DE LA SEN. MARÍA VERÓNICA MARTÍNEZ ESPINOZA, DEL GRUPO PARLAMENTARIO DEL PARTIDO REVOLUCIONARIO INSTITUCIONAL, LA QUE CONTIENE PROYECTO DE DECRETO POR EL QUE SE ADICIONAN DIVERSAS DISPOSICIONES A LA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE PARTICULARES. MARÍA VERÓNICA MARTÍNEZ ESPINOZA, Senadora a la LXII Legislatura del Congreso de la Unión, integrante del Grupo Parlamentario del Partido Revolucionario Institucional en el Senado de la República, en ejercicio de la facultad que me confiere el artículo 71 Fracción II de la Constitución Política de los Estados Unidos Mexicanos, y de conformidad con lo dispuesto por los artículos 8, Numeral 1 fracción I, 164 y 169 del Reglamento de la Cámara de Senadores, someto a la consideración de esta soberanía INICIATIVA CON PROYECTO DE DECRETO POR EL CUAL SE ADICIONAN DIVERSAS DISPOSICIONES A LA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE PARTICULARES, A EFECTO DE GARANTIZAR EL DERECHO AL OLVIDO DIGITAL, con base en la siguiente: EXPOSICIÓN DE MOTIVOS: Nuestra Carta Magna tutela el derecho a la privacidad entendida, como se expresa en su artículo 16, como el derecho de las personas en el que nadie puede ser molestado en su persona, familia, domicilio, papeles o posesiones, sino en virtud de mandamiento escrito de la autoridad competente, que funde y motive la causa legal del procedimiento. Asimismo parte de este derecho personalísimolo conforma también el derecho a la intimidad, interpretado por la Suprema Corte de Justicia de la Nación como el derecho del individuo a no ser conocido por otros en ciertos aspectos de su vida y, por ende, el poder de decisión sobre la publicidad o información de datos relativos a su persona, familia, pensamientos o sentimientos, reconociéndose así la soberanía de una persona respecto al control, tratamiento y difusión de su información personal, lo que hace necesario hacer efectivo el derecho a la autodeterminación informativa, el derecho del individuo a decidir sobre su propia información. El 5 de Julio de 2010 se expidió la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) cuyo propósito es salvaguardar la información personal contenida en la base de datos de particulares, como se señala en su artículo primero dicha ley surge con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas; es una medida que por primera vez en México reconoce los derechos A.R.C.O, éstos se reconocen en nuestra Constitución contenidos en el artículo 16 en su párrafo segundo. Los derechos A.R.C.O. también conocidos como Habeas Data son los derechos de los titulares de acceder, rectificar, cancelar u oponerse al tratamiento de sus datos personales en posesión de particulares, observando el principio de que el titular es dueño de sus datos y por lo tanto puede ejercer su autodeterminación respecto a su tratamiento. Sin embargo la LFPDPPP no es específica respecto al fenómeno digital que demanda especial atención por las dinámicas de interacción social que generan el depósito e intercambio de un gran volumen de datos personales de los cibernautas. De acuerdo con datos del INEGI, en 2010 en México el 33.8% de la población se declaró usuaria de los servicios de internet, la Asociación Mexicana de Internet (AMIPCI) expresa que con base en cálculos de la COFETEL para el 2011 ya eran 40.6 los millones de internautas en el país; según un estudio de Hábitos del Internauta Mexicano de la AMIPCI, un parámetro de 77 a 86% de los internautas son usuarios de redes sociales,quienes conceden a los responsables de estas el permiso de tratar sus datos personales de acuerdo a sus políticas de uso y tratamiento de datos personales, que a manera general incluye la recolección y tratamiento de datos identificables. Tan solo la red social Facebook tiene en México un registro de 38 millones de usuarios, convirtiendo a nuestro país en el quinto con más usuarios en el mundo de esta red social.
En general los datos personales es toda la información que permite identificar a una persona, como lo es, aparte del nombre, fecha de nacimiento, datos de residencia; la información patrimonial, laboral, académica, financiera, de salud, historial médico, datos biométricos, etc. De acuerdo con otro estudio de la Asociación Mexicana de Internet sobre protección de datos personales, de los internautas evaluados en tal ejercicio, 9 de cada 10 han depositado datos de identificación en internet, 4 de cada 10 han depositado datos sensibles, 25% datos patrimoniales, 17% datos de salud y otro 4% datos biométricos. Las redes sociales son los principales sitios donde se vierte esta información, siendo estos los sitios donde el 77% de los internautas depositan información personal. Las redes sociales como Facebook, Google Plus (incluyendo YouTube), Pandora, Linked In y Twitter recolectan información relacionada con el navegador, fecha, hora y lugar de la navegación, dirección IP, búsquedas realizadas, correo electrónico, teléfono, clicks de publicidad, servicio operativo, información de terceros y de perfil como el nombre, fecha de nacimiento, información académica; la información es recolectada a través de cookies, búsquedas, terceros, información almacenada y tecnología de rastreo. La cantidad y el tipo de información que vertemos en las redes sociales nos vuelve identificables y localizables ya que compartimos datos personales, gustos y movimientos. La información compartida revela el estilo de vida que llevamos: las actividades que realizamos, nuestros gustos e intereses, la gente con la que nos relacionamos y hasta los lugares que frecuentamos. A través del uso de cookies se puede conocer nuestro comportamiento de navegación y así generar perfiles sobre nuestros gustos y preferencias, las cookies es información almacenada por los navegadores de Internet. En este contexto y como una complementación de los derechos ARCO explícita para el ámbito digital y una extensión del derecho a la privacidad consagrado en nuestra Carta Magna, se genera la necesidad de garantizar el derecho al olvido El derecho al olvido es una extensión del Derecho de cancelación de los datos personales. Es un derecho que va más allá de la solicitud de cancelación del tratamiento de los datos personales que obren en posesión de una empresa, es un derecho que surge en la era digital para salvaguardar la identidad de los cibernautas y proteger los datos personales que hayan vertido en el ciberespacio; el derecho al olvidohace referencia a la posibilidad de una persona de solicitar su eliminación del mundo digital mediante la eliminación de sus datos personales e información que haya vertido en Internet por medio de servicios digitales como las redes sociales y sitios de comercio electrónico. El derecho al olvido es pues una extensión al derecho a la privacidad, cabe recalcar que la privacidad en Internet no se puede entender como un derecho a la a la secrecía, el derecho a la privacidad en internet debe otorgar al usuario el derecho a decidir sobre el manejo y destino final de su información en la red. El propósito es delimitar la disponibilidad de nuestra información personal que circula en la red y su accesibilidad a las bases de datos en posesión de particulares El principio es que los datos pertenecen a las personas y si un usuario quiere retirar del servicio datos que ha puesto, debería poder hacerlo sin mayor problema. Es el derecho que se les debe proveer a todos los usuarios de solicitar la eliminación total de sus datos vertidos en la red en el momento en que así lo deseen. La eliminación debe ser total e inmediata. Alrededor del mundo se está generando una preocupación sobre el tratamiento de datos personales en posesión de redes sociales, especialmente referente a la posibilidad de solicitar la eliminación definitiva e inmediata de nuestra información en la red, preocupación que se ha visto especialmente expresada por los países que conforman la
Unión Europea, donde ésta impulsa una reforma a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de Octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dato, con el propósito de establecer el "derecho al olvido" en internet y garantizar el ejercicio de este derecho de los cibernautas de estos países, esta propuesta sugiere sanciones de hasta el 2% de su facturación anual a empresas que no acaten la nueva norma. Esta preocupación también ha sido evidenciada por la Conferencia Mundial de Comisionados de Privacidad y Protección de Datos, donde países de todo el mundo, incluyendo el nuestro, se han pronunciado por fortalecer las legislaciones sobre el tratamiento de datos personales y han acordado fortalecer la cooperación internacional para abordar el tema ahora que las transferencias de estos datos se realiza de manera transfronteriza, las últimas conferencias celebradas en 2011 y 2012 han puesto especial énfasis a los datos personales en Internet. Asimismo, desde el 2004 la Red Iberoamericana de Protección de Datos, de la que México también forma parte, había ya manifestado su preocupación sobre la privacidad y la protección de datos en Internet. En nuestra legislación la protección de datos personales en Internet se encuentra imprecisa. El Capítulo IV (Arts. 28 a 35) y el Capítulo VII (Arts. 45 a 58) de la LFPDPPP, así como el Capítulo VII (Arts. 87 a 108) y Capítulo VIII (Arts. 113 a 127) del Reglamento de la LFPDPPP, respectivamente, establecen los términos, plazos y procedimientos para el ejercicio de los derechos de acceso, rectificación, corrección y oposición (ARCO) ante las entidades responsables y ante el IFAI, en caso de falta de respuesta del responsable, incluyendo el derecho a la cancelación, oposición y el bloqueo de datos personales. Sin embargo el Derecho al Olvido se encuentra incompleto y es ambiguo en la presente normatividad, ya que no contempla todos los supuestos para realizar la efectiva eliminación de la información de una persona en Internet, porque que esta no se limita únicamente a los datos personales contenidos en cuentas de los usuarios, sino también a la recabada y transferida por los responsables y a la tomada desde la cuenta del titular y compartida por terceros. Para hacer efectivo el Derecho alolvido, los responsables de las redes sociales deben garantizar no solo la eliminación de la información correspondiente a la cuenta en cuestión, sino también los datos y la información del titular que hayan sido compartidos o por terceros. Asimismo se debe fortalecer la soberanía del usuario sobre el manejo de su información, debe quedar claro que la eliminación de una cuenta expresa el derecho de cancelación del tratamiento de datos personales, refleja el deseo del usuario de eliminar su información en la red y por lo tanto debe entenderse como una revocación de los permisos que se otorgaron al prestador del servicio para el tratamiento de sus datos, por lo que no puede caber la posibilidad de mantener vigentes cláusulas de las políticas de privacidad que permitan seguir manteniendo en el poder del prestador de servicios información referente al usuario. En virtud de lo anterior, me permito someter a consideración de esta soberanía la siguiente iniciativa con proyecto de: DECRETO POR EL CUAL SE ADICIONAN DIVERSAS DISPOSICIONES A LA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE PARTICULARES, A EFECTO DE GARANTIZAR EL DERECHO AL OLVIDO DIGITAL Artículo Único: Se adiciona el artículo 3, se adiciona el artículo 16 Bis, artículo 25 Bis y artículo 34 Bis, se adiciona un numeral al artículo 39, y se adiciona el numeral I del artículo 63 de la Ley Federal de Protección de Datos en Posesión de Particulares para quedar como sigue: Artículo 3: Para efectos de esta Ley, se entenderá por: I. a X. ( )
XI. Información personal en las redes: Todos los hechos y datos (nombre, dirección de correo electrónico, fecha de nacimiento y sexo) vertidos en el sitio web que sirven para relacionar la identidad de la personas, es también todo el contenido que se publica en una red social, entendido como texto, comentarios, mensajes, interacciones con otros usuarios, interacciones en aplicaciones, ubicaciones, fechas y horas, invitaciones, enlaces web, fotografías, videos. XII. Instituto: ( ) XIII. (...) XIV. (...) XV. Responsable: XV Bis: Responsable digital: Toda persona física o moral que preste servicios digitales de interacción social conocidos como redes sociales a través de los cuales recabe, transmita, almacene, enlace o de tratamiento a información personal. XVI. a XIX. ( ) XX. Transferencia ( ) Artículo 16 Bis: No tendrá validez ningún término incluido en ninguna política de privacidad cuyo contenido vaya en contra de los propósitos del derecho al olvido. Artículo 25 Bis. Todos los usuarios de servicios digitales y redes sociales tienen derecho, como parte de su derecho de cancelación referido en el artículo 25 de esta Ley, a solicitar la eliminación definitiva de los datos y contenidos que así lo manifiesten y que se encuentren en los servidores de los prestadores de servicios cibernéticos. Los responsables digitales tienen la obligación de eliminar de manera inmediata y definitiva datos e información de un usuario cuando éste así lo solicite de forma explícita y no exista ninguna razón legítima para retenerlos. La eliminación de una cuenta de cualquier red social implica la revocación de todos los permisos conferidos al responsable digital para el tratamiento de los datos personales del usuario. Artículo 34 Bis: Tratándose de información personal en las redes, los responsables digitales no podrán dejar copias de seguridad, una vez solicitada por parte del titular la eliminación de la cuenta deberá eliminarse toda la información y contenido almacenado en cookies y cachés del servidor. La eliminación deberá ser completa e inmediata cuando el usuario así lo solicite explícitamente sin dejar periodos de recuperación o plazos para recapacitación. Para el caso de información personal divulgada a través de redes sociales, el responsable digital se encargará en un plazo no mayor de 30 días de identificar y eliminar la información que haya sido compartida, divulgada o tomada por otros usuarios del contenido de la cuenta del usuario que ha solicitado la eliminación de su cuenta. Artículo39: I. a VII. ( )
VIII. Acudir a tribunales internacionales en caso de controversia con responsables digitales con sede en el extranjero para hacer valer los derechos A.R.C.O. de los ciudadanos que al Instituto hayan notificado la violación de tales derechos.: Artículo 63: (...) I.No cumplir con la solicitud del titular para el acceso, rectificación, cancelación u oposición al tratamiento de sus datos personales; así como no cumplir con la eliminación total e inmediata de la información personal en la red, sin razón fundada, en los términos previstos en esta Ley. TRANSITORIOS: Primero: El titular del Poder Ejecutivo Federal expedirá la reforma al reglamento de la Ley Federal de Protección de Datos Personales en Posesión de Particulares a fin de armonizarlo con las reformas realizadas a la presente ley. Segundo: El IFAI notificará de las reformas realizadas en un plazo no mayor de 90 días a partir de su publicación en el DOF a las empresas referidas que recaben, transfieran y den tratamiento a información personal a través de servicios digitales a fin de que adopten las medidas contempladas en esta reforma. Tercero: La ley también se aplicará a los prestadores de servicios de intermediación domiciliados en el extranjero, siempre que ofrezcan sus servicios en México, sea cual sea la naturaleza de su servicio, aun cuando no se haga el tratamiento de los datos personales en el país pero sí sean recabados, transmitidos o almacenados en éste. Cuarto: También será sujeto de esta ley los prestadores de servicios de búsqueda por Internet, de tal manera que se someterán a las disposiciones contenidas en la ley para garantizar el derecho al olvido sobre el contenido que haya tomado de las redes sociales para indexarlo en sus búsquedas. Dado en el Salón de Sesiones a los diez días del mes de julio de 2013. SENADORA MARÍA VERÓNICA MARTÍNEZ ESPINOZA Grupo Parlamentario del Partido Revolucionario Institucional.