Debido al incremento a nivel mundial de la circulación de datos de carácter personal a través de diversos medios electrónicos y digitales,  al intercambio de información entre empresas y gobiernos y al interés de mantener la confidencialidad de la información personal, México finalmente se sube a la ola de protección de datos personales con la promulgación de la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP).

Publicada el 05 de julio de 2010, dicha ley está alineada con los preceptos originales que otras naciones, principalmente europeas, imprimieron en sus respectivas leyes de protección de datos: el respeto a los derechos humanos y a las libertades individuales. Veamos en retrospectiva lo que se ha hecho en el mundo para situar en su justa dimensión los esfuerzos de México en relación a este tema.

En Suecia, en 1973, entra en vigor la primera ley en el mundo para la protección de la información de particulares. Esta ley cuenta con un organismo supervisor para su cumplimiento (Data Inspektion Board). Le sucede Estados Unidos en 1974 con una ley de carácter general (Privacy Act), luego, entre 1977 y 1979, países como Canadá, Francia, Dinamarca, Noruega, Austria y Luxemburgo publicaron leyes de protección de datos. Es hasta el 28 de enero de 1981 que se realiza el primer convenio internacional de protección de datos, firmado por países miembros del Consejo de Europa, mejor conocido como “Convenio 108” o “Convenio de Estrasburgo”. De este modo la República Federal Alemana, Francia, Dinamarca, Austria y Luxemburgo contaron con el primer instrumento vinculatorio de carácter internacional sobre protección de datos, al cual se le sumaron en un lapso de 11 años países como Islandia, Gran Bretaña, Irlanda, Holanda, Portugal, España[1] y Bélgica.

El Convenio 108 consta de 27 artículos agrupados en 7 capítulos y su objeto es garantizar el respeto de los derechos y libertades fundamentales de toda persona física, sin importar su nacionalidad, con respecto al trato automatizado de sus datos, sensibles o comunes, ya sea en el sector público o privado. Los puntos más relevantes que conforman el convenio son:

  • Artículo 4. Cada parte tomará las medidas necesarias para la protección de datos comenzando en el momento mismo de la entrada en vigor del convenio.
  • Artículo 5. Los datos personales a proteger deberán ser obtenidos de manera leal, legítima y se registrará un fin o uso leal y legítimo.  Además, deberán ser actualizados.
  • Artículo 6. Se categorizan los datos y solamente se podrán tratar en medios automatizados bajo garantías de seguridad apropiadas: datos que revelen origen racial, opiniones políticas, convicciones religiosas u otras, datos de salud, de vida sexual y condenas penales.
  • Artículo 8. Toda persona registrada deberá tener conocimiento de la existencia de esa base de datos y además podrá saber la finalidad de esos registros. Adicionalmente, podrá rectificar o ratificar datos, así como solicitar el borrado de su registro.
  • Artículos 18 y 19. Creación de un Comité Consultivo para toma de decisiones, propuestas de enmiendas y aplicación del convenio.

Mediante la organización y desarrollo coordinado en los países europeos, se puede hablar de un progreso de la ley más homogéneo entre los estados miembros de este bloque.  Es así como desde 2005 existe una agencia especializada y responsable por los temas de seguridad de la información para la Unión Europea, denominada Agencia Europea de Seguridad en Redes e Información (ENISA, por sus siglas en inglés) que se encarga de prevenir los problemas de seguridad de la información pensando en la protección de ciudadanos, clientes, negocios y organizaciones públicas en la Unión Europea. Dicha agencia, en conjunto con la Comisión Europea, desarrolla y actualiza la legislación en materia de seguridad informática; así también ha ampliado los preceptos originales de protección del Convenio 108 dadas las amenazas modernas globales, como son el terrorismo y la lucha contra el tráfico de estupefacientes y de personas, por mencionar algunos.

A diferencia de los esfuerzos conjuntos y armónicos en la Unión Europea, en América no ha existido este ánimo cooperativo. Incluso se habla hoy en día de dos marcos normativos en el mundo: el modelo europeo y el modelo americano (que sólo siguen Estados Unidos y Canadá).  [Cuadro 1.]

 fig-1-antonio-oliveros

Es hasta 1997 cuando un país latinoamericano, Brasil, promulga una Ley de Protección de Datos. Le siguió Argentina en el año 2000 y dos años después, en 2002, México dio el primer paso con la entrada en vigor de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental y la creación del organismo supervisor de dicha ley: el Instituto Federal de Acceso a la Información y Protección de Datos. Su campo de vigilancia solamente son las entidades de la Administración Pública Federal así como también los organismos autónomos como el Instituto Federal Electoral (IFE), la Comisión Nacional de Derechos Humanos (CNDH) y el Banco de México.

En julio de 2007 se implementaron acciones con miras a consolidar la protección de datos personales en posesión de las empresas particulares. Tuvieron que transcurrir tres años más y fueron necesarias tres modificaciones a artículos de la Constitución Mexicana (6°, 16° y 73°), además de la transformación del Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) para quedar como un organismo público descentralizado de la Administración Pública Federal con autonomía operativa, presupuestaria y de decisión, para publicar el 5 de julio de 2010 el decreto que expide la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP).

La LFPDPPP es de orden público y observancia general en toda la República y su objeto es la protección de los datos personales en posesión de particulares para regular su tratamiento legítimo, informado y controlado a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.  Basada principalmente en el modelo europeo, la LFPDPPP se compone de 69 artículos, agrupados en 11 capítulos, que cubren los siguientes temas:

  • Derecho ARCO. Se deben otorgar las garantías y procedimientos a cualquier persona para acceder, ratificar, corregir y/u oponerse a la existencia de registros con información sensible o no sensible.
  • Aviso de privacidad. La obtención de datos debe hacerse a través de medios lícitos y no fraudulentos. En el caso de que sea necesario recabar información clasificada como “sensible”, deberá existir el consentimiento expreso y por escrito del titular de los datos con firma autógrafa; en caso de que no existan datos sensibles bastará una autorización por cualquier medio impreso o electrónico.  Además, el aviso de privacidad debe especificar la finalidad de la recopilación de los datos, identidad y domicilio de quien recaba, potenciales transferencias de los datos a terceros (empresas de outsourcing o del mismo grupo, nacionales o extranjeras).
  • Tratamiento de datos. El tratamiento de los datos requiere la autorización del titular de los mismos (aviso de privacidad) y éstos sólo se podrán usar para el fin para el cual fueron recabados.  El tratamiento de los datos deberá contemplar su protección contra daño, pérdida, alteración, destrucción, acceso o uso no autorizado. Así también el responsable directo del tratamiento de los datos, o terceros que intervengan en cualquier fase, deberán guardar confidencialidad respecto de éstos aún después de finalizar relaciones con el titular o responsable inscrito en el aviso de privacidad.
  • No cumplimiento. La verificación del cumplimiento de la LFPDPPP queda a cargo del IFAI, y puede iniciarse de oficio o a petición de parte. Cualquier vulneración de la seguridad que afecte los derechos patrimoniales o morales de una(s) persona(s) deberá ser informada inmediatamente al (los) titular(es) de los datos. El no cumplimiento de la ley puede generar infracciones económicas o sanciones penales.  Las multas varían desde los $5,700 pesos hasta los $18,380,000 pesos[2].  Las penas por delito pueden ir desde los tres meses hasta los cinco años de prisión, y en el caso de que en el incumplimiento de la ley estén involucrados datos “sensibles” ambas sanciones se duplicarán.
  • Debido a la legislación mexicana y a los artículos transitorios de la ley es importante tener presentes las siguientes consideraciones:
    • El derecho ARCO se podrá ejercer a los dieciocho meses de la entrada en vigor de la ley, esto es a partir del 6 de enero de 2012.
    • Los avisos de privacidad se podrán expedir a más tardar un año después de la entrada en vigor de la ley, esto es máximo el 6 de julio de 2011.
    • El reglamento de la ley se expedirá dentro de los siguientes doce meses a su entrada en vigor, esto es antes del 6 de julio de 2011.

México tiene los canales para minimizar el rezago en materia de protección de datos, y aún mejor, enriquecerse con las distintas perspectivas de organismos internacionales. Por ejemplo, la Organización para la Cooperación y el Desarrollo Económico (OCDE), de la cual México es miembro, tiene una Política y Principios de Privacidad. Otro ejemplo es la Organización de Estándares Internacionales (ISO, por sus siglas en inglés), la cual es prolífica participante en la creación de lineamientos y estándares basados en mejores prácticas; de hecho, publicó un estándar respecto a los análisis de impacto a la privacidad respecto a la protección de datos particulares (ISO22307–Core Banking; Financial Services–Privacy Impact Assessment).

Los retos son de grandes dimensiones pues caen no sólo en la arena política sino en temas presupuestales y de funciones. El IFAI hoy en día se enfrenta a amparos y confrontaciones con organismos de gran relevancia nacional, que incluso pueden llegar a la corte. Respecto a los temas económicos, el IFAI desde 2004 hasta 2010 ha tenido solo el incremento de 1% de su presupuesto en todo ese lapso; en ese mismo periodo las peticiones al instituto crecieron 576%, verificando el cumplimiento de 98% de las resoluciones. Para el presupuesto de 2011, la Secretaría de Hacienda estima incrementarle solo 1% de su presupuesto respecto de 2010, tomando en cuenta que ahora su ámbito se extiende a los particulares que abarcan más de 240 entidades federales y más de 3 millones de sujetos obligados que poseen una base de datos personales.

Finalmente, es cada día más común saber que algunas empresas de talla internacional o grandes corporativos que manejan información de particulares –velando por sus legítimos intereses económicos–, desconocen la LFPDPPP o buscan un amparo dada la falta de claridad en dicha ley y en ausencia de la publicación de normatividad aplicable.

En conclusión, el reto respecto a la protección de datos personales de México –y en particular del IFAI– no sólo responde a temas de orden legal, sino de recursos tanto humanos como materiales, y más aún de orden político en altas esferas.  Mientras tanto, el reloj del progreso sigue avanzando en perjuicio de nosotros los particulares y remarcando el rezago ante naciones de diferente idiosincrasia y aumentada voluntad.

[email protected]

Fuentes de consulta

  • www.elfinanciero.com.mx; “Pide IFAI contemplar recursos necesarios en presupuesto”.
  • www.eluniversal.com.mx; “IFAI: La transparencia no es prioridad en el gobierno”.  Horacio Jiménez.
  • www.eleconomista.com.mx; “Colisión de derechos: IFAI vs SAT”.  Marco A. Mares.
  • www.iso.org; “New ISO standard will help safeguard privacy of financial data in computer systems”.
  • www.dof.gob.mx; Primera Sección, Poder Ejecutivo, Secretaría de gobernación.  Julio 05, 2010.
  • www.bibliotecajuridica.org; “Protección jurídica de datos personales”.
  • www.cica.ca; “Privacy Risk Assessment Tool”.
  • www.enisa.europa.eu; “Enisa Opinion on PIA”.
  • www.ifai.org.mx
  • www.juridicas.unam.mx; “Constitución Política de los Estados Unidos Mexicanos, Título Primero, Capítulo I de las Garantías Individuales, Artículo 6”.
  • www.juridicas.unam.mx; “Constitución Política de los Estados Unidos Mexicanos, Título Tercero, Capítulo II del Poder Legislativo, Sección III de las Facultades del Congreso, Artículo 73”.
  • www.juridicas.unam.mx; “Constitución Política de los Estados Unidos Mexicanos, Título Primero, Capítulo I de las Garantías Individuales, Artículo 16”.
  • “International Standard ISO 22307 – Financial Services Privacy Impact Assessment”. Primera edición. 2008.

[1] La ley de 1992 fue derogada y sustituida por la Ley Orgánica de Protección de Datos con fecha de diciembre de 1999.

[2]  Montos aproximados, calculados con base en el Salario Mínimo del DF vigente en agosto de 2010.