Dr. José Rafael Minor Molina
Asesor del Titular de Asuntos Jurídicos
Auditoría Superior de la Federación
A casi un año y medio de la expedición de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y a menos de dos meses de la expedición de su reglamento, subsiste la interrogante de si el esquema de regulación propuesto en la propia ley para proteger los datos personales, será efectivo
Derecho a la protección de los derechos personales
Como resultado del contacto permanente del ser humano con sus semejantes al interior de la sociedad a la que pertenece, así como de aquellos avances tecnológicos que han venido desarrollándose en la sociedad, han comenzado a transgredirse los ámbitos que forman parte de la intimidad del ser humano. De ahí, la necesidad de una respuesta del Estado mexicano para reorientar su ámbito de protección, no solo para incluir a la facultad del individuo de rechazar invasiones a su ámbito privado, sino también para reconocer un derecho de control y acceso de sus informaciones; es decir, para que el uso y control sobre los datos concernientes a cada persona, sea reconocido ya no solo como una mera prerrogativa, sino como un derecho protegido y garantizado por mecanismos de protección idóneos.1
La Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental,2 fue expedida para regular el derecho a la información en una de sus vertientes: la del acceso a la información para garantizar el derecho a la protección de datos personales, mediante una serie de principios, derechos de los titulares de los datos, la existencia de un registro de protección de datos y de algunas reglas en torno a los procedimientos de acceso y corrección de datos personales. Pese a ello, la tarea aún estaba “pendiente respecto de los datos personales que son detentados y usados o aprovechados por entidades del sector privado; esto es, por particulares”.3
En la construcción de este entramado jurídico, fue reformado el artículo 6 de la Constitución Política de los Estados Unidos Mexicanos4 con el objeto de establecer los principios rectores que deberán ser observados en los tres niveles de gobierno, para homologar los esquemas jurídicos del ejercicio del derecho de acceso a la información.5 Así, en su fracción II, se dispuso que la Federación, los estados y el Distrito Federal, en el ámbito de sus respectivas competencias, se regirán por los siguientes principios y bases: “II. La información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que fijen las leyes”.
El siguiente paso para la consolidación del marco jurídico en materia de protección de los datos personales fue la reforma a los artículos 16 y 73 de la Constitución Política de los Estados Unidos Mexicanos. En el artículo 16 se adicionó un párrafo segundo para reconocer el derecho a la protección de los datos personales y los derechos con los que cuentan los titulares de los datos personales tales como los de acceso, rectificación, cancelación y oposición, en los siguientes términos: “Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros”.
Por su parte, la reforma al Art. 73, Fracc. XXIX-O estableció la competencia del Congreso de la Unión para legislar en materia de datos personales en posesión de los particulares.
Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su reglamento
Con fundamento en la norma constitucional transcrita se presentaron seis iniciativas para la protección de datos personales, de las cuales cuatro coincidieron en un aspecto sustantivo consistente en: “…pretender normar la protección de los datos personales en posesión de los particulares”.6 En este contexto se expidió la LFPDPPP,7 que buscó complementar las disposiciones “…que esta soberanía ha expedido en la jurisdicción federal y en el ámbito del derecho administrativo, como las contenidas en relación con la protección de los datos personales por las entidades del sector público obligadas bajo la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental…”8 Con esta ley se completaba así el marco jurídico general para la protección de datos personales.
La LFPDPPP regula la protección de los datos personales contenidos en las bases de datos en posesión de los particulares, a fin de garantizar el derecho al honor, imagen y vida privada de las personas, por lo que su ámbito de aplicación personal resulta bastante extenso.
Por otra parte, es importante destacar que el eje central de esta ley es prevenir el mal uso de los datos personales y el daño que se pueda causar a los ciudadanos (titulares de los datos personales) debido a ese mal uso, por lo que para contrarrestar tales supuestos se le reconoce a la persona un poder de control sobre la información personal que le concierne, su utilización y destino, para evitar utilizaciones ilícitas.
Para proveer lo necesario para la observancia de esa ley en la esfera administrativa, a un año y medio de la publicación de la LFPDPPP el titular del Poder Ejecutivo Federal expidió su correspondiente reglamento.9 En él se incorporan algunas precisiones para disipar interrogantes derivadas de la aplicación de la ley, tales como: el ámbito objetivo de regulación, el ámbito territorial de aplicación, el ámbito personal de aplicación con el señalamiento casuístico de los sujetos excluidos de la norma, el desarrollo del contenido de los principios de protección de datos señalados en la ley, especificidades de los avisos de privacidad y las medidas compensatorias, las disposiciones relativas a la conservación de los datos personales y otras tantas disposiciones que incorporan aspectos técnicos en el tratamiento de datos personales, su seguridad y transferencia, con el propósito de comprender al mayor número de casos hipotéticamente posibles. No menos importante es el desarrollo que el reglamento hace de los derechos ARCO,10 con el objeto de propiciar las condiciones necesarias para hacer efectivo su ejercicio.
Desarrollo normativo secundario
En virtud de que la LFPDPPP tiene como sujetos de aplicación a un amplio sector de la población que maneja datos personales,11 es posible prever que la expedición de disposiciones que regulen la actividad sectores del sector privado sea abundante, para estar en posibilidad de dar cumplimiento a las disposiciones legales y reglamentarias en materia de protección de los datos personales.
Un ejemplo que evidenció en su momento la necesidad de expedir regulaciones específicas aplicables a ciertos sectores específicos de profesionales es la Norma Oficial Mexicana (NOM-168-SSA1-1998), que establece los criterios científicos, tecnológicos y administrativos obligatorios en la elaboración, integración, uso y archivo del expediente clínico, para los prestadores de servicios de atención médica de los sectores público, social y privado, incluidos los consultorios. Como en este caso, diversos sectores, como el comercial, requerirán de orientaciones normativas para no incurrir en omisiones o excesos en el tratamiento de la información.12
Ante esta realidad y frente al dinamismo de los desarrollos tecnológicos,13 la LFPDPPP estableció la facultad para que las dependencias emitan la regulación que corresponda, con la coadyuvancia del Instituto Federal de Acceso a la Información y Protección de Datos (el Instituto). Así, el Art. 40, dispuso que: “La presente Ley constituirá el marco normativo que las dependencias deberán observar, en el ámbito de sus propias atribuciones, para la emisión de la regulación que corresponda, con la coadyuvancia del Instituto”.
Por su parte, el reglamento de la LFPDPPP señala en su Art. 77 que: “Cuando la dependencia competente, atendiendo a las necesidades que advierta sobre el sector que regule, determine la necesidad de normar el tratamiento de datos personales en posesión de los particulares podrá, en el ámbito de sus competencias, emitir o modificar regulación específica, en coadyuvancia con el Instituto”.
“Asimismo, cuando el Instituto derivado del ejercicio de sus atribuciones advierta la necesidad de emitir o modificar regulación específica para normar el tratamiento de datos personales en un sector o actividad determinada, podrá proponer a la dependencia competente la elaboración de un anteproyecto.”
Establecidas las normas constitucionales, legales y reglamentarias para la protección de datos personales en posesión de particulares se deberán generar las disposiciones específicas para los diversos sectores destinatarios de la norma. Ante este escenario, las dependencias reguladoras deberán resolver, de manera casuística, la problemática que genera el manejo de la información masiva, resultado de la aplicación de nuevas tecnologías dentro de un contexto de globalización, así como afrentar el reto de guardar el equilibrio que debe existir entre la expedición de la normativa que se requiera para el tratamiento de datos personales en posesión de los particulares, y una posible sobrerregulación que acabe siendo el principal obstáculo para la protección de los denominados derechos ARCO.
La regulación, por otra parte, deberá satisfacer los estándares mínimos en materia de técnica legislativa para comunicar eficientemente a los receptores de las normas, la conducta deseada. Son muchos los ejemplos de desarrollos normativos (misceláneas, disposiciones generales, lineamientos) en donde este aspecto está ausente.
El entramado jurídico está en construcción. Su puesta en marcha deberá lograr, entre otras cosas, generar una nueva cultura de la transparencia en armonía con la protección de un derecho fundamental: el derecho a la protección de los datos personales.
Referencias:
1 García González, Aristeo. “La Protección de Datos Personales: Derecho Fundamental del Siglo XXI. Un estudio comparado”, Boletín Mexicano de Derecho Comparado, nueva serie, año XL, núm. 120, septiembre-diciembre de 2007, pp. 743-778.
2 Publicada en el Diario Oficial de la Federación el 11 de julio de 2002
3 Iniciativa de Ley de Protección de Datos Personales, presentada a la Cámara de Diputados el 22 de marzo de 2006, a cargo de la Diputada Sheyla Fabiola Aragón Cortés.
4 Publicada en el Diario Oficial de la Federación el 20 de julio de 2007.
5 Sobre el particular, en el dictamen de las Comisiones Unidas de Puntos Constitucionales y de la Función Pública, de la Cámara de Diputados se destacó que: “La iniciativa que se dictamina, surge de un análisis pormenorizado y exhaustivo de una problemática nacional que no debemos aceptar: luego de cuatro años de marcha de las leyes de transparencia y acceso a la información, se ha cristalizado una heterogeneidad manifiesta y perjudicial de los cimientos para el ejercicio del derecho, que contienen diversas leyes, tanto federal como estatales”.
6 Dictamen de la Comisión de Gobernación, con Proyecto de Decreto por el que se expide la Ley Federal de Protección de Datos Personales en Posesión de los Particulares; y se Reforman los Artículos 3, Fracciones II y VII, y 33, así como la denominación del Capítulo II del Título Segundo de La Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental. México, D.F. martes 13 de abril de 2010. Gaceta Parlamentaria No. número 2987-VI.
7 Publicada en el Diario Oficial de la Federación el 5 de julio de 2010,
8 Iniciativa de Ley de Protección de Datos Personales, presentada a la Cámara de Diputados el 22 de marzo de 2006, a cargo de la diputada Sheyla Fabiola Aragón Cortés,
9 Publicada en el Diario Oficial de la Federación el 21 de diciembre del 2011.
10 Que conforme al artículo 2 fracción, II., del Reglamento LFPDPPP:” Son los derechos de acceso, rectificación, cancelación y oposición;…”.
11 “Como los profesionistas o personas físicas que prestan sus servicios de manera independiente, abogados, médicos o contadores, con inclusión de las organizaciones y micros, pequeñas, medianas y grandes empresas, bancos, instituciones educativas, tiendas de autoservicio y departamentales, aseguradoras, asociaciones de profesionistas, clubes deportivos, entre otros.” Guía práctica para ejercer el derecho a la protección de datos personales. Instituto Federal de Acceso a la Información y Protección de Datos. Enero 2012.
12 Véase por ejemplo la nota aparecida en el diario El Economista, del 1 de agosto de 2010, que señala: “A los clientes del Puerto de Liverpool que solicitan el cambio de alguna prenda de vestir se les solicita su huella digital, sin embargo, esta práctica no se justifica en términos del Código Civil Federal y la nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares”.
13 Obsérvese, por ejemplo, que el artículo 52 del reglamento de la LFPDPPP, que señala que: “para el tratamiento de datos personales en servicios, aplicaciones e infraestructura en el denominado cómputo en la nube, en los que el responsable se adhiera a los mismos mediante condiciones o cláusulas generales de contratación, solo podrá utilizar aquellos servicios en los que el proveedor…” responde a una necesidad de inminente actualidad.