Datos personales ¿realmente seguros?

Las bases de datos anteriores, las sanciones, los aspectos medulares y la aplicación de la nueva ley se perciben en el siguiente análisis

Al realizar un estudio de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), la Doctora en Derecho y Especialista en Derecho de las Tecnologías de la Información y de las Comunicaciones Isabel Davara, concedió a IDC una entrevista que despeja las principales dudas que pueden tener, tanto los particulares en relación con la protección de sus datos personales, como las empresas que manejan bases de esos datos.

¿Con qué objeto se creó la LFPDPPP?

La LFPDPPP desarrolla el derecho fundamental a la protección de datos personales, reconocido por la Constitución en los artículos 6o, 16o y 73 fracción XIX-O. Su objeto es salvaguardar los datos personales en posesión de particulares, regulando su tratamiento legítimo, controlado e informado, para así garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.  

¿Qué aspectos de la Ley deben cuidar las empresas principalmente para no infringirla?

La normativa se estructura en principios, derechos y procedimientos. Los principios, a modo de declaraciones programáticas, establecen los pilares en los que se basa la protección de datos personales. Los derechos, por su parte, representan la concreción subjetiva de ejercicio de esos principios, es decir, cómo el titular de los datos de carácter personal puede ejercer unos derechos (los más relevantes, los denominados derechos ARCO: acceso, rectificación, cancelación y oposición) que concretan los principios teóricos en los que se basa toda la normativa. Los procedimientos, finalmente, cerrando este triángulo ficticio, concretan la tutela pública a la que el individuo puede recurrir cuando se ve lesionado en el ejercicio de esos derechos como consecuencia de esos principios.

Por tanto, las empresas tienen que implementar procedimientos que permitan garantizar el cumplimiento de los principios de la protección de datos y dar respuesta al ejercicio de los derechos ARCO de los interesados, además de atender los procedimientos de reclamación que en su caso se planteen ante el ahora denominado Instituto Federal de Acceso a la Información y Protección de Datos (IFAIPD). 

A grandes rasgos, ¿a qué están obligadas las empresas ahora, que no estuvieran forzadas a hacer antes de la creación de esta Ley?

Desde la formulación y respeto al aviso de privacidad hasta las medidas de seguridad, pasando por un tratamiento legal y leal, hasta el deber de confidencialidad y la forma en que todas las personas de la entidad cuentan con acceso a los datos deben facilitar el ejercicio de los derechos a los titulares. Se trata, por tanto, de crear una cultura de protección de datos también en el seno de la empresa, es decir, reconocer el valor del dato personal como activo sin que ello suponga olvidar que está referido a una persona física, su titular.

En concreto, entre otros, podemos hablar de varios focos de actuación:

  • designar una persona o departamento de datos personales para la atención de las solicitudes de ejercicio de derechos y para que fomente internamente la protección de ellos
  • fijar un procedimiento de atención al ejercicio de derechos ARCO
  • diseñar un esquema de gestión del consentimiento en todas las fases del tratamiento
  • analizar el riesgo legal del tratamiento en línea o no, nacional o trasnacional
  • establecer el aviso de privacidad del que se haga uso en la entidad para informar a los interesados sobre la recolección, tratamiento y transferencias de sus datos personales
  • elaborar y/o adecuar políticas de privacidad para sitios y páginas web
  • analizar los contratos y convenios suscritos para adaptarlos a las exigencias legales
  • capacitar, en general, a distintos niveles en la organización 

¿Qué tan efectiva será la protección de datos personales a raíz de esta nueva Ley?

Eso será algo que se irá viendo con el tiempo, pero la experiencia internacional demuestra, por una parte, que las compañías tardan un tiempo en conocer la normativa y saber cómo aplicarla, aunque, por otro lado, si la autoridad responsable empieza a promover la cultura de conocimiento de las disposiciones (o en el peor de los casos comienza a aplicar las sanciones previstas intensivamente), el grado de aceleración en conocimiento, y por tanto, el respeto de la normativa, se intensificará ostensiblemente. 

¿Hay puntos que la Ley no esté contemplando y que puedan suscitar conflictos posteriormente?

Se requerirá sin duda de reglamentaciones de distinta índole posteriores en cuestiones específicas, como la protección de datos en telecomunicaciones y comunicaciones electrónicas o el tratamiento de datos de menores o sanitarios, mas tal legislación se irá presentando conforme se vaya haciendo necesaria, la derivada de la práctica del tratamiento de bases de datos personales. 

Al ser una ley federal, ¿qué papel desempeñarán los estados frente a esta Ley?

Es una ley federal porque no podía ser de otra manera. Se necesitaba evitar la creación de mercados negros de información personal o la generación de obstáculos a la libre circulación de datos entre los estados por lo que ello supondría para el comercio, tanto nacional como internacional. Los estados, por lo tanto, no tienen competencia al respecto, puesto que la Constitución se la atribuyó al Congreso. En la práctica, la competencia de tutela reside fundamentalmente en el IFAIPD, aunque también en otras autoridades, como la Secretaría de Economía, mismas que deberán ser consideradas, puesto que la LFPDPPP les atribuye funciones específicas.

¿Qué sucederá con las bases de datos existentes con anterioridad a la Ley en comento?

Tales bases deberán regularizarse y adaptarse a la norma según los plazos dispuestos en la misma, de acuerdo con la siguiente tabla:

Asunto Fecha Fundamento
Publicación de la Ley 5 de Julio de 2010 Diario Oficial de la Federación
Entrada en vigor 6 de Julio de 2010 Artículo (Art.) primero transitorio 
Aprobación del Reglamento 6 de Julio de 2011 Art. segundo transitorio 
Designación por parte de los responsables de la persona o departamento de datos personales 6 de Julio de 2011 Arts. 30 y tercero transitorio 
Expedición por parte de los responsables de los avisos de privacidad a los titulares de datos personales 6 de Julio de 2011 Arts. 16 y 17, y tercero transitorio 
Ejercicio de los derechos ARCO por parte de los titulares ante los responsables 6 de Enero de 2012 Art. cuarto transitorio
Inicio de procedimiento de protección de derechos (si es el caso) por parte de los titulares 6 de Enero de 2012 Art. cuarto transitorio

¿Qué sucedería si las compañías contaran con el consentimiento para utilizar los datos personales dentro de una cláusula de un contrato? ¿Eso sería suficiente para no necesitar el aviso de privacidad?

Eso es en puridad un aviso de privacidad. El único problema es comprobar que dicha cláusula es válida en cuanto a la finalidad y datos tratados y que permite realizar las acciones necesarias con la información tratada.

Por otra parte, el contrato (es decir, el aviso de privacidad en lo que a estos efectos interesa) puede ser tanto en papel como electrónico, puesto que la Ley ha sido concebida para dar respuesta a los retos que plantea la sociedad en la que vivimos y que básicamente gira en torno al mundo electrónico. 

Las personas que cuenten con una base de datos con anterioridad a la entrada en vigor de la Ley, ¿podrían alegar que no requieren contar con el aviso de privacidad pues se estaría aplicando retroactivamente la Ley en su perjuicio?

No, porque la LFPDPPP da un plazo para que todos se ajusten. Es una nueva regulación, como tantas otras, que debe cumplirse, o sea, la Ley no se aplica retroactivamente. Se aplica desde su entrada en vigor y establece unos plazos, como se ha visto, para adecuar los tratamientos que se llevaban a cabo si no se cumplen los principios de la Ley.

De otra manera, la protección de la persona que se ofrece se vería seriamente comprometida. 

¿Quiénes serían responsables de las sanciones por el incumplimiento a la Ley, las empresas o los trabajadores que manejaran las bases de datos?

Los responsables del archivo, es decir, según la pregunta, las empresas. En este sentido, es necesario distinguir al responsable del archivo para efectos de la Ley de otros responsables internos que puedan designarse a efectos del tratamiento de los datos. Ahora bien, siempre se pueden incorporar políticas en la corporación para tomar las acciones pertinentes a nivel interno en caso de que ésta sea sancionada e igualmente habría que atender a la normativa específica para la exigencia de responsabilidad civil o laboral por el incumplimiento de un empleado.

Corolario

La adopción total de las disposiciones de la LFPDPPP será un proceso paulatino, lo más importante es que tanto particulares como empresas tengan un adecuado conocimiento de la Ley para no infringirla, así como poner especial atención al aviso de privacidad, punto angular de la misma.