La protección de datos personales en México ha cambiado significativamente en las últimas dos décadas debido a tendencias globales que destacan la importancia de la privacidad y la necesidad de salvaguardar la privacidad de los ciudadanos.
Fue en 2010 cuando se hizo un gran cambio en este tema con una reforma constitucional que incluyó explícitamente el derecho a la privacidad en el artículo 16. Ese mismo año, se creó la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), que establece obligaciones y responsabilidades de los particulares, sean personas físicas o morales, en el tratamiento de datos.
En 2012, se creó el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), un órgano encargado de la supervisión, garantía y promoción de los derechos de acceso a la información y protección de datos en México. El INAI, además de establecer directrices y emitir recomendaciones, juega un papel crucial al resolver recursos de revisión e imponer sanciones cuando se infringen las normativas.
En 2017, la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), amplió el marco de protección de datos para incluir a las autoridades y organismos gubernamentales en los tres niveles: federal, estatal y municipal.
Actualmente, las autoridades enfrentan el desafío de ser protectoras de la privacidad de la ciudadanía. En este contexto, se abordarán las principales responsabilidades de las autoridades y los derechos de los ciudadanos en la protección de los datos personales.
Qué son los datos personales
Un dato tiene la connotación de personal en la medida en que pueda vincularse a una persona física identificada o identificable. Puede estar expresado en forma numérica, alfabética, gráfica, alfanumérica, fotográfica, acústica o de cualquier otro tipo.
Se entiende que una persona física es identificable cuando su identidad pueda determinarse directa o indirectamente, mediante cualquier información que no implique plazos o actividades desproporcionadas. Algunos ejemplos de datos personales son, nombre, domicilio, número telefónico, número de seguridad social, cargo o puesto, edad o RFC.
Autoridades responsables
Todas las autoridades deben cumplir con la LGPDPPSO, ya sea en el ámbito federal, estatal y municipal. Esto incluye a cualquier autoridad, entidad, órgano y organismo de los poderes ejecutivo, legislativo o judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos, los cuales tienen deberes en materia de protección de datos personales.
Los sindicatos y cualquier otra persona física o moral que reciban y ejerzan recursos públicos o realicen actos de autoridad en el ámbito federal, estatal y municipal también serán responsables de los datos personales, pero de conformidad con la normatividad aplicable para la protección de datos personales en posesión de los particulares (LFPDPPP).
¿Quién es el responsable: el servidor público o la entidad gubernamental?
De acuerdo con la LGPDPPSO, cualquier autoridad, entidad, órgano y organismo de los poderes legislativo, ejecutivo y judicial, órganos autónomos, fideicomisos y fondos públicos del orden federal y partidos políticos que decide o determina las finalidades del tratamiento o el uso que se le dará a los datos personales son considerados responsables de su protección.
Esto rompe la errónea concepción de que el responsable frente al ciudadano por determinado tratamiento es el servidor público que operativamente utiliza los datos personales para el ejercicio de sus funciones; cuando en realidad adquiere el carácter de responsable la instancia pública.
Autoridades protectoras de los datos personales
Comité de transparencia: autoridad máxima en materia de protección de datos personales y tiene como objetivo coordinar y evaluar las acciones relativas a la política pública transversal de transparencia, acceso a la información y protección de datos personales. Además, establece e implementa los criterios y lineamientos en la materia, y
organismos garantes: el INAI y los institutos locales en las entidades federativas se encargan de garantizar el efectivo ejercicio y tutela del derecho a la protección de datos personales, así como vigilar el cumplimiento de las obligaciones previstas en las leyes en la materia
Principios y obligaciones de protección de datos personales
La LGPDPPSO prevé que los responsables del tratamiento de datos personales deberán observar los siguientes principios:
licitud
consentimiento
información
calidad
finalidad
lealtad
proporcionalidad, y
responsabilidad
Estos principios tienen obligaciones concretas para los responsables del tratamiento, mismas que a continuación se describen.
Licitud
Se refiere al deber de tratar los datos personales de manera legal y conforme a las leyes o acuerdos internacionales aplicables (art. 17, LGPDPPSO).
Obligaciones vinculadas al principio de licitud
Para cumplir con este principio, es esencial identificar que la autoridad cuente con facultades expresas en la normatividad para utilizar datos personales.
Ejemplo
Si el Instituto Nacional Electoral (INE), recopila información personal de los ciudadanos, como sus nombres, direcciones y números de identificación, para cumplir con el principio de licitud, este instituto debe asegurarse que está recopilando y utilizando esos datos de acuerdo a las leyes. Por ejemplo, puede utilizarlos para llevar a cabo el proceso de registro de votantes y organizar elecciones, No está permitido utilizar esta información para fines ilegales o distintos a sus articulaciones, como compartirla con empresas privadas sin la debida autorización.
Consentimiento
Este principio establece que el responsable debe obtener el consentimiento de la persona a la que pertenecen los datos antes de utilizarlos. El consentimiento debe estar relacionado específicamente con las finalidades para las cuales se recopilan y utilizan los datos, y estas finalidades deben estar claramente establecidas en el aviso de privacidad correspondiente (arts. 20, 21, 22, LGPDPPSO).
El consentimiento puede ser expreso o tácito. El expreso implica que la persona ha dado su aprobación de manera directa y explícita para que su información personal sea empleada para una finalidad específica. En cambio, el tácito se da cuando se proporciona al titular un aviso de privacidad, y este no manifiesta su oposición a que se utilicen sus datos para el fin precisado en el aviso.
Para que el consentimiento, tácito o expreso, sea válido, debe ser:
libre: significa que quien lo otorgue debe hacerlo de manera voluntaria, sin ser influenciado por errores, mala fe, violencia o dolo por parte de la autoridad, es decir, sin ser engañado, coaccionado o sometido a presión
específico: el consentimiento debe hacer referencia a finalidades de tratamiento específicas y concretas que justifiquen el uso de los datos personales; por tanto, no puede ser genérico o vago
informado: el titular de los datos debe conocer el aviso de privacidad antes de que sus datos sean tratados a fin de estar informado sobre cómo se emplearán los mismos, e
inequívoco: si se trata de un consentimiento expreso, debe ser claro y no dejar lugar a dudas
Excepciones
Existen situaciones en las que la autoridad no necesita obtener el consentimiento para el tratamiento de datos personales, tales como:
cuando una ley así lo disponga
si las transferencias que se realicen entre responsables, sean sobre datos que se utilicen para el ejercicio de facultades propias, compatibles o análogas con la finalidad que motivó el tratamiento de los datos personales
cuando exista una orden judicial o mandato fundado y motivado de autoridad competente
para el reconocimiento o defensa de derechos del titular ante autoridad competente, y
cuando los datos se requieran para ejercer un derecho o cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable
Obligaciones vinculadas al principio de consentimiento
- Obtener el consentimiento para el tratamiento de los datos personales, a menos que se aplique alguna excepción según lo establezca la LGPDPPSO
- vincular el consentimiento a finalidades específicas que estén señaladas en el aviso de privacidad, y
- si se trata de datos personales sensibles, el responsable debe solicitar un consentimiento expreso y por escrito
Ejemplo
Supongamos que la Secretaría de Salud recopila datos personales, como el historial médico de un paciente, para llevar a cabo investigaciones epidemiológicas. Antes de utilizar esos datos para este propósito, la autoridad debe obtener el consentimiento del paciente. Si el paciente firma el formulario, se considera que ha dado su consentimiento expreso.
Ahora bien, el Registro Civil recopila datos personales, como el nombre de una persona, para emitir el acta de nacimiento. Para recolectar estos datos, la autoridad hace preguntas al solicitante. En este caso, aunque la autoridad no obtiene un consentimiento explícito de cada persona, se considera que el consentimiento tácito se da cuando el sujeto responde a las preguntas del funcionario de manera voluntaria y no se opone a proporcionar la información solicitada.
Información
Este principio establece que los responsables de los datos personales deben informar a sus titulares acerca de la existencia y las características principales del tratamiento al que serán sometidos sus datos. Esto se logra a través de un documento conocido como aviso de privacidad (arts. 26, 27 y 28, LGPDPPSO).
El aviso de privacidad debe ser sencillo, contener información esencial, estar redactado en un lenguaje claro y comprensible, y tener un diseño que facilite su entendimiento. Debe incluir información como:
identidad y dirección del responsable
qué datos serán tratados y para qué fines se utilizarán
cómo el titular puede negarse al tratamiento
información sobre la transferencia de los datos
cómo ejercer los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición)
opciones para limitar el uso o divulgación de datos
detalles sobre el uso de tecnologías como cookies, y
cómo se notificarán los cambios en el aviso de privacidad
Obligaciones ligadas al principio de información
La autoridad debe poner a disposición el aviso de privacidad incluso si no necesita el consentimiento para el tratamiento de datos. Además, el aviso debe estar siempre disponible antes de la obtención de la información personal, especialmente cuando se recopilan directamente del titular.
El aviso debe redactarse de manera clara y comprensible, evitando frases vagas o ambiguas. No debe incluir opciones premarcadas que indiquen el consentimiento del titular, y debe estar ubicado en lugar visible y de fácil acceso para su consulta.
Ejemplo
Imagine que la Secretaría de Movilidad de la CDMX necesita recopilar datos personales de los solicitantes, como nombres, direcciones y números de identificación. Antes de recopilar estos datos, debe informar sobre cómo se utilizarán (por ejemplo, para verificar la elegibilidad para una licencia de conducir) y cómo pueden ejercer sus derechos para acceder, rectificar, cancelar u oponerse a su tratamiento.
Calidad
El principio de calidad establece que los datos personales tratados deben ser exactos, completos, pertinentes, actualizados y correctos (arts. 23 y 24, LGPDPPSO).
exactos: los datos deben ser veraces y fieles
completos: no debe faltar ninguno de los datos requeridos para las finalidades para las cuales se obtuvieron
pertinentes: deben corresponder al titular, y
actualizados: deben estar al día y ser acordes a la situación real del titular
Este principio también implica que el plazo de conservación de los datos personales no debe exceder del tiempo estrictamente necesario para llevar a cabo las finalidades que justifican su tratamiento, o aquel que se requiera para cumplir con: las disposiciones legales aplicables en la materia administrativa, contable, fiscal, jurídica; finalidades históricas de la información, y el periodo de bloqueo.
En este sentido, el plazo de conservación es igual al tiempo requerido para llevar a cabo las finalidades del tratamiento, más los plazos legales, administrativos, contables, fiscales, jurídicos e históricos aplicables, y el periodo de bloqueo.
Obligaciones vinculadas al principio de calidad
Para cumplir con el principio de calidad, se deben:
adoptar las medidas necesarias para mantener exactos, completos, correctos y actualizados los datos personales
el tiempo de actualización de los datos personales dependerá de las necesidades de cada instancia pública del orden federal
suprimir de los archivos, registros o sistemas los datos una vez que dejen de ser necesarios para el cumplimiento de las finalidades, y
establecer y documentar procedimientos para la conservación, bloqueo y supresión de los datos
En este contexto, el periodo de bloqueo es entendido como la acción que tiene por objeto impedir el tratamiento de los datos personales para cualquier finalidad, con excepción de su almacenamiento y acceso para determinar posibles responsabilidades en relación con el tratamiento de los mismos, hasta el plazo de prescripción correspondiente. Concluido dicho periodo se procederá a la supresión de los datos.
Ejemplo
El Instituto Nacional de Estadística y Geografía (INEGI), está llevando a cabo un censo nacional para recopilar información demográfica de la población. Para cumplir con el principio de calidad en el manejo de datos, el INEGI debe:
asegurarse de que los datos sean exactos: cuando los encuestadores visitan los hogares para recopilar información, deben verificar que los datos ingresados, como nombres, edades y direcciones, sean precisos y estén libres de errores
garantizar que la información sea completa: el INEGI debe verificar que se recopilen todos los datos necesarios para llevar a cabo el censo de manera efectiva. Esto se traduce en que no deben faltar registros importantes en la encuesta, como el número de miembros de la familia o detalles sobre su vivienda
verificar la pertinencia de los datos: la información recopilada debe ser relevante y aplicable a los objetivos del censo. Por ejemplo, si se solicita información sobre la edad de los encuestados, debe ser pertinente para la longevidad de la ciudadanía, y
mantener los datos actualizados: a medida que la población cambia, el instituto debe actualizar sus registros para reflejar estos cambios
Finalidad
Los datos personales solo pueden ser tratados con el propósito específico que se indica en el aviso de privacidad. Para cumplir con este principio, las finalidades deben ser claramente definidas, sin dejar lugar a dudas (art. 18, LGPDPPSO).
Algunas finalidades son consideradas "principales" porque son necesarias para la relación que se está estableciendo con el responsable de los datos. Por ejemplo, cuando alguien va a un centro médico para una revisión de rutina, es necesario que el médico recopile y utilice los datos personales del paciente para brindar atención médica.
En contraste, existen otras finalidades conocidas como "secundarias" que no son necesarias para la relación principal con el responsable de los datos.
Para estas finalidades secundarias, generalmente se requiere el consentimiento del titular de los datos, y este consentimiento puede retirarse en cualquier momento si el titular decide que ya no desea que sus datos se utilicen con ese propósito.
Obligaciones ligadas al principio de finalidad
Para cumplir con el principio de finalidad se deben:
determinar los usos concretos que se van a dar a los datos personales, los cuales deben ser acordes con las atribuciones que la normatividad aplicable le confiera a la instancia pública, y
solicitar el consentimiento del titular para utilizar los datos personales para finalidades diferentes a aquellas que motivaron su obtención
Ejemplo
La Secretaría de Relaciones Exteriores (SRE) es responsable de recopilar datos personales de ciudadanos para emitir el pasaporte. En este caso, la finalidad principal es proporcionar a los ciudadanos un documento de identificación válido. Esta finalidad es necesaria y es parte de la relación entre los ciudadanos y la autoridad gubernamental.
Sin embargo, la entidad decide utilizar los datos recopilados para enviar publicidad sobre servicios gubernamentales adicionales, como programas de salud. Esta sería una finalidad secundaria, ya que no es esencial para la emisión del pasaporte. Para cumplir con el principio de finalidad, la SRE debe informar a los ciudadanos sobre esta finalidad secundaria en su aviso de privacidad y obtener su consentimiento para utilizar sus datos personales de esta manera.
Además, los interesados deben tener la opción de retirar su consentimiento en cualquier momento si no desean recibir esta publicidad adicional.
Lealtad
El principio de lealtad establece que es obligación de la autoridad tratar los datos personales de manera justa y honesta priorizando la privacidad y los derechos de sus titulares. Ello conlleva a que el tratamiento no puede realizarse de manera engañosa o fraudulenta (art. 19, LGPDPPSO).
Obligaciones vinculadas al principio de lealtad
No recabar datos personales con dolo (intención de hacer daño), mala fe o negligencia
no quebrantar la confianza del titular con respecto a cómo se tratarán sus datos personales; en consecuencia, se tienen que cumplir con las promesas hechas en el aviso de privacidad y no utilizar los datos contrario de lo acordado, y
informar todas las finalidades del tratamiento de los datos en el aviso de privacidad para asegurar que el titular esté al tanto de cómo se utilizarán
Ejemplo
Una autoridad gubernamental es responsable de recopilar información de los ciudadanos para emitir certificados de antecedentes penales. En cumplimiento del principio de lealtad, la autoridad debe llevar a cabo la obtención de datos de manera transparente y honesta, sin utilizar métodos engañosos o fraudulentos.
En el proceso de solicitud debe informar claramente a los interesados sobre los propósitos de la recopilación de datos, que en este caso son verificar los antecedentes penales. La institución no debe intentar engañar a los ciudadanos para que proporcionen información adicional que no sea necesaria para esta finalidad, y debe asegurarse de que los datos se utilicen de manera justa y de acuerdo con lo acordado en el aviso de privacidad.
Proporcionalidad
El principio de proporcionalidad se refiere a la obligación de tratar los datos personales de manera que sean adecuados, relevantes y estrictamente necesarios para la finalidad que justifica su tratamiento (art. 25, LGPDPPSO).
Obligaciones ligadas al principio de proporcionalidad
Limitar al mínimo posible el periodo de tratamiento de los datos
no se deben recopilar ni utilizar más datos de los necesarios para cumplir con la finalidad específica del tratamiento, y
la autoridad debe hacer esfuerzos razonables para asegurarse de que solo se traten los datos mínimos requeridos
Ejemplo
La finalidad principal de la credencial para votar es verificar la identidad y la residencia de los ciudadanos para que puedan ejercer su derecho al voto en las elecciones.
Para cumplir con el principio de proporcionalidad, el INE debe recopilar y almacenar sólo la información que sea adecuada, relevante y estrictamente necesaria para esta finalidad. Por lo tanto, solicitará datos como el nombre, la fecha de nacimiento, la fotografía, la dirección de residencia y la firma del ciudadano, ya que estos son los datos necesarios para verificar su identidad y residencia en el proceso electoral.
Si el instituto decidiera recopilar información adicional, como el estado de salud o las creencias religiosas, sin una justificación clara relacionada con la finalidad electoral, estaría violando el principio de proporcionalidad, pues estos datos adicionales no serían necesarios ni relevantes para verificar la identidad y la residencia de un votante y representan un tratamiento de datos excesivo e injustificado.
Responsabilidad
Este principio establece el deber de asegurarse que se cumplan los demás principios relacionados con la protección de datos. Esto incluye tomar medidas necesarias para aplicar estos principios y demostrar tanto a los titulares de datos como a la autoridad competente que están cumpliendo con sus obligaciones en la materia (arts. 29 y 30, LGPDPPSO).
Obligaciones vinculadas al principio de responsabilidad
Asegurarse de que se cumplan todos los principios relacionados con la protección de datos, como el consentimiento, la finalidad, la proporcionalidad, entre otros
responder por el tratamiento de los datos personales
adoptar medidas para garantizar el debido tratamiento
privilegiar los intereses los intereses y la privacidad de los titulares de datos al tomar decisiones sobre cómo se tratan esos datos
Ejemplo
El SAT es el encargado de recopilar información fiscal de los contribuyentes para recaudar impuestos. El SAT es responsable de asegurar la confidencialidad de los datos, utilizarlos solo para fines fiscales, informar a los contribuyentes sobre su uso, recopilar únicamente la información necesaria y cumplir con las leyes de protección de datos.
Derechos de los ciudadanos
Como titular de los datos personales, los ciudadanos tienen derecho a acceder a ellos, rectificarlos, solicitar que se cancelen y oponerse a su uso. Estas prerrogativas reciben el nombre de derechos ARCO y enseguida se explicará en qué consisten.
Acceso
Consiste en el derecho a solicitar el acceso a los datos personales que se encuentran en las bases de datos de las autoridades y a conocer el uso que se le da (art. 44, LGPDPPSO).
Rectificación
Es el derecho a solicitar la corrección de los datos personales cuando estos son inexactos o incompletos (art. 45, LGPDPPSO).
Cancelación
Es el derecho a exigir que los datos personales se eliminen de los registros de las autoridades. No obstante, no podrán eliminarse cuando sean necesarios por alguna cuestión legal o para el cumplimiento de las obligaciones de la autoridad (art. 46, LGPDPPSO).
Oposición
Se trata del derecho a solicitar que los datos personales no se utilicen para ciertos fines, pero al igual que la cancelación, no podrá impedirse su uso de los datos si son necesarios para el cumplimiento de obligaciones (art. 47, LGPDPPSO).
Cómo ejercer los derechos ARCO
Los interesados en cualquier momento pueden solicitar el acceso, rectificación, cancelación u oposición de sus datos personales; para ello, deberán presentar una solicitud por escrito libre, formatos o medios electrónicos señalados por la autoridad responsable en el aviso de privacidad. En seguida se describe de manera general el procedimiento para tal efecto (arts. 40 al 56, LGPDPPSO):
Pasos |
Plazo para el titular |
Plazo para la autoridad |
|---|---|---|
Presentar la solicitud ante la autoridad responsable que posee los datos personales |
En cualquier momento |
No aplica |
La autoridad debe informar si procede o no el ejercicio de los derechos |
No aplica |
20 días hábiles |
Si procede el ejercicio de los derechos, la autoridad debe realizar las acciones necesarias para hacerlo efectivo |
No aplica |
15 días hábiles |
Límites de los derechos ARCO
Existen casos en las que la autoridad puede negarle al titular el ejercicio de los derechos ARCO; por ejemplo, cuando:
el titular no acredite su identidad
los datos no se encuentre en posesión del responsable
el ejercicio afecte derechos de otra persona o pueda obstaculizar procesos judiciales o administrativos
exista una resolución de autoridad que impida el ejercicio de los derechos
el titular haya solicitado previamente la cancelación de sus datos
los datos sean necesarios para proteger intereses jurídicamente tutelados del titular
Recurso
Si la respuesta que la autoridad dio a la solicitud de ejercicio de derechos ARCO fue negativa, o bien, no fue atendida, el afectado puede iniciar un procedimiento de revisión (arts. 94 a 116, LGPDPPSO).
El recurso de revisión se presenta ante el INAI o ante la unidad de transparencia de la autoridad responsable dentro de los 15 días hábiles siguientes a la fecha en que se haya entregado la respuesta de la solicitud o a que haya vencido el plazo para tal efecto. Procede por las siguientes razones:
- clasificación de los datos como confidenciales
- declaración de inexistencia de los datos
- entrega de datos personales incompletos o que no correspondan con lo solicitado
- negativa de acceso, rectificación, cancelación u oposición de los datos
- falta de respuesta o de trámite de la solicitud
- entrega de los datos en una modalidad distinta, y
- obstaculización del ejercicio de los derechos ARCO, a pesar de que fue notificada la procedencia de los mismos
La resolución del recurso debe ser emitida en un máximo de 40 días hábiles, contados a partir del día siguiente a aquel que fue presentado el recurso, y podrán ser en el siguiente sentido:
sobreseer o desechar el recurso
confirmar la respuesta de la autoridad
revocar la respuesta, dejándola sin efectos
ordenar la entrega de los datos personales
Comentarios finales
La protección de datos personales en posesión de las autoridades puede parecer un tema de poca relevancia para la mayoría de los ciudadanos; sin embargo, es fundamental que conozcan las obligaciones de las autoridades en el tratamiento de sus datos personales y los derechos que tienen para velar por su protección. Esto se traduce en un fortalecimiento de la transparencia y la rendición de cuentas en el manejo de datos personales.
Al comprender sus derechos ARCO, los ciudadanos pueden ejercer un mayor control sobre la información que se comparte y cómo se utiliza. Esto es crucial para proteger la privacidad y seguridad, así como para garantizar que los datos personales se utilicen de manera justa y honesta por parte de las autoridades.
Además, el conocimiento de las obligaciones de las entidades gubernamentales en cuanto al tratamiento de datos personales promueve una cultura de responsabilidad y cumplimiento de las leyes, ya que impulsa a las autoridades a adoptar prácticas más transparentes y seguras, lo que a su vez beneficia a toda la sociedad.
