La protección de los datos personales en posesión del Sector Público y Privado Mtro. Oscar M. Guerra Ford 29 de enero de 2014

Presentación Con el avance de las tecnologías de información, la protección de los datos personales en México se ha vuelto indispensable para salvaguardar la integridad, intimidad y la vida privada de las personas. La presión de la sociedad ha logrado la voluntad política para establecer la normatividad que garantice la protección de datos de carácter personal en posesión de los particulares y de las instituciones públicas. Este tipo de datos está categorizado como de acceso restringido en la modalidad de información confidencial. La reforma en materia de transparencia y acceso a la información exime al IFAI de la responsabilidad de garantizar la protección de datos personales en posesión de particulares, y determina la creación de un nuevo organismo para llevar a cabo dicha tarea; esta medida implicará cambios institucionales y en la normatividad.

Otros Sujetos obligados Órganos garantes de las entidades federativas Introducción Actualmente… Nivel federal Protección de datos en poder de las instituciones públicas del Poder Ejecutivo Federal. Protección de datos personales en posesión de los particulares. Otros Sujetos obligados Protección de los datos personales que poseen. Órganos garantes de las entidades federativas Protección de datos personales en posesión del Sector Público.

Introducción Próximamente: Reforma constitucional 2014 Órganos garantes de las entidades federativas Nuevo organismo Protección de datos en poder del Sector Público Protección de datos en poder de los particulares Nueva Ley General en materia de protección de datos personales en posesión de las instituciones públicas Ley Federal de Protección de Datos Personales en Posesión de Particulares (corregida y actualizada)

Datos personales en posesión del Sector Público Legislaciones: Instituciones federales Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental Entidades federativas Campeche Chihuahua Colima Distrito Federal Durango Estado de México Guanajuato Puebla Oaxaca Tlaxcala Veracruz El resto de los estados 11 entidades expidieron su propia Ley de Protección de Datos Personales Apartado especial en la Ley de Transparencia y Acceso a la Información Pública

Sujetos obligados a las leyes de Protección de Datos Personales Entidad federativa Ejecutivo Legislativo Judicial Autónomos Municipios Partidos Políticos Otros - Federación SI NO 1 Aguascalientes 2 Baja California 3 Baja California Sur 4 Campeche 5 Chiapas 6 Chihuahua 7 Coahuila 8 Colima S/D 9 Distrito Federal 10 Durango 11 Estado de México 12 Guanajuato 13 Guerrero 14 Hidalgo 15 Jalisco 16 Michoacán 17 Morelos 18 Nayarit 19 Nuevo León 20 Oaxaca 21 Puebla 22 Querétaro 23 Quintana Roo 24 San Luis Potosí 25 Sinaloa 26 Sonora 27 Tabasco 28 Tamaulipas 29 Tlaxcala 30 Veracruz 31 Yucatán 32 Zacatecas Total afirmativas 33 Sujetos obligados a las leyes de Protección de Datos Personales

Principios considerados en la normatividad Entidad federativa Licitud Lealtad Consenti- miento Informa-ción Calidad Finalidad Proporcio-nalidad Responsa-bilidad Confiden-cialidad Seguridad Tempora-lidad Disponi-bilidad Otros - Federación NO SI 1 Aguascalientes 2 Baja California 3 Baja California Sur 4 Campeche 5 Chiapas 6 Chihuahua 7 Coahuila 8 Colima 9 Distrito Federal 10 Durango 11 Estado de México 12 Guanajuato 13 Guerrero 14 Hidalgo 15 Jalisco 16 Michoacán 17 Morelos 18 Nayarit 19 Nuevo León 20 Oaxaca 21 Puebla 22 Querétaro 23 Quintana Roo 24 San Luis Potosí 25 Sinaloa 26 Sonora 27 Tabasco 28 Tamaulipas 29 Tlaxcala 30 Veracruz 31 Yucatán 32 Zacatecas Total afirmativas

Reconocimiento de los derechos ARCO Entidad federativa Acceso Rectificación Cancelación Oposición - Federación SI NO 1 Aguascalientes 2 Baja California 3 Baja California Sur 4 Campeche 5 Chiapas 6 Chihuahua 7 Coahuila 8 Colima 9 Distrito Federal 10 Durango 11 Estado de México 12 Guanajuato 13 Guerrero 14 Hidalgo 15 Jalisco 16 Michoacán 17 Morelos 18 Nayarit 19 Nuevo León 20 Oaxaca 21 Puebla 22 Querétaro 23 Quintana Roo 24 San Luis Potosí 25 Sinaloa 26 Sonora 27 Tabasco 28 Tamaulipas 29 Tlaxcala 30 Veracruz 31 Yucatán 32 Zacatecas Total afirmativas Reconocimiento de los derechos ARCO

Autonomía de los órganos garantes Entidad federativa Pertenece al Ejecutivo Es órgano autónomo Tipos de autonomía determinados por la Ley Operación Gestión Decisión Presupuestaria - Federación SI NO 1 Aguascalientes 2 Baja California 3 Baja California Sur 4 Campeche 5 Chiapas 6 Chihuahua 7 Coahuila 8 Colima 9 Distrito Federal 10 Durango 11 Estado de México 12 Guanajuato 13 Guerrero 14 Hidalgo 15 Jalisco 16 Michoacán 17 Morelos 18 Nayarit 19 Nuevo León 20 Oaxaca 21 Puebla 22 Querétaro 23 Quintana Roo 24 San Luis Potosí 25 Sinaloa 26 Sonora 27 Tabasco 28 Tamaulipas 29 Tlaxcala 30 Veracruz 31 Yucatán 32 Zacatecas Total afirmativas Autonomía de los órganos garantes

Atribuciones de los órganos garantes Entidad Federativa Genéricas Sancionar Multar Denunciar Emitir Vista OIC Promover la PDP Emitir normati-vidad Resolver denuncias Manifestaciones de impacto a la privacidad Inspección / Verificación Evaluar Requerir informes Capacitar Otras - Federación SI NO 1 Aguascalientes 2 Baja California 3 Baja California Sur 4 Campeche 5 Chiapas 6 Chihuahua 7 Coahuila 8 Colima 9 Distrito Federal 10 Durango 11 Estado de México 12 Guanajuato 13 Guerrero 14 Hidalgo 15 Jalisco 16 Michoacán 17 Morelos 18 Nayarit 19 Nuevo León 20 Oaxaca 21 Puebla   22 Querétaro 23 Quintana Roo 24 San Luis Potosí 25 Sinaloa 26 Sonora 27 Tabasco 28 Tamaulipas 29 Tlaxcala 30 Veracruz 31 Yucatán 32 Zacatecas Total afirmativas

Experiencias Internacionales Agencia Española de Protección de Datos España Organismos públicos Agencia Española de Protección de Datos Ley Orgánica de Protección de Datos Organismos privados Ente de Derecho Público con personalidad jurídica propia y plena capacidad pública y privada. Actúa con independencia de las Administraciones Públicas en el ejercicio de sus funciones. Consejo Consultivo Director Unidad de apoyo SG Inspección de datos SG Reg. Gral. De PD Secretaría General Relaciones Internacionales

Experiencias Internacionales Francia Ley de Informática y Libertades (Ley francesa de protección de datos de carácter personal) Sector Público Comisión Nacional de Informática y Libertades Sector Privado Es una autoridad administrativa independiente y no recibe instrucciones de ninguna institución gubernamental. La Comisión se encarga de aplicar la ley del 6 del enero de 1978, modificada por la ley del 6 de agosto de 2004, relativa a la informática, los ficheros y las libertades. Su misión general es la de velar para que la informática esté al servicio del ciudadano y no vulnere la identidad humana, ni los derechos humanos, la intimidad o las libertades individuales o públicas. Es un órgano colegiado pluralista, con 17 integrantes: 2 diputados, 2 senadores, 2 miembros del Consejo Económico y Social, 6 representantes de órganos jurisdiccionales superiores, y 5 personas nombradas por el Consejo de Ministros (3), por el presidente de la Asamblea Nacional (1) y por el Presidente del Senado (1).

Experiencias Internacionales Oficina del Comisionado de Información Reino Unido Sector Público Ley de Protección de Datos Personales de 1998 Oficina del Comisionado de Información Sector Privado Autoridad pública independiente del Reino Unido creada para defender los derechos de información y proteger los datos de carácter personal en Inglaterra, Escocia, Gales e Irlanda del Norte. Comisionado y jefe ejecutivo Diputado comisionado y Dir. Libertad de información Diputado comisionado y Dir. de datos personales Director de servicios corporativos Director de operaciones

Experiencias Internacionales Canadá Comisión de Protección de Datos Personales de Canadá Sector Público Ley de Privacidad Sector Privado Estructura La Comisión tiene como propósito proteger y promover el derecho a la privacidad de los individuos. Trabaja en forma independiente de cualquier otra parte del gobierno, para investigar las quejas de las personas con respecto al sector público federal y el sector privado. Parlamento Comisión de PDP Canadá La Comisión es una oficina del Parlamento, que depende directamente de la Cámara de los Comunes y el Senado. Está dirigida por un Comisionado.

Experiencias Internacionales Argentina Ley 25.326 Protección de Datos Personales; Ley 26.343 (modificación a la Ley 25.326) Dirección Nacional de Protección de Datos Personales Sector Público Sector Privado Estructura Órgano de control creado en el ámbito Nacional, para la efectiva protección de los datos personales. Cuenta con autonomía funcional y actúa como órgano descentralizado en el ámbito del Ministerio de Justicia y Derechos Humanos de la Nación. Tiene a su cargo el Registro de las Bases de Datos, instrumento organizado a fin de conocer y controlar las bases de datos. Ministerio de Justicia y Derechos Humanos DN de Protección DP Reg. Nal de Bases de Datos

Experiencias Internacionales Uruguay Ley 18.331 Ley de Protección de Datos Personales y Acción “Habeas Data” Unidad Reguladora y de Control de Datos Personales (URCDP) Sector Público Sector Privado Estructura Órgano desconcentrado de la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC). AGESIC Consejo Consultivo URCDP Cuenta con autonomía técnica. Está dirigido por un Consejo integrado por tres personas: el Director Ejecutivo y dos miembros designados por el Poder Ejecutivo. Es asistido por un Consejo Consultivo, integrado por 5 personas: un ciudadano, un representante del poder Judicial, uno del Ministerio Público, uno del área académica y uno del Sector Privado.

Datos personales en posesión de particulares Organismo descentralizado Sectorizado Secretaría de Economía Relación Organismo descentralizado especializado en la protección de datos personales en posesión de los particulares, con autonomía técnica, de gestión y operación Sector Privado Competencia nacional

Datos personales en posesión de particulares Organismo unipersonal DOS Consejos consultivos 1. Ciudadano Integrado por ciudadanos expertos en el tema, pero ajenos al gobierno 2. Interinstitucional Instituciones relacionadas con la protección de datos PROFECO CONDUCEF INFOTEL CNBV Representantes empresariales: Bancos Médicos Cámaras de la industria y el comercio Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) Reglamentos para la aplicación de la LFPDPPP El nuevo organismo contaría con una Secretaría General. Además, el personal del IFAI asignado a la protección de datos en posesión de particulares se transferiría a este organismo.

Funciones del organismo descentralizado* I. Vigilar y verificar el cumplimiento de las disposiciones contenidas en la LPDPPP, en el ámbito de su competencia, con las excepciones previstas por la legislación; II. Interpretar en el ámbito administrativo la LPDPPP; III. Proporcionar apoyo técnico a los responsables que lo soliciten, para el cumplimiento de las obligaciones establecidas en la LPDPPP; IV. Emitir los criterios y recomendaciones, de conformidad con las disposiciones aplicables de la LPDPPP, para efectos de su funcionamiento y operación; V. Divulgar estándares y mejores prácticas internacionales en materia de seguridad de la información, en atención a la naturaleza de los datos; las finalidades del tratamiento, y las capacidades técnicas y económicas del responsable; VI. Conocer y resolver los procedimientos de protección de derechos y de verificación señalados en la LPDPPP e imponer las sanciones según corresponda; * Funciones tomadas de la LFPDPPP

Funciones del organismo descentralizado* VII. Cooperar con otras autoridades de supervisión y organismos nacionales e internacionales, a efecto de coadyuvar en materia de protección de datos; VIII. Rendir al Congreso de la Unión un informe anual de sus actividades; IX. Acudir a foros internacionales en el ámbito de la LPDPPP; X. Elaborar estudios de impacto sobre la privacidad previos a la puesta en práctica de una nueva modalidad de tratamiento de datos personales o a la realización de modificaciones sustanciales en tratamientos ya existentes; XI. Desarrollar, fomentar y difundir análisis, estudios e investigaciones en materia de protección de datos personales en Posesión de los Particulares y brindar capacitación a los sujetos obligados, y XII. Las demás que le confieran la LPDPPP y demás ordenamientos aplicables. * Funciones tomadas de la LFPDPPP

Funciones de la Secretaría de Economía* I. Difundir el conocimiento respecto a la protección de datos personales en el ámbito comercial; Fomentar las buenas prácticas comerciales en materia de protección de datos personales; Emitir los lineamientos correspondientes para el contenido y alcances de los avisos de privacidad en coadyuvancia con el Instituto, a que se refiere la presente Ley; Emitir, en el ámbito de su competencia, las disposiciones administrativas de carácter general a que se refiere el artículo 40, en coadyuvancia con el Instituto; Fijar los parámetros necesarios para el correcto desarrollo de los mecanismos y medidas de autorregulación a que se refiere el artículo 44 de la presente Ley, incluido la promoción de Normas Mexicanas o Normas Oficiales Mexicanas, en coadyuvancia con el Instituto; * Funciones tomadas de la LFPDPPP

Funciones de la Secretaría de Economía* VI. Llevar a cabo los registros de consumidores en materia de datos personales y verificar su funcionamiento; VII. Celebrar convenios con cámaras de comercio, asociaciones y organismos empresariales en lo general, en materia de protección de datos personales; VIII. Diseñar e instrumentar políticas y coordinar la elaboración de estudios para la modernización y operación eficiente del comercio electrónico, así como para promover el desarrollo de la economía digital y las tecnologías de la información en materia de protección de datos personales; IX. Acudir a foros comerciales nacionales e internacionales en materia de protección de datos personales, o en aquellos eventos de naturaleza comercial, y X. Apoyar la realización de eventos, que contribuyan a la difusión de la protección de los datos personales. * Funciones tomadas de la LFPDPPP

Funciones de los consejos consultivos Establecer los lineamientos generales de actuación del organismo descentralizado garante de la protección de datos personales en posesión de particulares; Aprobar el Reglamento Interno del organismo; Aprobar las normas de carácter interno relacionadas con el organismo descentralizado; Opinar sobre el proyecto de informe anual del titular del organismo descentralizado; Solicitar al titular del organismo descentralizado información adicional sobre los asuntos que se encuentren en trámite o haya resuelto el citado organismo, y Conocer el informe del titular del mencionado organismo respecto al ejercicio presupuestal. La función específica de los organismos que conforman el Consejo Consultivo Interinstitucional será la de emitir su opinión técnica cuando se trate de un asunto relacionado con el sector económico que regula.

Consideraciones Resoluciones del órgano descentralizado: Las resoluciones y sanciones que emita el nuevo órgano descentralizado deberán ser recurridas ante una sala especializada del Poder Judicial de la Federación, y no ante el Tribunal Federal de Justicia Fiscal y Administrativa como se realiza hasta ahora.

Conclusiones Cuando se expiden leyes de protección de datos personales se establece la certeza jurídica para el tratamiento de estos datos. De esta manera, las personas puede ejercer otros derechos, como el de la salud, educación, trabajo, el derecho a la no discriminación, al honor, a la protección de la imagen, entre otros. En cambio, cuando no existen leyes sobre la materia, la falta de regulación crea incertidumbre y, finalmente, no se concretan acciones para garantizar de manera efectiva este derecho constitucional.