El pasado 30 de septiembre se publicaron en el Diario Oficial de la Federación los Lineamientos de Protección de Datos Personales, bajo los cuales la Administración Pública Federal (APF) debe garantizar la protección de los datos en su poder, es decir que no sean manejados indebidamente, y determinar en cada caso la procedencia de otorgar acceso a aquellos datos que no se consideran como confidenciales.
Sin embargo, estos Lineamientos no disponen expresamente las causales por las que sí podrán ser transmitidos los referidos datos, así como el procedimiento para ello; el derecho de los particulares a impedir la transmisión de sus datos, y menos aun las sanciones a imponer a los servidores públicos que efectúen la transmisión de los datos sin existir causa justificada para ello, razón por la cual se considera que no existe una eficaz protección de los datos personales. Los siguientes son algunos de los lineamientos más relevantes, y que son aplicados desde el pasado 30 de septiembre.
Elementos de los datos personales(Lineamiento ?Lin. ? segundo)
Las condiciones para determinar que la información es un dato personal, son que la:
- misma sea concerniente a una persona física, identificada o identificable, y
- información se encuentre contenida en sus archivos.
En el tratamiento de datos personales deberán observarse los principios de:
- licitud, la posesión de sistemas de datos personales deberá obedecer a las atribuciones legales o reglamentarias de cada dependencia o entidad y deberán obtenerse a través de los medios en ellas previstos;
- calidad de los datos, el tratamiento de datos personales debe ser exacto, adecuado, pertinente y no excesivo, respecto de las atribuciones legales de la dependencia o entidad que los posea;
- acceso y corrección, los sistemas de datos personales deben almacenarse de forma tal que permitan el ejercicio de los derechos de acceso y corrección;
- de información, se debe hacer del conocimiento del titular de los datos, al momento de recabarlos y de forma escrita, el fundamento y motivo de ello, así como los propósitos para los cuales se tratan dichos datos;
- seguridad, adoptar las medidas necesarias para garantizar la integridad, confiabilidad, confidencialidad y disponibilidad de los datos personales para evitar su alteración, pérdida, transmisión y acceso no autorizado;
- custodia y cuidado de la información, los datos personales serán debidamente custodiados y los responsables, encargados y usuarios deberán garantizar el manejo cuidadoso en su tratamiento, y
- consentimiento para la transmisión, toda transmisión de datos personales deberá contar con el consentimiento del titular de los datos, el cual debe otorgarse libremente, expresa e informada.
Los datos personales que hayan sido objeto de tratamiento y no contengan valores históricos, científicos, estadísticos o contables, deberán ser dados de baja por las dependencias y entidades, o bien, los que contengan dichos valores serán objeto de transferencias secundarias, de conformidad con lo establecido por los catálogos de disposición documental, y considerando el plazo establecido:
- en el formato físico o electrónico por el cual se recabaron;
- por las disposiciones aplicables;
- los convenios formalizados entre una persona y la dependencia o entidad, y
- en los casos de transmisión.
Información al titular de los datos(Lins. decimoséptimo y decimonoveno)
En el momento en que se recaben datos personales, la dependencia o entidad debe hacer del conocimiento al titular de los datos tanto en los formatos físicos como en los electrónicos utilizados para ese fin:
- la mención de que los datos recabados serán protegidos en términos de lo dispuesto por la Ley;
- el fundamento legal para ello, y
- la finalidad del sistema de datos personales.
Tratamiento de datos por terceros(Lin. vigésimo primero)
Cuando se contrate a terceros para realizar el tratamiento de datos personales, debe estipularse en el contrato respectivo, la implementación de medidas de seguridad y custodia, así como la imposición de penas convencionales por su incumplimiento.
Transmisión con y sin consentimiento del titular de los datos(Lins. vigésimo segundo y vigésimo tercero)
Las dependencias y entidades podrán transmitir datos personales sin el consentimiento del titular de los datos, cuando:
- sea necesario por razones estadísticas, científicas o de interés general previstas en ley, previo procedimiento por el cual no puedan asociarse los datos personales con el individuo a quien se refieran;
- se transmitan entre sujetos obligados o entre dependencias y entidades, siempre y cuando los datos se utilicen para el ejercicio de facultades propias de los mismos;
- exista una orden judicial;
- se contrate con terceros la prestación de un servicio que requiera el tratamiento de datos personales. Dichos terceros no podrán utilizar los datos personales para propósitos distintos a aquéllos para los cuales se les hubieren transmitido, y
- en los demás casos que establezcan las leyes.
- así lo prevea de manera una disposición legal, y
- medie el consentimiento expreso de los titulares.
Para la transmisión de los datos, el titular debe otorgar su consentimiento por escrito con la firma autógrafa e incluir la copia de identificación oficial, o bien a través de un medio de autenticación.
Informes sobre la transmisión(Lins. vigésimo quinto y vigésimo sexto)
Las transmisiones totales o parciales de sistemas de datos personales que realicen las dependencias y entidades en el ejercicio de sus atribuciones, deben ser notificadas por el responsable al Instituto Federal de Acceso a la Información Pública (IFAI) y el referido informe deberá contener al menos:
- identificación del sistema de datos personales, del transmisor y del destinatario de los datos;
- finalidad de la transmisión; así como el tipo de datos que son objeto de la transmisión;
- las medidas de seguridad y custodia que se adoptaron o fueron adoptadas por el transmisor y destinatario;
- plazo por el que conservará el destinatario los datos que le hubiesen sido transmitidos, el cual podrá ser ampliado mediante aviso al IFAI, y
- señalar si una vez concluidos los propósitos de la transmisión, los datos personales deberán ser destruidos o devueltos al transmisor, al igual que cualquier soporte o documento en que conste algún dato de carácter personal objeto de la transmisión.
El IFAI emitirá anualmente las recomendaciones sobre los estándares mínimos de seguridad, aplicables a los sistemas de datos personales que se encuentren en poder de las dependencias y entidades de la APF, y determinará en su caso, el nivel de protección que amerite la naturaleza de los datos personales.
Disposiciones abrogadas(Lin. sexto transitorio)
Se dejan sin efecto las disposiciones contenidas en los Lineamientos que deberán observar las dependencias y entidades de la APF para notificar al IFAI el listado de sus sistemas de datos personales, publicados el 20 de agosto de 2003 en el Diario Oficial de la Federación.
