Por más de una década, se han venido debatiendo en México diversas iniciativas de ley, sobre la Protección de los Datos Personales. Entre otras causas, la influencia de la Directiva de la Unión Europea y la legislación Española, fueron determinantes en impulsar esta tendencia y en fechas mas recientes, fueron igualmente recogidos los principios de la Organización para la Cooperación y el Desarollo Económico (OCDE), organismo del cual México forma parte.
Los tratados de libre comercio celebrados por México con Europa, presionaron en alguna medida a nuestro país para tener una legislación sobre esta materia, amén de otros intereses que sería largo comentar.
El presente artículo pretende describir algunos aspectos de relevancia en torno a la legislación mexicana recientemente aprobada.
Dentro de los esfuerzos legislativos, durante la secuela del trámite de las diversas iniciativas presentadas a partir de 2001, se pudo constatar que el Congreso de la Unión NO tenía facultades para legislar en esta materia. Por tal razón, se consideró indispensable reformar la Constitución y no sólo ello, sino también elevar la Protección de Datos Personales, al rango de Garantía Individual.
A principios del año 2010, coexistían en la Cámara de Diputados dos iniciativas sobre la misma materia. La actual Legislatura tomó en cuenta los textos mas apropiados y elaboró un nuevo proyecto para la aprobación por el Pleno de dicha Cámara.
Aprobada que fue la Iniciativa, se turnó inmediatamente al Senado de la República, quien finalmente y en fast track, igualmente aprobó sin modificación y unanimidad, la que hoy es la Ley Federal de Protección de Datos Personales en posesión de los Particulares y que igualmente incluye reformas a la Ley del IFAI, entre otras cosas, para cambiar su denominación al de Instituto Federal de Acceso a la Información y Protección de Datos, dado que esta será la autoridad que regule la aplicación de la Ley.
Esta Ley tiene por objeto:
Asimismo, se encuentran dentro de sus objetivos el dotar con 7 importantes derechos, a los Titulares de los datos personales y que tradicionalmente se denominan por la doctrina, como los derechos de “Habeas Data”:
1. Obtener el consentimiento del Titular, previo al tratamiento de sus datos, incluyendo los “sensibles”, mediante el documento denominado “Aviso de Privacidad”.
2. Acceder a sus Datos Personales que obren en poder del Responsable.
Uno de los aspectos particularmente regulados es el del “tratamiento” que se dé a los datos personales. Es por ello que consideramos oportuno desde ahora transcribir la definición del concepto de “Tratamiento”, que en la Ley se define como “la obtención, uso, divulgación o almacenamiento de Datos Personales; asimismo, el acceso, manejo, aprovechamiento, transferencia o disposición de los datos del Titular”.
· LOS PROTAGONISTAS
El Titular:
La persona física a quien corresponden sus Datos Personales.
El Responsable:
Persona física o moral de carácter privado (sociedades mercantiles) que decide sobre el tratamiento de Datos Personales. Incluye a quienes hacen de esta actividad su ocupación ordinaria.
El Encargado:
La persona física o jurídica que sola o conjuntamente con otra trate datos personales por cuenta del Responsable. En los grandes corporativos multinacionales normalmente existe un alto ejecutivo encargado de supervisar el cumplimiento de esta Legislación.
El Instituto:
Autoridad Reguladora ante quien se ventilarán los procesos para el ejercicio por parte de los Titulares de los derechos de “Habeas Data”. Tal actividad se encomienda al “IFAI”, quien igualmente podrá practicar visitas de verificación del cumplimiento de la Ley, a petición de parte o de oficio, atender las quejas de los particulares, e imponer multas severas.
La PGR:
Quien se encargará de atender e investigar las posibles denuncias por los delitos que establece la Ley de la materia.
Dentro del esquema de un mundo de libertades y buscando equilibrar la protección de los datos personales del individuo, frente al derecho de las empresas para utilizarlos, comercializarlos, etc., el elemento esencial en este balance se encuentra en el consentimiento de las personas, para que se utilicen o no sus Datos Personales.
Será expreso cuando la voluntad así se manifieste verbalmente, por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos.
Se entenderá que el Titular consiente tácitamente el tratamiento de sus datos, cuando habiéndose puesto a su disposición el “aviso de privacidad” al que nos referimos mas adelante, no manifieste su oposición. Esto es, el consentimiento se entiende otorgado en forma tácita.
En el caso de los datos financieros o patrimoniales, se requerirá el consentimiento expreso de su Titular e igual señalamiento se especifica para el tratamiento de los “datos sensibles”.
La Ley lo define como el documento físico, electrónico o de cualquier otro formato, el cual deberá ser puesto previamente a disposición del Titular, para obtener su consentimiento para el tratamiento de sus Datos Personales.
Esto es una novedad e implicará algunos cambios en la forma en que se conducen los negocios y las operaciones de muchas empresas de mercadotecnia, que operan, manejan, comercializan o utilizan bases de datos, ya que de ahora en adelante se deberán asegurar previamente al tratamiento de las bases de datos, el que el Titular cuya información se encuentre almacenada en las mismas, haya dado el consentimiento en el formato del aviso de privacidad antes mencionado, con la amplitud o limitaciones que en tal “Aviso” se especifiquen.
Se otorga especial protección en la Ley a los denominados “datos sensibles”. Dichos “datos sensibles” se definen como aquellos datos personales que afectan a la esfera más íntima de su titular o cuya utilización indebida pueda dar origen a discriminación, o conlleve un riesgo grave para éste. En particular se consideran “sensibles” aquellos datos que puedan revelar aspectos como:
- Origen racial o étnico. – Creencias filosóficas y morales.
- Estado de salud presente o futuro. – Afiliación sindical.
- Información genética. – Opiniones políticas.
- Creencias religiosas. – Preferencia sexual.
El tema es muy delicado porque el tratamiento incorrecto de los “datos sensibles” y la falta de cumplimiento de algunas de las obligaciones correspondientes establecidas en la Ley, pueden ser sancionadas con multas de cuantía severa e inclusive, tipificarse como delito con pena hasta de 10 años de prisión.
Es muy importante tomar en cuenta que las vulneraciones de seguridad (violaciones de seguridad, virus, hackers, acceso indebido, robo y venta de las bases de datos, etc.) que sufra el Responsable y que afecten de forma significativa los derechos patrimoniales o morales de los titulares, deberán ser informadas de forma inmediata por el Responsable al Titular, a fin de que éste pueda tomar las medidas correspondientes a la defensa de sus derechos.
Otra hipótesis diferente que debemos señalar, es el caso de que si la vulneración de la seguridad de las bases de datos y demás equipo de cómputo sea imputable al “Encargado” e inclusive, probablemente al Responsable, ello se sancionaría con multas que corren desde los $10,000 a los $18´000,000. También cuando con ánimo de lucro, el autorizado provoque una vulneración de seguridad a las bases de datos bajo su custodia, esto se considera delito y se sanciona con prisión de 3 meses a 3 años.
La Ley presume la obligación del Responsable de guardar la confidencialidad de los datos personales del Titular. El incumplir el deber de confidencialidad se sanciona con multa que corre del $10,000 a $18´000,000.
El Titular que desee ejercitar cualquiera de los derechos que la Ley le confiere (Habeas Data), podrá iniciar el ejercicio correspondiente directamente con el Responsable de la empresa que tenga o almacene supuestamente sus datos.
Si la empresa ignora o niega al Titular su petición, el Titular podrá acudir al IFAI.
Ante el IFAI el procedimiento se inicia con una demanda del Titular, la cual se tramitará en términos de Ley y será resuelta según se acrediten o no, los extremos solicitados.
Esto es, el Titular quejoso deberá acreditar que sus derechos de “Habeas Data” no le fueron satisfechos por la empresa responsable y esto puede ser desde una negativa formal, hasta ignorar totalmente la solicitud correspondiente.
Desde luego, el IFAI tiene que otorgar a la empresa supuestamente responsable, los derechos de la garantía de audiencia previa y de legalidad, esto es, de que pueda defenderse y ofrecer las pruebas de descargo correspondientes. El procedimiento concluye después de los alegatos del responsable y el IFAI dictará una resolución, bien sea a favor o en contra del Titular reclamante.
Se le concederá a quien resulte culpable, un plazo perentorio para satisfacer la petición del Titular y en su caso, la falta de cumplimiento podría ocasionar la imposición de multas severas en su contra. Estos procedimientos se detallarán en el Reglamento de la Ley.
Esta legislación permite la transferencia de datos sin que se requiera el consentimiento del Titular, cuando dicha transferencia sea efectuada a sociedades controladoras, subsidiarias o a la casa matriz o a cualquier sociedad del mismo grupo del Responsable.
Multas
Las multas por infracción a los derechos del Titular y cualesquiera otras violaciones a la Ley, se sancionan con multas sumamente cuantiosas, que pueden alcanzar hasta la suma de trescientos veinte mil días de salario mínimo ($18´000,000).
Delitos
Se tipifican como delitos los siguientes:
Artículo 67. Se impondrán de tres meses a tres años de prisión al que estando autorizado para tratar datos personales, con animo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia.
Artículo 68. Se sancionará con prisión de seis meses a cinco años al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos.
Artículo 69. Tratándose de datos personales sensibles, las penas a que se refiere este Capítulo se duplicarán.
Consideramos que tanto las multas como los delitos podrían resultar inconstitucionales, esto sujeto a un estudio mas profundo del tema.
SÍGUENOS
© 2010 Netmedia S.A. de C.V.
Políticas de privacidad
Sócrates 128 4to piso, Polanco
CP 11560, México D.F.
Tel: 2629 7260