Ley Federal de Protección de Datos Personales y Derecho de Acceso a la Información.

1. Ley Federal de Protección de Datos Personales y Derecho de Acceso a la Información. Culiacán, Sinaloa, 2012 Dr. Alfonso Páez Álvarez

2. Plan de exposición • ¿Cómo surge el derecho? • ¿En qué consiste el derecho? • Protección de datos personales en México

3. I. ¿Cómo surge el derecho?

4. Informática versus protección datos personales • Primera aproximación: reconocimiento del derecho a la vida privada y familiar (no injerencia). • Derecho a la autodeterminación. • Tensión entre el uso cada vez más generalizado de la informática y el riesgo que implica para la vida privada. • Incorpora a los principios esenciales del derecho a la privacidad el del consentimiento.

5. II. ¿En qué consiste el derecho?

6. Protección de datos personales ≠ privacidad e intimidad • Derecho a la privacidad e intimidad: protege a la esfera privada e íntima de cualquier injerencia (derecho a estar solo). • Derecho a la protección de datos personales: poder de disposición y control de la información personal, faculta a la persona para decidir cuáles datos proporcionar a un tercero; saber quién y para qué posee esos datos, y oponerse a esa posesión o uso (derecho a la autodeterminación informativa).

7. Entonces, la protección de datos personales… Es el derecho que tiene toda persona a conocer y decidir quién, cómo y de qué manera recaba, utiliza y compartesus datos personales.

8. Conceptos básicos

9. ¿Qué son los datos personales? Toda información concerniente o relativa a una persona física identificada o identificable.

10. Ejemplos • Identificación • Nombre, edad, domicilio, sexo, RFC, CURP... • Patrimoniales • Cuentas bancarias, saldos, propiedades... • Salud • Estados de salud físicos y mentales... • Biométricos • Huellas dactilares, iris, voz, firma autógrafa... • Íntimos • Ideología, afiliación política, religión, preferencia sexual...

11. Datos personales sensibles • Revelan aspectos íntimos o particulares de las personas: • El origen racial o étnico. • El estado de salud presente y futuro. • La información genética. • Las creencias religiosas, filosóficas y morales. • La afiliación sindical. • Las opiniones políticas. • La preferencia sexual. • Los datos personales sensibles o especialmente protegidos al revelar aspectos muy íntimos y particulares de la vida privada de las personas, merecen de medidas de protección más exigentes y robustas.

12. Otros conceptos importantes… • Titular:persona física a quien corresponden los datos personales. • Bases de datos: conjunto ordenado de datos personales referentes a una persona identificada o identificable. • Tratamiento:obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales. • Responsable:persona física o moral de carácter privado que decide sobre el tratamiento de datos personales. • Encargado:persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable. • Transferencia:toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento.

13. Principios

14. Licitud y Lealtad El tratamiento de los datos personales deberá llevarse con pleno cumplimiento de: • Legalidad; • Respeto a la buena fe y • Los derechos del individuo cuya información es sometida a tratamiento.

15. Finalidad • Tratamiento en el ámbito de finalidades determinadas, explícitas y legítimas. • El tratamiento para fines distintos a los establecidos en el aviso de privacidad requiere consentimiento.

16. Proporcionalidad • Sólo se deberán recabar los datos adecuados o necesarios para la finalidad que justifica el tratamiento. • El tratamiento obedecerá a tratar la mínima cantidad de información necesaria para conseguir la finalidad perseguida.

17. Calidad • Datos pertinentes, correctos y actualizados. • Datos que reflejen la realidad.

18. Información • Dar a conocer a los titulares la existencia del tratamiento y sus características. • En términos fácilmente comprensibles y previo a la recolecta de los datos. • A través del aviso de privacidad por diversos medios.

19. Información… El principio de información se materializa en el aviso de privacidad, que informa al titular sobre: • Identidad y domicilio del responsable que recaba sus datos; • Finalidades del tratamiento de datos; • Medios para ejercer los derechos de acceso, rectificación, cancelación u oposición; • Transferencias de datos, y • Cambios al aviso.

20. Consentimiento • La voluntad del titular es la causa principal legitimadora del tratamiento de los datos personales. • Excepciones: la ley, celebración de un contrato… • Aunque en la mayoría de los casos el consentimiento es tácito, la manifestación deberá ser libre, específica, inequívoca e informada.

21. Responsabilidad • Deber de la persona responsable del tratamiento de los datos de velar por el cumplimiento de los principios y rendir cuentas al titular en caso de incumplimiento.

22. Deberes

23. Deber de seguridad • Obligación de adoptar las medidas necesarias para garantizar la integridad, confidencialidad y disponibilidad de los datos personales mediante acciones que eviten su alteración, pérdida, transmisión y acceso no autorizado.

24. Obligaciones en materia de seguridad de las bases de datos… • Todo responsable deberáestablecer y mantener medidas de seguridad de carácter administrativo, técnico y físico que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso, o tratamiento no autorizado. • Los responsables nodeberán adoptar medidas de seguridad menores a aquellas que mantengan para el manejo de su información. • Para la implementación de dichas medidas éstos deberán tomar en cuenta factores como riesgo existente y posibles consecuencias para los titulares, la sensibilidad de los datos personales y el desarrollo tecnológico.

25. Las medidas de seguridad deberán atender… • La sensibilidad de la información personal (nivel básico, medio y alto). • El tipo de soporte de las bases de datos (físico, automatizado o mixto).

26. Vulneraciones de seguridad de las bases de datos… • Las vulneraciones de seguridad deberán ser informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos.

27. Deber de confidencialidad • Secreto, discreción, confidencialidad y custodiaal que está obligada toda persona que maneja, usa, recaba o transfiere datos personales en cualquier fase del tratamiento.

28. Derechos

29. Derechos (ARCO) • Acceso • Rectificación • Cancelación • Oposición

30. Acceso Derecho del titular a obtener información sobre sí, así como si la misma está siendo objeto de tratamiento y el alcance del mismo.

31. Rectificación Derecho del titular a que se modifiquen los datos que resulten ser inexactos o incompletos.

32. Cancelación Derecho del titular que da lugar a que se supriman los datos que resulten ser inadecuados o excesivos.

33. Bloqueo • Identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades por su tratamiento, hasta el plazo de prescripción legal o contractual. • Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a su cancelación.

34. Oposición Prerrogativa que consiste en oponerse al uso de datos personales para una determinada finalidad.

35. III. Protección de datos personales en México

36. Garantía fundamental

37. Constitución Política de los Estados Unidos Mexicanos El artículo 6 constitucional reconoce el derecho de acceso a la información como una garantía fundamental y se constituye como limitante al ejercicio del derecho de acceso a la información, señala que: • La información a que se refiere la vida privada será protegida en términos de ley respectiva, y • Toda persona tiene derecho a acceder y rectificar sus datos personales.

38. Constitución Política de los Estados Unidos Mexicanos Elartículo 16 constitucional incorpora a la lista de garantías fundamentales consagradas en nuestra Carta Magna, el derecho a la protección de datos personales: “Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición…” Elartículo 73 constitucional dota de facultades al Congreso de la Unión para legislar en materia de protección de datos personales en posesión de particulares.

39. En el sector público federal y estatal…

40. LFTAIPG • Reconoce por primera vez en México la protección de los datos personales. • Se limita a las bases de datos del sector público a nivel federal. • Es a la vez, una ley de acceso a la información y una ley de protección de datos personales (limitada en su ámbito de aplicación). • Su capítulo IV establece un marco muy general que regula la obtención, almacenamiento, transmisión, uso y manejo de los datos personales en posesión de dependencias y entidades federales.

41. A nivel estatal • Los estados de Colima, Jalisco y Tlaxcala cuentan con leyes de protección de datos para el sector público y privado. • Los estados de Guanajuato, Coahuila, Oaxaca, Distrito Federal y Morelos sólo regulan la protección de datos personales en posesión del sector público. • La mayoría de las legislaciones estatales contienen un capítulo de protección de datos personales en sus leyes de transparencia.

42. En el sector privadoLFPDPPP

43. 2010, un año clave… • El 13 de abril de 2010 la Cámara de Diputados aprobó el proyecto de decreto por el que se expide la Ley Federal de Protección de Datos Personales en posesión de los particulares. • Por su parte, la Cámara de Senadores aprobó por unanimidad dicho dictamen, el 27 de abril de 2010. • Finalmente, el 5 de julio de 2010 el Poder Ejecutivo Federal publicó en el Diario Oficial de la Federación la Ley.

44. Ejes rectores de la ley • Ámbito de aplicación • Principios y derechos • Ejercicio de los derechos ARCO • Transferencias de datos • Autoridades: • Garante y • Reguladoras • Procedimientos: • Protección de datos • Verificación • imposición de sanciones • Infracciones y sanciones. • Delitos en materia de tratamiento indebido.

45. Objeto y ámbito de aplicación La ley es de observancia obligatoria en todo el territorio nacional y tiene por objeto regular el tratamiento legítimo, controlado e informado de los datos personales en posesión de los particulares.

46. Sujetos regulados Personas físicas o morales que para sus actividades cotidianas recaben, manejen y utilicen información personal, con excepción de: • Las Sociedades de Información Crediticia. • Las personas que recolectan y almacenan datos personales para uso exclusivamente personal o doméstico.

47. Principios y derechos • Principios: Licitud, consentimiento, información, calidad; finalidad, lealtad, proporcionalidad y responsabilidad • Derechos ARCO • Deber de seguridad • Deber de confidencialidad

48. IFAI como autoridad garante

49. Facultades del IFAI como autoridad garante • Informativas • Normativas • De verificación • Preventivas • Resolutorias • De cooperación nacional e internacional • Sancionadoras

50. IFAI como autoridad garante Sus facultades informativas: • Proporcionar apoyo técnico a los responsables que los soliciten para el cumplimiento de las obligaciones establecidas en la Ley. • Rendir al Congreso de la Unión un informe anual de sus actividades. • Desarrollar, fomentar y difundir análisis, estudios e investigaciones en materia de protección de datos personales en posesión de los particulares.