Protección de datos y sus medios de defensa

Apartir de las reformas a los artículos 16, segundo párrafo y 73, fracción XXIX-O de la Constitución Política de los Estados Unidos Mexicanos publicadas en el DOF el 1 de junio de 2009 y el 30 de abril de 2009, respectivamente, se reconoció que los individuos son sujetos del derecho fundamental de protección de datos personales, comentan los licenciados Adolfo Athié Cervantes, Teresa Espinosa Vega y Rosa María Franco Velázquez, socio y asociadas de la firma Basham, Ringe y Correa, S.C.

Derivado de esos cambios se publicó en el DOF del 5 de julio de 2010 la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) con objeto de regular el tratamiento legítimo, controlado e informado de los datos de personas físicas (titulares) a fin de garantizar su privacidad y el derecho a la autodeterminación informativa (la facultad de una persona para decidir quién, para qué y por cuánto tiempo trata sus datos personales).

Además de la referida ley existen otras normativas en materia de protección de datos, entre los que destaca el Reglamento de la LFPDPPP y los Lineamientos del Aviso de Privacidad, publicados en el DOF el 21 de diciembre de 2011 y el 17 de enero de 2013, mismos que pueden llegar a constituír una carga para los sujetos obligados representados por todas aquellas personas físicas o morales pertenecientes al sector privado (responsables)¹ que obtengan, usen, divulguen o simplemente almacenen (tratamiento) información concerniente a una persona física identificada o identificable (dato personal), para lo cual deberán tomar las medidas necesarias con la finalidad de cumplir con los deberes y obligaciones de los cuerpos legales, así como respetar en todas las fases del tratamiento los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad.

Resulta importante notar que muchas de las figuras, procedimientos y circunstancias contenidas en la LFPDPPP son desconocidas o requieren de una interpretación, por lo que la aplicación por parte de los responsables se torna difícil y podría acarrear su incumplimiento y posterior sanción.

A pesar del esfuerzo del Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) como autoridad encargada de garantizar el cumplimiento de la ley, de explicar las obligaciones, derechos y procedimientos a través de la publicación de documentos como la Guía para elaborar el Aviso de Privacidad, existe aún gran incertidumbre en cuanto al contenido de los ordenamientos relativos a la protección de datos, misma que posiblemente se disipará a partir de la resolución de asuntos en la materia por las autoridades.

Otro de los factores generadores de incumplimiento se encuentra en la resistencia por parte de algunos responsables para adoptar las disposiciones necesarias para la protección de datos, lo cual ha provocado la imposición de sanciones por parte del IFAI.

La LFPDPPP previene en caso de incumplimiento multas que van desde los 100 hasta los 640,000 días de salario mínimo vigente en el DF, sin menoscabo del derecho que tiene el titular de los datos personales de demandar el pago de daños y perjuicios ocasionados con motivo del tratamiento inadecuado.

En el artículo 63 del ordenamiento en comento se encuentra un catálogo de conductas que de realizarse por el responsable constituyen una infracción, dentro de las que se mencionan:

• no cumplir con la solicitud del titular para el acceso, rectificación, cancelación u oposición (derechos ARCO) al tratamiento de sus datos personales, sin mediar razón fundada

• actuar con negligencia o dolo en la tramitación y respuesta a las solicitudes de derechos ARCO

• dar tratamiento a los datos personales en contravención a los principios señalados por la ley

• omitir en el aviso de privacidad alguno o todos los elementos siguientes:

• la identidad y domicilio del responsable

• las finalidades del tratamiento

• opciones y medios que el responsable ofrezca a los titulares para limitar su uso o divulgación

• los medios para ejercer los derechos ARCO

• las transferencias que se efectúen

• el procedimiento y medio por el cual el responsable comunicará a los titulares los cambios al aviso de privacidad

• mantener datos personales inexactos cuando resulte imputable al responsable

• transferir datos a terceros sin comunicarles las limitaciones bajo las cuales el titular sujetó su divulgación de conformidad con el aviso de privacidad

• recabar o transferir datos personales sin el consentimiento expreso del titular, cuando este sea exigible

• obstruir los actos de verificación por parte de la autoridad

• incumplir el responsable cualquiera de las obligaciones a su cargo en términos de la ley

Imposición de sanciones

El IFAI ha iniciado procedimientos de protección de derechos y de verificación, en ocasiones culminándolos con la imposición de sanciones.

A una cadena de farmacias se le impusó una sanción económica estimada en $2’000,000.00 por contravenir el principio de información y omitir el elemento de identidad en su aviso de privacidad. Asimismo, una institución bancaria fue sancionada con un monto aproximado de $16’155,936.00 por evidenciar negligencia en la tramitación y respuesta a una solicitud de derechos ARCO, violar el principio de finalidad, al continuar con el tratamiento de los datos personales a pesar de que ese propósito dejó de existir, y no haber efectuado la cancelación de los datos una vez que el titular había ejercido su derecho de cancelación.

Igual suerte siguió un club deportivo al ser multado con una cantidad de $1’246,600.00 por no señalar en su aviso de privacidad las opciones y medios que el responsable ofrecía al titular para limitar el uso y divulgación de sus datos. A una caja de ahorro se le impuso una sanción de $2’ 181,550.00 por no contar con el aviso de privacidad, y por ende, incumplir con los principios de licitud, información y finalidad, así como recabar datos de carácter financiero y patrimonial sin haber obtenido el consentimiento expreso de los titulares y no contar con un procedimiento ni departamento que diese trámite a las solicitudes de derechos ARCO.

Para que existan resoluciones que impongan sanciones por parte del IFAI, debe tener lugar un procedimiento que así lo determine. No obstante, previo a ello, tendrá lugar la existencia de presuntas infracciones resultantes de los procedimientos de verificación o de protección de derechos.

Procedimientos de verificación

Son iniciados por el IFAI para comprobar el cumplimiento de las disposiciones previstas en la LFPDPPP o en los ordenamientos derivados de esta, para lo cual requiere al responsable la documentación necesaria o realiza visitas a los establecimientos en donde se encuentren las bases de datos respectivas.

Se podrán iniciar de oficio si existe un incumplimiento a las resoluciones dictadas con motivo de un procedimiento de protección de derechos o se presuma fundada y motivada la existencia de violaciones a la LFPDPPP.

También podrá hacerse a instancia de parte, cuando cualquier persona denuncie ante la autoridad competente las presuntas violaciones a la ley, siempre que estas no se ubiquen en los supuestos de procedencia del procedimiento de protección de derechos y medie instrucción del Pleno del IFAI que determine la procedencia de iniciar una verificación.

Protección de derechos

Se origina si el titular de los datos personales tiene una inconformidad provocada por las acciones u omisiones del responsable, relacionada con el ejercicio de los derechos ARCO. Este descontento se puede presentar cuando:

• el titular no:

• recibe respuesta por parte del responsable

• está conforme con la información entregada por considerarla incompleta o no correspondiente a la solicitada

• el responsable:

• no otorga acceso a los datos personales solicitados o lo hace en un formato incomprensible

• se niega a efectuar rectificaciones a esos datos

• rehuya a cancelar los citados datos, o persista en el tratamiento a pesar de mediar una solicitud de oposición o evite atenderla

Dentro de este procedimiento las partes podrán conciliar en cualquier momento, por lo que se terminaría de manera anticipada. De no existir ese acuerdo, aquel seguirá su normal desarrollo y una vez que se complete el expediente, el IFAI dictará una resolución que podrá:

• sobreseer (pone fin al procedimiento sin resolver el fondo de la controversia)

• desechar la solicitud de protección

• confirmar

• revocar

• modificar

Medios de defensa

Las resoluciones dictadas con motivo de los procedimientos de protección de derechos, verificación y de imposición de sanciones podrán ser recurridas dentro del plazo de 45 días hábiles, posteriores a su legal notificación, ante el Tribunal Federal de Justicia Fiscal y Administrativa (TFJFA).

Este tribunal pronunciará una resolución que desechará, anulará o confirmará la resolución impugnada (emitida por el IFAI). En contra de la sentencia emitida por el TFJFA procederá el juicio de amparo directo, que se tramitará ante el propio tribunal federal y será este el que lo remitirá a los Tribunales Colegiados de Circuito en Materia Administrativa.

De manera excepcional, la Suprema Corte de Justicia de la Nación (SCJN) conocerá en revisión algunos asuntos en los cuales se alegue la inconstitucionalidad de alguna disposición de la ley o se hagan interpretaciones directas de algún precepto constitucional.

Suspensión

Cuando el IFAI imponga una sanción administrativa, el responsable que hubiese sido penado, podrá garantizar el pago mediante la presentación de una fianza que será exhibida en el TFJFA con el objetivo de solicitar la suspensión de la ejecución de la infracción por parte de la Secretaría de Hacienda y Crédito Público en tanto se concluye el juicio iniciado.

Daños y perjuicios

El titular de los datos personales cuenta con el derecho de solicitar a un juez de naturaleza civil el pago de los daños y/o perjuicios que hubiesen sido causados por el responsable. Esta posibilidad será analizada por el juez con base en las pruebas ofrecidas por las partes.

En este tema, la SCJN sostiene un criterio en el cual alude que primero se debe declarar la infracción administrativa para que el afectado posteriormente acuda a demandar los daños y perjuicios. No obstante que el criterio se aplica en propiedad industrial, de forma análoga, se estima que el titular tiene que esperar a la declaración de la existencia de una infracción administrativa y que esta no admita recurso, para estar en posibilidades de exigir la indemnización correspondiente.

Conclusiones

Toda persona física o moral que conforme a sus actividades decida sobre el tratamiento de datos personales, está obligada a observar las obligaciones y derivadas de la LFPDPPP de manera puntual y la falta de cumplimiento o incluso su ejecución parcial, puede dar lugar a la imposición de sanciones, cuya resolución, en determinadas circunstancias, podrá ser impugnada.

Procedimiento de verificación

Procedimiento de protección de derechos ARCO

Procedimiento de imposición de sanciones