Seminario conmemorativo del Día Internacional de la Protección de Datos Personales “La Protección de Datos Personales y las reformas constitucionales” Mesa de trabajo 5. Diseño institucional del Órgano Garante en materia de protección de datos personales. Diseño normativo del Órgano Garante en materia de protección de datos personales y esquemas de coordinación. Luis Gustavo Parra Noriega

Evolución normativa a nivel federal de la Protección de los Datos Personales Ley Federal de Transparencia y Acceso a la Información (2002) Reformas arts. 6 (2007) 16 y 73 (2009) CPEUM Ley Federal de Protección de Datos Personales en Posesión de Particulares (2010) Sector privado Sector público

ANTECEDENTES LEGISLATIVOS Iniciativa de Ley de Ley Federal de Transparencia y Acceso a la Información Iniciativa presentada por el Ejecutivo Federal en 2001. “…Como último principio, y como parte del objeto de la Ley, se señala la protección de datos personales. Existe una clara relación entre el derecho de acceso a la información y la protección de datos personales, no porque se trate forzosamente de dos realidades contrapuestas, sino porque la regulación de ambas debe ser complementaria. En efecto, la publicidad de la información debe respetar el derecho de privacidad que corresponde a los datos personales de cualquier individuo. Para lograr la correcta armonía entre uno y otro derecho, deben especificarse lo más posible sus alcances. Existe la conciencia de que cada uno de estos derechos es de tal magnitud, que requeriría de una ley especial que regule su objeto y establezca su diseño institucional, por esta razón y mientras no se expida una ley en materia de datos personales, la iniciativa que se presenta incluye un capítulo específico relativo a este tema, en el que se recogen los principios fundamentales al respecto y que puede servir de base para la legislación futura…” Fuente: Gaceta Parlamentaria de la Cámara de Diputados año V, número 892, martes 4 de diciembre de 2001.

ANTECEDENTES LEGISLATIVOS La Ley Federal de Transparencia y Acceso a la Información Pública de 2002 regula la protección de datos personales en posesión de autoridades públicas. Se impulsaron las reformas Constitucionales en 2007 y 2009 a los artículos 6º, 16 y 73. La Ley Federal de Protección de Datos Personales en Posesión de Particulares fue publicada en el Diario Oficial de la Federación el 5 de julio de 2010, entró en vigor un día después y tiene efecto a partir de enero del año 2012. A nivel local, la regulación jurídica de la protección de datos personales, se encuentra en las Leyes locales de Transparencia y en algunas entidades federativas y en el D.F. existen de forma diferenciada leyes de protección de datos.

Reformas constitucionales en materia de protección de datos personales La reforma al Artículo 6º fracción II, estableció como parte de los principios en materia de acceso, que la información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que fijen las leyes. Tuvo la virtud de ser la primera disposición en la historia de nuestro país que hace un reconocimiento expreso al derecho a la protección de datos personales en la cúspide normativa, dando continuidad a la labor iniciada por el legislador ordinario a través de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental.

Reformas constitucionales en materia de protección de datos personales Reforma al Artículo 16 CPEUM. Antecedente: Minuta proveniente del Senado, aprobada por la Cámara de Diputados. Objetivo: Incorporar como una nueva garantía individual la protección de los datos personales. Situación: Fue publicada en el D.O.F. el 1° de junio de 2009. Texto vigente: Art. 16. … “Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.”

Reformas constitucionales en materia de protección de datos personales Reforma al Artículo 73 CPEUM. Antecedente: Iniciativa presentada por el Dip. Luis Gustavo Parra Noriega el día 27 de marzo de 2007. Objetivo: Facultar al Congreso para legislar en materia de protección de datos personales en posesión de particulares. Situación: Dictaminada favorablemente por el Congreso de la Unión y fue publicada por el Ejecutivo Federal en el D.O.F. el 30 de abril de 2009. Texto vigente:   Artículo 73. El Congreso tiene facultad: I. a XXIX-N. ... XXIX-O. Para legislar en materia de protección de datos personales en posesión de particulares. XXX. ...

¿ Por qué una Ley Federal de Protección de Datos Personales para el sector privado? Para unificar la tutela de un derecho fundamental en todo el país, en cuanto a derechos, principios y procedimientos de protección, evitando de esta manera su respeto asimétrico al expedirse tantas leyes como entidades federativas tiene la República mexicana. El Estado Mexicano hacia el exterior es uno y como tal debe contar con una legislación uniforme en sus relaciones internacionales, independientemente del área del territorio nacional donde materialmente se estén tratando los datos personales. La materia de comercio es federal, de conformidad con nuestra Ley Fundamental.

ANTECEDENTES LEGISLATIVOS Al reformar el artículo 73 de nuestra Carta Magna, la idea fue sujetar a los particulares a un régimen de protección de datos personales en todo el territorio nacional, dado que por virtud del artículo 6º, los ciudadanos ya gozan de la protección a la información sobre su vida privada y datos personales contenidos en los archivos públicos. Lo anterior se hace efectivo a través de leyes especiales en la materia o de los capítulos sobre protección de datos que se incluyan en las leyes de transparencia y acceso a la información en los tres órdenes de gobierno. De esa forma, la asignatura pendiente era emitir una ley para completar la protección que ya procura el sector público ahora al privado, y en ese sentido, se considera que todos los particulares que traten datos personales deben estar sujetos a esta ley, con excepción de las Sociedades de Información Crediticia.

Turno Iniciativa Dip. Adolfo Mota Sánchez (PRI)   INICIATIVAS PRESENTADAS DE LA LVIII A LA LX LEGISLATURA (Por orden cronológico) Iniciativa Diputado (a) y Grupo Parlamentario Autoridad propuesta Turno Ley Federal de Protección de Datos Personales, Gaceta: 11 de diciembre de 2008 Dip. Adolfo Mota Sánchez (PRI) Secretaría de Economía Comisión de Gobernación con opinión de Presupuesto y Cuenta Pública. La Comisión de Gobernación elaboró y aprobó un dictamen que quedó pendiente de pasar a Pleno. Ley Federal de Protección de Datos Personales, Gaceta: 7 octubre 2008 Dip. Luis Gustavo Parra Noriega (PAN) Comisión Nacional de Protección de Datos Personales Ley Federal de Protección de Datos Personales, Gaceta: 22 de marzo de 2006 Dip. Sheyla Aragón Cortés IFAI Comisión de Gobernación C. Diputados. Ley Federal de Protección de Datos Personales, Gaceta: 23 de febrero de 2006 Dip. David Hernández Pérez (PRI) Comisión de Gobernación de la Cámara de Diputados. Ley Federal de Protección de Datos Personales, Gaceta: 1º de diciembre de 2005 Dip. Jesús Martínez Álvarez (CONVERGENCIA) Instituto Federal de Protección de Datos Personales. Comisión de Gobernación de la Cámara de Diputados, actualmente en proceso de dictaminación. Ley Federal de Protección de Datos Personales, Gaceta de la Cámara de Senadores: 30 de abril de 2002 Sen. Antonio García Torres La Comisión de Gobernación de la Cámara de Diputados emitió dictamen negativo, el cual fue aprobado el 14 de diciembre de 2005. Ley Federal de Protección de Datos Personales, Gaceta: 7 de septiembre de 2001 Dip. Miguel Barbosa Huerta (PRD) Registro Nal. de Protección de Datos integrado al INEGI Comisiones Unidas de Gobernación y Seguridad Pública de la Cámara de Diputados.

ANTECEDENTES LEGISLATIVOS Con fecha 4 de noviembre de 2008, Luis Gustavo Parra Noriega, Diputado Federal integrante del Grupo Parlamentario del PAN, presentó iniciativa con proyecto de Decreto, por la que se expide la Ley de Protección de Datos Personales en Posesión de Particulares: Se establece como autoridad administrativa en la materia, la Comisión Nacional de Protección de Datos Personales con la naturaleza jurídica de un organismo descentralizado de la Administración Pública Federal, no sectorizado, dotado de personalidad jurídica y patrimonio propio; contando con plena autonomía técnica y de gestión, así como para dictar sus resoluciones.

ANTECEDENTES LEGISLATIVOS El 3 de marzo de 2009, la Comisión de Presupuesto y Cuenta Pública, emitió opinión del impacto presupuestario de la iniciativa, considerando que la misma genera un impacto presupuestario en razón de que se propone la creación de un organismo descentralizado de la Administración Pública Federal llamado “Comisión Nacional de Protección de Datos Personales”. En la iniciativa se contempla la creación de una estructura orgánica integrada por cuatro comisionados, un comisionado presidente, una secretaría ejecutiva, una secretaría técnica del pleno, una secretaría de acuerdos y el titular del órgano interno de control por lo que la Comisión mencionada, con base a en la valoración realizada por el Centro de Estudios de las Finanzas Públicas de la Cámara de Diputados, concluye que sí implica un impacto presupuestario aproximado para el primer año de 261.8 millones de pesos.

ANTECEDENTES LEGISLATIVOS Con fecha 11 de diciembre del año 2008, el Diputado Federal Adolfo Mota Hernández, integrante del Grupo Parlamentario del Partido Revolucionario Institucional (PRI), presentó iniciativa con proyecto de Decreto, por la que se expide la Ley Federal de Protección de Datos Personales. La Iniciativa de Dip. Mota, desde su construcción, buscó establecerse dentro de lo que se ha denominado el modelo híbrido de regulación de los datos personales. La iniciativa determinó la existencia de una Autoridad central que sea responsable del cumplimiento de la ley y que pueda establecer sanciones en la esfera administrativa. Esta autoridad estaría particularmente enfocada al cumplimiento de las obligaciones y Derechos ARCO.

ANTECEDENTES LEGISLATIVOS También en el diseño de la autoridad, se reconoce que en los tiempos actuales la creación de organizaciones, si bien necesarias para el cumplimiento de la ley, deben buscar minimizar los costos del Estado. Por ello se buscó establecer la responsabilidad en un ente especializado, pero dependiente de una secretaría de Estado del Ejecutivo.  La elección de la Secretaría de Economía (SE) para que de ella se desprenda la autoridad reguladora no es fortuita. La SE tiene entre sus atribuciones y órganos desconcentrados o especializados la protección de otros derechos como el del consumidor por medio de la Procuraduría Federal del Consumidor (Profeco) o el de la protección de la propiedad industrial por medio del Instituto Mexicano de la Propiedad Industrial (IMPI). Se ha considerado que esta vocación de la SE de asegurar los derechos de los particulares y al mismo tiempo considerar las necesidades de la actividad industrial y comercial aseguraría el balance necesario entre la protección de los particulares y la necesidad del mercado de utilizar los datos para su operación comercial.  

DECISIÓN FINAL: IFAI Razones en Dictamen Ahorro de costos adicionales. Se evitarían gastos e inversiones importantes que sobrevendrían con la creación de una nueva autoridad en materia de protección de datos personales. En su lugar, con una economía importante, se destinarían los recursos humanos, financieros y materiales estrictamente necesarios para adecuar la estructura del IFAI, de modo que se adapte para ejercer nuevas atribuciones en el ámbito del sector privado. Cálculo de la Comisión de Presupuesto y Cuenta Pública (261.8 millones de pesos). Pero no solo por razones de costos de creación institucional resulta conveniente que el IFAI asuma la aplicación e interpretación de esta nueva pieza legislativa. En México, el IFAI está a cargo de la protección de datos en la Administración Pública Federal. La legislación mexicana reconoce el acceso y la protección de datos personales a través de derechos y principios reconocidos internacionalmente.

PRESUPUESTO IFAI 2012 Total: $479, 382, 497.00, que se distribuyó de la siguiente forma: Protección de datos personales: $199,381,030.00 Acceso a la información: $246,191,458.00 Servicios personales de administración y Órgano Interno de Control: $33,810,009.00

PRESUPUESTO IFAI Por el tema de Datos Personales, hubo un incremento real de 70.8% en el presupuesto aprobado al Instituto en el 2011 y de 1.7% en el 2012, por la creación de 197 plazas adicionales de estructura para apoyar las actividades relacionadas con la protección de datos. El presupuesto del IFAI en el ejercicio fiscal 2013, ascendió a los 518 millones 979 mil pesos, monto superior en un 14.9% respecto al Proyecto de Presupuesto de Egresos de la Federación 2012. De acuerdo con el Proyecto de Presupuesto de Egresos 2014, se tienen contemplados 607 millones 689 mil 543 pesos para IFAI.

Razones…IFAI 2. Unicidad de criterio. Se evitarían conflictos potenciales entre los criterios de apertura de información y la protección de datos personales. Esto es importante para garantizar al ciudadano seguridad y certeza jurídicas en cuanto al alcance de dos derechos reconocidos constitucionalmente. En México se podrían dar casos donde el IFAI garantice la publicidad del nombre de personas que reciben recursos públicos, mientras que el órgano encargado de la protección de datos personales considere que esa información es confidencial. Lo anterior representaría un retroceso en el terreno hasta ahora ganado por el derecho a saber y el principio de máxima publicidad en los actos de gobierno. Asimismo, podrían presentarse asimetrías en el grado de observancia de los principios de protección de datos personales exigidos a los responsables de sistemas de datos en posesión del Estado, de aquellos en posesión de los particulares. Los problemas de unicidad de criterio se reflejan en el caso francés y portugués.

Razones…IFAI 3. Curva de aprendizaje. En el caso del IFAI se aprovecharía la acumulación de conocimiento y especialización en materia de datos personales, incluida la implementación de regulación secundaria –lineamientos y recomendaciones-, solución de controversias para la tutela de derechos de acceso y rectificación, así como los que sobrevendrían de cancelación y oposición (derechos ARCO). Supervisión del cumplimiento regulatorio, verificaciones, promoción de la cultura y capacitación en la sociedad, las relaciones institucionales nacionales e internacionales, la membresía de grupos de trabajo ad-hoc, organizaciones internacionales, y la participación en foros especializados.

Razones…IFAI 4. Autonomía Tal y como se pretendía en ambas iniciativas, para efectos de la creación de un nuevo organismo, el IFAI reunía las características de un organismo descentralizado no sectorizado de la Administración Pública Federal con autonomía técnica y de gestión, así como con personalidad jurídica y patrimonio propios. Es reconocido como un órgano especializado e imparcial con una clara autonomía presupuestaria, operativa y de decisión en ese respecto; su órgano máximo de decisión está integrado de manera colegiada -lo que se recomienda en este tipo de instituciones- y es la autoridad suprema tanto para efectos sustantivos –pleno- como administrativos -órgano de gobierno-, sin injerencia de una Junta de Gobierno integrada por representantes de otras instancias dependientes del Ejecutivo Federal.

Razones…IFAI 5. Posicionamiento del tema en el entorno político y social. El IFAI y contaba con un grado de conocimiento del público superior al 54% de la población en pocos años de operación. Con respecto a la percepción ciudadana sobre la confianza y la calificación en sus instituciones públicas, el IFAI, a pesar de su corta vida, ocupa un lugar comparable al del IFE y superior a la CNDH y la SEP. Adicionalmente, se destacó que en los mismos años, el IFAI logró que el grado de conocimiento de la Ley de Transparencia avanzara de un 22% a un 66% de la población. Finalmente, buena parte de la población percibe al IFAI como el garante y promotor de los derechos fundamentales de acceso a la información y de protección de los datos personales en la Administración Pública Federal –Vg. expedientes médicos-, por lo que no sería problema orientar esa percepción en materia de protección de la privacidad en los entes privados.

Estructura del IFAI para la protección de datos personales. Secretaría de Protección de Datos Personales Normatividad y Estudios Autorregulación Sustanciación y sanción Verificación

Actividades desarrolladas en 2013 por el IFAI en materia de PDP. Proceso de reestructura del Instituto y capacitación a los servidores públicos. Apoyo en la elaboración del Aviso de Privacidad de las empresas. Difusión del derecho y la cultura de protección de datos personales. Sanción a Empresas y Particulares de manera más decidida.($33, 400,000.00 pesos durante el año pasado)

Características Órganos Autónomos De acuerdo con la SCJN los órganos constitucionales autónomos, tienen las siguientes características: Surgen bajo una idea de equilibrio constitucional basada en los controles de poder.   Son una evolución de la teoría tradicional de la división de poderes dejándose de concebir la organización del Estado derivada de los tres tradicionales (Ejecutivo, Legislativo y Judicial). Son parte de la distribución de funciones o competencias, para hacer más eficaz el desarrollo de las actividades del Estado.

Características Órganos Autónomos Se les dota de garantías de actuación e independencia en su estructura orgánica, para que alcancen los fines para los que fueron creados. Se constituyen para ejercer una función propia del Estado que por su especialización e importancia social requería autonomía de los clásicos poderes del Estado.   Su creación no altera o destruye la teoría tradicional de la división de poderes. Que tengan autonomía e independencia no significa que no formen parte del Estado mexicano. Su misión principal es atender necesidades torales tanto del Estado como de la sociedad en general. Se encuentran a la par de los órganos tradicionales.

CARACTERÍSTICAS DEL ORGANO GARANTE La especialización supone que el órgano tenga como única función la materia del derecho de acceso a la información y la protección de los datos personales. La independencia. Es un mandato claro que busca asegurar la imparcialidad de sus decisiones e impedir la subordinación –jurídica, orgánica o política– a cualquier otra autoridad en el ámbito de su competencia. Tres autonomías: operativa, de gestión y de decisión. Integración colegiada, porque un diseño colegiado permite una mejor toma de decisiones, animada por un debate entre los integrantes, y permite resistir de manera más efectiva las ineludibles presiones políticas a las que se ven sujetos estos órganos. Cuaderno 17 , Sergio López Aylón, IFAI

FUNCIONES DE LOS ÓRGANOS GARANTES La regulatoria, relacionada con la expedición de los criterios o lineamientos que reglamentan los diversos aspectos técnicos de su ejercicio (por ejemplo, los criterios de clasificación de información o los lineamientos para el archivo de documentos). La de supervisar el cabal cumplimiento de las leyes de acceso a la información por parte de los sujetos obligados. La de promoción del ejercicio del derecho de acceso a la información. La de proteger y promover la protección de datos personales. La de sanción, cuando se les otorgan facultades para sancionar a los servidores públicos que desobedezcan la ley.

CONCLUSIONES La legislación en materia de protección de datos personales en nuestro país se encuentra en una etapa de construcción, aún y cuando ya se cuenta con regulación constitucional y legal en el tema, la aplicación de la ley no es tarea fácil para la autoridad. La tarea que tiene encomendada el IFAI está llena de desafíos, su nuevo diseño institucional y como autoridad encargada de la protección de datos, la obliga a mantener un equilibrio entre dos derechos fundamentales: el de acceso a la información y el de protección de datos. Transitorio Séptimo…En tanto se determina la instancia responsable encargada de atender los temas en materia de protección de datos personales en posesión de particulares, el organismo garante que establece el artículo 6o. de esta Constitución ejercerá las atribuciones correspondientes.

CONCLUSIONES Es necesario reflexionar ¿qué conviene hacer? ¿Quitar las facultades al IFAI completas? O sólo de PDP en posesión de Particulares y crear una nueva autoridad o… Dejar esas responsabilidades completas al IFAI en el contexto de los nuevos retos que tiene. Si se quitarán las facultades al IFAI se necesitaría un perfil institucional similar, es decir con las características propias de un órgano garante auténtico, lo que implica un nuevo órgano autónomo constitucional ¿Dispersión del poder público? ¿Signo actual de la democracia? ¿Costos? Mientras no se consolide la nueva etapa del IFAI sería conveniente que mantenga las facultades de protección de Datos Personales en posesión de Entes Públicos y Privados con mayor fortaleza y énfasis en el tema.

Seminario conmemorativo del Día Internacional de la Protección de Datos Personales “La Protección de Datos Personales y las reformas constitucionales” Diseño normativo del Órgano Garante en materia de protección de datos personales y esquemas de coordinación. Luis Gustavo Parra Noriega @lgparranoriega