El documento trata sobre la protección de datos personales en México. Brevemente:
1) Explica la necesidad de proteger los datos personales de las personas físicas ante el tratamiento masivo e incontrolado de la información personal por medios tecnológicos.
2) Resume las normativas aplicables en México tanto para el sector privado como público, incluyendo la Ley Federal de Protección de Datos Personales.
3) Describe el derecho a la autodeterminación informativa como núcleo de la protección de datos, el cual garantiza
Protección de datos personales en México: análisis de la Ley Federal
1. www.davara.com.mx
2010
La protección de datos personales
La expresión protección de datos personales es confusa.
Los datos en sí mismos no necesitan protección.
Los datos, en cuanto asociados a una persona identificada o identifi-
cable, se convierten en información personal.
La persona, el sujeto del derecho, es la que necesita protección.
Los datos personales son entonces cualquier información que se
asocia a una persona (física en el caso de la legislación mexicana, no
se refiere a personas morales –empresas o instituciones-), identifica-
da o identificable.
Hoy en día el valor de los datos personales es innegable.
La persona física trasciende al ámbito virtual, en el más extenso sentido de
la palabra.
Las tradicionales fronteras de espacio y tiempo se han visto superadas con el uso cotidiano de la tecnología.
Y la tecnología aplicada al tratamiento de la información personal conforma una identidad electrónica, un
perfil de la persona, que ella misma desconoce, o, cuando menos, no controla.
Siempre ha habido tratamiento de datos personales. Pero, con las facilidades de tratamiento e intercone-
xión proporcionadas por la informática, esto ha cambiado mucho. Así se ha dado lugar a un tratamiento
ingente de información de la persona por medios y fuentes fuera de su control. La persona pierde poder
sobre su información personal. Y la información personal es lo que acaba configurando a la persona.
Sin embargo, por otra parte, es el propio titular de los datos el que debería ser consciente, o al menos em-
pezar a serlo, de su valor, y comenzar a actuar en consecuencia diligentemente respecto del tratamiento de
su información personal, decidiendo cada uno personal y conscientemente qué tipo de cuidado y límites
desea para su información personal identificable.
Este poder de decisión, que implica al mismo tiempo un control, constituye el núcleo esencial del derecho
a la protección de datos.
A continuación vamos a analizar las implicaciones legales en México de este tratamiento de
datos personales, centrándonos especialmente en la regulación en el Sector Privado, y men-
cionando brevemente la cuestión en el Sector Público.
1. Para el Sector Privado la normativa a tener en cuenta es:
a. Ley Federal de Protección de Datos Personales en Posesión de Particulares
2. Para el Sector Público, la normativa a nivel federal es fundamentalmente:
a. Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (DOF 11/6/2002).
b. Reglamento de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (DOF 11/
6/2003)..
c. Lineamientos de Protección de Datos Personales (DOF 3/9/2005).
d. Recomendaciones del IFAI de Seguridad para la Protección de Datos Personales.
DAVARA ABOGADOS S.C.
2. www.davara.com.mx
2010
EL DERECHO A LA AUTODETERMINACIÓN INFORMATIVA
La conocida sentencia de 1983 del Tribunal Constitucional Federal Alemán, que provocó que se decla-
raran inconstitucionales algunos artículos de la Ley
del Censo Alemana, se asienta el conocido “derecho a
la autodeterminación informativa”.
Este derecho resume claramente en lo que consiste
todo el desarrollo posterior de la normativa: el titular
de los datos tiene derecho a decidir cómo y para qué
se tratan sus datos.
Como vemos, el derecho gira en torno al titular, se
protege al titular, no a los datos.
ANTECEDENTES INTERNACIONALES
• El artículo 12 de la Declaración Universal de los Derechos Humanos de 1948.
• El artículo 8 del Convenio Europeo para la Protección de los Derechos y las Libertades
Fundamentales, de 1950.
• El artículo 17 del Pacto Internacional de Derechos Civiles y Políticos, de 1966.
• La Resolución 509 de la Asamblea del Consejo de Europa sobre derechos humanos y nuevos logros
científicos y técnicos de 1968.
• El artículo 11 de la Convención Americana sobre derechos humanos de 1969.
• Los ampliamente aceptados Fair Information Practice Principles [Información (Notice), Elección
(Choice), Acceso (Access) y Seguridad (Security)] desarrollados por el Departamento de Sanidad,
Educación y Bienestar de los Estados Unidos en 1973.
• Las Resoluciones del Comité de Ministros de Europa de 1973 y 1974.
• El Convenio 108 del Consejo de Europa, para la protección de las personas con relación al
tratamiento automatizado de los datos de carácter personal y a la libre circulación de estos datos de
28 de enero de 1981.
• La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de Octubre, relativa a la
protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos.
• El mosaico de leyes federales y estatales que protegen ciertos sectores en Estados Unidos, además de
la denominada “autorregulación industrial” .
• La Directiva 2002/58/CE en el sector de las comunicaciones electrónicas; modificada por las
Directivas 2006/24/CE (retención de datos de comunicaciones-e) y 2009/136/CE.
• La Carta Europea de Derechos Fundamentales (artículo 8).
• La polémica Constitución europea (artículo I-51 dedicado al derecho a la protección de datos
personales.
Y, además de estas referencias normativas, existen muchos y muy diferentes esfuerzos de distintas
organizaciones internacionales. Reconoceremos aquí los siguientes:
• Las “Directrices relativas a la protección de la privacidad y flujos transfronterizos de datos
personales” de la Cooperación y el Desarrollo Económicos (OCDE) de 1980.
• La Resolución 45/95 de la Asamblea General de la Organización de las Naciones Unidas de 1990.
• El Marco de Privacidad de la Asociación para la cooperación económica Asia-Pacífico (APEC).
• El Reglamento de la Red Iberoamericana de Protección de Datos de Mayo de 2008.
• La Resolución de Madrid, adoptada el 5 de noviembre de 2009.
DAVARA ABOGADOS S.C.
3. www.davara.com.mx
2010
ALGUNAS CUESTIONES PRELIMINARES (1)
1. RECONOCIMIENTO consecuencia directa del mandato constitucional que
CONSTITUCIONAL introdujo en su artículo 16, reformado el 1 de junio
Los legisladores han estado sumamente activos en de 2009, por fin, un párrafo específicamente desti-
este campo los últimos años. Así, en 2007 se publicó nado a la protección de datos personales. Por tanto,
la reforma al artículo 6 de la Constitución y, el 1 de la Ley dejará sin efecto cualesquiera leyes estatales
junio de 2009 se publicó una reforma al artículo 16 aprobadas en la materia (Colima, Jalisco y Tlaxcala).
de la Constitución que incorpora un párrafo especí-
ficamente destinado a la protección de datos perso- 5. OBJETO DE LA LEY
nales. Finalmente, el 30 de abril de 2009 se reformó La protección de los datos personales en posesión de
el 73 de la Constitución atribuyendo al Congreso Fe- particulares, con la finalidad de regular su tratamien-
deral el poder para legislar en materia de datos per- to legítimo, controlado e informado, a efecto de ga-
sonales en posesión de los particulares. rantizar la privacidad y el derecho a la autodetermi-
nación informativa de las personas.
2. PASOS PARLAMENTARIOS
Esta ley ha pasado por un camino azaroso y tortuoso 6. SUJETOS OBLIGADOS
de iniciativas. Sin ir más lejos, tan sólo el Dictamen Como novedad en Derecho comparado, la ley excep-
presentado en el Congreso de Diputados por la Co- ciona de su ámbito de aplicación subjetivo, a las So-
misión de Gobernación de dicha Cámara se basaba ciedades de Información Crediticia. Es decir, los fa-
en el análisis de las iniciativas presentadas por los mosos “burós de crédito” no están dentro de esta
Diputados David Hernández Pérez del PRI (23 de regulación. Si bien a nivel internacional estas organi-
febrero de 2006); Sheyla Fabiola Aragón Cortés del zaciones suelen contar con un régimen especial den-
PAN (22 de marzo de 2006); Luis Gustavo Parra No- tro de la regulación, no es tan usual que estén excep-
riega del PAN (4 de noviembre de 2008) y Adolfo cionadas, aunque es cierto que cuentan con algunas
Mota Hernández del PRI (11 de diciembre de 2008), consideraciones al respecto dentro de su propia re-
además de citar algunas otras que se desecharon por gulación.
no procedentes en cuanto a su objeto (incluían al Del mismo modo, las personas que lleven a cabo la
Sector Público). recolección y almacenamiento de datos personales
para uso exclusivamente personal y sin fines de di-
3. ESTRUCTURA DE LA NORMATIVA vulgación o utilización comercial tampoco se en-
La normativa se estructura en principios, derechos y cuentran dentro del ámbito de aplicación de la ley.
procedimientos. Los principios, a modo de declara- Aunque en algunos casos la frontera será complicada
ciones programáticas, establecen los pilares en los de determinar, lo que persigue la regulación es que
que se basa la protección de datos personales. Los las “agendas” personales no estén sujetas salvo que,
derechos, por su parte, representan la concreción obviamente, sean utilizadas más allá de lo estricta-
subjetiva de ejercicio de esos principios, es decir, mente personal.
cómo el titular de los datos de carácter personal
puede ejercer unos derechos que concretan los prin- 7. LÍMITES DE APLICACIÓN
cipios teóricos en los que se basa toda la normativa. Las excepciones más fuertes a la aplicación de la
Los procedimientos, finalmente, cerrando este trián- normativa, que tendrá necesariamente que tener un
gulo ficticio, concretan la tutela pública a la que el amplio y diverso desarrollo reglamentario (en con-
individuo puede recurrir cuando se ve lesionado en el creto el Reglamento, según los Transitorios tendrá
ejercicio de esos derechos como consecuencia de que estar un año después de la entrada en vigor, es
esos principios. Se trata, en concreto, de los proce- decir, más o menos sobre mayo de 2011), serán la se-
dimientos de protección de derechos y del procedi- guridad nacional, orden, seguridad y salud
miento sancionador o de imposición de sanciones. públicos y, evidentemente, otros
Además, cabe apuntar el procedimiento de verifica- derechos de terceros en con-
ción. flicto.
4. ÁMBITO DE APLICACIÓN
La Ley es de orden público y de observancia general
en toda la República. No hay que olvidar que la ley es
DAVARA ABOGADOS S.C.
4. www.davara.com.mx
2010
ALGUNAS CUESTIONES PRELIMINARES (2)
8. FASES DEL TRATAMIENTO La privacidad conlleva el poder de controlar la in-
En el tratamiento de datos de carácter personal formación personal, y, en concreto, el flujo de la
podemos distinguir tres fases claramente diferen- misma.
ciadas: la obtención de los datos, el tratamiento de Podemos afirmar, por tanto, que privacidad es un
los mismos, y la utilización del resultado del trata- término que se utiliza para referirnos al perfil que
miento, y, en su caso, transferencia de datos a un se puede obtener de una persona con el tratamien-
tercero, nacional o internacional. En cada una de to de sus datos personales y que el individuo tiene
esas fases tenemos que atender al respeto de todos derecho a exigir que permanezca en su esfera in-
los principios y derechos prescritos en la normati- terna.
va. De esta manera, si no se cumple con alguno, el
tratamiento se convierte inmediatamente en ilícito. 11. ¿QUÉ ES UN DATO PERSONAL?
La definición de datos personales
9. ¿QUÉ TIPO DE DERECHO ES? del artículo 3 de la LFPDP
cambia la dada por la regulación
Es un derecho fundamental, es decir, pertenece a federal de la Ley del IFAI, y
los derechos consustanciales a la personalidad, no asimismo se señala que
se puede prescindir de él. ésta deberá ser
Bien es cierto que es un derecho de tercera genera- reformada, para pasar a
ción, que surge conforme se van desarrollando las q u e d a r ú n i c a m e n te
sociedades democráticas, y ya se han cubierto como “c u a l q u i e r
otros derechos más primarios. información concerniente a
Es un derecho colectivo, que afecta a todos, y por una persona identificada o
el que cada uno de nosotros, titulares de datos, te- identificable”.
nemos que luchar, pero, a la vez, podemos deman-
dar protección del Estado. Se trata de una definición amplia, pero tampoco es
un concepto ilimitado.
10. INTIMIDAD vs PRIVACIDAD -“La información”: existen una serie de datos
El derecho a la intimidad es un derecho ya asenta- personales que todo el mundo identifica
do históricamente. La intimidad es algo que el suje- como tales, pero queda un gran espectro de
to de la misma controla en grado suficiente. Cada información personal sobre la que no se tiene
quien define qué es íntimo para él mismo (además demasiado interés a menudo y que ni tan
de los mínimos establecidos en las leyes), y, además, siquiera se considera como propia.
cuando se vulnera puede saberlo con bastante exac- -Persona física: en la normativa mexicana sólo
titud. tiene sentido la protección de datos sobre los
Sin embargo, el derecho del que estamos hablando datos de las personas físicas. Acerca de la
aquí es diferente. Hablamos de la protección de información sobre personas morales
este perfil que se crea utilizando estas nuevas téc- hablaríamos de otras protecciones jurídicas,
nicas. Este perfil que el ciudadano incluso llega a no pero no de aplicación de la normativa en
conocer, pero, sobre todo, que no controla. protección de datos personales..
El derecho a la intimidad pasa así de una concep- -Identificada o identificable: Incluso cuando esa
ción cerrada y estática (libertad negativa) a una persona física sólo pueda ser identificable, es
abierta y dinámica (libertad positiva), que implica decir, aunque no la tengamos identificada
el reconocimiento no sólo de un derecho sino de actualmente, su información personal sigue
nuevos mecanismos de protección basados en el siendo protegible.
poder de control del tratamiento de los datos per-
sonales. En conclusión, cualquier información, en cuanto
No se trata ya del derecho a ser dejado solo (“the asociada a un titular, es información personal, no
right to be let alone”), sino del derecho a saber quién, por la información en sí, sino por su asociación con
cuándo y para qué un tercero trata los datos per- la persona física a la que se protege.
sonales de los que el interesado es titular. Así, no se puede hablar de datos personales en
sentido neutro, sino que tan sólo adquieren este
carácter en cuanto se asocian a un titular.
DAVARA ABOGADOS S.C.
5. www.davara.com.mx
2010
ALGUNAS CUESTIONES PRELIMINARES (3)
12. DATOS SENSIBLES sonales por cuenta del responsable; y tercero a
También se definen los datos personales sensi- la persona física o moral, nacional o extranjera,
bles como “Aquellos datos personales que afec- distinta del titular o del responsable de los da-
ten a la esfera más íntima de su titular, o cuya tos.
utilización indebida pueda dar origen a discri- Esta distinción, que claramente sigue lo dis-
minación o conlleve un riesgo grave para éste. puesto en la Directiva europea, supondrá una
En particular, se consideran sensibles aquellos clara discusión en la práctica sobre los diferen-
que puedan revelar aspectos como origen racial tes supuestos que pueden darse y las implica-
o étnico, estado de salud presente y futuro, in- ciones que tiene cada uno de ellos en cuanto al
formación genética, creencias religiosas, filo- cumplimiento de la normativa sobre protec-
sóficas y morales, afiliación sindical, opiniones ción de datos.
políticas, preferencia sexual”. A este respecto
hubo mucha discusión parlamentaria, ya que la En definitiva:
definición de un dato como sensible tiene im-
portantes consecuencias, como la exigencia de 1. Responsable: quien DECIDE sobre el tra-
consentimiento expreso o la inmediata eleva- tamiento de los datos personales.
ción de las sanciones cometidas sobre un dato 2. Encargado: el que realiza una prestación de
de estas características. servicios sobre los datos, un tratamiento,
La primera parte, en nuestra opinión demasia- POR CUENTA del responsable
do abierta, hay que unirla a lo establecido al 3. Tercero: cualquiera a quien se comuniquen
respecto en la llamada Resolución de Madrid datos, ya sea responsable o encargado.
(www.agpd.es), relativa al establecimiento de
un estándar internacional. Se añade además 14. EL AVISO DE PRIVACIDAD
una categoría de datos, como los de informa- El aviso de privacidad es uno de los puntos más
ción genética, que no había estado en todas las relevantes de la iniciativa, sobre todo a efectos
iniciativas. Tanto es así que en el Dictamen prácticos. Se define como el documento físico,
emitido por la Cámara de Diputados, al co- electrónico o en cualquier otro formato gene-
mentar el tema, en su último párrafo, se “olvi- rado por el responsable que es puesto a dispo-
dan” de incluirlo. sición del titular previo el tratamiento de sus
En todo caso, no podrán crearse bases de datos datos personales y que deberá contener: (i)
con información que directa o indirectamente identidad y domicilio del responsable que los
contenga datos personales sensibles, sin que se recaba; (ii) finalidades del tratamiento; (iii)
justifique la creación de dichas bases para fina- cualquier opción y medios que se ofrezcan a los
lidades legítimas y concretas. titulares para limitar el uso o divulgación de los
datos o ejercer derechos de acceso, rectifica-
13. TITULAR, RESPONSABLE, ción, cancelación u oposición y; (iv) procedi-
ENCARGADO Y TERCERO miento y medio por el cual se comunicarán a
Se distingue entre responsable del tratamiento, los titulares cambios sustanciales al aviso de
encargado y tercero. Así, se entiende por res- privacidad.
ponsable a la persona físi- El responsable deberá velar por mantener el
ca o moral de carácter aviso de privacidad actualizado y tomar las
privado que decide sobre medidas necesarias y suficientes para garanti-
el tratamiento de datos zar que: (i) es dado a conocer al titular, y (ii)
personales; encargado a la sea respetado en todo momento por él o por
persona física o jurídica terceros con los que guarde alguna relación
que sola o conjuntamente jurídica.
con otras trate datos per-
DAVARA ABOGADOS S.C.
6. www.davara.com.mx
2010
ALGUNAS CUESTIONES PRELIMINARES (4)
15. OTRAS DEFINICIONES derechos del afectado, asegurando la
RELEVANTES confidencialidad y la integridad de los datos
Bases de datos: El conjunto ordenado de datos personales y evitando su alteración, pérdida,
personales referentes a una persona identificada o transmisión y acceso no autorizado.
identificable (art. 3, fracción II, de la LFPDP). El responsable debe asegurarse de que el
Bloqueo: La identificación y conservación de da- tratamiento por terceros (nacional e
tos personales una vez cumplida la finalidad para la internacionalmente) cumple la reglamentación. En
cual fueron recabados, con el único propósito de particular, el responsable debe cuidar porque lo
determinar posibles responsabilidades en relación asegurado en el Aviso de Privacidad se respete, y en
con su tratamiento, hasta el plazo de prescripción especial lo relativo a las medidas de seguridad, que
legal o contractual de estas. Durante dicho periodo, nunca deben ser menores a las impuestas en la
los datos personales no podrán ser objeto de trata- organización para el manejo de la información.
miento y transcurrido éste, se procederá a su cance-
lación en la base de datos que corresponde (art. 3, 17. AUTORREGULACIÓN
fracción III, de la LFPDP). Se alienta la creación de esquemas de autorregula-
Disociación: El procedimiento mediante el cual ción como complemento a la legislación, y con ca-
los datos personales no pueden asociarse al titular rácter vinculante entre las partes, en la forma de
ni permitir, por su estructura, contenido o grado de códigos deontológicos o de buena práctica profe-
desagregación, la identificación del mismo (art. 3, sional, sellos de confianza u otros mecanismos, que
fracción VIII, de la LFPDP). contendrán reglas o estándares específicos que
Fuente de acceso público: Aquellas bases de da- permitan armonizar los tratamientos de datos efec-
tos cuya consulta puede ser realizada por cualquier tuados por los adheridos y facilitar el ejercicio de
persona, sin más requisito que, en su caso, el pago los derechos de los titulares. Es importante que
de una contraprestación, de conformidad con lo estos instrumentos definan claramente su meca-
señalado por el Reglamento de esta Ley (art. 3, nismo de control, resarcimiento y ejercicio de de-
fracción X, de la LFPDP). rechos.
Tratamiento: La obtención, uso, divulgación o 18. PLAZOS PARA EL DESARROLLO
almacenamiento de datos personales, por cualquier REGLAMENTARIO Y
medio. El uso abarca cualquier acción de acceso, CUMPLIMIENTO DE ALGUNAS
manejo, aprovechamiento, transferencia o disposi- OBLIGACIONES
ción de datos personales (art. 3, fracción XVIII, de
la LFPDP).
1. 12 meses (un año), para
Transferencia: Toda comunicación de datos rea- que:
lizada a persona distinta del responsable o encarga- a. el Ejecutivo Federal
do del tratamiento (art. 3, fracción XIX, de la expida el Reglamento
LFPDP). de la Ley y
b. los responsables del
16. MEDIDAS DE SEGURIDAD tratamiento:
i. designen a la per-
Se debe impedir el acceso a los sistemas de datos
sona o departa-
personales, en particular, y a los datos en general, a
mento de datos
personas no autorizadas, para evitar el desvío de la
personales, y
información, mal
ii. expidan sus avi-
intencionadamente o no,
sos de privacidad.
hacia sitios no previstos,
además de para garantizar
2. 18 meses, para que los titulares puedan ejercer
el tratamiento de datos
los derechos de acceso, rectificación, cancela-
dentro de los límites
ción y oposición ante el responsable y el proce-
permitidos por la norma
dimiento de protección de datos ante el Insti-
y con respeto a los
tuto.
DAVARA ABOGADOS S.C.
7. www.davara.com.mx
2010
OBLIGACIONES DE LOS RESPONSABLES (1)
Los responsables del tratamiento tienen que cumplir y hacer cumplir las obligaciones establecidas en la
Ley para garantizar un tratamiento lícito de los datos personales. A continuación, de manera breve pero
concisa, se exponen las obligaciones a cumplir en el tratamiento de los datos personales y que vienen a
concretar los principios de la protección de datos:
1.TRATAMIENTO LÍCITO
El principio de licitud prohibe la obtención de datos personales por medios ilícitos, enga-
ñosos o fraudulentos. Partiendo inicialmente de la iniciativa propuesta por el Diputado
Parra, se incluye en este principio la noción de la expectativa razonable de privacidad, que
es la confianza que deposita cualquier persona respecto de que sus datos proporcionados
serán tratados conforme a lo que acordaron las partes en los términos de la Ley.
2. CONSENTIMIENTO
El principio del consentimiento, que como se dice en la propia iniciativa constituye internacionalmente
el principio de legitimidad del tratamiento, exige que el tratamiento de los datos requiera del consenti-
miento previo de su titular (aunque en la mayor parte de los casos puede ser tácito), el cual podrá mani-
festarse de forma verbal, escrita, a través de medios electrónicos, ópticos o de cualquier otra tecnología o
a través de signos inequívocos (siempre que sea una manifestación de voluntad libre, inequívoca, específi-
ca e informada). Dicho consentimiento podrá revocarse en cualquier momento sin que se le atribuyan
efectos retroactivos. El responsable de los datos deberá establecer los mecanismos y los procedimientos
de revocación en el aviso de privacidad. Como decíamos, en el caso de los datos sensibles, este con-
sentimiento deberá ser expreso, eso sí, “a través de su firma autógrafa, firma electrónica o cualquier
mecanismo de autenticación que al efecto se prevea”. Por último, no son pocas las excepciones
al consentimiento: cuando la Ley lo prevea; los datos sean necesarios para el manteni-
miento de la relación jurídica, de negocios, laboral o administrativa; tratamientos de
prevención o diagnóstico médico o asistencia sanitaria; situaciones de emergencia que
puedan dañar potencialmente la persona o los bienes de un individuo, etc.).
3.INFORMACIÓN
El principio de información es un derecho del titular que constituye simultáneamente
una obligación del responsable y un principio del tratamiento de los datos. Debe
aplicarse a todos los tratamientos, independientemente de su fuente de procedencia, es
decir, del propio titular o de terceros. El titular tiene derecho a conocer quién trata su
información personal y qué se hace con ella, así cómo dónde y cómo puede ejercer sus
derechos. Este principio se concreta a través del aviso de privacidad.
4. CALIDAD
El principio de calidad se vincula a la veracidad y a la exactitud en la que se mantienen
los datos personales de manera que el tratamiento refleje de forma fiel la realidad de la
información tratada. Los responsables entonces deberán, de un lado, asegurarse de que
en el momento de la obtención de la información sea exacta y actualizada, y, de otro, que
adopten las “medidas razonables” para que la información responda a esa veracidad
durante todo el tratamiento.
5. FINALIDAD
El principio de finalidad establece que la obtención y tratamiento de los datos deberá estar
relacionada con la finalidad del tratamiento previsto en el aviso de privacidad. La
finalidad, por lo tanto, debe ser explícita, legítima y determinada. Incluso, si los datos
serán utilizados para otros fines que no sean incompatibles podrá realizarse dicho
tratamiento si se prevé en dicho aviso. Sin embargo, si el responsable pretende tratar
los datos para un nuevo fin incompatible a los fines establecidos en el aviso, deberá
obtener nuevamente el consentimiento del titular.
DAVARA ABOGADOS S.C.
8. www.davara.com.mx
2010
OBLIGACIONES DE LOS RESPONSABLES (2)
6.PROPORCIONALIDAD
El principio de proporcionalidad se encuentra directamente relacionado con el de finali-
dad. Por un lado, sólo se pueden tratar los datos adecuados o necesarios para la finalidad
que justifica el tratamiento (principio de proporcionalidad), por otra el responsable sólo
debe tratar la mínima cantidad de información necesaria para conseguir la finalidad per-
seguida (principio de minimización).
7.RESPONSABILIDAD
El principio de responsabilidad se reconoce en el Dictamen de la Cámara de Diputados como “la aporta-
ción central de esta dictaminadora”. Este principio implica que el responsable debe velar por el cumpli-
miento de los principios y rendir cuentas al titular, a través del procedimiento incoado por el Ins-
tituto, en caso de incumplimiento. El responsable debe asegurarse de que el tratamiento
por terceros (nacional e internacionalmente), y en particular el encargado del tratamien-
to, cumple la normativa sobre protección de datos. En particular, el responsable debe
cuidar porque lo asegurado en el Aviso de Privacidad se respete. Es decir, lo indicado en
el aviso es vinculante para el responsable y para aquellos con quienes contrata, ya sea
medidas de confidencialidad que adopta, medidas de seguridad que aplica, o tratamiento
de datos de menores, etc., de manera que si no cumple se le podrá exigir responsabilidad.
PROTECCIÓN DE DATOS Y TECNOLOGÍAS DE LA INFORMACIÓN
La LFPDP busca incluir los estándares internacionales en materia de protección de datos y privacidad,
siendo así un instrumento normativo adecuado para responder a las necesidades de buscar el equilibrio
entre la actividad comercial y el derecho fundamental a la protección de datos.
Resulta claro que la constante evolución de las TIC supone un reto para el legislador y, en última instan-
cia, para el responsable que tiene que evaluar los riesgos legales de su actividad y, en consecuencia, adop-
tar decisiones con rapidez que le permitan tener un control adecuado.
En este sentido, el desarrollo de las TIC tiene importantes implicaciones en materia de protección de
datos, que se concretan, entre otros, en la necesidad de atender a:
• Privacidad por diseño (Privacy by desing): en concreto en el caso de
las entidades que desarrollan o utilizan un alto nivel de tecnología, con la finali-
dad de cumplir con los principios y obligaciones de la protección de datos.
• Computación en nube (Cloud computing): lo que supone que las
empresas que compiten a nivel internacional, tengan que analizar el cumpli-
miento de los principios de la protección de datos en aras a garantizar este
derecho y, al mismo tiempo, reducir cualquier riesgo legal derivado de su acti-
vidad offshore, o al menos conocer dicho riesgo y adoptar las medidas necesa-
rias para controlarlo.
CUMPLIMIENTO NORMATIVO EN ENTORNOS INTERNACIONALES
La evolución de las TIC da lugar a nuevos modelos que requieren de una rápida respuesta por la empresa
si quiere ser realmente competitiva en un entorno global. Entre otras cuestiones, esto supone que el res-
ponsable tenga que ser capaz de implementar esquemas de protección de datos que permitan cumplir
con los principios de la protección de datos incluso cuando éstos son tratados por un tercero en otro
país. Así, las BCR (Binding Corporate Rules), las cláusulas contractuales, o los códigos éticos se
convierten en instrumentos que tienen que ser manejados, en particular, por las entidades que operan en
un entorno internacional.
DAVARA ABOGADOS S.C.
9. www.davara.com.mx
2010
DERECHOS DEL TITULAR
En cuanto a los derechos, se le reconocen al titular de los datos personales (aunque también podrán ser
ejercidos por su representante legal) los derechos de acceso, rectificación, cancelación y oposición (dere-
chos ARCO).
Así, el titular de los datos tendrá derecho a: (1) obtener sus datos personales que obran en poder del res-
ponsable; (2) tener acceso al aviso de privacidad al que está sujeto el tratamiento de los datos; (3) rectificar
los datos cuando sean inexactos o incompletos; (4) cancelarlos y; (5) oponerse al tratamiento de los datos
cuando no los hubiere proporcionado al responsable.
En cuanto al procedimiento, el titular o su representante legal podrán presentar una solicitud de acceso,
rectificación, cancelación u oposición ante el responsable del tratamiento (que es quien decide sobre la
finalidad del mismo), el cual deberá dar respuesta a la solicitud en un término de 20 días desde su presen-
tación. Si la solicitud es concedida se hará efectiva dentro de los 15 días siguientes a la respuesta. Los pla-
zos señalados podrán ser ampliados una sola vez por igual período cuando haya circunstancias que lo jus-
tifiquen.
1. DERECHO DE ACCESO (A) alguno. Cumplido este período, el dato deberá su-
El derecho de acceso a los datos y al aviso de pri- primirse. Es decir, los datos cancelados no se bo-
vacidad, supone que el titular (o su representante rran de inmediato, sino que se bloquean - habrá
legal) podrá conocer qué datos personales suyos que ver en la práctica cómo son bloqueados.
son objeto de tratamiento por el responsable y para Igualmente, se comunicará al tercero al que se hu-
qué son tratados (finalidad del tratamiento indica- biesen transmitido en los términos señalados para
da en el aviso de privacidad). el derecho de rectificación.
2. DERECHO DE RECTIFICACIÓN (R) 4. DERECHO DE OPOSICIÓN (O)
El titular (o su representante legal) podrá rectifi- El derecho de oposición al tratamiento de los da-
car los datos que resulten ser inexactos o incom- tos tiene lugar siempre y cuando exista una causa
pletos, con la finalidad de que el tratamiento res- legítima para ello. Si el derecho de oposición resul-
ponda a la situación actual del titular de los datos. ta procedente, el responsable excluirá los datos del
Y si los datos que se rectifican hubieran sido tratamiento de manera que no serán objeto del tra-
transmitidos a un tercero, entonces el responsable
tendrá que comunicar a dicho tercero la rectifica- PROCEDIMIENTO DE PROTECCIÓN
ción efectuada para que proceda en igual sentido si DE LOS DERECHOS
todavía son objeto de tratamiento. El titular (o su representante legal) podrán solici-
tar al Instituto la tutela de sus derechos cuando
3. DERECHO DE CANCELACIÓN (C) considere que han sido vulnerados por el respon-
El titular (o su representante legal) tiene derecho a sable o éste no responda al ejercicio de los mis-
solicitar la cancelación de los datos dará lugar al mos.
bloqueo de los mismos por un período en el que el El Reglamento de la Ley desarrollará este proce-
responsable deberá conservarlos para efectos de dimiento en cuanto a forma, términos y plazos.
responsabilidades y no podrá darles tratamiento
MODELOS PARA EL EJERCICIO DE LOS DERECHOS
Uno de los aspectos a considerar por el responsable, a través de la persona o departamento que designe
al efecto, será el de tramitar las solicitudes de los interesados para el ejercicio de los derechos. Por tanto,
el responsable debe establecer un procedimiento (auditable) que permita responder, en tiempo y forma,
a los derechos de acceso, rectificación, cancelación y oposición. No se trata sólo de establecer los mode-
los, sino de desarrollar un procedimiento por completo, incluso online, que permita atender al titular de
los datos cumpliendo con todos los requisitos establecidos por la normativa en protección de datos.
DAVARA ABOGADOS S.C.
10. www.davara.com.mx
2010
PROCEDIMIENTOS
En cuanto a los procedimientos, se tienen dos posibilidades “tradicionales”: el procedimiento de protec-
ción de datos personales y el procedimiento de verificación.
En el procedimiento de protección de datos personales el titular de los datos puede recurrir al Ins-
tituto por la respuesta recibida o la falta de respuesta del responsable dentro de los 15 días siguientes a la
fecha en que se comunique la respuesta o a partir del día en que venza el plazo para que el responsable dé
respuesta. La solicitud también podrá presentarse cuando el responsable entregue al titular los datos soli-
citados en un formato incomprensible, se niegue a efectuar modificaciones o correcciones a los datos, o
cuando el titular no esté conforme con la información entregada por incompleta o porque no correspon-
da. En este procedimiento, el responsable tendrá 15 días desde el traslado de la solicitud para emitir su
respuesta y manifestar lo que a su derecho convenga. El Instituto deberá resolver la solicitud en un plazo
máximo de 50 días contados a partir de la presentación de la solicitud y deberá tomar en cuenta, la pre-
sentación de pruebas y alegatos y las audiencias que se lleven a cabo*. Las resoluciones consecuentes de
este procedimiento podrán sobreseer o desechar la solicitud, confirmar, revocar o modificar la respuesta
del responsable. En caso de que la resolución sea favorable para el titular de los datos, el responsable ten-
drá un plazo de 10 días a partir de su notificación o bien el plazo que señale el Instituto para dar cumpli-
miento a la resolución. Ante las resoluciones del Instituto cabe asimismo recurso ante el Tribunal de Jus-
ticia Fiscal y Administrativa mediante la interposición de juicio de nulidad al efecto.
El procedimiento de verificación, a instancia del Instituto o a petición de parte, tiene por objeto
comprobar el cumplimiento de la ley y la normativa que la desarrolle. La ley señala que los servidores pú-
blicos federales del IFAI tendrán acceso a la información y documentación que consideren necesarias, si
bien habrá que esperar a que el procedimiento sea desarrollado reglamentariamente para ver su efectivi-
dad en la práctica. (Puede verse un esquema de dicho procedimiento en el apartado de infracciones y sanciones)
Asimismo, el Instituto puede en cualquier momento intentar ejercer de autoridad de solución de conflic-
tos, esto es, de mediadora, como una de las grandes novedades.
Entre las funciones del nuevo Instituto Federal de Acceso a la Información
y Protección de Datos destaca la difundir el conocimiento del derecho a la
protección de datos personales, promover su ejercicio y velar su cumplimiento. Para '
ello, entre sus facultades destacan: (i) interpretar la Ley en el ámbito administrativo; '
(ii) emitir criterios, recomendaciones y normas técnicas; (iii) proporcionar apoyo
técnico a los responsables que lo soliciten; (iv) conocer y resolver los procedimientos
de tutela de derechos; (v) vigilar y verificar el cumplimiento de la Ley, así como
conocer la información necesaria para el fin anterior; (vi) elaborar estudios de impacto
sobre la privacidad previos a la puesta en práctica de una nueva modalidad de
tratamiento de datos personales o la realización de modificaciones sustanciales al
tratamiento ya existente y; (vii) brindar capacitación a los sujetos obligados.
PARTICIPA EL IFAI E
Además del Instituto, también tienen competencias otras dependencias, y, especialmente se destaca a la A LA INF
ACCESO
Secretaría de Economía, que deberá difundir el conocimiento de las obligaciones en torno a la
protección de datos personales entre la iniciativa privada e internacional con actividad comercial en
territorio mexicano y promover mejores prácticas comerciales en torno a la protección de datos
personales como insumo de la economía digital y desarrollo económico en su conjunto. Entre sus
atribuciones en la materia destacan: (1) establecer políticas públicas en materia de datos personales como
insumo del comercio y la economía digital; (2) fomentar buenas prácticas comerciales; (3) emitir
lineamientos relativos al contenido y alcances de los avisos de privacidad; (4) fijar parámetros para el
correcto desarrollo de los mecanismos y medidas de autorregulación; (5) diseñar e instrumentar políticas y
coordinar la elaboración de estudios para la modernización y operación eficiente del Washington, D.C.- Un
comercio
electrónico; (6) emitir opinión sobre asuntos vinculados con la protección de datos personales y; (7) llevar represent
México está
registros de consumidores en materia de datos personales y verificar su funcionamiento. (IFAI), hizo hoy la ent
(OEA) de la propuesta
DAVARA ABOGADOS S.C.
todo el continente ame
En un acto realizado e
manos de la OEA el p
experiencias de países
11. www.davara.com.mx
2010
INFRACCIONES Y SANCIONES
Tipo Infracción Sanción
No cumplir con la solicitud del titular para el acceso, rectificación, cancela- Apercibimiento
ción u oposición al tratamiento de sus datos personales, sin razón fundada,
en los términos previstos en esta Ley.
I. Actuar con negligencia o dolo en la tramitación y respuesta de solici- Multa de 100 ($5,746) a 160,000 ($9,193,600)
tudes de acceso, rectificación, cancelación u oposición de datos per- días de salario mínimo vigente en el Distrito
sonales. Federal
II. Declarar dolosamente la inexistencia de datos personales, cuando
exista total o parcialmente en las bases de datos del responsable.
III.Dar tratamiento a los datos personales en contravención a los prin-
cipios establecidos en la presente Ley;
IV.Omitir en el aviso de privacidad, alguno o todos los elementos a que
se refiere el artículo 16 de esta Ley.
V. Mantener datos personales inexactos cuando resulte imputable al
responsable, o no efectuar las rectificaciones o cancelaciones de los
mismos que legalmente procedan cuando resulten afectados los dere-
chos de los titulares.
VI.No cumplir con el apercibimiento a que se refiere la fracción I del
artículo 64.
I. Incumplir el deber de confidencialidad establecido en el artículo 21 Multa de 200 ($11,492) a 320,000 ($18,387,200)
de esta Ley. días de salario mínimo vigente en el Distrito
II. Cambiar sustancialmente la finalidad originaria del tratamiento de Federal
los datos, sin observar lo dispuesto por el artículo 12.
III.Transferir datos a terceros sin comunicar a éstos el aviso de privaci-
dad que contiene las limitaciones a que el titular sujetó la divulgación
de los mismos.
Admi- IV.Vulnerar la seguridad de bases de datos, locales, programas o equipos,
cuando resulte imputable al responsable.
nistra- V. Llevar a cabo la transferencia o cesión de los datos personales, fuera
tiva de los casos en que esté permitida por esta Ley.
VI.Recabar o transferir datos personales sin el consentimiento expreso
del titular, en los casos en que éste sea exigible.
VII.Obstruir los actos de verificación de la autoridad.
VIII.Recabar datos en forma engañosa y fraudulenta.
IX.Continuar con el uso ilegítimo de los datos personales cuando se ha
solicitado el cese del mismo por el Instituto o los titulares.
X. Tratar los datos personales de manera que se afecte o impida el ejer-
cicio de los derechos de acceso, rectificación, cancelación y oposi-
ción establecidos en el artículo 16 de la Constitución Política de los
Estados Unidos Mexicano.
XI.Crear bases de datos en contravención a lo dispuesto por el artículo
9, segundo párrafo de la Ley.
Reiteración en las infracciones anteriores. Multa adicional que irá de 100 ($5,746) a
320,000 ($18,387,200) días de salario mínimo
vigente en el Distrito Federal
Cuando la infracción se cometa en el tratamiento de datos sensibles Las sanciones podrán incrementarse hasta por
dos veces, los montos establecidos
Criterios para la adecuación de la sanciones
La naturaleza del dato;
La notoria improcedencia de la negativa del responsable, para realizar los actos solicitados por el titular, en términos
de esta Ley;
El carácter intencional o no, de la acción u omisión constitutiva de la infracción;
La capacidad económica del Responsable, y
La reincidencia.
Nota: Salarios mínimos vigentes a partir del 1 de enero de 2010, establecidos por la Comisión Nacional de los Sala
rios Mínimos mediante resolución publicada en el Diario O>icial de la Federación del 23 de diciembre de 2009.
DAVARA ABOGADOS S.C.
12. www.davara.com.mx
2010
INFRACCIONES Y SANCIONES
Civil o Responsabilidad civil o penal
Penal Las sanciones se impondrán sin perjuicio de la responsabilidad civil o penal que resulte.
Tipo Infracción Sanción
El que estando autorizado para tratar datos personales, con ánimo de lucro, provo- Prisión de tres meses a tres años.
que una vulneración de seguridad a las bases de datos bajo su custodia.
El que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el Prisión de seis meses a cinco años.
Penal engaño, aprovechándose del error en que se encuentre el titular o la persona autori-
zada para transmitirlos.
Cuando los supuestos anteriores se refieran a datos personales sensibles. Las penas se duplicarán.
EL PROCEDIMIENTO SANCIONADOR
El procedimiento sancionador regulado en el artículo 62 de la LFPDP es como sigue:
El plazo señalado podrá ser ampliado una sola vez por igual período cuando haya circunstancias que lo
justifiquen.
DESARROLLO REGLAMENTARIO DEL PROCEDIMIENTO SANCIONADOR
Una de las cuestiones que tendrá que ser desarrollada por el Reglamento de la Ley es el “procedimiento
sancionador”. En concreto, el último párrafo del artículo 62 de la LFPDP señala que el Reglamento
desarrollará:
— Forma, términos y plazos para la imposición de sanciones.
— Presentación de pruebas y alegatos, la celebración de audiencias y el cierre de instrucción.
DAVARA ABOGADOS S.C.
13. www.davara.com.mx
2010
EN EL SECTOR PÚBLICO (1)
La Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (en adelante, LFTAIPG)
regula directamente la privacidad de los individuos cuyos datos personales son objeto de tratamiento en los
organismos de la Administración Pública Federal.
Y además la LFTAIPG cuenta con varias normas que lo desarrollan, como su Reglamento, además de los
Lineamientos en protección de datos y las Recomendaciones en medidas de seguridad emitidos por el IFAI.
LOS PRINCIPIOS
Según los Lineamientos, los principios rectores de la protección de datos son la licitud, la calidad, el ac-
ceso y corrección, la información, la seguridad, la custodia y el consentimiento para la transmi-
sión.
El artículo 6º de los Lineamientos, bajo el epígrafe de “Licitud” dice que “la posesión de sistemas de datos per-
sonales deberá obedecer exclusivamente a las atribuciones legales o reglamentarias de cada dependencia o entidad y debe-
rán obtenerse a través de los medios previstos en dichas disposiciones”. Y continúa el lineamiento entendiendo asi-
mismo que la licitud también comprende que “los datos personales deberán tratarse únicamente para la finalidad
para la cual fueron obtenidos”.
El artículo Séptimo de los Lineamientos, acerca de la Calidad de los datos, dice que “el tratamiento de datos
personales deberá ser exacto, adecuado, pertinente y no excesivo respecto de las atribuciones legales de la dependencia o en-
tidad que los posea”. Por otro lado, el lineamiento 14º obliga a los Responsables, Encargados o usuarios que
detecten que hay datos inexactos a actualizarlos de oficio en cuanto tengan conocimiento de la inexactitud y
siempre que posean los documentos justificativos que justifiquen la actualización.
El lineamiento 5º tan sólo señala que los sistemas deberán almacenarse para permitir el ejercicio de los dere-
chos de acceso y corrección en los términos previstos en la Ley, el Reglamento y los Lineamientos. Por lo
tanto, el principio, aún denominado acceso y corrección, en realidad no desarrolla nada, y además, en nues-
tra opinión, preferiríamos que se estableciera claramente como derechos.
El Lineamiento 9º dice que se debe hacer del conocimiento del titular de los datos al momento de recabar-
los y de forma escrita el fundamento y motivo de ello, así como los propósitos para los que se tratarán di-
chos datos (principio de información).
El lineamiento 20º, al hablar de seguridad, dice que se deberán adoptar las medidas necesarias para garan-
tizar la integridad, confiabilidad, confidencialidad y disponibilidad de los datos personales mediante accio-
nes que eviten su alteración, pérdida, transmisión y acceso no autorizado y posteriormente el capítulo IV se
dedica a ahondar detalladamente en dichas medidas de seguridad.
El lineamiento 11º señala que los datos personales serán debidamente custodiados y los Responsables, En-
cargados y Usuarios deberán garantizar el manejo cuidadoso en su tratamiento.
El consentimiento se articula en cierta medida en el Lineamiento 12º, aunque, como dijimos, no se con-
templa nada acerca de la necesidad del consentimiento para el tratamiento en origen o posterior de datos
personales. Sólo se exige, excepciones aparte, en la fase en la que los datos se transfieren a un tercero, es
decir, cuando se produce la transmisión de datos a terceros, en la que el titular pierde, en su caso, aún más el
control sobre su información personal. En realidad, se persigue garantizar la responsabilidad y la imputabi-
lidad por el tratamiento. Es decir, que siempre se pueda saber y controlar quién está haciendo qué con los
datos.
DAVARA ABOGADOS S.C.
14. www.davara.com.mx
2010
EN EL SECTOR PÚBLICO (2)
LOS DERECHOS
1. El derecho de acceso (regulado en los artículos 20 y 24 LFTAIPG y en el artículo 47 de su Reglamento)
faculta a los titulares de los datos para solicitar al responsable del sistema de datos personales informa-
ción relativa al tratamiento de sus datos personales, pudiendo conocer qué datos tiene sobre él y a quié-
nes se van a comunicar. Este derecho de acceso es independiente al acceso a la información pública gu-
bernamental. Es así que el derecho de acceso en protección de datos se dirige a saber qué datos y con
qué finalidad son tratados a efectos de poder ejercitar los derechos correspondientes.
2. Los derechos de rectificación y supresión (según el artículo 25 de la LFTAIPG) permiten al titular de los
datos, por un lado, solicitar la modificación, en los casos de que los datos sean inexactos, y cuando hayan
dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido registrados, requerir su
cancelación.
3. LA LFTAIPG no contempla el derecho de oposición.
4. Otro de los derechos previsto en la LFTAIPG (en su artículo 23 y 48 del Reglamento) es el derecho de
consulta por los interesados a un Registro público al que los responsables de los sistemas de datos per-
sonales deben notificar la existencia de los sistemas de datos de carácter personal, y que va a permitir a
los interesados obtener información con el propósito de poder dirigirse a su responsable para ejercitar
sus derechos. Así, el “Sistema Persona” se crea en el Capítulo VI de los Lineamientos para facilitar el
ejercicio de los derechos de acceso y corrección de los particulares, incluyendo asimismo el derecho de
consulta a dicho Sistema.
EL PROCEDIMIENTO
La regulación del procedimiento en la LFTAIPG es muy escasa, y el IFAI, por su parte, cumple con alguna
de las funciones en materia de control y tutela de los derechos de la normativa en protección de datos, sin
que se pueda hablar, de nuevo, de una regulación comprehensiva al efecto.
LA(S) REFORMA(S) DE LA LFTAIPG
La LFPDP reforma a la LFTAIPG en su artículo 3, ya que modifica las definiciones de:
− Datos personales, que se definen en el mismo sentido que la LFPDP de manera que será “cual-
queir información concerniente a una persona física identificada o identificable”. Esta modifica-
ción viene a dar solución a
−Instituto, que ahora pasa a denominarse Instituto Federal de Acceso a la Información y Protec-
ción de datos.
Además, habrá que ver qué ocurre con la reforma de otros artículos de la LFTAIPG que fue remitida por
el Senado a la Cámara de Diputados tras ser aprobado en primera lectura un Dictamen para modificar la
denominación actual de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamen-
tal, para quedar como Ley Federal de Acceso a la Información y Protección de Datos Personales. La re-
forma supondría que la LFTAIPG se divida en dos libros, uno relativo al acceso a la información y otro a
la protección de datos desarrollando los principios y derechos de la protección de datos.
Es decir, de aprobarse por la Cámara de Diputados, supondría que el Instituto cuente con más facultades
y recursos, y que se establezca una regulación clara sobre las reglas para el adecuado tratamiento de datos
por el Gobierno Federal.
DAVARA ABOGADOS S.C.
15. www.davara.com.mx
2010
PLAN DE ACCIÓN
El objetivo general de nuestra asesoramiento es ayudar a la organización a prever una correcta
utilización y tratamiento de los datos personales en sus bases de datos y en sus relaciones con
terceros, desde el punto de vista jurídico, y, consecuentemente, adecuarlo, en las diferentes fa-
ses y etapas, a la vigente legislación sobre protección de datos.
Asimismo, se trata de conocer los valores de riesgo que tiene la organización por el tratamiento
de los datos personales respecto a su confidencialidad, la llamada “privacidad”, la integridad y la
disponibilidad de los datos, asegurando su correcto tratamiento y consulta, así como su veraci-
dad, exactitud y legalidad.
Todas las personas de la organización que tienen acceso, aunque solamente sea de consulta, a
los datos de carácter personal deben tener conocimiento de la existencia de unas normas bási-
cas y las actuaciones mínimas que exige al personal de la entidad su cumplimiento.
Hay que conocer las obligaciones del responsable del tratamiento, desde la formulación y res-
peto al Aviso de Privacidad, hasta las medidas de seguridad que, en forma obligada, hay que
tomar, pasando por un tratamiento legal y leal, el deber de confidencialidad y la forma en que
todas las personas de la entidad que tengan acceso a los datos, deben facilitar el ejercicio de los
derechos a los titulares.
Se trata, por tanto, de crear una cultura de protección de datos también en el seno de la empre-
sa. Es decir, reconocer el valor del dato como activo sin que ello suponga olvidar que está refe-
rido a una persona física, su titular.
En concreto, al menos, podemos hablar de varios focos de actuación:
1. Procedimiento de atención al ejercicio de derechos de acceso, rectificación, cancelación y
oposición (derechos ARCO).
2. Análisis cláusulas contractuales en materia de protección de datos.
3. Esquema de gestión del consentimiento en todas las fases del tratamiento.
4.Análisis del riesgo legal del tratamiento offline, online y offshore.
5. Modelos de Aviso de Privacidad del que se haga uso en la entidad para informar a los intere-
sados sobre la recogida, tratamiento y transferencias de sus datos personales.
6.Elaboración y/o adecuación de políticas de privacidad para sitios y páginas web.
7. Análisis relaciones y contratos. Contratos suscritos con terceras entidades, nacionales o in-
ternacionales, por los que se regule la prestación de algún servicio que implique el acceso a
datos personales, con independencia de que se trate de una mera descripción de servicios.
8. Documento/s de Seguridad que establezca/n las medidas físicas, técnicas y administrativas
prescritas en la normativa.
9.“Coach training” dirigido a la persona o departamento responsable en mate-
ria de protección de datos (art. 30 LFPDP). En general, capacitación a dis-
tintos niveles en la organización.
DAVARA ABOGADOS S.C.
16. www.davara.com.mx
2010
GLOSARIO
Aviso de Privacidad: Documento físico, electrónico o en cualquier otro formato generado por el respon-
sable que es puesto a disposición del titular previo al tratamiento de sus datos personales, de conformidad
con el artículo 15 de la presente Ley (art. 3, fracción I, de la LFPDP).
Bases de datos: El conjunto ordenado de datos personales referentes a una persona identificada o identi-
ficable (art. 3, fracción II, de la LFPDP).
Bloqueo: La identificación y conservación de datos personales una vez cumplida la finalidad para la cual
fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tra-
tamiento, hasta el plazo de prescripción legal o contractual de estas. Durante dicho periodo, los datos per-
sonales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a su cancelación en la base de
datos que corresponde (art. 3, fracción III, de la LFPDP).
Consentimiento: Manifestación de la voluntad del titular de los datos mediante la cual se efectúa el tra-
tamiento de los mismos (art. 3, fracción IV, de la LFPDP).
Datos personales: Cualquier información concerniente a una persona física identificada o identificable
(art. 3, fracción V, de la LFPDP).
Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o
cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particu-
lar, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de sa-
lud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical,
opiniones políticas, preferencia sexual (art. 3, fracción VI, de la LFPDP).
Días: Días hábiles (art. 3, fracción VII, de la LFPDP).
Disociación: El procedimiento mediante el cual los datos personales no pueden asociarse al titular ni
permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo (art. 3, fracción
VIII, de la LFPDP).
Encargado: La persona física o jurídica que sola o conjuntamente con otras trate datos personales por
cuenta del responsable (art. 3, fracción IX, de la LFPDP).
Fuente de acceso público: Aquellas bases de datos cuya consulta puede ser realizada por cualquier per-
sona, sin más requisito que, en su caso, el pago de una contraprestación, de conformidad con lo señalado
por el Reglamento de esta Ley (art. 3, fracción X, de la LFPDP).
Instituto: Instituto Federal de Acceso a la Información y Protección de Datos, a que hace referencia la
Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (art. 3, fracción XI, de la
LFPDP).
Responsable: Persona física o moral de carácter privado que decide sobre el tratamiento de datos perso-
nales (art. 3, fracción XIV, de la LFPDP).
Secretaría: Secretaría de Economía (art. 3, fracción XV, de la LFPDP).
Tercero: La persona física o moral, nacional o extranjera, distinta del titular o del responsable de los datos
(art. 3, fracción XVI, de la LFPDP).
Titular: La persona física a quien corresponden los datos personales (art. 3, fracción XVII, de la LFPDP).
Tratamiento: La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio.
El uso abarca cualquier acción de acceso, manejo, aprove-
chamiento, transferencia o disposición de datos personales Nuestro Glosario de Términos engloba conceptos
(art. 3, fracción XVIII, de la LFPDP). jurídicos en Derecho de las TICs tomados de distin-
tas normas nacionales que puedan ayudar en la inter-
Transferencia: Toda comunicación de datos realizada a pretación y conocimiento de las materias relaciona-
persona distinta del responsable o encargado del trata- das. Cada uno de los términos incorpora la norma de
miento (art. 3, fracción XIX, de la LFPDP). la que fue extraído como referencia. En este sentido,
todos los términos se tendrán que poner en relación
con la normativa citada, siendo incluso algunos de
interés primordialmente para investigación y compa-
ración entre las distintas regulaciones.
DAVARA ABOGADOS S.C.
17. www.davara.com.mx
2010
REFERENCIAS NORMATIVAS
Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (DOF 11/6/2002,
http://www.davara.com.mx/upload/documents/532/LFTAIPG.pdf).
Reglamento de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental
(DOF 11/6/2003, http://www.davara.com.mx/upload/documents/517/RLFTAIPG.pdf).
Lineamientos de Protección de Datos Personales (DOF 3/9/2005, http://www.davara.com.mx/upload/
documents/516/LineamientosPDP.pdf).
Recomendaciones de Seguridad para la Protección de Datos Personales (Instituto Federal de Acceso
a l a In f o r m a c i ó n P ú b l i c a , h t t p : / / w w w. i f a i . o r g . m x / d e s c a r g a r. p h p ? r = / p d f / c i u d a d a n o s /
cumplimiento_normativo/datos_personales/&a=Recomendaciones_SDP.pdf).
Decreto por el que se reforman y adicionan diversas disposiciones del Código de Comercio en
Materia de Firma Electrónica (DOF29/8/2003, http://www.davara.com.mx/upload/documents/469/
CCo.pdf).
Lineamientos Generales para la organización y conservación de los archivos de los archivos de las
dependencias y entidades de la Administración Pública Federal (DOF 20/2/2004, http://
www.davara.com.mx/upload/documents/551/Lineamientosarchivos.pdf).
Decreto por el que se reforman y adicionan diversas disposiciones de la Ley Federal de
Procedimiento Contencioso Administrativo y de la Ley Orgánica del Tribunal Federal de Justicia Fiscal y
Administrativa (DOF 12/6/2009, http://www.davara.com.mx/upload/documents/581/Decreto_LFPCA.pdf).
Decreto por el que se reforman y adicionan diversas disposiciones del Código Civil para el Distrito
Federal en Materia Común y para toda la República en Materia Federal, del Código Federal de
Procedimientos Civiles, del Código de Comercio y de la Ley Federal de Protección al Consumidor (DOF
29/5/2000, http://www.davara.com.mx/upload/documents/579/Ccom2000.pdf).
Norma Oficial Mexicana NOM-151-SCFI-2002, Prácticas comerciales-Requisitos que deben
observarse para la conservación de mensajes de datos (DOF 4/6/2002, http://www.davara.com.mx/upload/
documents/577/NOM-151.pdf).
Reglamento del Código de Comercio en Materia de Prestadores de Servicios de Certificación (DOF
19/7/2004, http://www.davara.com.mx/upload/documents/580/Reglamento_PSC.pdf).
Reglas generales a las que deberán sujetarse los prestadores de servicios de certificación (DOF
10/8/2004, http://www.davara.com.mx/upload/documents/50/ReglasPSC.pdf).
Acuerdo Interinstitucional por el que se establecen los Lineamientos para la homologación, implan-
tación y uso de la firma electrónica avanzada en la Administración Pública Federal (DOF 24/8/2006,
http://www.davara.com.mx/upload/documents/531/AI24806.pdf).
SITIOS WEB
Comisión Intersectorial para el Desarrollo del Gobierno Electrónico (CIDGE): http://www.cidge.gob.mx/
Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI):
http://www.uncitral.org/uncitral/es/index.html E
Estrategia para la sociedad de la información en América Latina y el Caribe (eLAC):
http://www.eclac.cl/socinfo/elac/
Firma electrónica avanzada (FIEL): http://portal.funcionpublica.gob.mx:8080/wb3/wb/SFP/fiel
Instituto Federal de Acceso a la Información Pública Gubernamental: http://www.ifai.org.mx
Organización para la Cooperación y el Desarollo Económico (OCDE): http://www.oecd.org
Plan Nacional de Desarrollo 2007-2012: http://pnd.presidencia.gob.mx/
Sistema Integral de Gestión Registral: http://www.firmadigital.gob.mx
Servicio de Administración Tributaria: http://www.sat.gob.mx
DAVARA ABOGADOS S.C.
18. www.davara.com.mx
2010
IMPLICACIONES JURÍDICAS DEL USO DE LAS TIC
Adquisición y uso de las TIC Seguridad de la información y de los
✓ Cumplimiento del Decreto de Austeridad y sus sistemas de comunicaciones-e
Lineamientos específicos por las AA.PP. ✓ Valor estratégico de las redes y sistemas de
✓ Elaboración por las AA.PP. del Plan Estratégico comunicaciones-e.
de Tecnologías de la Información y ✓ Medidas preventivas para evitar
Comunicaciones (PETIC) a enviar a la SFP cada ciberataques, intrusiones o usos no autorizados en
ejercicio fiscal. los sistemas de información.
Documentos y archivos electrónicos Otras cuestiones a considerar
✓ Sistema automatizado de control de gestión. ✓ Garantizar la compatibilidad e
interoperabilidad.
✓ Ciclo de vida de los documentos y archivos
(generación, tratamiento, recepción y envío). ✓ Conservación de archivos y documentos
electrónicos.
✓ En particular, la digitalización de documentos y
archivos en papel (garantías jurídicas y ✓ Prestación de servicios de certificación y otros
tecnológicas). servicios relacionados.
✓ Realización de inventarios de documentos y
archivos.
Aplicación de las TIC
✓ Admisibilidad legal del documento-e: público y ✓ Digitalización de documentos (facturas,
privado. contratos, etc.) y archivo a través de terceros de
✓ Validez probatoria del documento confianza.
(administrativo) electrónico. ✓ Contratación electrónica.
✓ Factura electrónica y presentación de impuestos
Firma electrónica por medios electrónicos.
✓ Uso de la firma-e para garantizar, entre otras, la ✓ Validez legal: equivalencia funcional del
autenticación, integridad y confidencialidad. documento-e y la firma-e.
✓ El sellado de tiempo y el no repudio en las
comunicaciones-e.
Acceso a la información, protección de
datos y medidas de seguridad
✓ Cumplimiento de obligaciones ante el IFAI u
órgano correspondiente en materia de acceso a la
información y notificación de sistemas de datos
personales.
✓ Cumplimiento de obligaciones específicas en
materia de protección de datos (principios,
derechos y procedimientos)
✓ Atención al ejercicio de los derechos de acceso,
rectificación, cancelación y oposición (ARCO).
✓ Adopción de medidas de seguridad para
garantizar la integridad y confidencialidad.
DAVARA ABOGADOS S.C.
19. W W W . D A V A R A . C O M . M X
W W W . D A V A R A . C O M . M X
DAVARA
ABOGADOS, S.C.
Boutique legal especializada en Derecho de las TIC
LA FIRMA
Davara Abogados, S.C. sólo presta otorga una gran atención a la brindar un asesoramiento experto
servicios de alta experiencia y formación y capacitación, ofreciendo internacional integral.
especialización, lo que nos permite cursos especializados en la materia a
asegurar un servicio de la más alta entidades y organizaciones, Davara Abogados, S.C. es asi-
calificación con los profesionales más adaptándolos en cada caso concreto. mimsmo miembro de la Asociación
capacitados y experimentados, Mexicana de Empresas de Inter-
incorporando asimismo la Aunque con sede en México D.F., net (AMIPCI).
participación de expertos contamos asimismo con una tradición
colaboradores independientes. y experiencia asentadas en el entorno
estadounidense y europeo, represen-
Asimismo, conscientes de la novedad tando a la American Bar Associa-
y desconocimiento de la materia, y tion (ABA), en LatAm, pudiendo así
formando ya parte de la tradición de
la Firma, Davara Abogados, S.C.
UNA APUESTA POR LA ESPECIALIZACIÓN
Comunicaciones en las diferentes áreas a las
Servicios Capacitación que se dedica la firma.
Nuestras áreas de especialización abarcan todos la Firma ofrece cursos de capacitación específicos Entre otros contenidos, los usuarios podrán
y únicamente los ámbitos de influencia de las a distintos niveles de profundización y duración, encontrar Publicaciones, tales como artículos,
Tecnologías de la Información y las Comunica- según los requerimientos y necesidades de cada conferencias y medios de comunicación;
ciones en el Derecho. cliente en particular, considerando la materia y Normativa; Otra documentación; Jurispru-
el público objetivo en particular. dencia y otras Resoluciones de interés; y un
En especial, ofrecemos servicios de asesoría y Glosario de términos.
consultoría en las siguientes cuestiones: Estos cursos versan sobre cada una de las mate-
rias objeto de especialización de la Firma, pu- Dado el carácter eminentemente internacional
● Protección de datos de carácter personal diendo ser específicos o combinando varias de de la práctica que lleva en la Firma, tanto por
● Contratos informáticos dichas materias, a petición concreta y diseño los servicios ofertados como por los clientes a
particular según las necesidades del cliente. los que presta dichos servicios, el sitio web
● Comercio y contratación electrónicos
permite el acceso a información a nivel nacio-
● Firma electrónica Para más información sobre temas, programas y nal e internacional.
● Aspectos fiscales del entorno electrónico. En honorarios, por favor contacte con nosotros en la
especial, la factura electrónica siguiente dirección de correo electrónico: Para responder a las necesidades de sus clien-
capacitacion@davara.com.mx tes y usuarios, el sitio web es constantemente
● Propiedad intelectual. En particular, nom- actualizado conforme a los cambios normati-
bres de dominio vos y jurisprudenciales que se producen en
esta área del Derecho.
● Delitos informáticos www.davara.com.mx
● Otros: gobierno electrónico, voto electróni- Además, el sitio web permite una constate
co, telemedicina, teleducación, teletrabajo, Nuestro sitio web www.davara.com.mx ofrece comunicación con los usuarios y clientes,
protección a consumidores, ADR, etc.. a sus usuarios la posibilidad de acceder de respondiendo así a sus necesidades de forma-
forma gratuita a información sobre el Derecho ción y/o asesoramiento.
de las Tecnologías de la Información y las
www.davara.com.mx Info@davara.com.mx
20. Por favor contacte con
nosotros en
www.davara.com.mx o
info@davara.com.mx o pase
a visitarnos y con todo gusto
le atenderemos.