Lineamientos de portabilidad de datos personales

El INAI dio a conocer recientemente los pormenores respecto a parámetros, modalidades y procedimientos

.
 .  (Foto: iStock)

En el DOF del 12 de febrero de 2018, fue publicado un acuerdo mediante el cual se aprueban los Lineamientos que establecen los parámetros, modalidades y procedimientos para portabilidad de datos personales, el cual entró en vigor el día 13 de ese mismo mes y año.

Estos tienen como objeto establecer los parámetros a considerar para determinar los supuestos en los que se está en presencia de un formato estructurado y comúnmente utilizado, que contengan datos personales, al igual que las normas técnicas, modalidades y procedimientos

para la transmisión de los referidos datos personales para garantizar la portabilidad de los datos personales a que se refiere la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO) o las legislaciones estatales en la materia.

Conceptos

Por portabilidad de datos personales se debe entender el derecho a la protección y transferencia de los mismos a que se refiere el artículo 57 de la LGPDPPSO o los que correspondan en las legislaciones estatales en la materia. Dicho numeral enuncia que cuando se traten datos personales por vía electrónica en un formato estructurado y comúnmente utilizado, el titular tendrá derecho a obtener del responsable una copia de los datos objeto de tratamiento en un formato electrónico estructurado y comúnmente utilizado que le permita seguir empleándolos.

Cuando el titular haya facilitado los datos y el tratamiento se base en el consentimiento o en un contrato, tendrá derecho a transmitir dichos datos personales y cualquier otra información que haya facilitado y que se conserve en un sistema de tratamiento automatizado a otro sistema en un formato electrónico comúnmente utilizado, sin impedimentos por parte del responsable del tratamiento de quien se retiren los datos personales. El Sistema Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales será justamente el encargado de establecer los lineamientos para determinar los supuestos en los que se está en presencia de un formato estructurado y comúnmente utilizado, y las normas técnicas, modalidades y procedimientos para la transferencia de datos personales.

Igualmente, es importante señalar que dentro de las definiciones de estos lineamientos se considera a los sujetos. En este caso a los responsables receptor y transmisor, como:

  • responsable receptor: cualquier autoridad, dependencia, entidad, órgano y organismo de los poderes ejecutivo, legislativo y judicial, órganos autónomos, tribunales administrativos, fideicomisos y fondos públicos y partidos políticos, del orden federal, estatal o municipal, que recibe directamente del responsable transmisor los datos personales, en un formato estructurado y comúnmente utilizado, a petición del titular
  • responsable transmisor: cualquier autoridad, dependencia, entidad, órgano y organismo de los poderes ejecutivo, legislativo y judicial, órganos autónomos, tribunales administrativos, fideicomisos y fondos públicos y partidos políticos, del orden federal, estatal o municipal, que comunica los datos personales, en un formato estructurado y comúnmente utilizado, a un responsable receptor a petición del titular

Por lo que hace a transmisión, esta es toda comunicación de datos personales realizada entre el responsable transmisor y el responsable receptor, a partir de la portabilidad de datos personales; tratándose de servicios de cómputo en la nube, la comunicación de datos personales de un servicio o aplicación de un responsable a otro.

Son sujetos obligados a cumplir con los lineamientos, aquella autoridad, dependencia, entidad, órgano y organismo de los tres poderes, órganos autónomos, tribunales administrativos, y fideicomisos y fondos públicos, del orden federal, estatal y municipal , y partidos políticos que cuente con sistemas que permitan general formatos estructurados y comúnmente utilizados para la portabilidad de datos personales.

Por un formato estructurado y comúnmente utilizado, cuando se cumplan los siguientes supuestos:

  • se trate de un formato electrónico accesible y legible por medios automatizados, de tal forma que estos puedan identificar, reconocer, extraer, explotar o realizar cualquier otra operación con datos personales específicos
  • el formato permita la reutilización y/o aprovechamiento de los datos personales, y
  • este sea interoperable con otros sistemas informáticos, de conformidad con lo dispuesto en los lineamientos

Objetivo

La portabilidad de datos tiene por objeto que el titular solicite:

  • una copia de sus datos personales que hubiere facilitado directamente al responsable, en un formato estructurado y comúnmente utilizado, que le permita seguir utilizándolos y, en su caso, entregarlos a otro responsable para su reutilización y aprovechamiento en un nuevo tratamiento, sin que lo impida el responsable al que el titular hubiere facilitado los datos personales, y
  • la transmisión de sus datos personales a un responsable receptor, siempre y cuando sea técnicamente posible, el titular hubiere facilitado directamente sus datos personales al responsable transmisor y el tratamiento de éstos se base en su consentimiento o en la suscripción de un contrato

Es importante indicar que la portabilidad de los datos personales no impone la obligación al responsable de almacenar, preservar, guardar, mantener o conservar todos los datos en su posesión en un formato estructurado y comúnmente utilizado, solamente para efecto de garantizar esta.

También es relevante precisar que la portabilidad de los datos personales no implica el cese o la conclusión de la relación jurídica con el responsable, por lo que el titular podrá seguir empleando o beneficiándose del servicio o programa proporcionado por el responsable al que hubiere facilitado los datos en cuestión.

Los datos personales objeto de portabilidad deberán ser tratados conforme a principios como los de licitud, lealtad, finalidad, consentimiento, calidad, proporcionalidad, información y responsabilidad, los deberes de seguridad y confidencialidad y demás obligaciones a que se refiere la LGPDPPSO o las legislaciones estatales de la materia.

Solicitud para portabilidad

Dentro de los requisitos que prevé la LGPDPPSO, en concreto su numeral 52, para la solicitud de portabilidad están los siguientes:

  • nombre del titular y su domicilio o cualquier otro medio para recibir notificaciones
  • documentos que acrediten la identidad del titular y, en su caso, la personalidad e identidad de su representante
  • área responsable que trata los datos personales y ante el cual se presenta la solicitud, de ser posible
  • descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos ARCO (acceso, rectificación, cancelación y oposición), salvo que se trate del derecho de acceso
  • descripción del derecho ARCO que se pretende ejercer, o bien, lo que solicita el titular, y cualquier otro elemento o documento que facilite la localización de los datos personales, en su caso

No obstante, los lineamientos sin perjuicio de los anteriores, contemplan estos:

  • petición de solicitar una copia de sus datos personales en un formato estructurado y comúnmente utilizado, o bien, transmitir sus datos personales al responsable receptor
  • explicación general de la situación de emergencia en la que se encuentra el titular, a efectos de que los plazos de respuesta sobre la procedencia o improcedencia de su solicitud y, para hacer efectiva la portabilidad de sus datos personales sean menores, en términos de lo dispuesto en los lineamientos, en su caso, y
  • denominación del responsable receptor y el documento que acredite la relación jurídica entre el responsable y el titular; el cumplimiento de una disposición legal o el derecho que pretende ejercer, en el supuesto de que el titular solicite la transmisión de sus datos personales

Procedimiento

Por lo que se refiere al procedimiento para la transmisión, hay que señalar que una vez cumplidas las condiciones técnicas (adopción de protocolos, herramientas, aplicaciones o servicios de enlace y comunicación eficiente; medidas de seguridad administrativas, físicas y técnicas; mecanismos de autenticación para el envío y recepción; controles de evidencia y registros de todas las acciones u operaciones) se observará lo siguiente:

  • la Unidad de Transparencia del responsable transmisor dará respuesta al titular sobre la procedencia jurídica y técnica de la transmisión de sus datos personales en el plazo previsto en el artículo 51, párrafo primero de la Ley General o los que corresponda en las legislaciones estatales en la materia, salvo que el titular esté en una situación de emergencia
  • el responsable transmisor deberá transmitir los datos personales, en un formato estructurado y comúnmente utilizado, al responsable receptor dentro del plazo de 15 días o los que correspondan en las legislaciones estatales en la materia, salvo que el titular se encuentre en una situación de emergencia
  • el responsable transmisor enviará los datos personales, en un formato estructurado y comúnmente utilizado, al responsable receptor, previa acreditación de la identidad del titular y, en su caso, la identidad y personalidad de su representante
  • el responsable transmisor tendrá que cifrar los datos personales, en un formato estructurado y comúnmente utilizado, durante su envío al sistema o plataforma electrónica del responsable receptor
  • el responsable transmisor y el responsable receptor autorizarán a una persona que se encargue de vigilar que en la transmisión de los datos personales se observen las condiciones, normas, procedimientos y obligaciones técnicas previstas en los lineamientos en todo aquello que resulte aplicable
  • la Unidad de Transparencia del responsable transmisor y la del responsable receptor coadyuvarán, en el ámbito de sus respectivas competencias, con la persona autorizada para vigilar el cumplimiento de los lineamientos en la transmisión de los datos personales
  • la Unidad de Transparencia del responsable receptor deberá notificar a la diversa del responsable transmisor y al titular la recepción de los datos personales, en un formato estructurado y comúnmente utilizado, a más tardar al día siguiente de la recepción de estos, y
  • las Unidades de Transparencia del responsable transmisor y del responsable receptor tendrán que coordinar la atención de las solicitudes de portabilidad de datos personales, sin que ello implique realizar o intervenir en el desarrollo de actividades de índole técnico propias de las unidades administrativas competentes

Medios de impugnación

Por otra parte, en lo que se refiere a los medios de impugnación ante una vulneración de la portabilidad de datos, el titular, su representante o quien acredite tener interés jurídico o legítimo respecto de datos personales de fallecidos podrán interponer un recurso de revisión ante el INAI o los organismos garantes contra la respuesta o falta de esta a una solicitud para la portabilidad, conforme a los requisitos, plazos, condiciones, términos y procedimientos establecidos en el Título Noveno, Capítulos I, II y III de la LGPDPPSO o los que correspondan en las legislaciones estatales en la materia.

Conclusión

Será importante tener en consideración los anteriores lineamientos pues cada vez es más común que se traten los datos personales por vía electrónica. Los datos personales se han tornado en uno de los recursos más importantes y valiosos en la actualidad, de ahí la relevancia de conocer las obligaciones y derechos de los receptores y transmisores, así como de quiénes son los sujetos obligados y qué deberes tienen que acatar.