Protección de datos personales en México Septiembre 2010
Contenido de la exposición I. Generalidades del derecho a la protección de datos II. III. IV. VI. El derecho a la protección de datos en México Normatividad federal Normatividad estatal De aplicación general en toda la República El derecho a la protección de datos en el sector público LFTAIPG Principios y Derechos- Actuación del IFAI como autoridad garante Retos
I Generalidades del derecho a la protección de datos
Cómo surge el derecho? Del derecho a la intimidad (noción tradicional a ser dejado solo ). Por el uso vertiginoso de las tecnologías de la información.
En qué consiste el derecho? Es el poder de disposición y control que faculta a su titular a decidir cuáles de sus datos proporciona a un tercero, así como el saber quién posee esos datos y para qué, pudiendo oponerse a esa posesión o uso (autodeterminación informativa). Es el derecho que tiene toda persona a conocer y decidir, quién, cómo y de qué manera recaban y utilizan sus datos personales.
Qué son los datos personales? Toda información concerniente o relativa a una persona física identificada o identificable.
Ejemplos Identificación Nombre, edad, domicilio, sexo, RFC, CURP... Patrimoniales Cuentas bancarias, saldos, propiedades... Salud Estados de salud físicos y mentales... Biométricos Huellas dactilares, iris, voz, firma autógrafa... Íntimos Ideología, afiliación política, religión, preferencia sexual...
Datos personales sensibles Revelan aspectos íntimos o particulares de las personas: El origen racial o étnico. El estado de salud presente y futuro. La información genética. Las creencias religiosas, filosóficas y morales. La afiliación sindical. Las opiniones políticas. La preferencia sexual. Los datos personales sensibles o especialmente protegidos al revelar aspectos muy íntimos y particulares de la vida privada de las personas, merecen de medidas de protección más exigentes y robustas.
Otros conceptos importantes Titular: persona física a quien corresponden los datos personales. Bases de datos: conjunto ordenado de datos personales referentes a una persona identificada o identificable. Tratamiento: obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales. Responsable: persona física o moral de carácter privado que decide sobre el tratamiento de datos personales. Encargado: persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable. Transferencia: toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento.
II El derecho a la protección de datos en México
La primera mención a nivel constitucional Reforma al artículo 6 constitucional, en la cual se reconoce el derecho de acceso a la información como una garantía fundamental -el 20 de julio de 2007-. Las fracciones II y III tienen la virtud de ser las primeras menciones constitucionales expresas que hacen un reconocimiento del derecho a la protección de datos personales y se constituyen como limitantes al ejercicio del derecho de acceso a la información. Estas fracciones señalan que: La información a que se refiere la vida privada será protegida en términos de ley respectiva. Toda persona tiene derecho a acceder y rectificar sus datos personales.
Los artículos 16 y 73 constitucionales El 2009 se distingue por la concreción de dos relevantes acontecimientos relacionados con la consolidación del derecho a la protección de datos en México, la aprobación de las reformas a los artículos 16 y 73 de la Constitución. El artículo 16 constitucional incorpora a la lista de garantías fundamentales consagradas en nuestra Carta Magna, el derecho a la protección de datos personales y lo dota de contenido, a saber: Artículo 16. Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros. Por su parte, el artículo 73 constitucional dota de facultades al Congreso de la Unión para legislar en materia de protección de datos personales en posesión de particulares.
A nivel Federal: LFTAIPG Este instrumento reconoce por primera vez en México la protección de los datos personales. Se limita a las bases de datos del sector público a nivel federal. Es a la vez, una ley de acceso a la información y una ley de protección de datos personales (limitada en su ámbito de aplicación). Su capítulo IV establece un marco muy general que regula la obtención, almacenamiento, transmisión, uso y manejo de los datos personales en posesión de dependencias y entidades federales.
A nivel estatal En todos los Estados y el D.F. se regula la Protección de Datos Personales en entes Públicos, ya sea en las mismas Leyes de Transparencia o en Leyes especiales sobre Protección de Datos Personales. En 4 Estados (Colima, D.F., Guanajuato y Oaxaca) existe Ley especial en materia de Protección de Datos Personales (Ley de Datos Personales) En 4 Estados (Colima, Jalisco, Querétaro y Tlaxcala) se regula la Protección de Datos Personales en entes Privados o Particulares. En 2 Estados (Jalisco y Querétaro) se aplica supletoriamente el Código Civil Local para la Protección de Datos Personales en Privados. Cabe señalar que no es claro lo establecido en el Código Civil Local. 21 Estados han emitido Lineamientos, Reglamentos o Manuales en materia de Protección de Datos Personales en entes Públicos (Sujetos Obligados) Sólo 2 Estados (Oaxaca y Tlaxcala) regulan la implementación de un Registro Estatal de Datos Personales.
De aplicación en toda la República: LFPDPPP El 13 de abril de 2010 la Cámara de Diputados aprobó el proyecto de decreto por el que se expide la Ley Federal de Protección de Datos Personales en posesión de los particulares. Por su parte, la Cámara de Senadores aprobó por unanimidad dicho dictamen, el 27 de abril de 2010. Finalmente, el 5 de julio de 2010 el Poder Ejecutivo Federal publicó en el Diario Oficial de la Federación la Ley.
El derecho a la protección de datos en el sector público LFTAIPG -Principios y Derechos-
Uno de los objetivos de la LFTAIPG es: Artículo 4, fracción III: Garantizar la protección de los datos personales en posesión de los sujetos obligados.
Lineamientos de protección de datos personales Publicados por el IFAI el 30 de septiembre de 2005. Establecen procedimientos para garantizar a las personas la facultad de decisión sobre el uso y destino de sus datos, con el propósito de asegurar su adecuado tratamiento e impedir su transmisión ilícita y lesiva; Establecen las condiciones y requisitos para el manejo y custodia de los sistemas de datos personales en posesión de las dependencias y entidades; Definen los principios de la protección de datos personales que deben observar las dependencias y entidades para su tratamiento.
Principios Licitud Custodia y Cuidado Responsabilidad Finalidad Tratamiento Consentimiento Proporcionalidad Información Calidad
Licitud El tratamiento de datos debe obedecer a una atribución conferida por una ley, reglamento, decreto, acuerdo o circular que faculte a recabar los datos personales contenidos en los sistemas de datos personales. Sexto de los Lineamientos de Protección de datos
Finalidad Tratamiento en el ámbito de finalidades determinadas, explícitas y legítimas. El tratamiento para fines distintos a los establecidos en la leyenda de información (aviso de privacidad) requiere consentimiento. Sexto de los Lineamientos de Protección de datos
Proporcionalidad Sólo se deberán recabar los datos adecuados o necesarios para la finalidad que justifica el tratamiento. El tratamiento obedecerá a tratar la mínima cantidad de información necesaria para conseguir la finalidad perseguida. Séptimo de los Lineamientos de protección de Datos Personales.
Calidad Datos pertinentes, correctos y actualizados. Datos que reflejen la realidad. Se debe implementar los plazos de conservación de los datos personales, Art. 20, fracción IV de la LFTAIPG y Séptimo de los Lineamientos
Información Dar a conocer a los titulares la existencia del tratamiento y sus características. En términos fácilmente comprensibles y previo a la recolecta de los datos. A través de la leyenda de información - aviso de privacidad- por diversos medios. Art. 20, fracción III y Noveno de los Lineamientos.
Información El principio de información se materializa en la leyenda de información -aviso de privacidad-, mediante la cual se hace del conocimiento del titular: Identidad y domicilio del responsable que recaba sus datos; Finalidades del tratamiento; Medios para ejercer los derechos de acceso, rectificación, cancelación u oposición, y Transferencias de datos.
Consentimiento La voluntad del titular es la causa principal legitimadora del tratamiento de los datos personales. Excepciones: la ley, celebración de un contrato Aunque en la mayoría de los casos el consentimiento es tácito, la manifestación deberá ser libre, específica, inequívoca e informada. Art. 21 y 22 de la LFTAIPG y Duodécimo de los Lineamientos.
Custodia y Cuidado Responsabilidad Deber de la persona responsable del tratamiento de los datos de velar por el cumplimiento de los principios y rendir cuentas al titular en caso de incumplimiento. Art. 20, fracción VI y Undécimo de los Lineamientos.
Deberes
Deber de seguridad Obligación de adoptar las medidas necesarias para garantizar la integridad, confidencialidad y disponibilidad de los datos personales mediante acciones que eviten su alteración, pérdida, transmisión y acceso no autorizado.
Obligaciones en materia de seguridad de las bases de datos Todo responsable deberá establecer y mantener medidas de seguridad de carácter administrativo, técnico y físico que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso, o tratamiento no autorizado. Los responsables no deberán adoptar medidas de seguridad menores a aquellas que mantengan para el manejo de su información. Para la implementación de dichas medidas éstos deberán tomar en cuenta factores como riesgo existente y posibles consecuencias para los titulares, la sensibilidad de los datos personales y el desarrollo tecnológico.
Deber de confidencialidad Secreto, discreción, confidencialidad y custodia al que está obligada toda persona que maneja, usa, recaba o transfiere datos personales en cualquier fase del tratamiento.
Derechos
Derechos ARCO Acceso: derecho del titular a obtener información sobre sí sus propios datos están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos. Rectificación: derecho del titular a que se modifiquen los datos que resulten ser inexactos o incompletos. Cancelación: derecho del titular que da lugar a que se supriman los datos que resulten ser inadecuados o excesivos. Oposición: derecho del titular a que no se lleve a cabo el tratamiento de sus datos cuando se trate de sistemas de datos que tengan por finalidad la realización de actividades de publicidad
Oposición
El derecho a la protección de datos en el sector privado LFPDPPP
Generalidades de la ley Reviste las características de ser una legislación moderna que reconoce y protege los llamados derechos de tercera generación, en particular la autodeterminación informativa. Coloca a la persona en el centro de la tutela del Estado, reconociendo y respetando su dignidad y valía. Establece un marco general que contempla reglas claras, concretas y mínimas para lograr un equilibrio entre protección de la información personal y la libre circulación de la misma en un mundo globalizado, en concordancia con los estándares internacionales.
Ejes rectores de la ley 1. Ámbito de aplicación. 2. Principios y derechos. 3. Régimen especial para datos sensibles. 4. Ejercicio de los derechos ARCO. 5. Transferencias de datos. 6. Autoridades: IFAI garante- y Reguladoras. 7. Procedimientos: Protección de datos. Verificación. imposición de sanciones. 8. Infracciones y sanciones. 9. Delitos en materia de tratamiento indebido.
Actuación del IFAI como autoridad garante
Actuación del IFAI Emisión e implementación de regulación secundaria. Solución de controversias para la tutela de derechos de acceso y rectificación Supervisión del cumplimiento regulatorio verificaciones/recomendaciones-. Promoción de la cultura de seguridad de los datos personales documento de seguridad-.
Implementación de regulación secundaria Lineamientos de Protección de Datos Personales: Disposiciones generales que establecen las condiciones y requisitos mínimos para el debido manejo y custodia de las bases de datos en posesión de la Administración Pública Federal.
Supervisión del cumplimiento regulatorio Desde el año 2007, el IFAI se ha dado a la tarea de verificar las bases de datos en posesión de la Administración Pública Federal. Numeralia: 16 dependencias o entidades verificadas. 62 recomendaciones votadas por el Pleno del IFAI.
Supervisión del cumplimiento regulatorio Destacan por su importancia las siguientes bases de datos verificadas: Base de Datos Nacional de la Clave Única de Registro Nacional de Población. Sistema de Acreditación de Derechohabiente. Sistema Integral de Operación Migratoria. Padrón de Beneficiarios de los Programas de Desarrollo Social.
Elaboración de Manifestaciones de Impacto a la Privacidad NOM-024-SSA3-2007 del Expediente Clínico Electrónico Esta política pública tiene como objetivo primordial promover el establecimiento de reglas y estándares homogéneos que permitan la comunicación e interoperabilidad entre los diferentes sistemas de información de salud que existen en el Sistema Nacional de Salud. Por la complejidad del diseño de la estructura funcional de la NOM, la Secretaría de Salud y el IFAI, en su carácter de órgano garante, sometieron el proyecto a una Manifestación de Impacto a la Privacidad. Lo anterior, a fin de garantizar que antes de la puesta en operación dicha política pública cumpliera con los estándares internacionales en materia de protección, teniendo especial cuidado en los controles de seguridad que se requieren en un proyecto de tal envergadura. Emisión de una serie de recomendaciones tendientes a garantizar la confidencialidad, disponibilidad e integridad de los datos de salud con la puesta en operación de esta política pública.
Elaboración de Manifestaciones de Impacto a la Privacidad Cédula de Identidad Ciudadana Este proyecto tiene como objeto expedir un documento que acredite fehacientemente la identidad de los ciudadanos mexicanos, a través de la obtención de datos biométricos huellas dactilares e iris-. Emisión de una serie de recomendaciones relativas a: Adecuar el marco jurídico para la expedición de la CEDI. Recabar los datos estrictamente necesarios para la finalidad perseguida. Implementar estrictas medidas de seguridad.
Retos
Retos LFTAIPG Para los organismos de transparencias estatales: Adecuar las leyes de transparencia a las reformas constitucionales y nuevas exigencias de la administración pública estatal y municipal. Emitir regulación secundaria en materia de protección de datos personales en posesión del sector público, tomando en consideración los estándares internacionales. Para el IFAI: Impulsar el dictamen aprobado por el Senado de la República que reforma la Ley Federal de Transparencia y Acceso a la información Pública Gubernamental. Establecer mecanismos de cooperación eficaces con los diversos institutos de transparencia para la difusión y capacitación de este nuevo derecho.
Retos LFPDPPP Coadyuvar con el Ejecutivo Federal en la emisión del reglamento, dentro del año siguiente a la entrada en vigor de la ley. Emitir criterios que coadyuven a un mejor cumplimiento de la ley. Diseñar mecanismos eficaces para la recepción y atención de solicitudes de protección de datos. Difusión y capacitación al interior y exterior. Solicitar a la Unión Europea el nivel de adecuación como un país seguro en materia de protección de datos personales. Diseñar la estructura organizacional más adecuada para asumir y ejecutar con eficiencia las nuevas tareas y responsabilidades del IFAI.
GRACIAS www.ifai.org.mx http://www.infomex.org.mx 01800 TEL IFAI