1. Protección de datos personales
La protección de datos personales es la salvaguardia de la información generada por un individuo
antes de nacer y durante toda su vida, es en general, el conjunto de información sobre una persona
física.
La Ley Federal de Transparencia y Acceso a la Información Pública señala que los datos personales
son: “La información concerniente a una persona física, identificada o identificable, entre otra, la
relativa a su origen étnico o racial, o que esté referida a las características físicas, morales o
emocionales, a su vida afectiva y familiar, domicilio, número telefónico, patrimonio, ideología y
opiniones políticas, creencias o convicciones religiosas o filosóficas, los estados de salud físicos o
mentales, las preferencias sexuales, u otras análogas que afecten su intimidad”1.
Para la OCDE los datos personales son cualquier información relacionada con un individuo
identificado o identificable.
En México, la protección de datos personales en posesión del gobierno se ha regulado en diversas
disposiciones, como:
Código Civil y Código de Comercio en lo relativo a Registro Público,
Ley Federal de Derechos de Autor en materia de protección a bases de datos,
Ley para regular las Sociedades de Información Crediticia,
Ley de Instituciones de Crédito,
Ley Federal de Instituciones y Procedimientos Electorales
Circular Única Bancaria,
Ley General de Salud
Ley de Transparencia y Acceso a la Información Pública Gubernamental
Ley Federal de Transparencia y Acceso a la Información Pública
Así como toda la normatividad emitida por la Administración Pública:
Reglamento de la Ley Federal de Transparencia y Acceso a la Información Pública.
Lineamientos que deberán observar las dependencias y entidades de la Administración
Pública Federal en la recepción, procesamiento, trámite, resolución y notificación de las
solicitudes de corrección de datos personales que formulen los particulares.
Lineamientos que deberán observar las dependencias y entidades de la Administración
Pública Federal en la recepción, procesamiento y trámite de las solicitudes de acceso a la
información gubernamental que formulen los particulares, así como en su resolución y
notificación, y la entrega de la información en su caso, con exclusión de las solicitudes de
acceso a datos personales y su corrección.
Lineamientos que deberán observar las dependencias y entidades de la Administración
Pública Federal en la recepción, procesamiento, trámite, resolución y notificación de las
solicitudes de acceso a datos personales que formulen los particulares, con exclusión de
las solicitudes de corrección de dichos datos.
1
http://www.ifai.org.mx/transparencia/LFTAIPG.pdf
2. Lineamientos que deberán observar las dependencias y entidades de la Administración
Pública Federal para notificar al Instituto el listado de sus sistemas de datos personales.
Lineamientos de protección de datos personalesquot;
Recomendaciones sobre medidas de seguridad aplicables a los sistemas de datos
personales.2
Así también Estados como Sonora, Michoacán, Tlaxcala, Zacatecas, Yucatán, Baja California,
Coahuila y Nuevo León regulan la protección de datos personales en manos de gobierno.
A nivel constitucional, el artículo 6 fracción II sostiene que la información que se refiere a la vida
privada y los datos personales será protegida en los términos y con las excepciones que fijen las
leyes. La fracción tercera del mismo artículo señala que toda persona, sin necesidad de acreditar
interés alguno o justificar su utilización, tendrá acceso gratuito a la información pública, a sus
datos personales o a la rectificación de éstos.
Es decir, por un lado se protege el derecho de privacidad de los datos personales y reconoce el
derecho que tiene cada individuo de rectificar y tener acceso a sus datos personales y por el otro
se encomienda a la ley la regulación de este derecho.
Asimismo, el 18 del junio de presente año se reformó el artículo 16 de nuestra Carta Magna, esta
reforma protege las comunicaciones privadas señalando su inviolabilidad, asimismo, sanciona
penalmente cualquier acto que atente contra la libertad y privacidad de los datos personales,
señalando como única excepción a este derecho la autorización que realice exclusivamente la
autoridad judicial federal, a petición de la autoridad federal que faculte la ley o del titular del
Ministerio Público de la entidad federativa correspondiente, para intervenir cualquier
comunicación privada.
Además, de esta excepción se ponen más candados que limitan la actuación de la autoridad en esta
materia, toda vez que la solicitud requiere que:
la autoridad competente funde y motive las causas legales de la solicitud,
exprese el tipo de intervención,
los sujetos de la misma, y
su duración.
Y no podrá otorgar estas autorizaciones cuando se trate de materias de carácter electoral, fiscal,
mercantil, civil, laboral o administrativo, ni en el caso de las comunicaciones del detenido con su
defensor.
Como podemos observar la protección de datos personales se eleva a rango constitucional y se
enuncia como derecho fundamental, se limitan los actos de autoridad que afectan la privacidad de
los datos personales y se protegen los datos personales que están en manos del gobierno, sin
embargo no existe disposición que regule la protección de dichos datos en manos de particulares.
Existen diversas iniciativas que tratan de regular esta materia, entre ellas las siguientes:
Iniciativa de Reforma al Art. 73 Constitucional en Materia de Datos
Personales presentada el 27/03/2007 aprobada en la Cámara de Diputados.
2
http://www.ifai.org.mx/CumplimientoNormativo/normatividad
3. Esta iniciativa adiciona el inciso N) a la fracción XXIX del artículo 73 de la Constitución Política
de los Estados Unidos Mexicanos, para quedar como sigue:
Artículo 73. El Congreso tiene facultad:
I. a XXVIII. ...
XXIX. a XXIX-M. ...
XXIX-N. Para legislar en materia de protección datos personales en posesión de particulares.
XXX ...
En este sentido, los Estados estarían impedidos para legislar en materia de protección de datos,
toda vez que sería materia federal. Sin embargo, como ya mencionamos en este trabajo, existen
estados de la República que ya cuentan con algunas disposiciones sobre la materia en sus leyes de
acceso a la información pública.
Iniciativa con proyecto de Decreto que expide la Ley de Protección de Datos
Personales, presentada por el Diputado Miguel Barbosa Huerta, del Grupo
Parlamentario del Partido de la Revolución Democrática (PRD), en la sesión
del jueves 6 de septiembre de 2001. Estatus pendiente.
Esta iniciativa de ley tiene por objeto la protección integral de los datos personales asentados
en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos,
sean éstos públicos o privados destinados a dar informes.
Asimismo se aplicara en todo el territorio nacional y en el extranjero cuando la
legislación mexicana resulte aplicable de acuerdo con normas de derecho internacional
público. Obviamente esta disposición fue atendiendo a que los medios electrónicos de
distribución de datos, Internet, no tienen fronteras y por tanto se debe garantizar que
existan artículos que den estrada e internalicen las disposiciones a nivel internacional
sobre la materia.
Esta iniciativa distingue entre datos de carácter personal y datos sensibles, señalando que:
Los datos de carácter personal: Cualquier información numérica, alfabética,
gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recolección,
registro, tratamiento o transmisión referida a personas físicas o morales
determinadas o determinables, identificadas o identificables, y que
Los datos sensibles: son los datos personales que revelan origen racial y étnico,
opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación
sindical e información referente a la salud o a la vida sexual.
Así también, señala como Principios fundamentales para la protección de datos
personales lo siguientes:
Consentimiento del titular en el tratamiento de datos
Tratamiento de datos sensibles
Condición de los datos personales sujetos a tratamiento
Derecho de información del afectado en el tratamiento de datos personales
Datos de carácter personal relativos a la salud
Deber de confidencialidad del responsable y encargados del fichero
Deber de confidencialidad del responsable y encargados del fichero
4. Terceros frente a datos de carácter personal objeto de tratamiento
Terceros frente a datos de carácter personal objeto de tratamiento.
Respecto al consentimiento del titular del tratamiento de los datos señala que no será
necesario dicho consentimiento cuando los datos se recaben para el ejercicio de funciones
propias de los poderes del Estado o en virtud de una obligación legal; cuando los datos se
obtengan exclusivamente de fuentes de acceso público; cuando los datos deriven de una
relación contractual, científica o profesional del titular de los datos, y resulten necesarios
para su desarrollo o cumplimiento; cuando se trate de listados cuyos datos se limiten a
nombre, documento nacional de identidad, identificación tributaria o previsional,
ocupación, fecha de nacimiento y domicilio, o se trate y deriven de operaciones que
realicen entidades financieras y de las informaciones que reciban directamente de sus
clientes.
Tal parece que casi para ningún caso se requiere el consentimiento de la persona.
En cuanto al derecho de información del afectado en el tratamiento de datos personales se
requiere que al momento de recabar los datos se le informe a la persona en forma expresa
e inequívoca la finalidad para la que serán tratados y los destinatarios de la información;
la existencia del fichero y la identidad y domicilio de su responsable y encargado; el
carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga; de
las consecuencias de la captura de los datos o de la negativa a suministrarlos; de la
legitimidad del titular a ejercer los derechos de acceso, rectificación, cancelación u
oposición.
Esta iniciativa crea el Registro Nacional de Protección de Datos, que estará integrado al
Instituto Nacional de Estadística, Geografía e Informática, cuyo objeto será la inscripción
de los ficheros de que sean titulares las entidades de los Poderes de la Unión, de
titularidad privada.
Así también, dispone que el incumplimiento de sus disposiciones será sancionado como
delito, y sostiene que:
Se impondrá sanción de uno a tres años de prisión:
Al que insertara o hiciera insertar a sabiendas datos falsos en un fichero de
datos personales.
Al que proporcionara a un tercero a sabiendas información falsa contenida
en un fichero de datos personales.
Y se impondrá sanción de dos a cinco años de prisión:
Al que a sabiendas e ilegalmente, o violando sistemas de confidencialidad
y seguridad de datos, accediere, de cualquier forma, a un fichero de datos
personales;
Al que revelare a otro información registrada en un fichero o banco de
datos personales, cuyo secreto estuviere obligado a preservar por
disposición de una ley.
Iniciativa con proyecto de Decreto por el que se crea la Ley Federal de
Protección de Datos Personales. Dip. Jesús Emilio Martínez Álvarez
5. diputado federal a la LIX Legislatura, integrante del grupo parlamentario
de Convergencia. Estatus pendiente
Esta iniciativa tiene como objeto garantizar la protección de los datos personales que se
encuentren contenidos en documentos, archivos, registros, bancos de datos, o bien, en
otros medios tecnológicos de procesamiento de datos, sean de carácter públicos o
privados, a efecto de proteger y garantizar la identidad personal, la privacidad, la imagen
y el honor, así como el acceso a la información en los términos de los artículos 6, 14 y 16
de la Constitución Política de los Estados Unidos Mexicanos.
Esta ley distingue entre datos personales e íntimos:
Datos personales: Información referente a una persona física, determinada o
determinable.
Datos íntimos: son los datos personales relacionados con las características físicas,
morales, psicológicas o emocionales de la persona, con su vida afectiva y familiar,
con su origen racial o étnico, con sus preferencias sexuales, así como con sus
convicciones religiosas, opiniones ya sean políticas o, de otra índole, con sus
estados de salud física y emocional.
Al contrario de la anterior en que se señalaba en que casos no se requerirá el
consentimiento, en esta ley se plantea cuando si se requiere dicho consentimiento y señala
que queda prohibido el tratamiento de los datos personales que revelen ideologías, origen
racial o étnico, convicciones religiosas y no religiosas o de cualquier tipo, hábitos y
comportamientos personales, orientación y vida sexual, rasgos físicos y psíquicos, estado
de salud, opiniones políticas, afiliación partidaria, salvo que los ordenamientos jurídicos
dispongan lo contrario o medie consentimiento de su titular siempre que no sea factible su
identificación.
Asimismo, al igual que la anterior señala, no como principio fundamental, los derechos de
los titulares:
Toda persona puede solicitar información al organismo de control relativa a la
existencia de archivos, registros, bases o bancos de datos personales, sus
finalidades y la identidad de sus responsables. El registro que se lleve al efecto
será de consulta pública y gratuita.
El titular de los datos, previa acreditación de su identidad, tiene derecho a solicitar
y obtener información de sus datos personales que obren en bancos de datos
públicos o privados destinados a proveer informes. El responsable o usuario debe
proporcionar la información requerida dentro de los diez días hábiles siguientes a
la solicitud de la información, en caso de que en el plazo señalado no se hubiera
proporcionado la misma, o bien, se estimara insuficiente, se podrá entablar la
acción de protección de los datos personales prevista en esta ley.
Toda persona tiene derecho a solicitar que sus datos personales sean rectificados,
actualizados, mantenidos de forma confidencial y, en los casos en que sea
procedente, eliminados.
Al igual que la anterior esta iniciativa de ley crea un Instituto encargado de controlar,
organizar, estructurar, evaluar y vigilar la protección de los datos personales, que se
6. encuentran en los bancos de datos, archivos o registros; así como a los responsables de los
mismos, regulados por esta ley, sin embargo este instituto será conforme a la Ley Federal
de Transparencia y Acceso a la Información Pública, no como en la iniciativa anterior,
dependiente del INEGI.
Esta iniciativa crea la Acción de Protección de los Datos Personales, al contrario de la
anterior que consideraba la tipificación de delitos.
Señala que pueden ejercer dicha acción los titulares de los datos personales para conocer
los datos personales almacenados en archivos, registros o bancos de datos públicos o
privados destinados a proporcionar informes, así como la finalidad de aquellos y para
solicitar la rectificación, supresión, confidencialidad o actualización de los datos
personales en los casos en que se presuma la falsedad, inexactitud, desactualización de la
información de que se trata, o el tratamiento de datos cuyo registro se encuentra prohibido
en la presente ley.
Iniciativa con proyecto de Decreto por el que se crea la Ley Federal de
protección de datos personales, a cargo de la Diputada Sheyla Fabiola
Aragón Cortés, del grupo Parlamentario Del PAN. Estatus pendiente.
Esta iniciativa de ley tiene por objeto proteger los datos personales,
Al igual que en las anteriores se distingue entre datos personales y datos sensitivos:
Datos personales. Los datos personales de identificación, y los datos personales
sensitivos.
Datos personales sensitivos. La siguiente información concerniente a una persona
física, o moral cuando resulte aplicable:
a) Cualquiera que especifica o permite acceder o conocer balances o saldos de
cuentas o estados financieros del titular, o en general datos relativos al
conocimiento de claves o números de identificación personal de cuentas o tarjetas
bancarias, de inversión, títulos u otros instrumentos de crédito; y
b) Cualquiera relacionada con la condición médica o de salud, de origen racial o
étnico, creencias religiosas, opiniones políticas o preferencia sexual del titular.
Esta iniciativa afirma que ninguna entidad puede recolectar datos personales de un titular,
a menos que dicha entidad proporcione al titular un aviso de privacidad, con las
características siguientes:
La identidad de la entidad regulada que recolecta los datos personales;
El tipo de datos personales que son recolectados;
El fin primario y cualquier fin secundario para los cuales se recolectan y usan los
datos personales;
Cualesquiera opciones y medios que la entidad ofrezca a los titulares para limitar
el uso y divulgación de datos personales para fines secundarios, de conformidad
con lo dispuesto en esta ley;
Los medios por los cuales el titular puede contactar a la entidad regulada que
recolecta los datos personales, para plantear dudas, comentarios o quejas al
respecto;
7. El proceso por el cual la entidad regulada notifica a los titulares de cambios
sustanciales al aviso de privacidad, de conformidad con lo previs en esta ley; y
to
La vigencia del aviso de privacidad.
Al igual que las anteriores tiene un capitulo de derechos de los titulares de los datos
personales donde señala que toda entidad que recolecte datos personales debe informar a
su respectivos titulares, a solicitud de éstos, los datos personales que sobre ellos obren en
su poder a efecto de que tales titulares puedan solicitar por escrito la corrección,
modificación o supresión de dicha información, si ésta fuera incompleta, inexacta o
tratada para fines distintos a los previamente consentidos.
Esta iniciativa de ley no crea ningún órgano nuevo sino que atribuye al Instituto Federal
de Acceso a la Información Pública llevar el registro del sistema de datos personales,
mismo que debe contener:
a) Nombre y domicilio del responsable;
b) Características y finalidad del sistema de datos personales;
c) Naturaleza de los datos personales;
d) Forma de recolección y actualización de datos personales;
e) Destino de los datos y personas físicas o morales a las que pueden ser
transmitidos; entre otros.
Además de orientar y asesorar a las personas, acerca de los derechos tutelados, así como
de los procedimientos y medios legales de que disponen para la defensa de los mismos;
interpretar la ley en el orden administrativo; realizar investigaciones respecto de presuntas
infracciones administrativas; llevar a cabo visitas de inspección; solicitar la información
que sea necesaria a las entidades, a efecto de verificar el cumplimiento de la ley, entre
otras.
Asimismo crea un capitulo en el que determina las infracciones a esta ley:
El Instituto impondrá a las entidades infractoras de las disposiciones contenidas en esta
ley, atendiendo a los daños que se hubieren causado o puedan causarse; el carácter
intencional o no de la acción u omisión constitutiva de la inobservancia a la ley; la
gravedad de esta o la reincidencia, una o más de las siguientes sanciones:
I. Amonestación con apercibimiento; y
II. Multa de 100 a 20,000 días de salario mínimo general vigente en el Distrito
Federal, a la fecha en que se comete a la infracción.
En caso de reincidencia, se podrá imponer multa hasta por el doble del monto con el que
se haya sancionado originalmente a la entidad infractora.
Como se observa de la lectura de estas iniciativas leyes, formulan un trato similar en
cuanto al manejo de los datos personales, distinguen entre datos personales de manera
general y datos personales sensibles o de mayor importancia, así también están seguros de
la prioridad de crear o atribuir a algún órgano ya existente el registro de datos personales
así como la aplicación de sanciones, ya sean penales o administrativas.
Sin embargo, la situación de estas iniciativas esta pendiente, por lo que no esperamos que
en esta legislatura se aprueba alguna de estas iniciativas, las tres tienen sus pros y sus
8. contras, la última le da más poder al Instituto Federal de Acceso a la Información Pública,
la primera crea tipo penales, etc.
Creo que lo más importante es que cualquiera que pueda ser aprobada, le dará a los
titulares de datos personales mayor certeza y seguridad, en cuanto al manejo de su
información, ya sea por organismo públicos o privados.