Ley Federal de Protección de Datos Personales en Posesión de los Particulares

El 5 de julio de 2010 se publicó en el Diario Oficial de la Federación el Decreto por el que se expide la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Esta es probablemente una de las leyes más polémicas y al mismo tiempo más esperadas de México, considerando que el primer proyecto para regular esta materia se presentó al Congreso en el año 2001.

Los proyectos que antecedieron al que finalmente culminó en ley fueron los siguientes:

  • Proyecto de Ley Federal de Protección de Datos Personales, presentado por el Senador Antonio García Torres el 14/02/2001. Fue dictaminado y aprobado en la Cámara de Senadores el 30/04/2002 y se remitió a la Cámara de Diputados. Su contenido sufrió varias modificaciones fue seriamente cuestionado. Nunca se tomaron en cuenta las propuestas de alternativas de solución a los cuestionamientos.
  • Proyecto de Ley Federal de Protección de Datos Personales, presentado por el Diputado Miguel Barbosa Huerta el 06/09/2001, rechazado el 30/04/2002.
  • Proyecto de Ley Federal de Protección de Datos Personales, presentado por el Senador Antonio García Torres el 2/02/2006.

Tengo algunas presentaciones (Ver “Ponencias“) que tratan algunos puntos de esta nueva ley, y considerando que estoy preparando un artículo sobre la misma para la Revista b:Secure, no abundaré más por el momento sobre este tema.

Zapatero a tu zapato



Durante el mes de junio impartí varias conferencias, algunas en Monterrey, una en Querétaro y otras en el Distrito Federal. Algunos temas están de moda, y se escuchan casi en todos los eventos: cloud computing, ACTA y el proyecto de nueva Ley Federal de Protección de Datos Personales en Posesión de Particulares.

Me llamó particularmente la atención que en dos eventos y ciudades diferentes, me topé a dos conferencistas (también distintos) hablando de la nueva Ley Federal de Protección de Datos Personales en Posesión de Particulares. La única coincidencia de estas dos circunstancias, es que ninguno de los dos conferencistas era abogado (de hecho, uno de ellos es buen amigo a quien aprecio y respeto mucho), ambos eran ingenieros o especialistas en asuntos cibernéticos (técnicos).

La ponencia de quien era mi amigo la esuché muy pocos minutos, pues estaba terminando de preparar mi participación, así que no puedo comentar sobre ella (casualmente, jeje). Sin embargo, la ponencia de el otro ingeniero / técnico en TI’s si la escuché completa. Debo reconocer que este señor tiene dominado el arte de hablar en público. Muy convincente, su presentación con textos breves, concisos y muchos dibujitos (muy “de ingeniero”).

El problema no era su presentación (aunque los slides estaban en inglés, y la audiencia era evidentemente hispanoparlante), sino lo que decía mientras brincaba de slide en slide. Con mucha seguridad empezó a hablar de la privacidad y su regulación en el mundo, los diferentes esquemas o modelos regulatorios, y finalmente comenzó a hablar de la multicitada ley de protección de datos personales, en ese entonces todavía no publicada en el DOF, pero si en la Gaceta del Senado.

Daba datos tan específicos como si los hubiera memorizado: “La ley habla de que las empresas tienen que tener un CIO (Chief Information Officer) o CISO (Chief Information Security Officer) que sea responsable de vigilar los datos en las empresas”, “la ley tiene sanciones hasta por $60 millones de pesos“, etc. Cuando mencionó esto último, en lo único que pude pensar es “zapatero a tu zapato“.

Fue tal mi indignación que me acerqué con uno de los organizadores para decirle que no estaba de acuerdo con lo que el expositor estaba diciendo, y que era mi deber como abogado y profesional, desmentirlo cuando me tocara el turno al micrófono. A lo cual me contestó “no si yo ya había escuchado eso de los $60 millones de pesos, lo dijo el Dr. Fulanito de Tal en otro evento al que asistí” (como tratándome de convencer que no contradijera su dicho).

Entonces entendí la lección: cuando uno es conferencista, no importa la carrera o especialidad que ostentes, tienes una gran responsabilidad al transmitir conocimientos al público. La gente te toma por experto, y por ende, lo que uno dice adquiere la calidad de “verdad absoluta”… mientras no haya un abogado metiche que diga lo contrario!

Afortunadamente ignoré la “sutil sugerencia” de no contradecir a nadie, me subí al podium y en su momento con slide en pantalla gigante le mostré a la audiencia el artículo 64 de la ley que marca las sanciones, con las correspondientes multiplicaciones de salarios mínimos a pesos. La multa más severa que prevee la ley es de $38,387,200 pesos (320,000 días de salario mínimo vigente en el D.F.), cifra muy distante a los famosos “$60 millones de pesos”.

Me queda muy claro que los abogados no somos dueños de las leyes, pero somos quienes estamos mejor capacitados para opinar sobre ellas. Cualquiera puede leer una ley en el Diario Oficial de la Federación, pero eso no convierte a nadie en experto (esto incluye a abogados no conocedores de la materia!). Hay que conocer los antecedentes legislativos locales e internacionales, la doctrina global sobre el tema, opiniones de otros expertos, etc.

Tengo muchos amigos ingenieros, y los respeto mucho… y por respeto a ellos (y reconocimiento de mis propias limitaciones profesionales), jamás me atrevería a dar una conferencia sobre cómo configurar un firewall, cómo realizar una investigación de cómputo forense, cómo rastrear intrusos en una VPN, etc. Si son contadores, hablen de contabilidad. Si son ingenieros, hablen de asuntos técnicos cibernéticos. Si son abogados, hablen de leyes.

Zapatero… a tu zapato!

Acuerdo mediante el cual se aprueban los Lineamientos para la Protección de Datos Personales en el Distrito Federal

El 26 de octubre de 2009 el Pleno del Instituto de Acceso a la Información Pública del Distrito Federal publicó en la Gaceta Oficial del Distrito Federal el “Acuerdo mediante el cual se aprueban los Lineamientos para la Protección de Datos Personales en el Distrito Federal”. Entre los considerandos de dichos lineamientos se encuentran los siguientes:

3. Que de conformidad con lo establecido en el artículo 23 de la Ley de Protección de Datos Personales para el Distrito Federal (LPDPDF), el INFODF es el órgano encargado de dirigir y vigilar el cumplimiento de la Ley en mención y las normas que de ella deriven, además de ser la autoridad encargada de garantizar la protección y el correcto tratamiento de datos personales. También velará porque los principios de licitud, consentimiento, calidad de los datos, confidencialidad, seguridad, disponibilidad y temporalidad rijan en los sistemas de datos personales en posesión de los entes públicos del Distrito Federal.

4. Que de conformidad con el artículo 24, fracción I, de la LPDPDF, el INFODF tiene como atribución la de establecer, en el ámbito de su competencia, políticas y lineamientos de observancia general para el manejo, tratamiento, seguridad y protección de los datos personales en posesión de los entes públicos.

11. Que para tal efecto, el proyecto de Lineamientos en comento en su titulo primero establece definiciones de conceptos, aunque no limitativos, del derecho de la protección de datos personales; en su segundo titulo, hace referencia a los sistemas, a la seguridad y tratamiento de los datos personales, así como a las obligaciones de los sujetos obligados en esta materia; el tercer titulo, señala las atribuciones con que cuenta el INFODF para garantizar el cumplimiento de la LPDPDF por parte de los entes públicos, y el cuarto titulo, establece el procedimiento que deberán sujetarse tanto particulares como los sujetos obligados en el ejercicio del derecho ARCO.

La tabla de contenidos de los lineamientos es la siguiente:

LINEAMIENTOS PARA LA PROTECCIÓN DE DATOS PERSONALES EN EL DISTRITO FEDERAL

TÍTULO PRIMERO. DISPOSICIONES COMUNES PARA LOS ENTES PÚBLICOS

CAPÍTULO ÚNICO. DISPOSICIONES GENERALES

TÍTULO SEGUNDO. DE LA TUTELA DE DATOS PERSONALES

CAPÍTULO I. DE LOS SISTEMAS DE DATOS PERSONALES

CAPÍTULO II. DE LAS MEDIDAS DE SEGURIDAD

CAPÍTULO III. DEL TRATAMIENTO DE DATOS PERSONALES

CAPÍTULO IV. DE LAS OBLIGACIONES DE LOS ENTES PÚBLICOS

TÍTULO TERCERO. DE LA AUTORIDAD RESPONSABLE DEL CONTROL Y VIGILANCIA

CAPÍTULO ÚNICO. INSTITUTO DE ACCESO A LA INFORMACIÓN PÚBLICA DEL DISTRITO FEDERAL

TÍTULO CUARTO. DE LOS DERECHOS Y DEL PROCEDIMIENTO PARA SU EJERCICIO

CAPÍTULO ÚNICO. DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN.

TRANSITORIOS

Ley de Protección de Datos Personales para el Distrito Federal

El 3 de octubre de 2008 fue publicada en la Gaceta Oficial del Distrito Federal la “Ley de Protección de Datos Personales para el Distrito Federal”. Esta ley tiene dos particularidades, es la primera en México dedicada a la protección de datos personales, y regula su tratamiento por los entes públicos. A continuación compartimos algunos de los artículos más relevantes de esta ley:

Artículo 1.- La presente Ley es de orden público e interés general y tiene por objeto establecer los principios, derechos, obligaciones y procedimientos que regulan la protección y tratamiento de los datos personales en posesión de los entes públicos.

Artículo 2.- Para los efectos de la presente Ley, se entiende por:

Bloqueo de datos personales: La identificación y reserva de datos personales con el fin de impedir su tratamiento;

Datos personales: La información numérica, alfabética, gráfica, acústica o de cualquier otro tipo concerniente a una persona física, identificada o identificable. Tal y como son, de manera enunciativa y no limitativa: el origen étnico o racial, características físicas, morales o emocionales, la vida afectiva y familiar, el domicilio y teléfono particular, correo electrónico no oficial, patrimonio, ideología y opiniones políticas, creencias, convicciones religiosas y filosóficas, estado de salud, preferencia sexual, la huella digital, el ADN y el número de seguridad social, y análogos;

Ente Público: La Asamblea Legislativa del Distrito Federal; el Tribunal Superior de Justicia del Distrito Federal; El Tribunal de lo Contencioso Administrativo del Distrito Federal; El Tribunal Electoral del Distrito Federal; el Instituto Electoral del Distrito Federal; la Comisión de Derechos Humanos del Distrito Federal; la Junta de Conciliación y Arbitraje del Distrito Federal; la Jefatura de Gobierno del Distrito Federal; las Dependencias, Órganos Desconcentrados, Órganos Político Administrativos y Entidades de la Administración Pública del Distrito Federal; los Órganos Autónomos por Ley; los partidos políticos, asociaciones y agrupaciones políticas; así como aquellos que la legislación local reconozca como de interés público y ejerzan gasto público; y los entes equivalentes a personas jurídicas de derecho público o privado, ya sea que en ejercicio de sus actividades actúen en auxilio de los órganos antes citados o ejerzan gasto público;

Artículo 3.- La interpretación de esta ley se realizará conforme a la Constitución Política de los Estados Unidos Mexicanos, la Declaración Universal de los Derechos Humanos, el Pacto Internacional de Derechos Civiles y Políticos, la Convención Americana sobre Derechos Humanos, y demás instrumentos internacionales suscritos y ratificados por el Estado Mexicano y la interpretación que de los mismos hayan realizado los órganos internacionales respectivos.

Artículo 5.- Los sistemas de datos personales en posesión de los entes públicos se regirán por los principios siguientes: Licitud, Consentimiento, Calidad de los Datos, Confidencialidad, Seguridad, Disponibilidad, Temporalidad.

Artículo 10.- Ninguna persona esta obligada a proporcionar datos personales considerados como sensibles, tal y como son: el origen étnico o racial, características morales o emocionales, ideología y opiniones políticas, creencias, convicciones religiosas, filosóficas y preferencia sexual.

Artículo 13.- Los entes públicos establecerán las medidas de seguridad técnica y organizativa para garantizar la confidencialidad e integralidad de cada sistema de datos personales que posean, con la finalidad de preservar el pleno ejercicio de los derechos tutelados en la presente Ley, frente a su alteración, pérdida, transmisión y acceso no autorizado, de conformidad al tipo de datos contenidos en dichos sistemas.

Artículo 23.- El Instituto de Acceso a la Información Pública del Distrito Federal es el órgano encargado de dirigir y vigilar el cumplimiento de la presente Ley, así como de las normas que de ella deriven; será la autoridad encargada de garantizar la protección y el correcto tratamiento de datos personales.

Artículo 26.- Todas las personas, previa identificación mediante documento oficial, contarán con los derechos de acceso, rectificación, cancelación y oposición de sus datos personales en posesión de los entes públicos, siendo derechos independientes, de tal forma que no puede entenderse que el ejercicio de alguno de ellos sea requisito previo o impida el ejercicio de otro. La respuesta a cualquiera de los derechos previstos en la presente ley, deberá ser proporcionada en forma legible e inteligible, pudiendo suministrase, a opción del interesado, por escrito o mediante consulta directa.

Artículo 41.- Constituyen infracciones a la presente Ley:

I. La omisión o irregularidad en la atención de solicitudes de acceso, rectificación, cancelación u oposición de datos personales;

II. Impedir, obstaculizar o negar el ejercicio de derechos a que se refiere la presente Ley;

III. Recabar datos de carácter personal sin proporcionar la información prevista en la presente Ley;

IV. Crear sistema de datos de carácter personal, sin la publicación previa en la Gaceta Oficial del Distrito Federal;

V. Obtener datos sin el consentimiento expreso del interesado cuando éste es requerido;

VI. Incumplir los principios previstos por la presente Ley;

VII. Transgredir las medidas de protección y confidencialidad a las que se refiere la presente Ley;

VIII. Omitir total o parcialmente el cumplimiento de las resoluciones realizadas por el Instituto, así como obstruir las funciones del mismo;

IX. Omitir o presentar de manera extemporánea los informes a que se refiere la presente Ley;

X. Obtener datos personales de manera engañosa o fraudulenta;

XI. Transmitir datos personales, fuera de los casos permitidos, particularmente cuando la transmisión haya tenido por objeto obtener un lucro indebido;

XII. Impedir u obstaculizar la inspección ordenada por el Instituto o su instrucción de bloqueo de sistemas de datos personales, y

XIII. Destruir, alterar, ceder datos personales, archivos o sistemas de datos personales sin autorización;

XIV. Incumplir con la inmovilización de sistemas de datos personales ordenada por el Instituto, y

XV. El incumplimiento de cualquiera de las disposiciones contenidas en esta Ley.

Las infracciones a que se refiere este artículo o cualquiera otra derivada del incumplimiento de las obligaciones establecidas en esta Ley, será sancionada en términos de la Ley de Federal de Responsabilidades de los Servidores Públicos, siendo independientes de las de orden civil o penal que procedan, así como los procedimientos para el resarcimiento del daño ocasionado por el ente público.

1 2 3