Ley Federal de Protección de
Datos Personales y Derecho de
Acceso a la Información.
Dr. Alfonso Páez Álvarez
Culiacán, Sinaloa, 2012
Plan de exposición
I.
¿Cómo surge el derecho?
II.
¿En qué consiste el derecho?
III.
Protección de datos personales en México
I. ¿Cómo surge el
derecho?
Informática versus
protección datos personales
O Primera aproximación: reconocimiento del derecho a
la vida privada y familiar (no injerencia).
O Derecho a la autodeterminación.
O Tensión entre el uso cada vez más generalizado de
la informática y el riesgo que implica para la vida
privada.
O Incorpora a los principios esenciales del derecho a la
privacidad el del consentimiento.
II. ¿En qué consiste
el derecho?
Protección de datos personales ≠
privacidad e intimidad
O Derecho a la privacidad e intimidad: protege a la esfera
privada e íntima de cualquier injerencia (derecho a estar
solo).
O Derecho a la protección de datos personales: poder de
disposición y control de la información personal, faculta
a la persona para decidir cuáles datos proporcionar a un
tercero; saber quién y para qué posee esos datos, y
oponerse a esa posesión o uso (derecho a la
autodeterminación informativa).
Entonces, la protección de
datos personales…
Es el derecho que tiene toda persona
a conocer y decidir quién, cómo y de
qué manera recaba, utiliza y
comparte sus datos personales.
Conceptos básicos
¿Qué son los datos
personales?
Toda información concerniente o relativa a una
persona física identificada o identificable.
Ejemplos
O Identificación
O Nombre, edad, domicilio, sexo, RFC, CURP...
O Patrimoniales
O Cuentas bancarias, saldos, propiedades...
O Salud
O Estados de salud físicos y mentales...
O Biométricos
O Huellas dactilares, iris, voz, firma autógrafa...
O Íntimos
O Ideología, afiliación política, religión, preferencia sexual...
Datos personales sensibles
O Revelan aspectos íntimos o particulares de las personas:
•
•
•
•
•
•
•
El origen racial o étnico.
El estado de salud presente y futuro.
La información genética.
Las creencias religiosas, filosóficas y morales.
La afiliación sindical.
Las opiniones políticas.
La preferencia sexual.
O Los datos personales sensibles o especialmente protegidos al
revelar aspectos muy íntimos y particulares de la vida privada
de las personas, merecen de medidas de protección más
exigentes y robustas.
Otros conceptos importantes…
O
Titular: persona física a quien corresponden los datos personales.
Bases de datos: conjunto ordenado de datos personales referentes a una persona
identificada o identificable.
O
Tratamiento: obtención, uso, divulgación o almacenamiento de datos personales,
por cualquier medio. El uso abarca cualquier acción de acceso, manejo,
aprovechamiento, transferencia o disposición de datos personales.
O
Responsable: persona física o moral de carácter privado que decide sobre el
tratamiento de datos personales.
O
Encargado: persona física o jurídica que sola o conjuntamente con otras trate datos
personales por cuenta del responsable.
O
O Transferencia: toda comunicación de datos realizada a persona distinta del
responsable o encargado del tratamiento.
Principios
Licitud y Lealtad
El tratamiento de los datos personales deberá llevarse
con pleno cumplimiento de:
O Legalidad;
O Respeto a la buena fe y
O Los derechos del individuo cuya información es
sometida a tratamiento.
Finalidad
O Tratamiento en el ámbito de finalidades
determinadas, explícitas y legítimas.
O El tratamiento para fines distintos a los
establecidos en el aviso de privacidad
requiere consentimiento.
Proporcionalidad
O Sólo se deberán recabar los datos adecuados o
necesarios para
tratamiento.
la
finalidad
que
justifica
el
O El tratamiento obedecerá a tratar la mínima cantidad
de información necesaria para conseguir la finalidad
perseguida.
Calidad
O Datos pertinentes, correctos y actualizados.
O Datos que reflejen la realidad.
Información
O Dar a conocer a los titulares la existencia del
tratamiento y sus características.
O En términos fácilmente comprensibles y previo a la
recolecta de los datos.
O A través del aviso de privacidad por diversos medios.
Información…
El principio de información se materializa en el aviso
de privacidad, que informa al titular sobre:
O Identidad y domicilio del responsable que recaba
O
O
O
O
sus datos;
Finalidades del tratamiento de datos;
Medios para ejercer los derechos de acceso,
rectificación, cancelación u oposición;
Transferencias de datos, y
Cambios al aviso.
Consentimiento
O La voluntad del titular es la causa principal legitimadora
del tratamiento de los datos personales.
O Excepciones: la ley, celebración de un contrato…
O Aunque en la mayoría de los casos el consentimiento es
tácito, la manifestación deberá ser libre, específica,
inequívoca e informada.
Responsabilidad
O Deber de la persona responsable
del tratamiento de los datos de velar
por el cumplimiento de los principios
y rendir cuentas al titular en caso de
incumplimiento.
Deberes
Deber de seguridad
O Obligación
de adoptar las medidas
necesarias para garantizar la integridad,
confidencialidad y disponibilidad de los datos
personales mediante acciones que eviten su
alteración, pérdida, transmisión y acceso no
autorizado.
Obligaciones en materia de
seguridad de las bases de datos…
O Todo responsable deberá establecer y mantener medidas de
seguridad de carácter administrativo, técnico y físico que permitan
proteger los datos personales contra daño, pérdida, alteración,
destrucción o el uso, acceso, o tratamiento no autorizado.
O Los responsables no deberán adoptar medidas de seguridad menores a
aquellas que mantengan para el manejo de su información.
O Para la implementación de dichas medidas éstos deberán tomar en
cuenta factores como riesgo existente y posibles consecuencias
para los titulares, la sensibilidad de los datos personales y el
desarrollo tecnológico.
Las medidas de seguridad deberán
atender…
O La sensibilidad de la información personal
(nivel básico, medio y alto).
O El tipo de soporte de las bases de datos
(físico, automatizado o mixto).
Vulneraciones de seguridad de las
bases de datos…
O Las
vulneraciones de seguridad
deberán ser informadas de forma
inmediata por el responsable al titular,
a fin de que este último pueda tomar
las medidas correspondientes a la
defensa de sus derechos.
Deber de confidencialidad
O Secreto,
discreción, confidencialidad y
custodia al que está obligada toda persona
que maneja, usa, recaba o transfiere datos
personales en cualquier fase del
tratamiento.
Derechos
Derechos (ARCO)
O Acceso
O Rectificación
O Cancelación
O Oposición
Acceso
Derecho del titular a obtener
información sobre sí, así como si la
misma está siendo objeto de
tratamiento y el alcance del mismo.
Rectificación
Derecho del titular a que se
modifiquen los datos que resulten ser
inexactos o incompletos.
Cancelación
Derecho del titular que da lugar a que
se supriman los datos que resulten
ser inadecuados o excesivos.
Bloqueo
O
Identificación y conservación de datos personales
una vez cumplida la finalidad para la cual fueron
recabados, con el único propósito de determinar
posibles responsabilidades por su tratamiento,
hasta el plazo de prescripción legal o contractual.
O
Durante dicho periodo, los datos personales no
podrán ser objeto de tratamiento y transcurrido
éste, se procederá a su cancelación.
Oposición
Prerrogativa que consiste en oponerse
al uso de datos personales para una
determinada finalidad.
III. Protección de
datos personales en
México
Garantía
fundamental
Constitución Política de los
Estados Unidos Mexicanos
El artículo 6 constitucional reconoce el derecho de acceso a la
información como una garantía fundamental y se constituye
como limitante al ejercicio del derecho de acceso a la
información, señala que:
•
•
La información a que se refiere la vida privada será
protegida en términos de ley respectiva, y
Toda persona tiene derecho a acceder y rectificar sus
datos personales.
Constitución Política de los
Estados Unidos Mexicanos
El artículo 16 constitucional incorpora a la lista de garantías
fundamentales consagradas en nuestra Carta Magna, el
derecho a la protección de datos personales: “Toda persona
tiene derecho a la protección de sus datos personales, al
acceso, rectificación y cancelación de los mismos, así como a
manifestar su oposición…”
El artículo 73 constitucional dota de facultades al Congreso de
la Unión para legislar en materia de protección de datos
personales en posesión de particulares.
En el sector público
federal y estatal…
LFTAIPG
O Reconoce por primera vez en México la protección de los
datos personales.
O Se limita a las bases de datos del sector público a nivel
federal.
O Es a la vez, una ley de acceso a la información y una ley de
protección de datos personales (limitada en su ámbito de
aplicación).
O Su capítulo IV establece un marco muy general que regula
la obtención, almacenamiento, transmisión, uso y manejo
de los datos personales en posesión de dependencias y
entidades federales.
A nivel estatal
O Los estados de Colima, Jalisco y Tlaxcala cuentan con
leyes de protección de datos para el sector público y
privado.
O Los estados de Guanajuato, Coahuila, Oaxaca, Distrito
Federal y Morelos sólo regulan la protección de datos
personales en posesión del sector público.
O La mayoría de las legislaciones estatales contienen un
capítulo de protección de datos personales en sus leyes
de transparencia.
En el sector privado
LFPDPPP
2010, un año clave…
O El 13 de abril de 2010 la Cámara de Diputados aprobó el
proyecto de decreto por el que se expide la Ley Federal de
Protección de Datos Personales en posesión de los
particulares.
O Por su parte, la Cámara de Senadores aprobó por
unanimidad dicho dictamen, el 27 de abril de 2010.
O Finalmente, el 5 de julio de 2010 el Poder Ejecutivo Federal
publicó en el Diario Oficial de la Federación la Ley.
Ejes rectores de la ley
1.
2.
3.
4.
5.
Ámbito de aplicación
Principios y derechos
Ejercicio de los derechos ARCO
Transferencias de datos
Autoridades:
•
Garante y
•
Reguladoras
6. Procedimientos:
•
Protección de datos
•
Verificación
•
imposición de sanciones
7. Infracciones y sanciones.
8. Delitos en materia de tratamiento indebido.
Objeto y ámbito de
aplicación
La ley es de observancia obligatoria en todo el territorio
nacional y tiene por objeto regular el tratamiento legítimo,
controlado e informado de los datos personales en
posesión de los particulares.
Sujetos regulados
Personas físicas o morales que para sus actividades
cotidianas recaben, manejen y utilicen información
personal, con excepción de:
• Las Sociedades de Información Crediticia.
• Las personas que recolectan y almacenan datos
personales para uso exclusivamente personal o
doméstico.
Principios y derechos
O
Principios: Licitud, consentimiento, información,
calidad; finalidad, lealtad, proporcionalidad y
responsabilidad
O Derechos ARCO
O Deber de seguridad
O Deber de confidencialidad
IFAI como
autoridad garante
Facultades del IFAI como
autoridad garante
O
O
O
O
O
O
O
Informativas
Normativas
De verificación
Preventivas
Resolutorias
De cooperación nacional e internacional
Sancionadoras
IFAI como autoridad
garante
Sus facultades informativas:
O
O
O
Proporcionar apoyo técnico a los responsables que
los soliciten para el cumplimiento de las
obligaciones establecidas en la Ley.
Rendir al Congreso de la Unión un informe anual
de sus actividades.
Desarrollar, fomentar y difundir análisis, estudios e
investigaciones en materia de protección de datos
personales en posesión de los particulares.
IFAI como autoridad
garante
Sus facultades normativas:
O
O
O
Interpretar en el ámbito administrativo la ley.
Emitir criterios y recomendaciones para garantizar
el pleno derecho a la protección de datos
personales.
Divulgar
estándares
y
mejores
prácticas
internacionales en materia de seguridad de la
información.
IFAI como autoridad garante
Sus facultades en materia de verificación:
O
Vigilar y verificar el cumplimiento de la ley.
Sus facultades resolutorias:
O
Conocer y resolver los procedimientos de
protección de derechos, verificación e imposición
de sanciones.
Sus facultades preventivas:
O
Elaborar estudios de impacto sobre la privacidad
previos a la puesta en práctica de una nueva
modalidad de tratamiento de datos personales o a
la realización de modificaciones sustanciales en
tratamientos ya existentes.
IFAI como autoridad
garante
Sus facultades en materia de cooperación nacional e
internacional:
O Acudir a foros internacionales en la materia.
O Cooperar con otras autoridades de supervisión
y organismos nacionales e internacionales, a
efecto de coadyuvar en materia de protección
de datos personales.
Sus facultades sancionadoras:
O Llevar a cabo el procedimiento de imposición
de sanciones
Procedimientos
Ejercicio de los
derechos ARCO
Procedimiento
Titular o
Representante
Solicitud
Responsable
Requisitos de la solicitud
o Nombre del titular y domicilio u otro medio para recibir
o
o
o
o
o
comunicaciones;
Copia de su identificación o documento que acrediten la
personalidad del representante;
La descripción clara y precisa de los datos personales;
En el caso de solicitudes de rectificación se deberá señalar
las modificaciones a realizar y aportar la documentación
que sustente la petición;
En el caso de solicitudes de cancelación y oposición,
especificar las razones por las que quiere que cancelen o se
opone al tratamiento de sus datos, y
Cualquier otro elemento o documento que facilite su
localización.
Plazos
Solicitud de
Derechos
ARCO
Ante el
Responsable
Prorrogables x un plazo igual
20 días hábiles
determinación adoptada
15 días hábiles
efectivo el derecho
Comunicación al Titular
Costos
o El ejercicio de los derechos ARCO es
gratuito.
o Únicamente se debe cubrir el costo por
reproducción y envío.
o Excepciones al principio de gratuidad: en
caso de que el derecho se ejerciera sobre
un mismo dato en un plazo menor a 12
meses, el costo no excederá del equivalente
a 3 SMVDF.
Cuándo se puede negar el
ejercicio de derechos…
o El solicitante no sea el Titular o representante legal;
o No se encuentren los datos en el sistema o sistemas
del responsable;
o Se lesionen datos personales de un tercero;
o Por impedimento legal o resolución de autoridad
competente que restringa el ejercicios de los
derechos ARCO, y
o Se haya solicitado con anterioridad la rectificación,
cancelación u oposición.
Procedimientos
ante el IFAI
Procedimiento de Protección
de Derechos
Titular
Solicitud de
Protección
de Datos
Instituto Federal de Acceso
a la información y
Protección de Datos
Procedimiento de
protección de derechos
O En caso de que el titular considere que en el ejercicio de sus
derechos ARCO sus pretensiones no fueron satisfechas
O Este procedimiento tiene por objeto:
O Sobreseer o confirmar la solicitud de protección de datos
por improcedente, o
O Confirmar, revocar
responsable.
o
modificar
la
respuesta
del
O El plazo máximo para dictar la resolución es de 50 días
hábiles.
Requisitos de la Solicitud de
Protección
o Nombre del titular o representante legal y domicilio
o
o
o
o
para oír y recibir notificaciones;
Nombre del responsable;
Fecha de la respuesta o bien la fecha en la que se
presentó la solicitud en caso de no tener respuesta;
La solicitud y de ser el caso, la respuesta que se
recurre, y
Se deberá expresar con claridad el contenido de su
reclamación y los preceptos de la Ley que se
consideren violados.
Plazos
15 días hábiles
Inconformidad
Ante el IFAI *
50 días hábiles
Prorrogables x 50 días hábiles
Resolución
Procedimiento conciliador
o Un elemento innovador de esta Ley es el
procedimiento conciliatorio que las partes responsable y titular- podrán llevar a cabo para
solucionar el conflicto, en cualquier etapa del
procedimiento de protección de derechos.
o De existir un acuerdo de conciliación entre las
partes, éste se hará constar por escrito y tendrá
efectos vinculantes. En este caso la solicitud de
protección de datos quedará sin materia y el IFAI
verificará el cumplimiento del acuerdo respectivo.
Procedimiento de
verificación
O Las actuaciones de verificación del IFAI iniciarán:
• De oficio: Derivada del incumplimiento a resoluciones
dictadas con motivo de procedimiento de protección de
derechos
• A petición de parte: Cuando se presuma fundada y
motivadamente, la existencia de violaciones a la ley.
O El IFAI tendrá acceso a la información y documentación que
considere necesaria y los servidores públicos estarán obligados
a guardar la confidencialidad sobre la información que
conozcan.
Procedimiento de sanción
O Este procedimiento se detona cuando el IFAI tenga
conocimiento de un presunto incumplimiento de alguno
de los principios o disposiciones de la ley como
consecuencia del desahogo del procedimiento de
protección de derechos o del procedimiento de
verificación.
O Se prevé un periodo para la presentación y desahogo de
pruebas, al término del cual el Instituto deberá resolver
en definitiva.
Medio de impugnación de
las resoluciones del IFAI
Los particulares podrán impugnar las
resoluciones del IFAI, promoviendo
el juicio de nulidad ante el Tribunal
Federal
de
Justicia
Fiscal
y
Administrativa.
Infracciones y
Sanciones
Infracciones y sanciones
La ley prevé una serie de conductas consideradas como infracciones, las
cuales serán castigadas con las siguientes sanciones:
O No atender la solicitud del titular
apercibimiento
O Tratar datos en contra de los principios; omitir el aviso de privacidad,
mantener datos personales inexactos, declarar dolosamente la
inexistencia de datos, etc.
Multa de $5,746 a $9,193,600
O Incumplir deber de confidencialidad, cambiar sustancialmente de
finalidad sin avisar al titular, vulnerar la seguridad de las bases;
transferir datos sin consentimiento del titular, etc.
Multa de $11,492
a $18,387,200
O Los montos pueden duplicarse por:
O Reincidencia, o
O Por tratarse de datos sensibles
Infracciones y sanciones
O El Instituto para imponer las sanciones correspondientes deberá
tomar en cuenta:
O La naturaleza del dato.
O La notoria improcedencia de la negativa del responsable para
realizar los actos solicitados por el titular.
O El carácter intencional de la acción u omisión.
O La capacidad económica del responsable.
O La reincidencia.
Delitos en materia de tratamiento
de datos personales
Fue voluntad del legislador establecer tipos penales
para sancionar a los responsables, que bajo ciertas
circunstancias hagan uso ilícito de datos personales,
con prisión de:
- 3 meses a 3 años (al que provoque, con ánimo de
lucro, una vulneración de seguridad a las bases de
datos)
- 6 meses a 5 años (al que, con el fin de alcanzar un
lucro indebido, trate datos personales mediante el
engaño)
Autoridades
reguladoras
Autoridades reguladoras
La ley constituye el marco normativo para que las
dependencias emitan regulación especializada que
involucre el tratamiento de datos personales, con la
coadyuvancia del IFAI.
Tratamiento en
sectores específicos
Sectores específicos
o Marketing y publicidad: tratamiento para campañas
o
o
o
o
o
publicitarias o envío de publicidad.
Telecomunicaciones: retención de datos personales o
registro de datos de identificación y localización.
Financiero: establecimiento de medidas de seguridad
en transacciones electrónicas.
Salud: reglas específicas para la realización de ensayos
clínicos o tratamiento del expediente clínico.
Sector educativo: bases de datos de alumnos.
Laboral: contenido y manejo del expediente de
personal.
Además, la Ley
prevé…
Transferencias de datos
O La ley facilita las transferencias de datos personales
dentro y fuera del país, siempre y cuando el
responsable informe en el aviso de privacidad la
realización, la finalidad de las transferencias y el
titular acepte o consienta éstas.
O La
Ley señala excepciones para solicitar el
consentimiento del titular, a fin de llevar a cabo
transferencias nacionales o internacionales.
Mecanismos de autorregulación
o La Ley faculta a los particulares a convenir entre ellos o con
organizaciones civiles o gubernamentales, nacionales o extranjeras,
esquemas de autorregulación vinculante en la materia, que tengan por
objeto:
• Complementar y adaptar a tratamiento específicos o concretos las
disposiciones de la Ley.
• Desarrollar reglas o estándares específicos que permitan armonizar
los tratamientos de datos efectuados por los adheridos y facilitar el
ejercicio de los derechos ARCO.
• Incluir mecanismos para medir su eficacia en la protección de los
datos, consecuencias y medidas correctivas eficaces en caso de
incumplimiento.
o Dichos esquemas serán notificados de manera simultánea a las
autoridades sectoriales correspondientes y al IFAI.
Plazos de
implementación de la Ley
Plazos…
6 de julio de 2010
O La Ley entra en vigor.
Julio de 2011
O El Ejecutivo Federal deberá expedir su Reglamento.
O Las empresas designarán a una persona o departamento
de datos personales para atender las solicitudes de
derechos ARCO.
O Las empresas deberán expedir los avisos de privacidad.
Plazos…
Enero de 2012
O Toda persona podrá ejerce sus derechos ARCO ante los
responsables designados por las empresas.
Febrero de 2012
O Toda persona podrá interponer su queja ante el IFAI, en
caso de que considere que cualquiera de sus derechos
ARCO ejercido ha sido vulnerado por el responsable de
que se trate.
Retos
Retos
O Emitir el reglamento dentro del año siguiente a la entrada en
O
O
O
O
O
vigor de la ley.
Emitir criterios que coadyuven a un mejor cumplimiento de la
ley.
Diseñar mecanismos eficaces para la recepción y atención de
solicitudes de protección de datos.
Difusión y capacitación al interior y exterior.
Solicitar a la Unión Europea el nivel de adecuación como un
país seguro en materia de protección de datos personales.
Diseñar la estructura organizacional más adecuada para
asumir y ejecutar con eficiencia las nuevas tareas y
responsabilidades del IFAI.
Descargar

La protección constitucional de los datos personales