Guía para la protección de datos personales

Aspectos básicos sobre los derechos y las obligaciones relacionadas con esta materia específica

.
 .  (Foto: iStock)

En México, en concordancia con diversos instrumentos internacionales, la protección de datos personales está reconocida como un derecho humano. De acuerdo con el segundo párrafo del artículo 16 de la
Constitución Política de los Estados Unidos Mexicanos, “toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.” 

Y es que los datos personales están ligados con la intimidad y honor de las personas, por lo que cualquier infiltración de esta información podría causarles graves daños y perjuicios.

El tema de protección de datos personales no es nada sencillo, pues las leyes que lo regulan manejan varios tecnicismos y remiten a normas secundarias para su aplicación. Por ello, a continuación, se responden una serie de preguntas básicas que los titulares de los datos personales y los responsables de su tratamiento deben conocer para adentrarse en esta materia.

Aspectos generales

¿Qué son los datos personales?

Cualquier información concerniente a una persona física identificada o identificable adquiere el carácter de datos personales (art. 3, fracción V, LFPDPPP).

¿Qué es un dato personal sensible?

Son datos personales que afectan la esfera más íntima de su titular, o cuya utilización indebida puede dar origen o conllevar un riesgo grave para este, como, por ejemplo, el origen racial o étnico; estado de salud (pasado, presente y futuro); información genética; creencias religiosas, filosóficas y morales; afiliación sindical; opiniones políticas y preferencia sexual.  

¿Cuál es la autoridad competente en la materia?

El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).

¿Qué normativa protege a los datos personales?

Existen dos ordenamientos que los regulan. Por un lado, se encuentra la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), que impone una serie de obligaciones para las autoridades federales, estatales, municipales; los organismos de los poderes ejecutivo, legislativo y judicial; los órganos autónomos; los partidos políticos; los fideicomisos y fondos, en relación con la protección de datos personales que recaben de los gobernados.

Por su parte, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), contempla los deberes deben de cumplir las personas físicas o morales de carácter privado cuando recaben datos personales de otros particulares; por ejemplo: médicos, bancos, hoteles, restaurantes, tiendas de autoservicio, escuelas privadas, etc.; la cual cuenta con un reglamento (RLFPDPPP). Además, existen otros instrumentos, tales como:

  • lineamientos del aviso de privacidad

  • parámetros de autorregulación en materia de protección de datos personales

  • criterios generales para la instrumentación de medidas compensatorias sin la autorización expresa del INAI, y

  • lineamientos para el uso de hiperenlaces o hipervínculos en una página de internet del INAI, para dar a conocer avisos de privacidad a través de medidas compensatorias

La presente se enfocará en la LFPDPPP.

¿La protección de datos personales aplica también para personas morales?

El artículo 3, fracción IV de la LFPDPPP, al definir los datos personales, señala a la letra: “cualquier información concerniente a una persona física”; mientras que el precepto 5 del RLFPDPPP, indica que sus disposiciones no serán relativas a la información de personas morales.

Sin embargo, la Suprema Corte de Justicia de la Nación, a través de dos criterios ha reconocido que las personas jurídicas también tienen derecho a la protección de datos.

En el primer criterio de rubro: PERSONAS MORALES. TIENEN DERECHO A LA PROTECCIÓN DE LOS DATOS QUE PUEDAN EQUIPARARSE A LOS PERSONALES, AUN CUANDO DICHA INFORMACIÓN HAYA SIDO ENTREGADA A UNA AUTORIDAD, con registro digital: 2005522, la Corte determinó que la protección de datos personales puede extenderse a alguna información económica, comercial o relativa la identidad de las morales, que es ajena al conocimiento de terceros y que, de revelarse, pudiera anular o menoscabar su libre y buen desarrollo. 

Para complementar, el alto tribunal en la tesis denominada: PERSONAS MORALES. LA TITULARIDAD DE LOS DERECHOS FUNDAMENTALES QUE LES CORRESPONDE DEPENDE DE LA NATURALEZA DEL DERECHO EN CUESTIÓN, ASÍ COMO DEL ALCANCE Y/O LÍMITES QUE EL JUZGADOR LES FIJE, con registro digital: 2005521, detalló que será el juzgador quien deba determinar, en cada caso concreto, si a una persona jurídica se le pueden atribuir derechos respecto a la protección de datos personales.

En conclusión, hay cierto grado de reconocimiento judicial sobre la tutela de datos personales en las morales, aunque aún no está claro su alcance y no son criterios vinculantes; por tanto, no hay deber legal de aplicar la LFPDPPP para estos sujetos.

¿A qué sujetos no les aplica la LFPDPPP?

sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Información Crediticia, y 

personas físicas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial (art. 2, LFPDPPP)

.
 .  (Foto: IDConline)



¿Quiénes son los actores principales en la materia?

  • Titular: que es el individuo a quien pertenecen los datos personales (art. 3, fracción XVII, LFPDPPP)

  • responsable: la persona física o moral que recaba los datos (art. 3, fracción XIV, LFPDPPP), y

  • encargado: persona física o moral, ajena a la organización del responsable del tratamiento, que trata los datos personales a nombre y por cuenta del responsable. A diferencia de este último, el encargado no decide sobre el tratamiento de los datos personales, sino que lo realiza siguiendo las instrucciones del responsable (art. 3, fracción IX, LFPDPPP)

¿Cuáles son los supuestos en que deberán respetarse las obligaciones relativas al tratamiento de datos personales?

Si los datos son recabados:

  • en un establecimiento del responsable ubicado en territorio mexicano

  • por el responsable que no esté establecido en territorio mexicano, pero le resulte aplicable la legislación mexicana, derivado de la celebración de un contrato o en términos del derecho internacional, y

  • por el responsable que no esté establecido en territorio mexicano, pero que utilice medios situados en esta jurisdicción, salvo que tales medios se utilicen únicamente con fines de tránsito que no impliquen un tratamiento (art. 5, RLFPDPPP)

Tratamiento 

¿Qué se entiende por tratamiento de datos personales?

La obtención, uso, divulgación o almacenamiento de datos personales, por distintos medios. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de los datos (art. 3, fracción XVIII, LFPDPPP).

¿Qué principios deberá observar el responsable en el tratamiento de datos personales?

  • licitud: los datos personales tendrán que ser tratados con apego a las leyes (art 10, RLFPDPPP)

  • lealtad: la obtención de los datos personales no podrá hacerse a través de medios engañosos, ni fraudulentos, lo que implica que no se recaben con dolo, mala fe o negligencia y no se vulnere la confianza del titular (art. 44, RLFPDPPP)

  • consentimiento: el responsable deberá contar con la autorización del titular para el tratamiento de sus datos personales (art. 11, RLFPDPPP)

  • información: el responsable deberá informar a los titulares, las características principales del tratamiento al que será sometida su información personal, lo que se materializa a través del aviso de privacidad (art.
    23, RLFPDPPP)

  • calidad: significa que los datos personales tendrán que ser correctos, exactos, completos, pertinentes y actualizados (art. 36, RLFPDPPP)

  • finalidad: los datos personales únicamente podrán ser tratados para cumplir con el fin que haya sido informado al titular en el aviso de privacidad (art. 40, RLFPDPPP)

  • proporcionalidad: consiste en la obligación del responsable de tratar solo aquellos datos personales que resulten necesarios, adecuados y relevantes en relación con las finalidades para las cuales se obtuvieron (art. 45,
    RLFPDPPP), y

  • responsabilidad: conlleva el deber del responsable de demostrar ante el titular y la autoridad que cumple con sus obligaciones en torno a la protección de los datos personales (art. 47, RLFPDPPP)

¿Deberá consentirse el tratamiento de datos personales?

Todo tratamiento de estos datos estará sujeto al consentimiento de su titular. Este podrá ser expreso, cuando se dé verbalmente, por escrito o medios electrónicos; o bien, tácito, cuando se ponga a disposición el aviso de privacidad y no se manifieste oposición.

En cualquier caso, deberá ser libre de error, mala fe, violencia o dolo; informado, es decir que el titular tenga conocimiento del aviso de privacidad previo a la gestión de sus datos; específico sobre finalidades determinadas que justifiquen su administración e inequívoco, sin que existan elementos que demuestren su otorgamiento de forma innegable.

Cabe señalar que, en cualquiera de los siguientes casos, es indispensable el consentimiento expreso (arts. 7 y 8, LFPDPPP; 5, Reglamento LFPDPPP —RLFPDPPP—):

  • lo exija una ley o reglamento

  • se trate de datos financieros, patrimoniales o sensibles

  • si lo solicita el responsable para acreditar el mismo, y

  • lo acuerden así el titular y el responsable

¿En qué casos no se requerirá el consentimiento?

Los datos personales podrán recabarse sin autorización de su dueño, en los siguientes supuestos (arts. 10, LFPDPPP y 7, RLFPDPPP):

  • si figuran en fuentes de acceso público, tales como directorios telefónicos, diarios, gacetas o boletines oficiales y medios de comunicación

  • cuando se sometan a un procedimiento de disociación

  • si tienen el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable

  • existe una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes

  • sean indispensables para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento, y que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente, y

  • se dicte resolución de autoridad competente

¿En qué momento deberá obtenerse el consentimiento?

Previo a la recolección de los datos personales, cuando estos son solicitados directamente de su titular; y si se recopilan de forma indirecta, una vez que el responsable obtiene los datos, deberá enviar al titular el aviso de privacidad correspondiente antes de que empiece a tratarlos (art. 19, LFPDPPP).

¿En qué documento deberá constar el tratamiento de los datos personales?

El tratamiento de datos personales quedará plasmado en un documento físico, electrónico o en cualquier otro formato, denominado aviso de privacidad, a través del cual el responsable indicará, entre otros factores, los datos que se requieren, cómo se obtienen, las finalidades para los que se usan, a quién y para qué se comparten, cómo se almacenan y suprimen y en qué casos se divulgan (arts. 3, fracción I y 15, LFPDPPP).

¿Qué requisitos deberá cumplir el aviso de privacidad?

El aviso de privacidad deberá contener, al menos, la siguiente información (arts. 16, LFPDPPP; 30 y 41, RLFPDPPP): 

  • identidad y domicilio del responsable que los recaba

  • finalidades del tratamiento de datos, distinguiendo aquellas que dieron origen y son necesarias para la relación jurídica entre el responsable y el titular, de las que no lo son. Asimismo, deberán incluirse las relativas al tratamiento para fines mercadotécnicos, publicitarios o de prospección comercial 

  • opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos

  • medios para ejercer los derechos de acceso, rectificación, cancelación u oposición

  • transferencias de datos que se efectúen, y

  • procedimiento y vía por la cual el responsable comunicará a los titulares de cambios al aviso de privacidad

¿Cuántos tipos de aviso de privacidad existen?

La legislación contempla tres modalidades del aviso de privacidad a saber:

  • aviso de privacidad integral: es obligatorio cuando los datos se obtengan de manera personal de su propietario y debe reunir todos los elementos previstos en los dispositivos 8, 15, 16, 33 y 36 de la LFPDPPP, 14, 30, 41, 68, 90 y 102 del RLFPDPPP y vigésimo al trigésimo primero de los Lineamientos del Aviso de Privacidad 

  • aviso de privacidad simplificado: únicamente resulta aplicable cuando los datos se recaban directamente del titular, pero no personalmente, sino vía remota; por ejemplo, en un sitio web o por teléfono (art. 27, RLFPDPPP). A diferencia del aviso integral solo contiene la identidad y domicilio del responsable; los mecanismos ofrecidos para que se conozca el alcance del aviso de privacidad integral y las finalidades del tratamiento, y

  • aviso de privacidad corto: se admite cuando el espacio para la recaudación de los datos sea limitado, de tal forma que el lugar destinado para el aviso de privacidad también lo sea, como tratándose boletos, cajeros automáticos o mensajes SMS (art. 28, RLFPDPPP)

Los componentes del formato varían dependiendo de si es simple, corto o integral; para conocer una guía a detalle sobre el contenido el aviso de privacidad, se le invita a leer la nota: Como hacer un aviso de privacidad.


¿En qué momento deberá ponerse a disposición del titular el aviso de privacidad?

Cuando los datos personales hayan sido obtenidos personalmente, deberá ser facilitado en el momento en que se recaba el dato de forma clara y fehaciente, a través de los formatos por los que se recaban, salvo que se hubiera facilitado el aviso con anterioridad.

Si los datos son facilitados por cualquier medio electrónico, óptico, sonoro, visual, o a través de cualquier otra tecnología, el responsable deberá proporcionar al titular de manera inmediata, al menos su identidad y domicilio y las finalidades del tratamiento, así como proveer los mecanismos para que se conozca el texto completo del aviso (art. 17, LFPDPPP).

De resultar imposible dar a conocer el aviso al titular o este exija esfuerzos desproporcionados, el responsable podrá instrumentar medidas compensatorias.

Dichas medidas se refieren a mecanismos alternos para dar a conocer a los titulares el aviso de privacidad a través de su difusión en medios de comunicación masiva, en lugar de poner a disposición el aviso de manera personal o directa a cada titular; por ejemplo, diarios de circulación nacional, diarios locales o revistas especializadas, página de internet del responsable, etc. (art. 35, RLFPDPPP).

¿Qué pasa si cambian las finalidades que originalmente se informaron en el aviso de privacidad?

Será necesario solicitar el consentimiento de los titulares para las nuevas finalidades (art. 12, LFPDPPP).

¿Cuál es el plazo máximo de conservación de los datos personales por parte del responsable?

Aunque no hay una vigencia expresa, el resguardo de los datos personales no podrá exceder del periodo que resulte de sumar el tiempo que sean necesarios para el cumplimiento de las finalidades que justificaron el tratamiento, más los plazos administrativos, contables, fiscales, jurídicos e históricos aplicables, más el periodo de bloqueo.

Una vez cumplidos los plazos, el responsable deberá proceder a la supresión de los datos en su posesión (arts. 37 y 39, RLFPDPPP).

¿Qué medidas deberán tomar los responsables para garantizar la seguridad de los datos personales?

Deberán establecer y mantener mecanismos de seguridad administrativos, técnicos y físicos que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado. Para cumplir esta obligación, el responsable podrá valerse de las siguientes medidas:

  • contar con un inventario de los datos personales 

  • determinar las funciones y obligaciones de las personas que traten datos

  • elaborar políticas y programas de privacidad obligatorios y exigibles al interior de la organización

  • poner en práctica un programa de capacitación, actualización y concientización del personal sobre las obligaciones en materia de protección de datos personales

  • implementar un sistema de supervisión y vigilancia interna, verificaciones o auditorías externas para comprobar el cumplimiento de las políticas de privacidad

  • destinar recursos para la instrumentación de los programas y políticas de privacidad

  • instrumentar un procedimiento para que se atienda el riesgo para la protección de datos personales por la implementación de nuevos productos, servicios, tecnologías y modelos de negocios, así como para mitigarlos

  • revisar periódicamente las políticas y programas de seguridad para determinar las modificaciones que se requieran

  • imponer procedimientos para recibir y responder dudas y quejas de los titulares de los datos, y

  • disponer de mecanismos para el cumplimiento de las políticas y programas de privacidad, así como de sanciones por su incumplimiento

El responsable determinará las medidas de seguridad aplicables a los datos personales que trate, considerando los siguientes factores: 

  • sensibilidad de los datos 

  • riesgo inherente por tipo de dato personal

  • posibles consecuencias de una vulneración para los titulares, y

  • desarrollo tecnológico

Adicionalmente, el responsable procurará tomar en cuenta los siguientes elementos: número de titulares; vulnerabilidades previas ocurridas en los sistemas de tratamiento y riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión (arts. 19, LFPDPPP; 48 y 60, RLFPDPPP).

¿Cuándo se considera que se vulneraron los datos personales?

Las vulneraciones de seguridad de datos personales ocurridas en cualquier fase del tratamiento son (art. 63, RLFPDPPP):

  • pérdida, copia o destrucción no autorizada

  • robo o extravío 

  • uso, acceso o tratamiento no autorizado, y

  • daño y la alteración o modificación no autorizada

¿Qué pasa si el responsable detecta alguna transgresión a los datos personales recabados?

Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares serán informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos; debiéndole hacer de su conocimiento como mínimo:

  • naturaleza del incidente 

  • datos personales comprometidos

  • recomendaciones al titular acerca de las medidas que pueda adoptar para proteger sus intereses

  • acciones correctivas realizadas de forma inmediata, y

  • medios donde puede obtener más información al respecto

Asimismo, el responsable deberá analizar las causas por las cuales se presentó la vulnerabilidad e implementar las acciones correctivas, preventivas y de mejora para adecuar las medidas de seguridad correspondientes, a efectos de evitar que se repitan (arts. 20, LFPDPPP; 65 y 66, RLFPDPPP).

¿Qué obligaciones deberá establecer el responsable cuando los datos sean tratados por el encargado? 

  • Tratar únicamente los datos personales conforme a las instrucciones del responsable

  • abstenerse de tratar los datos personales para finalidades distintas a las instruidas por el responsable

  • implementar las medidas de seguridad 

  • guardar confidencialidad respecto de los datos personales

  • suprimir los datos personales objeto de tratamiento una vez cumplida la relación jurídica con el responsable o por instrucciones de este, siempre y cuando no exista una previsión legal que exija su conservación, y

  • abstenerse de transferir los datos personales, salvo en el caso de que el responsable así lo determine, la comunicación derive de una subcontratación, o cuando así lo requiera la autoridad competente (art. 50, RLFPDPPP)

¿El responsable podrá transferir los datos personales del titular a un tercero?

La transferencia implica la comunicación de datos personales dentro o fuera del territorio nacional, realizada a una persona distinta del titular, del responsable o del encargado. 

Está permitida, pero deberá comunicarlo al titular en el aviso de privacidad, precisando el fin de la transferencia. En este supuesto, el tercero receptor, asumirá las mismas obligaciones que correspondan al responsable.

Por excepción, la transferencia puede hacerse sin el consentimiento del titular, cuando se dé alguna de las siguientes circunstancias (art. 37, LFPDPPP):

  • esté prevista en un tratado en los que México sea parte

  • sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios 

  • sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier entidad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas

  • sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero

  • sea legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia

  • sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y

  • sea indispensable para el mantenimiento o cumplimiento de una relación jurídica entre el responsable

Derechos de los titulares

¿Cuáles son los derechos que tienen los titulares en relación con sus datos personales?

  • Acceso a sus datos personales que obren en poder del responsable, así como conocer el aviso de privacidad al que está sujeto el tratamiento

  • Rectificación, para corregir los datos que son incorrectos, imprecisos, incompletos o estén desactualizados

  • Cancelación, que consiste que el titular pueda solicitar, en cualquier tiempo, la supresión de sus datos personales de las bases de información del responsable, y 

  • Oposición, que posibilita al titular a solicitar a quien lleve a cabo el tratamiento de sus datos, de abstenerse de hacerlo en determinadas situaciones

A las anteriores prerrogativas se les conoce como “derechos ARCO” (arts. 22, 23 y 24, LFPDPPP).

¿En qué casos se podrán restringir los derechos ARCO?

Por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los
derechos de terceras personas, o bien mediante resolución de la autoridad competente debidamente fundada y motivada (art. 88, RLFPDPPP).

¿En qué consiste el derecho de acceso?

Con este derecho el titular podrá obtener del responsable sus datos personales, así como información relativa a las condiciones y generalidades del tratamiento. La obligación de acceso se dará por cumplida cuando el responsable ponga a disposición del titular los datos personales en sitio, o bien, mediante la expedición de copias simples, medios magnéticos, ópticos, sonoros, visuales u holográficos, u otras tecnologías de la información que se hayan previsto en el aviso de privacidad. En todos los casos, el acceso deberá ser en formatos legibles o comprensibles para el titular (arts. 101 y 102, RLFPDPPP).


.
 .  (Foto: IDConline)



¿Qué implica el derecho de rectificación?

El titular podrá solicitar en todo momento al responsable que rectifique sus datos personales que resulten ser inexactos o incompletos. La solicitud de rectificación deberá indicar a qué datos se refiere, así como la corrección que haya de realizarse y deberá ir acompañada de la documentación que ampare la procedencia de lo solicitado (arts. 103 y 104, RLFPDPPP).

¿En qué consiste el derecho de cancelación?

La cancelación implica el cese del tratamiento de los datos personales por parte del responsable, cuando el titular considere que los mismos no están siendo tratados conforme a los principios y deberes que establece la LFPDPPP, y procederá respecto de la totalidad de los datos contenidos en una base de datos, o solo parte de ellos, según lo haya solicitado. De resultar procedente la cancelación el responsable deberá: 

  • establecer un bloqueo, que consiste en la conservación de los datos personales durante cierto periodo con el único propósito de determinar posibles responsabilidades en relación con su tratamiento 

  • atender las medidas de seguridad adecuadas para el bloqueo, y

  • transcurrido el periodo de bloqueo, llevar a cabo la supresión de los datos (arts. 105 a 108, RLFPDPPP)

¿En qué casos el responsable podrá negarse a cancelar los datos personales que tiene en su poder?

  • Cuando los datos se refieran a las partes de un contrato privado, social o administrativo y sean necesarios para su desarrollo y cumplimiento

  • si deben ser tratados por disposición legal

  • en el supuesto de que la cancelación obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas

  • cuando sean necesarios para proteger los intereses jurídicamente tutelados del titular o para realizar una acción en función del interés público, y

  • si son indispensables para cumplir con una obligación legalmente adquirida por el titular cuando san objeto de tratamiento para la prevención o para el diagnóstico médico o la gestión de servicios de salud, siempre que dicho tratamiento se realice por un profesional de la salud sujeto a un deber de secreto (art. 26, LFPDPPP)

¿En qué consiste el derecho de oposición?

El titular podrá, en todo momento, oponerse al tratamiento de sus datos personales o exigir que se cese en el mismo cuando: 

  • exista causa legítima y su situación específica así lo requiera, lo cual debe justificar que aun siendo lícito el tratamiento, el mismo debe cesar para evitar que su persistencia le cause un perjuicio, o

  • requiera manifestar su oposición a fin de que no se lleve a cabo el tratamiento para fines específicos

No procederá el ejercicio del derecho de oposición en aquellos casos en los que el tratamiento sea necesario para el cumplimiento de una obligación legal impuesta al responsable (art. 109, RLFPDPPP).

¿A través de qué medios podrán ejercerse los derechos ARCO?

El titular podrá presentar, por sí mismo o por su representante, una solicitud ante el responsable que deberá contener y acompañar lo siguiente (arts. 29 y 31, LFPDPPP; 89, RLFPDPPP):

  • nombre del titular y domicilio u otro medio para comunicarle la respuesta a su solicitud

  • documentos que acrediten la identidad o, en su caso, la representación legal del titular

  • descripción clara y precisa de los datos personales respecto de los que se busca ejercer los derechos ARCO

  • cualquier otro elemento o documento que facilite la localización de los datos personales, y

  • en el caso de solicitudes de rectificación, indicar las modificaciones a realizarse y aportar la documentación que sustente su petición

¿En cuánto tiempo el responsable deberá dar respuesta a la solicitud?

En un plazo máximo de 20 días, contados desde la fecha en que se recibió la petición de acceso, rectificación, cancelación u oposición, el responsable deberá comunicar la determinación adoptada, a efectos de que, si resulta procedente, se haga efectiva la misma dentro de los 15 días siguientes.

Dichos términos podrán ser ampliados una sola vez por un periodo igual, siempre y cuando así lo justifiquen las circunstancias del caso (art. 32, LFPDPPP).

¿En qué casos el responsable puede rechazar la solicitud de derechos ARCO?

Cuando (art. 34, LFPDPPP):

  • el solicitante no sea el titular de los datos personales, o el representante legal no esté debidamente acreditado

  • en la base del responsable no se encuentren los datos 

  • se lesionen los derechos de un tercero, y

  • exista un impedimento legal, o la resolución de una autoridad competente, que restrinja el acceso a los datos personales, o no permita la rectificación, cancelación u oposición 

¿La solicitud ante el responsable tiene algún costo?

El ejercicio de los derechos ARCO será sencillo y gratuito, debiendo cubrir el titular únicamente los gastos de envío, reproducción y, en su caso, certificación de documentos. Los gastos de reproducción no podrán ser mayores a los de recuperación del material correspondiente (art. 93, RLFPDPPP).

Defensa de derechos

¿Cómo proceder en caso de el responsable niegue la solicitud de los derechos ARCO?

El titular afectado podrá presentar ante el INAI una solicitud de protección de datos en la que exprese con claridad su reclamación y los preceptos legales que considere vulnerados, dentro de los 15 días siguientes a la fecha en que se comunique la respuesta al titular por parte del responsable. Esta instancia también procederá cuando
el responsable (art. 45, LFPDPPP):

  • no entregue los datos personales solicitados o lo haga en un formato incomprensible

  • se niegue a efectuar modificaciones o correcciones, y

  • el titular no esté conforme con la información entregada por considerar que es incompleta o no corresponda a la requerida 

¿Qué formalidades debe reunir la solicitud?

Deberá interponerse por escrito libre o a través de los formatos, del sistema electrónico que al efecto proporcione el INAI y deberá contener la siguiente información:

  • nombre del titular o, en su caso, el de su representante legal, así como del tercero interesado, si lo hay

  • nombre del responsable ante el cual se presentó la solicitud de acceso, rectificación, cancelación u oposición

  • domicilio para oír y recibir notificaciones

  • fecha en que se le dio a conocer la respuesta del responsable

  • actos que motivan su solicitud de protección de datos, y

  • demás elementos que se considere procedente hacer del conocimiento de la autoridad (art. 46, LFPDPPP)

A manera de facilitar el ejercicio de derechos, el INAI pone a disposición en su portal de internet un formato para presentar la solicitud, mismo que se muestra enseguida: 

.
 .  (Foto: IDConline)
.
 .  (Foto: IDConline)


A dicha solicitud se deberán anexar  los siguientes documentos:

  • papel que acredite que actúa por su propio derecho o en representación del titular

  • documento en que conste la respuesta del responsable, de ser el caso

  • cuando se impugne la falta de respuesta del responsable, deberá acompañar una copia en la que obre el acuse o constancia de recepción de la solicitud del ejercicio de derechos por parte del responsable, y 

  • las pruebas documentales que ofrece para demostrar sus afirmaciones (art. 116, RLFPDPPP)

Presentada la solicitud, ¿qué procedimiento se deberá seguir?

Si la solicitud de protección de datos no satisface alguno de los requisitos y el instituto no cuenta con elementos para subsanarla, se prevendrá al titular dentro de los 20 días hábiles siguientes, por una sola ocasión, para que subsane las omisiones dentro de un plazo de cinco días. Transcurrido el plazo sin desahogar la prevención se tendrá por no presentada la solicitud.

Iniciado el trámite, el instituto dará traslado al responsable, para que, en el plazo de 15 días, emita una respuesta, ofrezca las pruebas que estime pertinentes y manifieste lo que a su derecho convenga. 

Posteriormente, se admitirán las pruebas para su desahogo. Concluida esta etapa, el instituto notificará al responsable para que, de considerarlo necesario, presente sus alegatos dentro de los cinco días siguientes a su notificación. 

Finalmente, la autoridad resolverá sobre la solicitud de protección de datos formulada, contando para tal efecto, con plazo máximo de 50 días, contados a partir de la fecha de presentación de la solicitud, pudiendo ampliar este periodo por una sola vez (arts. 45, 47, 48 y 49, LFPDPPP).

¿En qué sentido podrá resolver la autoridad?

  • Desechando la solicitud, cuando:

    • el instituto no sea competente

    • se haya conocido anteriormente de la solicitud contra el mismo acto y resuelto en definitiva respecto del mismo recurrente

    • se esté tramitando ante los tribunales competentes algún recurso o medio de defensa interpuesto por el titular que pueda tener por efecto modificar o revocar el acto respectivo, y

    • sea una solicitud ofensiva o irracional o extemporánea

  • sobreseyendo, cuando:  

    • el titular fallezca o se desista de manera expresa, y

    • admitida la solicitud, sobrevenga una causal de improcedencia, y

  • confirmando, revocando o modificando la respuesta
    del responsable

En caso de que la resolución de protección de derechos resulte favorable al titular de los datos, se requerirá
al responsable para que, en el plazo de 10 días siguientes a la notificación o cuando así se justifique, uno mayor que fije la propia resolución, haga efectivo el ejercicio de los derechos objeto de protección, debiendo dar cuenta por escrito de dicho cumplimiento al INAI dentro de los siguientes 10 días (arts. 50 y 51 LFPDPPP).

¿Se podrá conciliar en alguna etapa del procedimiento?

Al inicio del proceso la autoridad buscará la conciliación de las partes. De llegar a un acuerdo, se hará constar por escrito y tendrá efectos vinculantes (art. 54, LFPDPPP).

Si las partes aceptaran la conciliación, ¿qué procedimiento deberán seguir?

En el acuerdo de admisión de la solicitud de protección de derechos, el instituto requerirá a las partes que manifiesten, por cualquier medio, su voluntad de conciliar, en un plazo que no excederá de 10 días.

La conciliación podrá celebrarse presencialmente, por medios remotos o locales de comunicación electrónica o por cualquier otro medio que determine la autoridad.

Aceptada la posibilidad de conciliar se señalará el lugar o medio, día y hora para la celebración de una audiencia de conciliación, la cual deberá realizarse dentro de los 20 días siguientes en que el INAI haya recibido la manifestación de la voluntad de conciliar.

El conciliador levantará el acta respectiva, en la que conste el resultado de la audiencia. Cuando alguna de las partes no acuda a la audiencia de conciliación sin justificación alguna o no se llegue a un acuerdo, se continuará con el procedimiento ordinario.

En caso de que se logre la conciliación, el acuerdo deberá constar por escrito, tendrá efectos vinculantes e indicará el plazo de su cumplimiento (art. 120, RLFPDPPP).

¿Existe algún medio de defensa en contra de la resolución que dicte el INAI?

Sí, puede promoverse un juicio de nulidad ante el Tribunal Federal de Justicia Administrativa (art. 56, LFPDPPP).

Adicionalmente, los titulares que consideren que han sufrido un daño o lesión en sus bienes o derechos como consecuencia del incumplimiento a sus derechos por el responsable, podrán ejercer las acciones que estimen pertinentes para efectos de obtener una indemnización.

Verificaciones, infracciones y sanciones

El INAI podrá verificar el cumplimiento de la LFPDPPP de oficio o a petición de parte. La verificación de oficio procederá cuando se dé el incumplimiento a resoluciones dictadas con motivo de procedimientos de protección o se presuma fundada y motivadamente la existencia de violaciones.

Si con motivo del desahogo del procedimiento de protección de derechos o de la verificación se detecta un presunto incumplimiento, determinará la sanción que corresponda.

¿Cómo llevará a cabo una verificación el INAI?

Las visitas de verificación se desarrollarán en un plazo máximo de 10 días cada una. El personal que lleve a cabo las visitas deberá estar provisto de orden escrita fundada y motivada con firma autógrafa de la autoridad competente, en la que deberá precisarse el lugar en donde se encuentra el establecimiento del responsable, o bien en donde se ubiquen las bases de datos objeto de la verificación, el objeto de la visita, el alcance que deba tener la misma y las disposiciones legales que lo fundamenten. 

Al iniciar la visita, el verificador deberá exhibir credencial vigente con fotografía, expedida por el INAI que lo acredite para desempeñar dicha función, así como la orden escrita fundada y motivada, de la que deberá dejar copia con quien se entendió la visita. 

Las visitas de verificación concluirán con el levantamiento del acta correspondiente, en la que quedará constancia de las actuaciones practicadas. Dicha acta se levantará en presencia de dos testigos propuestos por la persona con quien se hubiera entendido la diligencia o por quien la practique si aquella se niega a proponerlos. 

El acta que se emita por duplicado será firmada por el personal verificador actuante y por el responsable, encargado o con quien se haya entendido la actuación, quien podrá manifestar lo que a su derecho convenga.

Los verificados podrán formular observaciones en el acto de la verificación y manifestar lo que a su derecho convenga en relación con los hechos contenidos en ella, o bien, por escrito dentro del término de los cinco días siguientes a la fecha en que se hubiere levantado. 

El procedimiento de verificación terminará con la resolución que emita el instituto en la cual, se establecerán las medidas que deberá adoptar el responsable en el plazo que la misma establezca. Dicha resolución podrá instruir el inicio del procedimiento de imposición de sanciones o establecer un plazo para su comienzo (arts. 132 a 138, RLFPDPPP).

¿Qué procedimiento deberá seguir la autoridad para aplicar una sanción?

La imposición de sanciones tendrá origen cuando de los procedimientos de protección de derechos o de verificación, se determinen presuntas infracciones.

Para tal efecto el INAI notificará al presunto infractor, sobre los hechos detectados y le otorgará un término de 15 días para que rinda pruebas y manifieste por escrito lo que a su derecho convenga. De no rendirlas, el instituto resolverá conforme a los elementos de convicción de que disponga. 

Posteriormente, admitirá las pruebas que estime pertinentes y procederá a su desahogo.

Concluido el desahogo de las pruebas, se notificará al presunto infractor el derecho que le asiste para que, de considerarlo necesario, presente sus alegatos dentro de los cinco días siguientes. 

Una vez analizadas las pruebas y demás elementos de convicción que estime pertinentes, resolverá en definitiva dentro de los 50 días siguientes a la fecha en que inició el procedimiento sancionador. Dicha resolución deberá ser notificada a las partes (art. 62, LFPDPPP). 

¿Qué conductas u omisiones se consideran infracciones y cuál es su sanción?

Enseguida se muestra una tabla con las infracciones previstas por la LFPDPPP y si respectiva sanción:


Infracción

Sanción

Monto en M.N. para 2022

No cumplir con la solicitud del titular para el ejercicio de derechos ARCO sin razón fundada

(arts. 63, fracción I y 64, fracción I, LFPDPPP)

Apercibimiento


  • Actuar con negligencia o dolo en la tramitación y respuesta de solicitudes de derechos ARCO

  • declarar dolosamente la inexistencia de datos personales, cuando exista total o parcialmente en las bases de datos del responsable

  • dar tratamiento a los datos en contravención a los principios establecidos en la LFPDPPP

  • omitir en el aviso de privacidad, alguno o todos los elementos exigidos por la legislación

  • mantener datos personales inexactos cuando resulte imputable al responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de los titulares, y

  • no cumplir con el apercibimiento de la autoridad

(arts. 63, fracciones II a VII y 64, fracción II, LFPDPPP)

Multa de 100

a

160,000 veces la UMA

$ 9,622.00

a

$ 15,395,200.00

  • Incumplir el deber de confidencialidad

  • cambiar sustancialmente la finalidad originaria del tratamiento de los datos, sin obtener nuevamente el consentimiento del titular

  • transferir datos a terceros sin comunicar a estos el aviso de privacidad que contiene las limitaciones a que el titular sujetó la divulgación de estos

  • vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable

  • llevar a cabo la transferencia o cesión de los datos personales, fuera de los casos en que estén permitidos por la LFPDPPP

  • recabar o transferir datos personales sin el consentimiento expreso del titular en los supuestos en que sea exigible

  • obstruir los actos de verificación de la autoridad

  • recabar datos en forma engañosa y fraudulenta continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del mismo por el instituto o los titulares, y

  • tratar los datos personales de manera que se afecte o impida el ejercicio de los derechos de acceso, rectificación, cancelación y oposición crear bases de datos de datos sensibles, sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el sujeto regulado

(arts. 63, fracciones VIII a XVIII y 64, fracción III, LFPDPPP)

Multa de 200

a

320,000 veces la UMA

19,244.00

a 30,790,400.00


En caso de que de manera reiterada persistan las infracciones, se impondrá una multa adicional que irá de 100 a 320,000 veces la UMA ($ 9,622.00 a $ 30,790,400.00 para 2022); y tratándose de infracciones cometidas en el tratamiento de datos sensibles, las sanciones podrán incrementarse hasta por dos veces, los montos establecidos.

Ámbito penal

¿Existen delitos relacionados con la protección de datos personales?

Sí, los tipos penales previstos son los siguientes:

  • se impondrán de tres meses a tres años de prisión al que, estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia (art. 67, LFPDPPP), y

  • se sancionará con prisión de seis meses a cinco años al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos (art. 68, LFPDPPP)

Comentarios finales

La protección de datos personales es un tema que debe ser de interés para todos, pues es un derecho fundamental reconocido por la CPEUM. En la medida en que los responsables cumplan con la regulación en la materia, mitigarán la fuga o mal uso de los datos, lo cual dará mayor certidumbre y confianza a los titulares y al mismo tiempo evitará la imposición de sanciones.