protección de datos personales: el nuevo...
TRANSCRIPT
Protección de Datos Personales: el nuevo reto
Ángel Trinidad ZaldívarComisionadoEnero 2011
Foro de Protección
de Datos Genómicos
Contenido
I. Antecedentes
II. Principios y Derechos de la Protección de datos personales
III. Resoluciones judiciales-Jurisprudencia-Casos
IV. Conclusiones y perspectivas
¿Qué son los datos personales?
Cualquier información concerniente a una persona físicaidentificada o identificable.
Ley Federal de Transparencia y Acceso a la Información Públicagubernamental y Ley Federal de Protección de Datos Personales en Posesiónde Particulares
“…entre otra, la relativa a su origen étnico o racial, o que estéreferida a las características físicas, morales o emocionales, a suvida afectiva y familiar, domicilio, número telefónico,patrimonio, ideología y opiniones políticas, creencias oconvicciones religiosas o filosóficas, los estados de salud físicos omentales, las preferencias sexuales, u otras análogas que afectensu intimidad.” (redacción anterior)
Antecedentes
1819 - Benjamín Constant: Mientras los antiguos gozaban del derecho a intervenir en los asuntos públicos, pero carecían de libertades en el orden individual, los modernos afirman que la libertad se compone de la independencia privada.
1888 – Thomas Cooley : Derecho a ser dejado solo (Right to be let alone)
1890 – Warren y Brandeis: Derecho a la privacidad (Right to privacy)
Sentencia de Tribunal Constitucional (España)
254/1993 – No es posible aceptar que el derecho fundamental a la intimidad agota su contenido en facultades puramente negativas, de exclusión.
Orígenes
Los avances en las TI y sus implicaciones para la vida de las personas dieron origen a un derecho distinto, relacionado con la protección de los datos personales (PDP).
Orígenes II (Repercusiones Jurídicas)
1967 - Consejo de Europa: “Comisión Consultiva paraestudiar las tecnologías de información y su potencialagresividad a los derechos de la persona”.
1968 - Resolución 509 de CE: “Derechos Humanos ynuevos logros científicos y técnicos.
1981 – Convenio 108 de CE: Protección de las personascon respecto al tratamiento automatizado de los datosde carácter personal.
1995 - Directiva 95/46/CE sobre protección depersonas físicas en lo que respecta al tratamiento dedatos personales y a la libre circulación de esos datos.
Orígenes III (Repercusiones Constitucionales)
Constitución Española 1978, art. 18.4: “La Leylimitará el uso de la informática para garantizar elhonor y la intimidad personal y familiar de losciudadanos y el pleno ejercicio de sus derechos”.
Constitución Perú art. 2.6: “Toda persona tienederecho a que los servicios informáticos,computarizados o no, públicos o privados, nosuministren informaciones que afecten laintimidad”.
Constitución Venezuela, art. 60: “…La ley limitaráel uso de la informática”.
Antecedentes en México
2002 – LFTAIPG
о Reconoce la protección de datos. Limitado al sector público.
2007 – Reforma 6º Constitucional
Reconoce el derecho a la protección de datos en el ámbito público.
2008 – Reforma 73 Constitucional
Dota de facultades expresas al Congreso Federal para expedir una ley de protección de datos en posesión de los particulares.
2008 – Reforma 16 Constitucional
Introduce el derecho a la protección de datos personales como un derecho autónomo e independiente
2010 – LFPDPPP (aprobada 27 de abril publicada 5 de julio)
Resoluciones Judiciales
Tribunal Constitucional Federal Alemán Sentencia 15 Dic. 1983
Tribunal Constitucional Español) Sentencia 11/1998
Sentencias 290/2000 y 292/2000
Sentencia 19 sept. 2008
SCJN Acción de inconstitucionalidad 25/2004
Amparo Directo 2044/2008
Tribunal Constitucional Alemán
Principio de autodeterminación informativa(Westin)
“La proliferación de centros de datos hapermitido, gracias a los avances tecnológicos,producir una imagen total y pormenorizada dela persona respectiva –un perfil de lapersonalidad-, incluso en el ámbito de suintimidad, convirtiéndose así el ciudadano enun hombre de cristal”
Tribunal Constitucional Español
Tribunal Constitucional Español) Sentencia 11/1998
La garantía de la intimidad lato sensu, adopta hoy un entendimiento positivo que se traduce en un derecho de control sobre los datos relativos a la propia persona
Sentencias 290/2000 y 292/2000
..garantizar un poder de control sobre sus datos personales…no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, sino los datos de carácter personal.
Sentencia 19 sept. 2008
Apostasía
Suprema Corte de Justicia de la Nación (México)
SCJN Acción de inconstitucionalidad 25/2004
VS Ley transparencia de Nuevo León. Publicidad de juicios. “La audiencia pública debe considerarse extensible a todos los procedimientos de orden jurisdiccional de cualquier naturaleza” aunque sólo se mencione para penal y político.
Con la publicidad no sólo el acto jurisdiccional puede ser juzgado socialmente, sino que, exponiendo su conducta a la crítica, les será más difícil actuar arbitrariamente
Amparo Directo 2044/2008
“Las personas que ocupan puestos públicos están sometidos a escrutinios públicos intensos, lo cual implica una disminución natural de lo que puede considerarse incluido en su esfera privada”
Principios
Tratamiento
Licitud
Finalidad
Proporcionalidad
Calidad
Información
Consentimiento
Licitud
Los datos personales no se deberán recoger nielaborar con procedimientos desleales niilícitos. La posesión de las bases de datos porparte de los sujetos obligados deberá obedecerexclusivamente a sus atribuciones legales oreglamentarias.
Consentimiento del titular
El tratamiento de datos de carácter personalrequiere del consentimiento otorgado de formalibre, inequívoco e informada del afectado y éstepuede ser revocado.
Consentimiento previo (opt-in) o posterior (opt-out).
Calidad de los datos
Los datos recogidos deben ser adecuados, pertinentes y no excesivos atendiendo a la finalidad.
No podrán usarse para finalidades distintas de la que motivó que fueran recogidos.
Serán exactos y actualizados.
Serán cancelados cuando dejen de ser necesarios.
No podrán ser recabados por medios fraudulentos, desleales o lícitos.
Finalidad
Los datos personales sólo podrán utilizarsepara el fin que motivó su captura. Que no seconserven los datos más allá del tiemponecesario para cumplir su finalidad
Información al titular
A quienes se soliciten datos personales deberán serpreviamente informados de modo expreso, preciso einequívoco de la existencia de un sistema de datospersonales (SDP) o del tratamiento de datos decarácter personal, de la finalidad de recabarlos y de losdestinatarios de la información
Proporcionalidad
Los datos no deben ser excesivos. Sólo losque resulten adecuados, relevantes yestrictamente necesarios para la finalidadque justifica su tratamiento.
Derechos (ARCO)
Acceso
Rectificación
Cancelación
OposiciónReconocidos en los “Estándares Internacionales sobre protección de datos personales y privacidad, Madrid.” (Noviembre de 2009)
Generalidades de la Ley
Es una legislación moderna que reconoce y protege losllamados derechos de “tercera generación”, en particularla autodeterminación informativa
Coloca a la persona en el centro de la tutela del Estado,reconociendo y respetando su dignidad y valía
Marco general con reglas claras, concretas
Equilibrio entre protección de la información personal ylibre circulación de la misma
Cumple con los estándares internacionaless
Estructura de la Ley
La LFPDP consta de 69 artículos divididos en 11 capítulosdenominados de la siguiente manera:
I. Disposiciones Generales
II. De los principios de protección de datos personales
III. De los derechos de protección de datos personales
IV. Del ejercicio de los derechos de Acceso, Rectificación,Cancelación y Oposición.
V. De la transferencia de datos.
VI. De las autoridades.
VII. Del Procedimiento de protección de datos.
VIII. Del procedimiento de verificación.
IX. Del procedimiento de imposición de sanciones.
X. De las infracciones y sanciones.
XI. De los delitos en materia de tratamiento indebido
Ejes rectores de la Ley
1. Ámbito de aplicación.2. Principios y Derechos.3. Régimen especial para datos sensibles.4. Ejercicio de los derechos ARCO.5. Transferencia de datos.6. Autoridades:
IFAI —garante— y Reguladoras.
7. Procedimientos: Protección de Datos. Verificación. Imposición de Sanciones.
8. Infracciones y Sanciones.9. Delitos en materia de tratamiento indebido.
Autoridades Reguladoras
Las Secretarías en colaboración con el IFAI deberán
emitir regulación secundaria
En materia de expedientes clínicos el trabajo con la
Secretaría de Salud establecerá normas para el manejo
de los datos de salud que garanticen la privacidad de los
individuos.
Sujetos obligados de la Ley: Personas físicas o morales particulares que lleven a caboel tratamiento de datos personales, excepto:
Las sociedades de información crediticia
Las personas que lleven a cabo la recolección y almacenamiento de datos personalessin fines de divulgación o utilización comercial.
(Artículo 2)
Limites a los principios y derechos previstos en la Ley: Seguridad nacional, elorden, seguridad y salud publica así como los derechos de terceros. (Artículo 4)
• Licitud (Artículo 7, primer párrafo)
• Consentimiento (Artículo 8)
• Información (Artículo 15)
• Calidad (Artículo 11)
• Finalidad (Artículo 12)
• Lealtad (Artículo 7 segundo párrafo)
• Proporcionalidad (Artículo 13)
• Responsabilidad
Artículo 6
El consentimiento no es necesario si:
Así está previsto en una Ley.
Los datos consten en fuentes de acceso público.
Los datos personales se sometan a un procedimiento previo de disociación.
Es con el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable.
Existe una situación de emergencia que pueda dañar a un individuo en su persona o bienes.
Es indispensable para la atención médica, o asistencia sanitaria, sí el titular no esté en condiciones de hacerlo y su tratamiento se haga por una persona
sujeta al secreto profesional.
Se dicta resolución de autoridad competente.
Artículo 10 Excepciones al consentimiento
Artículo 8 Consentimiento tácito y expreso y cuándo se requiere cada uno de ellos
Elementos del aviso de privacidad:
La identidad y domicilio del responsable que los recaba.
Finalidades del tratamiento de datos.
Opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos.
Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición, de conformidad con lo dispuesto en esta Ley.
Las transferencias de datos que se efectúen.
El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad, conforme a la Ley.
Artículo 16
Artículo 15 Principio de información: aviso de privacidad
¿Quién los puede ejercer?El titular o su representante
(Artículo 22)
Acceso(Artículo 23)
Rectificación(Artículo 24)
Cancelación (Artículo 25)
Bloqueo: para efectos de responsabilidades
nacidas del tratamiento(Artículo 25)
Causales de improcedencia de la
cancelación(Artículo 26). Cuando:
Sea para el desarrollo y cumplimiento de un contrato
legal
Sea necesario para proteger intereses jurídicamente tutelados
del titular
Sea por disposición legal
Sea necesario para una acción de interés público
Sea necesario para cumplir con una obligación legalmente
adquirida por el titular
el t
rata
mie
nto
:la
ca
nce
laci
ón
Obstaculice actuaciones judiciales o administrativas vinculadas a
obligaciones fiscales, investigación y persecución de delitos o sanciones
administrativa.
Oposición(Artículo 27)
Los derechos no son mutuamente excluyentes(Artículo 22)
Requisitos de la solicitud de A,R,C,O(Artículo 29)
I. Nombre del titular y domicilio u otro medio de notificación
II. Documentos que acrediten identidad o representación legal
Atención por parte del RESPONSABLE
III. Descripción clara y precisa de los DP respecto de los cuales se ejerce
IV. Cualquier otro elemento o documento que facilite la localización de
los DP
Artículo 31: Para el caso de rectificación (R), debe incluir las modificaciones a
realizarse y la documentación que sustente la petición
Debe designar a una persona o departamento de DP para atender
solicitudes A,R,C,O(Artículo 30)
Debe ATENDER la solicitud en dos tiempos:
(Artículo 32)
20 días para comunicar al titular
la determinación adoptada
15 días para hacer efectiva la
determinación adoptada
Ambos plazos se pueden ampliar por una vez¿Problema?
Artículo 34
Causales para negativa del A, R, C O:
Cuando el solicitante no sea el titular de los datos personales, o el representante legal esté debidamente
acreditado para ello
Cuando exista un impedimento legal, o la resolución de una autoridad competente, que restrinja el A, R, C, O a
los datos personales
Cuando en su base datos no se encuentren los datos personales del solicitante
Cuando se lesionen los derechos a un tercero
Cuando la R, C O haya sido previamente realizada
Podrá ser parcial
Deberá estar justificada (informar el motivo de la
decisión) y aportar, “en su caso”, las pruebas
pertinentes.
Condiciones de la negativa del A, R, C O:
Negativa del A, R, C O
Artículo 33
La obligación de acceso se dará por cumplida cuando se pongan adisposición del titular los datos personales; o bien, mediante laexpedición de copias simples, documentos electrónicos o cualquierotro medio que determine el responsable en el aviso de privacidad
En el caso de que el titular solicite el acceso a los datos a una personaque presume es el responsable y ésta resulta no serlo, bastará con queasí se le indique al titular por cualquier de los medios a que se refiereel párrafo anterior, para tener por cumplida la solicitud.
Especificaciones para el Acceso (A)
Artículo 35
La entrega de los datos personales será gratuita, debiendo cubrir eltitular únicamente los gastos justificados de envío o con el costo dereproducción en copias u otros formatos.
Cumplimiento de la obligación
CostosNo obstante, si la misma persona reitera su solicitud en un períodomenor a doce meses, los costos no serán mayores a 3 días deSMGVDF, a menos que existan modificaciones sustanciales al avisode privacidad que motiven nuevas consultas.
Artículo 36: Cuando el responsable pretenda transferir los datos personales a terceros nacionales oextranjeros, distintos del encargado, deberá comunicar a éstos el aviso de privacidad y lasfinalidades a las que el titular sujetó su tratamiento. El tratamiento de los datos se hará conforme alo convenido en el aviso de privacidad, el cual contendrá una cláusula en la que se indique si eltitular acepta o no la transferencia de sus datos, de igual manera, el tercero receptor, asumirá lasmismas obligaciones que correspondan al responsable que transfirió los datos.
Es posible la transferenciasin el consentimiento delparticular cuando:
• Esta prevista en la ley o un tratado
• Es necesaria por motivos médicos o sanitarios
• Es efectuada a sociedades controladoras, bajo elcontrol del mismo grupo del responsable que opere bajolos mismas políticas internas;
• Es necesaria en razón de una contratación en interésdel titular, por el responsable y un tercero;
• Es necesaria o legalmente exigida para la salvaguardade un interés público, o la procuración oadministración de justicia;
• Es necesaria para reconocer, ejercer o defender un derecho ante un proceso judicial;
• Es precisa para mantener y cumplir una relación judicial entre titular y responsable.
Artículo 37
La expresión clara del contenido de la reclamación y de los preceptos de la
LFPDPPP que se consideran vulnerados
15 días después de la respuesta
Si no hay respuesta, una vez vencido el
plazo
¿Quién la puede interponer?El titular o su representante
¿Cuál es el plazo para interponerla?
¿Problema? Se deberá acreditar la fecha de la solicitud
Naturaleza y procedencia del ACTO RECLAMADO
Artículo 45(Primera parte)
También procederá cuando
No se entreguen los datos solicitados
Se niegue a efectuar modificaciones o correcciones a los datos
Se entreguen en un formato incomprensible
El titular no esté conforme con la información entregada por considerar que
es incompleta o no corresponde.
Solicitud de protección de datos personales
Artículo 46
¿Qué debe contener? REQUISITOS FORMALES
Por escrito libre o a través de los formatos electrónicos que establezca el Instituto, la solicitud de protección deberá contener:
El nombre del titular o representante legal, en su caso, así como del tercero interesado,
si lo hay
El domicilio para recibir y oír notificaciones
El nombre del responsable
La fecha de la respuesta, salvo que se trate de un procedimiento por falta de respuesta
Solicitud de protección de datos personales
¿Problema?
Los actos que motivan la solicitud (acto reclamado)
Los demás elementos que se considere procedente hacer del conocimiento del
Instituto
“La forma y términos en que deba acreditarse la identidad del titular o
bien, la representación legal se establecerán en el Reglamento”
Asimismo, a la solicitud de protección de datos deberá acompañarse la solicitud y la respuesta que se recurre o, en su caso, los
datos que permitan su identificación.
Recepción de la solicitud de protección de
datos en el IFAI
Artículo 45(Segunda parte)
El IFAI corre traslado al
responsable
15 días tiene el responsable para emitir
respuesta al traslado, ofrecer pruebas y
manifestar lo que a su derecho convenga
El IFAI admite y desahoga las pruebas
Concluido el desahogo las pruebas, el IFAI
notifica al responsable para que presente
alegatos
5 días tiene el responsable para
presentar sus alegatos
El IFAI valora las pruebas, los elementos de convicción y ¿puede o debe? Celebrar
audiencia con las partes
Bosquejo del procedimiento
El Instituto resuelve dentro de 50 días (con posibilidad
de una ampliación) (Artículo 47)
Suplencia de la queja
(Artículo 50) / Prevención (Artículo 49)
Conciliación(Artículo 54)
Las resoluciones serán:
- ImpugnablesPodrán ser impugnadas por juicios de
nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa
(Artículo 56)
- Públicas (parcialmente)Todas las resoluciones del Instituto serán
susceptibles de difundirse públicamente en versiones públicas, eliminando aquellas
referencias al titular de los datos(Artículo 57)
-Cumplidas-Dentro de los diez días hábiles siguientes a
s u notificación (Artículo 48)
Los titulares que consideren que han sufrido un daño o lesión en sus bienes o
derechos como consecuencia del incumplimiento a lo dispuesto en la
presente Ley por el responsable o encargado, podrán ejercer los derechos que
estimen pertinentes para efectos de la indemnización que proceda, en términos de las disposiciones legales correspondientes.
(Artículo 58)
Recepción de la solicitud de protección de
datos en el IFAI , por falta de respuesta
Artículo 55
El IFAI corre traslado al
responsable para que
acredite haber respondido
10 días tiene el responsable para acreditar haber
respondido en tiempo y forma a la solicitud, o dar
respuesta a la misma
En caso de que la respuesta atienda a lo solicitado, la solicitud de protección de
datos se considerará improcedente y se
sobreseerá el asunto.
Procedimiento de falta de respuesta
En caso de que se compruebe que no hay respuesta atienda a lo
solicitado, la resolución instruirá la entrega de la misma, sin costo para el
titular.
Procederá cuando:1. Se de el incumplimiento a
las resoluciones dictadas con motivo de
procedimientos de protección de derechos o
2. Se presuma fundada y motivadamente la
existencia de violaciones a la presente ley.
Facultad del Instituto: Verificar el cumplimiento de la Ley y de la normatividad
que se derive de la misma(Artículo 59)
A petición de parte
Procedimiento de verificación(Artículo 60)
El Instituto tendrá acceso a la información y documentación que considere necesarias, de
acuerdo con la resolución que lo motive
Los servidores públicos deberán guardar confidencialidad sobre la información que
conozcan en los procedimientos de verificación.
De oficio
“El Reglamento desarrollara la forma, términos y plazos en que se
sustanciará el procedimiento”
Si con motivo de esos dos procedimientos, el Instituto tuviera conocimiento de un
presunto incumplimiento de alguno de los principios o disposiciones de la Ley, se iniciará un procedimiento de sanción.
(Artículo 60)
Procedimiento de verificación
Procedimiento de sanción
(Artículo 62)
Protección de derechos
Notificación al presunto infractor
15 días tendrá el presunto infractor para ofrecer
pruebas y manifestar lo que a su derecho convenga
En caso de no haber pruebas, el Instituto resolverá con base en
los elementos de convicción que
disponga
El Instituto admitirá las
pruebas y procederá a su
desahogo.
5 días tendrá el presunto
infractor para ofrecer alegatos
El IFAI valora las pruebas, los elementos de
convicción y formulará una resolución
El Instituto resuelve dentro de 50 días
(con posibilidad de ampliación)
“El Reglamento desarrollara la forma, términos y plazos en que se sustanciará el
procedimiento, incluyendo presentación de pruebas y alegatos, la celebración de audiencias y el cierre de instrucción”
No cumplir con la solicitud A, R, C O sin razón fundada
Declarar dolosamente la inexistencia de los datos personales cuando obren total o parcialmente en
sus bases de datos
Actuar con negligencia o dolo en la tramitación de solicitudes A, R, C, O
Dar tratamiento en contravención a los principios
Omitir el aviso de privacidad o alguno de sus elementos
Mantener datos inexactos cuando resulte imputable al responsable, o no efectuar R o C
cuando procedan legalmente
No cumplir con el apercibimiento a que se refiere la fracción I del artículo 64 de la Ley
Artículo 63. Son infracciones a la Ley, las siguientes conductas llevadas a cabo por el
responsable:
Artículo 64. Las infracciones a la presente Ley serán sancionadas por el Instituto con:
Apercibimiento
Multa de 100 a 160,000 días de SMGVDF
Incumplir el deber de confidencialidad del artículo 21
Cambiar la finalidad del tratamiento de los DP, sin observar a lo dispuesto en el artículo 12.
Transferir datos a terceros sin comunicar a éstos el aviso de privacidad
Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al
responsable
Llevar a cabo transferencias o cesiones de bases de datos fuera de los casos permitidos
Recabar o transferir datos sin el consentimiento expreso del titular, en los casos en que éste sea
exigible
Recabar datos en forma engañosa y fraudulenta
Obstruir los actos de verificación de la autoridad
Continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del
mismo por el Instituto o los titulares
Tratar los datos personales de manera que se afecte o se impida el ejercicio de los derechos ARCO
Cualquier incumplimiento del responsable a las obligaciones establecidas a su cargo en términos de
la Ley.
Crear bases de datos en contravención a lo dispuesto en el artículo 9, párrafo 2
Multa de 200 a 320,000 días de SMGVDF
Por si fuera poco…
En caso de que de manera reiterada persistan las infracciones, se impondrá una multa adicional de
100 a 320,000 días de SMGVDF.
“En tratándose” de infracciones cometidas en el tratamiento de datos sensibles, las sanciones
podrán incrementarse hasta por dos veces
$57.46
SMGVDF
100 SMGVDF = $5746
200 SMGVDF = $11492
160,000 SMGVDF = $9’193,600
320,000 SMGVDF = $18’387,200
640,000 SMGVDF = $36’744,400
1280,000 SMGVDF = $73’548,800
Provocar una vulneración de seguridad a las bases de datos bajo su custodia.
Lucrar indebidamente con datos personales ya sea por engaño o error del
titular
Artículo 67 Artículo 68
3 meses a 3 años de prisión 6 meses a 5 años de prisión
* Tratándose de datos sensibles la sanción se duplica
Transitorios
Un año para nombrar a encargado o departamento de datos personales y expedir avisos de privacidad
Un año para emitir el Reglamento
18 meses para que los particulares puedan ejercer derechos ARCO
Se abrogan las disposiciones locales y todas las que se opongan a la presente Ley