Uploaded on

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,063
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
15
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. 

www.davara.com.mx 2010 La protección de datos personales La expresión protección de datos personales es confusa. Los datos en sí mismos no necesitan protección. Los datos, en cuanto asociados a una persona identificada o identifi- cable, se convierten en información personal. La persona, el sujeto del derecho, es la que necesita protección. Los datos personales son entonces cualquier información que se asocia a una persona (física en el caso de la legislación mexicana, no se refiere a personas morales –empresas o instituciones-), identifica- da o identificable. Hoy en día el valor de los datos personales es innegable. La persona física trasciende al ámbito virtual, en el más extenso sentido de la palabra. Las tradicionales fronteras de espacio y tiempo se han visto superadas con el uso cotidiano de la tecnología. Y la tecnología aplicada al tratamiento de la información personal conforma una identidad electrónica, un perfil de la persona, que ella misma desconoce, o, cuando menos, no controla. Siempre ha habido tratamiento de datos personales. Pero, con las facilidades de tratamiento e intercone- xión proporcionadas por la informática, esto ha cambiado mucho. Así se ha dado lugar a un tratamiento ingente de información de la persona por medios y fuentes fuera de su control. La persona pierde poder sobre su información personal. Y la información personal es lo que acaba configurando a la persona. Sin embargo, por otra parte, es el propio titular de los datos el que debería ser consciente, o al menos em- pezar a serlo, de su valor, y comenzar a actuar en consecuencia diligentemente respecto del tratamiento de su información personal, decidiendo cada uno personal y conscientemente qué tipo de cuidado y límites desea para su información personal identificable. Este poder de decisión, que implica al mismo tiempo un control, constituye el núcleo esencial del derecho a la protección de datos. A continuación vamos a analizar las implicaciones legales en México de este tratamiento de datos personales, centrándonos especialmente en la regulación en el Sector Privado, y men- cionando brevemente la cuestión en el Sector Público. 1. Para el Sector Privado la normativa a tener en cuenta es: a. Ley Federal de Protección de Datos Personales en Posesión de Particulares 2. Para el Sector Público, la normativa a nivel federal es fundamentalmente: a. Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (DOF 11/6/2002). b. Reglamento de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (DOF 11/ 6/2003).. c. Lineamientos de Protección de Datos Personales (DOF 3/9/2005). d. Recomendaciones del IFAI de Seguridad para la Protección de Datos Personales. DAVARA ABOGADOS S.C.
  • 2. 

www.davara.com.mx 2010 EL DERECHO A LA AUTODETERMINACIÓN INFORMATIVA La conocida sentencia de 1983 del Tribunal Constitucional Federal Alemán, que provocó que se decla- raran inconstitucionales algunos artículos de la Ley del Censo Alemana, se asienta el conocido “derecho a la autodeterminación informativa”. Este derecho resume claramente en lo que consiste todo el desarrollo posterior de la normativa: el titular de los datos tiene derecho a decidir cómo y para qué se tratan sus datos. Como vemos, el derecho gira en torno al titular, se protege al titular, no a los datos. ANTECEDENTES INTERNACIONALES • El artículo 12 de la Declaración Universal de los Derechos Humanos de 1948. • El artículo 8 del Convenio Europeo para la Protección de los Derechos y las Libertades Fundamentales, de 1950. • El artículo 17 del Pacto Internacional de Derechos Civiles y Políticos, de 1966. • La Resolución 509 de la Asamblea del Consejo de Europa sobre derechos humanos y nuevos logros científicos y técnicos de 1968. • El artículo 11 de la Convención Americana sobre derechos humanos de 1969. • Los ampliamente aceptados Fair Information Practice Principles [Información (Notice), Elección (Choice), Acceso (Access) y Seguridad (Security)] desarrollados por el Departamento de Sanidad, Educación y Bienestar de los Estados Unidos en 1973. • Las Resoluciones del Comité de Ministros de Europa de 1973 y 1974. • El Convenio 108 del Consejo de Europa, para la protección de las personas con relación al tratamiento automatizado de los datos de carácter personal y a la libre circulación de estos datos de 28 de enero de 1981. • La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de Octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. • El mosaico de leyes federales y estatales que protegen ciertos sectores en Estados Unidos, además de la denominada “autorregulación industrial” . • La Directiva 2002/58/CE en el sector de las comunicaciones electrónicas; modificada por las Directivas 2006/24/CE (retención de datos de comunicaciones-e) y 2009/136/CE. • La Carta Europea de Derechos Fundamentales (artículo 8). • La polémica Constitución europea (artículo I-51 dedicado al derecho a la protección de datos personales. Y, además de estas referencias normativas, existen muchos y muy diferentes esfuerzos de distintas organizaciones internacionales. Reconoceremos aquí los siguientes: • Las “Directrices relativas a la protección de la privacidad y flujos transfronterizos de datos personales” de la Cooperación y el Desarrollo Económicos (OCDE) de 1980. • La Resolución 45/95 de la Asamblea General de la Organización de las Naciones Unidas de 1990. • El Marco de Privacidad de la Asociación para la cooperación económica Asia-Pacífico (APEC). • El Reglamento de la Red Iberoamericana de Protección de Datos de Mayo de 2008. • La Resolución de Madrid, adoptada el 5 de noviembre de 2009. DAVARA ABOGADOS S.C.
  • 3. 

www.davara.com.mx 2010 ALGUNAS CUESTIONES PRELIMINARES (1) 1. RECONOCIMIENTO consecuencia directa del mandato constitucional que CONSTITUCIONAL introdujo en su artículo 16, reformado el 1 de junio Los legisladores han estado sumamente activos en de 2009, por fin, un párrafo específicamente desti- este campo los últimos años. Así, en 2007 se publicó nado a la protección de datos personales. Por tanto, la reforma al artículo 6 de la Constitución y, el 1 de la Ley dejará sin efecto cualesquiera leyes estatales junio de 2009 se publicó una reforma al artículo 16 aprobadas en la materia (Colima, Jalisco y Tlaxcala). de la Constitución que incorpora un párrafo especí- ficamente destinado a la protección de datos perso- 5. OBJETO DE LA LEY nales. Finalmente, el 30 de abril de 2009 se reformó La protección de los datos personales en posesión de el 73 de la Constitución atribuyendo al Congreso Fe- particulares, con la finalidad de regular su tratamien- deral el poder para legislar en materia de datos per- to legítimo, controlado e informado, a efecto de ga- sonales en posesión de los particulares. rantizar la privacidad y el derecho a la autodetermi- nación informativa de las personas. 2. PASOS PARLAMENTARIOS Esta ley ha pasado por un camino azaroso y tortuoso 6. SUJETOS OBLIGADOS de iniciativas. Sin ir más lejos, tan sólo el Dictamen Como novedad en Derecho comparado, la ley excep- presentado en el Congreso de Diputados por la Co- ciona de su ámbito de aplicación subjetivo, a las So- misión de Gobernación de dicha Cámara se basaba ciedades de Información Crediticia. Es decir, los fa- en el análisis de las iniciativas presentadas por los mosos “burós de crédito” no están dentro de esta Diputados David Hernández Pérez del PRI (23 de regulación. Si bien a nivel internacional estas organi- febrero de 2006); Sheyla Fabiola Aragón Cortés del zaciones suelen contar con un régimen especial den- PAN (22 de marzo de 2006); Luis Gustavo Parra No- tro de la regulación, no es tan usual que estén excep- riega del PAN (4 de noviembre de 2008) y Adolfo cionadas, aunque es cierto que cuentan con algunas Mota Hernández del PRI (11 de diciembre de 2008), consideraciones al respecto dentro de su propia re- además de citar algunas otras que se desecharon por gulación. no procedentes en cuanto a su objeto (incluían al Del mismo modo, las personas que lleven a cabo la Sector Público). recolección y almacenamiento de datos personales para uso exclusivamente personal y sin fines de di- 3. ESTRUCTURA DE LA NORMATIVA vulgación o utilización comercial tampoco se en- La normativa se estructura en principios, derechos y cuentran dentro del ámbito de aplicación de la ley. procedimientos. Los principios, a modo de declara- Aunque en algunos casos la frontera será complicada ciones programáticas, establecen los pilares en los de determinar, lo que persigue la regulación es que que se basa la protección de datos personales. Los las “agendas” personales no estén sujetas salvo que, derechos, por su parte, representan la concreción obviamente, sean utilizadas más allá de lo estricta- subjetiva de ejercicio de esos principios, es decir, mente personal. cómo el titular de los datos de carácter personal puede ejercer unos derechos que concretan los prin- 7. LÍMITES DE APLICACIÓN cipios teóricos en los que se basa toda la normativa. Las excepciones más fuertes a la aplicación de la Los procedimientos, finalmente, cerrando este trián- normativa, que tendrá necesariamente que tener un gulo ficticio, concretan la tutela pública a la que el amplio y diverso desarrollo reglamentario (en con- individuo puede recurrir cuando se ve lesionado en el creto el Reglamento, según los Transitorios tendrá ejercicio de esos derechos como consecuencia de que estar un año después de la entrada en vigor, es esos principios. Se trata, en concreto, de los proce- decir, más o menos sobre mayo de 2011), serán la se- dimientos de protección de derechos y del procedi- guridad nacional, orden, seguridad y salud miento sancionador o de imposición de sanciones. públicos y, evidentemente, otros Además, cabe apuntar el procedimiento de verifica- derechos de terceros en con- ción. flicto. 4. ÁMBITO DE APLICACIÓN La Ley es de orden público y de observancia general en toda la República. No hay que olvidar que la ley es DAVARA ABOGADOS S.C.
  • 4. 

www.davara.com.mx 2010 ALGUNAS CUESTIONES PRELIMINARES (2) 8. FASES DEL TRATAMIENTO La privacidad conlleva el poder de controlar la in- En el tratamiento de datos de carácter personal formación personal, y, en concreto, el flujo de la podemos distinguir tres fases claramente diferen- misma. ciadas: la obtención de los datos, el tratamiento de Podemos afirmar, por tanto, que privacidad es un los mismos, y la utilización del resultado del trata- término que se utiliza para referirnos al perfil que miento, y, en su caso, transferencia de datos a un se puede obtener de una persona con el tratamien- tercero, nacional o internacional. En cada una de to de sus datos personales y que el individuo tiene esas fases tenemos que atender al respeto de todos derecho a exigir que permanezca en su esfera in- los principios y derechos prescritos en la normati- terna. va. De esta manera, si no se cumple con alguno, el tratamiento se convierte inmediatamente en ilícito. 11. ¿QUÉ ES UN DATO PERSONAL? La definición de datos personales 9. ¿QUÉ TIPO DE DERECHO ES? del artículo 3 de la LFPDP cambia la dada por la regulación Es un derecho fundamental, es decir, pertenece a federal de la Ley del IFAI, y los derechos consustanciales a la personalidad, no asimismo se señala que se puede prescindir de él. ésta deberá ser Bien es cierto que es un derecho de tercera genera- reformada, para pasar a ción, que surge conforme se van desarrollando las q u e d a r ú n i c a m e n te sociedades democráticas, y ya se han cubierto como “c u a l q u i e r otros derechos más primarios. información concerniente a Es un derecho colectivo, que afecta a todos, y por una persona identificada o el que cada uno de nosotros, titulares de datos, te- identificable”. nemos que luchar, pero, a la vez, podemos deman- dar protección del Estado. Se trata de una definición amplia, pero tampoco es un concepto ilimitado. 10. INTIMIDAD vs PRIVACIDAD -“La información”: existen una serie de datos El derecho a la intimidad es un derecho ya asenta- personales que todo el mundo identifica do históricamente. La intimidad es algo que el suje- como tales, pero queda un gran espectro de to de la misma controla en grado suficiente. Cada información personal sobre la que no se tiene quien define qué es íntimo para él mismo (además demasiado interés a menudo y que ni tan de los mínimos establecidos en las leyes), y, además, siquiera se considera como propia. cuando se vulnera puede saberlo con bastante exac- -Persona física: en la normativa mexicana sólo titud. tiene sentido la protección de datos sobre los Sin embargo, el derecho del que estamos hablando datos de las personas físicas. Acerca de la aquí es diferente. Hablamos de la protección de información sobre personas morales este perfil que se crea utilizando estas nuevas téc- hablaríamos de otras protecciones jurídicas, nicas. Este perfil que el ciudadano incluso llega a no pero no de aplicación de la normativa en conocer, pero, sobre todo, que no controla. protección de datos personales.. El derecho a la intimidad pasa así de una concep- -Identificada o identificable: Incluso cuando esa ción cerrada y estática (libertad negativa) a una persona física sólo pueda ser identificable, es abierta y dinámica (libertad positiva), que implica decir, aunque no la tengamos identificada el reconocimiento no sólo de un derecho sino de actualmente, su información personal sigue nuevos mecanismos de protección basados en el siendo protegible. poder de control del tratamiento de los datos per- sonales. En conclusión, cualquier información, en cuanto No se trata ya del derecho a ser dejado solo (“the asociada a un titular, es información personal, no right to be let alone”), sino del derecho a saber quién, por la información en sí, sino por su asociación con cuándo y para qué un tercero trata los datos per- la persona física a la que se protege. sonales de los que el interesado es titular. Así, no se puede hablar de datos personales en sentido neutro, sino que tan sólo adquieren este carácter en cuanto se asocian a un titular. DAVARA ABOGADOS S.C.
  • 5. 

www.davara.com.mx 2010 ALGUNAS CUESTIONES PRELIMINARES (3) 12. DATOS SENSIBLES sonales por cuenta del responsable; y tercero a También se definen los datos personales sensi- la persona física o moral, nacional o extranjera, bles como “Aquellos datos personales que afec- distinta del titular o del responsable de los da- ten a la esfera más íntima de su titular, o cuya tos. utilización indebida pueda dar origen a discri- Esta distinción, que claramente sigue lo dis- minación o conlleve un riesgo grave para éste. puesto en la Directiva europea, supondrá una En particular, se consideran sensibles aquellos clara discusión en la práctica sobre los diferen- que puedan revelar aspectos como origen racial tes supuestos que pueden darse y las implica- o étnico, estado de salud presente y futuro, in- ciones que tiene cada uno de ellos en cuanto al formación genética, creencias religiosas, filo- cumplimiento de la normativa sobre protec- sóficas y morales, afiliación sindical, opiniones ción de datos. políticas, preferencia sexual”. A este respecto hubo mucha discusión parlamentaria, ya que la En definitiva: definición de un dato como sensible tiene im- portantes consecuencias, como la exigencia de 1. Responsable: quien DECIDE sobre el tra- consentimiento expreso o la inmediata eleva- tamiento de los datos personales. ción de las sanciones cometidas sobre un dato 2. Encargado: el que realiza una prestación de de estas características. servicios sobre los datos, un tratamiento, La primera parte, en nuestra opinión demasia- POR CUENTA del responsable do abierta, hay que unirla a lo establecido al 3. Tercero: cualquiera a quien se comuniquen respecto en la llamada Resolución de Madrid datos, ya sea responsable o encargado. (www.agpd.es), relativa al establecimiento de un estándar internacional. Se añade además 14. EL AVISO DE PRIVACIDAD una categoría de datos, como los de informa- El aviso de privacidad es uno de los puntos más ción genética, que no había estado en todas las relevantes de la iniciativa, sobre todo a efectos iniciativas. Tanto es así que en el Dictamen prácticos. Se define como el documento físico, emitido por la Cámara de Diputados, al co- electrónico o en cualquier otro formato gene- mentar el tema, en su último párrafo, se “olvi- rado por el responsable que es puesto a dispo- dan” de incluirlo. sición del titular previo el tratamiento de sus En todo caso, no podrán crearse bases de datos datos personales y que deberá contener: (i) con información que directa o indirectamente identidad y domicilio del responsable que los contenga datos personales sensibles, sin que se recaba; (ii) finalidades del tratamiento; (iii) justifique la creación de dichas bases para fina- cualquier opción y medios que se ofrezcan a los lidades legítimas y concretas. titulares para limitar el uso o divulgación de los datos o ejercer derechos de acceso, rectifica- 13. TITULAR, RESPONSABLE, ción, cancelación u oposición y; (iv) procedi- ENCARGADO Y TERCERO miento y medio por el cual se comunicarán a Se distingue entre responsable del tratamiento, los titulares cambios sustanciales al aviso de encargado y tercero. Así, se entiende por res- privacidad. ponsable a la persona físi- El responsable deberá velar por mantener el ca o moral de carácter aviso de privacidad actualizado y tomar las privado que decide sobre medidas necesarias y suficientes para garanti- el tratamiento de datos zar que: (i) es dado a conocer al titular, y (ii) personales; encargado a la sea respetado en todo momento por él o por persona física o jurídica terceros con los que guarde alguna relación que sola o conjuntamente jurídica. con otras trate datos per- DAVARA ABOGADOS S.C.
  • 6. 

www.davara.com.mx 2010 ALGUNAS CUESTIONES PRELIMINARES (4) 15. OTRAS DEFINICIONES derechos del afectado, asegurando la RELEVANTES confidencialidad y la integridad de los datos Bases de datos: El conjunto ordenado de datos personales y evitando su alteración, pérdida, personales referentes a una persona identificada o transmisión y acceso no autorizado. identificable (art. 3, fracción II, de la LFPDP). El responsable debe asegurarse de que el Bloqueo: La identificación y conservación de da- tratamiento por terceros (nacional e tos personales una vez cumplida la finalidad para la internacionalmente) cumple la reglamentación. En cual fueron recabados, con el único propósito de particular, el responsable debe cuidar porque lo determinar posibles responsabilidades en relación asegurado en el Aviso de Privacidad se respete, y en con su tratamiento, hasta el plazo de prescripción especial lo relativo a las medidas de seguridad, que legal o contractual de estas. Durante dicho periodo, nunca deben ser menores a las impuestas en la los datos personales no podrán ser objeto de trata- organización para el manejo de la información. miento y transcurrido éste, se procederá a su cance- lación en la base de datos que corresponde (art. 3, 17. AUTORREGULACIÓN fracción III, de la LFPDP). Se alienta la creación de esquemas de autorregula- Disociación: El procedimiento mediante el cual ción como complemento a la legislación, y con ca- los datos personales no pueden asociarse al titular rácter vinculante entre las partes, en la forma de ni permitir, por su estructura, contenido o grado de códigos deontológicos o de buena práctica profe- desagregación, la identificación del mismo (art. 3, sional, sellos de confianza u otros mecanismos, que fracción VIII, de la LFPDP). contendrán reglas o estándares específicos que Fuente de acceso público: Aquellas bases de da- permitan armonizar los tratamientos de datos efec- tos cuya consulta puede ser realizada por cualquier tuados por los adheridos y facilitar el ejercicio de persona, sin más requisito que, en su caso, el pago los derechos de los titulares. Es importante que de una contraprestación, de conformidad con lo estos instrumentos definan claramente su meca- señalado por el Reglamento de esta Ley (art. 3, nismo de control, resarcimiento y ejercicio de de- fracción X, de la LFPDP). rechos. Tratamiento: La obtención, uso, divulgación o 18. PLAZOS PARA EL DESARROLLO almacenamiento de datos personales, por cualquier REGLAMENTARIO Y medio. El uso abarca cualquier acción de acceso, CUMPLIMIENTO DE ALGUNAS manejo, aprovechamiento, transferencia o disposi- OBLIGACIONES ción de datos personales (art. 3, fracción XVIII, de la LFPDP). 1. 12 meses (un año), para Transferencia: Toda comunicación de datos rea- que: lizada a persona distinta del responsable o encarga- a. el Ejecutivo Federal do del tratamiento (art. 3, fracción XIX, de la expida el Reglamento LFPDP). de la Ley y b. los responsables del 16. MEDIDAS DE SEGURIDAD tratamiento: i. designen a la per- Se debe impedir el acceso a los sistemas de datos sona o departa- personales, en particular, y a los datos en general, a mento de datos personas no autorizadas, para evitar el desvío de la personales, y información, mal ii. expidan sus avi- intencionadamente o no, sos de privacidad. hacia sitios no previstos, además de para garantizar 2. 18 meses, para que los titulares puedan ejercer el tratamiento de datos los derechos de acceso, rectificación, cancela- dentro de los límites ción y oposición ante el responsable y el proce- permitidos por la norma dimiento de protección de datos ante el Insti- y con respeto a los tuto. DAVARA ABOGADOS S.C.
  • 7. 

www.davara.com.mx 2010 OBLIGACIONES DE LOS RESPONSABLES (1) Los responsables del tratamiento tienen que cumplir y hacer cumplir las obligaciones establecidas en la Ley para garantizar un tratamiento lícito de los datos personales. A continuación, de manera breve pero concisa, se exponen las obligaciones a cumplir en el tratamiento de los datos personales y que vienen a concretar los principios de la protección de datos: 1.TRATAMIENTO LÍCITO El principio de licitud prohibe la obtención de datos personales por medios ilícitos, enga- ñosos o fraudulentos. Partiendo inicialmente de la iniciativa propuesta por el Diputado Parra, se incluye en este principio la noción de la expectativa razonable de privacidad, que es la confianza que deposita cualquier persona respecto de que sus datos proporcionados serán tratados conforme a lo que acordaron las partes en los términos de la Ley. 2. CONSENTIMIENTO El principio del consentimiento, que como se dice en la propia iniciativa constituye internacionalmente el principio de legitimidad del tratamiento, exige que el tratamiento de los datos requiera del consenti- miento previo de su titular (aunque en la mayor parte de los casos puede ser tácito), el cual podrá mani- festarse de forma verbal, escrita, a través de medios electrónicos, ópticos o de cualquier otra tecnología o a través de signos inequívocos (siempre que sea una manifestación de voluntad libre, inequívoca, específi- ca e informada). Dicho consentimiento podrá revocarse en cualquier momento sin que se le atribuyan efectos retroactivos. El responsable de los datos deberá establecer los mecanismos y los procedimientos de revocación en el aviso de privacidad. Como decíamos, en el caso de los datos sensibles, este con- sentimiento deberá ser expreso, eso sí, “a través de su firma autógrafa, firma electrónica o cualquier mecanismo de autenticación que al efecto se prevea”. Por último, no son pocas las excepciones al consentimiento: cuando la Ley lo prevea; los datos sean necesarios para el manteni- miento de la relación jurídica, de negocios, laboral o administrativa; tratamientos de prevención o diagnóstico médico o asistencia sanitaria; situaciones de emergencia que puedan dañar potencialmente la persona o los bienes de un individuo, etc.). 3.INFORMACIÓN El principio de información es un derecho del titular que constituye simultáneamente una obligación del responsable y un principio del tratamiento de los datos. Debe aplicarse a todos los tratamientos, independientemente de su fuente de procedencia, es decir, del propio titular o de terceros. El titular tiene derecho a conocer quién trata su información personal y qué se hace con ella, así cómo dónde y cómo puede ejercer sus derechos. Este principio se concreta a través del aviso de privacidad. 4. CALIDAD El principio de calidad se vincula a la veracidad y a la exactitud en la que se mantienen los datos personales de manera que el tratamiento refleje de forma fiel la realidad de la información tratada. Los responsables entonces deberán, de un lado, asegurarse de que en el momento de la obtención de la información sea exacta y actualizada, y, de otro, que adopten las “medidas razonables” para que la información responda a esa veracidad durante todo el tratamiento. 5. FINALIDAD El principio de finalidad establece que la obtención y tratamiento de los datos deberá estar relacionada con la finalidad del tratamiento previsto en el aviso de privacidad. La finalidad, por lo tanto, debe ser explícita, legítima y determinada. Incluso, si los datos serán utilizados para otros fines que no sean incompatibles podrá realizarse dicho tratamiento si se prevé en dicho aviso. Sin embargo, si el responsable pretende tratar los datos para un nuevo fin incompatible a los fines establecidos en el aviso, deberá obtener nuevamente el consentimiento del titular. DAVARA ABOGADOS S.C.
  • 8. 

www.davara.com.mx 2010 OBLIGACIONES DE LOS RESPONSABLES (2) 6.PROPORCIONALIDAD El principio de proporcionalidad se encuentra directamente relacionado con el de finali- dad. Por un lado, sólo se pueden tratar los datos adecuados o necesarios para la finalidad que justifica el tratamiento (principio de proporcionalidad), por otra el responsable sólo debe tratar la mínima cantidad de información necesaria para conseguir la finalidad per- seguida (principio de minimización). 7.RESPONSABILIDAD El principio de responsabilidad se reconoce en el Dictamen de la Cámara de Diputados como “la aporta- ción central de esta dictaminadora”. Este principio implica que el responsable debe velar por el cumpli- miento de los principios y rendir cuentas al titular, a través del procedimiento incoado por el Ins- tituto, en caso de incumplimiento. El responsable debe asegurarse de que el tratamiento por terceros (nacional e internacionalmente), y en particular el encargado del tratamien- to, cumple la normativa sobre protección de datos. En particular, el responsable debe cuidar porque lo asegurado en el Aviso de Privacidad se respete. Es decir, lo indicado en el aviso es vinculante para el responsable y para aquellos con quienes contrata, ya sea medidas de confidencialidad que adopta, medidas de seguridad que aplica, o tratamiento de datos de menores, etc., de manera que si no cumple se le podrá exigir responsabilidad. PROTECCIÓN DE DATOS Y TECNOLOGÍAS DE LA INFORMACIÓN La LFPDP busca incluir los estándares internacionales en materia de protección de datos y privacidad, siendo así un instrumento normativo adecuado para responder a las necesidades de buscar el equilibrio entre la actividad comercial y el derecho fundamental a la protección de datos. Resulta claro que la constante evolución de las TIC supone un reto para el legislador y, en última instan- cia, para el responsable que tiene que evaluar los riesgos legales de su actividad y, en consecuencia, adop- tar decisiones con rapidez que le permitan tener un control adecuado. En este sentido, el desarrollo de las TIC tiene importantes implicaciones en materia de protección de datos, que se concretan, entre otros, en la necesidad de atender a: • Privacidad por diseño (Privacy by desing): en concreto en el caso de las entidades que desarrollan o utilizan un alto nivel de tecnología, con la finali- dad de cumplir con los principios y obligaciones de la protección de datos. • Computación en nube (Cloud computing): lo que supone que las empresas que compiten a nivel internacional, tengan que analizar el cumpli- miento de los principios de la protección de datos en aras a garantizar este derecho y, al mismo tiempo, reducir cualquier riesgo legal derivado de su acti- vidad offshore, o al menos conocer dicho riesgo y adoptar las medidas necesa- rias para controlarlo. CUMPLIMIENTO NORMATIVO EN ENTORNOS INTERNACIONALES La evolución de las TIC da lugar a nuevos modelos que requieren de una rápida respuesta por la empresa si quiere ser realmente competitiva en un entorno global. Entre otras cuestiones, esto supone que el res- ponsable tenga que ser capaz de implementar esquemas de protección de datos que permitan cumplir con los principios de la protección de datos incluso cuando éstos son tratados por un tercero en otro país. Así, las BCR (Binding Corporate Rules), las cláusulas contractuales, o los códigos éticos se convierten en instrumentos que tienen que ser manejados, en particular, por las entidades que operan en un entorno internacional. DAVARA ABOGADOS S.C.
  • 9. 

www.davara.com.mx 2010 DERECHOS DEL TITULAR En cuanto a los derechos, se le reconocen al titular de los datos personales (aunque también podrán ser ejercidos por su representante legal) los derechos de acceso, rectificación, cancelación y oposición (dere- chos ARCO). Así, el titular de los datos tendrá derecho a: (1) obtener sus datos personales que obran en poder del res- ponsable; (2) tener acceso al aviso de privacidad al que está sujeto el tratamiento de los datos; (3) rectificar los datos cuando sean inexactos o incompletos; (4) cancelarlos y; (5) oponerse al tratamiento de los datos cuando no los hubiere proporcionado al responsable. En cuanto al procedimiento, el titular o su representante legal podrán presentar una solicitud de acceso, rectificación, cancelación u oposición ante el responsable del tratamiento (que es quien decide sobre la finalidad del mismo), el cual deberá dar respuesta a la solicitud en un término de 20 días desde su presen- tación. Si la solicitud es concedida se hará efectiva dentro de los 15 días siguientes a la respuesta. Los pla- zos señalados podrán ser ampliados una sola vez por igual período cuando haya circunstancias que lo jus- tifiquen. 1. DERECHO DE ACCESO (A) alguno. Cumplido este período, el dato deberá su- El derecho de acceso a los datos y al aviso de pri- primirse. Es decir, los datos cancelados no se bo- vacidad, supone que el titular (o su representante rran de inmediato, sino que se bloquean - habrá legal) podrá conocer qué datos personales suyos que ver en la práctica cómo son bloqueados. son objeto de tratamiento por el responsable y para Igualmente, se comunicará al tercero al que se hu- qué son tratados (finalidad del tratamiento indica- biesen transmitido en los términos señalados para da en el aviso de privacidad). el derecho de rectificación. 2. DERECHO DE RECTIFICACIÓN (R) 4. DERECHO DE OPOSICIÓN (O) El titular (o su representante legal) podrá rectifi- El derecho de oposición al tratamiento de los da- car los datos que resulten ser inexactos o incom- tos tiene lugar siempre y cuando exista una causa pletos, con la finalidad de que el tratamiento res- legítima para ello. Si el derecho de oposición resul- ponda a la situación actual del titular de los datos. ta procedente, el responsable excluirá los datos del Y si los datos que se rectifican hubieran sido tratamiento de manera que no serán objeto del tra- transmitidos a un tercero, entonces el responsable tendrá que comunicar a dicho tercero la rectifica- PROCEDIMIENTO DE PROTECCIÓN ción efectuada para que proceda en igual sentido si DE LOS DERECHOS todavía son objeto de tratamiento. El titular (o su representante legal) podrán solici- tar al Instituto la tutela de sus derechos cuando 3. DERECHO DE CANCELACIÓN (C) considere que han sido vulnerados por el respon- El titular (o su representante legal) tiene derecho a sable o éste no responda al ejercicio de los mis- solicitar la cancelación de los datos dará lugar al mos. bloqueo de los mismos por un período en el que el El Reglamento de la Ley desarrollará este proce- responsable deberá conservarlos para efectos de dimiento en cuanto a forma, términos y plazos. responsabilidades y no podrá darles tratamiento MODELOS PARA EL EJERCICIO DE LOS DERECHOS Uno de los aspectos a considerar por el responsable, a través de la persona o departamento que designe al efecto, será el de tramitar las solicitudes de los interesados para el ejercicio de los derechos. Por tanto, el responsable debe establecer un procedimiento (auditable) que permita responder, en tiempo y forma, a los derechos de acceso, rectificación, cancelación y oposición. No se trata sólo de establecer los mode- los, sino de desarrollar un procedimiento por completo, incluso online, que permita atender al titular de los datos cumpliendo con todos los requisitos establecidos por la normativa en protección de datos. DAVARA ABOGADOS S.C.
  • 10. 

www.davara.com.mx 2010 PROCEDIMIENTOS En cuanto a los procedimientos, se tienen dos posibilidades “tradicionales”: el procedimiento de protec- ción de datos personales y el procedimiento de verificación. En el procedimiento de protección de datos personales el titular de los datos puede recurrir al Ins- tituto por la respuesta recibida o la falta de respuesta del responsable dentro de los 15 días siguientes a la fecha en que se comunique la respuesta o a partir del día en que venza el plazo para que el responsable dé respuesta. La solicitud también podrá presentarse cuando el responsable entregue al titular los datos soli- citados en un formato incomprensible, se niegue a efectuar modificaciones o correcciones a los datos, o cuando el titular no esté conforme con la información entregada por incompleta o porque no correspon- da. En este procedimiento, el responsable tendrá 15 días desde el traslado de la solicitud para emitir su respuesta y manifestar lo que a su derecho convenga. El Instituto deberá resolver la solicitud en un plazo máximo de 50 días contados a partir de la presentación de la solicitud y deberá tomar en cuenta, la pre- sentación de pruebas y alegatos y las audiencias que se lleven a cabo*. Las resoluciones consecuentes de este procedimiento podrán sobreseer o desechar la solicitud, confirmar, revocar o modificar la respuesta del responsable. En caso de que la resolución sea favorable para el titular de los datos, el responsable ten- drá un plazo de 10 días a partir de su notificación o bien el plazo que señale el Instituto para dar cumpli- miento a la resolución. Ante las resoluciones del Instituto cabe asimismo recurso ante el Tribunal de Jus- ticia Fiscal y Administrativa mediante la interposición de juicio de nulidad al efecto. El procedimiento de verificación, a instancia del Instituto o a petición de parte, tiene por objeto comprobar el cumplimiento de la ley y la normativa que la desarrolle. La ley señala que los servidores pú- blicos federales del IFAI tendrán acceso a la información y documentación que consideren necesarias, si bien habrá que esperar a que el procedimiento sea desarrollado reglamentariamente para ver su efectivi- dad en la práctica. (Puede verse un esquema de dicho procedimiento en el apartado de infracciones y sanciones) Asimismo, el Instituto puede en cualquier momento intentar ejercer de autoridad de solución de conflic- tos, esto es, de mediadora, como una de las grandes novedades. Entre las funciones del nuevo Instituto Federal de Acceso a la Información y Protección de Datos destaca la difundir el conocimiento del derecho a la protección de datos personales, promover su ejercicio y velar su cumplimiento. Para ' ello, entre sus facultades destacan: (i) interpretar la Ley en el ámbito administrativo; ' (ii) emitir criterios, recomendaciones y normas técnicas; (iii) proporcionar apoyo técnico a los responsables que lo soliciten; (iv) conocer y resolver los procedimientos de tutela de derechos; (v) vigilar y verificar el cumplimiento de la Ley, así como conocer la información necesaria para el fin anterior; (vi) elaborar estudios de impacto sobre la privacidad previos a la puesta en práctica de una nueva modalidad de tratamiento de datos personales o la realización de modificaciones sustanciales al tratamiento ya existente y; (vii) brindar capacitación a los sujetos obligados. PARTICIPA EL IFAI E Además del Instituto, también tienen competencias otras dependencias, y, especialmente se destaca a la A LA INF ACCESO Secretaría de Economía, que deberá difundir el conocimiento de las obligaciones en torno a la protección de datos personales entre la iniciativa privada e internacional con actividad comercial en territorio mexicano y promover mejores prácticas comerciales en torno a la protección de datos personales como insumo de la economía digital y desarrollo económico en su conjunto. Entre sus atribuciones en la materia destacan: (1) establecer políticas públicas en materia de datos personales como insumo del comercio y la economía digital; (2) fomentar buenas prácticas comerciales; (3) emitir lineamientos relativos al contenido y alcances de los avisos de privacidad; (4) fijar parámetros para el correcto desarrollo de los mecanismos y medidas de autorregulación; (5) diseñar e instrumentar políticas y coordinar la elaboración de estudios para la modernización y operación eficiente del Washington, D.C.- Un comercio electrónico; (6) emitir opinión sobre asuntos vinculados con la protección de datos personales y; (7) llevar represent México está registros de consumidores en materia de datos personales y verificar su funcionamiento. (IFAI), hizo hoy la ent (OEA) de la propuesta DAVARA ABOGADOS S.C. todo el continente ame En un acto realizado e manos de la OEA el p experiencias de países
  • 11. 

www.davara.com.mx 2010 INFRACCIONES Y SANCIONES Tipo Infracción Sanción No cumplir con la solicitud del titular para el acceso, rectificación, cancela- Apercibimiento ción u oposición al tratamiento de sus datos personales, sin razón fundada, en los términos previstos en esta Ley. I. Actuar con negligencia o dolo en la tramitación y respuesta de solici- Multa de 100 ($5,746) a 160,000 ($9,193,600) tudes de acceso, rectificación, cancelación u oposición de datos per- días de salario mínimo vigente en el Distrito sonales. Federal II. Declarar dolosamente la inexistencia de datos personales, cuando exista total o parcialmente en las bases de datos del responsable. III.Dar tratamiento a los datos personales en contravención a los prin- cipios establecidos en la presente Ley; IV.Omitir en el aviso de privacidad, alguno o todos los elementos a que se refiere el artículo 16 de esta Ley. V. Mantener datos personales inexactos cuando resulte imputable al responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los dere- chos de los titulares. VI.No cumplir con el apercibimiento a que se refiere la fracción I del artículo 64. I. Incumplir el deber de confidencialidad establecido en el artículo 21 Multa de 200 ($11,492) a 320,000 ($18,387,200) de esta Ley. días de salario mínimo vigente en el Distrito II. Cambiar sustancialmente la finalidad originaria del tratamiento de Federal los datos, sin observar lo dispuesto por el artículo 12. III.Transferir datos a terceros sin comunicar a éstos el aviso de privaci- dad que contiene las limitaciones a que el titular sujetó la divulgación de los mismos. Admi- IV.Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable. nistra- V. Llevar a cabo la transferencia o cesión de los datos personales, fuera tiva de los casos en que esté permitida por esta Ley. VI.Recabar o transferir datos personales sin el consentimiento expreso del titular, en los casos en que éste sea exigible. VII.Obstruir los actos de verificación de la autoridad. VIII.Recabar datos en forma engañosa y fraudulenta. IX.Continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del mismo por el Instituto o los titulares. X. Tratar los datos personales de manera que se afecte o impida el ejer- cicio de los derechos de acceso, rectificación, cancelación y oposi- ción establecidos en el artículo 16 de la Constitución Política de los Estados Unidos Mexicano. XI.Crear bases de datos en contravención a lo dispuesto por el artículo 9, segundo párrafo de la Ley. Reiteración en las infracciones anteriores. Multa adicional que irá de 100 ($5,746) a 320,000 ($18,387,200) días de salario mínimo vigente en el Distrito Federal Cuando la infracción se cometa en el tratamiento de datos sensibles Las sanciones podrán incrementarse hasta por dos veces, los montos establecidos Criterios para la adecuación de la sanciones  La naturaleza del dato;  La notoria improcedencia de la negativa del responsable, para realizar los actos solicitados por el titular, en términos de esta Ley;  El carácter intencional o no, de la acción u omisión constitutiva de la infracción;  La capacidad económica del Responsable, y  La reincidencia. Nota:
Salarios
mínimos
vigentes
a
partir
del
1
de
enero
de
2010,
establecidos
por
la
Comisión
Nacional
de
los
Sala­ rios
Mínimos
mediante
resolución
publicada
en
el
Diario
O>icial
de
la
Federación
del
23
de
diciembre
de
2009. DAVARA ABOGADOS S.C.
  • 12. 

www.davara.com.mx 2010 INFRACCIONES Y SANCIONES Civil o Responsabilidad civil o penal Penal Las sanciones se impondrán sin perjuicio de la responsabilidad civil o penal que resulte. Tipo Infracción Sanción El que estando autorizado para tratar datos personales, con ánimo de lucro, provo- Prisión de tres meses a tres años. que una vulneración de seguridad a las bases de datos bajo su custodia. El que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el Prisión de seis meses a cinco años. Penal engaño, aprovechándose del error en que se encuentre el titular o la persona autori- zada para transmitirlos. Cuando los supuestos anteriores se refieran a datos personales sensibles. Las penas se duplicarán. EL PROCEDIMIENTO SANCIONADOR El procedimiento sancionador regulado en el artículo 62 de la LFPDP es como sigue: El plazo señalado podrá ser ampliado una sola vez por igual período cuando haya circunstancias que lo justifiquen. DESARROLLO REGLAMENTARIO DEL PROCEDIMIENTO SANCIONADOR Una de las cuestiones que tendrá que ser desarrollada por el Reglamento de la Ley es el “procedimiento sancionador”. En concreto, el último párrafo del artículo 62 de la LFPDP señala que el Reglamento desarrollará: — Forma, términos y plazos para la imposición de sanciones. — Presentación de pruebas y alegatos, la celebración de audiencias y el cierre de instrucción. DAVARA ABOGADOS S.C.
  • 13. 

www.davara.com.mx 2010 EN EL SECTOR PÚBLICO (1) La Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (en adelante, LFTAIPG) regula directamente la privacidad de los individuos cuyos datos personales son objeto de tratamiento en los organismos de la Administración Pública Federal. Y además la LFTAIPG cuenta con varias normas que lo desarrollan, como su Reglamento, además de los Lineamientos en protección de datos y las Recomendaciones en medidas de seguridad emitidos por el IFAI. LOS PRINCIPIOS Según los Lineamientos, los principios rectores de la protección de datos son la licitud, la calidad, el ac- ceso y corrección, la información, la seguridad, la custodia y el consentimiento para la transmi- sión. El artículo 6º de los Lineamientos, bajo el epígrafe de “Licitud” dice que “la posesión de sistemas de datos per- sonales deberá obedecer exclusivamente a las atribuciones legales o reglamentarias de cada dependencia o entidad y debe- rán obtenerse a través de los medios previstos en dichas disposiciones”. Y continúa el lineamiento entendiendo asi- mismo que la licitud también comprende que “los datos personales deberán tratarse únicamente para la finalidad para la cual fueron obtenidos”. El artículo Séptimo de los Lineamientos, acerca de la Calidad de los datos, dice que “el tratamiento de datos personales deberá ser exacto, adecuado, pertinente y no excesivo respecto de las atribuciones legales de la dependencia o en- tidad que los posea”. Por otro lado, el lineamiento 14º obliga a los Responsables, Encargados o usuarios que detecten que hay datos inexactos a actualizarlos de oficio en cuanto tengan conocimiento de la inexactitud y siempre que posean los documentos justificativos que justifiquen la actualización. El lineamiento 5º tan sólo señala que los sistemas deberán almacenarse para permitir el ejercicio de los dere- chos de acceso y corrección en los términos previstos en la Ley, el Reglamento y los Lineamientos. Por lo tanto, el principio, aún denominado acceso y corrección, en realidad no desarrolla nada, y además, en nues- tra opinión, preferiríamos que se estableciera claramente como derechos. El Lineamiento 9º dice que se debe hacer del conocimiento del titular de los datos al momento de recabar- los y de forma escrita el fundamento y motivo de ello, así como los propósitos para los que se tratarán di- chos datos (principio de información). El lineamiento 20º, al hablar de seguridad, dice que se deberán adoptar las medidas necesarias para garan- tizar la integridad, confiabilidad, confidencialidad y disponibilidad de los datos personales mediante accio- nes que eviten su alteración, pérdida, transmisión y acceso no autorizado y posteriormente el capítulo IV se dedica a ahondar detalladamente en dichas medidas de seguridad. El lineamiento 11º señala que los datos personales serán debidamente custodiados y los Responsables, En- cargados y Usuarios deberán garantizar el manejo cuidadoso en su tratamiento. El consentimiento se articula en cierta medida en el Lineamiento 12º, aunque, como dijimos, no se con- templa nada acerca de la necesidad del consentimiento para el tratamiento en origen o posterior de datos personales. Sólo se exige, excepciones aparte, en la fase en la que los datos se transfieren a un tercero, es decir, cuando se produce la transmisión de datos a terceros, en la que el titular pierde, en su caso, aún más el control sobre su información personal. En realidad, se persigue garantizar la responsabilidad y la imputabi- lidad por el tratamiento. Es decir, que siempre se pueda saber y controlar quién está haciendo qué con los datos. DAVARA ABOGADOS S.C.
  • 14. 

www.davara.com.mx 2010 EN EL SECTOR PÚBLICO (2) LOS DERECHOS 1. El derecho de acceso (regulado en los artículos 20 y 24 LFTAIPG y en el artículo 47 de su Reglamento) faculta a los titulares de los datos para solicitar al responsable del sistema de datos personales informa- ción relativa al tratamiento de sus datos personales, pudiendo conocer qué datos tiene sobre él y a quié- nes se van a comunicar. Este derecho de acceso es independiente al acceso a la información pública gu- bernamental. Es así que el derecho de acceso en protección de datos se dirige a saber qué datos y con qué finalidad son tratados a efectos de poder ejercitar los derechos correspondientes. 2. Los derechos de rectificación y supresión (según el artículo 25 de la LFTAIPG) permiten al titular de los datos, por un lado, solicitar la modificación, en los casos de que los datos sean inexactos, y cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido registrados, requerir su cancelación. 3. LA LFTAIPG no contempla el derecho de oposición. 4. Otro de los derechos previsto en la LFTAIPG (en su artículo 23 y 48 del Reglamento) es el derecho de consulta por los interesados a un Registro público al que los responsables de los sistemas de datos per- sonales deben notificar la existencia de los sistemas de datos de carácter personal, y que va a permitir a los interesados obtener información con el propósito de poder dirigirse a su responsable para ejercitar sus derechos. Así, el “Sistema Persona” se crea en el Capítulo VI de los Lineamientos para facilitar el ejercicio de los derechos de acceso y corrección de los particulares, incluyendo asimismo el derecho de consulta a dicho Sistema. EL PROCEDIMIENTO La regulación del procedimiento en la LFTAIPG es muy escasa, y el IFAI, por su parte, cumple con alguna de las funciones en materia de control y tutela de los derechos de la normativa en protección de datos, sin que se pueda hablar, de nuevo, de una regulación comprehensiva al efecto. LA(S) REFORMA(S) DE LA LFTAIPG La LFPDP reforma a la LFTAIPG en su artículo 3, ya que modifica las definiciones de: − Datos personales, que se definen en el mismo sentido que la LFPDP de manera que será “cual- queir información concerniente a una persona física identificada o identificable”. Esta modifica- ción viene a dar solución a −Instituto, que ahora pasa a denominarse Instituto Federal de Acceso a la Información y Protec- ción de datos. Además, habrá que ver qué ocurre con la reforma de otros artículos de la LFTAIPG que fue remitida por el Senado a la Cámara de Diputados tras ser aprobado en primera lectura un Dictamen para modificar la denominación actual de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamen- tal, para quedar como Ley Federal de Acceso a la Información y Protección de Datos Personales. La re- forma supondría que la LFTAIPG se divida en dos libros, uno relativo al acceso a la información y otro a la protección de datos desarrollando los principios y derechos de la protección de datos. Es decir, de aprobarse por la Cámara de Diputados, supondría que el Instituto cuente con más facultades y recursos, y que se establezca una regulación clara sobre las reglas para el adecuado tratamiento de datos por el Gobierno Federal. DAVARA ABOGADOS S.C.
  • 15. 

www.davara.com.mx 2010 PLAN DE ACCIÓN El objetivo general de nuestra asesoramiento es ayudar a la organización a prever una correcta utilización y tratamiento de los datos personales en sus bases de datos y en sus relaciones con terceros, desde el punto de vista jurídico, y, consecuentemente, adecuarlo, en las diferentes fa- ses y etapas, a la vigente legislación sobre protección de datos. Asimismo, se trata de conocer los valores de riesgo que tiene la organización por el tratamiento de los datos personales respecto a su confidencialidad, la llamada “privacidad”, la integridad y la disponibilidad de los datos, asegurando su correcto tratamiento y consulta, así como su veraci- dad, exactitud y legalidad. Todas las personas de la organización que tienen acceso, aunque solamente sea de consulta, a los datos de carácter personal deben tener conocimiento de la existencia de unas normas bási- cas y las actuaciones mínimas que exige al personal de la entidad su cumplimiento. Hay que conocer las obligaciones del responsable del tratamiento, desde la formulación y res- peto al Aviso de Privacidad, hasta las medidas de seguridad que, en forma obligada, hay que tomar, pasando por un tratamiento legal y leal, el deber de confidencialidad y la forma en que todas las personas de la entidad que tengan acceso a los datos, deben facilitar el ejercicio de los derechos a los titulares. Se trata, por tanto, de crear una cultura de protección de datos también en el seno de la empre- sa. Es decir, reconocer el valor del dato como activo sin que ello suponga olvidar que está refe- rido a una persona física, su titular. En concreto, al menos, podemos hablar de varios focos de actuación: 1. Procedimiento de atención al ejercicio de derechos de acceso, rectificación, cancelación y oposición (derechos ARCO). 2. Análisis cláusulas contractuales en materia de protección de datos. 3. Esquema de gestión del consentimiento en todas las fases del tratamiento. 4.Análisis del riesgo legal del tratamiento offline, online y offshore. 5. Modelos de Aviso de Privacidad del que se haga uso en la entidad para informar a los intere- sados sobre la recogida, tratamiento y transferencias de sus datos personales. 6.Elaboración y/o adecuación de políticas de privacidad para sitios y páginas web. 7. Análisis relaciones y contratos. Contratos suscritos con terceras entidades, nacionales o in- ternacionales, por los que se regule la prestación de algún servicio que implique el acceso a datos personales, con independencia de que se trate de una mera descripción de servicios. 8. Documento/s de Seguridad que establezca/n las medidas físicas, técnicas y administrativas prescritas en la normativa. 9.“Coach training” dirigido a la persona o departamento responsable en mate- ria de protección de datos (art. 30 LFPDP). En general, capacitación a dis- tintos niveles en la organización. DAVARA ABOGADOS S.C.
  • 16. 

www.davara.com.mx 2010 GLOSARIO Aviso de Privacidad: Documento físico, electrónico o en cualquier otro formato generado por el respon- sable que es puesto a disposición del titular previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley (art. 3, fracción I, de la LFPDP). Bases de datos: El conjunto ordenado de datos personales referentes a una persona identificada o identi- ficable (art. 3, fracción II, de la LFPDP). Bloqueo: La identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tra- tamiento, hasta el plazo de prescripción legal o contractual de estas. Durante dicho periodo, los datos per- sonales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a su cancelación en la base de datos que corresponde (art. 3, fracción III, de la LFPDP). Consentimiento: Manifestación de la voluntad del titular de los datos mediante la cual se efectúa el tra- tamiento de los mismos (art. 3, fracción IV, de la LFPDP). Datos personales: Cualquier información concerniente a una persona física identificada o identificable (art. 3, fracción V, de la LFPDP). Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particu- lar, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de sa- lud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual (art. 3, fracción VI, de la LFPDP). Días: Días hábiles (art. 3, fracción VII, de la LFPDP). Disociación: El procedimiento mediante el cual los datos personales no pueden asociarse al titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo (art. 3, fracción VIII, de la LFPDP). Encargado: La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable (art. 3, fracción IX, de la LFPDP). Fuente de acceso público: Aquellas bases de datos cuya consulta puede ser realizada por cualquier per- sona, sin más requisito que, en su caso, el pago de una contraprestación, de conformidad con lo señalado por el Reglamento de esta Ley (art. 3, fracción X, de la LFPDP). Instituto: Instituto Federal de Acceso a la Información y Protección de Datos, a que hace referencia la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (art. 3, fracción XI, de la LFPDP). Responsable: Persona física o moral de carácter privado que decide sobre el tratamiento de datos perso- nales (art. 3, fracción XIV, de la LFPDP). Secretaría: Secretaría de Economía (art. 3, fracción XV, de la LFPDP). Tercero: La persona física o moral, nacional o extranjera, distinta del titular o del responsable de los datos (art. 3, fracción XVI, de la LFPDP). Titular: La persona física a quien corresponden los datos personales (art. 3, fracción XVII, de la LFPDP). Tratamiento: La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprove- chamiento, transferencia o disposición de datos personales Nuestro Glosario de Términos engloba conceptos (art. 3, fracción XVIII, de la LFPDP). jurídicos en Derecho de las TICs tomados de distin- tas normas nacionales que puedan ayudar en la inter- Transferencia: Toda comunicación de datos realizada a pretación y conocimiento de las materias relaciona- persona distinta del responsable o encargado del trata- das. Cada uno de los términos incorpora la norma de miento (art. 3, fracción XIX, de la LFPDP). la que fue extraído como referencia. En este sentido, todos los términos se tendrán que poner en relación con la normativa citada, siendo incluso algunos de interés primordialmente para investigación y compa- ración entre las distintas regulaciones. DAVARA ABOGADOS S.C.
  • 17. 

www.davara.com.mx 2010 REFERENCIAS NORMATIVAS Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (DOF 11/6/2002, http://www.davara.com.mx/upload/documents/532/LFTAIPG.pdf). Reglamento de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (DOF 11/6/2003, http://www.davara.com.mx/upload/documents/517/RLFTAIPG.pdf). Lineamientos de Protección de Datos Personales (DOF 3/9/2005, http://www.davara.com.mx/upload/ documents/516/LineamientosPDP.pdf). Recomendaciones de Seguridad para la Protección de Datos Personales (Instituto Federal de Acceso a l a In f o r m a c i ó n P ú b l i c a , h t t p : / / w w w. i f a i . o r g . m x / d e s c a r g a r. p h p ? r = / p d f / c i u d a d a n o s / cumplimiento_normativo/datos_personales/&a=Recomendaciones_SDP.pdf). Decreto por el que se reforman y adicionan diversas disposiciones del Código de Comercio en Materia de Firma Electrónica (DOF29/8/2003, http://www.davara.com.mx/upload/documents/469/ CCo.pdf). Lineamientos Generales para la organización y conservación de los archivos de los archivos de las dependencias y entidades de la Administración Pública Federal (DOF 20/2/2004, http:// www.davara.com.mx/upload/documents/551/Lineamientosarchivos.pdf). Decreto por el que se reforman y adicionan diversas disposiciones de la Ley Federal de Procedimiento Contencioso Administrativo y de la Ley Orgánica del Tribunal Federal de Justicia Fiscal y Administrativa (DOF 12/6/2009, http://www.davara.com.mx/upload/documents/581/Decreto_LFPCA.pdf). Decreto por el que se reforman y adicionan diversas disposiciones del Código Civil para el Distrito Federal en Materia Común y para toda la República en Materia Federal, del Código Federal de Procedimientos Civiles, del Código de Comercio y de la Ley Federal de Protección al Consumidor (DOF 29/5/2000, http://www.davara.com.mx/upload/documents/579/Ccom2000.pdf). Norma Oficial Mexicana NOM-151-SCFI-2002, Prácticas comerciales-Requisitos que deben observarse para la conservación de mensajes de datos (DOF 4/6/2002, http://www.davara.com.mx/upload/ documents/577/NOM-151.pdf). Reglamento del Código de Comercio en Materia de Prestadores de Servicios de Certificación (DOF 19/7/2004, http://www.davara.com.mx/upload/documents/580/Reglamento_PSC.pdf). Reglas generales a las que deberán sujetarse los prestadores de servicios de certificación (DOF 10/8/2004, http://www.davara.com.mx/upload/documents/50/ReglasPSC.pdf). Acuerdo Interinstitucional por el que se establecen los Lineamientos para la homologación, implan- tación y uso de la firma electrónica avanzada en la Administración Pública Federal (DOF 24/8/2006, http://www.davara.com.mx/upload/documents/531/AI24806.pdf). SITIOS WEB Comisión Intersectorial para el Desarrollo del Gobierno Electrónico (CIDGE): http://www.cidge.gob.mx/ Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI): http://www.uncitral.org/uncitral/es/index.html E Estrategia para la sociedad de la información en América Latina y el Caribe (eLAC): http://www.eclac.cl/socinfo/elac/ Firma electrónica avanzada (FIEL): http://portal.funcionpublica.gob.mx:8080/wb3/wb/SFP/fiel Instituto Federal de Acceso a la Información Pública Gubernamental: http://www.ifai.org.mx Organización para la Cooperación y el Desarollo Económico (OCDE): http://www.oecd.org Plan Nacional de Desarrollo 2007-2012: http://pnd.presidencia.gob.mx/ Sistema Integral de Gestión Registral: http://www.firmadigital.gob.mx Servicio de Administración Tributaria: http://www.sat.gob.mx DAVARA ABOGADOS S.C.
  • 18. 

www.davara.com.mx 2010 IMPLICACIONES JURÍDICAS DEL USO DE LAS TIC Adquisición y uso de las TIC Seguridad de la información y de los ✓ Cumplimiento del Decreto de Austeridad y sus sistemas de comunicaciones-e Lineamientos específicos por las AA.PP. ✓ Valor estratégico de las redes y sistemas de ✓ Elaboración por las AA.PP. del Plan Estratégico comunicaciones-e. de Tecnologías de la Información y ✓ Medidas preventivas para evitar Comunicaciones (PETIC) a enviar a la SFP cada ciberataques, intrusiones o usos no autorizados en ejercicio fiscal. los sistemas de información. Documentos y archivos electrónicos Otras cuestiones a considerar ✓ Sistema automatizado de control de gestión. ✓ Garantizar la compatibilidad e interoperabilidad. ✓ Ciclo de vida de los documentos y archivos (generación, tratamiento, recepción y envío). ✓ Conservación de archivos y documentos electrónicos. ✓ En particular, la digitalización de documentos y archivos en papel (garantías jurídicas y ✓ Prestación de servicios de certificación y otros tecnológicas). servicios relacionados. ✓ Realización de inventarios de documentos y archivos. Aplicación de las TIC ✓ Admisibilidad legal del documento-e: público y ✓ Digitalización de documentos (facturas, privado. contratos, etc.) y archivo a través de terceros de ✓ Validez probatoria del documento confianza. (administrativo) electrónico. ✓ Contratación electrónica. ✓ Factura electrónica y presentación de impuestos Firma electrónica por medios electrónicos. ✓ Uso de la firma-e para garantizar, entre otras, la ✓ Validez legal: equivalencia funcional del autenticación, integridad y confidencialidad. documento-e y la firma-e. ✓ El sellado de tiempo y el no repudio en las comunicaciones-e. Acceso a la información, protección de datos y medidas de seguridad ✓ Cumplimiento de obligaciones ante el IFAI u órgano correspondiente en materia de acceso a la información y notificación de sistemas de datos personales. ✓ Cumplimiento de obligaciones específicas en materia de protección de datos (principios, derechos y procedimientos) ✓ Atención al ejercicio de los derechos de acceso, rectificación, cancelación y oposición (ARCO). ✓ Adopción de medidas de seguridad para garantizar la integridad y confidencialidad. DAVARA ABOGADOS S.C.
  • 19. W W W . D A V A R A . C O M . M X W W W . D A V A R A . C O M . M X DAVARA ABOGADOS, S.C. Boutique legal especializada en Derecho de las TIC LA FIRMA Davara Abogados, S.C. sólo presta otorga una gran atención a la brindar un asesoramiento experto servicios de alta experiencia y formación y capacitación, ofreciendo internacional integral. especialización, lo que nos permite cursos especializados en la materia a asegurar un servicio de la más alta entidades y organizaciones, Davara Abogados, S.C. es asi- calificación con los profesionales más adaptándolos en cada caso concreto. mimsmo miembro de la Asociación capacitados y experimentados, Mexicana de Empresas de Inter- incorporando asimismo la Aunque con sede en México D.F., net (AMIPCI). participación de expertos contamos asimismo con una tradición colaboradores independientes. y experiencia asentadas en el entorno estadounidense y europeo, represen- Asimismo, conscientes de la novedad tando a la American Bar Associa- y desconocimiento de la materia, y tion (ABA), en LatAm, pudiendo así formando ya parte de la tradición de la Firma, Davara Abogados, S.C. UNA APUESTA POR LA ESPECIALIZACIÓN Comunicaciones en las diferentes áreas a las Servicios Capacitación que se dedica la firma. Nuestras áreas de especialización abarcan todos la Firma ofrece cursos de capacitación específicos Entre otros contenidos, los usuarios podrán y únicamente los ámbitos de influencia de las a distintos niveles de profundización y duración, encontrar Publicaciones, tales como artículos, Tecnologías de la Información y las Comunica- según los requerimientos y necesidades de cada conferencias y medios de comunicación; ciones en el Derecho. cliente en particular, considerando la materia y Normativa; Otra documentación; Jurispru- el público objetivo en particular. dencia y otras Resoluciones de interés; y un En especial, ofrecemos servicios de asesoría y Glosario de términos. consultoría en las siguientes cuestiones: Estos cursos versan sobre cada una de las mate- rias objeto de especialización de la Firma, pu- Dado el carácter eminentemente internacional ● Protección de datos de carácter personal diendo ser específicos o combinando varias de de la práctica que lleva en la Firma, tanto por ● Contratos informáticos dichas materias, a petición concreta y diseño los servicios ofertados como por los clientes a particular según las necesidades del cliente. los que presta dichos servicios, el sitio web ● Comercio y contratación electrónicos permite el acceso a información a nivel nacio- ● Firma electrónica Para más información sobre temas, programas y nal e internacional. ● Aspectos fiscales del entorno electrónico. En honorarios, por favor contacte con nosotros en la especial, la factura electrónica siguiente dirección de correo electrónico: Para responder a las necesidades de sus clien- capacitacion@davara.com.mx tes y usuarios, el sitio web es constantemente ● Propiedad intelectual. En particular, nom- actualizado conforme a los cambios normati- bres de dominio vos y jurisprudenciales que se producen en esta área del Derecho. ● Delitos informáticos www.davara.com.mx ● Otros: gobierno electrónico, voto electróni- Además, el sitio web permite una constate co, telemedicina, teleducación, teletrabajo, Nuestro sitio web www.davara.com.mx ofrece comunicación con los usuarios y clientes, protección a consumidores, ADR, etc.. a sus usuarios la posibilidad de acceder de respondiendo así a sus necesidades de forma- forma gratuita a información sobre el Derecho ción y/o asesoramiento. de las Tecnologías de la Información y las www.davara.com.mx Info@davara.com.mx
  • 20. Por favor contacte con nosotros en www.davara.com.mx o info@davara.com.mx o pase a visitarnos y con todo gusto le atenderemos.