finalidades que justificaron el tratamiento, y deberán atender las disposiciones aplicables a la materia de que se trate, y tomar en cuenta los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Una vez cumplida la o las finalidades del tratamiento, y cuando no exista disposición legal o reglamentaria que establezca lo contrario, el responsable deberá proceder a la cancelación de los datos en su posesión previo bloqueo de los mismos, para su posterior supresión. 55 Artículo 23 LGPDPSP: En la supresión de los datos personales a que se refiere el articulo 23, párrafo tercero de la Ley General, el responsable deberá� establecer políticas, métodos y técnicas orientadas a la supresión definitiva de éstos, de tal manera que la probabilidad de recuperarlos o reutilizarlos sea mínima. En el establecimiento de las políticas, métodos y técnicas a que se refiere el párrafo anterior, el responsable deberá� considerar, al menos, los siguientes atributos y el o los medios de almacenamiento, físicos y/o electrónicos en los que se encuentren [os datos personales: I. Irreversibilidad: que el proceso utilizado no permita recuperar los datos personales; II. Seguridad y confidencialidad: que en la eliminación definitiva de [os datos personales se consideren los deberes de confidencialidad y seguridad a que se refieren la Ley General y los presentes Lineamientos generales, y III. Favorable al medio ambiente: que el método utilizado produzca el mínimo de emisiones y desperdicios que afecten el medio ambiente.
44
Asimismo, el WP 254 añade que el nivel de seguridad debe tener en cuenta el estado de la técnica y los costes relacionados. Al respecto, el inciso f del apartado 1) del artículo 5 del RGPD establece que los responsables deben cumplir con los principios de integridad y confidencialidad de modo que, se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas. Dada la existencia de disposiciones reguladoras independientes en México, en las secciones siguientes se analiza la forma en la cual la normatividad nacional acoge los principios de seguridad y confidencialidad (deberes en la normatividad vigente) y de qué forma sus disposiciones pueden corresponden o ser equivalentes con las del RGPD.
a) Normatividad del sector privado En la LFPDPPP el principio de seguridad se conoce “deber de seguridad” y constituye una obligación que los responsables y encargados del tratamiento deben observar durante todo el ciclo de vida de la información.
Artículo 19.- Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado. Los responsables no adoptarán medidas de seguridad menores a aquellas que mantengan para el manejo de su información. Asimismo, se tomará en cuenta el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico.
Por su parte, el RLFPDPPP establece que este deber aplica tanto a los responsables como encargados del tratamiento y los obliga al establecimiento de medidas de seguridad administrativas, físicas y técnicas para la protección de datos personales:
Artículo 57. El responsable y, en su caso, el encargado deberán establecer y mantener las medidas de seguridad administrativas, físicas y, en su caso, técnicas para la protección de los datos personales, con arreglo a lo dispuesto en la Ley y el presente Capítulo, con independencia del sistema de tratamiento. Se entenderá por medidas de seguridad para los efectos del presente Capítulo, el control o grupo de controles de seguridad para proteger los datos personales. Lo anterior sin perjuicio de lo establecido por las disposiciones vigentes en materia de seguridad emitidas por las autoridades competentes al sector que corresponda, cuando éstas contemplen una protección mayor para el titular que la dispuesta en la Ley y el presente Reglamento.
En relación con lo anterior, podemos señalar que el contenido de la LFPDPPP es asimilable con el del RGPD en lo que concierne al establecimiento del deber de seguridad y su alcance.
45
Respecto del contenido concreto del deber de seguridad tomando como referencia el RGPD podemos señalar que dicha norma y las disposiciones de la LFPDPPP y su Reglamento guardan un alto grado de suficiencia con RGPD al reflejar de forma particular la forma en la cual se considera que los responsables y encargados del tratamiento deben cumplir con esta obligación. A efectos de evaluar, la forma en la que se cumple con la obligación de seguridad de datos personales en la normatividad mexicana se presenta la siguiente tabla con comentarios prácticos en los que se explica la forma en la cual este deber es cumplido en la práctica, y en su caso si se identifica la existencia de asimetrías:
Cumplimiento del deber de seguridad RGPD RLFPDPPP Comentarios
Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la
naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán
medidas técnicas y organizativas apropiadas para garantizar un nivel de
seguridad adecuado al riesgo (apartado 1 del artículo 32 del RGPD)
Factores para determinar las medidas de seguridad
Artículo 60. El responsable determinará las medidas de seguridad aplicables a
los datos personales que trate, considerando los siguientes factores: I. El riesgo inherente por tipo de dato
personal; II. La sensibilidad de los datos
personales tratados; III. El desarrollo tecnológico, y
IV. Las posibles consecuencias de una vulneración para los titulares.
De manera adicional, el responsable procurará tomar en cuenta los
siguientes elementos: I. El número de titulares;
II. Las vulnerabilidades previas ocurridas en los sistemas de
tratamiento; III. El riesgo por el valor potencial
cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para
su posesión, y IV. Demás factores que puedan incidir en el nivel de riesgo o que resulten de otras leyes o regulación aplicable al
responsable.
Aunque los factores para considerar la seguridad de datos del artículo 60 del RLFPDPPP no son idénticos a RGPD
pueden ser equivalentes.
Para cumplir este deber el INAI ha emitido las Recomendaciones
siguientes:
-Recomendaciones en materia de Seguridad de Datos Personales
publicadas el 30 de octubre de 2013.
- Recomendaciones para el Manejo de Incidentes de Seguridad.
-Guía para el Borrado Seguro de Datos
Personales
-Guía para la Implementación del Sistema de Gestión de Seguridad de
Datos Personales.
Manual en materia de seguridad de datos personales para MIPYMES y
organizaciones pequeñas
Manual en materia de seguridad basada en un entorno Microsoft® para
MiPyMEs y organizaciones pequeñas mexicanas
-Tabla de equivalencia funcional entre estándares de seguridad y la LFPDPPP, su Reglamento y las Recomendaciones
en materia de seguridad de datos personales - Completa
-Metodología de Análisis de Riesgo
BAA
46
Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la
naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán
medidas técnicas y organizativas apropiadas para garantizar un nivel de
seguridad adecuado al riesgo que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso
de incidente físico o técnico; d)un proceso de verificación, evaluación
y valoración regulares de la eficacia de las medidas técnicas y
organizativas para garantizar la seguridad del tratamiento.
(apartado 1 del artículo 32 del RGPD)
Acciones para la seguridad de los datos personales
Artículo 61. A fin de establecer y mantener la seguridad de los datos personales, el responsable deberá considerar las siguientes acciones: I. Elaborar un inventario de datos personales y de los sistemas de
tratamiento; II. Determinar las funciones y
obligaciones de las personas que traten datos personales;
III. Contar con un análisis de riesgos de datos personales que consiste en
identificar peligros y estimar los riesgos a los datos personales;
IV. Establecer las medidas de seguridad aplicables a los datos personales e
identificar aquéllas implementadas de manera efectiva;
V. Realizar el análisis de brecha que consiste en la diferencia de las medidas
de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales; VI. Elaborar un plan de trabajo para la
implementación de las medidas de seguridad faltantes, derivadas del
análisis de brecha; VII. Llevar a cabo revisiones o
auditorías; VIII. Capacitar al personal que efectúe
el tratamiento, y IX. Realizar un registro de los medios
de almacenamiento de los datos personales.
El responsable deberá contar con una relación de las medidas de seguridad derivadas de las fracciones anteriores.
Aunque las medidas de seguridad no son idénticas se puede señalara que existe un grado de equivalencia entre las mismas ya que la implementación
de un SGSDP conforme a la metodología recomendada por el INAI
puede incluir medidas como la seudonimización y el cifrado, aunque no
estén previstas en el RLFPDPPP.
Para verificar el cumplimiento de la normatividad, el RLFPDPPP también
recomienda auditorías.
2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en
cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o
tratados de otra forma, o la comunicación o acceso no autorizados
a dichos datos.
(apartado 2 del artículo 32 del RGPD)
Factores para determinar las medidas de seguridad
Artículo 60. El responsable determinará las medidas de seguridad aplicables a
los datos personales que trate, considerando los siguientes factores: I. El riesgo inherente por tipo de dato
personal; II. La sensibilidad de los datos
personales tratados; III. El desarrollo tecnológico, y
IV. Las posibles consecuencias de una vulneración para los titulares.
De manera adicional, el responsable procurará tomar en cuenta los
siguientes elementos: I. El número de titulares;
II. Las vulnerabilidades previas ocurridas en los sistemas de
tratamiento;
Se puede considerar que existe equivalencia entre ambas
normatividades ya que la fracción I del artículo 60 del RLFPDPPP ordena
considerar el riesgo inherente al tipo de dato personal, así como el riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales
tratados para una tercera persona no autorizada para su posesión, y
47
III. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran
tener los datos personales tratados para una tercera persona no autorizada para
su posesión, y IV. Demás factores que puedan incidir en el nivel de riesgo o que resulten de otras leyes o regulación aplicable al
responsable.
3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a
tenor del artículo 42 podrá servir de elemento para demostrar el
cumplimiento de los requisitos establecidos en el apartado 1 del
presente artículo.
(apartado 3 del artículo 32 del RGPD)
Artículo 44.- Las personas físicas o morales podrán convenir entre ellas o
con organizaciones civiles o gubernamentales, nacionales o
extranjeras, esquemas de autorregulación vinculante en la materia, que complementen lo
dispuesto por la presente Ley. Dichos esquemas deberán contener
mecanismos para medir su eficacia en la protección de los datos,
consecuencias y medidas correctivas eficaces en caso de incumplimiento.
Los esquemas de autorregulación
podrán traducirse en códigos deontológicos o de buena práctica
profesional, sellos de confianza u otros mecanismos y contendrán reglas o
estándares específicos que permitan armonizar los tratamientos de datos
efectuados por los adheridos y facilitar el ejercicio de los derechos de los titulares. Dichos esquemas serán
notificados de manera simultánea a las autoridades sectoriales
correspondientes y al Instituto.
(Artículo 44 de la LFPDPPP)
Esta obligación no se establece en el RLFPDPPP. Sin embargo, puede ser
cumplida en la práctica por medio de la adhesión a cualquiera de los esquemas
de autorregulación vinculante reconocidos por la autoridad.
4. El responsable y el encargado del tratamiento tomarán medidas para
garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos
personales solo pueda tratar dichos datos siguiendo instrucciones del
responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o
de los Estados miembros. (apartado 4 del artículo 32 del RGPD)
Artículo 21.- El responsable o terceros que intervengan en cualquier fase del
tratamiento de datos personales deberán guardar confidencialidad respecto de éstos, obligación que
subsistirá aun después de finalizar sus relaciones con el titular o, en su caso,
con el responsable.
(Artículo 21 de la LFPDPPP)
El deber de confidencialidad se establece en la LFPDPPP y aplica tanto al encargado como a cualquier tercero
que trate datos personales bajo supervisión del responsable o el
encargado.
En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad
con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas
después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad
constituya un riesgo para los derechos y
No se establece
Esta es una asimetría que puede ser conflictiva ya que la LFPDPPP no
ordena notificar las vulneraciones a la autoridad
48
las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de
los motivos de la dilación. (apartado 1 del artículo 33 del RGPD)
2. El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las
violaciones de la seguridad de los datos personales de las que tenga
conocimiento. (apartado 2 del artículo 33 del RGPD)
No se establece
Esta es una asimetría que puede ser conflictiva ya que la LFPDPPP no
ordena notificar las vulneraciones a la autoridad
3. La notificación contemplada en el apartado 1 deberá, como mínimo:
a) describir la naturaleza de la violación de la seguridad de los datos
personales, inclusive, cuando sea posible, las categorías y el número
aproximado de interesados afectados, y las categorías y el número
aproximado de registros de datos personales afectados;
b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto
en el que pueda obtenerse más información;
c) describir las posibles consecuencias de la violación de la seguridad de los
datos personales; d) describir las medidas adoptadas o
propuestas por el responsable del tratamiento para poner remedio a la
violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar
los posibles efectos negativos.
(apartado 3 del artículo 33 del RGPD)
No se establece
Esta es una asimetría que puede ser conflictiva ya que la LFPDPPP no
ordena notificar las vulneraciones a la autoridad
4. Si no fuera posible facilitar la información simultáneamente, y en la
medida en que no lo sea, la información se facilitará de manera gradual sin
dilación indebida. (apartado 4 del artículo 33 del RGPD)
Notificación de vulneraciones de seguridad
Artículo 64. El responsable deberá informar al titular las vulneraciones que
afecten de forma significativa sus derechos patrimoniales o morales, en
cuanto confirme que ocurrió la vulneración y haya tomado las acciones encaminadas a detonar un proceso de
revisión exhaustiva de la magnitud de la afectación, y sin dilación alguna, a fin de
que los titulares afectados puedan tomar las medidas correspondientes.
Se establece la obligación de notificar al titular las vulneraciones que afecten de
forma significativa sus derechos patrimoniales o morales sin dilación
alguna, así como a adoptar las medidas correctivas necesarias al tenor del
artículo 66 del RLFPDPPP.
5. El responsable del tratamiento Medidas correctivas en caso de Se puede considerar que existe
49
documentará cualquier violación de la seguridad de los datos personales,
incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha
documentación permitirá a la autoridad de control verificar el cumplimiento de lo
dispuesto en el presente artículo. (apartado 5 del artículo 33 del RGPD)
vulneraciones de seguridad Artículo 66. En caso de que ocurra una vulneración a los datos personales, el
responsable deberá analizar las causas por las cuales se presentó e
implementar las acciones correctivas, preventivas y de mejora para adecuar
las medidas de seguridad correspondientes, a efecto de evitar que
la vulneración se repita.
equivalencia entre ambas normatividades ya que el RLFPDPPP
indica que el responsable debe implementar las acciones correctivas, preventivas y de mejora para adecuar
las medidas de seguridad correspondientes, a efecto de evitar que
la vulneración se repita.
1. Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el
responsable del tratamiento la comunicará al interesado sin dilación
indebida. (apartado 1 del artículo 34 del RGPD)
Notificación de vulneraciones de seguridad
Artículo 64. El responsable deberá informar al titular las vulneraciones que
afecten de forma significativa sus derechos patrimoniales o morales, en
cuanto confirme que ocurrió la vulneración y haya tomado las acciones encaminadas a detonar un proceso de
revisión exhaustiva de la magnitud de la afectación, y sin dilación alguna, a fin de
que los titulares afectados puedan tomar las medidas correspondientes.
Artículo 20.- Las vulneraciones de
seguridad ocurridas en cualquier fase del tratamiento que afecten de forma
significativa los derechos patrimoniales o morales de los titulares, serán
informadas de forma inmediata por el responsable al titular, a fin de que este
último pueda tomar las medidas correspondientes a la defensa de sus
derechos. (artículo 20 de la LFPDPPP)
Se puede considerar que existe equivalencia entre ambas
normatividades ya que tanto la LFPDPPP como el RLFPDPPP obliga a notificar las vulneraciones a los titulares que afecten de forma significativa sus derechos patrimoniales o morales sin
dilación alguna.
2. La comunicación al interesado contemplada en el apartado 1 del presente artículo describirá en un
lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como
mínimo la información y las medidas a que se refiere el artículo 33, apartado 3,
letras b), c) y d).
(apartado 2 del artículo 34 del RGPD)
Información mínima al titular en caso de vulneraciones de seguridad
Artículo 65. El responsable deberá informar al titular al menos lo siguiente:
I. La naturaleza del incidente; II. Los datos personales
comprometidos; III. Las recomendaciones al titular
acerca de las medidas que éste pueda adoptar para proteger sus intereses;
IV. Las acciones correctivas realizadas de forma inmediata, y
Se puede considerar que existe equivalencia entre ambas
normatividades ya que el RLFPDPPP obliga a notificar a los titulares las
vulneraciones que afecten de forma significativa sus derechos patrimoniales.
3. La comunicación al interesado a que se refiere el apartado 1 no será
necesaria si se cumple alguna de las condiciones siguientes:
a) el responsable del tratamiento ha adoptado medidas de protección
técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la
Información mínima al titular en caso de vulneraciones de seguridad
Artículo 65. El responsable deberá informar al titular al menos lo siguiente:
I. La naturaleza del incidente; II. Los datos personales
comprometidos; III. Las recomendaciones al titular
acerca de las medidas que éste pueda
Se puede considerar que existe equivalencia entre los elementos que el responsable debe notificar a los titulares
en el RLFPDPPP en caso de vulneración.
50
violación de la seguridad de los datos personales, en particular aquellas que
hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a
ellos, como el cifrado; b) el responsable del tratamiento ha
tomado medidas ulteriores que garanticen que ya no exista la
probabilidad de que se concretice el alto riesgo para los derechos y
libertades del interesado a que se refiere el apartado 1;
c) suponga un esfuerzo desproporcionado. En este caso, se
optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los
interesados. (apartado 3 del artículo 34 del RGPD)
adoptar para proteger sus intereses; IV. Las acciones correctivas realizadas
de forma inmediata, y
4. Cuando el responsable todavía no haya comunicado al interesado la
violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que
tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá
decidir que se cumple alguna de las condiciones mencionadas en el
apartado 3. (apartado 4 del artículo 34 del RGPD)
No se establece
Esta es una asimetría que puede ser conflictiva ya que la LFPDPPP no establece la posibilidad de que la
autoridad puede ordenar la notificación una vez considerada la probabilidad de que tal violación entrañe un alto riesgo.
En definitiva, se puede señalar que existe un importante grado de correspondencia entre las obligaciones previstas en LFPDPPPP y los requerimientos del WP 254 y el RGPD para cumplir con el deber de seguridad. Sin embargo, existen importantes asimetrías en aspectos como la notificación de vulneraciones de seguridad a la autoridad y la posibilidad de que esta puede ordenar la notificación de una vulneración al responsable, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo.
b) Normatividad del sector público En relación con la seguridad de datos personales, la LGPDPPSO en su artículo 31 obliga los responsables a establecer y mantener las medidas de seguridad de carácter administrativo, físico y técnico para la protección de los datos personales, que permitan protegerlos contra daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, así como garantizar su confidencialidad, integridad y disponibilidad con independencia del tipo de sistema en el que se encuentren los datos personales o el tipo de tratamiento que se efectúe. Al respecto es importante señalar que la LGPDPPSO en su artículo 32 precisa que las medidas de seguridad adoptadas por el responsable deberán considerar el riesgo inherente a los datos personales tratados, la sensibilidad de los datos personales tratados, el desarrollo tecnológico, las
51
posibles consecuencias de una vulneración para los titulares, las transferencias de datos personales que se realice, el número de titulares, las vulneraciones previas ocurridas en los sistemas de tratamiento, y el riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión. Por su parte, el artículo 33 de la LGPDPPSO señala que, para establecer y mantener las medidas de seguridad para la protección de los datos personales, el responsable deberá realizar, al menos, las siguientes actividades interrelacionadas:
Crear políticas internas para la gestión y tratamiento de los datos personales, que tomen en cuenta el contexto en el que ocurren los tratamientos y el ciclo de vida de los datos personales, es decir, su obtención, uso y posterior supresión;
Definir las funciones y obligaciones del personal involucrado en el tratamiento de datos personales;
Elaborar un inventario de datos personales y de los sistemas de tratamiento; Realizar un análisis de riesgo de los datos personales, considerando las amenazas y
vulnerabilidades existentes para los datos personales y los recursos involucrados en su tratamiento, como pueden ser, de manera enunciativa más no limitativa, hardware, software, personal del responsable, entre otros;
Realizar un análisis de brecha, comparando las medidas de seguridad existentes contra las faltantes en la organización del responsable;
Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, así como las medidas para el cumplimiento cotidiano de las políticas de gestión y tratamiento de los datos personales;
Monitorear y revisar de manera periódica las medidas de seguridad implementadas, así como las amenazas y vulneraciones a las que están sujetos los datos personales, y
Diseñar y aplicar diferentes niveles de capacitación del personal bajo su mando, dependiendo de sus roles y responsabilidades respecto del tratamiento de los datos personales.
Es importante destacar que la LGPDPPSO exige que las acciones relacionadas con las medidas de seguridad para el tratamiento de los datos personales deberán estar documentadas y contenidas en un sistema de gestión. De manera particular, el artículo 35 de la LGPDPPSO precisa que responsable deberá elaborar un documento de seguridad que contenga, al menos, lo siguiente:
El inventario de datos personales y de los sistemas de tratamiento; Las funciones y obligaciones de las personas que traten datos personales; El análisis de riesgos; El análisis de brecha; El plan de trabajo; Los mecanismos de monitoreo y revisión de las medidas de seguridad, y El programa general de capacitación.
Respecto de las vulneraciones es importante señalar que las vulneraciones de seguridad si deben notificarse al titular y la autoridad tal y como exige el RGPD, a diferencia del sector privado donde solo se notifican al titular.
52
De esta manera, se puede considerar que las medidas de seguridad exigidas por la LGPDPPSO y los LGPDPSP guardan un alto grado de suficiencia respecto de aquellas señaladas con el RGPD teniendo un nivel de protección amplio y equiparable. Derivado de lo anterior se puede sostener que, los mecanismos para cumplir con el principio de seguridad son adecuados y detallados a un grado comparable de lo exigido por RGPD, por lo que, no se identifican inconsistencias significativas salvo en aspectos como la notificación del encargado al responsable sobre la existencia de una vulneración y la posibilidad de que la autoridad conmine al responsable a notificar una vulneración que entrañe altos riesgos para el titular.
H. Principio de transparencia
En relación con el principio de transparencia, el WP 254 determina el alcance que este principio debería tener en cualquier ordenamiento jurídico: “Todas las personas deben ser informadas acerca de los elementos principales del tratamiento de sus datos personales en forma clara, de fácil acceso, concisa, transparente e inteligible. Dicha información debe incluir los fines del tratamiento, la identidad del responsable, los derechos a su disposición y otra información en la medida en que esto sea necesario para garantizar la lealtad. En determinadas condiciones, pueden existir ciertas excepciones a este derecho de información como, por ejemplo, salvaguardar investigaciones penales, la seguridad del Estado, la independencia y los procedimientos judiciales u otros objetivos importantes de interés público general como en el caso del artículo 23 del RGPD.”
Del análisis realizado a las disposiciones existentes en el ordenamiento jurídico mexicano que recaen al principio de transparencia puede afirmarse que, si bien la normatividad mexicana regula de manera amplia el principio de transparencia, existen asimetrías que pudieren tener un impacto significativo en un proceso de adecuación. En principio es dable afirmar que el ordenamiento jurídico mexicano, al igual que está regulado en el RGPD, impone al responsable la obligación de informar a los titulares sobre las circunstancias relativas al tratamiento previo a la obtención de sus datos personales cuando estos se obtienen directamente de este a través de la puesta a disposición del aviso de privacidad56. Así lo prevé el artículo 15 de la LFPDPPP, en relación con el artículo 23 del RLFPDPPP:
Artículo 15. El responsable tendrá la obligación de informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, a través del aviso de privacidad.
56 Artículo 3.I. LFPDPPP. Aviso de Privacidad: Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley. Artículo 23 RLFPDPPP. El responsable deberá dar a conocer al titular la información relativa a la existencia y características principales del tratamiento a que serán sometidos sus datos personales a través del aviso de privacidad, de conformidad con lo previsto en la Ley y el presente Reglamento. Artículo 24 RLFPDPPP. El aviso de privacidad deberá caracterizarse por ser sencillo, con información necesaria, expresado en lenguaje claro y comprensible, y con una estructura y diseño que facilite su entendimiento.
53
Artículo 23. El responsable deberá dar a conocer al titular la información relativa a la existencia y características principales del tratamiento a que serán sometidos sus datos personales a través del aviso de privacidad, de conformidad con lo previsto en la Ley y el presente Reglamento.
Del contenido de los artículos anteriores se advierte que el principio de información impone al responsable la obligación de informar a los titulares sobre la existencia y características principales del tratamiento de sus datos personales, con la finalidad de que el titular pueda ejercer los derechos de autodeterminación informativa, privacidad y protección de datos personales. Ahora bien, en términos de la normatividad mexicana el cumplimiento del principio de información se concreta en la práctica mediante la puesta a disposición de los titulares del aviso de privacidad. La LFPDPPP define la figura del aviso de privacidad como “El documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, a fin de cumplir con el principio de información.”. Como regla general, la normatividad de datos personales aplicable tanto para sector privado como para el sector público exige que el aviso de privacidad se ponga a disposición de los titulares previo a la obtención de sus datos personales. En complemento a esta regla, tanto la LFPDPPP como LGPDPPSO prevén reglas específicas para aquellos casos en los que el responsable obtiene los datos personales del titular de manera indirecta. Así, el artículo con meridiana claridad dichos supuestos:
“Artículo 29. Cuando los datos personales sean obtenidos de manera indirecta del titular, el responsable deberá� observar lo siguiente para la puesta a disposición del aviso de privacidad: I. Cuando los datos personales sean tratados para una finalidad prevista en una transferencia consentida o se hayan obtenido de una fuente de acceso público, el aviso de privacidad se deberá� dar a conocer en el primer contacto que se tenga con el titular, o II. Cuando el responsable pretenda utilizar los datos para una finalidad distinta a la consentida, es decir, vaya a tener lugar un cambio de finalidad, el aviso de privacidad deberá� darse a conocer previo el aprovechamiento de los mismos.”
La LFPDPPP, para cerciorarse del debido cumplimiento por parte del responsable del principio de información en aquellos casos que pudieren existir dificultades para notificar a los titulares, habilita a los responsables implementar lo que la Ley denomina medidas compensatorias. Dicho término se define de la siguiente manera: “Mecanismos alternos para dar a conocer a los titulares el aviso de privacidad, a través de su difusión por medios de comunicación masiva u otros mecanismos de amplio alcance, que se instrumentan de manera excepcional cuando el responsable le resulta imposible poner a disposición de cada titular, de manera directa o personal, el aviso de privacidad, o ello exige esfuerzos desproporcionados”. A través de las medidas compensatorias el responsable puede cumplir con el principio de información en aquellos casos en los que: Exista una imposibilidad de dar a conocer a cada titular el aviso de privacidad porque el
responsable no cuente con datos de contacto de los titulares. La puesta a disposición del aviso de privacidad a cada uno de los titulares exija esfuerzos
desproporcionados.
54
El hecho de dar a conocer el aviso de privacidad a cada uno de los titulares implique un costo excesivo.
La finalidad del tratamiento vigente sea igual, análoga o compatible con aquella para la cual se recabaron los datos personales de origen.
Al igual que el RGPD, la normatividad aplicable en México obliga a los responsables a que la información que se presenta al titular a través del aviso de privacidad sea con un lenguaje claro y sencillo, además de concisa, transparente, inteligible y de fácil acceso. Así, el artículo 24 del RLFPDPPP exige a los responsables del tratamiento lo siguiente:
Artículo 24. El aviso de privacidad deberá caracterizarse por ser sencillo, con información necesaria, expresado en lenguaje claro y comprensible, y con una estructura y diseño que facilite su entendimiento.
Aquí las obligaciones específicas que deben seguirse para cumplir con los referidos objetivos: Sencillez: Esta característica se refiere al lenguaje empleado en el aviso de privacidad de forma
tal que es necesario que este instrumento se encuentre libre ostentación y adornos que puedan dificultar a los titulares la comprensión de lo que ahí se plasma.
Información necesaria: En el sector privado, el aviso de privacidad debe considerar la totalidad de los elementos informativos señalados en la LFPDPPP, su Reglamento y los LAP. La omisión de alguno de los elementos legalmente requeridos es considerada como una causa de incumplimiento al principio de información.
Expresado en español: Si bien el responsable pudiera no estar establecido en territorio nacional o tener relaciones con titulares de nacionalidad distinta a la mexicana y cuya lengua materia sea otra distinta del español, para cumplir con la normatividad aplicable es obligatorio que el aviso de privacidad sea redactado en español, con independencia de que pudiera existir otro lenguaje que pudiera ser entendido por los titulares o resulte de más fácil circulación.
Con lenguaje claro y comprensible: Esta característica obliga al responsable a emplear un lenguaje “no técnico” y que pueda ser comprendido por las personas a quienes se dirige el aviso de privacidad. Es decir, debe evitarse el uso de tecnicismos o sofisticaciones en el lenguaje que pudieran impedir que los titulares comprendan las particularidades del tratamiento de los datos.
Con estructura y diseño que faciliten su entendimiento: Esta característica es tal vez una de las más difíciles de cumplir debido a que la propia normatividad (LFDPDPPP, RLFDPDPPP y LAP) obligan a los responsables a incluir considerable información en el aviso de privacidad. Sin embargo, en la práctica se sugiere que el aviso de privacidad sea elaborado en apartados concretos donde se explique el alcance de cada uno de los elementos informativos exigidos para tal efecto. Inclusive podría plantearse la posibilidad de que los títulos de dichos apartados se generen en forma de pregunta de forma que, en el párrafo subsecuente el titular encuentre una respuesta concreta en la que se informe sobre el elemento informativo que corresponda.
En complemento a lo anterior, los LAP aclaran que para que el aviso de privacidad reúna las características antes señaladas, el responsable deberá asegurarse de: No usar frases inexactas, ambiguas o vagas. Tomar en cuenta para su redacción los perfiles de los titulares. No incluir textos o formatos que induzcan al titular a elegir una opción en específico.
55
En caso de que se incluyan casillas para que el titular otorgue su consentimiento, no se deberán marcar previamente.
No remitir a textos o documentos que no estén disponibles para el titular.
Lo antes señalado es equivalente con lo regulado en el RGPD en el considerando 39, el cual en la parte que interesa señala:
39) Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en relación con el tratamiento. En particular, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida. Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica. Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos. Los datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.
Por otro lado, es de suma importancia señalar que al igual que el RGPD, la carga de la prueba para acreditar el cumplimiento del principio de información recae en todos los casos en el responsable del tratamiento, tal y como se advierte del contenido del artículo 31 del RLFPDPPP que para pronta referencia se cita a continuación: Para efectos de demostrar la puesta a disposición del aviso de privacidad en cumplimiento del principio de información, la carga de la prueba recaerá, en todos los casos, en el responsable. En cuanto a los elementos informativos que resultan obligatorios en términos del RGPD, existen asimetrías importantes en ambas legislaciones, mismas que se reflejan en la tabla que se presenta en la página siguiente.
RGPD Normatividad Mexicana
Elementos de información al interesado Equivalencia / Asimetría La identidad y los datos de contacto del responsable y, en su caso, de su representante;
Equivalencia
56
Los datos de contacto del delegado de protección de datos, en su caso
Equivalencia
Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
Asimetría LFPDPPP. No prevé que se informe al titular sobre la base jurídica del tratamiento.
Equivalencia LGPDPPSO.
Cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero.
No aplica, ya que dicha base legal no está regulada en el ordenamiento mexicano.
Las categorías de datos personales de que se trate. Equivalencia
Los destinatarios o las categorías de destinatarios de los datos personales, en su caso
Equivalencia
En su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.
Asimetría. Esta representa una de las asimetrías más relevantes en cuanto a una posible equivalencia respecto del principio de transparencia.
El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
Asimetría. También representa una importante omisión.
La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
Equivalencia
Cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada
Equivalencia
El derecho a presentar una reclamación ante una autoridad de control
Asimetría. También representa una importante omisión.
Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos.
Asimetría. También representa una importante omisión.
La existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
Equivalencia
Del análisis del principio de información, puede concluirse que, si bien es cierto que la normatividad mexicana impone un alto grado de transparencia en el tratamiento de los datos personales, no existe una equivalencia a la regulación de la UE.
I. Derecho de acceso, rectificación, supresión y oposición
57
El WP 254 en su apartado 8) de los “Derechos de acceso, rectificación, supresión y oposición” prevé las exigencias que debe garantizar un tercer país en lo que refiere a los derechos de los titulares para considerarse de un nivel de protección adecuada. Como puede advertirse del título del apartado 8 “Derechos de acceso, rectificación, supresión y oposición” son, como mínimo, cuatro derechos que, en materia de protección de datos personales, deben garantizarse a través del ordenamiento jurídico del tercer país. Estos cuatro derechos, en cuanto a su alcance, deben permitir que cualquier titular (interesado) pueda:
1) “…obtener confirmación de si se están tratando o no datos personales que le conciernen, así como derecho de acceso a sus datos personales, incluida una copia de los datos personales objeto de tratamiento;
2) …obtener la rectificación de sus datos según proceda, por razones específicas, por ejemplo, por ser inexactos o incompletos;
3) …a suprimir sus datos personales; 4) …oponerse en cualquier momento, por motivos legítimos imperiosos relacionados con su
situación particular, al tratamiento de sus datos en condiciones específicas establecidas en el marco jurídico del tercer país.”
Además de acreditar el reconocimiento de los mencionados derechos en su ordenamiento jurídico, el tercer país que pretenda obtener el reconocimiento de nivel de protección adecuada debe ser capaz de acreditar que el ejercicio de estos por parte del titular no resulta ser, para este, “excesivamente complicado”. Esto es, el tercer país tiene que poder demostrar que los titulares tienen a su alcance mecanismos de fácil acceso para el ejercicio de sus derechos. Es importante tener presente que, si bien es cierto que el WP254 únicamente refiere a los cuatro derechos antes señalado, también lo es que las normas en materia de protección de datos personales aplicables en la Unión, en especial el RGPD, reconoce a los titulares derechos adicionales, los cuales son:
‐ Portabilidad; ‐ Limitación del tratamiento; ‐ No ser objeto de una decisión individual automatizada;
Finalmente, el WP254 reconoce que los ordenamientos jurídicos sujeto a evaluación pueden contener “ciertas restricciones a estos derechos”, por ejemplo, salvaguardar investigaciones penales, la seguridad del Estado, la independencia y los procedimientos judiciales u otros objetivos importantes de interés público general. Una vez identificados los requisitos exigidos por la Unión Europea en materia de derechos de los titulares, procedemos a analizar si la normatividad mexicana – sector privado y público – cumple con estos.
a) Derecho de Acceso. El derecho de acceso regulado en la normatividad mexicana de datos personales tiene el alcance de que el titular pueda conocer cuáles de sus datos personales son objeto de tratamiento; conocer sobre las condiciones y generalidades del tratamiento; conocer si sus datos personales forman parte
58
de un tratamiento de datos personales en decisiones sin intervención humana valorativa; y conocer el aviso de privacidad al cual se sujeta el tratamiento. 57 Si bien en un principio pareciere que el ordenamiento mexicano cumple con el alcance del derecho de acceso interpretado en el WP254, lo cierto es que en el régimen europeo58 el derecho de acceso tiene un mayor alcance, ya que permite a los titulares, a diferencia de la normatividad mexicana, tener acceso a la siguiente información en posesión del responsable: los plazos de conservación y/o criterios para determinar este plazo; el derecho a presentar una reclamación ante la autoridad de control e información sobre el origen de los datos.59 Debe aclararse que si bien es cierto que el derecho de acceso regulado en la normatividad mexicana señala textualmente que el titular puede acceder a información referente a “las condiciones y generalidades del tratamiento”, consideramos que esta redacción es ambigua lo que impide tener 57 “Artículo 22 LFPDPPP. Cualquier titular, o en su caso su representante legal, podrá ejercer los derechos de acceso, rectificación, cancelación y oposición previstos en la presente Ley. El ejercicio de cualquiera de ellos no es requisito previo ni impide el ejercicio de otro. Los datos personales deben ser resguardados de tal manera que permitan el ejercicio sin dilación de estos derechos.” “Artículo 23 LFPDPPP. Los titulares tienen derecho a acceder a sus datos personales que obren en poder del responsable, así como conocer el Aviso de Privacidad al que está sujeto el tratamiento.” “Artículo 101 RLFPDPPP. El titular, en términos de lo dispuesto por el artículo 23 de la Ley, tiene derecho a obtener del responsable sus datos personales, así como información relativa a las condiciones y generalidades del tratamiento.” “Artículo 112 RLFPDPPP. Cuando se traten datos personales como parte de un proceso de toma de decisiones sin que intervenga la valoración de una persona física, el responsable deberá informar al titular que esta situación ocurre. Asimismo, el titular podrá� ejercer su derecho de acceso, a fin de conocer los datos personales que se utilizaron como parte de la toma de decisión correspondiente…” “Artículo 43 LGPDPPSO. En todo momento el titular o su representante podrán solicitar al responsable, el acceso, rectificación, cancelación u oposición al tratamiento de los datos personales que le conciernen, de conformidad con lo establecido en el presente Título. El ejercicio de cualquiera de los derechos ARCO no es requisito previo, ni impide el ejercicio de otro.” “Artículo 44 LGPDPPSO. El titular tendrá� derecho de acceder a sus datos personales que obren en posesión del responsable, así� como conocer la información relacionada con las condiciones y generalidades de su tratamiento.” 58 Artículo 15 Derecho de acceso del interesado 1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información: a) los fines del tratamiento; b) las categorías de datos personales de que se trate; c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular
destinatarios en terceros u organizaciones internacionales; d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar
este plazo; e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de
datos personales relativos al interesado, o a oponerse a dicho tratamiento; f) el derecho a presentar una reclamación ante una autoridad de control; g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen; h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al
menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
2. Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia. 3. El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común. 4. El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los derechos y libertades de otros. 59 Sobre este particular, cabe mencionar que el primer párrafo del artículo 33 LFPDPPP establece que “La obligación de acceso a la información se dará por cumplida cuando se pongan a disposición del titular los datos personales; o bien, mediante la expedición de copias simples, documentos electrónicos o cualquier otro medio que determine el responsable en el aviso de privacidad.” En el artículo 35, se precisa que “La entrega de los datos personales será gratuita, debiendo cubrir el titular únicamente los gastos justificados de envío o con el costo de reproducción en copias u otros formatos.”
59
certeza del alcance real que tiene el derecho de acceso en México y eso podría ser considerado por la Comisión en un posible proceso de evaluación, incluso cuando en la Opinión que se emitió a México para evaluar una posible adhesión al Convenio 108 se determinó que la normatividad mexicana, en el apartado referente a los derechos de los titulares, se apegaba a lo establecido en el Convenio.
b) Derecho de Rectificación El derecho de rectificación regulado en la normatividad mexicana tanto para sector privado como para sector público faculta al titular para solicitar al responsable que modifique los datos personales que resulten ser inexactos o incompletos. El derecho de rectificación se aplica a cualquier base de datos o registro en el que existan datos personales del titular, ya sea que ésta se ubique dentro o fuera de territorio nacional. La rectificación de los datos personales deberá realizarse en todas las bases de datos que obren en poder del responsable o en su caso, del encargado del tratamiento. 60 Es alcance del derecho de rectificación regulado en la normatividad mexicana tiene el mismo alcance que el regulado en el artículo 16 del RGPD el cual para pronta referencia se cita a continuación: “El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional”.
c) Derecho de Oposición El derecho de oposición habilita al titular para que pueda oponerse al tratamiento de sus datos personales para aquellas finalidades que no resulten necesarias para el cumplimiento de la relación jurídica principal entre el responsable y el titular61. La LGPDPPSO especifica que la oposición procederá cuando siendo lícito el tratamiento, el mismo deba cesar para evitar que su persistencia le cause un perjuicio o el titular requiera manifestar su oposición para fines específicos y lo hace extensible a los tratamientos automatizados de datos personales en determinadas circunstancias. Como puede observarse, el derecho de oposición regulado en la normatividad mexicana tiene un alcance amplio ya que puede aplicarse sobre cualquier tratamiento por el responsable que tenga
60 Artículo 24 LFPDPPP. El titular de los datos tendrá derecho a rectificarlos cuando sean inexactos o incompletos. Artículo 103 RLFPDPPP. De conformidad con lo dispuesto por el artículo 24 de la Ley, el titular podrá solicitar en todo momento al responsable que rectifique sus datos personales que resulten ser inexactos o incompletos. 61 Artículo 27 LFPDPPP. El titular tendrá derecho en todo momento y por causa legítima a oponerse al tratamiento de sus datos. De resultar procedente, el responsable no podrá tratar los datos relativos al titular. Artículo 109 RLFPDPPP. En términos del artículo 27 de la Ley, el titular podrá, en todo momento, oponerse al tratamiento de sus datos personales o exigir que se cese en el mismo cuando: I. Exista causa legítima y su situación específica así lo requiera, lo cual debe justificar que aun siendo lícito el tratamiento, el mismo debe cesar para evitar que su persistencia cause un perjuicio al titular, o II. Requiera manifestar su oposición para el tratamiento de sus datos personales a fin de que no se lleve a cabo el tratamiento para fines específicos. No procederá el ejercicio del derecho de oposición en aquellos casos en los que el tratamiento sea necesario para el cumplimiento de una obligación legal impuesta al responsable.
60
como base de legitimación el consentimiento del titular. Por su parte, la LGPDPPSO amplía el alcance de este derecho a los tratamientos automatizados de datos personales que puedan producir efectos jurídicos no deseados o que afecten de manera significativa los intereses, derechos o libertades del titular, y estén destinados a evaluar, sin intervención humana, determinados aspectos personales del mismo o analizar o predecir, en particular, su rendimiento profesional, situación económica, estado de salud, preferencias sexuales, fiabilidad o comportamiento. Por su parte, el alcance del derecho de oposición en términos del RGPD se encuentra delimitado en su artículo 2162, y al igual que lo previsto en la normatividad mexicana, este faculta al titular para en caso de así quererlo solicitar al responsable el cese de del tratamiento de sus datos personales cuando estos sean objeto de tratamiento basado en una misión de interés público o en el interés legítimo, incluido la elaboración de perfiles, así como cuando el tratamiento tenga como finalidad la mercadotecnia directa. En este sentido, es dable afirmar que el alcance general del derecho de oposición regulado en la normatividad mexicana tiene el mismo alcance que el derecho de oposición regulado en el RGPD. No obstante, es preciso señalar que se identifica una asimetría significativa en el cumplimiento del derecho de oposición para fines de mercadotecnia directa ya que este no está previsto en la LFPDPPP ni en su Reglamento.
d) Derecho de Cancelación. El derecho de cancelación reconocido en la normatividad mexicana se equipara al derecho se supresión regulado en la normatividad Europea. Esto es así, ya que el derecho de cancelación en términos de las les leyes mexicanas faculta a los titulares para excluir del tratamiento sus datos personales, ya sea por: ser inexactos; no querer que sean sujetos de tratamiento o porque considere que están siendo tratados en contravención a los principios y deberes consagrados en la normatividad. Este derecho puede solicitarse respecto de la totalidad de los datos personales del titular, o bien específicamente respecto de alguno de ellos e implica el cese en el tratamiento por parte del responsable, a partir de un bloqueo y su posterior supresión. De este modo, el derecho de 62 Artículo 21. Derecho de oposición 1. El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones. 2. Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia. 3. Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines. 4. A más tardar en el momento de la primera comunicación con el interesado, el derecho indicado en los apartados 1 y 2 será mencionado explícitamente al interesado y será presentado claramente y al margen de cualquier otra información. 5. En el contexto de la utilización de servicios de la sociedad de la información, y no obstante lo dispuesto en la Directiva 2002/58/CE, el interesado podrá ejercer su derecho a oponerse por medios automatizados que apliquen especificaciones técnicas. 6. Cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos de conformidad con el artículo 89, apartado 1, el interesado tendrá derecho, por motivos relacionados con su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el cumplimiento de una misión realizada por razones de interés público.
61
cancelación regulado en la normatividad mexicana procede respecto de la totalidad de los datos personales del titular sujetos a tratamiento, o bien sólo parte de ellos, según lo hubiere solicitado el titular, siempre y cuando dicho tratamiento no esté amparado bajo la existencia de una relación jurídica. En relación con este derecho, debe tenerse en cuenta también que su ejercicio se escinde en distintas fases o etapas del tratamiento que son el bloqueo y la supresión, siendo esta última la que da lugar a la eliminación definitiva del dato63. Es importante señalar que la cancelación de datos personales debe efectuarla el responsable, incluso cuando esta no sea solicitada por el titular, cuando los datos personales hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas por el aviso de privacidad y las disposiciones legales aplicables, deberán ser cancelados. Esta cancelación responde al cumplimiento del principio de calidad.64 Tal y como lo prevé el RGPD, el derecho de cancelación no es limitado, así la normatividad mexicana prevé las siguientes limitaciones: se refiera a las partes de un contrato privado, social o administrativo y sean necesarios para su desarrollo y cumplimiento; deban ser tratados por disposición legal; obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas; sean necesarios para proteger los intereses jurídicamente tutelados del titular; sean necesarios para realizar una acción en función del interés público; sean necesarios para cumplir con una obligación legalmente adquirida por el titular, y sean objeto de tratamiento para la prevención o para el diagnóstico médico o la gestión de servicios de salud, siempre que dicho tratamiento se realice por un profesional de la salud sujeto a un deber de secreto. Por su parte, el RGPD regula el derecho de supresión en su artículo 17, y éste faculta al titular para solicitar ante el responsable la supresión de sus datos personales cuando se actualice cualquier de los siguientes supuestos:
Los datos personales ya no son necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
El tratamiento de los datos personales se ha basado en el consentimiento y se retira este, siempre que el citado tratamiento no esté basado en otra base de legitimación;
Cuando se hubiere el titular opuesto al tratamiento de sus datos personales al ejercitar el derecho de oposición.
Cuando datos personales han sido tratados ilícitamente
63 Artículo 25.- El titular tendrá en todo momento el derecho a cancelar sus datos personales. La cancelación de datos personales dará lugar a un periodo de bloqueo tras el cual se procederá a la supresión del dato. El responsable podrá conservarlos exclusivamente para efectos de las responsabilidades nacidas del tratamiento. El periodo de bloqueo será equivalente al plazo de prescripción de las acciones derivadas de la relación jurídica que funda el tratamiento en los términos de la Ley aplicable en la materia. Una vez cancelado el dato se dará aviso a su titular. Cuando los datos personales hubiesen sido transmitidos con anterioridad a la fecha de rectificación o cancelación y sigan siendo tratados por terceros, el responsable deberá hacer de su conocimiento dicha solicitud de rectificación o cancelación, para que proceda a efectuarla también. 64 Artículo 11.- El responsable procurará que los datos personales contenidos en las bases de datos sean pertinentes, correctos y actualizados para los fines para los cuales fueron recabados. Cuando los datos de carácter personal hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas por el aviso de privacidad y las disposiciones legales aplicables, deberán ser cancelados.
62
Cuando sea necesario para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento
Al igual que lo prevé la normatividad mexicana, este derecho no es ilimitado, de tal forma que puede ser factible no proceder a la supresión cuando el tratamiento sea necesario para el ejercicio de la libertad de expresión e información, para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, por razones de interés público, en el ámbito de la salud pública, con fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones. En este sentido, es dable afirmar que el alcance del derecho de cancelación regulado en la normatividad mexicana tiene el mismo alcance que el derecho de supresión regulado en el RGPD.
e) Otros Derechos (Portabilidad; limitación del tratamiento; no ser objeto de una decisión individual automatizada)
A. Portabilidad.
En términos del RGPD la finalidad de este derecho es que el titular, cuando el tratamiento se efectúe por medios automatizados, recibas sus datos personales en un formato estructurado, de uso común, de lectura mecánica e interoperable, y pueda así transmitirlos a otro responsable del tratamiento, siempre que el tratamiento se legitime en base al consentimiento o en el marco de la ejecución de un contrato. En México el derecho de portabilidad únicamente está reconocido en la normatividad aplicable al sector público, pero no así a la normatividad aplicable para el sector privado. Al igual que en el RGPD, la normatividad aplicable para el sector público señala en el artículo 57 de la LGPDPPSO lo siguiente:
63
Tal y como puede advertirse del citado artículo, el alcance del derecho de portabilidad regulado en la normatividad mexicana aplicable para el sector público tiene el mismo alcance que el derecho de portabilidad regulado en el RGPD; sin embargo, al no existir regulación de este derecho para los tratamientos de datos personales ocurridos en el sector privado, puede afirmarse que existe la necesidad que este derecho sea recogido por dicha normatividad. No obstante lo anterior, consideramos que lo anterior no sería un factor de mucho peso durante un posible proceso de evaluación de adecuación.
B. Limitación del tratamiento. El derecho de limitación del tratamiento tiene el siguiente alcance en términos del artículo 18 del RGPD:
Derecho a la limitación del tratamiento 1. El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes: a) el interesado impugne la exactitud de los datos personales, durante un plazo que
permita al responsable verificar la exactitud de los mismos; b) el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos
personales y solicite en su lugar la limitación de su uso; c) el responsable ya no necesite los datos personales para los fines del tratamiento,
pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;
d) el interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.
2. Cuando el tratamiento de datos personales se haya limitado en virtud del apartado 1, dichos datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o
Capítulo III De la Portabilidad de los Datos Artículo 57. Cuando se traten datos personales por vía electrónica en un formato estructurado y comúnmente utilizado, el titular tendrá derecho a obtener del responsable una copia de los datos objeto de tratamiento en un formato electrónico estructurado y comúnmente utilizado que le permita seguir utilizándolos. Cuando el titular haya facilitado los datos personales y el tratamiento se base en el consentimiento o en un contrato, tendrá derecho a transmitir dichos datos personales y cualquier otra información que haya facilitado y que se conserve en un sistema de tratamiento automatizado a otro sistema en un formato electrónico comúnmente utilizado, sin impedimentos por parte del responsable del tratamiento de quien se retiren los datos personales. El Sistema Nacional establecerá mediante lineamientos los parámetros a considerar para determinar los supuestos en los que se está en presencia de un formato estructurado y comúnmente utilizado, así como las normas técnicas, modalidades y procedimientos para la transferencia de datos personales.
64
con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro. 3. Todo interesado que haya obtenido la limitación del tratamiento con arreglo al apartado 1 será informado por el responsable antes del levantamiento de dicha limitación.
La normatividad en México prevé el derecho de limitación y/o divulgación de datos personales; sin embargo, este no cuenta con ningún tipo de desarrollo normativo que explique el alcance de este derecho, por lo que podría decirse que es inexistente en el ordenamiento jurídico mexicano.
C. Derecho a no ser objeto de una decisión individual automatizada. En términos del RGPD este derecho faculta al titular, en caso de así decidirlo, de no ser objeto de una decisión basada únicamente en el tratamiento de sus datos, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre el titular o le afecte significativamente de forma similar. En términos del RGPD, este derecho tiene como limitaciones las siguientes: Sea necesario para la celebración o ejecución de un contrato; o bien el tratamiento de tus datos se fundamente en tu consentimiento prestado previamente. Este derecho lo recoge la normatividad aplicable para el sector público mediante los derechos de oposición y cancelación, como se advierte del contenido del artículo 47:
Artículo 47. El titular podrá oponerse al tratamiento de sus datos personales o exigir que se cese en el mismo, cuando: I. Aun siendo lícito el tratamiento, el mismo debe cesar para evitar que su persistencia cause un daño o perjuicio al titular, y II. Sus datos personales sean objeto de un tratamiento automatizado, el cual le produzca efectos jurídicos no deseados o afecte de manera significativa sus intereses, derechos o libertades, y estén destinados a evaluar, sin intervención humana, determinados aspectos personales del mismo o analizar o predecir, en particular, su rendimiento profesional, situación económica, estado de salud, preferencias sexuales, fiabilidad o comportamiento.
Tal y como puede advertirse del citado artículo, la normatividad aplicable para el sector público permite al titular a no ser objeto de una decisión individual automatizada a través de los derechos de oposición y cancelación por lo que puede afirmarse que la normatividad mexicana aplicable para el sector público se equipara el RGPD en cuanto al reconocimiento de este derecho. Sin embargo, no puede decirse lo mismo respecto de la normatividad del sector privado. En lo que concierne a los tratamientos sin intervención humana valorativa, la legislación se limita a regular que el titular puede conocer los datos personales objeto de tratamiento, pero no se prevé en ninguna disposición una posible oposición.
65
f) Mecanismos para los titulares para ejercer sus derechos. Como hemos adelantado, un tercer país que pretenda obtener el reconocimiento de nivel de protección adecuada debe ser capaz de acreditar que el ejercicio de estos por parte del titular no resulta ser, para este, “excesivamente complicado”. Esto es, el tercer país tiene que poder demostrar que los titulares tienen a su alcance mecanismos de fácil acceso para el ejercicio de sus derechos. En cuanto a este tema puede afirmarse que la normatividad en México tiene disposiciones que resultan aun más proteccionistas que las reguladas en el RGPD. Lo anterior se sustenta en lo siguiente:
1. Existe una obligación para que todo responsable debe designar a una designar a una persona, o departamento de datos personales, quien dará trámite a las solicitudes de los titulares, para el ejercicio de los derechos.
2. Los plazos para responder a las solicitudes de los titulares son más cortos a los establecidos en el RGPD.
3. Existe la obligación de que los medios habilitados por el responsable para atender las solicitudes de ejercicio de derechos deberán implementarse de forma tal que no se limite el ejercicio de estos derechos por parte de los titulares;
4. Existe la obligación de que los procedimientos establecidos por el responsable para el ejercicio de los derechos ARCO; o bien, los medios a través de los cuales el titular podrá conocer dichos procedimientos, los cuales deberán ser de fácil acceso para los titulares y con la mayor cobertura posible, considerando su perfil y la forma en que mantienen contacto cotidiano o común con el responsable; gratuitos; que estén debidamente habilitados, y que hagan sencillo el acceso a la información.
5. Existe la obligación de que el ejercicio de los derechos sea sencillo y gratuito.
J. Restricciones a transferencias ulteriores Con el fin de asegurar que los datos personales que salen de la UE gocen siempre de un nivel de protección equivalente al que tienen en origen, la CE exige que los países que aspiran a un reconocimiento de adecuación ofrezcan garantías suficientes de que el grado de protección de los datos que se les transfieren no resulte comprometido por la transferencia ulterior de dichos datos a destinatarios situados en terceros países. De ahí que uno de los ámbitos sometidos a mayor escrutinio en el proceso de evaluación de la adecuación sea el de las “transferencias ulteriores”. En relación con esta cuestión, el WP254 en el apartado 9) de los “Principios relativos al contenido”, que tiene por objeto precisamente las “restricciones a transferencias ulteriores”, enuncia una serie de limitaciones y exigencias que están orientadas al objetivo declarado de garantizar que el nivel de protección de los derechos de las personas físicas cuyos datos se transfieren a un país reconocido como adecuado no resulte menoscabado por eventuales transferencias ulteriores a destinatarios ubicados en otros países que mantengan niveles de protección inferiores.
66
Así, en primer término, señala que “Las transferencias ulteriores de datos personales por parte del destinatario inicial de la transferencia de datos original solo se permitirán cuando otro destinatario (el destinatario de la transferencia ulterior) también esté sujeto a normas (incluidas normas contractuales) que otorguen un nivel de protección adecuado y cumplan las instrucciones pertinentes al tratar los datos en nombre del responsable del tratamiento.” En segundo lugar, dispone que “El destinatario inicial de los datos transferidos desde la UE será responsable de garantizar que se ofrecen garantías adecuadas para las transferencias ulteriores de datos en ausencia de una decisión de adecuación.” Y, por último, restringe el margen de decisión de los exportadores al determinar que “Estas transferencias ulteriores de datos solo se deben realizar para unos fines limitados y específicos, y siempre que existan fundamentos jurídicos para dicho tratamiento.” A la hora de valorar si México cumple con los requisitos exigidos por la UE en relación con las transferencias ulteriores de datos personales es necesario tener presente que en su normatividad se ordenan por separado las realizadas por entidades del sector privado y las realizadas por entidades públicas. Las primeras se encuentran reguladas en los artículos 36 y 37 LFPDPPP y en los artículos 67 a 70 y 74 a 76 RLFPDPPP. Y las segundas en los artículos 65 a 70 LGPDPPSO. A diferencia de lo que sucede en la regulación europea, la normatividad mexicana disciplina las transferencias internacionales conjuntamente con las nacionales, si bien establece reglas específicas para las primeras. Comenzando por las trasferencias correspondientes al sector privado, de los artículos citados de la LFPDPPP y el RLFPDPPP se deriva que su régimen jurídico se configura básicamente en los siguientes términos:
1. Como regla, las transferencias internacionales sólo son lícitas si se basan en el consentimiento informado del interesado (el “titular”), que deberá haberlo prestado previamente con arreglo al aviso de privacidad, y deberán limitarse a las finalidades para las que se otorgó el consentimiento (artículos. 36 de la LFPDPPP y 38 del RLFPDPPP).
2. Alternativamente, se permiten transferencias internacionales de datos personales sin el consentimiento del titular cuando concurra alguno de los supuestos previstos en el artículo 37 de la LFPDPPP:
I. Cuando la transferencia esté prevista en una Ley o Tratado en los que México sea parte; II. Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios; III. Cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas; IV. Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero; V. Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia;
67
VI. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y VII. Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.
Este elenco inicial de supuestos en los que se admiten las transferencias internacionales sin consentimiento del titular resulta ampliado por el RLFPDPPP al disponer en su artículo 74 lo siguiente:
Condiciones específicas para las transferencias internacionales Artículo 74. Sin perjuicio de lo dispuesto en el artículo 37 de la Ley, las transferencias internacionales de datos personales serán posibles cuando el receptor de los datos personales asuma las mismas obligaciones que corresponden al responsable que transfirió los datos personales.
Un supuesto adicional para el que se especifica en el artículo 75 del RLFPDPPP lo siguiente:
Formalización de las transferencias internacionales Artículo 75. A tal efecto, el responsable que transfiera los datos personales podrá valerse de cláusulas contractuales u otros instrumentos jurídicos en los que se prevean al menos las mismas obligaciones a las que se encuentra sujeto el responsable que transfiere los datos personales, así como las condiciones en las que el titular consintió el tratamiento de sus datos personales.
La regulación expuesta conforma un régimen de ordenación de las trasferencias internacionales que presenta varias debilidades de cara a garantizar que el nivel de protección de los datos personales transferidos desde la UE a entidades del sector privado de México no se vería afectado negativamente en caso de ulteriores transferencias a terceros estados. La necesidad de contar con el consentimiento del titular para realizar la transferencia, establecida en el artículo 36 de la LFPDPPP y precisada en el 38 del RLFPDPPP, unida al requisito de información previa en el aviso de privacidad y la limitación de finalidad, igualmente requeridos en dichos artículos, ofrece una protección inicial que se podría considerar adecuada siempre y cuando esté acompañada de garantías suficientes que permitan verificar su observancia efectiva. En todo caso, sería inexcusable que entre esas garantías se requiera que el exportador de datos mexicano esté en condiciones de poder acreditar que ha informado al interesado afectado por los datos transferidos desde la UE (al titular en la terminología mexicana) sobre el propósito de realizar una transferencia ulterior, y que dicha información se ha realizado en unos términos que le permitan evaluar el riesgo que para sus derechos entraña la exportación de los mismos a un tercer país, de suerte que se le sitúe en condiciones de tomar una decisión con pleno conocimiento de causa en cuando a prestar o no su consentimiento a la transferencia ulterior. En la medida en que, sólo cuando se disponga del consentimiento informado del titular en las condiciones señaladas, se permite la transferencia de datos personales procedentes de la UE fuera del territorio mexicano (sea a un encargado de tratamiento o a un tercero), se asegura indudablemente una protección adecuada. Evidentemente, no cabe desconocer que la dificultad práctica de recabar el consentimiento con tales requisitos hace altamente costosa cualquier transferencia ulterior sustentada en este fundamento.
68
Más allá de ello, los principales problemas a los que se puede enfrentar el régimen mexicano de transferencias en el marco del examen de adecuación radican en las excepciones a la regla general del consentimiento establecidas en el artículo 37 de la LFPDPPP antes reproducido. La opción del legislador mexicano de regular conjuntamente las transferencias nacionales y las internacionales genera una asimetría con el modelo europeo que añade un grado de dificultad a la evaluación de las equivalencias entre ambos sistemas. Algunas de las excepciones del artículo de la 37 podrían encontrar su equivalencia en el derecho de la UE en la medida en que se correspondan con las “excepciones para situaciones específicas” reconocidas en el artículo 49 RGPD.65 Este podría ser el caso de las previstas en los numerales IV (“Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero”), V (“Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia”), VI (“Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial), y VII (“Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular”), si bien podrían ser requeridas algunas matizaciones adicionales para una plena adecuación. También podría considerarse admisible la excepción acogida en el numeral II (“Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios”) si las finalidades descritas se vinculan con la protección de intereses vitales del interesado o de otras personas, o con razones importantes de interés público. La excepción del numeral III (“Cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas”), en cambio, únicamente podría considerarse que garantiza un nivel de protección equivalente si el requisito de que “opere bajo los mismos procesos y políticas internas” se traduce en la exigencia de que el grupo exportador cuente con reglas internas de carácter vinculante que disciplinen sus actividades de tratamientos de datos personales de manera global con arreglo a estándares de protección equivalentes a los establecidos por el RGPD para las “normas corporativas vinculantes” en su artículo 47. Dichas reglas deberían en todo caso estar validadas por la autoridad de control mexicana en virtud de parámetros equiparables a los exigidos por el RGPD.66 Con todo, las dificultades más destacadas para el reconocimiento de un nivel adecuado de protección de la normatividad mexicana en lo concerniente a las transferencias ulteriores a terceros países de datos personales procedentes de la UE las plantea la excepción acogida en el numeral I del artículo 37 de la LFPDPPP, conforme a la cual, podrán llevarse a cabo transferencias internacionales de datos sin el consentimiento del titular “cuando la transferencia esté prevista en una Ley o Tratado en los que México sea parte.”
65 En relación con el alcance de estas excepciones, vid. el documento del CEPD “Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679”, adoptado el 25 de mayo de 2018. 66 Cfr., al respecto, las guías elaboradas por el GT 29 y publicadas en los siguientes documentos: WP 256 y 257 de 6 de febrero de 2018, WP 263 y 264, se 11 de abril de 2018. Elaboradas por el GT 29, fueron avaladas por el CEPD en su primera reunión plenaria el 25 de mayo de 2018.
69
Aunque el supuesto de que la transferencia ulterior esté prevista en una Ley haya sido concebido principalmente para las transferencias internas, la mera posibilidad de que por ley también se autoricen trasferencias de datos personales a terceros estados, sin exigir que el país de destino posea un nivel de protección equivalente o sin requerir salvaguardas adecuadas para garantizar la continuidad del nivel de protección de los datos personales, no resulta admisible desde el punto de vista del RGPD. Una vez más la regulación conjunta de las transferencias nacionales y las internacionales introduce un elemento de dificultad complementario. Por otra parte, la habilitación para realizar transferencias internacionales sin el consentimiento del titular cuando estén previstas en un “Tratado” en el que México sea parte, estipulada con carácter general e incondicionado –como figura en el numeral I del artículo 37 de la LFPDPPP–, resulta claramente incompatible con los requerimientos del RGPD. El nivel de protección garantizado por el RGPD se podría ver menoscabado si los datos personales procedentes de la UE pueden ser exportados a destinatarios situados en terceros países con estándares de protección inferior en virtud de los compromisos adquiridos por México en los Tratados en los que sea parte, sin requerir garantías adicionales. En este contexto es preciso tener presente que, si bien la ratificación del Convenio 108 y su implementación es un activo relevante a la hora de evaluar si un país ofrece un nivel adecuado de protección –tal y como reconoce expresamente por el propio RGPD en su considerando 105–, la CE no considera garantía suficiente para la salvaguarda del nivel de protección en las transferencias ulteriores el mero hecho que el país destinatario de las mismas sea otro Estado parte del Convenio 108. Tanto es así que, en la nueva versión modernizada del Convenio, conocida como “Convenio 108 +”, que contiene estándares de protección superiores a los del Convenio original, se ha introducido una cláusula de excepción con la finalidad de dejar clara esta cuestión. Así, el nuevo Convenio 108 +, tras establecer en el primer párrafo del artículo 14.1 la regla general según la cual “las Partes, con el único propósito de la protección de los datos personales, no podrán prohibir o someter a especial autorización la trasferencia de dichos datos a un destinatario sujeto a la jurisdicción de otra Parte del Convenio”, y admitir a continuación excepciones para aquellos casos en que existan riesgos graves de eludir el Convenio, en el último párrafo se dispone que “Una Parte también podrá hacerlo [prohibir o someter a especial autorización las transferencias] si se encuentra vinculada por reglas de protección armonizadas compartidas por Estados pertenecientes a una organización regional o internacional”. Esta excepción aplica –como expresamente se reconoce en el Explanatory Report–, a los Estados Miembros de la UE y su razón de ser no es otra que permitirles ser parte del Convenio 108 + y, a la vez, cumplir con las condiciones relativas a las transferencias internacionales de datos personales establecidas por el RGPD que, en algunos aspectos, configuran un estándar más exigente. Mayores dificultades aún se pueden plantear en relación con el contenido del Tratado entre los Estados Unidos de América, los Estados Unidos Mexicanos y Canadá (conocido como “TMEC”),67 en cuyo articulado se acogen disposiciones relativas al flujo de datos personales entre los países firmantes que no aseguran el mantenimiento de los estándares de protección requeridos por la UE. 67 Protocolo por el que se sustituye el Tratado de libre comercio de América del Norte por el tratado entre los Estados Unidos de América, los Estados Unidos Mexicanos y Canadá. Versión final, resultado de su revisión legal, presentado por el Ejecutivo al Senado de la República el 30 de mayo de 2019.
70
Así, en su artículo 19.8 titulado “Protección de la Información Personal”, después de reconocer los beneficios económicos y sociales de la protección de la información personal y su contribución a mejorar la confianza de los consumidores,68 dispone en su apartado segundo que:
2. Con este fin, cada Parte adoptará o mantendrá un marco legal que disponga la protección de la información personal de los usuarios del comercio digital. En el desarrollo de este marco legal, cada Parte debería tomar en consideración los principios y directrices de los organismos internacionales pertinentes, tales como el Marco de Privacidad de APEC y la Recomendación del Consejo de la OCDE relativa a las Directrices de la OCDE sobre protección de la privacidad y flujos transfronterizos de datos personales (2013).
Y, tras enunciar en el apartado tercero los principios clave que se han de tomar en consideración por las Partes, establecer en el apartado cuarto una directriz de no discriminación en la aplicación del marco legal de protección de la información personal, y disponer –en el apartado quinto– que las partes publicarán la información sobre la protección que proporciona a los usuarios, incorpora en el apartado sexto un compromiso que resulta difícilmente compatible con el régimen de protección exigido por la UE en relación con las transferencias ulteriores de los datos importados de su territorio. Su tenor literal es el siguiente:
6. Reconociendo que las Partes podrán tomar diferentes enfoques legales para proteger la información personal, cada Parte debería fomentar el desarrollo de mecanismos para promover la compatibilidad entre estos diferentes regímenes. Las Partes procurarán intercambiar información sobre los mecanismos aplicados en sus jurisdicciones y explorarán maneras de extender estos u otros acuerdos adecuados para promover la compatibilidad entre estos. Las Partes reconocen que el sistema de Reglas de Privacidad Transfronterizas de APEC es un mecanismo válido para facilitar las transferencias transfronterizas de información mientras se protege la información personal.
El reconocimiento expreso, consagrado en este precepto, de que el sistema de Reglas de Privacidad Transfronterizas de APEC proporciona un marco jurídico suficiente para las transferencias internacionales de datos personales constituye un escollo de gran relieve para la evaluación favorable del régimen mexicano de transferencias ulteriores. La UE no considera que dichas Reglas garanticen un nivel de protección suficiente y así lo ha dejado claramente de manifiesto en la reciente Decisión de la CE 2019/419 relativa a la adecuación de Japón, en la que rechaza de manera deliberada y explícita su aceptación como instrumento adecuado para sustentar transferencias ulteriores de datos personales procedentes de la UE.69
68 Artículo 19.8: Protección de la Información Personal 1. Las Partes reconocen los beneficios económicos y sociales de la protección de la información personal de los usuarios del comercio digital y la contribución que esto hace a la mejora de la confianza del consumidor en el comercio digital. 69 Decisión de Ejecución (UE) 2019/419 de la Comisión de 23 de enero de 2019: “Por lo tanto, salvo en los casos en que la CPIP haya constatado que el tercer país en cuestión asegura un nivel de protección equivalente al garantizado por la LPIP (48), los requisitos contemplados en la Regla complementaria nº 4 excluyen el recurso a instrumentos de transferencia que no conduzcan a la creación de una relación vinculante entre el exportador de datos japonés y el importador de datos del tercer país y que no garanticen el nivel de protección requerido. Este será el caso, por ejemplo, del Sistema de Normas de Privacidad Transfronteriza (NPT) de la APEC, de la que Japón es una economía participante (49), ya que en dicho sistema las protecciones no son el resultado de un arreglo vinculante entre el exportador y el importador en el contexto de su relación bilateral y su nivel es claramente inferior al garantizado por la combinación de la LPIP y las Reglas complementarias (50)” (Apartado 79)
71
En consecuencia, las eventuales transferencias a los Estados Unidos o a Canadá de datos personales importados de Europa no contarían con un nivel adecuado de protección si se rigen únicamente por las Reglas APEC. Buena parte de ellas, sin embargo, podrían encontrar cobertura adecuada en las Decisiones de adecuación de la UE relativas a dichos países. En concreto, todas aquellas exportaciones de datos que tuvieran como destinatarios las entidades estadounidenses acogidas al sistema de certificación previsto en el Privacy Shield, reconocido por la Decisión 2016/1250 de la CE70 y aquellas otras cuyos receptores fuesen las entidades privadas canadienses incluidas en el ámbito de la Decisión de la Comisión de 20 de diciembre de 2001.71 Al margen de estos supuestos, todas las transferencias que no pudieran ampararse en los regímenes especiales de adecuación reconocidos por la UE para EE. UU. y Canadá, deberán sustentase sobre otros instrumentos que ofrezcan garantías adecuadas. A estos efectos, pueden resultar válidos instrumentos equivalentes o similares a los establecidos por el RGPD en su artículo 46 72 para proporcionar “salvaguardas apropiadas” en relación con las transferencias internacionales. En el ordenamiento mexicano existen fórmulas similares a las “cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional” previstas en el apartado tercero del artículo 46 RGPD. En concreto, para las transferencias procedentes de particulares, el supuesto añadido por el artículo 74 RLFPDPPP, conforme al cual ”las transferencias internacionales de datos personales serán posibles cuando el receptor de los datos personales asuma las mismas obligaciones que corresponden al responsable que transfirió los datos personales”, en relación con el cual en el artículo siguiente se dispone que “A tal efecto, el responsable que transfiera los datos personales podrá valerse de cláusulas contractuales u otros instrumentos jurídicos en los que se prevean al menos las mismas obligaciones a las que se 70 Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU (DOUE 1.8.2016) 71 Decisión de la Comisión de 20 de diciembre de 2001 con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección de los datos personales conferida por la ley canadiense Personal Information and Electronic Documents Act (DOCE 4.1.2012) 72 Artículo 46. Transferencias mediante garantías adecuadas 1.A falta de decisión con arreglo al artículo 45, apartado 3, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas. 2. Las garantías adecuadas con arreglo al apartado 1 podrán ser aportadas, sin que se requiera ninguna autorización expresa de una autoridad de control, por: a) un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos; b) normas corporativas vinculantes de conformidad con el artículo 47; c) cláusulas tipo de protección de datos adoptadas por la Comisión de conformidad con el procedimiento de examen a que se refiere el artículo 93, apartado 2; d) cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión con arreglo al procedimiento de examen a que se refiere en el artículo 93, apartado 2; e) un código de conducta aprobado con arreglo al artículo 40, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados, o f) un mecanismo de certificación aprobado con arreglo al artículo 42, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados. 3. Siempre que exista autorización de la autoridad de control competente, las garantías adecuadas contempladas en el apartado 1 podrán igualmente ser aportadas, en particular, mediante: a) cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional, o b) disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.
72
encuentra sujeto el responsable que transfiere los datos personales, así como las condiciones en las que el titular consintió el tratamiento de sus datos personales”… Todas estas previsiones legales y reglamentarias imponen exigentes requisitos a las transferencias internacionales que, desde el punto de vista material, se pueden considerar equivalentes a las exigidas por el ordenamiento europeo cuando descansan sobre “cláusulas contractuales”. No obstante, para garantizar su plena adecuación sería necesario que tales cláusulas respondan a “modelos tipo” adoptados por la autoridad de control o, en caso contrario, sean autorizadas por dicha autoridad en línea con lo dispuesto en el artículo 46 RGPD. En lo que respecta al régimen jurídico de las transferencias internacionales operadas por entidades públicas, el artículo 65 de la LGPDPPSO establece, como regla general, la exigencia de contar con consentimiento de su titular (“se encuentra sujeta al consentimiento del titular”), a la vez que reconoce como excepciones las “previstas en los artículos 22, 66, y 70 de esta Ley”. Para la valoración de la adecuación de las trasferencias basadas en el consentimiento del interesado operadas en el ámbito del sector público resultan plenamente aplicables las consideraciones realizadas más arriba en relación con las exportaciones de datos por particulares, por lo hay que remitirse a lo allí expuesto. Sin embargo, la potencial protección derivada de la regla del consentimiento se ve muy debilitada por el amplísimo elenco de excepciones admitidas. Comenzando por las previstas en el artículo 22, resulta particularmente problemática la expresada en la fracción II (“Cuando las transferencias que se realicen entre responsables, sean sobre datos personales que se utilicen para el ejercicio de facultades propias, compatibles o análogas, con la finalidad que motivó el tratamiento de datos personales”) en cuanto puede habilitar la comunicación a entidades o instituciones públicas de cualesquiera países terceros o a organismos internacionales con “funciones propias, compatibles o análogas” a las mexicanas que están tratando los datos, sin otra limitación que la de que sea “con la finalidad que motivó el tratamiento” original. Similares reservas suscitan la excepción recogida en la fracción II del artículo 66 (“Cuando la transferencia sea internacional y se encuentre prevista en una ley o tratado suscrito y ratificado por México, o bien, se realice a petición de una autoridad extranjera u organismo internacional competente en su carácter de receptor, siempre y cuando las facultades entre el responsable transferente y el receptor sean homólogas, o bien, las finalidades que motiven la transferencia sean análogas o compatibles respecto de aquellas que dieron origen al tratamiento del responsable transferente”), dado que por su amplitud, en la práctica, posibilitaría igualmente la comunicación de datos personales procedentes de la UE a entidades de cualquier otro Estado. En cuanto a las excepciones acogidas en el artículo 70, la contenida en el numeral I (que esté prevista en una ley o en convenios o Tratados internacionales suscritos y ratificados por México) es merecedora de las mismas consideraciones ya expuestas en relación con la formulación homóloga del artículo 37.I LFPDPPP. Por su parte, la excepción del numeral II coincide casi al pie de la letra con la establecida en el artículo 22. II de la misma ley, por lo que vale también para ella lo dicho en relación con esta última. Lo mismo sucede con el numeral VIII del artículo 70, que vuelve a introducir como excepciones de forma redundante las ya establecidas en el artículo 22. Con todo, buena parte de los déficits de protección que se derivan de los preceptos examinados se podrían minimizar o eliminar si las transferencias ulteriores de los datos procedentes de la UE se
73
dotan de garantías adicionales que proporcionen salvaguardas efectivas. A estos efectos resulta muy adecuado lo dispuesto en el artículo 68 de la LGPDPPSO, conforme al cual “El responsable sólo podrá transferir o hacer remisión de datos personales fuera del territorio nacional cuando el tercero receptor o el encargado se obligue a proteger los datos conforme a los principios y deberes que establece la presente Ley y las disposiciones que resulten aplicables en la materia” en conexión con lo establecido, con carácter general en el artículo 66 al exigir que “Toda transferencia deberá formalizarse mediante la suscripción de cláusulas contractuales, convenios de colaboración o cualquier otro instrumento jurídico, de conformidad con la normatividad que le resulte aplicable al responsable, que permita demostrar el alcance del tratamiento de los datos personales, así como las obligaciones y responsabilidades asumidas por las partes”. Tal y como se ha observado en relación con las previsiones análogas del RLFPDPPP, las “cláusulas contractuales” son uno de los instrumentos reconocidos en el artículo 46 del RGPD para ofrecer garantías adecuadas en las transferencias internacionales, pero se requiere que respondan a “cláusulas tipo” aprobadas por la Comisión o, alternativamente, que las cláusulas contractuales acordadas entre el responsable o el encargado y el responsable, encargado o destinatario de los datos en el tercer país u organización internacional hayan sido autorizadas por la autoridad de control competente. En definitiva, el sistema mexicano de transferencias internacionales presenta notables asimetrías con el de la UE y permite vías de comunicación a destinatarios situados en terceros estados que no garantizan que los datos personales procedentes de la UE gocen de un nivel de protección equivalente en lo que concierne a las transferencias ulteriores.
Con el fin de asegurar que los datos personales que salen de la UE gocen siempre de un nivel de protección equivalente al que tienen en origen, la CE exige que los países que aspiran a un reconocimiento de adecuación ofrezcan garantías suficientes de que el grado de protección de los datos que se les transfieren no resulte comprometido por la transferencia ulterior de dichos datos a destinatarios situados en terceros países. De ahí que uno de los ámbitos sometidos a mayor escrutinio en el proceso de evaluación de la adecuación sea el de las “transferencias ulteriores”. En relación con esta cuestión, el WP 254 en el apartado 9) de los “Principios relativos al contenido”, que tiene por objeto precisamente las “restricciones a transferencias ulteriores”, enuncia una serie de limitaciones y exigencias que están orientadas al objetivo declarado de garantizar que el nivel de protección de los derechos de las personas físicas cuyos datos se transfieren a un país reconocido como adecuado no resulte menoscabado por eventuales transferencias ulteriores a destinatarios ubicados en otros países que mantengan niveles de protección inferiores. Así, en primer término, señala que “Las transferencias ulteriores de datos personales por parte del destinatario inicial de la transferencia de datos original solo se permitirán cuando otro destinatario (el destinatario de la transferencia ulterior) también esté sujeto a normas (incluidas normas contractuales) que otorguen un nivel de protección adecuado y cumplan las instrucciones pertinentes al tratar los datos en nombre del responsable del tratamiento.” En segundo lugar, dispone que “El destinatario inicial de los datos transferidos desde la UE será responsable de garantizar que se ofrecen garantías adecuadas para las transferencias ulteriores de datos en ausencia de una decisión de adecuación.”
74
Y, por último, restringe el margen de decisión de los exportadores al determinar que “Estas transferencias ulteriores de datos solo se deben realizar para unos fines limitados y específicos, y siempre que existan fundamentos jurídicos para dicho tratamiento.” A la hora de valorar si México cumple con los requisitos exigidos por la UE en relación con las transferencias ulteriores de datos personales es necesario tener presente que en su normatividad se ordenan por separado las realizadas por entidades del sector privado y las realizadas por entidades públicas. Las primeras se encuentran reguladas en los artículos 36 y 37 de la LFPDPPP y en los artículos 67 a 70 y 74 a 76 del RLFPDPPP. Y las segundas en los artículos 65 a 70 de la LGPDPPSO. A diferencia de lo que sucede en la regulación europea, la normatividad mexicana disciplina las transferencias internacionales conjuntamente con las nacionales, si bien establece reglas específicas para las primeras. Comenzando por las trasferencias correspondientes al sector privado, de los artículos citados de la LFPDPPP y el RLFPDPPP se deriva que su régimen jurídico se configura básicamente en los siguientes términos:
1. Como regla, las transferencias internacionales sólo son lícitas si se basan en el consentimiento informado del interesado (el “titular”), que deberá haberlo prestado previamente con arreglo al aviso de privacidad, y deberán limitarse a las finalidades para las que se otorgó el consentimiento (artículos 36 de la LFPDPPP y 38 del RLFPDPPP)
2. Alternativamente, se permiten transferencias internacionales de datos personales sin el consentimiento del titular cuando concurra alguno de los supuestos previstos en el artículo 37 de la LFPDPPP:
I. Cuando la transferencia esté prevista en una Ley o Tratado en los que México sea parte; II. Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios; III. Cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas; IV. Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero; V. Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia; VI. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y VII. Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.
Este elenco inicial de supuestos en los que se admiten las transferencias internacionales sin consentimiento del titular resulta ampliado por el RLFPDPPP al disponer en su artículo 74 lo siguiente:
75
Condiciones específicas para las transferencias internacionales Artículo 74. Sin perjuicio de lo dispuesto en el artículo 37 de la Ley, las transferencias internacionales de datos personales serán posibles cuando el receptor de los datos personales asuma las mismas obligaciones que corresponden al responsable que transfirió los datos personales.
Un supuesto adicional para el que se especifica en el artículo 75 lo siguiente:
Formalización de las transferencias internacionales Artículo 75. A tal efecto, el responsable que transfiera los datos personales podrá valerse de cláusulas contractuales u otros instrumentos jurídicos en los que se prevean al menos las mismas obligaciones a las que se encuentra sujeto el responsable que transfiere los datos personales, así como las condiciones en las que el titular consintió el tratamiento de sus datos personales.
La regulación expuesta conforma un régimen de ordenación de las trasferencias internacionales que presenta varias debilidades de cara a garantizar que el nivel de protección de los datos personales transferidos desde la Unión Europea a entidades del sector privado de México no se vería afectado negativamente en caso de ulteriores transferencias a terceros estados. La necesidad de contar con el consentimiento del titular para realizar la transferencia, establecida en el artículo 36 de la LFPDPPP y precisada en el artículo 38 del RLFPDPPP, unida al requisito de información previa en el aviso de privacidad y la limitación de finalidad, igualmente requeridos en dichos artículos, ofrece una protección inicial que se podría considerar adecuada siempre y cuando esté acompañada de garantías suficientes que permitan verificar su observancia efectiva. En todo caso, sería inexcusable que entre esas garantías se requiera que el exportador de datos mexicano esté en condiciones de poder acreditar que ha informado al interesado afectado por los datos transferidos desde la UE (al titular en la terminología mexicana) sobre el propósito de realizar una transferencia ulterior, y que dicha información se ha realizado en unos términos que le permitan evaluar el riesgo que para sus derechos entraña la exportación de los mismos a un tercer país, de suerte que se le sitúe en condiciones de tomar una decisión con pleno conocimiento de causa en cuando a prestar o no su consentimiento a la transferencia ulterior. En la medida en que, sólo cuando se disponga del consentimiento informado del titular en las condiciones señaladas, se permite la transferencia de datos personales procedentes de la UE fuera del territorio mexicano (sea a un encargado de tratamiento o a un tercero), se asegura indudablemente una protección adecuada. Evidentemente, no cabe desconocer que la dificultad práctica de recabar el consentimiento con tales requisitos hace altamente costosa cualquier transferencia ulterior sustentada en este fundamento. Más allá de ello, los principales problemas a los que se puede enfrentar el régimen mexicano de transferencias en el marco del examen de adecuación radican en las excepciones a la regla general del consentimiento establecidas en el artículo 37 de la LFPDPPP antes reproducido. La opción del legislador mexicano de regular conjuntamente las transferencias nacionales y las internacionales genera una asimetría con el modelo europeo que añade un grado de dificultad a la evaluación de las equivalencias entre ambos sistemas. Algunas de las excepciones del artículo 37 de la LFPDPPP podrían encontrar su equivalencia en el derecho de la UE en la medida en que se correspondan con las “excepciones para situaciones
76
específicas” reconocidas en el artículo 49 del RGPD.73 Este podría ser el caso de las previstas en los numerales IV (“Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero”), V (“Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia”), VI (“Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial), y VII (“Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular”), si bien podrían ser requeridas algunas matizaciones adicionales para una plena adecuación. También podría considerarse admisible la excepción acogida en el numeral II (“Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios”) si las finalidades descritas se vinculan con la protección de intereses vitales del interesado o de otras personas, o con razones importantes de interés público. La excepción del numeral III (“Cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas”), en cambio, únicamente podría considerarse que garantiza un nivel de protección equivalente si el requisito de que “opere bajo los mismos procesos y políticas internas” se traduce en la exigencia de que el grupo exportador cuente con reglas internas de carácter vinculante que disciplinen sus actividades de tratamientos de datos personales de manera global con arreglo a estándares de protección equivalentes a los establecidos por el RGPD para las “normas corporativas vinculantes” en su artículo 47. Dichas reglas deberían en todo caso estar validadas por la autoridad de control mexicana en virtud de parámetros equiparables a los exigidos por el RGPD.74 Con todo, las dificultades más destacadas para el reconocimiento de un nivel adecuado de protección de la normatividad mexicana en lo concerniente a las transferencias ulteriores a terceros países de datos personales procedentes de la UE las plantea la excepción acogida en el numeral I del artículo 37 de la LFPDPPP, conforme a la cual, podrán llevarse a cabo transferencias internacionales de datos sin el consentimiento del titular “cuando la transferencia esté prevista en una Ley o Tratado en los que México sea parte.” Aunque el supuesto de que la transferencia ulterior esté prevista en una Ley haya sido concebido principalmente para las transferencias internas, la mera posibilidad de que por ley también se autoricen trasferencias de datos personales a terceros estados, sin exigir que el país de destino posea un nivel de protección equivalente o sin requerir salvaguardas adecuadas para garantizar la continuidad del nivel de protección de los datos personales, no resulta admisible desde el punto de vista del RGPD. Una vez más la regulación conjunta de las transferencias nacionales y las internacionales introduce un elemento de dificultad complementario.
73 En relación con el alcance de estas excepciones, vid. el documento del CEPD “Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679”, adoptado el 25 de mayo de 2018. 74 Cfr., al respecto, las guías elaboradas por el GT 29 y publicadas en los siguientes documentos: WP 256 y 257 de 6 de febrero de 2018, WP 263 y 264, se 11 de abril de 2018. Elaboradas por el GT 29, fueron avaladas por el CEPD en su primera reunión plenaria el 25 de mayo de 2018.
77
Por otra parte, la habilitación para realizar transferencias internacionales sin el consentimiento del titular cuando estén previstas en un “Tratado” en el que México sea parte, estipulada con carácter general e incondicionado –como figura en el numeral I del artículo 37 de la LFPDPPP–, resulta claramente incompatible con los requerimientos del RGPD. El nivel de protección garantizado por el RGPD se podría ver menoscabado si los datos personales procedentes de la UE pueden ser exportados a destinatarios situados en terceros países con estándares de protección inferior en virtud de los compromisos adquiridos por México en los Tratados en los que sea parte, sin requerir garantías adicionales. En este contexto es preciso tener presente que, si bien la ratificación del Convenio 108 y su implementación es un activo relevante a la hora de evaluar si un país ofrece un nivel adecuado de protección –tal y como reconoce expresamente por el propio RGPD en su considerando 105–, la CE no considera garantía suficiente para la salvaguarda del nivel de protección en las transferencias ulteriores el mero hecho que el país destinatario de las mismas sea otro Estado parte del Convenio 108. Tanto es así que, en la nueva versión modernizada del Convenio 108, conocida como “Convenio 108 +”, que contiene estándares de protección superiores a los del Convenio original, se ha introducido una cláusula de excepción con la finalidad de dejar clara esta cuestión. Así, el nuevo Convenio 108 +, tras establecer en el primer párrafo del apartado 1 del artículo 14 la regla general según la cual “las Partes, con el único propósito de la protección de los datos personales, no podrán prohibir o someter a especial autorización la trasferencia de dichos datos a un destinatario sujeto a la jurisdicción de otra Parte del Convenio”, y admitir a continuación excepciones para aquellos casos en que existan riesgos graves de eludir el Convenio, en el último párrafo se dispone que “Una Parte también podrá hacerlo [prohibir o someter a especial autorización las transferencias] si se encuentra vinculada por reglas de protección armonizadas compartidas por Estados pertenecientes a una organización regional o internacional”. Esta excepción aplica –como expresamente se reconoce en el Explanatory Report–, a los Estados Miembros de la UE y su razón de ser no es otra que permitirles ser parte del Convenio 108 + y, a la vez, cumplir con las condiciones relativas a las transferencias internacionales de datos personales establecidas por el RGPD que, en algunos aspectos, configuran un estándar más exigente. Mayores dificultades aún se pueden plantear en relación con el contenido del TMEC75 en cuyo articulado se acogen disposiciones relativas al flujo de datos personales entre los países firmantes que no aseguran el mantenimiento de los estándares de protección de la UE. Así, en su artículo 19.8 titulado “Protección de la Información Personal”, después de reconocer los beneficios económicos y sociales de la protección de la información personal y su contribución a mejorar la confianza de los consumidores,76 dispone en su apartado segundo que:
2. Con este fin, cada Parte adoptará o mantendrá un marco legal que disponga la protección de la información personal de los usuarios del comercio digital. En el desarrollo de este marco legal, cada Parte debería tomar en consideración los
75 Protocolo por el que se sustituye el Tratado de libre comercio de América del Norte por el tratado entre los Estados Unidos de América, los Estados Unidos Mexicanos y Canadá. Versión final, resultado de su revisión legal, presentado por el Ejecutivo al Senado de la República el 30 de mayo de 2019. 76 Artículo 19.8: Protección de la Información Personal 1. Las Partes reconocen los beneficios económicos y sociales de la protección de la información personal de los usuarios del comercio digital y la contribución que esto hace a la mejora de la confianza del consumidor en el comercio digital.
78
principios y directrices de los organismos internacionales pertinentes, tales como el Marco de Privacidad de APEC y la Recomendación del Consejo de la OCDE relativa a las Directrices de la OCDE sobre protección de la privacidad y flujos transfronterizos de datos personales (2013).
Y, tras enunciar en el apartado tercero los principios clave que se han de tomar en consideración por las Partes, establecer en el apartado cuarto una directriz de no discriminación en la aplicación del marco legal de protección de la información personal, y disponer –en el apartado quinto– que las partes publicarán la información sobre la protección que proporciona a los usuarios, incorpora en el apartado sexto un compromiso que resulta difícilmente compatible con el régimen de protección exigido por la UE en relación con las transferencias ulteriores de los datos importados de su territorio. Su tenor literal es el siguiente:
6. Reconociendo que las Partes podrán tomar diferentes enfoques legales para proteger la información personal, cada Parte debería fomentar el desarrollo de mecanismos para promover la compatibilidad entre estos diferentes regímenes. Las Partes procurarán intercambiar información sobre los mecanismos aplicados en sus jurisdicciones y explorarán maneras de extender estos u otros acuerdos adecuados para promover la compatibilidad entre estos. Las Partes reconocen que el sistema de Reglas de Privacidad Transfronterizas de APEC es un mecanismo válido para facilitar las transferencias transfronterizas de información mientras se protege la información personal.
El reconocimiento expreso, consagrado en este precepto, de que el sistema de Reglas de Privacidad Transfronterizas de APEC proporciona un marco jurídico suficiente para las transferencias internacionales de datos personales constituye un escollo de gran relieve para la evaluación favorable del régimen mexicano de transferencias ulteriores. La UE no considera que dichas Reglas garanticen un nivel de protección suficiente y así lo ha dejado claramente de manifiesto en la reciente Decisión de la CE 2019/419 relativa a la adecuación de Japón, en la que rechaza de manera deliberada y explícita su aceptación como instrumento adecuado para sustentar transferencias ulteriores de datos personales procedentes de la UE.77 En consecuencia, las eventuales transferencias a los Estados Unidos o a Canadá de datos personales importados de Europa no contarían con un nivel adecuado de protección si se rigen únicamente por las Reglas APEC. Buena parte de ellas, sin embargo, podrían encontrar cobertura adecuada en las Decisiones de adecuación de la UE relativas a dichos países. En concreto, todas aquellas exportaciones de datos que tuvieran como destinatarios las entidades estadounidenses acogidas al sistema de certificación previsto en el Privacy Shield, reconocido por la Decisión 2016/1250 de la Comisión 78 y aquellas otras cuyos receptores fuesen las entidades privadas
77 Decisión de Ejecución (UE) 2019/419 de la Comisión de 23 de enero de 2019: “Por lo tanto, salvo en los casos en que la CPIP haya constatado que el tercer país en cuestión asegura un nivel de protección equivalente al garantizado por la LPIP (48), los requisitos contemplados en la Regla complementaria nº 4 excluyen el recurso a instrumentos de transferencia que no conduzcan a la creación de una relación vinculante entre el exportador de datos japonés y el importador de datos del tercer país y que no garanticen el nivel de protección requerido. Este será� el caso, por ejemplo, del Sistema de Normas de Privacidad Transfronteriza (NPT) de la APEC, de la que Japón es una economía participante (49), ya que en dicho sistema las protecciones no son el resultado de un arreglo vinculante entre el exportador y el importador en el contexto de su relación bilateral y su nivel es claramente inferior al garantizado por la combinación de la LPIP y las Reglas complementarias (50)” (Apartado 79) 78 Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU (DOUE 1.8.2016)
79
canadienses incluidas en el ámbito de la Decisión de la Comisión de 20 de diciembre de 2001.79 Al margen de estos supuestos, todas las transferencias que no pudieran ampararse en los regímenes especiales de adecuación reconocidos por la UE para EE. UU. y Canadá, deberán sustentase sobre otros instrumentos que ofrezcan garantías adecuadas. A estos efectos, pueden resultar válidos instrumentos equivalentes o similares a los establecidos por el RGPD en su artículo 46 80 para proporcionar “salvaguardas apropiadas” en relación con las transferencias internacionales. En el ordenamiento mexicano existen fórmulas similares a las “cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional” previstas en el apartado tercero del artículo 46 del RGPD. En concreto, para las transferencias procedentes de particulares, el supuesto añadido por el artículo 74 del RLFPDPPP, conforme al cual ”las transferencias internacionales de datos personales serán posibles cuando el receptor de los datos personales asuma las mismas obligaciones que corresponden al responsable que transfirió los datos personales”, en relación con el cual en el artículo siguiente se dispone que “A tal efecto, el responsable que transfiera los datos personales podrá valerse de cláusulas contractuales u otros instrumentos jurídicos en los que se prevean al menos las mismas obligaciones a las que se encuentra sujeto el responsable que transfiere los datos personales, así como las condiciones en las que el titular consintió el tratamiento de sus datos personales”… Todas estas previsiones legales y reglamentarias imponen exigentes requisitos a las transferencias internacionales que, desde el punto de vista material, se pueden considerar equivalentes a las exigidas por el ordenamiento europeo cuando descansan sobre “cláusulas contractuales”. No obstante, para garantizar su plena adecuación sería necesario que tales cláusulas respondan a “modelos tipo” adoptados por la autoridad de control o, en caso contrario, sean autorizadas por dicha autoridad en línea con lo dispuesto en el artículo 46 del RGPD.
79 Decisión de la Comisión de 20 de diciembre de 2001 con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección de los datos personales conferida por la ley canadiense Personal Information and Electronic Documents Act (DOCE 4.1.2012) 80 Artículo 46. Transferencias mediante garantías adecuadas 1.A falta de decisión con arreglo al artículo 45, apartado 3, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas. 2. Las garantías adecuadas con arreglo al apartado 1 podrán ser aportadas, sin que se requiera ninguna autorización expresa de una autoridad de control, por: a) un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos; b) normas corporativas vinculantes de conformidad con el artículo 47; c) cláusulas tipo de protección de datos adoptadas por la Comisión de conformidad con el procedimiento de examen a que se refiere el artículo 93, apartado 2; d) cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión con arreglo al procedimiento de examen a que se refiere en el artículo 93, apartado 2; e) un código de conducta aprobado con arreglo al artículo 40, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados, o f) un mecanismo de certificación aprobado con arreglo al artículo 42, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados. 3. Siempre que exista autorización de la autoridad de control competente, las garantías adecuadas contempladas en el apartado 1 podrán igualmente ser aportadas, en particular, mediante: a) cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional, o b) disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.
80
En lo que respecta al régimen jurídico de las transferencias internacionales operadas por entidades públicas, el artículo 65 de la LGPDPPSO establece, como regla general, la exigencia de contar con consentimiento de su titular (“se encuentra sujeta al consentimiento del titular”), a la vez que reconoce como excepciones las “previstas en los artículos 22, 66, y 70 de esta Ley”. Para la valoración de la adecuación de las trasferencias basadas en el consentimiento del interesado operadas en el ámbito del sector público resultan plenamente aplicables las consideraciones realizadas más arriba en relación con las exportaciones de datos por particulares, por lo hay que remitirse a lo allí expuesto. Sin embargo, la potencial protección derivada de la regla del consentimiento se ve muy debilitada por el amplísimo elenco de excepciones admitidas. Comenzando por las previstas en el artículo 22, resulta particularmente problemática la expresada en el numeral II (“Cuando las transferencias que se realicen entre responsables, sean sobre datos personales que se utilicen para el ejercicio de facultades propias, compatibles o análogas, con la finalidad que motivó el tratamiento de datos personales”) en cuanto puede habilitar la comunicación a entidades o instituciones públicas de cualesquiera países terceros o a organismos internacionales con “funciones propias, compatibles o análogas” a las mexicanas que están tratando los datos, sin otra limitación que la de que sea “con la finalidad que motivó el tratamiento” original. Similares reservas suscitan la excepción recogida en la fracción II del artículo 66 (“Cuando la transferencia sea internacional y se encuentre prevista en una ley o tratado suscrito y ratificado por México, o bien, se realice a petición de una autoridad extranjera u organismo internacional competente en su carácter de receptor, siempre y cuando las facultades entre el responsable transferente y el receptor sean homólogas, o bien, las finalidades que motiven la transferencia sean análogas o compatibles respecto de aquellas que dieron origen al tratamiento del responsable transferente”), dado que por su amplitud, en la práctica, posibilitaría igualmente la comunicación de datos personales procedentes de la UE a entidades de cualquier otro Estado. En cuanto a las excepciones acogidas en el artículo 70, la contenida en el numeral I (que esté prevista en una ley o en convenios o Tratados internacionales suscritos y ratificados por México) es merecedora de las mismas consideraciones ya expuestas en relación con la formulación homóloga de la fracción I del artículo 37 de la LFPDPPP. Por su parte, la excepción del numeral II coincide casi al pie de la letra con la establecida en la fracción II del artículo 22 de la misma ley, por lo que vale también para ella lo dicho en relación con esta última. Lo mismo sucede con la fracción VIII del artículo 70, que vuelve a introducir como excepciones de forma redundante las ya establecidas en el artículo 22. Con todo, buena parte de los déficits de protección que se derivan de los preceptos examinados se podrían minimizar o eliminar si las transferencias ulteriores de los datos procedentes de la UE se dotan de garantías adicionales que proporcionen salvaguardas efectivas. A estos efectos resulta muy adecuado lo dispuesto en el artículo 68 de la LGPDPPSO, conforme al cual “El responsable sólo podrá transferir o hacer remisión de datos personales fuera del territorio nacional cuando el tercero receptor o el encargado se obligue a proteger los datos conforme a los principios y deberes que establece la presente Ley y las disposiciones que resulten aplicables en la materia” en conexión con lo establecido, con carácter general en el artículo 66 al exigir que “Toda transferencia deberá formalizarse mediante la suscripción de cláusulas contractuales, convenios de colaboración o cualquier otro instrumento jurídico, de conformidad con la normatividad que le resulte aplicable al
81
responsable, que permita demostrar el alcance del tratamiento de los datos personales, así como las obligaciones y responsabilidades asumidas por las partes”. Tal y como se ha observado en relación con las previsiones análogas del RLFPDPPP, las “cláusulas contractuales” son uno de los instrumentos reconocidos en el artículo 46 del RGPD para ofrecer garantías adecuadas en las transferencias internacionales, pero se requiere que respondan a “cláusulas tipo” aprobadas por la Comisión o, alternativamente, que las cláusulas contractuales acordadas entre el responsable o el encargado y el responsable, encargado o destinatario de los datos en el tercer país u organización internacional hayan sido autorizadas por la autoridad de control competente. En definitiva, el sistema mexicano de transferencias internacionales presenta notables asimetrías con el de la UE y permite vías de comunicación a destinatarios situados en terceros estados que no garantizan que los datos personales procedentes de la UE gocen de un nivel de protección equivalente en lo que concierne a las transferencias ulteriores.
3. Ejemplos de principios de contenido adicionales que deben aplicarse a tipos específicos de tratamiento
El apartado B del WP254 referente a “Ejemplos de principios de contenido adicionales que deben aplicarse a tipos específicos de tratamiento” incluye una serie de ejemplos sobre los principios de contenido adicionales que deben ser aplicados a determinados tratamientos de datos personales y que deben estar desarrollados en el marco jurídico de un tercer país u organización internacional a fin de garantizar una equivalencia esencial con el marco jurídico en materia de protección de datos en la UE. Los principios de contenido que el WP 254 establece son: 1) categorías especiales de datos personales; 2) mercadotecnia directa y 3) decisiones automatizadas y elaboración de perfiles.
A. Categorías especiales de datos En relación con este requisito el WP 254 indica que a fin de garantizar una equivalencia esencial con el marco jurídico en materia de protección de datos en la UE, en el tercer país u organización deben existir salvaguardas específicas cuando se trate de categorías especiales de datos.81 Esto significa
81 Las categorías especiales de datos referidas son conocidas como «datos sensibles» en el considerando 10 del RGPD: 10) Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea. En lo que respecta al tratamiento de datos personales para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, los Estados miembros deben estar facultados para mantener o adoptar disposiciones nacionales a fin de especificar en mayor grado la aplicación de las normas del presente Reglamento. Junto con la normativa general y horizontal sobre protección de datos por la que se aplica la Directiva 95/46/CE, los Estados miembros cuentan con distintas normas sectoriales específicas en ámbitos que precisan disposiciones más específicas. El presente Reglamento reconoce también un margen de maniobra para que los Estados miembros especifiquen sus normas, inclusive para el tratamiento de categorías especiales de datos personales («datos sensibles»). En este sentido, el presente Reglamento no excluye el Derecho de los
82
que las categorías de datos personales deben reflejar las disposiciones de los artículos 9 y 10 del RGPD y mediante la aplicación de requisitos más exigentes para el tratamiento de datos como cuando el interesado dé su consentimiento explícito para el tratamiento, o mediante medidas de seguridad adicionales.
a) Normatividad del sector privado La LFPDPPP incorpora en la fracción V de su artículo 3 la definición de datos personales “sensibles” que señala lo siguiente:
Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual (artículo 3.V. de la LFPDPPP).
El concepto de datos personales sensibles empleado por la LFPDPPP se refiere a categorías especiales de datos personales (conforme a lo previsto por el considerando 20 del RGPD) cuyo tratamiento se encuentro sujeto a medidas de protección específicas con el propósito de limitar su tratamiento y garantizar su protección. La definición de datos personales sensibles en la LFPDPPP tiene dos partes claramente diferenciadas. De un lado, un primer apartado descriptivo o abierto, que puede dar lugar a interpretación, y que señala que son aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste.82 De otro, una enumeración83 que revela que, en concreto, son aquellos datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual.
Estados miembros que determina las circunstancias relativas a situaciones específicas de tratamiento, incluida la indicación pormenorizada de las condiciones en las que el tratamiento de datos personales es lícito. 82 En esta misma sintonía, los Estándares de Protección de Datos Personales para los Estados Iberoamericanos indican que se consideran datos sensibles los siguientes: “Datos personales sensibles: aquellos que se refieran a la esfera íntima de su titular, o cuya utilización indebida puedan dar origen a discriminación o conlleve un riesgo grave para éste. De manera enunciativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico; creencias o convicciones religiosas, filosóficas y morales; afiliación sindical; opiniones políticas; datos relativos a la salud, a la vida, preferencia u orientación sexual, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física. (Artículo 2, inciso d., Estándares de Protección de Datos para los Estados Iberoamericanos). 83 La Ley Federal de Protección de Datos personales en Posesión de los Particulares en la fracción VI de su artículo 3 define a los datos personales sensibles de la siguiente forma: datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.
83
En todo caso, a pesar de que es una lista concreta, tampoco puede considerarse que sea un número cerrado, y, por lo tanto, gran parte de su concreción en la práctica depende del contexto en el que se realice el tratamiento. Por ello, aunque la LFPDPPP no establece de forma concreta que, los datos relativos a condenas e infracciones penales están dentro del catálogo de datos sensibles, estos pueden inscribirse bajo dicha categoría en términos de la LFPDPPP ya que su tratamiento indebido puede poner en riesgo los derechos y libertades del titular de los datos. No obstante, aunque los datos relativos a condenas e infracciones penales pueden considerarse como sensibles, la LFPDPPP no indica, a diferencia del artículo 10 del RGPD84 que su tratamiento deba realizarse bajo la supervisión de las autoridades públicas o cuando lo autorice el derecho interno y tampoco sujeta la creación de un registro completo de condenas penales al control de las autoridades públicas como figura en el RGPD, por lo que, en este apartado podemos encontrar una “asimetría” o “discrepancia” entre ambos dispositivos normativos. Sin embargo, como se explicará más adelante, debe destacarse que, aunque la LFPDPPP no sujeta el tratamiento de estos datos al control de autoridades públicas si puede limitar su tratamiento a la existencia de un consentimiento expreso y por escrito, así como restringir la creación de bases de datos con esta información. Con base en lo anterior se puede sostener que los datos personales sensibles forman parte de un determinado grupo de informaciones susceptibles de una reconsideración respecto a una categoría general y homogénea por sus especiales peculiaridades y características85, que los constituye en una categoría especial de datos, protegidos bajo reglas específicas. Como decíamos, la definición legal implica que no sólo se encuentren dentro de esta categoría de “datos personales sensibles” los que por su naturaleza lo sean, sino también otros a partir de los cuales se puede inferir información personal sensible de una persona. Por lo tanto, no se trata de una definición estática ni monótona, ya que el contexto y las consecuencias del tratamiento puede convertir a una categoría de datos no especial a simple vista en datos sensibles. Respecto de las medidas ordenadas por la LFPDPPP para su protección y lícito tratamiento es importante citar el contenido del artículo 9 del citado ordenamiento y que establece el requisito del consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca para legitimar su tratamiento, salvo que dicho consentimiento pudiera no ser requerido en términos del artículo 1086 del citado dispositivo normativo:
84 Artículo 10 Tratamiento de datos personales relativos a condenas e infracciones penales El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas sobre la base del artículo 6, apartado 1, sólo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados. Solo podrá llevarse un registro completo de condenas penales bajo el control de las autoridades públicas. 85 Álvarez González, Susana, Derechos fundamentales y protección de datos genéticos, España, Dykinson, 2007, pp. 50-51. 86 Artículo 10.- No será necesario el consentimiento para el tratamiento de los datos personales cuando: I. Esté previsto en una Ley; II. Los datos figuren en fuentes de acceso público; III. Los datos personales se sometan a un procedimiento previo de disociación; IV. Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable; V. Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes; VI. Sean indispensables para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento, en los términos
84
Artículo 9.- Tratándose de datos personales sensibles, el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca. …
Por su parte, el RLFPDPPP reitera lo anterior al indicar que el responsable debe obtener el consentimiento expreso del titular cuando el tratamiento involucre datos personales sensibles:
Consentimiento expreso Artículo 15. El responsable deberá obtener el consentimiento expreso del titular cuando: I. Lo exija una ley o reglamento; II. Se trate de datos financieros o patrimoniales; III. Se trate de datos sensibles; IV. Lo solicite el responsable para acreditar el mismo, o V. Lo acuerden así el titular y el responsable.
Asimismo, es importante destacar que el segundo párrafo del artículo 9 de la LFPDPPP restringe el tratamiento de datos personales y de forma general lo limita a la existencia de finalidades legítimas, concretas y acordes con los fines perseguidos por el responsable:
No podrán crearse bases de datos que contengan datos personales sensibles, sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el sujeto regulado.
El RLFPDPPP establece además que únicamente podrán crearse bases de datos con datos sensibles bajo los siguientes supuestos concretos:
Supuestos para la creación de bases de datos personales sensibles Artículo 56. En términos de lo previsto en el artículo 9, segundo párrafo de la Ley, sólo podrán crearse bases de datos que contengan datos personales sensibles cuando: I. Obedezca a un mandato legal; II. Se justifique en términos del artículo 487 de la Ley, o III. El responsable lo requiera para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persiga.
La reacción anterior es consistente con el contenido del apartado 1 del artículo 9 del RGPD que proscribe el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.
que establece la Ley General de Salud y demás disposiciones jurídicas aplicables y que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente, o VII. Se dicte resolución de autoridad competente. 87 Artículo 4.- Los principios y derechos previstos en esta Ley, tendrán como límite en cuanto a su observancia y ejercicio, la protección de la seguridad nacional, el orden, la seguridad y la salud públicos, así como los derechos de terceros.
85
Además, es fundamental destacar que, las previsiones de los artículos 9 y 10 de la LFPDPPP son similares y consistentes con el contenido del apartado 2 del artículo 9 del RGPD que establece las bases de legitimación para el tratamiento de estas categorías de datos personales. Respecto de las previsiones del artículo 9 del RGPD es importante destacar la limitación de tratamiento de datos de salud bajo la supervisión y responsabilidad de un profesional de salud sujeto a la obligación de secreto profesional:
3. Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.
Al respecto, resulta de aplicación la Norma Oficial Mexicana NOM-004-SSA3-2012, Del expediente clínico (NOM-004-SSA3-2012) 88 que establece entre sus disposiciones lo siguiente:
0 Introducción … Un aspecto fundamental en esta norma es el reconocimiento de la titularidad del paciente sobre los datos que proporciona al personal del área de la salud. En ese sentido, se han considerado aquellos datos que se refieren a su identidad personal y los que proporciona en relación con su padecimiento; a todos ellos, se les considera información confidencial. Lo anterior ratifica y consolida el principio ético del secreto profesional. …
5.5 Para efectos de manejo de información, bajo los principios señalados en el numeral anterior, dentro del expediente clínico se deberá tomar en cuenta lo siguiente: Los datos personales contenidos en el expediente clínico, que posibiliten la identificación del paciente, en términos de los principios científicos y éticos que orientan la práctica médica, no deberán ser divulgados o dados a conocer. Cuando se trate de la publicación o divulgación de datos personales contenidos en el expediente clínico, para efectos de literatura médica, docencia, investigación o fotografías, que posibiliten la identificación del paciente, se requerirá la autorización escrita del mismo, en cuyo caso, se adoptarán las medidas necesarias para que éste no pueda ser identificado.
5.5.1 Datos proporcionados al personal de salud, por el paciente o por terceros, mismos que, debido a que son datos personales son motivo de confidencialidad, en términos del secreto médico profesional y demás disposiciones jurídicas que resulten aplicables. Únicamente podrán ser proporcionados a terceros cuando medie la solicitud escrita del paciente, el tutor, representante legal o de un médico debidamente autorizado por el paciente, el tutor o representante legal; …
88 En relación con la aplicación de la NOM-004-SSA3-2012 debe destacarse lo siguiente: 2 Campo de aplicación Esta norma, es de observancia obligatoria para el personal del área de la salud y los establecimientos prestadores de servicios de atención médica de los sectores público, social y privado, incluidos los consultorios.
86
Del contenido de la NOM-004-SSA3-2012 se puede constatar que la normatividad nacional recrea con claridad las disposiciones del apartado 3 del artículo 9 del RGPD referentes a la sujeción del tratamiento de datos sensibles de salud por profesionales de salud en términos de la normatividad aplicable. De conformidad con lo anterior se puede afirmar que la LFPDPPP contiene reglas claras y medidas de protección que limitan el tratamiento de datos personales sensibles con el propósito de garantizar su tratamiento legítimo e informado y proveer de la seguridad requerida para su tratamiento, por lo que, se puede afirmar que estas medidas (obtención del consentimiento expreso y por escrito a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca y limitación de su tratamiento) son acordes con los requisitos del RGPD y el WP 254. En consecuencia, es dable señalar que las previsiones de la LFPDPPP respecto del tratamiento de datos personales sensibles no implican la existencia de una asimetría legal o discrepancia jurídica, respecto del contenido del RGPD y los requerimientos del WP 254 para valorar el nivel adecuado de protección de un tercer país como México. Sin embargo, es pertinente que la LFPDPPP regule el tema de datos relativos a infracciones y condenas penales ya que, en términos del RGPD se consideran categorías sujetas a una protección especial que la LFPDPPP no contempla.
b) Normatividad del sector público La LGPDPPSO incorpora en la fracción X de su artículo 3 la definición de datos personales “sensibles” que señala lo siguiente:
X. Datos personales sensibles: Aquellos que se refieran a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. De manera enunciativa más no limitativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual;
El concepto de datos personales sensibles empleado por la LGPDPPSO se refiere a categorías especiales de datos personales (conforme a lo previsto por el considerando 20 del RGPD) cuyo tratamiento se encuentro sujeto a medidas de protección específicas con el propósito de limitar su tratamiento y garantizar su protección. Aunque la LGPDPPSO no los define per sé como datos sensibles, los datos relativos a condenas e infracciones penales pueden considerarse como sensibles ya que se trata de datos personales cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para su titular. No obstante, es importante destacar que la LGPDPPSO dedica los artículos 80, 81 y 82 a regular el tratamiento de datos por parte de instancias de seguridad, procuración y administración de justicia:
87
Artículo 80. La obtención y tratamiento de datos personales, en términos de lo que dispone esta Ley, por parte de los sujetos obligados competentes en instancias de seguridad, procuración y administración de justicia, está limitada a aquellos supuestos y categorías de datos que resulten necesarios y proporcionales para el ejercicio de las funciones en materia de seguridad nacional, seguridad pública, o para la prevención o persecución de los delitos. Deberán ser almacenados en las bases de datos establecidas para tal efecto. Las autoridades que accedan y almacenen los datos personales que se recaben por los particulares en cumplimiento de las disposiciones legales correspondientes, deberán cumplir con las disposiciones señaladas en el presente Capítulo. Artículo 81. En el tratamiento de datos personales, así como en el uso de las bases de datos para su almacenamiento, que realicen los sujetos obligados competentes de las instancias de seguridad, procuración y administración de justicia deberá cumplir con los principios establecidos en el Título Segundo de la presente Ley. Las comunicaciones privadas son inviolables. Exclusivamente la autoridad judicial federal, a petición de la autoridad federal que faculte la ley o del titular del Ministerio Público de la entidad federativa correspondiente, podrá autorizar la intervención de cualquier comunicación privada. Artículo 82. Los responsables de las bases de datos a que se refiere este Capítulo deberán establecer medidas de seguridad de nivel alto, para garantizar la integridad, disponibilidad y confidencialidad de la información, que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
Respecto de las medidas ordenadas por la LGPDPPSO para la protección y lícito tratamiento de datos personales, es importante citar el contenido del artículo 7 del citado ordenamiento y consentimiento expreso de su titular o en su defecto, se trate de los casos establecidos en el artículo 22 de la LGPDPPSO:
Artículo 7. Por regla general no podrán tratarse datos personales sensibles, salvo que se cuente con el consentimiento expreso de su titular o en su defecto, se trate de los casos establecidos en el artículo 22 de esta Ley. En el tratamiento de datos personales de menores de edad se deberá privilegiar el interés superior de la niña, el niño y el adolescente, en términos de las disposiciones legales aplicables.
Asimismo, la LGPDPPSO que establece el requisito del consentimiento expreso y por escrito del titular para el tratamiento de datos personales sensibles a través de la firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca, salvo que dicho consentimiento pudiera no ser requerido en términos del artículo 22 del citado dispositivo normativo:
Artículo 21. El consentimiento podrá manifestarse de forma expresa o tácita. Se deberá entender que el consentimiento es expreso cuando la voluntad del titular se manifieste verbalmente, por escrito, por medios electrónicos, ópticos, signos inequívocos o por cualquier otra tecnología. El consentimiento será tácito cuando habiéndose puesto a disposición del titular el aviso de privacidad, éste no manifieste su voluntad en sentido contrario. Por regla general será válido el consentimiento tácito, salvo que la ley o las disposiciones aplicables exijan que la voluntad del titular se manifieste expresamente. Tratándose de datos personales sensibles el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica o cualquier mecanismo de autenticación que al efecto se establezca, salvo en los casos previstos en el artículo 22 de esta Ley.
88
Otra medida importante que debe ser considerada es la prohibición de realizar tratamientos que tengan como efecto la discriminación de los titulares por su origen étnico o racial, su estado de salud presente, pasado o futuro, su información genética, sus opiniones políticas, su religión o creencias filosóficas o morales y su preferencia sexual, con especial énfasis en aquellos automatizados referida en el artículo 53 de los LGPDPSP:
Tratamiento de datos personales sensibles Artículo 53. El responsable no podrá� llevar acabo tratamientos de datos personales que tengan como efecto la discriminación de los titulares por su origen étnico o racial, su estado de salud presente, pasado o futuro, su información genética, sus opiniones políticas, su religión o creencias filosóficas o morales y su preferencia sexual, con especial énfasis en aquellos automatizados.
La reacción anterior es consistente con el contenido del apartado 1 del artículo 9 del RGPD que proscribe el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física. Respecto de las previsiones del artículo 9 del RGPD es importante destacar la limitación de tratamiento de datos de salud bajo la supervisión y responsabilidad de un profesional de salud sujeto a la obligación de secreto profesional:
3. Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.
Al respecto, resulta de aplicación la Norma Oficial Mexicana NOM-004-SSA3-2012, Del expediente clínico (NOM-004-SSA3-2012) 89 que establece entre sus disposiciones lo siguiente:
0 Introducción … Un aspecto fundamental en esta norma es el reconocimiento de la titularidad del paciente sobre los datos que proporciona al personal del área de la salud. En ese sentido, se han considerado aquellos datos que se refieren a su identidad personal y los que proporciona en relación con su padecimiento; a todos ellos, se les considera información confidencial. Lo anterior ratifica y consolida el principio ético del secreto profesional. …
89 En relación con la aplicación de la NOM-004-SSA3-2012 debe destacarse lo siguiente: 2 Campo de aplicación Esta norma, es de observancia obligatoria para el personal del área de la salud y los establecimientos prestadores de servicios de atención médica de los sectores público, social y privado, incluidos los consultorios.
89
5.5 Para efectos de manejo de información, bajo los principios señalados en el numeral anterior, dentro del expediente clínico se deberá tomar en cuenta lo siguiente: Los datos personales contenidos en el expediente clínico, que posibiliten la identificación del paciente, en términos de los principios científicos y éticos que orientan la práctica médica, no deberán ser divulgados o dados a conocer. Cuando se trate de la publicación o divulgación de datos personales contenidos en el expediente clínico, para efectos de literatura médica, docencia, investigación o fotografías, que posibiliten la identificación del paciente, se requerirá la autorización escrita del mismo, en cuyo caso, se adoptarán las medidas necesarias para que éste no pueda ser identificado.
5.5.1 Datos proporcionados al personal de salud, por el paciente o por terceros, mismos que, debido a que son datos personales son motivo de confidencialidad, en términos del secreto médico profesional y demás disposiciones jurídicas que resulten aplicables. Únicamente podrán ser proporcionados a terceros cuando medie la solicitud escrita del paciente, el tutor, representante legal o de un médico debidamente autorizado por el paciente, el tutor o representante legal; …
Del contenido de la NOM-004-SSA3-2012 se puede constatar que la normatividad nacional recrea con claridad las disposiciones del apartado 3 del artículo 9 del RGPD referentes a la sujeción del tratamiento de datos sensibles de salud por profesionales de salud en términos de la normatividad aplicable. De conformidad con lo anterior se puede afirmar que la LGPDPPSO contiene reglas claras y medidas de protección que limitan el tratamiento de datos personales sensibles con el propósito de garantizar su tratamiento legítimo e informado y proveer de la seguridad requerida para su tratamiento, por lo que, se puede afirmar que estas medidas (obtención del consentimiento expreso y por escrito a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca y limitación de su tratamiento) son acordes con los requisitos del RGPD y el WP 254. En consecuencia, es dable señalar que las previsiones de la LGPDPPSO respecto del tratamiento de datos personales sensibles no implican la existencia de una asimetría legal o discrepancia jurídica, respecto del contenido del RGPD y los requerimientos del WP 254 para valorar el nivel adecuado de protección de un tercer país como México. Sin embargo, es recomendable que la normatividad establezca en las categorías de datos sensibles la obligación de considerar los datos relativos a infracciones y condenas penales, así como a proscribir su tratamiento, salvo la existencia de un tratamiento supervisado por parte de autoridades públicas conforme a la Ley.
B. Mercadotecnia directa En relación con este requisito el WP 254 indica que, a fin de garantizar una equivalencia esencial con el marco jurídico en materia de protección de datos en la UE, en el tercer país u organización se debe prever que cuando los datos sean tratados con fines de mercadotecnia directa, el interesado debe poder oponerse sin coste alguno a que sus datos sean tratados para dichos fines en cualquier momento.
90
Lo anterior, debe preverse de conformidad con lo previsto por el RGPD cuyo considerando 70 indica que, si los datos personales son tratados con fines de mercadotecnia directa, el interesado debe tener derecho a oponerse a dicho tratamiento, inclusive a la elaboración de perfiles en la medida en que esté relacionada con dicha mercadotecnia directa
70) Si los datos personales son tratados con fines de mercadotecnia directa, el interesado debe tener derecho a oponerse a dicho tratamiento, inclusive a la elaboración de perfiles en la medida en que esté relacionada con dicha mercadotecnia directa, ya sea con respecto a un tratamiento inicial o ulterior, y ello en cualquier momento y sin coste alguno. Dicho derecho debe comunicarse explícitamente al interesado y presentarse claramente y al margen de cualquier otra información.
En consonancia con lo anterior, encontramos los apartados 2 y 3 del artículo 21 del RGPD que detalla el alcance y procedencia del derecho de oposición para fines de mercadotecnia directa, incluyendo la elaboración de perfiles, al establecer que el titular (interesado) puede oponerse a dicho tratamiento y por consecuencia los datos deberán de dejar de ser tratados para tales fines:
Artículo 21 Derecho de oposición 1. El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones. 2. Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia. 3. Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines. 4. A más tardar en el momento de la primera comunicación con el interesado, el derecho indicado en los apartados 1 y 2 será mencionado explícitamente al interesado y será presentado claramente y al margen de cualquier otra información. 5. En el contexto de la utilización de servicios de la sociedad de la información, y no obstante lo dispuesto en la Directiva 2002/58/CE, el interesado podrá ejercer su derecho a oponerse por medios automatizados que apliquen especificaciones técnicas. 6. Cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos de conformidad con el artículo 89, apartado 1, el interesado tendrá derecho, por motivos relacionados con su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el cumplimiento de una misión realizada por razones de interés público.
Respecto de este derecho es importante señalar que las normatividades aplicables a los sectores público y privado no prevén este derecho bajo un alcance equivalente al previsto en RGPD, por lo que existe una asimetría normativa en ambos ordenamientos.
91
C. Decisiones automatizadas y elaboración de perfiles En relación con este requisito el WP 254 establece que a fin de garantizar una equivalencia esencial con el marco jurídico en materia de protección de datos en la UE, en el tercer país u organización, las decisiones basadas únicamente en el tratamiento automatizado (decisiones individuales automatizadas), incluida la elaboración de perfiles, que producen efectos legales o que afectan considerablemente al interesado, solo se pueden adoptar en determinadas condiciones establecidas en el marco jurídico del tercer país. El GT29 señala que, en el marco europeo, estas condiciones incluyen, por ejemplo, la necesidad de obtener el consentimiento explícito del interesado o la necesidad de dicha decisión para la celebración de un contrato. El GT29 también indica en el WP 254 que, si la decisión no cumple las condiciones previstas por el marco jurídico del tercer país, el interesado tendrá derecho a no estar sujeto a ella. Así, se indica que, en cualquier caso, la legislación del tercer país debe ofrecer las garantías necesarias, incluido el derecho a ser informado sobre las razones específicas que sustentan la decisión y la lógica aplicada, a corregir información inexacta o incompleta, y a impugnar la decisión cuando esta haya sido adoptada sobre unos hechos incorrectos. Lo anterior, debe preverse de conformidad con lo previsto por el artículo 22 del RGPD que indica que cualquier interesado (titular) tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar:
Artículo 22 Decisiones individuales automatizadas, incluida la elaboración de perfiles 1. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar. 2. El apartado 1 no se aplicará si la decisión: a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento; b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o c) se basa en el consentimiento explícito del interesado 3. En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión. 4. Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales contempladas en el artículo 9, apartado 1, salvo que se aplique el artículo 9, apartado 2, letra a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
92
a) Normatividad del sector privado La LFPDPPP no incluye de forma expresa el derecho a derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar. Sin embargo, es importante hacer notar que bajo la misma base explicativa y normativa en la que se sustenta el derecho de oposición, el titular de los datos puede oponerse a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles siempre que no exista una obligación legal impuesta al responsable que ordene dicho tratamiento. En adición a lo anterior, el RLFPDPPP, conforme lo exige el apartado 3 del artículo 22 del RGPD, indica que se debe notificar al titular cuando se traten datos personales como parte de un proceso de toma de decisiones sin que intervenga la valoración de una persona física así como concederle el derecho de acceso para que el titular conozca los datos personales que se utilizaron como parte de la toma de decisión correspondiente y, de ser el caso, el derecho de rectificación:
Sección VI De las decisiones sin intervención humana valorativa Tratamiento de datos personales en decisiones sin intervención humana valorativa Artículo 112. Cuando se traten datos personales como parte de un proceso de toma de decisiones sin que intervenga la valoración de una persona física, el responsable deberá informar al titular que esta situación ocurre. Asimismo, el titular podrá ejercer su derecho de acceso, a fin de conocer los datos personales que se utilizaron como parte de la toma de decisión correspondiente y, de ser el caso, el derecho de rectificación, cuando considere que alguno de los datos personales utilizados sea inexacto o incompleto, para que, de acuerdo con los mecanismos que el responsable tenga implementados para tal fin, esté en posibilidad de solicitar la reconsideración de la decisión tomada.
En relación con lo anterior se identifica una asimetría ya que el titular, conforme al RLFPDPPP no está en posibilidad de oponerse a una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar como si lo está en RGPD.
b) Normatividad del sector público
La LGPDPPSO en la fracción II de su artículo 47 establece el derecho del titular de oponerse al tratamiento de sus datos personales en el supuesto de que estos sean objeto de un tratamiento automatizado que le produzca efectos jurídicos no deseados o afecte de manera significativa sus intereses, derechos o libertades, y dichos datos estén destinados a evaluar, sin intervención humana, determinados aspectos personales del mismo o analizar o predecir, en particular, su rendimiento profesional, situación económica, estado de salud, preferencias sexuales, fiabilidad o comportamiento:
Artículo 47. El titular podrá oponerse al tratamiento de sus datos personales o exigir que se cese en el mismo, cuando:
93
I. Aun siendo lícito el tratamiento, el mismo debe cesar para evitar que su persistencia cause un daño o perjuicio al titular, y II. Sus datos personales sean objeto de un tratamiento automatizado, el cual le produzca efectos jurídicos no deseados o afecte de manera significativa sus intereses, derechos o libertades, y estén destinados a evaluar, sin intervención humana, determinados aspectos personales del mismo o analizar o predecir, en particular, su rendimiento profesional, situación económica, estado de salud, preferencias sexuales, fiabilidad o comportamiento.
De acuerdo con la LGPDPPSO, el titular de los datos tiene el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles. Asimismo, al considerar que este tratamiento puede ser una finalidad primaria o secundaria del tratamiento, esta deberá preverse en el aviso de privacidad y, por tanto, notificarse al titular de los datos personales. En consecuencia, se puede sostener que aunque la LGPDPPSO no refleja de forma idéntica las disposiciones del RGPD sobre el derecho del titular a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar, si establece condiciones legales bajo las cuales el titular podría ejercer dicho derecho, por lo que podemos afirmar que la LGPDPPSO y su Reglamento, reflejan con suficiencia los requerimientos previstos en el WP 254 y el RGPD.
4. Mecanismos relativos al procedimiento y la ejecución: El WP 254 en su apartado C sobre mecanismos relativos al procedimiento y la ejecución establece que fin de garantizar una equivalencia esencial con el marco de protección de datos personales de la UE el sistema de un tercer país u organización internacional debe incluir los siguientes principios y mecanismos básicos de protección de datos relativos al contenido y al procedimiento/ejecución:
1) Autoridades de control competentes e independientes; 2) El sistema de protección de datos debe garantizar un buen nivel de cumplimiento; 3) Responsabilidad proactiva; 4) El sistema de protección de datos debe ofrecer apoyo y ayuda a los interesados individuales en el ejercicio de sus derechos y mecanismos de reclamación adecuados.
A continuación, se presenta una identificación de la normatividad e instituciones existentes en México para garantizar la observancia y cumplimiento de los elementos anteriores para efectos de determinar si estos resultan equivalentes con el marco legal que se aplica en la UE.
94
A. Autoridades de control competentes e independientes.
Respecto de este punto el WP 254 establece que deben existir “una o más autoridades de control independientes, encargadas de supervisar, garantizar y hacer cumplir las disposiciones de protección de datos y privacidad en el tercer país”. 90 En complemento a lo anterior, se exige que “la autoridad de control deberá actuar con completa independencia e imparcialidad al desempeñar sus obligaciones y ejercer sus poderes y, al hacerlo, no solicitará ni aceptará instrucciones. En dicho contexto, la autoridad de control dispondrá de todos los poderes y misiones necesarios y disponibles para garantizar el cumplimiento de los derechos de protección de datos y fomentar la sensibilización. Asimismo, se debe tener en cuenta el personal y presupuesto de la autoridad de control. Esta también podrá llevar a cabo investigaciones por iniciativa propia.” 91
Los anteriores requisitos pueden resumirse de la siguiente forma:
A. Existencia de una autoridad de control independiente responsable de hacer cumplir las disposiciones de protección de datos y privacidad.
B. Independencia e imparcialidad de la autoridad de control para el desempeño de sus obligaciones y ejercicio de sus poderes.
C. Disposición de todos los poderes y misiones necesarios y disponibles de la autoridad de control para garantizar el cumplimiento de los derechos de protección de datos y fomentar la sensibilización.
D. Personal y presupuestos necesarios para el correcto desempeño de las funciones de la autoridad de control.
E. Facultad de la autoridad de control para llevar a cabo investigaciones por iniciativa propia.
A continuación, se analiza la naturaleza jurídica, características y atribuciones de las autoridades de control competentes en México tanto a nivel federal como a nivel local.
a) Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI)
El INAI es el organismo constitucional autónomo garante del cumplimiento de dos derechos fundamentales: el de acceso a la información pública y el de protección de datos personales. De acuerdo con lo previsto por el apartado A, fracción XVIII del artículo sexto de la CPEUM y su Estatuto Orgánico, el INAI es un órgano autónomo, especializado, independiente, imparcial y colegiado, con personalidad jurídica y patrimonio propio, con plena autonomía técnica, de gestión, capacidad para decidir sobre el ejercicio de su presupuesto y determinar su organización interna.
90 Grupo de trabajo del artículo 29, “Referencias sobre adecuación”, Aprobado el 28 de noviembre de 2017, WP 254, revisado y aprobado por última vez el 6 de febrero de 2018, p. 7. 91 Ídem
95
Derivado de su autonomía constitucional, el INAI es una institución cuya actuación no está sujeta ni atribuida a los depositarios tradicionales del poder público (Poderes Legislativo, Ejecutivo y Judicial). En la práctica, la autonomía que la CPEUM otorga al INAI implica lo siguiente:
Que el INAI tenga personalidad jurídica y patrimonio propios. Que el INAI goza de plena autonomía técnica, de gestión, capacidad para decidir sobre el
ejercicio de su presupuesto y determinar su organización interna. Que sus resoluciones son vinculatorias, definitivas e inatacables.
Como máxima autoridad en materia de protección de datos personales, el INAI se encuentra conformado por 7 Comisionados nombrados por el Senado de la República que conforman el Pleno y duran en su encargo siete años. En lo que concierne a su actuación, el INAI se rige por los siguientes principios:
Certeza: Principio que otorga seguridad y certidumbre jurídica a los particulares, en virtud de que permite conocer si las acciones del INAI son apegadas a derecho y garantiza que los procedimientos sean completamente verificables, fidedignos y confiables;
Eficacia: Obligación del INAI de tutelar, de manera efectiva, el derecho de acceso a la información;
Imparcialidad: Cualidad respecto de sus actuaciones de ser ajeno o extraño a los intereses de las partes en controversia y resolver sin favorecer indebidamente a ninguna de ellas;
Independencia: Cualidad de actuar sin supeditarse a interés, autoridad o persona alguna; Legalidad: Obligación de ajustar su actuación, que funde y motive sus resoluciones y actos
en las normas aplicables; Máxima Publicidad: Toda la información en posesión de los sujetos obligados será pública,
completa, oportuna y accesible, sujeta a un claro régimen de excepciones que deberán estar definidas y ser además legítimas y estrictamente necesarias en una sociedad democrática;
Objetividad: Obligación de ajustar su actuación a los presupuestos de ley que deben ser aplicados al analizar el caso en concreto y resolver todos los hechos, prescindiendo de las consideraciones y criterios personales;
Profesionalismo: Los Servidores Públicos que laboren en el INAI deben sujetar su actuación a conocimientos técnicos, teóricos y metodológicos que garanticen un desempeño eficiente y eficaz en el ejercicio de la función pública que tienen encomendada, y
Transparencia: Obligación de dar publicidad a las deliberaciones y actos relacionados con sus atribuciones, así como dar acceso a la información que generen.
a. Atribuciones en materia de protección de datos personales para el sector
privado En cuanto a sus facultades relacionadas con el cumplimiento de la normatividad en el sector privado conforme al contenido del artículo 39 de la LFPDPPP, destacan por su importancia las siguientes: vigilar y verificar el contenido de la normatividad, proporcionar apoyo técnico, emitir los criterios y recomendaciones, divulgar estándares y mejores prácticas internacionales, conocer y resolver los procedimientos señalados en la LFPDPPP (PPD, PI, PV y PISAN) e imponer las sanciones que correspondan, cooperar con otras autoridades de supervisión y organismos nacionales e internacionales, rendir al Congreso Federal un informe de sus actividades, acudir a foros
96
internacionales, elaborar estudios de impacto sobre la privacidad así como desarrollar, fomentar y difundir análisis, estudios e investigaciones en la materia y brindar capacitación a los sujetos obligados.
b. Atribuciones en materia de protección de datos personales para el sector
público
Por otra parte, en lo que compete a sus acciones en materia de protección de datos en el sector público, podemos señalar las siguientes atribuciones específicas del INAI: garantizar el ejercicio del derecho a la protección de datos personales, interpretar la LGPDPPSO, conocer y resolver los recursos de revisión, inconformidad y verificación regulados en la LGPDPPSO, establecer y ejecutar las medidas de apremio, denunciar presuntas infracciones a la LGPDPPSO, coordinarse con autoridades competentes para que las solicitudes ARCO y recursos de revisión que se presenten en lengua indígena, sean atendidos en dicha lengua, garantizar condiciones de accesibilidad para que los titulares pertenecientes a grupos vulnerables puedan ejercer su derecho a la protección de datos personales, administrar el registro de esquemas de mejores prácticas, emitir las recomendaciones no vinculantes correspondientes a la evaluación de impacto en la protección de datos personales, emitir disposiciones generales para el desarrollo del procedimiento de verificación, realizar evaluaciones a los esquemas de mejores prácticas, emitir disposiciones administrativas de carácter general para el debido cumplimiento de los principios, deberes y obligaciones de la LGPDPPSO, así como para el ejercicio de los derechos de los titulares, celebrar convenios para desarrollar programas para homologar tratamientos de datos personales en sectores específicos, definir y desarrollar el sistema de certificación en materia de protección de datos personales, presidir el SNTAIPDP, celebrar convenios con los organismos garantes para cumplir con los objetivos de la LGPDPPSO, diseñar y aplicar indicadores y criterios para evaluar el desempeño de los responsables sobre el cumplimiento de la LGPDPPSO, emitir lineamientos, interponer acciones de inconstitucionalidad, promover controversias constitucionales, cooperar con otras autoridades para combatir conductas relacionadas con el indebido tratamiento de datos personales y diseñar, vigilar y operar el sistema de buenas prácticas en materia de protección de datos personales. Una vez que se ha presentado y explicado la naturaleza y funcionamiento del INAI, pasamos a presentar el siguiente análisis de cumplimiento para determinar si el INAI cumple con los requisitos que debe tener una autoridad de control en términos del WP 254.
Requisitos en términos del WP 254 Análisis de cumplimiento
Independencia e imparcialidad al desempeñar sus obligaciones.
Se cumple con este requisito en virtud de que el
INAI es un órgano autónomo, especializado, independiente, imparcial y colegiado, con
personalidad jurídica y patrimonio propio, con plena autonomía técnica, de gestión, capacidad para decidir sobre el ejercicio de su presupuesto y
determinar su organización interna de conformidad con lo señalado en el Apartado A, fracción XVIII del artículo sexto de la CPEUM y en el artículo 17 de la
LFTAIP.
97
Dispondrá de todos los poderes y misiones necesarios y disponibles para garantizar el
cumplimiento de los derechos de protección de datos y fomentar la sensibilización.
Se cumple con este requisito derivado de las
facultades con las que cuenta el INAI reguladas en la LFPDPPP, la LGPDPPSO y su Estatuto
Orgánico.
Personal y presupuesto de la autoridad de control.
Se cumple con este requisito en virtud de que el
INAI es un órgano autónomo con personalidad jurídica y patrimonio propio, con plena autonomía
técnica, de gestión, capacidad para decidir sobre el ejercicio de su presupuesto y determinar su organización interna de conformidad con lo
señalado en el apartado A, fracción XVIII del artículo sexto de la CPEUM y en el artículo 17 de la LFTAIP y con el artículo 2 de su Estatuto Orgánico.
Facultad de iniciar investigaciones por iniciativa propia.
El INAI está facultado para conocer sobre los
procedimientos de investigación (investigaciones previas en el sector público) y verificación previstos
en la LFPDPPP y la LGPDPPSO.
Como resultado de la exposición anterior, puede afirmarse que el INAI cumple con los requisitos establecidos en el WP 254 al ser una autoridad constitucionalmente autónoma, independiente y especializada en garantizar el derecho de protección de datos personales en los sectores público y privado como resultado de las facultades que la LFPDPPP y la LGPDPPSO le otorgan.
b) Organismos garantes locales Además del INAI como órgano garante federal, derivado de la concurrencia de competencias y facultades en materia de protección de datos personales para el sector público existe la figura de los “organismos garantes locales” encargados de vigilar el cumplimiento de la normatividad de protección de datos personales en cada una de las entidades federativas del país. Los organismos garantes locales, al igual que el INAI, por mandato constitucional son órganos autónomos especializados, independientes, imparciales y colegiados, con personalidad jurídica y patrimonio propios, con plena autonomía técnica, de gestión y financiera, con capacidad para decidir sobre el ejercicio de su presupuesto y determinar su organización interna, funcionamiento y resoluciones. Estos órganos son responsables de garantizar el cumplimiento de las leyes de protección de datos personales estatales según lo establecido por el artículo 6o. de la CPEUM y los distintos textos constitucionales en cada una de las entidades federativas de la República Mexicana.
98
En consecuencia, se puede sostener que en México la figura de los organismos garantes locales hace referencia a autoridades de control locales e internas que vigilan el cumplimiento de la normatividad de protección de datos personales en el orden local.
c) Autoridades coadyuvantes en temas de protección de datos personales
Para terminar el presente apartado, es oportuno señalar que la garantía del derecho a la protección de datos personales no se encuentra limitada a las actuaciones del INAI y de los organismos garantes locales, ya que la ingente de tratamientos de datos personales que puedan existir hace imprescindible la cooperación con otras autoridades y organismos de la administración pública que pueden promover mejores prácticas y colaborar con el INAI para hacer cumplir el derecho de protección de datos personales. En especial, debido a que es en la materia comercial donde se da el mayor flujo de información que incide de manera directa en el mejoramiento de la economía nacional al crear fuentes de empleo e impulsar la venta de bienes y servicios tanto a nivel nacional como internacional, la LFPDPPP dota a la Secretaría de Economía (SE) de atribuciones específicas para lograr una adecuada rectoría de la protección de datos personales en el orden comercial. Así, conforme a lo previsto por el artículo 41 de la LFPDPPP, la SE tiene como función difundir el conocimiento de las obligaciones en torno a la protección de datos personales entre la iniciativa privada nacional e internacional con actividad comercial en territorio mexicano; promover las mejores prácticas comerciales en torno a la protección de los datos personales. Hoy en día, la SE, en conjunción con el INAI, ha elaborado y emitido las siguientes disposiciones secundarias: lineamientos del aviso de privacidad y los parámetros de Autorregulación en materia de Protección de Datos Personales, Finalmente, a manera de ejemplo, podemos mencionar también la necesaria intervención de diversas autoridades coadyuvantes como la Procuraduría Federal del Consumidor (PROFECO), el Instituto Federal de Telecomunicaciones (IFT (, la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF), la Comisión Bancaria y de Valores (CNBV),
la Comisión Nacional de Sistemas de Ahorro para el Retiro (CONSAR) entre otras.El sistema de protección de datos debe garantizar un buen nivel de cumplimiento.
Respecto de este punto lo que se exige a un tercer país que quiera sujetarse a una evaluación de adecuación es que este garantice “un elevado grado de responsabilidad proactiva y sensibilización entre los responsables del tratamiento y aquellos que llevan a cabo el tratamiento de datos personales en su nombre respecto a sus obligaciones, tareas y responsabilidades, y entre los interesados respecto a sus derechos y los medios para ejercerlos. La existencia de sanciones efectivas y disuasorias puede desempeñar un papel importante a la hora de asegurar el respeto de
99
las normas, como, por supuesto, lo pueden hacer los sistemas de verificación directa por parte de autoridades, auditores y responsables independientes de la protección de datos.” 92
Para un mejor entendimiento del análisis que se presentará en el presente apartado este se divide en las siguientes secciones:
A. Elementos para acreditar la responsabilidad proactiva y sensibilización entre los responsables y encargados del tratamiento respecto de sus obligaciones.
B. Procedimientos para vigilar el debido cumplimiento de las normatividades aplicables de protección de datos personales.
C. Régimen de infracciones y sanciones existente en México.
a) Elementos para acreditar la responsabilidad proactiva y sensibilización entre los responsables y encargados del tratamiento respecto de sus obligaciones.
Como se mencionó previamente, derivado de las facultades que le confiere el artículo 39 de la LFPDPPP, el INAI tiene diversas atribuciones relacionadas con la sensibilización a los responsables y encargados con el propósito de acreditar el cumplimiento al principio de responsabilidad proactiva. En este sentido, destacan como facultades relevantes del INAI, emitir los criterios y recomendaciones, divulgar estándares y mejores prácticas internacionales, acudir a foros internacionales, elaborar estudios de impacto sobre la privacidad, así como desarrollar, fomentar y difundir análisis, estudios e investigaciones en la materia y brindar capacitación a los sujetos obligados. Para concienciar, sensibilizar y orientar a los responsables y encargados sobre el cumplimiento de la normatividad de datos personales en el sector privado, el INAI ha emitido diversos documentos, guías de facilitación y recomendaciones, mismos que se enuncian a continuación:
Tabla resumen sobre guías, recomendaciones y documentos de orientación del INAI
Guía Objeto Enlace
Criterios Mínimos Sugeridos para la Contratación de Servicios de
Cómputo en la Nube que Impliquen el Tratamiento de Datos Personales
Tienen por objeto establecer consideraciones mínimas que orienten a los responsables del tratamiento de datos personales en la selección y contratación de proveedores, para los servicios de infraestructura,
plataforma y software del denominado cómputo en la nube, que ofrezcan garantías de un debido tratamiento
de datos personales, a fin de cumplir con las obligaciones que establece la normatividad en la
materia y evitar una vulneración en la protección de los datos personales en su posesión.
http://inicio.ifai.org.mx/nuevo/ComputoEnLaNube.pdf
Guía de esquemas de autorregulación en materia de
protección de datos personales
Establece orientación para los responsables en relación con la adhesión e implementación de
esquemas de autorregulación vinculante.
http://inicio.inai.org.mx/CalendarioCapacitacion/GUIA%20AUTORREG
ULACION.pdf
Guía para cumplir con los principios Ofrece un material didáctico a los responsables del http://inicio.ifai.org.mx/Documentos
92 Grupo de trabajo del artículo 29, “Referencias sobre adecuación”, Aprobado el 28 de noviembre de 2017, WP 254, revisado y aprobado por última vez el 6 de febrero de 2018, p. 7.
100
y deberes de la Ley Federal de Protección de Datos Personales en
Posesión de los Particulares
tratamiento, que les sirva de ayuda o apoyo para el cumplimiento de los principios y los deberes que
establece la norma.
deInteres/Guia_obligaciones_lfpdppp_junio2016.pdf
Guía para el Borrado Seguro de Datos Personales
Describe métodos y técnicas basadas en las mejores prácticas y estándares, para la eliminación segura de los datos personales en los sistemas de tratamiento.
http://inicio.ifai.org.mx/DocumentosdeInteres/Guia_Borrado_Seguro_D
P.pdf
Guía para el tratamiento de datos biométricos
La Guía para el Tratamiento de Datos Biométricos está dirigida a los responsables y encargados de los
sectores público y privado que traten datos personales biométricos, con el objeto de brindar recomendaciones para que dicho tratamiento se realice con apego a los
principios, deberes y obligaciones previstos en la normativa mexicana de protección de datos
personales.
http://inicio.ifai.org.mx/DocumentosdeInteres/GuiaDatosBiometricos_W
eb_Links.pdf
Guía para Instrumentar Medidas Compensatorias
Orienta a los responsables en relación con la instrumentación de medidas compensatorias, con la
finalidad de dar a conocer cuestiones básicas.
http://inicio.ifai.org.mx/DocumentosdeInteres/Guia_para_instrumentar_
medidas_compensatorias.pdf Guía para la Implementación de un
Sistema de Gestión de Seguridad de Datos Personales
Establece recomendaciones la implementación de un Sistema de Gestión de Seguridad de Datos
Personales.
http://inicio.ifai.org.mx/DocumentosdeInteres/Gu%C3%ADa_Implemen
tación_SGSDP(Junio2015).pdf
Guía para orientar el debido tratamiento de datos personales en
la actividad de cobranza extrajudicial
Establece directrices para que la gestión del cobro de adeudos de forma adecuada, sin invadir la privacidad de las personas, ni violar las disposiciones en materia
de protección de datos personales.
http://inicio.ifai.org.mx/nuevo/Gu%C3%ADa%20Cobranza%20Extrajudi
cial%20IFAI.pdf
Guía Para Prevenir el Robo de Identidad
Establecen recomendaciones útiles para prevenir, detectar y qué hacer en caso de que un particular sea
víctima de esta práctica ilegal.
http://inicio.ifai.org.mx/DocumentosdeInteres/Gu%C3%ADa_Prevenir_
RI.pdf Guía Práctica para la Atención de las
Solicitudes de Ejercicio de los Derechos ARCO
Establece recomendaciones para la atención de derechos ARCO por parte de los responsables.
http://inicio.ifai.org.mx/Publicaciones/02GuiaAtencionSolicitudesARCO.
Manual en materia de seguridad basada en un entorno Microsoft® para MiPyMEs y organizaciones
pequeñas mexicanas
Ofrece una guía que, atendiendo a las posibilidades que les facilitan tanto los productos de Microsoft como su configuración, les permitan adoptar medidas para
proteger los datos personales y otra información corporativa que requiere de protección.
http://inicio.inai.org.mx/DocumentosdeInteres/Manual_Microsoft.pdf
Manual en materia de seguridad de datos personales para MIPYMES y
organizaciones pequeñas
Orienta a las micro, pequeñas y medianas empresas (MIPYMES), así como a las organizaciones pequeñas, en el cumplimiento de las disposiciones establecidas en la LFPDPPP y su Reglamento, con relación a las
medidas de seguridad para la protección de los datos personales.
http://inicio.ifai.org.mx/nuevo/Manual%20seguridad%20MIPYMES.pdf
Metodología de Análisis de Riesgo BAA
Propone desarrollar una serie de pasos para mantener un control de seguridad necesario para la protección
de los datos personales que se encuentran en posesión del responsable.
http://inicio.ifai.org.mx/DocumentosdeInteres/Metodolog%C3%ADa_de_Análisis_de_Riesgo_BAA(Junio20
15).pdf Recomendaciones en materia de seguridad de datos personales.
Establecen un marco de referencia respecto de las acciones que se consideran como las mínimas
necesarias para la seguridad de los datos personales.
https://www.dof.gob.mx/nota_detalle.php?codigo=5320179&fecha=30/
10/2013
Recomendaciones para el manejo de incidentes de seguridad de datos
personales
Tienen por objeto describir los procesos y controles recomendados por el Instituto para generar un plan de respuesta a incidentes de seguridad, en particular para
mitigar las vulneraciones a la seguridad de los datos personales.
http://inicio.ifai.org.mx/DocumentosdeInteres/Recomendaciones_Mane
jo_IS_DP.pdf
Recomendaciones para la Designación de la Persona o
Departamento de Datos Personales
Tienen como propósito orientar a los responsables del tratamiento de datos personales en el cumplimiento de
su obligación para designar a la persona o departamento de datos personales, que establece el
artículo 30 de la LFPDPPP.
http://inicio.ifai.org.mx/DocumentosdeInteres/RecomendacionesDesign
ar.pdf
Tabla de equivalencia funcional entre estándares de seguridad y la
LFPDPPP, su Reglamento y las
Es un material de referencia para los responsables y encargados, que les permitirá� evaluar si la
implementación de determinados estándares
http://inicio.ifai.org.mx/DocumentosdeInteres/Tabla_de_Equivalencia_
Funcional(Junio2015).pdf
101
Recomendaciones en materia de seguridad de datos personales
internacionales en materia de seguridad de la información y privacidad en su organización facilitan el
cumplimiento de los requisitos y obligaciones que establece la Ley y su Reglamento en lo relativo a
medidas de seguridad, así� como las Recomendaciones en materia de Seguridad de Datos Personales emitidas por el Instituto y publicadas en el
Diario Oficial de la Federación el 30 de octubre de 2013.
Además de lo anterior, el INAI ha emitido los siguientes estudios 93 relativos a la materia de protección de datos personales:
Estudio sobre Expedientes Clínicos. Estudio sobre Protección de Datos a nivel Internacional. Estudio sobre Sistemas de Datos Personales. Regulación Europea sobre Difusión de la Jurisprudencia en Internet. Protección de Datos de Salud en Procesos Judiciales. Experiencia de LexUM en la difusión de la jurisprudencia. Estudio sobre recomendaciones generales para la destrucción segura de datos personales. Estudio para Fortalecer la Estrategia de Educación Cívica y Cultura. Actualización del Estudio sobre el desarrollo normativo y jurisprudencial internacional en
materia de protección de datos personales. Estudio sobre el desarrollo normativo y jurisprudencial internacional en materia de protección
de datos personales. Asesoría para la integración de una base de datos que alimente la plataforma Corpus Iuris
en materia de protección de datos personales. Informe final del servicio de asesoría para llevar a cabo la actualización del estudio sobre el
desarrollo normativo y jurisprudencial internacional y nacional en materia de protección de datos personales 2017.
Informe final del servicio de asesoría para llevar a cabo la actualización del estudio sobre el desarrollo normativo y jurisprudencial internacional y nacional en materia de protección de datos personales 2018.
Análisis para el desarrollo conceptual de un sistema integral de autorregulación en materia de protección de datos personales en el marco de la LFPDPPP y demás normatividad aplicable en la materia (Conclusiones y recomendaciones finales).
Desarrollo Conceptual del Modelo de Certificación en materia de Protección de Datos Personales, en el marco de la LFPDPPP y demás normatividad aplicable en la materia-
Estudio para la elaboración de una guía con la metodología y procesos de gestión para el cumplimiento de las obligaciones en materia de protección de datos personales.
Estudio para la elaboración del manual en materia de seguridad de datos personales para MIPYMES (Febrero 2014).
Estudio para la elaboración de la tabla de equivalencia funcional de estándares en materia de medidas de seguridad en el marco de la LFPDPPP.
93 Los Estudios publicados por el INAI se pueden consultar en http://inicio.ifai.org.mx/SitePages/Documentos-de-Interes.aspx?a=m3
102
Informe final del servicio de asesoría para llevar a cabo la actualización del estudio sobre el desarrollo normativo y jurisprudencial internacional y nacional en materia de protección de datos personales.
En el ámbito del derecho público, derivado de las facultades que la LGPDPPSO le confiere el INAI ha emitido los siguientes documentos para facilitar el cumplimiento de las obligaciones de la LGPDPPSO:
Recomendaciones para el manejo de incidentes de seguridad de datos personales. (Véase tabla anterior).
Guía para el tratamiento de datos biométricos. (Véase tabla anterior). Recomendaciones sobre protección de datos personales contenidos en la Credencial para
Votar. Estas recomendaciones tienen por objeto proporcionar recomendaciones a los responsables para el tratamiento de los datos personales contenidos en la Credencial para Votar, a partir de las obligaciones que establece la normatividad que regula el derecho de protección de datos personales en los sectores público y privado
Documento orientador para la elaboración del Programa de Protección de Datos Personales. Tiene por objeto orientar en la elaboración del programa previsto por los artículos 30, fracciones I y II de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, y 47 de los Lineamientos Generales, que establece que entre las acciones que deberán realizar los responsables del tratamiento de datos personales para cumplir con el principio de responsabilidad, está la elaboración de políticas y programas de protección de datos personales, obligatorios y exigibles al interior de la organización del responsable, así como destinar los recursos necesarios para la implementación de dichos programas y políticas.94
Además, con el objeto de difundir la importancia del derecho a la protección de datos personales y las herramientas existentes para dicho fin, el INAI ha emitido diversas guías de orientación y materiales para los titulares de datos personales:
Guía para Titulares de los Datos Personales. Esta guía se conforma de 4 volúmenes: Volumen 1 - Conceptos Generales de la Protección de Datos Personales; Volumen 2 - Principios rectores de la Protección de Datos Personales; Volumen 3- Los derechos ARCO; y Volumen 4 - Procedimientos de datos personales ante el INAI.
Guía interactiva para Titulares de los Datos Personales. Guía para Prevenir el Robo de Identidad. Procedimiento para ejercer los Derechos ARCO. Recomendaciones para mantener segura tu privacidad y datos personales en el entorno
digital. TEST: ¿Cómo te proteges en el entorno digital? Guía para la configuración de privacidad en redes sociales. Guía de herramientas de supervisión parental. Material para educadores sobre datos personales.
94 El documento puede ser consultado en el apartado de documentos de interés para el sector público, http://inicio.ifai.org.mx/SitePages/Documentos-de-Interes.aspx?a=m3
103
Asimismo, el INAI también desarrolla importantes labores de sensibilización mediante la asistencia a foros públicos, organización de eventos, emisión de contenidos en redes sociales95 (infografías,96 vídeos, 97 posts informativos, entre otros), generación de vídeos informativos, colocación de comunicados, creación de instrumentos interactivos (Generadores de Avisos de Privacidad 98 , Guía El ABC del Aviso de Privacidad, 99 CORPUS IURIS en materia de protección de datos personales, 100 Vulnerómetro 101 y el Evaluador de Vulneraciones 102 ) y la emisión de diversas publicaciones.103 De conformidad con lo anterior, se puede afirmar que en México la autoridad garante federal (INAI) ha creado y puesto a disposición de los particulares y sujetos obligados distintos documentos (recomendaciones, guías, documentos de facilitación, entre otros) para elevar el nivel de cumplimiento de la normatividad, fomentar la protección de datos personales y sensibilizar a los sujetos regulados y titulares sobre las obligaciones que deben cumplirse para el tratamiento lícito de datos personales, por lo que, podemos concluir que los instrumentos desarrollados por la autoridad de control son idóneos y eficaces para acreditar que se cumple con los requerimientos exigidos en el WP 254.
b) Procedimientos para vigilar el debido cumplimiento de las normatividades aplicables de protección de datos personales
En México existen diversas vías de acción, tanto administrativas (procedimientos tramitados ante el INAI y los organismos garantes locales) como jurisdiccionales al alcance de los titulares de datos personales con el objeto de que estos puedan defenderse en caso de que identifiquen un tratamiento ilícito de sus datos personales para fines relacionados con la seguridad pública, la defensa y la seguridad nacional. Es decir, en la práctica, el derecho a la protección de datos personales se ve garantizado a través de la existencia de procedimientos de tutela sustanciados por el INAI y los garantes locales como autoridades competentes de supervisión. De esta suerte, se pueden distinguir los siguientes procedimientos en materia de protección de datos personales:
1. Sector privado: a. Procedimiento de Protección de Derechos (PPD). El PPD es definido como el
conjunto de actos a través de los cuales el INAAAI, a través de la Dirección General de Protección de Derechos y Sanción (DGPDS), garantiza el efectivo ejercicio de los derechos ARCO. El PPD tiene como característica que es un procedimiento que siempre se inicia a instancia de parte (es decir, no puede iniciarse de oficio), por lo
95 Ver cuentas oficiales del INAI en redes sociales como Facebook y Twitter. 96 http://inicio.ifai.org.mx/Guias/15_IdentidadSegura.gif 97 http://inicio.ifai.org.mx/Guias/Sharenting.mp4, http://inicio.ifai.org.mx/Guias/Menores%20video%201.mp4 98 https://generador-avisos-privacidad.inai.org.mx 99 http://abcavisosprivacidad.ifai.org.mx 100 http://corpusiurispdp.inai.org.mx/Pages/home.aspx 101 http://micrositios.inai.org.mx/vulnerometro/ 102 http://inicio.ifai.org.mx/SitePages/Evaluador-Vulneraciones.aspx 103 http://inicio.ifai.org.mx/SitePages/Publicaciones.aspx
104
que la presentación de la solicitud de protección de derechos, en tiempo y forma, es un requisito para su procedencia según lo ordenado por el primer párrafo del artículo 45 de la LFPDPPP.
b. Procedimiento de Investigación (PI). El PI se define como el conjunto de actos que lleva a cabo la Dirección General de Investigación y Verificación (DGIV) del INAI con la finalidad de allegarse de elementos suficientes a efecto de dilucidar los hechos denunciados, de forma previa al procedimiento de verificación. Se trata de un procedimiento a través del cual se siguen una serie de acciones de naturaleza investigativas realizadas por la DGIV con la finalidad de determinar la veracidad de las acusaciones del Titular, o bien de esclarecer los hechos que permitan inferir de oficio un incumplimiento a la normatividad. Para determinar lo anterior, la DGIV, a través de la sustanciación del PI, se allegará de los elementos de convicción necesarios. El PI, tiene la característica de ser una secuencia procesal que se da, siempre antes del PV y que, en consecuencia, puede dar lugar al inicio de este último mediante la emisión de un “Acuerdo de Inicio de Procedimiento de Verificación”.
c. Procedimiento de Verificación (PV). Es un conjunto de actos mediante los cuales el INAI, a través de la DGIV, vigila el cumplimiento de la LFPDPPP, su Reglamento y demás normatividad que de ella derive, en específico el cumplimiento a los principios y deberes previstos en la normatividad. Reiteramos que la naturaleza del procedimiento de verificación es investigar el cumplimiento por parte del responsable de los principios y deberes a los que debe apegarse el tratamiento, y no así el de verificar la debida atención de los derechos ARCO de los titulares. De acuerdo con lo anterior, puede decirse que el PV puede ser consecuencia:
i. De la sustanciación de un PI; ii. Del incumplimiento a resoluciones dictadas con motivo de un PPD; iii. De un inicio de oficio en virtud de que se presume la existencia de
violaciones a la LFPDPPP. d. Procedimiento de Imposición de Sanciones (PISAN). Es un conjunto de actos por
los cuales el INAI, a través de la DGPDS–incardinada en la SPD–, en caso de presunción de incumplimiento de alguno de los principios o disposiciones de la LFPDPPP – determinados previamente en los PPD o PV por el Pleno– impone la o las sanciones que correspondan. Es decir, el PISAN necesariamente es resultado de la resolución emitida como resultado de un PPD o un PV por un presunto incumplimiento a la LFPDPPP y demás normatividad aplicable.
105
2. Sector público: a. Recurso de Revisión (RR). Se trata de un recurso que puede interponer el titular,
por sí mismo o a través de su representante ante el INAI o, en su caso, ante los Organismos garantes o la Unidad de Transparencia del responsable que haya conocido de la solicitud para el ejercicio de los derechos ARCO en los siguientes supuestos:
i. Se clasifiquen como confidenciales los datos personales sin que se cumplan las características señaladas en las leyes que resulten aplicables;
ii. Se declare la inexistencia de los datos personales; iii. Se declare la incompetencia por el responsable; iv. Se entreguen datos personales incompletos; v. Se entreguen datos personales que no correspondan con lo solicitado; vi. Se niegue el acceso, rectificación, cancelación u oposición de datos
personales; vii. No se dé respuesta a una solicitud para el ejercicio de los derechos ARCO
dentro de los plazos establecidos en la LGPDPPSO y demás disposiciones que resulten aplicables en la materia;
viii. Se entregue o ponga a disposición datos personales en una modalidad o formato distinto al solicitado, o en un formato incomprensible;
ix. El titular se inconforme con los costos de reproducción, envío o tiempos de entrega de los datos personales;
x. Se obstaculice el ejercicio de los derechos ARCO, a pesar de que fue notificada la procedencia de los mismos;
xi. No se dé trámite a una solicitud para el ejercicio de los derechos ARCO, y xii. En los demás casos que dispongan las leyes.
b. Recurso de Inconformidad (RI). Este recurso lo puede interponer el titular, por sí mismo o a través de su representante para impugnar la resolución del RR emitido por el organismo garante ante el INAI cuando:
i. Se clasifiquen los datos personales sin que se cumplan las características señaladas en las leyes que resulten aplicables;
ii. Se determine la inexistencia de datos personales, o iii. Se declare la negativa de datos personales, es decir: iv. Se entreguen datos personales incompletos; v. Se entreguen datos personales que no correspondan con los solicitados; vi. Se niegue el acceso, rectificación, cancelación u oposición de datos
personales; vii. Se entregue o ponga a disposición datos personales en un formato
incomprensible; viii. El titular se inconforme con los costos de reproducción, envío, o tiempos de
entrega de los datos personales, o ix. Se oriente a un trámite específico que contravenga lo dispuesto por el
artículo 54 de la LGPDPPSO. c. Recurso de Revisión en materia de Seguridad Nacional (RRSN). Este recurso
puede interponerse por el Consejero Jurídico del Gobierno Federal directamente ante la SCJN, cuando se considere que las resoluciones emitidas por el Instituto ponen en peligro la seguridad nacional.
106
d. Procedimiento de Verificación (PV). En este procedimiento el INAI y los Organismos garantes, en el ámbito de sus respectivas competencias pueden vigilar y verificar, ya sea de oficio o a petición de parte, el cumplimiento de las disposiciones contenidas en la LGPDPPSO y demás ordenamientos que se deriven de ésta.
Las resoluciones derivadas de los procedimientos en materia de protección de datos personales pueden ser controvertidas a través de distintos mecanismos legales, por ejemplo, en el sector privado las resoluciones derivadas del PPD, PV y PISAN pueden ser impugnadas a través del Juicio Contencioso Administrativo Federal .–también conocido como juicio de nulidad– que se tramita ante el TJFA, y en caso de que la resolución del juicio de nulidad no favorezca al responsable, podrá interponerse el juicio de amparo. En la perspectiva del derecho público, las resoluciones del RR y RI emitidas por el INAI son vinculantes, definitivas e inatacables para los responsables y los organismos garantes. Sin embargo, los particulares afectados con motivo de una resolución recaída del desarrollo del RR, RI o en su caso de las sanciones establecidas por la LGPDPPSO podrán impugnar dichas determinaciones mediante el juicio de amparo ante el PJF.
c) Régimen de infracciones y sanciones existente en México La legislación actual de protección de datos personales aplicable al sector privado contempla en su artículo 63 una serie de infracciones punibles con multa que puede ir de los 100 a los 320 mil días de SMVDF (ahora UMAs). En el sector público, el artículo 163 de la LGPDPPSO contempla diversas causas de sanción que podrán ser castigadas mediante la imposición de las medidas de apremio o multas previstas por los artículos 153 de la citada Ley. Además de las conductas anteriormente descritas la LFPDPPP establece en sus artículos 67 y 68 las conductas antijurídicas calificadas como delitos en materia del tratamiento indebido de datos personales (vid tabla sobre “Infracciones y sanciones por incumplimiento a la normatividad de protección de datos personales”)
107
104 Artículo 64.- Las infracciones a la presente Ley serán sancionadas por el Instituto con: I. El apercibimiento para que el responsable lleve a cabo los actos solicitados por el titular, en los términos previstos por esta Ley, tratándose de los supuestos previstos en la fracción I del artículo anterior; II. Multa de 100 a 160,000 días de salario mínimo vigente en el Distrito Federal, en los casos previstos en las fracciones II a VII del artículo anterior; III. Multa de 200 a 320,000 días de salario mínimo vigente en el Distrito Federal, en los casos previstos en las fracciones VIII a XVIII del artículo anterior, y IV. En caso de que de manera reiterada persistan las infracciones citadas en los incisos anteriores, se impondrá una multa adicional que irá de 100 a 320,000 días de salario mínimo vigente en el Distrito Federal. En tratándose de infracciones cometidas en el tratamiento de datos sensibles, las sanciones podrán incrementarse hasta por dos veces, los montos establecidos. 105 Artículo 153. El Instituto y los Organismos garantes podrán imponer las siguientes medidas de apremio para asegurar el cumplimiento de sus determinaciones: I. La amonestación pública, o II. La multa, equivalente a la cantidad de ciento cincuenta hasta mil quinientas veces el valor diario de la Unidad de Medida y Actualización. El incumplimiento de los sujetos obligados será difundido en los portales de obligaciones de transparencia del Instituto y los Organismos garantes y considerados en las evaluaciones que realicen éstos. En caso de que el incumplimiento de las determinaciones del Instituto y los Organismos garantes implique la presunta comisión de un delito o una de las conductas señaladas en el artículo 163 de la presente Ley, deberán denunciar los hechos ante la autoridad competente. Las medidas de apremio de carácter económico no podrán ser cubiertas con recursos públicos.
Infracciones y sanciones por incumplimiento a la normatividad de protección de datos personales
Conducta Sanción según la
LFPDPPP104 Sanción según la LGPDPPSO105
No cumplir con la solicitud del titular para el ejercicio de derechos ARCO, sin razón fundada. Artículo 64, fracción I No aplica
Actuar con negligencia o dolo en la tramitación y respuesta de solicitudes ARCO. (La LGPDPPSO establece además el
requisito de mala fe).
Artículo 64, fracción II Artículo 153
Incumplir los plazos de atención previstos en la LGPDPPSO para responder las solicitudes para el ejercicio de los derechos
ARCO o para hacer efectivo el derecho que se trate No aplica Artículo 153
Declarar dolosamente la inexistencia de datos personales, cuando exista total o parcialmente en las bases de datos.
Artículo 64, fracción II No aplica
Usar, sustraer, divulgar, ocultar, alterar, mutilar, destruir o inutilizar, total o parcialmente y de manera indebida datos
personales, que se encuentren bajo su custodia o a los cuales tengan acceso o conocimiento con motivo de su empleo, cargo o
comisión.
No aplica Artículo 153
Dar tratamiento a los datos personales en contravención a los principios.
Artículo 64, fracción II
Artículo 153
Clasificar como confidencial, con dolo o negligencia, datos personales sin que se cumplan las características señaladas en
las leyes que resulten aplicables. No aplica Artículo 153
No contar con el aviso de privacidad, o bien, omitir en el mismo alguno de sus elementos.
Artículo 64, fracción II No aplica
Mantener datos personales inexactos cuando resulte imputable al responsable, o no efectuar las rectificaciones o cancelaciones
de los mismos que legalmente procedan cuando resulten afectados los derechos de los titulares.
Artículo 64, fracción II No aplica
No cumplir con el apercibimiento previsto en el artículo 64 de la LFPDPPP.
Artículo 64, fracción II No aplica
Incumplir el deber de confidencialidad. Artículo 64, fracción
III No aplica
No establecer las medidas de seguridad en los términos que establece la LGPDPPSO.
No aplica Artículo 153
108
Cambiar sustancialmente la finalidad originaria del tratamiento de los datos, sin obtener nuevamente el consentimiento del
titular.
Artículo 64, fracción III No aplica
Transferir datos a terceros sin comunicar a éstos el aviso de privacidad que contiene las limitaciones a que el titular sujetó la
divulgación de los mismos.
Artículo 64, fracción III No aplica
Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable.
Artículo 64, fracción III Artículo 153
Llevar a cabo la transferencia de los datos personales, fuera de los casos en que esté permitida por Ley o en contravención a la
misma.
Artículo 64, fracción III
Artículo 153
Recabar o transferir datos personales sin el consentimiento expreso del titular, en los casos en que éste sea exigible.
Artículo 64, fracción III No aplica
Obstruir los actos de verificación de la autoridad. Artículo 64, fracción
III No aplica
Recabar datos en forma engañosa y fraudulenta. Artículo 64, fracción III
No aplica
Continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del mismo por el INAI o los titulares.
Artículo 64, fracción III
No aplica
Tratar los datos personales de manera que se afecte o impida el ejercicio de los derechos ARCO.
Artículo 64, fracción III
No aplica
Crear bases de datos, sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acordes con las
actividades o fines explícitos que persigue el responsable. Artículo 64, fracción I No aplica
Crear bases de datos personales en contravención a lo dispuesto por el artículo 5 de la LGPDPPSO. No aplica Artículo 153
No acatar las resoluciones emitidas por el Instituto y los Organismos garantes. No aplica Artículo 153
Omitir la entrega del informe anual y demás informes a que se refiere el artículo 44, fracción VII de la LGTAIP, o bien, entregar
el mismo de manera extemporánea. No aplica Artículo 153
Delitos en materia de protección de datos personales previstos en la LFPDPPP Descripción de la conducta Fundamento Sanción
Provocar una vulneración de seguridad a las bases de datos bajo su custodia estando autorizado para tratar
datos personales y con ánimo de lucro.
Artículo 67 LFPDPPP
Tres meses a tres años de prisión
Tratar datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos con el fin de
alcanzar un lucro indebido.
Artículo 68 LFPDPPP
Seis meses a cinco años de prisión
Las sanciones aplicables a las infracciones y delitos previstos en la LFPDPPP se duplicarán cuando se trate de datos personales sensibles.
109
C. Responsabilidad proactiva El apartado C del WP 254 referente a “Mecanismos relativos al procedimiento y la ejecución” establece que, a fin de garantizar una equivalencia esencial con el marco jurídico en materia de protección de datos en la UE, en el tercer país u organización un sistema coherente con el europeo debe obligar a los encargados del tratamiento o a aquellos que realizan el tratamiento de datos en su nombre a cumplirlo y a poder demostrar dicho cumplimiento en particular ante la autoridad de control competente. Estas medidas pueden incluir, por ejemplo, evaluaciones de impacto relativas a la protección de datos, la llevanza de registros de actividades de tratamiento de datos durante un tiempo adecuado, la designación de un delegado de protección de datos o la protección de datos desde el diseño y por defecto.
En relación con el principio de responsabilidad proactiva, el apartado 2 del artículo 5 del RGPD establece que “el responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo”.106 En sintonía con lo anterior, encontramos el artículo 24 del RGPD cuyo apartado 1 precisa que el responsable está obligado a aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD.107
Con base en esto se puede sostener que, el RGPD adopta un enfoque proactivo, exigiendo que el responsable adopte medidas preventivas dirigidas a reducir los riesgos de incumplimiento y, además, que esté en condiciones de demostrar que ha implantado esas medidas y que las mismas son las adecuadas para lograr la finalidad perseguida.
Como ejemplos de medidas en las que se concreta el principio de responsabilidad proactiva en el RGPD se pueden considerara las siguientes:
Designación de un Delegado de protección de datos Registro de actividades de tratamiento. Medidas de protección de datos desde el diseño y por defecto Análisis de riesgos y adopción de medidas de seguridad Notificación de brechas de seguridad Evaluaciones de impacto sobre la protección de datos (EIPD)
106 Artículo 5 Principios relativos al tratamiento […] 2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»). 107 Artículo 24 Responsabilidad del responsable del tratamiento 1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario. 2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos. 3. La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento.
110
La adhesión por parte de responsables y encargados de tratamiento a códigos de conducta, mecanismos de certificación, sellos y marcas de protección de datos.
Estas medidas se completan con los derechos de los titulares (interesados) con respecto al tratamiento de sus datos personales, la relación entre el responsable y el encargado del tratamiento, así como la legitimación para el tratamiento de los datos personales.
A. Normatividad aplicable al sector privado
a) Principio de responsabilidad y su cumplimiento
En primer lugar, es pertinente señalar que, la LFPDPPP en su artículo 14 establece la obligación del responsable de cumplir con el principio de responsabilidad, así como de demostrar su constante cumplimiento:
Artículo 14.- El responsable velará por el cumplimiento de los principios de protección de datos personales establecidos por esta Ley, debiendo adoptar las medidas necesarias para su aplicación. Lo anterior aplicará aún y cuando estos datos fueren tratados por un tercero a solicitud del responsable. El responsable deberá tomar las medidas necesarias y suficientes para garantizar que el aviso de privacidad dado a conocer al titular sea respetado en todo momento por él o por terceros con los que guarde alguna relación jurídica.
Las medidas que en términos de lo previsto por el artículo 48 del RLFPDPPP son exigibles al responsable para cumplir con el principio de responsabilidad se concretan en las siguientes acciones, que como vemos se desdoblan y desarrollan en múltiples obligaciones concretas de desarrollo continuo:
Contar con políticas y programas de privacidad obligatorios y exigibles dentro de la organización.
Mantener un programa de capacitación, actualización y concientización del personal en materia de protección de datos personales.
Habilitar un sistema de supervisión y vigilancia interna, verificaciones o auditorías externas para comprobar el cumplimiento de las políticas de privacidad.
Acreditar la asignación de recursos para la instrumentación de los programas y políticas de privacidad.
Instrumentar un procedimiento para que se atienda el riesgo para la protección de datos personales por la implementación de nuevos productos, servicios, tecnologías y modelos de negocios, así como para mitigarlos.
Contar un programa de revisión por medio del cual, de manera periódica, se revisen las políticas y programas de seguridad para determinar las modificaciones que se requieran.
Establecer procedimientos para recibir y responder dudas y quejas de los titulares de los datos personales.
Disponer de mecanismos para el cumplimiento de las políticas y programas de privacidad, así como de sanciones por su incumplimiento.
Establecer medidas para el aseguramiento de los datos personales. Establecer medidas para la trazabilidad de los datos personales, es decir, acciones,
medidas y procedimientos técnicos que permiten rastrear a los datos personales durante su tratamiento.
111
Según el alcance del principio de responsabilidad, la anterior lista puede entenderse como “ilustrativa” ya que en la práctica el responsable puede adoptar medidas adicionales y complementarias para acreditar el cumplimiento de este principio.
b) Persona responsable y/o Departamento de Datos Personales
Otra de las obligaciones relevantes que competen al responsable según la normatividad es la de designar a una persona (Oficial de Protección de Datos Personales o OPDP) o constituir un Departamento de Protección de Datos Personales (DPDP) para que dé trámite a las solicitudes de derechos de los titulares y “fomente” el derecho de protección de datos personales al interior de la organización según lo previsto por el artículo 30 de la LFPDPPP:
Artículo 30. Todo responsable deberá designar a una persona, o departamento de datos personales, quien dará trámite a las solicitudes de los titulares, para el ejercicio de los derechos a que se refiere la presente Ley. Asimismo, fomentará la protección de datos personales al interior de la organización.
Aunque ni la LFPDPPP ni su normatividad de desarrollo regulan a gran profundidad la figura del OPDP o DPDP, lo cierto es que en la materia de protección de datos personales dicha figura cada vez más adquiere mayor importancia dentro de una organización y es equiparable a la del DPO del RGPD.
c) Encargado del tratamiento
La elección del encargado del tratamiento es una actividad que el responsable del tratamiento debe realizar de forma cuidadosa y atendiendo a los principios y deberes previstos en la LFPDPPP de tal suerte que debe contratar exclusivamente a aquellos terceros que garanticen la observancia de las obligaciones previstas en la normatividad, en particular aquellas relativas a las medidas de seguridad. Frente a todo tratamiento de datos personales que el encargado del tratamiento realice en nombre y por cuenta del responsable, el encargado deberá cumplir las obligaciones previstas en el artículo 50 del RLFPPPP:
Obligaciones del encargado Artículo 50. El encargado tendrá las siguientes obligaciones respecto del tratamiento que realice por cuenta del responsable: I. Tratar únicamente los datos personales conforme a las instrucciones del responsable; II. Abstenerse de tratar los datos personales para finalidades distintas a las instruidas por el responsable; III. Implementar las medidas de seguridad conforme a la Ley, el Reglamento y las demás disposiciones aplicables; IV. Guardar confidencialidad respecto de los datos personales tratados; V. Suprimir los datos personales objeto de tratamiento una vez cumplida la relación jurídica con el responsable o por instrucciones del responsable, siempre y cuando no exista una previsión legal que exija la conservación de los datos personales, y VI. Abstenerse de transferir los datos personales salvo en el caso de que el responsable así lo determine, la comunicación derive de una subcontratación, o cuando así lo requiera la autoridad competente.
112
El responsable, durante el proceso de elegir a un encargado, está obligado a realizar una diligencia previa a la contratación a través de la cual verifique que el tercero prestador de servicios:
1. Cuente y tenga implementada políticas de protección de datos personales afines a los principios y deberes aplicables que establece la LFPDPPP.
2. Tenga implementadas las medidas de seguridad adecuadas para la protección de los datos personales sobre los que se preste el servicio.
Así, el responsable tiene un deber de diligencia en la elección del encargado, y por ende debe ser capaz de acreditar que, previo a la contratación del servicio, verificó que el encargado cumplía con las condiciones necesarias para garantizar una adecuada protección a la información. El deber de diligencia que tiene el responsable en el proceso de elección del encargado es general y amplio. La normatividad en México, además, da un ejemplo en concreto para la contratación de una prestación de servicios específica, en el artículo 52 del RLFPDPPP, respecto al tratamiento de datos personales por parte de encargados que prestan servicios de cómputo en la nube. En dicha disposición se impone al responsable la obligación de cerciorarse que el prestador del servicio de cómputo en la nube al que se adhiera cumpla con diversas obligaciones, así como que cuente con diversos mecanismos para la debida protección de la información. Dentro de ese mismo artículo, se le impone al responsable del tratamiento la prohibición de contratar a un encargado que preste dichos servicios si éste no es capaz de garantizar la debida protección de datos personales objeto del tratamiento “En cualquier caso, el responsable no podrá adherirse a servicios que no garanticen la debida protección de los datos personales”.
d) Esquemas de autorregulación vinculante
Como decíamos, el cumplimiento de la normatividad de protección de datos personales obliga al responsable a desarrollar una serie de medidas, legalmente obligadas para demostrar el efectivo y correcto cumplimiento de los principios y deberes de la LFPDPPP frente a todo tratamiento de datos personales, entre estas medidas cabe la “autorregulación” que hace referencia a la posibilidad que tienen los responsables y encargados del tratamiento de establecer y autoimponerse voluntariamente reglas para cumplir con el tratamiento lícito de los datos personales bajo su posesión y elevar así los estándares de protección de datos asumidos por la organización.
No obstante, en términos de la normatividad vigente, aunque la adhesión a estos mecanismos es potestativa, en el momento en que el responsable o encargado se adhieren a uno de los mecanismos regulados por la LFPDPPP esta sea vuelve obligatoria. Precisamente así surgen los Esquemas de Autorregulación vinculante en materia de protección de datos personales (en adelante “EAV).
Los EAV, son una medida necesaria y adecuada para cumplir con el principio de responsabilidad previsto en el artículo 14 de la LFPDPPP y demás obligaciones aplicables. Por otra parte, el artículo 44 de la LFPDPPP instituye la posibilidad de que las personas físicas o morales sujetas a la LFPDPPP puedan convenir entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras la sujeción a EAV para cumplir con el principio de responsabilidad previsto en la LFPDPP:
113
Artículo 44.- Las personas físicas o morales podrán convenir entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulación vinculante en la materia, que complementen lo dispuesto por la presente Ley. Dichos esquemas deberán contener mecanismos para medir su eficacia en la protección de los datos, consecuencias y medidas correctivas eficaces en caso de incumplimiento.
Los esquemas de autorregulación podrán traducirse en códigos deontológicos o de buena práctica profesional, sellos de confianza u otros mecanismos y contendrán reglas o estándares específicos que permitan armonizar los tratamientos de datos efectuados por los adheridos y facilitar el ejercicio de los derechos de los titulares. Dichos esquemas serán notificados de manera simultánea a las autoridades sectoriales correspondientes y al INAI.
En este mismo sentido encontramos el artículo 47 del RLFPDPPP que lo siguiente:
Artículo 47. En términos de los artículos 6 y 14 de la Ley, el responsable tiene la obligación de velar y responder por el tratamiento de los datos personales que se encuentren bajo su custodia o posesión, o por aquéllos que haya comunicado a un encargado, ya sea que este último se encuentre o no en territorio mexicano.
Para cumplir con esta obligación, el responsable podrá valerse de estándares, mejores prácticas internacionales, políticas corporativas, esquemas de autorregulación o cualquier otro mecanismo que determine adecuado para tales fines.
En función de lo anterior se puede concluir que: 1. Los EAV pueden acordarse entre personas físicas o morales y con organizaciones civiles o
gubernamentales, tanto nacionales como extranjeras. 2. Los EAV sirven para demostrar el cumplimiento al principio de responsabilidad y
complementar las obligaciones previstas en la LFPDPPP y su Reglamento. 3. Los EAV deben contener mecanismos para medir su eficacia, consecuencias y medidas
correctivas en caso de incumplimiento. 4. Los EAV pueden traducirse en códigos deontológicos o de buena práctica profesional, sellos
de confianza u otros mecanismos. 5. Los EAV deben ser notificados a las autoridades sectoriales correspondientes y al INAI.
De conformidad con la normatividad vigente, los EAV pueden ser de 4 tipos:
1. Reglas emitidas con objeto de adaptar la normativa aplicable en materia de protección de datos personales a la realidad y actividades de un sector en particular.�
2. Esquemas con validación. 3. Esquemas con certificación reconocida. 4. Esquemas desarrollados y reconocidos fuera del territorio mexicano.
Los citados EAV se regulan en la LFPDPPP, el RLFPDPPP, la Ley Federal sobre Metrología y Normalización (LFMN) y su Reglamento, los Parámetros de Autorregulación en Materia de Protección de Datos Personales, las Reglas de Operación del Registro de Esquemas de Autorregulación Vinculante y las Reglas para el Uso del Logotipo del REA INAI y condiciones para su autorización. En particular destacan por su importancia práctica los “esquemas de autorregulación vinculante con certificación reconocida” o también denominados “esquemas de autorregulación vinculante
114
certificados” son uno de los cuatro tipos de esquemas reconocidos por la normatividad y su finalidad es la de elevar los estándares de protección de datos personales y adoptar las mejores prácticas en la materia. Los esquemas referidos pueden ser desarrollados, o adoptados por los responsables y encargados y se presentan ante un tercero denominado “organismo de certificación” para que este certifique su contenido y verifique que el esquema cumple con los requerimientos normativos necesarios y aquellos que el propio certificador determine. Las certificaciones son otorgadas por organismos de certificación acreditados por parte de la Entidad Mexicana de Acreditación autorizada por la SE, en términos de la LFMN. Como características de los EAV con certificación reconocida podemos señalar las siguientes:
Tienen por objeto que los organismos de certificación determinen la conformidad o grado de cumplimiento de los esquemas, y de su implementación conforme a lo dispuesto por la normatividad aplicable.
La certificación es otorgada por un tercero denominado “organismo de certificación”. La certificación puede tener un alcance total o parcial dependiendo de la forma en la cual
este responda al cumplimiento de las obligaciones previstas en la LFPDPPP. La certificación en materia de protección de datos personales puede tener cualquiera de los siguientes alcances:
Total: cuando se evalúe la conformidad de un EAV y su implementación respecto de todos (i) los principios, (ii) deberes y (iii) obligaciones previstas en la LFPDPPP, su Reglamento, los PAPDP y demás normatividad aplicable.
Parcial: cuando se evalúe la conformidad de un esquema y su implementación respecto de principios, deberes u obligaciones específicos previstos en la LFPDPPP, su Reglamento, los PAPDP de Autorregulación y demás normatividad aplicable.
Los esquemas con certificación reconocida deben cumplir con los contenidos obligatorios establecidos en los numerales 14 y 18 de los Parámetros para su reconocimiento e inscripción en el REA.
e) Seguridad
Respecto del contenido concreto del deber de seguridad tomando como referencia el RGPD podemos señalar que dicha norma y las disposiciones de la LFPDPPP y su Reglamento guardan un alto grado de suficiencia con RGPD al reflejar de forma particular la forma en la cual se considera que los responsables y encargados del tratamiento deben cumplir con esta obligación. Respecto del contenido concreto del deber de seguridad tomando como referencia el RGPD podemos señalar que dicha norma y las disposiciones de la LFPDPPP y su Reglamento guardan un alto grado de suficiencia con RGPD al reflejar de forma particular la forma en la cual se considera que los responsables y encargados del tratamiento deben cumplir con esta obligación. Como se precisó en el apartado de seguridad, se puede señalar que existe un importante grado de correspondencia entre las obligaciones previstas en LFPDPPPP y los requerimientos del WP 254 y
115
el RGPD para cumplir con el deber de seguridad. Sin embargo, existen importantes asimetrías en aspectos como la notificación de vulneraciones de seguridad a la autoridad y la posibilidad de que esta puede ordenar la notificación de una vulneración al responsable, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo. Derivado de lo anterior se puede sostener que, los mecanismos para cumplir con el principio de responsabilidad son adecuados y detallados a un grado comparable de lo exigido por RGPD aunque no son idénticos, y precisamente es ahí donde encontramos asimetrías, pues, la LFPDPPP y su Reglamento no requieren realizar el registro de actividades del tratamiento a responsables y encargados, no obligan a considerar los enfoques de privacidad por diseño y privacidad por defecto, no obligan realizar la EIPD, no obligan a notificar las brechas de seguridad a la autoridad.
B. Normatividad aplicable al sector público a) Principio de responsabilidad y su cumplimiento
En primer lugar, es pertinente señalar que, la LGPDPPSO en su artículo 29 establece la obligación del responsable de cumplir con el principio de responsabilidad, así como de demostrar su constante cumplimiento:
Artículo 29. El responsable deberá implementar los mecanismos previstos en el artículo 30 de la presente Ley para acreditar el cumplimiento de los principios, deberes y obligaciones establecidos en la presente Ley y rendir cuentas sobre el tratamiento de datos personales en su posesión al titular e Instituto o a los Organismos garantes, según corresponda, caso en el cual deberá observar la Constitución y los Tratados Internacionales en los que el Estado mexicano sea parte; en lo que no se contraponga con la normativa mexicana podrá valerse de estándares o mejores prácticas nacionales o internacionales para tales fines.
Las medidas que en términos de lo previsto por el artículo 30 de la LGPDPPSO son exigibles al responsable para cumplir con el principio de responsabilidad se concretan en las siguientes acciones, que como vemos se desdoblan y desarrollan en múltiples obligaciones concretas de desarrollo continuo:
Destinar recursos autorizados para tal fin para la instrumentación de programas y políticas de protección de datos personales;
Elaborar políticas y programas de protección de datos personales, obligatorios y exigibles al interior de la organización del responsable;
Poner en práctica un programa de capacitación y actualización del personal sobre las obligaciones y demás deberes en materia de protección de datos personales;
Revisar periódicamente las políticas y programas de seguridad de datos personales para determinar las modificaciones que se requieran;
Establecer un sistema de supervisión y vigilancia interna y/o externa, incluyendo auditorías, para comprobar el cumplimiento de las políticas de protección de datos personales;
Establecer procedimientos para recibir y responder dudas y quejas de los titulares; Diseñar, desarrollar e implementar sus políticas públicas, programas, servicios, sistemas o
plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos personales, de conformidad con las disposiciones previstas en la presente Ley y las demás que resulten aplicables en la materia, y
116
Garantizar que sus políticas públicas, programas, servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos personales, cumplan por defecto con las obligaciones previstas en la LGPDPPSO y las demás que resulten aplicables en la materia.
Según el alcance del principio de responsabilidad, la anterior lista puede entenderse como “ilustrativa” ya que en la práctica el responsable puede adoptar medidas adicionales y complementarias para acreditar el cumplimiento de este principio.
b) Oficial de Protección de Datos (OPD)
Otra de las obligaciones relevantes que competen al responsable según la normatividad es la de designar un oficial de protección de datos personales, especializado en la materia para que cumplirá con las funciones de la Unidad de Transparencia108 como auxiliar y orientar al titular que lo requiera con relación al ejercicio del derecho a la protección de datos personales, gestionar las solicitudes para el ejercicio de los derechos ARCO, establecer mecanismos para asegurar que los datos personales solo se entreguen a su titular o su representante debidamente acreditados, informar al titular o su representante el monto de los costos a cubrir por la reproducción y envío de los datos personales, con base en lo establecido en las disposiciones normativas aplicables, proponer al Comité de Transparencia los procedimientos internos que aseguren y fortalezcan mayor eficiencia en la gestión de las solicitudes para el ejercicio de los derechos ARCO, aplicar instrumentos de evaluación de calidad sobre la gestión de las solicitudes para el ejercicio de los derechos ARCO, y asesorar a las áreas adscritas al responsable en materia de protección de datos personales:
Artículo 85. Cada responsable contará con una Unidad de Transparencia, se integrará y funcionará conforme a lo dispuesto en la Ley General de Transparencia y Acceso a la Información Pública, esta Ley y demás normativa aplicable, que tendrá las siguientes funciones:
[…]
108 Artículo 85. Cada responsable contará con una Unidad de Transparencia, se integrará y funcionará conforme a lo dispuesto en la Ley General de Transparencia y Acceso a la Información Pública, esta Ley y demás normativa aplicable, que tendrá las siguientes funciones: I. Auxiliar y orientar al titular que lo requiera con relación al ejercicio del derecho a la protección de datos personales; II. Gestionar las solicitudes para el ejercicio de los derechos ARCO; III. Establecer mecanismos para asegurar que los datos personales solo se entreguen a su titular o su representante debidamente acreditados; IV. Informar al titular o su representante el monto de los costos a cubrir por la reproducción y envío de los datos personales, con base en lo establecido en las disposiciones normativas aplicables; V. Proponer al Comité de Transparencia los procedimientos internos que aseguren y fortalezcan mayor eficiencia en la gestión de las solicitudes para el ejercicio de los derechos ARCO; VI. Aplicar instrumentos de evaluación de calidad sobre la gestión de las solicitudes para el ejercicio de los derechos ARCO, y VII. Asesorar a las áreas adscritas al responsable en materia de protección de datos personales. Los responsables que en el ejercicio de sus funciones sustantivas lleven a cabo tratamientos de datos personales relevantes o intensivos, podrán designar a un oficial de protección de datos personales, especializado en la materia, quien realizará las atribuciones mencionadas en este artículo y formará parte de la Unidad de Transparencia. Los sujetos obligados promoverán acuerdos con instituciones públicas especializadas que pudieran auxiliarles a la recepción, trámite y entrega de las respuestas a solicitudes de información, en la lengua indígena, braille o cualquier formato accesible correspondiente, en forma más eficiente.
117
Los responsables que en el ejercicio de sus funciones sustantivas lleven a cabo tratamientos de datos personales relevantes o intensivos, podrán designar a un oficial de protección de datos personales, especializado en la materia, quien realizará las atribuciones mencionadas en este artículo y formará parte de la Unidad de Transparencia.
Al respecto, los LGPSPSP establecen que la persona designada como oficial de protección de datos deberá contar con la jerarquía o posición dentro de la organización del responsable que le permita implementar políticas transversales en esta materia.109 Respecto de su designación, los LGPSPSP indican que este deberá ser designado atendiendo a sus conocimientos, cualidades profesionales, experiencia en la materia, y, en su caso, a la o las certificaciones con que cuente en materia de protección de datos personales. 110 Como funciones del OPD los citados LGPSPSP 111 establecen que este tendrá las siguientes atribuciones: Asesorar al Comité de Transparencia (CT) respecto a los temas que sean sometidos a su
consideración en materia de protección de datos personales; Proponer al CT políticas, programas, acciones y demás actividades que correspondan para el
cumplimiento de la LGPDPPSO y los LGPSPSP; Implementar políticas, programas, acciones y demás actividades que correspondan para el
cumplimiento de la LGPDPPSO y los LGPSPSP, previa autorización del CT; Asesorar permanentemente a las áreas adscritas al responsable en materia de protección de
datos personales; Las demás que determine el responsable y la normatividad que resulte aplicable.
c) Encargado del tratamiento
Respecto de todo tratamiento de datos personales que el encargado realice en nombre y por cuenta del responsable, el encargado deberá cumplir las obligaciones previstas en el artículo 59 de la LGPDPPSO:
Realizar el tratamiento de los datos personales conforme a las instrucciones del responsable;
Abstenerse de tratar los datos personales para finalidades distintas a las instruidas por el responsable;
Implementar las medidas de seguridad conforme a los instrumentos jurídicos aplicables; Informar al responsable cuando ocurra una vulneración a los datos personales que trata por
sus instrucciones; Guardar confidencialidad respecto de los datos personales tratados; Suprimir o devolver los datos personales objeto de tratamiento una vez cumplida la relación
jurídica con el responsable, siempre y cuando no exista una previsión legal que exija la conservación de los datos personales, y
109 Vid, artículo 121 de los LGPDPSP. 110 Vid, artículo 121 de los LGPDPSP. 111 Vid, artículo 122 de los LGPDPSP.
118
Abstenerse de transferir los datos personales salvo en el caso de que el responsable así lo determine, o la comunicación derive de una subcontratación, o por mandato expreso de la autoridad competente.
Además, el artículo 109 de los LGPDPSP establecen que, además de las previsiones generales señaladas en el articulo 59 de la LGPDPPSO para la prestación de los servicios del encargado, el responsable deberá� prever en el contrato o instrumento jurídico a que se refiere el párrafo anterior del presente artículo las siguientes obligaciones:
Permitir al INAI o al responsable realizar verificaciones en el lugar o establecimiento donde lleva a cabo el tratamiento de los datos personales.
Colaborar con el Instituto en las investigaciones previas y verificaciones que lleve a cabo en términos de lo dispuesto en la LGPDPPSO y los LGPDPSP, proporcionando la información y documentación que se estime necesaria para tal efecto, y
Generar, actualizar y conservar la documentación necesaria que le permita acreditar el cumplimiento de sus obligaciones.
d) Mejores prácticas
El artículo 72 de la LGPDPPSO indica que, el responsable podrá desarrollar o adoptar, en lo individual o en acuerdo con otros responsables, encargados u organizaciones, esquemas de mejores prácticas que tengan por objeto:
Elevar el nivel de protección de los datos personales; Armonizar el tratamiento de datos personales en un sector específico; Facilitar el ejercicio de los derechos ARCO por parte de los titulares; Facilitar las transferencias de datos personales; Complementar las disposiciones previstas en la normatividad que resulte aplicable en
materia de protección de datos personales, y Demostrar ante el Instituto o, en su caso, los organismos garantes, el cumplimiento de la
normatividad que resulte aplicable en materia de protección de datos personales.
Al respecto, el artículo 73 de la LGPDPPSO precisa que todo esquema de mejores prácticas que busque la validación o reconocimiento por parte del Instituto o, en su caso, de los organismos garantes habrá de:
Cumplir con los parámetros que para tal efecto emitan, según corresponda, el INAI y los organismos garantes conforme a los criterios que fije el primero.
Ser notificado ante el INAI o, en su caso, los organismos garantes de conformidad con el procedimiento establecido en los parámetros señalados en la fracción anterior, a fin de que sean evaluados y, en su caso, validados o reconocidos e inscritos en el registro al que refiere el último párrafo de este artículo.
Para cumplir con lo anterior, el INAI ha publicado los Parámetros de mejores prácticas en materia de protección de datos personales para el sector público.
119
e) Evaluación de Impacto en la Protección de Datos
El artículo 74 de la LGPDPPSO establece la obligación del responsable de realizar Evaluación de Impacto en la Protección de Datos Personales (EIPD) y presentarla ante el INAI o los organismos garantes, cuando el responsable pretenda poner en operación o modificar políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que a su juicio y de conformidad con la LGPDPPSO impliquen el tratamiento intensivo o relevante de datos personales.
Por su parte, el artículo 75 de la LGPDPPSO previene que se considerará que se está en presencia de un tratamiento intensivo o relevante de datos personales cuando existan riesgos inherentes a los datos personales a tratar, se traten datos personales sensibles, y se efectúen o pretendan efectuar transferencias de datos personales. Los LGPDPSP en su artículo 120 adicionan lo anterior al indicar que el responsable estará� en presencia de un tratamiento intensivo o relevante de datos personales cuando concurra cada una de las siguientes condiciones:
Existan riesgos inherentes a los datos personales a tratar, entendidos como el valor potencial cuantitativo o cualitativo que pudieran tener éstos para una tercera persona no autorizada para su posesión o uso en función de la sensibilidad de los datos personales; las categorías de titulares involucrados; el volumen total de los datos personales tratados; la cantidad de datos personales que se tratan por cada titular; la intensidad o frecuencia del tratamiento, o bien, la realización de cruces de datos personales con múltiples sistemas o plataformas informáticas;
Se traten datos personales sensibles a los que se refiere el artículo 3, fracción X de la LGPDPPSO, entendidos como aquellos que se refieran a la esfera más íntima de su titular o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. De manera enunciativa más no limitativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual, y
Se efectúen o pretendan efectuar transferencias de datos personales a las que se refiere el articulo 3, fracción XXXII de la LGPDPPSO, según corresponda, entendidas como cualquier comunicación de datos personales, dentro o fuera del territorio mexicano, realizada a persona distinta del titular, responsable o encargado, considerando con especial énfasis, de manera enunciativa más no limitativa, las finalidades que motivan éstas y su periodicidad prevista; las categorías de titulares involucrados; la categoría y sensibilidad de los datos personales transferidos; el carácter nacional y/o internacional de los destinatarios o terceros receptores y la tecnología utilizada para la realización de éstas.
El 23 de enero de 2018 las Disposiciones administrativas de carácter general para la elaboración, presentación y valoración de evaluaciones de impacto en la protección de datos personales que, entre otras cosas establecen el contenido que debe tener la EIPD y señalan los siguientes elementos:
La descripción de la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales que pretenda poner en operación o modificar;
120
La justificación de la necesidad de implementar o modificar la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales;
La representación del ciclo de vida de los datos personales a tratar; La identificación, análisis y descripción de la gestión de los riesgos inherentes para la
protección de los datos personales; El análisis de cumplimiento normativo en materia de protección de datos personales de
conformidad con la LGPDPPSO o las legislaciones estatales en la materia y demás disposiciones aplicables;
Los resultados de la o las consultas externas que, en su caso, se efectúen; La opinión técnica del oficial de protección de datos personales respecto del tratamiento
intensivo o relevante de datos personales que implique la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología, en su caso, y
Cualquier otra información o documentos que considere conveniente hacer del conocimiento del Instituto o los organismos garantes en función de la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología.
f) Seguridad
En relación con la seguridad de datos personales, la LGPDPPSO en su artículo 31 obliga los responsables a establecer y mantener las medidas de seguridad de carácter administrativo, físico y técnico para la protección de los datos personales, que permitan protegerlos contra daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, así como garantizar su confidencialidad, integridad y disponibilidad con independencia del tipo de sistema en el que se encuentren los datos personales o el tipo de tratamiento que se efectúe. Al respecto es importante señalar que la LGPDPPSO en su artículo 32 precisa que las medidas de seguridad adoptadas por el responsable deberán considerar el riesgo inherente a los datos personales tratados, la sensibilidad de los datos personales tratados, el desarrollo tecnológico, las posibles consecuencias de una vulneración para los titulares, las transferencias de datos personales que se realice, el número de titulares, las vulneraciones previas ocurridas en los sistemas de tratamiento, y el riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión. Por su parte, el artículo 33 de la LGPDPPSO señala que, para establecer y mantener las medidas de seguridad para la protección de los datos personales, el responsable deberá realizar, al menos, las siguientes actividades interrelacionadas:
Crear políticas internas para la gestión y tratamiento de los datos personales, que tomen en cuenta el contexto en el que ocurren los tratamientos y el ciclo de vida de los datos personales, es decir, su obtención, uso y posterior supresión;
Definir las funciones y obligaciones del personal involucrado en el tratamiento de datos personales;
Elaborar un inventario de datos personales y de los sistemas de tratamiento; Realizar un análisis de riesgo de los datos personales, considerando las amenazas y
vulnerabilidades existentes para los datos personales y los recursos involucrados en su tratamiento, como pueden ser, de manera enunciativa más no limitativa, hardware, software,
121
personal del responsable, entre otros; Realizar un análisis de brecha, comparando las medidas de seguridad existentes contra las
faltantes en la organización del responsable; Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes,
así como las medidas para el cumplimiento cotidiano de las políticas de gestión y tratamiento de los datos personales;
Monitorear y revisar de manera periódica las medidas de seguridad implementadas, así como las amenazas y vulneraciones a las que están sujetos los datos personales, y
Diseñar y aplicar diferentes niveles de capacitación del personal bajo su mando, dependiendo de sus roles y responsabilidades respecto del tratamiento de los datos personales.
Es importante destacar que la LGPDPPSO exige que las acciones relacionadas con las medidas de seguridad para el tratamiento de los datos personales deberán estar documentadas y contenidas en un sistema de gestión. De manera particular, el artículo 35 de la LGPDPPSO precisa que responsable deberá elaborar un documento de seguridad que contenga, al menos, lo siguiente:
El inventario de datos personales y de los sistemas de tratamiento; Las funciones y obligaciones de las personas que traten datos personales; El análisis de riesgos; El análisis de brecha; El plan de trabajo; Los mecanismos de monitoreo y revisión de las medidas de seguridad, y El programa general de capacitación.
Asimismo, es importante señalar que el artículo 74 de la LGPDPPSO indica que cuando el responsable pretenda poner en operación o modificar políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que a su juicio y de conformidad con la LGPDPPSO impliquen el tratamiento intensivo o relevante de datos personales, deberá realizar una Evaluación de impacto en la protección de datos personales, y presentarla ante el INAI o los Organismos garantes, según corresponda, los cuales podrán emitir recomendaciones no vinculantes especializadas en la materia de protección de datos personales. Para tal efecto, el INAI emitió las disposiciones administrativas de carácter general para la elaboración, presentación y valoración de evaluaciones de impacto en la protección de datos personales, mismas que se publicaron el 23 de enero de 2018 en el DOF. Los LGPDPSP, además, prevén entre otras cosas lo siguiente:
Obligación de aplicar medidas de carácter administrativo, técnico, físico u otras de cualquier naturaleza que, desde el diseño, le permitan aplicar de forma efectiva el cumplimiento de los principios, deberes y demás obligaciones previstas en la LGPDPPSO y los LGPDPSP, en sus politicas, programas, servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos personales.
Obligación de aplicar medidas técnicas y organizativas apropiadas y orientadas a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales estrictamente necesarios para cada uno de los fines específicos del tratamiento.
122
Obligación de designar un oficial de protección de datos personales cuando se lleven a cabo tratamientos relevantes o intensivos de datos personales.
Respecto de las vulneraciones es importante señalar que las vulneraciones de seguridad si deben notificarse al titular y la autoridad tal y como exige el RGPD, a diferencia del sector privado donde solo se notifican al titular. De esta manera, se puede considerar que las medidas de seguridad exigidas por la LGPDPPSO y los LGPDPSP guardan un alto grado de suficiencia respecto de aquellas señaladas con el RGPD teniendo un nivel de protección amplio y equiparable. Derivado de lo anterior se puede sostener que, los mecanismos para cumplir con el principio de responsabilidad son adecuados y detallados a un grado comparable de lo exigido por RGPD, por lo que, no se identifican inconsistencias significativas.
2. El sistema de protección de datos debe ofrecer apoyo y ayuda a los interesados individuales en el ejercicio de sus derechos y mecanismos de reclamación adecuados.
El apartado C del WP 254 referente a “Mecanismos relativos al procedimiento y la ejecución” establece que, a fin de garantizar una equivalencia esencial con el marco jurídico en materia de protección de datos en la UE, en el tercer país u organización un sistema coherente con el europeo debe ofrecer apoyo y ayuda a los interesados individuales en el ejercicio de sus derechos y mecanismos de reclamación adecuados. Al respecto, el WP 254 indica que, la persona debe poder interponer un recurso judicial para hacer valer sus derechos de forma rápida y efectiva, y sin costes prohibitivos, así como para garantizar su cumplimiento. Para tal fin, deben aplicarse mecanismos de supervisión que permitan la investigación independiente de reclamaciones y que posibiliten que las infracciones del derecho a la protección de datos y respeto por la vida privada sean identificadas y castigadas en la práctica. Adicionalmente, el WP 254 señala que, cuando no se cumplan las normas, también se ofrecerán al interesado mecanismos efectivos de reclamación administrativa y judicial, incluida la indemnización por daños como resultado del tratamiento ilícito de sus datos personales. Este es un elemento básico que debe contemplar un sistema de adjudicación o arbitraje independiente que permita pagar indemnizaciones e imponer sanciones cuando proceda.
A. Recursos judiciales previstos en la normatividad mexicana de protección d datos personales
a. Procedimientos Como se señaló en apartados previos es pertinente destacar que en México los titulares tienen medios de tutela adecuados tanto administrativos que se sustancian ante el INAI y los organismos garantes (INAI y garantes locales en caso de procedimiento del sector público) como procedimientos de naturaleza jurisdiccional que se sustancian ante el TFJA y el PJF con el propósito de impugnar las resoluciones derivadas de dichos procedimientos, por lo que se cumple con el requerimiento del WP 254. Para un mayor detalle sobre este tema y evitar reiteraciones innecesarias se sugiere
123
consultar el apartado de Procedimientos para vigilar el debido cumplimiento de las normatividades aplicables de protección de datos personales,
b. Recursos judiciales en el sector privado Las resoluciones derivadas de los procedimientos en materia de protección de datos personales pueden ser controvertidas a través de distintos mecanismos legales, por ejemplo, en el sector privado las resoluciones derivadas del PPD, PV y PISAN pueden ser impugnadas a través del Juicio Contencioso Administrativo Federal .–también conocido como juicio de nulidad– que se tramita ante el TJFA, y en caso de que la resolución del juicio de nulidad no favorezca al responsable, podrá interponerse el juicio de amparo. Lo anterior, con fundamento en lo previsto por el artículo 56 de la LFPDPPP que establece que, contra las resoluciones del INAI, los particulares podrán promover el juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa (ahora Tribunal Federal de Justicia Administrativa). En relación con los medios de impugnación correspondientes a los procedimientos (PPD, PV y PISAN) en materia de protección de datos personales el RLFPDPPP indica lo siguiente:
Medios de impugnación previstos en el RLFPDPPP PPD PV PISAN
Medios de impugnación Artículo 126. Contra la resolución al
procedimiento de protección de derechos procede el juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y
Administrativa.
Medios de impugnación Artículo 138. En contra de la resolución al procedimiento de verificación, se podrá interponer el juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y
Administrativa.
Medios de impugnación Artículo 144. En contra de la resolución al procedimiento de imposición de sanciones
procede el juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y
Administrativa.
Adicionalmente, debe tomarse en cuenta que estas resoluciones en caso de que no resulten favorables también son susceptibles de ser impugnadas mediante el juicio de amparo ante el PJF. Además, la LFPDPPP indica que, los titulares podrán ejercer los derechos que estimen pertinentes para efectos de la indemnización que proceda, en términos de las disposiciones legales correspondientes (vía civil):
Artículo 58.- Los titulares que consideren que han sufrido un daño o lesión en sus bienes o derechos como consecuencia del incumplimiento a lo dispuesto en la presente Ley por el responsable o el encargado, podrán ejercer los derechos que estimen pertinentes para efectos de la indemnización que proceda, en términos de las disposiciones legales correspondientes.
Como resultado del anterior sustento normativo se puede sostener que la normatividad aplicable al sector privado prevé medios adecuados para que los titulares tengan acceso a recursos judiciales eficaces y que les permiten en todo momento la defensa efectiva de sus derechos.
124
c. Recursos judiciales en el sector público
En la perspectiva del derecho público, cuando los particulares afectados con motivo de una resolución recaída del desarrollo del RR, RI o en su caso de las sanciones establecidas por la LGPDPPSO podrán impugnar dichas determinaciones mediante el juicio de amparo ante el PJF con fundamento en lo previsto por el artículo 115 del citado ordenamiento que señala lo siguiente:
Artículo 115. Las resoluciones del Instituto y de los Organismos garantes serán vinculantes, definitivas e inatacables para los responsables.
Los titulares podrán impugnar dichas resoluciones ante el Poder Judicial de la Federación mediante el Juicio de Amparo.
En relación con lo anterior, el artículo 116 de la LGPDPPSO precisa que, tratándose de las resoluciones a los recursos de revisión de los Organismos garantes de las Entidades Federativas, los particulares podrán optar por acudir ante el INAI interponiendo el recurso de inconformidad previsto en esta Ley o ante el PJF mediante el Juicio de Amparo:
Artículo 116. Tratándose de las resoluciones a los recursos de revisión de los Organismos garantes de las Entidades Federativas, los particulares podrán optar por acudir ante el Instituto interponiendo el recurso de inconformidad previsto en esta Ley o ante el Poder Judicial de la Federación mediante el Juicio de Amparo.
Finalmente, la LGPDPPSO previene que las resoluciones a partir de las cuales se impongan medidas de apremio podrán impugnarse también ante el PJF:
Artículo 162. En contra de la imposición de medidas de apremio, procede el recurso correspondiente ante el Poder Judicial de la Federación, o en su caso ante el Poder Judicial correspondiente en las Entidades Federativas.
Como resultado del anterior sustento normativo se puede sostener que la normatividad aplicable al sector privado prevé medios adecuados para que los titulares tengan acceso a recursos judiciales eficaces y que les permiten en todo momento la defensa efectiva de sus derechos.
X. Capítulo 4: Garantías esenciales en terceros países para el acceso a los datos por parte de los cuerpos policiales y de seguridad nacional a fin de limitar las injerencias en los derechos fundamentales
De conformidad con el WP 237 del GT29 al evaluar la adecuación del nivel de protección, la CE debe tener en cuenta “la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales, así como la aplicación de dicha legislación”.
125
En relación con lo anterior, es importante destacar la noción de “nivel de protección adecuado” derivada del asunto C-362/14 en el que el TJUE indicó que esta debe entenderse en el sentido de que se exige que un tercer país garantice efectivamente, por su legislación interna o sus compromisos internacionales, un nivel de protección de las libertades y derechos fundamentales sustancialmente equivalente al garantizado en la UE. No obstante, se ha señalado que, aunque los medios de los que se sirva ese país tercero para garantizar ese nivel de protección pueden ser diferentes de los aplicados en la UE, deben ser eficaces en la práctica.112 De esta manera en esta sección se explica cómo la legislación nacional en materia de protección de datos personales y la legislación sectorial específica cumplen y delimitan las siguientes garantías para acceder a los datos, tanto para fines de seguridad nacional como para fines de cumplimiento de la ley:
1) El tratamiento debe basarse en normas claras, precisas y accesibles (base jurídica) 2) Se deben demostrar la necesidad y la proporcionalidad respecto a los objetivos legítimos
perseguidos 3) El tratamiento debe estar sujeto a una supervisión independiente 4) Las personas deben disponer de vías de acción efectivas
Las garantías anteriores se explican a partir del derecho interno realizando precisiones sobre el andamiaje institucional presente en México.
1. El tratamiento debe basarse en normas claras, precisas y accesibles (base jurídica)
Esta garantía exige que toda injerencia justificada al derecho de protección de datos personales se encuentre de conformidad con la ley. En este sentido, se destaca que la injerencia debe ser previsible para el individuo en aras de brindarle protección adecuada contra las injerencias arbitrarias. Esto significa que la base legal que establece la injerencia debe estar asentada en una ley de observancia pública, que incluirá, además, la naturaleza de las infracciones que puedan ocasionarse en virtud de la orden de intercepción o de vigilancia, una definición de las categorías de personas que pueden ser sujetos de vigilancia, un límite en la duración de la medida, el procedimiento a seguir para examinar, usar y almacenar los datos obtenidos, así como las precauciones que deben tomarse en caso de transmitirlos a terceros.
112 74 De la redacción misma del artículo 25, apartado 6, de la Directiva 95/46 resulta que es el ordenamiento jurídico del tercer país al que se refiere la decisión de la Comisión el que debe garantizar un nivel de protección adecuado. Aunque los medios de los que se sirva ese tercer país para garantizar ese nivel de protección pueden ser diferentes de los aplicados en la Unión para garantizar el cumplimiento de las exigencias derivadas de esa Directiva entendida a la luz de la Carta, deben ser eficaces en la práctica para garantizar una protección sustancialmente equivalente a la garantizada en la Unión. Vid, Asunto C-362/14, Maximillian Schrems contra Data Protection Commissioner, 6 de octubre de 2015, apartado 74.
126
Asimismo, tratándose de medidas secretas de vigilancia, como la intercepción de comunicaciones, la “previsibilidad no puede significar que un individuo deba ser capaz de prever cuándo las autoridades son susceptibles de interceptar sus comunicaciones, de modo tal que pueda adaptar su conducta en consecuencia”. Por lo anterior, se declara esencial contar con reglas claras y detalladas respecto de la intercepción de comunicaciones telefónicas, especialmente conforme la tecnología disponible es cada vez más sofisticada”.
A. Análisis de la normatividad interna En este apartado se realiza un análisis de la legislación interna que legitima las intromisiones en el derecho de protección de datos personales tanto para fines de seguridad nacional como para fines de cumplimiento de la ley partiendo de las previsiones de la CPEUM.
a) Normatividad en materia de protección de datos personales
i. Constitución (CPEUM) El segundo párrafo del artículo 16 de la CPEUM limita el ejercicio del derecho a la protección de datos personales por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros:
Artículo 16. Nadie puede ser molestado en su persona, familia, domicilio, papeles o posesiones, sino en virtud de mandamiento escrito de la autoridad competente, que funde y motive la causa legal del procedimiento. En los juicios y procedimientos seguidos en forma de juicio en los que se establezca como regla la oralidad, bastará con que quede constancia de ellos en cualquier medio que dé certeza de su contenido y del cumplimiento de lo previsto en este párrafo. Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros. …
Sin embargo, para que puedan operar determinadas limitaciones en su aplicación y ejercicio es necesario que se actualicen determinados supuestos legales, pues en función de lo previsto por el artículo primero constitucional, tratándose de los derechos humanos, éstos sólo pueden restringirse o suspenderse válidamente en los casos y con las condiciones que la CPEUM establece, siempre que ello no se haga de manera abusiva, arbitraria o desproporcional.
127
En ese contexto, la SCJN113 destaca que de la interpretación armónica y sistemática del artículo 1 de la CPEUM y el artículo 30 de la CADH se concluye que los requisitos para considerar válidas las restricciones o la suspensión de derechos son:
Que se establezcan en una ley formal y material (principio de reserva de ley) dictada debido al interés general o público, en aras de garantizar los diversos derechos de igualdad y seguridad jurídica (requisitos formales);
Que superen un test de proporcionalidad, esto es, que sean necesarias; que persigan un interés o una finalidad constitucionalmente legítima y que sean razonables y ponderables en una sociedad democrática (requisitos materiales).
ii. LFPDPPP
En correspondencia con lo estipulado por la CPEUM, el artículo 4 de la LFPDPPP establece supuestos concretos de limitación al derecho de protección de datos personales:
Artículo 4.- Los principios y derechos previstos en esta Ley, tendrán como límite en cuanto a su observancia y ejercicio, la protección de la seguridad nacional, el orden, la seguridad y la salud públicos, así como los derechos de terceros.
En consecuencia, en el sector privado los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, los deberes de confidencialidad y seguridad, y los derechos de acceso, rectificación, cancelación y oposición pueden limitarse por razones de protección de la seguridad nacional, el orden, la seguridad y la salud públicos, así como los derechos de terceros.
iii. LGPDPPSO En sintonía con lo previsto por la CPEUM, el artículo 6 de la LGPDPPSO establece supuestos concretos de limitación al derecho de protección de datos personales en el sector público:
Artículo 6. El Estado garantizará la privacidad de los individuos y deberá velar porque terceras personas no incurran en conductas que puedan afectarla arbitrariamente.
113 DERECHOS HUMANOS. REQUISITOS PARA RESTRINGIRLOS O SUSPENDERLOS CONFORME A LOS ARTÍCULOS 1o. DE LA CONSTITUCIÓN POLÍTICA DE LOS ESTADOS UNIDOS MEXICANOS Y 30 DE LA CONVENCIÓN AMERICANA SOBRE DERECHOS HUMANOS. Esta Suprema Corte de Justicia de la Nación ha sostenido que no existen derechos humanos absolutos, por ello, conforme al artículo 1o., párrafo primero, de la Constitución Política de los Estados Unidos Mexicanos, reformado mediante decreto publicado en el Diario Oficial de la Federación el 10 de junio de 2011, aquéllos pueden restringirse o suspenderse válidamente en los casos y con las condiciones que la misma Ley Fundamental establece. En este sentido, el artículo 30 de la Convención Americana sobre Derechos Humanos establece que las restricciones permitidas al goce y ejercicio de los derechos y las libertades reconocidas en ésta no pueden aplicarse sino conforme a las leyes dictadas en razón del interés general y de acuerdo con el propósito para el cual han sido establecidas. Sin embargo, la regulación normativa que establezca los supuestos por los cuales se restrinjan o suspendan los derechos humanos no puede ser arbitraria, sino que los límites previstos en los invocados ordenamientos sirven como elementos que el juez constitucional debe tomar en cuenta para considerarlas válidas. En ese contexto, de la interpretación armónica y sistemática de los artículos citados se concluye que los requisitos para considerar válidas las restricciones o la suspensión de derechos, son: a) que se establezcan en una ley formal y material (principio de reserva de ley) dictada en razón del interés general o público, en aras de garantizar los diversos derechos de igualdad y seguridad jurídica (requisitos formales); y, b) que superen un test de proporcionalidad, esto es, que sean necesarias; que persigan un interés o una finalidad constitucionalmente legítima y que sean razonables y ponderables en una sociedad democrática (requisitos materiales). Vid Tesis aislada 2003975.
128
El derecho a la protección de los datos personales solamente se limitará por razones de seguridad nacional, en términos de la ley en la materia, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.
Derivado de lo anterior, en el sector público los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, los deberes de confidencialidad y seguridad, y los derechos de acceso, rectificación, cancelación, oposición y portabilidad, pueden limitarse por razones de protección de la seguridad nacional, el orden, la seguridad y la salud públicos, así como los derechos de terceros. A mayor abundamiento, en relación con la garantía del derecho a la protección de datos personales en el sector público cuando los datos personales se hallan en posesión de instancias de seguridad, procuración y administración de justicia el artículo 81 de la LGPDPPSO establece que dichos entes deberán realizar el tratamiento de los datos en cumplimiento a los principios y deberes previstos en dicha norma:
Artículo 81. En el tratamiento de datos personales, así como en el uso de las bases de datos para su almacenamiento, que realicen los sujetos obligados competentes de las instancias de seguridad, procuración y administración de justicia deberá cumplir con los principios establecidos en el Título Segundo de la presente Ley. Las comunicaciones privadas son inviolables. Exclusivamente la autoridad judicial federal, a petición de la autoridad federal que faculte la ley o del titular del Ministerio Público de la entidad federativa correspondiente, podrá autorizar la intervención de cualquier comunicación privada.
Adicionalmente, el artículo 82 de la LGPDPPSO indica que las instancias de seguridad, procuración y administración de justicia están obligadas a contar con medidas de seguridad de nivel alto para garantizar la integridad, disponibilidad y confidencialidad de la información bajo su poder:
Artículo 82. Los responsables de las bases de datos a que se refiere este Capítulo, deberán establecer medidas de seguridad de nivel alto, para garantizar la integridad, disponibilidad y confidencialidad de la información, que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
b) Normatividad en materia penal
i. Código Penal Federal (CPF) El Código Penal Federal (CPF) establece que se aplicarán las penas previstas en el artículo 139 del mismo ordenamiento, al que por cualquier medio que fuere ya sea directa o indirectamente, aporte o recaude fondos económicos o recursos de cualquier naturaleza, con conocimiento de que serán destinados para financiar o apoyar actividades de individuos u organizaciones terroristas, o para ser utilizados, o pretendan ser utilizados, directa o indirectamente, total o parcialmente, para la comisión, en territorio nacional o en el extranjero, de cualquiera de los delitos previstos en los ordenamientos legales siguientes:
1. Del Código Penal Federal, los siguientes:
129
a. Terrorismo, previstos en los artículos 139, 139 Bis y 139 Ter; b. Sabotaje, previsto en el artículo 140; c. Terrorismo Internacional, previsto en los artículos 148 Bis, 148 Ter y 148 Quáter; d. Ataques a las vías de comunicación, previstos en los artículos 167, fracción IX, y
170, párrafos primero, segundo y tercero, y e. Robo, previsto en el artículo 368 Quinquis.
2. De la Ley que Declara Reservas Mineras los Yacimientos de Uranio, Torio y las demás Substancias de las cuales se obtengan Isótopos Hendibles que puedan producir Energía Nuclear, los previstos en los artículos 10 y 13.
Por su parte, el artículo 400 del CPF entre otras conductas sancionables, prevé que se aplicará prisión de tres meses a tres años y de quince a sesenta días multa, al que requerido por las autoridades, no dé auxilio para la investigación de los delitos o para la persecución de los delincuentes y no procure, por los medios lícitos que tenga a su alcance y sin riesgo para su persona, impedir la consumación de los delitos que sabe van a cometerse o se están cometiendo, salvo que tenga obligación de afrontar el riesgo, en cuyo caso se estará a lo previsto en este artículo o en otras normas aplicables. Finalmente, es importante señalar que el artículo 400 Bis está destinado a sancionar las operaciones con recursos de procedencia ilícita:
Artículo 400 Bis. Se impondrá de cinco a quince años de prisión y de mil a cinco mil días multa al que, por sí o por interpósita persona realice cualquiera de las siguientes conductas: I. Adquiera, enajene, administre, custodie, posea, cambie, convierta, deposite, retire, dé o reciba por cualquier motivo, invierta, traspase, transporte o transfiera, dentro del territorio nacional, de éste hacia el extranjero o a la inversa, recursos, derechos o bienes de cualquier naturaleza, cuando tenga conocimiento de que proceden o representan el producto de una actividad ilícita, o II. Oculte, encubra o pretenda ocultar o encubrir la naturaleza, origen, ubicación, destino, movimiento, propiedad o titularidad de recursos, derechos o bienes, cuando tenga conocimiento de que proceden o representan el producto de una actividad ilícita. Para efectos de este Capítulo, se entenderá que son producto de una actividad ilícita, los recursos, derechos o bienes de cualquier naturaleza, cuando existan indicios fundados o certeza de que provienen directa o indirectamente, o representan las ganancias derivadas de la comisión de algún delito y no pueda acreditarse su legítima procedencia. En caso de conductas previstas en este Capítulo, en las que se utilicen servicios de instituciones que integran el sistema financiero, para proceder penalmente se requerirá la denuncia previa de la Secretaría de Hacienda y Crédito Público. Cuando la Secretaría de Hacienda y Crédito Público, en ejercicio de sus facultades de fiscalización, encuentre elementos que permitan presumir la comisión de alguno de los delitos referidos en este Capítulo, deberá ejercer respecto de los mismos las facultades de comprobación que le confieren las leyes y denunciar los hechos que probablemente puedan constituir dichos ilícitos.
Derivado de lo anterior se puede sostener que en el CPF existen disposiciones que habilitan a las autoridades a acceder y conocer determinada información de los particulares con el propósito de identificar y prevenir posibles actividades ilícitas.
130
ii. Código Nacional de Procedimientos Penales (CNPP) El CNPP establece en su artículo 291 las reglas bajo las cuales se podrá realizar la intervención de comunicaciones privadas e indica que estas deben ser solicitadas al Juez federal de control competente por parte del Titular de la Procuraduría General de la República, o en quienes éste delegue esta facultad, así como los Procuradores de las entidades federativas:
Artículo 291. Intervención de las comunicaciones privadas Cuando en la investigación el Ministerio Público considere necesaria la intervención de comunicaciones privadas, el Titular de la Procuraduría General de la República, o en quienes éste delegue esta facultad, así como los Procuradores de las entidades federativas, podrán solicitar al Juez federal de control competente, por cualquier medio, la autorización para practicar la intervención, expresando el objeto y necesidad de la misma. La intervención de comunicaciones privadas, abarca todo sistema de comunicación, o programas que sean resultado de la evolución tecnológica, que permitan el intercambio de datos, informaciones, audio, video, mensajes, así como archivos electrónicos que graben, conserven el contenido de las conversaciones o registren datos que identifiquen la comunicación, los cuales se pueden presentar en tiempo real. La solicitud deberá ser resuelta por la autoridad judicial de manera inmediata, por cualquier medio que garantice su autenticidad, o en audiencia privada con la sola comparecencia del Ministerio Público, en un plazo que no exceda de las seis horas siguientes a que la haya recibido. También se requerirá autorización judicial en los casos de extracción de información, la cual consiste en la obtención de comunicaciones privadas, datos de identificación de las comunicaciones; así como la información, documentos, archivos de texto, audio, imagen o video contenidos en cualquier dispositivo, accesorio, aparato electrónico, equipo informático, aparato de almacenamiento y todo aquello que pueda contener información, incluyendo la almacenada en las plataformas o centros de datos remotos vinculados con éstos. Si la resolución se registra por medios diversos al escrito, los puntos resolutivos de la autorización deberán transcribirse y entregarse al Ministerio Público. Los servidores públicos autorizados para la ejecución de la medida serán responsables de que se realice en los términos de la resolución judicial.
El CNPP en su artículo 292 establece los requisitos específicos que debe tener la solicitud de intervención de comunicaciones, así como su periodicidad:
Artículo 292. Requisitos de la solicitud La solicitud de intervención deberá estar fundada y motivada, precisar la persona o personas que serán sujetas a la medida; la identificación del lugar o lugares donde se realizará, si fuere posible; el tipo de comunicación a ser intervenida; su duración; el proceso que se llevará a cabo y las líneas, números o aparatos que serán intervenidos, y en su caso, la denominación de la empresa concesionada del servicio de telecomunicaciones a través del cual se realiza la comunicación objeto de la intervención. El plazo de la intervención, incluyendo sus prórrogas, no podrá exceder de seis meses. Después de dicho plazo, sólo podrán autorizarse nuevas intervenciones cuando el Ministerio Público acredite nuevos elementos que así lo justifiquen.
Por otro lado, el artículo 293 establece los requisitos que debe contener la resolución judicial que autoriza la intervención de las comunicaciones privadas:
131
Artículo 293. Contenido de la resolución judicial que autoriza la intervención de las comunicaciones privadas. En la autorización, el Juez de control determinará las características de la intervención, sus modalidades, límites y en su caso, ordenará a instituciones públicas o privadas modos específicos de colaboración.
El artículo 294 del CNPP el objeto de intervención de las comunicaciones privadas: Artículo 294. Objeto de la intervención Podrán ser objeto de intervención las comunicaciones privadas que se realicen de forma oral, escrita, por signos, señales o mediante el empleo de aparatos eléctricos, electrónicos, mecánicos, alámbricos o inalámbricos, sistemas o equipos informáticos, así como por cualquier otro medio o forma que permita la comunicación entre uno o varios emisores y uno o varios receptores. En ningún caso se podrán autorizar intervenciones cuando se trate de materias de carácter electoral, fiscal, mercantil, civil, laboral o administrativo, ni en el caso de las comunicaciones del detenido con su Defensor. El Juez podrá en cualquier momento verificar que las intervenciones sean realizadas en los términos autorizados y, en caso de incumplimiento, decretar su revocación parcial o total.
El artículo 295 del CNPP establece la obligación de hacer constar un delito diverso en caso de que se tuviera conocimiento de este a través de la intervención:
Artículo 295. Conocimiento de delito diverso Si en la práctica de una intervención de comunicaciones privadas se tuviera conocimiento de la comisión de un delito diverso de aquellos que motivan la medida, se hará constar esta circunstancia en el registro para dar inicio a una nueva investigación.
El artículo 296 del CNPP establece la posibilidad de ampliar la intervención de comunicaciones privadas:
Artículo 296. Ampliación de la intervención a otros sujetos Cuando de la intervención de comunicaciones privadas se advierta la necesidad de ampliar a otros sujetos o lugares la intervención, el Ministerio Público competente presentará al propio Juez de control la solicitud respectiva.
El artículo 297 del CNPP establece la obligación de registrar la intervención de comunicaciones:
Artículo 297. Registro de las intervenciones Las intervenciones de comunicación deberán ser registradas por cualquier medio que no altere la fidelidad, autenticidad y contenido de las mismas, por la Policía o por el perito que intervenga, a efecto de que aquélla pueda ser ofrecida como medio de prueba en los términos que señala este Código.
El artículo 298 del CNPP establece los requisitos que debe contener el registro de intervención de comunicaciones:
Artículo 298. Registro El registro a que se refiere el artículo anterior contendrá las fechas de inicio y término de la intervención, un inventario pormenorizado de los documentos, objetos y los medios para la reproducción de sonidos o imágenes captadas durante la misma, cuando no se ponga en riesgo a la
132
investigación o a la persona, la identificación de quienes hayan participado en los actos de investigación, así como los demás datos que se consideren relevantes para la investigación. El registro original y el duplicado, así como los documentos que los integran, se numerarán progresivamente y contendrán los datos necesarios para su identificación.
El artículo 299 del CNPP establece la obligación de informar al Ministerio Público los resultados de la intervención de comunicaciones:
Artículo 299. Conclusión de la intervención Al concluir la intervención, la Policía o el perito, de manera inmediata, informará al Ministerio Público sobre su desarrollo, así como de sus resultados y levantará el acta respectiva. A su vez, con la misma prontitud el Ministerio Público que haya solicitado la intervención o su prórroga lo informará al Juez de control. Las intervenciones realizadas sin las autorizaciones antes citadas o fuera de los términos en ellas ordenados, carecerán de valor probatorio, sin perjuicio de la responsabilidad administrativa o penal a que haya lugar.
Por su parte, el artículo 300 del CNPP establece la obligación de realizar la destrucción de los registros de intervención de comunicaciones privadas que no se relacionen con los delitos investigados o con otros delitos que hayan ameritado una investigación distinta:
Artículo 300. Destrucción de los registros El Órgano jurisdiccional ordenará la destrucción de aquellos registros de intervención de comunicaciones privadas que no se relacionen con los delitos investigados o con otros delitos que hayan ameritado la apertura de una investigación diversa, salvo que la defensa solicite que sean preservados por considerarlos útiles para su labor. Asimismo, ordenará la destrucción de los registros de intervenciones no autorizadas o cuando éstos rebasen los términos de la autorización judicial respectiva. Los registros serán destruidos cuando se decrete el archivo definitivo, el sobreseimiento o la absolución del imputado. Cuando el Ministerio Público decida archivar temporalmente la investigación, los registros podrán ser conservados hasta que el delito prescriba.
El artículo 301 del CNPP establece la obligación de los concesionarios, permisionarios y demás titulares de los medios o sistemas susceptibles de intervención de colaborar eficientemente con la autoridad competente para el desahogo de dichos actos de investigación, de conformidad con las disposiciones aplicable:
Artículo 301. Colaboración con la autoridad Los concesionarios, permisionarios y demás titulares de los medios o sistemas susceptibles de intervención, deberán colaborar eficientemente con la autoridad competente para el desahogo de dichos actos de investigación, de conformidad con las disposiciones aplicables. Asimismo, deberán contar con la capacidad técnica indispensable que atienda las exigencias requeridas por la autoridad judicial para operar una orden de intervención de comunicaciones privadas. El incumplimiento a este mandato será sancionado conforme a las disposiciones penales aplicables.
133
El artículo 302 del CNPP establece la obligación de que quienes participen en alguna intervención de comunicaciones privadas deberán observar el deber de secrecía sobre el contenido de las mismas:
Artículo 302. Deber de secrecía Quienes participen en alguna intervención de comunicaciones privadas deberán observar el deber de secrecía sobre el contenido de las mismas.
El artículo 303 del CNPP regula los supuestos en los que será permitida la localización geográfica en tiempo real, así como los requisitos que deberá contener la misma:
Artículo 303. Localización geográfica en tiempo real y solicitud de entrega de datos conservados Cuando el Ministerio Público considere necesaria la localización geográfica en tiempo real o entrega de datos conservados por los concesionarios de telecomunicaciones, los autorizados o proveedores de servicios de aplicaciones y contenidos de los equipos de comunicación móvil asociados a una línea que se encuentra relacionada con los hechos que se investigan, el Procurador, o el servidor público en quien se delegue la facultad, podrá solicitar al Juez de control del fuero correspondiente en su caso, por cualquier medio, requiera a los concesionarios de telecomunicaciones, los autorizados o proveedores de servicios de aplicaciones y contenidos, para que proporcionen con la oportunidad y suficiencia necesaria a la autoridad investigadora, la información solicitada para el inmediato desahogo de dichos actos de investigación. Los datos conservados a que refiere este párrafo se destruirán en caso de que no constituyan medio de prueba idóneo o pertinente. En la solicitud se expresarán los equipos de comunicación móvil relacionados con los hechos que se investigan, señalando los motivos e indicios que sustentan la necesidad de la localización geográfica en tiempo real o la entrega de los datos conservados, su duración y, en su caso, la denominación de la empresa autorizada o proveedora del servicio de telecomunicaciones a través del cual se operan las líneas, números o aparatos que serán objeto de la medida. La petición deberá ser resuelta por la autoridad judicial de manera inmediata por cualquier medio que garantice su autenticidad, o en audiencia privada con la sola comparecencia del Ministerio Público. Si la resolución se emite o registra por medios diversos al escrito, los puntos resolutivos de la orden deberán transcribirse y entregarse al Ministerio Público. En caso de que el Juez de control niegue la orden de localización geográfica en tiempo real o la entrega de los datos conservados, el Ministerio Público podrá subsanar las deficiencias y solicitar nuevamente la orden o podrá apelar la decisión. En este caso la apelación debe ser resuelta en un plazo no mayor de doce horas a partir de que se interponga. Excepcionalmente, cuando esté en peligro la integridad física o la vida de una persona o se encuentre en riesgo el objeto del delito, así como en hechos relacionados con la privación ilegal de la libertad, secuestro, extorsión o delincuencia organizada, el Procurador, o el servidor público en quien se delegue la facultad, bajo su más estricta responsabilidad, ordenará directamente la localización geográfica en tiempo real o la entrega de los datos conservados a los concesionarios de telecomunicaciones, los autorizados o proveedores de servicios de aplicaciones y contenidos, quienes deberán atenderla de inmediato y con la suficiencia necesaria. A partir de que se haya cumplimentado el requerimiento, el Ministerio Público deberá informar al Juez de control competente por cualquier medio que garantice su autenticidad, dentro del plazo de cuarenta y ocho horas, a efecto de que ratifique parcial o totalmente de manera inmediata la subsistencia de la medida, sin perjuicio de que el Ministerio Público continúe con su actuación. Cuando el Juez de control no ratifique la medida a que hace referencia el párrafo anterior, la información obtenida no podrá ser incorporada al procedimiento penal.
134
Asimismo, el Procurador, o el servidor público en quien se delegue la facultad podrá requerir a los sujetos obligados que establece la Ley Federal de Telecomunicaciones y Radiodifusión, la conservación inmediata de datos contenidos en redes, sistemas o equipos de informática, hasta por un tiempo máximo de noventa días, lo cual deberá realizarse de forma inmediata. La solicitud y entrega de los datos contenidos en redes, sistemas o equipos de informática se llevará a cabo de conformidad por lo previsto por este artículo. Lo anterior sin menoscabo de las obligaciones previstas en materia de conservación de información para las concesionarias y autorizados de telecomunicaciones en términos del artículo 190, fracción II de la Ley Federal de Telecomunicaciones y Radiodifusión.
Respecto de la localización geográfica en tiempo real el PJF ha señalado que sólo las autoridades facultadas podrán solicitar la localización geográfica en tiempo real de los equipos de comunicación móvil cuando se presuma que existe un peligro para la vida o la integridad de las personas, lo que implica que dicha facultad no se circunscribe a un catálogo de delitos determinado, sino que encuentra su razón jurídica en la tutela de los derechos humanos a la vida y a la integridad personal, como valor supremo a cargo del Estado mexicano.114
iii. Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI)
La LFPIORPI tiene por objeto proteger el sistema financiero y la economía nacional, estableciendo medidas y procedimientos para prevenir y detectar actos u operaciones que involucren recursos de procedencia ilícita, a través de una coordinación interinstitucional, que tenga como fines recabar elementos útiles para investigar y perseguir los delitos de operaciones con recursos de procedencia ilícita, los relacionados con estos últimos, las estructuras financieras de las organizaciones delictivas y evitar el uso de los recursos para su financiamiento (artículo 2 de la LFPIORPI).
Respecto del acceso a datos personales por parte de autoridades, se señala que la Secretaría de Hacienda y Crédito Público (SHCP) tiene la facultad de requerir la información, documentación, datos e imágenes necesarios para el ejercicio de sus facultades y proporcionar a la Unidad la información que le requiera en términos de la LFPIORPI.
La LFPIORPI también señala que la Procuraduría General de la República (ahora Fiscalía General de la República) contará con una Unidad Especializada en Análisis Financiero, como órgano 114 LOCALIZACIÓN GEOGRÁFICA EN TIEMPO REAL DE LOS EQUIPOS DE COMUNICACIÓN MÓVIL PREVISTA EN EL ARTÍCULO 190, FRACCIÓN I, DE LA LEY FEDERAL DE TELECOMUNICACIONES Y RADIODIFUSIÓN. AUTORIDADES COMPETENTES PARA SOLICITARLA Y PRESUPUESTOS QUE LA AUTORIZAN. Si bien la mencionada disposición legal hace referencia expresa a las "instancias de seguridad, procuración y administración de justicia" como las autoridades con que los concesionarios de telecomunicaciones y los autorizados deben colaborar en la localización geográfica en tiempo real de los equipos de comunicación móvil, lo cierto es que a fin de lograr un óptimo grado de certidumbre jurídica a los gobernados, así como enmarcar adecuadamente la actuación de las autoridades en esta materia, se considera que las autoridades a que se refiere la porción normativa aludida son: (I) el Procurador General de la República, así como los Procuradores de las entidades federativas y, en su caso, los servidores públicos en quienes deleguen esta facultad, en términos del artículo 21 de la Constitución Federal; (II) la Policía Federal, conforme a lo previsto en el artículo 8, fracción XXVIII, de la ley que la regula; y, (III) la autoridad encargada de aplicar y coordinar directamente la instrumentación de la Ley de Seguridad Nacional en los supuestos establecidos en su artículo 5. Así, sólo las autoridades referidas podrán solicitar la localización geográfica en tiempo real de los equipos de comunicación móvil cuando se presuma que existe un peligro para la vida o la integridad de las personas, lo que implica que dicha facultad no se circunscribe a un catálogo de delitos determinado, sino que encuentra su razón jurídica en la tutela de los derechos humanos a la vida y a la integridad personal, como valor supremo a cargo del Estado mexicano. Tesis: 2a. XLIV/2016 (10a.), Segunda Sala, Décima Época, Libro 33, Agosto de 2016, Tomo II, Gaceta del Semanario Judicial de la Federación, p. 1305
135
especializado en análisis financiero y contable relacionado con operaciones con recursos de procedencia ilícita y que esta podrá requerir informes, documentos, opiniones y elementos de prueba en general a las dependencias y entidades de la administración pública de los tres órdenes de gobierno, y a otras autoridades, organismos públicos autónomos, incluso constitucionales, y a aquéllas personas responsables de dar Avisos en las organizaciones con Actividades sujetas a supervisión previstas en la LFPIORPI.
Respecto de los requerimientos identificados en el párrafo anterior, se señala que tales requerimientos deberán hacerse en el marco de una investigación formalmente iniciada, así como sobre individuos y hechos consignados en una averiguación previa.
Finalmente, conviene destacar que el artículo 41 del citado ordenamiento indica que, durante las investigaciones y el proceso penal federal se mantendrá el resguardo absoluto de la identidad y de cualquier dato personal que se obtenga derivado de la aplicación de la LFPIORPI, especialmente por la presentación de Avisos, en los términos que señala la CPEUM, para lo cual, la información de los actos y operaciones contenida en dichos Avisos, que sea necesario aportarse en las investigaciones
correspondientes, se hará́ a través de los reportes que al efecto presente la Secretaría.
c) Normatividad sobre acceso a datos personales por parte de instancias de investigación y procuración de justicia
i. LGPDPPSO
El artículo 6 de la LGPDPPSO establece supuestos concretos de limitación al derecho de protección de datos personales en el sector público:
Artículo 6. El Estado garantizará la privacidad de los individuos y deberá velar porque terceras personas no incurran en conductas que puedan afectarla arbitrariamente. El derecho a la protección de los datos personales solamente se limitará por razones de seguridad nacional, en términos de la ley en la materia, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.
En relación con la garantía del derecho a la protección de datos personales en el sector público cuando los datos personales se hallan en posesión de instancias de seguridad, procuración y administración de justicia el artículo 81 de la LGPDPPSO establece que dichos entes deberán realizar el tratamiento de los datos en cumplimiento a los principios y deberes previstos en dicha norma:
Artículo 81. En el tratamiento de datos personales así como en el uso de las bases de datos para su almacenamiento, que realicen los sujetos obligados competentes de las instancias de seguridad, procuración y administración de justicia deberá cumplir con los principios establecidos en el Título Segundo de la presente Ley.
136
Las comunicaciones privadas son inviolables. Exclusivamente la autoridad judicial federal, a petición de la autoridad federal que faculte la ley o del titular del Ministerio Público de la entidad federativa correspondiente, podrá autorizar la intervención de cualquier comunicación privada.
Adicionalmente, el artículo 82 de la LGPDPPSO indica que las instancias de seguridad, procuración y administración de justicia están obligadas a contar con medidas de seguridad de nivel alto para garantizar la integridad, disponibilidad y confidencialidad de la información bajo su poder:
Artículo 82. Los responsables de las bases de datos a que se refiere este Capítulo, deberán establecer medidas de seguridad de nivel alto, para garantizar la integridad, disponibilidad y confidencialidad de la información, que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
ii. Ley Federal de Telecomunicaciones y Radiodifusión (LFTR) La LFTR en su artículo 189 obliga a los concesionarios de telecomunicaciones y, en su caso, los autorizados y proveedores de servicios de aplicaciones y contenidos a atender todo mandamiento por escrito, fundado y motivado de la autoridad competente en los términos que establezcan las leyes:
Artículo 189. Los concesionarios de telecomunicaciones y, en su caso, los autorizados y proveedores de servicios de aplicaciones y contenidos están obligados a atender todo mandamiento por escrito, fundado y motivado de la autoridad competente en los términos que establezcan las leyes. Los titulares de las instancias de seguridad y procuración de justicia designarán a los servidores públicos encargados de gestionar los requerimientos que se realicen a los concesionarios y recibir la información correspondiente, mediante acuerdos publicados en el Diario Oficial de la Federación.
Por su parte el artículo 190 de la LFTR establece distintas obligaciones de cooperación en con instancias en materia de seguridad y justicia entre las que destacan por su relevancia para el tema:
Colaborar con las instancias de seguridad, procuración y administración de justicia, en la localización geográfica, en tiempo real, de los equipos de comunicación móvil, en los términos que establezcan las leyes.
Conservar un registro y control de comunicaciones que se realicen desde cualquier tipo de línea que utilice numeración propia o arrendada, bajo cualquier modalidad, que permitan identificar con precisión los siguientes datos.
Entregar los datos conservados a las autoridades a que se refiere el artículo 189 de esta Ley, que así lo requieran, conforme a sus atribuciones, de conformidad con las leyes aplicables.
Para pronta referencia citamos a continuación el artículo relevante:
Artículo 190. Los concesionarios de telecomunicaciones y, en su caso, los autorizados deberán: I. Colaborar con las instancias de seguridad, procuración y administración de justicia, en la localización geográfica, en tiempo real, de los equipos de comunicación móvil, en los términos que establezcan las leyes.
137
Cualquier omisión o desacato a estas disposiciones será sancionada por la autoridad, en los términos de lo previsto por la legislación penal aplicable. El Instituto, escuchando a las autoridades a que se refiere el artículo 189 de esta Ley, establecerá los lineamientos que los concesionarios de telecomunicaciones y, en su caso, los autorizados deberán adoptar para que la colaboración a que se refiere esta Ley con dichas autoridades, sea efectiva y oportuna; II. Conservar un registro y control de comunicaciones que se realicen desde cualquier tipo de línea que utilice numeración propia o arrendada, bajo cualquier modalidad, que permitan identificar con precisión los siguientes datos:
a) Nombre, denominación o razón social y domicilio del suscriptor; b) Tipo de comunicación (transmisión de voz, buzón vocal, conferencia, datos), servicios suplementarios (incluidos el reenvío o transferencia de llamada) o servicios de mensajería o multimedia empleados (incluidos los servicios de mensajes cortos, servicios multimedia y avanzados); c) Datos necesarios para rastrear e identificar el origen y destino de las comunicaciones de telefonía móvil: número de destino, modalidad de líneas con contrato o plan tarifario, como en la modalidad de líneas de prepago; d) Datos necesarios para determinar la fecha, hora y duración de la comunicación, así como el servicio de mensajería o multimedia; e) Además de los datos anteriores, se deberá conservar la fecha y hora de la primera activación del servicio y la etiqueta de localización (identificador de celda) desde la que se haya activado el servicio; f) En su caso, identificación y características técnicas de los dispositivos, incluyendo, entre otros, los códigos internacionales de identidad de fabricación del equipo y del suscriptor; g) La ubicación digital del posicionamiento geográfico de las líneas telefónicas, y h) La obligación de conservación de datos, comenzará a contarse a partir de la fecha en que se haya producido la comunicación.
Para tales efectos, el concesionario deberá conservar los datos referidos en el párrafo anterior durante los primeros doce meses en sistemas que permitan su consulta y entrega en tiempo real a las autoridades competentes, a través de medios electrónicos. Concluido el plazo referido, el concesionario deberá conservar dichos datos por doce meses adicionales en sistemas de almacenamiento electrónico, en cuyo caso, la entrega de la información a las autoridades competentes se realizará dentro de las cuarenta y ocho horas siguientes, contadas a partir de la notificación de la solicitud. La solicitud y entrega en tiempo real de los datos referidos en este inciso, se realizará mediante los mecanismos que determinen las autoridades a que se refiere el artículo 189 de esta Ley, los cuales deberán informarse al Instituto para los efectos de lo dispuesto en el párrafo tercero, fracción I del presente artículo. Los concesionarios de telecomunicaciones y, en su caso, los autorizados, tomarán las medidas técnicas necesarias respecto de los datos objeto de conservación, que garanticen su conservación, cuidado, protección, no manipulación o acceso ilícito, destrucción, alteración o cancelación, así como el personal autorizado para su manejo y control. Sin perjuicio de lo establecido en esta Ley, respecto a la protección, tratamiento y control de los datos personales en posesión de los concesionarios o de los autorizados, será aplicable lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares; III. Entregar los datos conservados a las autoridades a que se refiere el artículo 189 de esta Ley, que así lo requieran, conforme a sus atribuciones, de conformidad con las leyes aplicables. Queda prohibida la utilización de los datos conservados para fines distintos a los previstos en este capítulo, cualquier uso distinto será sancionado por las autoridades competentes en términos administrativos y penales que resulten.
138
Los concesionarios de telecomunicaciones y, en su caso, los autorizados, están obligados a entregar la información dentro de un plazo máximo de veinticuatro horas siguientes, contado a partir de la notificación, siempre y cuando no exista otra disposición expresa de autoridad competente; IV. Contar con un área responsable disponible las veinticuatro horas del día y los trescientos sesenta y cinco días del año, para atender los requerimientos de información, localización geográfica e intervención de comunicaciones privadas a que se refiere este Título. Para efectos de lo anterior, los concesionarios deberán notificar a los titulares de las instancias a que se refiere el artículo 189 de esta Ley el nombre del responsable de dichas áreas y sus datos de localización; además deberá tener facultades amplias y suficientes para atender los requerimientos que se formulen al concesionario o al autorizado y adoptar las medidas necesarias. Cualquier cambio del responsable deberá notificarse previamente con una anticipación de veinticuatro horas; V. Establecer procedimientos expeditos para recibir los reportes de los usuarios del robo o extravío de los equipos o dispositivos terminales móviles y para que el usuario acredite la titularidad de los servicios contratados. Dicho reporte deberá incluir, en su caso, el código de identidad de fabricación del equipo; VI. Realizar la suspensión del servicio de los equipos o dispositivos terminales móviles reportados como robados o extraviados, a solicitud del titular. Los concesionarios deberán celebrar convenios de colaboración que les permitan intercambiar listas de equipos de comunicación móvil reportados por sus respectivos clientes o usuarios como robados o extraviados, ya sea que los reportes se hagan ante la autoridad competente o ante los propios concesionarios; VII. Realizar el bloqueo inmediato de líneas de comunicación móvil que funcionen bajo cualquier modalidad reportadas por los clientes, utilizando cualquier medio, como robadas o extraviadas; así como realizar la suspensión inmediata del servicio de telefonía cuando así lo instruya la autoridad competente para hacer cesar la comisión de delitos, de conformidad con lo establecido en las disposiciones legales aplicables; VIII. Colaborar con las autoridades competentes para que en el ámbito técnico operativo se cancelen o anulen de manera permanente las señales de telefonía celular, de radiocomunicación o de transmisión de datos o imagen dentro del perímetro de centros de readaptación social, establecimientos penitenciarios o centros de internamiento para menores, federales o de las entidades federativas, cualquiera que sea su denominación. El bloqueo de señales a que se refiere el párrafo anterior se hará sobre todas las bandas de frecuencia que se utilicen para la recepción en los equipos terminales de comunicación y en ningún caso excederá de veinte metros fuera de las instalaciones de los centros o establecimientos a fin de garantizar la continuidad y seguridad de los servicios a los usuarios externos. En la colaboración que realicen los concesionarios se deberán considerar los elementos técnicos de reemplazo, mantenimiento y servicio. Los concesionarios de telecomunicaciones y, en su caso, los autorizados, están obligados a colaborar con el Sistema Nacional de Seguridad Pública en el monitoreo de la funcionalidad u operatividad de los equipos utilizados para el bloqueo permanente de las señales de telefonía celular, de radiocomunicación o de transmisión de datos o imagen; IX. Implementar un número único armonizado a nivel nacional y, en su caso, mundial para servicios de emergencia, en los términos y condiciones que determine el Instituto en coordinación con el Sistema Nacional de Seguridad Pública, bajo plataformas interoperables, debiendo contemplar mecanismos que permitan identificar y ubicar geográficamente la llamada y, en su caso, mensajes de texto de emergencia; X. Informar oportuna y gratuitamente a los usuarios el o los números telefónicos asociados a los servicios de seguridad y emergencia que determine el Instituto en coordinación con el Sistema Nacional de Seguridad Pública, así como proporcionar la comunicación a dichos servicios de forma gratuita;
139
XI. En los términos que defina el Instituto en coordinación con las instituciones y autoridades competentes, dar prioridad a las comunicaciones con relación a situaciones de emergencia, y XII. Realizar bajo la coordinación del Instituto los estudios e investigaciones que tengan por objeto el desarrollo de soluciones tecnológicas que permitan inhibir y combatir la utilización de equipos de telecomunicaciones para la comisión de delitos o actualización de riesgos o amenazas a la seguridad nacional. Los concesionarios que operen redes públicas de telecomunicaciones podrán voluntariamente constituir una organización que tenga como fin la realización de los citados estudios e investigaciones. Los resultados que se obtengan se registrarán en un informe anual que se remitirá al Instituto, al Congreso de la Unión y al Ejecutivo Federal. Las comunicaciones privadas son inviolables. Exclusivamente la autoridad judicial federal, a petición de la autoridad federal que faculte la ley o del titular del Ministerio Público de la entidad federativa correspondiente, podrá autorizar la intervención de cualquier comunicación privada.
En relación con lo previsto en los artículos 189 y 190 de la LFTR se debe destacar que estos resultan especialmente conflictivos para otorgar un nivel adecuado de protección a los titulares según los requerimientos del RGPD, el WP 254 y el WP 237, pues, en primer lugar, resulta cuestionable la ausencia de solicitud judicial para solicitar la entrega de información a los sujetos obligados. En segundo lugar, la retención de información que exige la LFTR ya que se considera contraria con diversas disposiciones y precedentes internacionales donde se ha privilegiado la protección de datos personales como un derecho fundamental frente a su conservación indefinida en relación con finalidades de seguridad nacional, pues, en 2014 el TJUE en las sentencias C-293/12 y C-594/12 declaró la invalidez de Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE al considerar que no se garantizaba la destrucción de datos de forma definitiva tras la finalización del periodo de conservación; y tampoco se cumplía la obligación de que el cumplimiento de las normas sobre protección de datos esté controlado por una autoridad independiente.
iii. Lineamientos de Colaboración en Materia de Seguridad y Justicia (LCMSJ)
Los LCMSJ tienen por objeto establecer disposiciones administrativas de carácter general para que la colaboración de los concesionarios y autorizados con las instancias de seguridad, procuración y administración de justicia sea oportuna y efectiva, y emitir las demás disposiciones conforme al Título Octavo de la LFTR y demás normatividad aplicable, salvaguardando la protección de la privacidad y los datos personales de los usuarios y demás derechos protegidos.
d) Normatividad en materia de seguridad nacional
i. Ley de Seguridad Nacional (LSN) La LSN en su capítulo II regula la intervención de comunicaciones y establece las bases para que esta sea realizada por parte de las autoridades competentes.
140
En su artículo 33 la LSN establece que en casos de amenaza inminente el Gobierno Mexicano podrá hacer uso de los recursos que legalmente se encuentren a su alcance, incluyendo la información anónima:
Artículo 33.- En los casos de amenaza inminente a los que se refiere el artículo 5 de esta Ley, el Gobierno Mexicano podrá hacer uso de los recursos que legalmente se encuentren a su alcance, incluyendo la información anónima.
Por su parte, el artículo 34 establece que de acuerdo con lo previsto por el artículo 16 de la CPEUM la autoridad deberá solicitar en los términos y supuestos previstos por la LSN Ley, autorización judicial para efectuar intervenciones de comunicaciones privadas en materia de Seguridad Nacional:
Artículo 34.- De conformidad con lo dispuesto por el párrafo noveno del artículo 16 de la Constitución Política de los Estados Unidos Mexicanos, el Centro deberá solicitar en los términos y supuestos previstos por la presente Ley, autorización judicial para efectuar intervenciones de comunicaciones privadas en materia de Seguridad Nacional. Se entiende por intervención de comunicaciones la toma, escucha, monitoreo, grabación o registro, que hace una instancia autorizada, de comunicaciones privadas de cualquier tipo y por cualquier medio, aparato o tecnología.
El artículo 35 la LSN establece los supuestos en los que procederá la solicitud de intervención de comunicaciones:
Artículo 35.- La solicitud a que se refiere el artículo anterior sólo procederá cuando se esté en uno de los supuestos que se contemplan en el artículo 5 de la presente Ley. En ningún otro caso podrá autorizarse al Centro la intervención de comunicaciones privadas. El Poder Judicial de la Federación, de acuerdo con su ley orgánica, determinará los juzgados que deban conocer de las solicitudes que en materia de Seguridad Nacional se presenten para intervenir comunicaciones privadas.
Finalmente, el artículo 36 de la LSN indica que los procedimientos judiciales que se instauren para autorizar las solicitudes de intervención en materia de Seguridad Nacional no tendrán naturaleza contenciosa y sus constancias procesales carecerán de valor probatorio en procedimientos judiciales o administrativos:
Artículo 36.- Los procedimientos judiciales que se instauren para autorizar las solicitudes de intervención en materia de Seguridad Nacional no tendrán naturaleza contenciosa y sus constancias procesales carecerán de valor probatorio en procedimientos judiciales o administrativos. Cuando el Centro coopere en las actividades de procuración de justicia, las intervenciones de comunicaciones privadas en las que se preste auxilio técnico tendrán naturaleza distinta a las reguladas por este Capítulo y se ajustarán a los requisitos y formalidades que establezca el Código Federal de Procedimientos Penales y la Ley Federal contra la Delincuencia Organizada.
Las disposiciones de la LSN resultan parcialmente adecuadas según los parámetros europeos ya que establecen el requisito de orden judicial como elemento de procedibilidad para la
141
intervención de comunicaciones, sin embargo, es cuestionable la falta de una supervisión permanente por parte de una autoridad independiente.
b. Ley de la Guardia Nacional (LSN) La Ley de la Guardia Nacional (LGN) establece en su artículo 9 diversas atribuciones para la Guardia Nacional115 e indica que esta institución tiene distintas atribuciones que se relacionan con las labores de inteligencia, seguridad y vigilancia de particulares así como con la obtención de datos personales para dichos fines:
Recabar información en lugares públicos para evitar el fenómeno delictivo, mediante la utilización de medios e instrumentos y cualquier herramienta que resulten necesarios para la generación de inteligencia preventiva. En el ejercicio de esta atribución se deberá� respetar el derecho a la vida privada de las personas. Los datos obtenidos con afectación a los derechos humanos carecerán de todo valor probatorio (fracción V del artículo 9 de la LSN).
Realizar análisis técnico, táctico o estratégico de la información obtenida para la generación de inteligencia (fracción VII del artículo 9 de la LSN).
Verificar la información que reciba sobre hechos que puedan ser constitutivos de delito y, en su caso, hacerla del conocimiento del Ministerio Público (fracción XII del artículo 9 de la LSN).
Requerir a las autoridades competentes y solicitar a las personas físicas o morales informes y documentos para fines de investigación (fracción XVIII del artículo 9 de la LSN).
Entrevistar a las personas que puedan aportar algún dato o elemento para la investigación en caso de flagrancia o por mandato del Ministerio Público, en términos de las disposiciones aplicables. De las entrevistas que se practiquen se dejará constancia (fracción XXIII del artículo 9 de la LSN).
Incorporar a las Bases de Datos del Sistema Nacional de Información en Seguridad Pública la información que pueda ser útil en la investigación de los delitos y utilizar su contenido para el desempeño de sus atribuciones, sin afectar el derecho de las personas a la protección de sus datos personales (fracción XXIV del artículo 9 de la LSN).
Colaborar con otras autoridades federales en funciones de vigilancia, verificación e inspección que tengan conferidas por disposición de otras leyes (fracción XXV del artículo 9 de la LSN).
Solicitar por escrito, previa autorización del Juez de control, en los términos del artículo 16 de la CPEUM, a los concesionarios, permisionarios, operadoras telefónicas y todas aquellas comercializadoras de servicios en materia de telecomunicaciones o de sistemas de comunicación vía satélite, la información con que cuenten, así como la georreferenciación de los equipos de comunicación móvil en tiempo real, para el cumplimiento de sus fines de prevención de los delitos (fracción XXIV del artículo 9 de la LSN).
Obtener, analizar y procesar información, así como realizar las acciones que, conforme a las disposiciones aplicables, resulten necesarias para la prevención de delitos, sea directamente o mediante los mecanismos de coordinación previstos en otras leyes federales (fracción XXIX del artículo 9 de la LSN).
115 Artículo 5. El objeto de la Guardia Nacional es realizar la función de seguridad pública a cargo de la Federación y, en su caso, conforme a los convenios que para tal efecto se celebren, colaborar temporalmente en las tareas de seguridad pública que corresponden a las entidades federativas o municipios.
142
Realizar acciones de vigilancia, identificación, monitoreo y rastreo en la red pública de Internet sobre sitios web, con el fin de prevenir conductas delictivas (fracción XXXVIII del artículo 9 de la LSN).
Desarrollar, mantener y supervisar fuentes de información en la sociedad que le permitan obtener datos sobre actividades relacionadas con fenómenos delictivos (fracción XXXVIII del artículo 9 de la LSN).
Integrar al Sistema Nacional de Información en Seguridad Pública los datos que se recaben para identificar a las personas (fracción XL del artículo 9 de la LSN).
En relación con lo anterior, destaca el contenido de las fracciones V y XXIV del artículo 9 de la LGN que establecen que en la obtención de información en lugares públicos se deberá� respetar el derecho a la vida privada de las personas y que la incorporación de información a las Bases de Datos del Sistema Nacional de Información en Seguridad Pública habrá de realizarse sin afectar el derecho de las personas a la protección de sus datos personales. Otro aspecto relevante, es que la LGN indica que la solicitud de información y la georreferenciación de los equipos de comunicación móvil en tiempo real que se realice a los concesionarios, permisionarios, operadoras telefónicas y todas aquellas comercializadoras de servicios en materia de telecomunicaciones o de sistemas de comunicación vía satélite deberá solicitarse por escrito, previa autorización del juez de control competente en términos del artículo 16 de la CPEUM.
e) Normatividad en materia de seguridad pública
i. Ley General del Sistema Nacional de Seguridad Pública (LGSNSP) La Ley General del Sistema Nacional de Seguridad Pública (LGSNSP) establece en su artículo 109 que la Federación, las entidades federativas y los Municipios, suministrarán, consultarán y actualizarán la información que diariamente se genere sobre Seguridad Pública mediante los sistemas e instrumentos tecnológicos respectivos, al Sistema Nacional de Información (SNI). El artículo 109 de la LGSNSP añade también que las Instituciones de Seguridad Pública tendrán acceso a la información contenida en el SNI, en el ámbito de su función de prevención, investigación y persecución de los delitos, o como auxiliares en el ejercicio de dichas funciones, según corresponda. Asimismo, dicho artículo también específica que el Centro Nacional de Información (CNI) puede utilizar las Bases de Datos del SNI, para generar productos que apoyen la planificación de acciones orientadas a alcanzar los objetivos del Sistema Nacional de Seguridad Pública (SNSP). Respecto del acceso a información, el artículo 110 de la LGSNSP indica que los integrantes del SNSP están obligados a permitir la interconexión de sus Bases de Datos para compartir la información sobre Seguridad Pública con el SNI y que, para ello, adoptarán los mecanismos tecnológicos necesarios para la interconexión en tiempo real y respaldo de la información. En este sentido, el citado artículo 110 indica que la información contenida en todas y cada una de las Bases de Datos del SNI, así como los Registros Nacionales y la información contenida en ellos, en materia de detenciones, información criminal, personal de seguridad pública, personal y equipo de
143
los servicios de seguridad privada, armamento y equipo, vehículos, huellas dactilares, teléfonos celulares, medidas cautelares, soluciones alternas y formas de terminación anticipada, sentenciados y las demás necesarias para la operación del Sistema se clasificada como reservada y su consulta es exclusiva de las instituciones de Seguridad Pública que estén facultadas en cada caso, a través de los servidores públicos que cada institución designe, por lo que el público no tendrá acceso a la información que en ellos se contenga. Por su parte, el artículo 117 indica que, la Federación, las entidades federativas y los Municipios serán responsables de integrar y actualizar el SNI, con la información que generen las Instituciones de Procuración de Justicia e Instituciones Policiales, que coadyuve a salvaguardar la integridad y derechos de las personas, así como preservar las libertades, el orden y la paz públicos, mediante la prevención, persecución y sanción de las infracciones y delitos, así como la reinserción social. En relación con este supuesto se puede identificar la existencia de diversos ordenamientos jurídicos de carácter federal en los que se establecen sobre una base jurídica clara, precisa y accesible los tratamientos que pueden significar una injerencia en los derechos fundamentales entre estos ordenamientos destacan la CPEUM, la LFPDPPP, la LGPDPPSO, el CNPP, la LFPIORPI, la LFTR, la LSN, la LGN y la LGSNSP.
2. Se deben demostrar la necesidad y la proporcionalidad respecto a los objetivos legítimos perseguidos
Esta Garantía debe interpretarse en el sentido de que la limitación al derecho de protección de datos personales debe hacerse mediante orden escrita, fundada y motiva de autoridad judicial competente. La limitación debe ser lo menos invasiva posible y obedecer a que la obtención de información no sea posible a través de otros medios. En relación con la demostración de la necesidad y proporcionalidad de las injerencias al derecho de protección de datos personales se presenta la siguiente tabla: Normatividad que regula
la de la injerencia Justificación de la necesidad y proporcionalidad de la injerencia
CPEUM
El artículo 16 de la CPEUM establece que ninguna persona puede ser molestada en su persona, familia, domicilio, papeles o posesiones, sino en virtud de mandamiento escrito de la autoridad competente, que funde y motive la causa legal del procedimiento.
LFPDPPP Se aplica lo previsto en el artículo 16 de la CPEUM. LGPDPPSO Se aplica lo previsto en el artículo 16 de la CPEUM.
CNPP La intervención de comunicaciones está sujeta a la autorización judicial del juez de control competente.
LFPIORPI
La solicitudes de información en el ámbito de la LFPIORPI tiene por objeto proteger el sistema financiero y la economía nacional, estableciendo medidas y procedimientos para prevenir y detectar actos u operaciones que involucren recursos de procedencia ilícita, a través de una coordinación interinstitucional, que tenga como fines recabar elementos útiles para investigar y perseguir los delitos de operaciones con recursos de procedencia ilícita, los relacionados con estos últimos, las estructuras financieras de las organizaciones delictivas y
144
evitar el uso de los recursos para su financiamiento
LFTR
No se establece el requerimiento de autorización judicial para atender los mandamientos de las autoridades que soliciten acceso a datos personales de usuarios y clientes.
No establece cuales son las autoridades designadas y facultadas para solicitar acceso a datos personales.
Se establece la obligación de conservar datos personales de usuarios por hasta 24 meses.
LCMSJ
No se establece el requerimiento de autorización judicial para atender los mandamientos de las autoridades que soliciten acceso a datos personales de usuarios y clientes.
El catálogo de autoridades facultadas y designadas es bastante amplio en los LCMSJ:
o Autoridades Designadas: todo aquel servidor público que haya sido designado por los titulares de las Autoridades Facultadas mediante acuerdos publicados en el Diario Oficial de la Federación, de conformidad con lo dispuesto en el artículo 189 de la LFTR, para gestionar los requerimientos que, en los términos establecidos en las leyes aplicables, se realicen a los Concesionarios y los Autorizados, y recibir la información correspondiente;
o Autoridades Facultadas: instancias de seguridad, procuración de justicia y administración de justicia que, conforme a sus atribuciones previstas en sus leyes aplicables o en acuerdos delegatorios, cuenten con la facultad expresa para requerir la localización geográfica en tiempo real de los equipos de comunicación, así como la entrega de los datos conservados por los Concesionarios y Autorizados;
LSN
La Seguridad Nacional se rige por los principios de legalidad, responsabilidad, respeto a los derechos fundamentales de protección a la persona humana y garantías individuales y sociales, confidencialidad, lealtad, transparencia, eficiencia, coordinación y cooperación.
La intervención de comunicaciones está sujeta a la autorización judicial.
LGN
Establece que en la obtención de información en lugares públicos se deberá� respetar el derecho a la vida privada de las personas y que la incorporación de información a las Bases de Datos del Sistema Nacional de Información en Seguridad Pública habrá de realizarse sin afectar el derecho de las personas a la protección de sus datos personales.
Indica que la solicitud de información y la georreferenciación de los equipos de comunicación móvil en tiempo real que se realice a los concesionarios, permisionarios, operadoras telefónicas y todas aquellas comercializadoras de servicios en materia de telecomunicaciones o de sistemas de comunicación vía satélite deberá solicitarse por escrito, previa autorización del juez de control competente en términos del artículo 16 de la CPEUM.
LGSNSP
Se establece que las Instituciones de Seguridad Pública pueden tener acceso a la información contenida en el SNI, en el ámbito de su función de prevención, investigación y persecución de los delitos, o como auxiliares en el ejercicio de dichas funciones.
El CNI) puede utilizar las Bases de Datos del SNI, para generar productos que apoyen la planificación de acciones orientadas a alcanzar los objetivos del SNSP.
145
En relación con este particular se puede señalar que existen notables asimetrías. En particular en ordenamientos como la LFTR ya que el tratamiento de datos personales para fines relacionados con la cooperación ante instancias de seguridad justicia no está sujeto a autorización judicial para atender los mandamientos de las autoridades que soliciten acceso a datos personales de usuarios y clientes ni se establecen cuáles son las autoridades designadas y facultadas para solicitar acceso a datos personales en dicha norma (si bien los LCMSJ si lo hacen, aunque de manera amplia). Sobre este particular son especialmente conflictivos los artículos 189 y 190 de la LFTR que no garantizan la proporcionalidad de datos al exigir una conservación de registros por hasta 24 meses. En el caso que nos ocupa no se justifican ni demuestran los fines legítimos para la adopción de las medidas previstas en la LFTR.
3. El tratamiento debe estar sujeto a una supervisión independiente
En México, el tratamiento de datos personales para fines relacionados con la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales es supervisado por el INAI como máxima autoridad garante del derecho humano a la protección de datos personales al nivel federal caracterizada por su autonomía constitucional e independencia. El INAI es una autoridad independiente compuesta por un órgano colegiado integrado por 7 Comisionados que se eligen de conformidad con el procedimiento previsto en la CPEUM, la LGTAIP y la LFTAIP, con competencia en materia de datos personales sobre el sector público y privado, y que conocen también de asuntos relacionados con las materias de transparencia y acceso a la información pública. En relación con lo anterior se puede destacar que:
El INAI es un organismo autónomo de acuerdo con lo previsto por el apartado A, fracción XVIII del artículo sexto de la CPEUM.
Es un órgano especializado, independiente, imparcial y colegiado, con personalidad jurídica y patrimonio propio, con plena autonomía técnica, de gestión, capacidad para decidir sobre el ejercicio de su presupuesto y determinar su organización interna.
El INAI tiene a su cargo la responsabilidad de garantizar el cumplimiento de los derechos humanos de acceso a la información pública y de protección de datos personales.
El Pleno es el órgano superior de dirección del INAI y está integrado por siete comisionados que duran en su encargo siete años sin posibilidad de reelección, con las facultades descritas por el artículo 29 de la LFTAIP y el artículo 18 del Estatuto Orgánico del INAI. Asimismo, el INAI cuenta con un Consejo Consultivo integrado por diez consejeros que duran en su encargo siete años elegidos (salvo en la actual primera integración) por el voto de las dos terceras partes de los miembros presentes de la Cámara de Senadores y con las atribuciones establecidas en el artículo 54 de la LFTAIP.
146
Las atribuciones generales del INAI se señalan en el artículo 21 de la LFTAIPG y en el artículo 12 de su Estatuto Orgánico, entre las que son relevantes para la tutela del derecho de protección de datos personales podemos mencionar las siguientes:
Ejercer las atribuciones que le otorgan la CPEUM, la LGTAIP, la LFTAIP, la LFPDPPP, la LGPDPPSO y demás normatividad aplicable.
Interpretar la LGTAIP, la LFTAIP y la LFPDPPP, en el ámbito de su competencia. Conocer y resolver los medios de defensa que interpongan los particulares en materia
de acceso a la información y protección de datos personales. Autorizar su estructura orgánica, así� como sus modificaciones. Aprobar la creación de comisiones y comités de apoyo. Nombrar y remover a los titulares de sus Secretarías y de Direcciones Generales. Aprobar el programa de trabajo institucional, así como los programas, planes y proyectos
para dar cumplimiento a su misión y visión. Aprobar las propuestas de acuerdos, lineamientos, normas, resoluciones generales,
programas, políticas y demás instrumentos y documentos que presente el Comisionado Presidente ante los Sistemas e instancias nacionales donde participe el INAI.
Aprobar la propuesta de suscripción de convenios, acuerdos, bases de colaboración y demás actos consensuales, tanto nacionales como internacionales, a celebrarse con cualquier ente público o privado, que someta a su consideración el Comisionado Presidente.
Aprobar la agenda internacional del INAI, así� como la participación de los Comisionados en seminarios, foros, congresos y eventos que se lleven a cabo en otros países.
Aprobar en el mes de diciembre, tanto el calendario de días inhábiles como el calendario de sesiones ordinarias aplicables para el año siguiente.
Aprobar los lineamientos, criterios y demás disposiciones normativas, así como sus modificaciones, que resulten necesarias para el ejercicio de sus atribuciones y funcionamiento.
Deliberar y votar los proyectos de acuerdos, resoluciones y dictámenes que se sometan a su consideración.
Instruir la publicación de los acuerdos y resoluciones. Las demás que le señalen la CPEUM, las leyes, sus reglamentos y otras disposiciones
legales y administrativas que le resulten aplicables.
a) Protección de datos personales en el sector privado El INAI, en lo que respecta a la materia de protección de datos personales en el sector privado ejerce sus facultades a través de la Secretaría de Protección de Datos, misma que se apoya en las Dirección General de Investigación y Verificación del Sector Privado, Dirección General de Investigación y Verificación del Sector Público, Dirección General de Normatividad de Consulta, Dirección General de Prevención y Autorregulación, Dirección General de Protección de Derechos y Sanción y la Dirección de Coordinación y Seguimiento. Entre las facultades del INAI que son ejercidas a través de sus unidades administrativas competentes están la de vigilar y verificar el contenido de la normatividad; proporcionar apoyo técnico a los sujetos de derecho privado que lo soliciten; emitir criterios y recomendaciones; conocer y resolver los procedimientos regulados en la normatividad (PPD, PI, PV y PISAN), como se verá en el correspondiente apartado, e imponer las sanciones que correspondan.
147
Derivado de lo anterior, el INAI (antes IFAI) ha emitido interesantes resoluciones para garantizar el derecho de protección de datos personales en el sector privado. Entre ellas, destaca la resolución del Procedimiento de Verificación identificado con el expediente IFAI.3S.07.02-014/2013116 en la que el órgano garante inició una investigación a una empresa privada que comercializaba un supuesto software de espionaje contratado para el gobierno federal, a solicitud de la denuncia de diversos particulares. Dicha resolución culminó en el PISAN identificado con el expediente PS.0025/13117 por virtud del cual la empresa comercializadora del software de espionaje fue sancionada por obstruir los actos de verificación de la autoridad.
b) Protección de datos personales en el sector público Por otro lado, respecto al ejercicio de las facultades en materia de protección de datos personales en el sector público el INAI se apoya en la Dirección General de Evaluación Investigación y Verificación del Sector Público (“DGEIVSP”), misma que se integra de 2 Direcciones: La de Evaluación del Sector Público y la de Investigación y Verificación del Sector Público. El INAI es competente para realizar investigaciones previas, conocer el procedimiento de investigación, conocer sobre los recursos de inconformidad, revisión y revisión en materia de seguridad nacional. La labor de protección de datos personales en el sector público frente a las actividades de vigilancia e interferencia al derecho de protección de datos personales ha sido vigilada por el INAI, órgano que a través de diversas comunicaciones declaró la necesidad de proteger los datos personales y enfatizó el incumplimiento a dicha obligación por parte de autoridades federales:
En febrero de 2019, el INAI resolvió dar vista al Órgano Interno de Control en la Fiscalía General de la República (FGR), a fin de que determine si los servidores públicos a cargo de operar el software Pegasus incurrieron en responsabilidades administrativas. Tras concluir el proceso de verificación, que inició de oficio en noviembre de 2018, el Instituto determinó que la entonces Procuraduría General de la República (PGR) incumplió con el deber de seguridad y el principio de responsabilidad, previstos en la LGPDPPSO.118
Por su parte, el Comisionado Presidente Francisco Javier Acuña Llamas, en la inauguración del foro “Vigilancia del Estado: Hacia la implementación de controles democráticos” afirmó que en una democracia es inaceptable que herramientas como el software Pegasus, adquirido por el Estado para combatir ilícitos, haya sido utilizado sin el debido protocolo y “burlando la legalidad” para vigilar a periodistas, defensores de derechos humanos y representantes de la sociedad civil organizada.119
Durante su participación en el foro Vigilancia del Estado: Hacia la implementación de controles democráticos, el Comisionado Joel Salas Suárez destacó que el INAI, en el ámbito de sus facultades, inició una investigación de oficio, a partir de la cual dio vista al Órgano Interno de Control de la FGR por el tratamiento indebido de datos personales en uso del
116 Véase en resoluciones de procedimientos de verificación para el sector privado, http://inicio.ifai.org.mx/SitePages/ResolucionesPDP.aspx 117 Véase en resoluciones de procedimientos de imposición de sanciones para el sector privado, http://inicio.ifai.org.mx/SitePages/ResolucionesPDP.aspx 118 Vid, Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), Comunicado INAI/054/19, 20 de febrero de 2019, disponible en http://inicio.ifai.org.mx/Comunicados/Comunicado%20INAI-054-19.pdf 119 Vid, Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), Comunicado INAI/083/19, 26 de marzo de 2019, disponible en http://inicio.ifai.org.mx/Comunicados/Comunicado%20INAI-083-19.pdf
148
software e interpuso una denuncia penal, debido a que la entonces Procuraduría General de la República negó� la existencia de dos contratos para actualizar la licencia del uso de Pegasus en 2016 y 2017. 120
Asimismo, en el ámbito local, los organismos garantes locales en cada una de las entidades federativas del país vigilan el cumplimiento de la normatividad de protección de datos personales en el ámbito de sus competencias. Estos órganos, de acuerdo con lo previsto por la LGTAIP y la LFTAIP son órganos autónomos, especializados, independientes, imparciales y colegiados que se rigen por los principios de certeza, eficacia, imparcialidad, independencia, legalidad, máxima publicidad, profesionalismo, objetividad y transparencia y cuentan con atribuciones específicas para conocer de los asuntos relacionados con la materia de protección de datos personales en sus respectivos ámbitos competenciales. Esto es, en cada entidad federativa del país existe un organismo garante local encargado de velar por el cumplimiento de las disposiciones locales de protección de datos personales. Además, podemos destacar como facultades representativas y competencialmente distintas de las de la autoridad garante federal las siguientes:
Presentar petición fundada al INAI, para que conozca de los recursos de revisión que por su interés y trascendencia así lo ameriten.
Hacer del conocimiento de las autoridades competentes, la probable responsabilidad derivada del incumplimiento de las obligaciones previstas en la LGPDPPSO.
Proporcionar al INAI los elementos que requiera para resolver los recursos de inconformidad que le sean presentados.
Administrar, en el ámbito de sus competencias, la Plataforma Nacional de Transparencia. Interponer acciones de inconstitucionalidad en contra de leyes expedidas por las legislaturas
de las Entidades Federativas, que vulneren el derecho a la protección de datos personales. En México, el tratamiento de datos personales para fines relacionados con la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales es supervisado por el INAI como máxima autoridad garante del derecho humano a la protección de datos personales al nivel federal caracterizada por su autonomía constitucional e independencia. No obstante, aunque, existe la figura del juez control competente para permitir la intervención de comunicaciones privadas, en general, no se cumple este requisito ya que no hay una autoridad de supervisión independiente encargada de vigilar estos supuestos y tutelar el derecho de protección de datos en estos tratamientos.
120 Vid, Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), Comunicado INAI/085/19, 26 de marzo de 2019, disponible en http://inicio.ifai.org.mx/Comunicados/Comunicado%20INAI-085-19.pdf
149
4. Las personas deben disponer de vías de acción efectivas En México existen diversas vías de acción, tanto administrativas como jurisdiccionales al alcance de los titulares de datos personales con el objeto de que estos puedan defenderse en caso de que identifiquen un tratamiento ilícito de sus datos personales para fines relacionados con la seguridad pública, la defensa y la seguridad nacional. Los primeros de ellos son los procedimientos en materia de protección de datos personales que se sustancian ante el INAI y los organismos garantes locales, y los segundos se refieren al juicio de amparo ante el Poder Judicial de la Federación, y el juicio contencioso administrativo federal que se sustancia ante el Tribunal Federal de Justicia Administrativa (TFJA) tratándose de los procedimientos regulados en el sector privado. Es decir, en la práctica, el derecho a la protección de datos personales se ve garantizado a través de la existencia de procedimientos de tutela sustanciados por el INAI y los garantes locales como autoridades competentes de supervisión. De esta suerte, se pueden distinguir los siguientes procedimientos en materia de protección de datos personales:
3. Sector privado: a. Procedimiento de Protección de Derechos (PPD). b. Procedimiento de Investigación (PI). c. Procedimiento de Verificación (PV). d. Procedimiento de Imposición de Sanciones (PISAN)
4. Sector público:
a. Recurso de Revisión (RR) b. Recurso de Inconformidad (RI) c. Recurso de Revisión en materia de Seguridad Nacional (RRSN) d. Procedimiento de Verificación (PV)
Como decíamos, las resoluciones derivadas de los procedimientos en materia de protección de datos personales pueden ser controvertidas a través de distintos mecanismos legales, por ejemplo, en el sector privado las resoluciones derivadas del PPD, PV y PISAN regulados en la normatividad del sector privado pueden ser impugnadas a través del Juicio Contencioso Administrativo Federal .–también conocido como juicio de nulidad– que se tramita ante el TJFA, y en caso de que la resolución del juicio de nulidad no favorezca al responsable, podrá interponerse el juicio de amparo. Para un mayor detalle sobre este tema y evitar reiteraciones innecesarias se sugiere consultar el apartado de “Procedimientos para vigilar el debido cumplimiento de las normatividades aplicables de protección de datos personales” donde se explica de manera pormenorizada cada uno de ellos. En la perspectiva del derecho público, las resoluciones del RR y RI emitidas por el INAI son vinculantes, definitivas e inatacables para los responsables y los organismos garantes. Sin embargo, los particulares afectados con motivo de una resolución recaída del desarrollo del RR, RI o en su caso de las sanciones establecidas por la LGPDPPSO podrán impugnar dichas determinaciones mediante el juicio de amparo ante el PJF. Para un mayor detalle sobre este tema y evitar reiteraciones innecesarias se sugiere consultar el apartado de “Procedimientos para vigilar el debido cumplimiento de las normatividades aplicables de protección de datos personales” donde se explica de manera pormenorizada cada uno de ellos.
150
Es decir, en México existen diversas vías de acción, tanto administrativas como jurisdiccionales al alcance de los titulares de datos personales con el objeto de que estos puedan defenderse en caso de que identifiquen un tratamiento ilícito de sus datos personales para fines relacionados con la seguridad pública, la defensa y la seguridad nacional. Los primeros de ellos son los procedimientos en materia de protección de datos personales que se sustancian ante el INAI y los organismos garantes locales, y los segundos se refieren al juicio de amparo ante el PJF, y el juicio contencioso administrativo federal que se sustancia ante el TFJA tratándose de los procedimientos regulados en el sector privado. No obstante, aquí puede existir una asimetría ya que no existen vías específicas y efectivas para impugnar o cuestionar tratamientos ilícitos ante una autoridad administrativa o jurisdiccional independiente como resultado de actividades de vigilancia gubernamental y limitaciones al derecho de protección de datos personales.
XI. Resumen y fundamentación de las asimetrías principales detectadas
Para poder emitir de manera fundada y motivada una manifestación concreta sobre el señalamiento puntual de las asimetrías existentes entre la normatividad mexicana en materia de protección de datos personales y los elementos sujetos a la valoración de la CE para reconocer a un país con un nivel adecuado de protección en términos de lo previsto por el artículo 45 del RGPD, procederemos a realizar en primer lugar un resumen y calificación en cuanto a su grado de discrepancia de cada una de las asimetrías identificadas, siguiendo para ello el esquema del WP 254 y del WP 237, y en segundo lugar, se emitirá la manifestación concreta sobre la viabilidad técnica de que México con base en la normatividad vigente y demás elementos sujetos a la apreciación de la CE obtenga el reconocimiento como país con nivel adecuado de protección. I. SOBRE EL CONCEPTO GENERAL DE ADECUACIÓN En relación con la noción general de adecuación y la evaluación de elementos internos y externos sobre el Estado de Derecho y tutela efectiva del derecho a la protección de datos personales se pueden identificar importantes hallazgos:
El sistema de protección de derechos humanos es un referente internacional y la reforma constitucional en materia de derechos humanos de junio de 2011 ha colocado a México como un país paradigmático en lo que a la concreción legislativa de normas relativas a los derechos humanos se refiere.
México cuenta con instituciones eficaces e independientes para la tutela efectiva de los derechos humanos en los distintos órdenes de gobierno, en especial destaca el INAI y los órganos garantes de las entidades federativas del país como organismos de tutela en materia de protección de datos personales.
México es un país que ha suscrito múltiples instrumentos internacionales en materia de derechos humanos que conforman el crisol de normatividad interna y disposiciones legales exigibles al Estado para la tutela de los derechos humanos siendo el Convenio 108 uno de los más ejemplificativos.
151
La garantía efectiva de los derechos humanos en México presenta dificultades en lo que se refiere a su eficacia ya que existen altos índices de impunidad y corrupción.
II. SOBRE LOS PRINCIPIOS GENERALES CONSIDERACIÓN PREVIA: SOBRE EL ÁMBITO DE APLICACIÓN DE LA LEGISLACIÓN Las Sociedades de Información Crediticia (SIC) establecidas en el territorio de la UE están plenamente sujetas a la normatividad europea de protección de datos personales (RGPD), mientras que en la normatividad mexicana se encuentran excluidas del ámbito de aplicación de la LFPDPPP artículo 2, fracción de la LFPDPPP) bajo el señalamiento de que se encuentran reguladas en una ley especial (artículo 4 de la LFPDPPP). Esta es una diferencia significativa entre la protección otorgada por la LFPDPPP y el RGPD, pues la exclusión de las SIC del ámbito de aplicación de la LFPDPPP entraña significativas dificultades para la garantía del derecho a la protección de datos personales ya que la ley específica (LSIC) contiene prescripciones limitadas que no otorgan un régimen de protección adecuado. En definitiva, esta es una asimetría importante. A. PRINCIPIOS DE CONTENIDO A. 1. CONCEPTOS Para garantizar que el nivel de protección de datos en un tercer país es esencialmente equivalente al establecido por la legislación de la UE, en primer lugar, deben existir una serie de conceptos o principios básicos sobre protección de datos. Estos no deben imitar la terminología del RGPD, pero deben reflejar los conceptos consagrados en la legislación europea en materia de protección de datos y ser coherentes con ellos. El RGPD incluye los siguientes conceptos importantes, sobre los que centraremos el análisis de posibles asimetrías: «datos personales», «tratamiento de datos personales», «responsable del tratamiento», «encargado del tratamiento», «destinatario» y «datos sensibles» por ser aquellos que de forma expresa y concreta el WP 254 indica que son esenciales y deben estar sujetos a la valoración de la CE para reconocer a un tercer Estado con un nivel adecuado de protección.
1.a. Datos personales La definición de “datos personales” contenida en la LFPDPPP es conceptualmente homogénea a la del RGPD. Sólo la definición del artículo 2, fracción VIII del RLFPDDPPP in fine sobre la identificabilidad de la persona parece presentar un ligero matiz diferenciador, pero cabe interpretación equivalente al
152
criterio empleado tanto por el RGPD como por el TJUE para deslindar negativamente los supuestos de “identificabilidad” de las personas físicas. Existe aún mayor grado de coincidencia en la caracterización de “datos personales” contenida en la LGPDPPSO. Cabe concluir, en consecuencia, que la noción de “datos personales” con la que opera la normatividad mexicana es plenamente equivalente a la acogida en la regulación de la UE, por lo que en este punto no existe asimetría alguna sino todo lo contrario: homogeneidad. 1.b. Tratamiento En la normativa de particulares, si bien el elenco de las operaciones descritas es mucho más reducido que el del RGPD, el empleo de fórmulas tan amplias como “cualquier acción” y “cualquier medio” permite conferirle un alcance coextenso con el del RGPD, abarcando todas las operaciones en él descritas, ya se realicen por procedimiento automatizados o no, pues la normatividad indica que esta se aplica a tratamientos en soportes físicos y electrónicos. En la LGPDPPSO, el carácter aparentemente tasado de esta relación podría dejar fuera actividades típicas de tratamiento en el ordenamiento europeo como pueden ser la supresión o la destrucción. En definitiva, sobre el contenido de esta definición cabe destacar que existen algunas diferencias, aunque no se trata de una asimetría preocupante.
1.c. Responsable Las definiciones del concepto de “responsable del tratamiento” o “responsable” en la legislación mexicana son materialmente equivalentes a la europea, condensan el sentido básico de la noción de responsable propia del RGPD y acotan en términos equivalentes quiénes asumen la posición jurídica de tales a efectos de la exigencia de responsabilidad y de ser los destinatarios principales de las obligaciones establecidas por la normativa de protección de datos. 1.d. Encargado Las definiciones proporcionan un paralelismo casi absoluto con la noción de “encargado” o “encargado del tratamiento” expresada en el artículo 4, apartado 8) del RGPD. 1.e. Destinatario La normativa mexicana no incluye en su capítulo de definiciones la categoría de destinatario. Si bien se trata de una asimetría a simple vista, esta puede no ser tan relevante si la regulación de los elementos subjetivos permite individualizar de manera apropiada a los distintos sujetos comprendidos en la categoría de “destinatarios” a efectos de dotar de transparencia a los tratamientos, imputar las obligaciones correspondientes y proteger adecuadamente los derechos de los interesados.
153
1.f. Datos sensibles De la simple comparación de las definiciones previstas tanto en la LFPDPPP como en la LGPDPPSO con el enunciado en el artículo 9 del RGPD se constata un alto grado de coincidencia. No obstante, se identifica como asimetría la falta de mención de los “datos biométricos” como datos personales sensibles. Esta asimetría es importante ya que el tratamiento de estos datos comporta un importante riesgo para los derechos y las libertades fundamentales de las personas y, por tanto, deben estar sometidos a un régimen agravado de protección. Se identifica otra asimetría en la normatividad ya que ni la LFPDPPP ni la LGPDPPSO hacen mención alguna sobre los datos personales relativos a “condenas e infracciones penales” como datos personales sensibles. A.2. FUNDAMENTOS DEL TRATAMIENTO LÍCITO Y LEAL PARA FINES LEGÍTIMOS
a. En cuanto al planteamiento en general La regulación de la legitimidad de los tratamientos en el régimen mexicano responde a un planteamiento parcialmente distinto, más próximo al de las hoy derogadas Directiva 95/46/CE y la española Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, que al planteamiento que subyace al RGPD. La característica principal (y, a la vez, la más diferenciadora) es que la normatividad mexicana sitúa el consentimiento del interesado (titular) como base principal de la legitimidad de los tratamientos, cuando en el modelo europeo es una base más entre las varias admitidas en el apartado 1, artículo del RGPD, relevante por su naturaleza, pero sin corresponderle una posición jerárquica superior ni un papel central. La regulación mexicana, en cambio, se articula en torno a un régimen de regla-excepción, en el que la regla es el consentimiento y, a partir de ella, se establecen una serie de supuestos en los que es legítimo tratar datos personales sin el consentimiento del titular.
b. En cuanto al consentimiento La previsión del consentimiento como principal base para la legitimación del tratamiento de los datos personales en la normatividad mexicana involucra diversas asimetrías en relación con las previsiones de la normatividad europea. La asimetría más significativa presente tanto en la LFPDPPP como en la LGPDPPSO y que se puede erigir en un obstáculo serio para el reconocimiento de un nivel de protección equivalente es la aceptación de la prestación del consentimiento de manera tácita, entendiéndose que el titular consiente el tratamiento de sus datos simplemente cuando, habiéndose puesto a su disposición el aviso de privacidad, “no manifieste su oposición”, como enuncia el artículo 8 de la LFPDPPP, o “no manifieste su voluntad en sentido contrario” como prevé el artículo 21 de la LGPDPPSO, precepto éste último que, además, eleva el consentimiento tácito a la categoría de regla general.
154
Dicha asunción legal representa una asimetría debido a que el RGPD ha optado por determinar que el consentimiento para el tratamiento ha de ser “inequívoco” (unambiguous) para ser considerado válido. En consecuencia, soportar el tratamiento de los datos personales en un consentimiento tácito o basado en la inacción no garantiza una adecuada protección en términos del RGPD.
c. En cuanto a la excepción al consentimiento por previsión de ley
En lo que concierne a las excepciones al consentimiento del titular para el tratamiento de sus datos personales se advierte una asimetría derivada de la legitimación de los tratamientos sin consentimiento del titular cuando los disponga o los prevea una Ley (o un Tratado), tal y como se establece en la LFPDPPP (artículos 10, fracción I y 37, fracción I) y la LGPDPPSO (artículos. 22, fracción I y 70, fracción I) pues en el RGPD la habilitación legal no es admitida en sí misma como una base de legitimación. Es decir, en RGPD PARA que un tratamiento se pueda considerar legítimo no basta con una mera previsión legal, sino que, además, tendrá que ser “necesario para el cumplimiento de una obligación legal aplicable al responsable”. Por lo anterior, la posibilidad de amparar el tratamiento de datos en una Ley no es suficiente en términos del RGPD y configura una asimetría.
d. En cuanto a la excepción al consentimiento por fuentes de acceso público Las previsiones establecidas tanto en la LFPDPPP (artículo 10. II LFPDPPP) como en la LGPDPPSO (artículo 22.VIII LGPDPPSO) sobre la posibilidad de tratar datos personales sin consentimiento del titular cuando estos procedan de una fuente de acceso público no se considera como una base para el tratamiento lícito de datos personales en el RGPD, por lo que, esta indicación legal constituye una asimetría normativa a considerar.
e. En cuanto a la excepción al consentimiento por transferencias a sociedades del grupo La transferencia de datos personales a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable sin necesidad de consentimiento del titular prevista por la fracción III del artículo 37 de la LFPDPPP constituye una asimetría normativa ya que el considerando 36 del RGPD únicamente admite la base del “interés legítimo” para la transmisión de datos personales dentro de un grupo empresarial “para fines administrativos como se justificó en la parte sustantiva de este estudio. A.3. PRINCIPIO DE LA LIMITACIÓN DE LA FINALIDAD En relación con el principio de limitación de la finalidad, salvo mínimas diferencias, se puede sostener que la normatividad mexicana reconoce el principio de limitación de la finalidad con un contenido y alcance ampliamente equiparable al del Derecho de la UE.
155
A.4. PRINCIPIO DE CALIDAD DE LOS DATOS Y PROPORCIONALIDAD El principio de calidad goza de pleno reconocimiento, tanto en el sector privado –en los artículos 11 y 36 de la LFPDPPP–, como en el sector público –en los artículos 21 a 23 de la LGPDPPSO, y del análisis de sus disposiciones se puede apreciar que el alcance y contenido de este principio son equivalentes a los previstos por el RGPD. En lo que toca al principio de proporcionalidad previsto –en los artículos 11 y 13 de la LFPDPPP y artículos 45 y 46 del RLFPDPPP–, así como en los artículos 24 y 25 de la LGPDPPSO–. se puede señalar que existe un alto grado de correspondencia en el principio de proporcionalidad previsto en el RGPD. A.5. PRINCIPIO DE RETENCIÓN DE DATOS Sobre el principio de retención de datos se puede afirmar que el ordenamiento mexicano regula el principio de limitación de la conservación de los datos personales –manifestación específica del principio de proporcionalidad– en términos ampliamente coincidentes con los del derecho de la UE, tanto en el sector privado –en los artículos 11 LFPDPPP y 37 del RLFPDPPP–, como en el sector público –en el artículo 23 de la LGPDPPSO–. A.6. PRINCIPIO DE SEGURIDAD Y CONFIDENCIALIDAD Respecto del principio de seguridad y confidencialidad conviene destacar que existe un importante grado de correspondencia entre las obligaciones previstas por la normatividad mexicana en materia de protección de datos personales, y la europea, dado el amplio grado de desarrollo normativo existente, salvo algunas particulares diferencias que a continuación se señalan como asimetrías. En primer lugar, debe señalarse que la LFPDPPP y su Reglamento son omisas en establecer la obligación de realizar EIPD en tratamientos de alto riesgo, así como en determinar los requisitos para su confección. Asimismo, la notificación de vulneración de seguridad de datos personales a la autoridad, la obligación de que el encargado notifique al responsable la existencia de una vulneración de seguridad y la posibilidad de que la autoridad pueda solicitar al responsable que notifique al titular una vulneración que entrañe un alto riesgo en caso de que no lo hubiere realizado configuran otras asimetrías. Adicionalmente, debe tenerse en cuenta que, si bien el RLFPDPPP y la LGPDPPSO ordenan llevar un inventario de datos personales, dicha obligación, aunque es parecida a la obligación de llevar un registro de las operaciones de tratamiento no puede equipararse en su totalidad con esta última, ya que hace falta que la normatividad ordene un grado de detalle similar al previsto en el RGPD para la creación de dichos registros tanto para responsables como encargados del tratamiento. Del lado de la normatividad del sector público, se puede identificar como asimetría la posibilidad de que la autoridad (INAI o en su caso los garantes locales) puedan solicitar al responsable en caso de no haberlo hecho, que notifique al titular una vulneración cuando esta pueda significar un alto riesgo para el titular.
156
Respecto del principio de confidencialidad es importante señalar que este se prevé en ambas normatividades y entraña la obligación de que el responsable, el encargado y cualquier tercero guarden confidencialidad sobre los datos sujetos a tratamiento. A.7. PRINCIPIO DE TRANSPARENCIA En relación con el principio de transparencia (información) previsto en la normatividad mexicana se identifican asimetrías en lo que concierne a la información que el responsable debe dar a conocer al titular para legitimar el tratamiento de sus datos. Como asimetrías significativas previstas en la normatividad del sector privado se identifica que ni la LFPDPPPP, su Reglamento ni los Lineamientos del Aviso de Privacidad obligan al responsable a informar al titular sobre los siguientes aspectos:
a) Base jurídica del tratamiento; b) La información sobre las garantías ofrecidas por el responsable en caso de que se realicen
transferencias internacionales de datos personales; c) El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los
criterios utilizados para determinar este plazo; d) Las consecuencias que podría tener para el titular no facilitar sus datos personales para una
comunicación de datos cuando se trate de un requisito legal o contractual, o un requisito necesario para suscribir un contrato;
e) La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
Por el lado de la normatividad del sector público se identifica que esta no conmina al responsable a facilitar la siguiente información a los titulares:
a) La información sobre las garantías ofrecidas por el responsable en caso de que se realicen transferencias internacionales de datos personales;
b) El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
c) Las consecuencias que podría tener para el titular no facilitar sus datos personales para una comunicación de datos cuando se trate de un requisito legal o contractual, o un requisito necesario para suscribir un contrato;
d) La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
En definitiva, si bien es cierto que la normatividad mexicana impone un alto grado de transparencia en el tratamiento de los datos personales, no se puede aseverar que la normatividad mexicana plenamente equivalente a la regulación de la UE, por lo que, se presentan diversas asimetrías legales siendo las identificadas en los incisos a) y b) las más significativas.
157
A.8. DERECHO DE ACCESO, RECTIFICACIÓN, SUPRESIÓN Y OPOSICIÓN
a. Derecho de acceso En relación con el derecho de acceso previsto tanto en la LFPDPPP como en la LGPDPPSO se quede señalar que existe equivalencia legal y no se presentan asimetrías con el RGPD ya que el derecho de acceso tiene el alcance requerido para conceder al titular el derecho de obtener una copia de sus datos personales de forma gratuita y bajo condiciones de ejercicio sencillas y concretas.
b. Derecho de rectificación El alcance del derecho de rectificación regulado tanto en la LFPDPPP como en la LGPDPPSO tiene el mismo alcance que el derecho de rectificación regulado en el artículo 16 del RGPD, por lo que no se presenta la existencia de una asimetría.
c. Derecho de supresión (derecho al olvido) Si bien la normatividad mexicana consigna el derecho de “cancelación de datos personales” sobre una base genérica y amplia sobre la cual los datos personales del titular deben cancelarse, existen algunas asimetrías en relación con el alcance de este derecho, por ejemplo, la normatividad nacional no consigna que cuando el responsable haya hecho públicos los datos personales y esté obligado a suprimirlos, deba adoptar medidas razonables, incluidas medidas técnicas para informar a los responsables que estén tratando los datos personales de la solicitud del titular respecto de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos teniendo en cuenta la tecnología disponible y el coste de su aplicación. Asimismo, la normatividad nacional no establece como excepciones para la concesión del derecho de supresión el ejercicio del derecho a la libertad de expresión e información, fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos en la medida en que el derecho de supresión pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos del tratamiento. Por lo anterior, se puede sostener la existencia de particulares asimetrías en el alcance del derecho de supresión del RGPD y el derecho de cancelación previsto en la LFPDPPP y la LGPDPPSO.
d. Derecho de oposición Respecto del alcance del derecho de oposición regulado en la normatividad mexicana puede advertirse que si bien, sobre su base genérica este tiene el mismo alcance que el derecho de oposición regulado en el RGPD, no sucede lo mismo con el derecho de oposición para fines de mercadotecnia directa, por lo que es en esta faceta donde se identifica una asimetría ya que la normatividad vigente subordina su concesión a la existencia de una justificación previa.
158
e. Otros derechos (Portabilidad; limitación del tratamiento; no ser objeto de una decisión individual automatizada)
En relación con otros derechos como los de portabilidad, limitación del tratamiento, no ser objeto de una decisión individual automatizada, es importante señalar que, si bien no son prerrogativas esenciales que el WP 254 requiera expresamente, dado que están previstos en el RGPD se puede señalar que de su análisis se han identificado algunas asimetrías:
Portabilidad. El alcance del derecho de portabilidad regulado en la normatividad mexicana aplicable para el sector público es el mismo alcance que el previsto en el RGPD, Sin embargo, al no existir regulación de este derecho para los tratamientos de datos personales ocurridos en el sector privado (LFPDPPP y su Reglamento), puede afirmarse que existe la necesidad que este derecho sea recogido por dicha normatividad y, por lo tanto, hay una asimetría a este respecto.
Limitación del tratamiento. En relación con este derecho, al tratarse de una prerrogativa novedosa e instaurada por el RGPD ni la LFPDPPP ni la LGPDPPSO, así como su respectiva normatividad de desarrollo lo regulan, por lo que se identifica una asimetría normativa.
Derecho a no ser objeto de una decisión individual automatizada. Al respecto, es importante destacar que la normatividad aplicable para el sector público resulta consistente con las previsiones del RGPD. Sin embargo, en el sector privado existe una asimetría normativa ya que las previsiones del artículo 112 del RLFPDPPP únicamente obligan al responsable a notificar al titular la existencia de tratamientos basados en un proceso de toma de decisiones sin que intervenga la valoración de una persona física sin que ello implique la facultad de oponerse a dicho tratamiento de forma específica.
f. Mecanismos de ejercicio de los derechos para los titulares
En relación con los mecanismos para el ejercicio de los derechos de los titulares se puede señalar que tanto en la LFPDPPP y la LGPDPPPP, así como su normatividad de desarrollo existe un gran nivel de cumplimiento ya que el titular puede ejercer de forma sencilla y gratuita los derechos previstos en la normatividad. A.9. RÉGIMEN DE TRANSFERENCIAS ULTERIORES El sistema mexicano de transferencias internacionales presenta notables asimetrías con el de la UE y permite vías de comunicación a destinatarios situados en terceros estados que no garantizan que los datos personales procedentes de la UE gocen de un nivel de protección equivalente en lo que concierne a las transferencias ulteriores.
a. En el sector privado La opción del legislador mexicano de regular conjuntamente las transferencias nacionales y las internacionales genera una asimetría con el modelo europeo que añade un grado de dificultad a la evaluación de las equivalencias entre ambos sistemas.
159
La regulación expuesta presenta varias debilidades, en primer lugar, por la dificultad práctica de recabar el consentimiento con los requisitos exigidos, que haría altamente costosa cualquier transferencia ulterior sustentada en este fundamento. Además, entre las excepciones al consentimiento, cabe resaltar como especialmente complicada la relativa a empresas del grupo, pues solo podría aceptarse si el grupo exportador cuenta con reglas internas de carácter vinculante que disciplinen sus actividades de tratamientos de datos personales de manera global con arreglo a estándares de protección equivalentes a los establecidos por el RGPD para las “normas corporativas vinculantes” en su artículo 47y estuvieran en todo caso estar validadas por la autoridad de control mexicana en virtud de parámetros equiparables a los exigidos por el RGPD. Con todo, las dificultades más destacadas las plantea la excepción por previsión de ley, pues la habilitación general e incondicionada para realizar transferencias internacionales sin el consentimiento del titular cuando estén previstas en un “Tratado” en el que México sea parte resulta claramente incompatible con los requerimientos del RGPD. Aunque la ratificación del Convenio 108 del Consejo de Europa y su implementación es un activo relevante la CE no lo considera garantía suficiente. Tanto es así que el “Convenio 108 +” ha introducido una cláusula de excepción con la finalidad de dejar clara esta cuestión. Mayores dificultades aún se pueden plantear en relación con el contenido del TMEC, cuyas disposiciones no aseguran el mantenimiento de los estándares de protección de la UE. Las eventuales transferencias a los Estados Unidos o a Canadá de datos personales importados de Europa no contarían con un nivel adecuado de protección si se rigen únicamente por las Reglas APEC. Buena parte de ellas, sin embargo, podrían encontrar cobertura adecuada en las Decisiones de adecuación de la UE relativas a dichos países, como las que tuvieran como destinatarios las entidades estadounidenses acogidas al sistema de certificación previsto en el Privacy Schield, y aquellas otras cuyos receptores fuesen las entidades privadas canadienses incluidas en el ámbito de la Decisión de la Comisión de 20 de diciembre de 2001. Al margen de estos supuestos, todas las transferencias que no pudieran ampararse en los regímenes especiales de adecuación reconocidos por la UE para EE. UU. y Canadá, deberán sustentase sobre otros instrumentos que ofrezcan garantías adecuadas.
b. En el sector público En lo que respecta al régimen jurídico de las transferencias internacionales operadas por entidades públicas, el artículo 65 de la LGPDPPSO establece, como regla general, la exigencia de contar con consentimiento de su titular, por lo que resultan plenamente aplicables las consideraciones realizadas más arriba en relación con las exportaciones de datos por particulares.
160
B. PRINCIPIOS DE CONTENIDO ADICIONALES APLICABLES A TIPOS ESPECÍFICOS DE TRATAMIENTO B.1. Categorías especiales de datos Las previsiones de la normatividad mexicana respecto del tratamiento de datos personales sensibles (categorías especiales de datos) coinciden en el otorgamiento de garantías reforzadas (en ambos casos consentimiento expreso y por escrito mediante firma autógrafa o tecnología de autenticación que al efecto se establezca y prohibición de crear bases de datos con datos sensibles) y equivalentes para legitimar el tratamiento de estas categorías de datos personales. No obstante, es importante señalar que la omisión legislativa presente tanto en la LFPDPPPP como en la LGPDPPSO de incorporar a los datos biométricos como datos personales sensibles es una asimetría palpable. En lo que concierne al tratamiento de datos personales relativos a condenas e infracciones penales es importante señalar que se presenta una asimetría en la calificación de estos como datos personales sensibles. No obstante, es importante destacar que conforme a lo previsto por la Ley General del Sistema Nacional de Seguridad Pública (LGSNSP) su tratamiento por regla general se encuentra vedado a los particulares y su acceso es exclusivo de autoridades competentes. B.2. Mercadotecnia directa En relación con el derecho del titular a oponerse al tratamiento de sus datos para fines de mercadotecnia directa debe destacarse que se presenta una asimetría significativa ya que la normatividad nacional de protección de datos personales en los sectores público y privado no incluye este derecho como un mecanismo directo para que el titular limite su tratamiento para estos fines. B.3. Decisiones automatizadas Por lo que toca al derecho del titular a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que le produzca efectos jurídicos o le afecte significativamente de modo similar, la normatividad mexicana aplicable al sector privado contiene importantes asimetrías ya que ese derecho no se encuentra previsto, con el alcance especificado en el RGPD. En cambio, en el sector público puede sostenerse una equivalencia legal con el derecho de oposición previsto en la fracción II del artículo 47 de la LGPDPPSO. C. MECANISMOS RELATIVOS AL PROCEDIMIENTO Y A LA EJECUCIÓN El WP 254 en su apartado C sobre mecanismos relativos al procedimiento y la ejecución establece que fin de garantizar una equivalencia esencial con el marco de protección de datos personales de la UE el sistema de un tercer país u organización internacional debe incluir los siguientes principios y mecanismos básicos de protección de datos relativos al contenido y al procedimiento/ejecución:
Autoridades de control competentes e independientes; El sistema de protección de datos debe garantizar un buen nivel de cumplimiento; Responsabilidad proactiva;
161
El sistema de protección de datos debe ofrecer apoyo y ayuda a los interesados individuales en el ejercicio de sus derechos y mecanismos de reclamación adecuados.
A continuación, se presenta una identificación de la normatividad e instituciones existentes en México para garantizar la observancia y cumplimiento de los elementos anteriores para efectos de determinar si estos resultan equivalentes con el marco legal que se aplica en la UE. C.1. AUTORIDADES DE CONTROL INDEPENDIENTES En relación con este particular, se puede señalar que existe plena equivalencia respecto de los elementos requeridos en el WP 254 y el RGPD ya que, en México, con motivo de la reforma constitucional en materia de transparencia del 7 de febrero de 2014 se ha generado un sólido andamiaje institucional y normativo para la garantía efectiva del derecho a la protección de datos personales tanto en el ámbito federal como en el ámbito local. En primer lugar, debe destacarse que el INAI se erige como la principal autoridad en materia de protección de datos personales para los sectores público y privado. El INAI se caracteriza por ser un organismo constitucional autónomo, especializado, independiente, imparcial y colegiado, con personalidad jurídica y patrimonio propio, con plena autonomía técnica, de gestión, capacidad para decidir sobre el ejercicio de su presupuesto y determinar su organización interna. Derivado de su autonomía constitucional, el INAI es una institución cuya actuación no está sujeta ni atribuida a los depositarios tradicionales del poder público (Poderes Legislativo, Ejecutivo y Judicial). En la práctica, la autonomía que la CPEUM otorga al INAI implica lo siguiente:
Que el INAI tenga personalidad jurídica y patrimonio propios. Que el INAI goza de plena autonomía técnica, de gestión, capacidad para decidir sobre el
ejercicio de su presupuesto y determinar su organización interna. Que sus resoluciones son vinculatorias, definitivas e inatacables.
Para garantizar la protección de datos personales en el sector público el INAI cuenta con amplias facultades previstas tanto en la LFPDPPP como en la LGPDPPSO que le habilitan para hacer cumplir la normatividad mediante la realización de acciones de sensibilización mediante la emisión de recomendaciones y documentos de orientación, colaboración entre autoridades, sustanciación de procedimientos, imposición de sanciones, por mencionar algunas. Además del INAI, derivado de la concurrencia de competencias y facultades en materia de protección de datos personales para el sector público, además del INAI como principal autoridad de control, existe la figura de los “organismos garantes locales” encargados de vigilar el cumplimiento de la normatividad de protección de datos personales en cada una de las entidades federativas del país. Derivado de lo anterior, se puede sostener que en México existen autoridades de control autónomas e independientes para hacer cumplir la normatividad, por lo que, no se presenta una asimetría en este sentido.
162
C.2. EL SISTEMA DE PROTECCIÓN DE DATOS DEBE GARANTIZAR UN BUEN NIVEL DE CUMPLIMIENTO En relación con este punto es prudente y necesario destacar que, el INAI cuenta con específicas facultades y atribuciones para hacer cumplir la normatividad de datos personales de forma constante, entre estos medios podemos identificar las laboras para concienciar, sensibilizar y orientar a los responsables y encargados sobre el cumplimiento de la normatividad de datos personales en los sectores público y privado habiendo emitido diversos documentos, guías de facilitación y recomendaciones. Asimismo, derivado de las previsiones normativas vigentes, en México existen diversas vías de acción, tanto administrativas (procedimientos tramitados ante el INAI y los organismos garantes locales) como jurisdiccionales al alcance de los titulares de datos personales con el objeto de que estos puedan defenderse en caso de que identifiquen un tratamiento ilícito de sus datos personales para fines relacionados con la seguridad pública, la defensa y la seguridad nacional. Es decir, en la práctica, el derecho a la protección de datos personales se ve garantizado a través de la existencia de procedimientos de tutela sustanciados por el INAI y los garantes locales como autoridades competentes de supervisión. De esta suerte, se pueden distinguir los siguientes procedimientos en materia de protección de datos personales:
5. Sector privado: a. Procedimiento de Protección de Derechos (PPD). b. Procedimiento de Investigación (PI). c. Procedimiento de Verificación (PV). d. Procedimiento de Imposición de Sanciones (PISAN)
6. Sector público:
a. Recurso de Revisión (RR) b. Recurso de Inconformidad (RI) c. Recurso de Revisión en materia de Seguridad Nacional (RRSN) d. Procedimiento de Verificación (PV)
Las resoluciones derivadas de los procedimientos en materia de protección de datos personales pueden ser controvertidas a través de distintos mecanismos legales, por ejemplo, en el sector privado las resoluciones derivadas del PPD, PV y PISAN pueden ser impugnadas a través del Juicio Contencioso Administrativo Federal .–también conocido como juicio de nulidad– que se tramita ante el TJFA, y en caso de que la resolución del juicio de nulidad no favorezca al titular, se puede interponer el juicio de amparo. En la perspectiva del derecho público, las resoluciones del RR y RI emitidas por el INAI son vinculantes, definitivas e inatacables para los responsables y los organismos garantes. Sin embargo, los particulares afectados con motivo de una resolución recaída del desarrollo del RR, RI o en su caso de las sanciones establecidas por la LGPDPPSO podrán impugnar dichas determinaciones mediante el juicio de amparo ante el PJF.
163
Finalmente, para garantizar un nivel adecuado de cumplimiento a la normatividad existe un régimen de infracciones y sanciones. En primer lugar, la legislación actual de protección de datos personales aplicable al sector privado contempla en su artículo 63 una serie de infracciones punibles con multa que puede ir de los 100 a los 320 mil días de SMVDF (ahora UMAs). En el sector público, el artículo 163 de la LGPDPPSO contempla diversas causas de sanción que podrán ser castigadas mediante la imposición de las medidas de apremio o multas previstas por los artículos 153 de la citada Ley. Además de las conductas anteriormente descritas la LFPDPPP establece en sus artículos 67 y 68 las conductas antijurídicas calificadas como delitos en materia del tratamiento indebido de datos personales. Derivado de lo anterior, se puede sostener que en México existen múltiples medios para hacer cumplir la normatividad, por lo que, no se presenta una asimetría en este sentido. C.3. RESPONSABILIDAD PROACTIVA En relación con el principio de responsabilidad proactiva se identifican asimetrías significativas en el sector privado, pues, la LFPDPPP no establece la obligación de realizar EIPDs en tratamientos de alto riesgo ni prevé un contenido mínimo necesario, no se establece la obligación de implantar medidas de privacidad por diseño y privacidad por defecto, las funciones, características y posición de la persona responsable y/o Departamento a la que alude el artículo 30 no pueden equipararse a las de un Oficial de Protección de Datos como lo demanda el RGPD y como se señaló previamente existen asimetrías en materia de seguridad (vid apartado de principio de seguridad). Por lo anterior, se puede considerar que existen importantes asimetrías en la normatividad del sector privado en lo que concierne al cumplimiento del principio de responsabilidad proactiva. C.4. EL SISTEMA DE PROTECCIÓN DE DATOS DEBE OFRECER APOYO Y AYUDA A LOS INTERESADOS INDIVIDUALES EN EL EJERCICIO DE SUS DERECHOS Y MECANISMOS DE RECLAMACIÓN ADECUADOS Sobre el cumplimiento de este apartado es importante destacar que en México existen diversos medios de tutela administrativos a disposición de los titulares tanto en el ámbito de los tratamientos de derecho privado como en aquellos de derecho público y que son sustanciados por el INAI y los organismos garantes locales. Además de lo anterior, los titulares pueden tener acceso a vías de acción efectivas en el ámbito jurisdiccional mediante el juicio contencioso administrativo federal (solo sector privado) y el juicio de amparo ante el PJF en ambos casos, por lo que se cumple con el otorgamiento de mecanismos de reclamación administrativos y jurisdiccionales adecuados. Las resoluciones derivadas de los procedimientos en materia de protección de datos personales pueden ser controvertidas a través de distintos mecanismos legales, por ejemplo, en el sector privado las resoluciones derivadas del PPD, PV y PISAN pueden ser impugnadas a través del Juicio Contencioso Administrativo Federal .–también conocido como juicio de nulidad– que se tramita ante el TJFA, y en caso de que la resolución del juicio de nulidad no favorezca al responsable, podrá interponerse el juicio de amparo.
164
Lo anterior, con fundamento en lo previsto por el artículo 56 de la LFPDPPP que establece que, contra las resoluciones del INAI, los particulares podrán promover el juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa (ahora Tribunal Federal de Justicia Administrativa). IV. GARANTÍAS ESENCIALES EN TERCEROS PAÍSES PARA EL ACCESO A LOS DATOS POR PARTE DE LOS CUERPOS POLICIALES Y DE SEGURIDAD NACIONAL PARA LIMITAR LAS INJERENCIAS EN LOS DERECHOS FUNDAMENTALES De conformidad con el WP 237 del GT29 al evaluar la adecuación del nivel de protección, la CE debe tener en cuenta “la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales, así como la aplicación de dicha legislación”. De esta manera en esta sección se explica cómo la legislación nacional en materia de protección de datos personales y la legislación sectorial específica cumplen y delimitan las siguientes garantías para acceder a los datos, tanto para fines de seguridad nacional como para fines de cumplimiento de la ley:
El tratamiento debe basarse en normas claras, precisas y accesibles (base jurídica) Se deben demostrar la necesidad y la proporcionalidad respecto a los objetivos legítimos
perseguidos El tratamiento debe estar sujeto a una supervisión independiente Las personas deben disponer de vías de acción efectivas
IV.1. EL TRATAMIENTO DEBE BASARSE EN NORMAS CLARAS, PRECISAS Y ACCESIBLES (BASE JURÍDICA) En relación con este supuesto se puede identificar la existencia de diversos ordenamientos jurídicos de carácter federal en los que se establecen sobre una base jurídica clara, precisa y accesible los tratamientos que pueden significar una injerencia en los derechos fundamentales entre estos ordenamientos destacan la CPEUM, la LFPDPPP, la LGPDPPSO, el CNPP, la LFPIORPI, la LFTR, la LSN, la LGN y la LGSNSP. IV.2. SE DEBEN DEMOSTRAR LA NECESIDAD Y LA PROPORCIONALIDAD RESPECTO A LOS OBJETIVOS LEGÍTIMOS PERSEGUIDOS En relación con este particular se puede señalar que existen notables asimetrías. En particular en ordenamientos como la LFTR ya que el tratamiento de datos personales para fines relacionados con la cooperación ante instancias de seguridad justicia no está sujeto a autorización judicial para atender los mandamientos de las autoridades que soliciten acceso a datos personales de usuarios y clientes ni se establecen cuáles son las autoridades designadas y facultadas para solicitar acceso a datos personales en dicha norma (si bien los LCMSJ si lo hacen, aunque de manera amplia). Sobre este particular son especialmente conflictivos los artículos 189 y 190 de la LFTR que no garantizan la proporcionalidad de datos al exigir una conservación de registros por hasta 24 meses.
165
En el caso que nos ocupa no se justifican ni demuestran los fines legítimos para la adopción de las medidas previstas en la LFTR. IV.3. EL TRATAMIENTO DEBE ESTAR SUJETO A UNA SUPERVISIÓN INDEPENDIENTE En México, el tratamiento de datos personales para fines relacionados con la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales es supervisado por el INAI como máxima autoridad garante del derecho humano a la protección de datos personales al nivel federal caracterizada por su autonomía constitucional e independencia. No obstante, aunque existe la figura del juez control competente para permitir la intervención de comunicaciones privadas, en general, no se cumple este requisito ya que no hay una autoridad de supervisión independiente encargada de vigilar estos supuestos y tutelar el derecho de protección de datos en estos tratamientos. IV.4. LAS PERSONAS DEBEN DISPONER DE VÍAS DE ACCIÓN EFECTIVAS En México existen diversas vías de acción, tanto administrativas como jurisdiccionales al alcance de los titulares de datos personales con el objeto de que estos puedan defenderse en caso de que identifiquen un tratamiento ilícito de sus datos personales para fines relacionados con la seguridad pública, la defensa y la seguridad nacional. Los primeros de ellos son los procedimientos en materia de protección de datos personales que se sustancian ante el INAI y los organismos garantes locales, y los segundos se refieren al juicio de amparo ante el Poder Judicial de la Federación, y el juicio contencioso administrativo federal que se sustancia ante el Tribunal Federal de Justicia Administrativa (TFJA) tratándose de los procedimientos regulados en el sector privado. No obstante, aquí puede existir una asimetría ya que no existen vías específicas y efectivas para impugnar o cuestionar tratamientos ilícitos ante una autoridad administrativa o jurisdiccional independiente como resultado de actividades de vigilancia gubernamental y limitaciones al derecho de protección de datos personales.
166
XII. Manifestación concreta de viabilidad de una decisión de adecuación de la CE como tercer país para México
Derivado del análisis de las asimetrías detectadas y el análisis integral de otros factores como el Estado de Derecho, compromisos nacionales internacionales en materia de derechos humanos, interferencias justificadas al derecho de protección de datos personales, consideramos que en el estado en que se encuentra la normatividad mexicana en materia de protección de datos personales al día de hoy, se puede señalar que, con alto grado de probabilidad, no es posible conseguir, sin reforma y/o garantía adicional alguna, la declaración de nivel adecuado de protección por parte de la CE. La anterior manifestación se sustenta en las diferentes divergencias encontradas y estudiadas, entre las que podemos destacar, por su grado de severidad, las que siguen:
1. Divergencias más relevantes: a. Exclusión de las sociedades de información crediticia del ámbito de aplicación de la
legislación (sector privado) b. Fundamentos de legitimación del tratamiento
‐ Consentimiento tácito ‐ Transferencia a empresas del mismo grupo (sector privado)
c. Seguridad y confidencialidad: ‐ Notificación de brechas de seguridad a la autoridad de control (sector
privado) ‐ Notificación de brechas de seguridad de encargado a responsable
(sector privado) d. Restricciones a transferencias ulteriores e. Tipos específicos de tratamientos:
‐ Condenas e infracciones penales o medidas de seguridad ‐ Oposición a tratamiento con fines de mercadotecnia directa ‐ Decisiones automatizadas y elaboración de perfiles (parcialmente)
f. Responsabilidad proactiva ‐ Obligación de realizar EIPD en tratamientos de riesgo elevado (sector
privado) ‐ Medidas de privacidad desde el diseño y por defecto (sector privado) ‐ Configuración DPO: posición de independencia y función de supervisión
(sector privado) g. Garantías esenciales:
‐ Demostración necesidad y proporcionalidad ‐ Supervisión independiente de los tratamientos
2. Otras divergencias
a. Conceptos i. Tratamiento ii. destinatario
b. Excepción al consentimiento por previsión de ley.
167
c. Excepción al consentimiento por fuentes de acceso público d. Categorías especiales de datos e. Principio de transparencia f. Seguridad y Confidencialidad. g. Otros derechos
i. Portabilidad ii. Limitación del tratamiento iii. No ser objeto de una decisión individual automatizada; iv. Derecho de supresión (derecho al olvido) v. Decisiones automatizadas
Sin embargo, es importante no olvidar que también se encuentran importantes similitudes y equivalencias, entre las que destacan:
a. Conceptos i. Datos personales ii. Responsable iii. Encargado
b. Principio de la limitación de la finalidad c. Principio de calidad de los datos y proporcionalidad d. Principio de retención de datos e. Derechos
i. Acceso ii. Rectificación iii. Oposición iv. Mecanismos de ejercicio de los derechos para los titulares
Respecto de las garantías para acceder a los datos, tanto para fines de seguridad nacional como para fines de cumplimiento de la ley se identifica que:
a. El tratamiento se basa en normas claras, precisas y accesibles como la CPEUM, la LFPDPPP, la LGPDPPSO, el CNPP, la LFPIORPI, la LFTR, los LCMSJ, la LSN, la LGN y la LGSNSP,
b. No se puede demostrar la necesidad y la proporcionalidad del contenido de los artículos 189 y 190 de la LFTR y por tanto de su normatividad de desarrollo.
c. Aunque el INAI y los garantes locales juegan un papel importante no existen autoridades de supervisión independientes específicas.
d. Aunque existen procedimientos que se sustancian ante el INAI y los garantes locales no existen vías de acción efectivas para que el titular se defienda ante tales tratamientos.
