www.davara.com.mx

DAVARA ABOGADOS S.C.

La expresión protección de datos personales es confusa.

Los datos en sí mismos no necesitan protección.

Los datos, en cuanto asociados a una persona identificada o identifi-cable, se convierten en información personal.

La persona, el sujeto del derecho, es la que necesita protección.

Los datos personales son entonces cualquier información que se asocia a una persona (física en el caso de la legislación mexicana, no se refiere a personas morales –empresas o instituciones-), identifica-da o identificable.

Hoy en día el valor de los datos personales es innegable.

La persona física trasciende al ámbito virtual, en el más extenso sentido de la palabra.

Las tradicionales fronteras de espacio y tiempo se han visto superadas con el uso cotidiano de la tecnología.

Y la tecnología aplicada al tratamiento de la información personal conforma una identidad electrónica, un perfil de la persona, que ella misma desconoce, o, cuando menos, no controla.

Siempre ha habido tratamiento de datos personales. Pero, con las facilidades de tratamiento e intercone-xión proporcionadas por la informática, esto ha cambiado mucho. Así se ha dado lugar a un tratamiento ingente de información de la persona por medios y fuentes fuera de su control. La persona pierde poder sobre su información personal. Y la información personal es lo que acaba configurando a la persona.

Sin embargo, por otra parte, es el propio titular de los datos el que debería ser consciente, o al menos em-pezar a serlo, de su valor, y comenzar a actuar en consecuencia diligentemente respecto del tratamiento de su información personal, decidiendo cada uno personal y conscientemente qué tipo de cuidado y límites desea para su información personal identificable.

Este poder de decisión, que implica al mismo tiempo un control, constituye el núcleo esencial del derecho a la protección de datos.

A continuación vamos a analizar las implicaciones legales en México de este tratamiento de datos personales, centrándonos especialmente en la regulación en el Sector Privado, y men-cionando brevemente la cuestión en el Sector Público.

La protección de datos personales

2010

1. Para el Sector Privado la normativa a tener en cuenta es:

a. Ley Federal de Protección de Datos Personales en Posesión de Particulares2. Para el Sector Público, la normativa a nivel federal es fundamentalmente:

a. Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (DOF 11/6/2002).b. Reglamento de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (DOF 11/

6/2003)..c. Lineamientos de Protección de Datos Personales (DOF 3/9/2005).d. Recomendaciones del IFAI de Seguridad para la Protección de Datos Personales.

www.davara.com.mx

DAVARA ABOGADOS S.C.

EL DERECHO A LA AUTODETERMINACIÓN INFORMATIVALa conocida sentencia de 1983 del Tribunal Constitucional Federal Alemán, que provocó que se decla-raran inconstitucionales algunos artículos de la Ley del Censo Alemana, se asienta el conocido “derecho a la autodeterminación informativa”.

Este derecho resume claramente en lo que consiste todo el desarrollo posterior de la normativa: el titular de los datos tiene derecho a decidir cómo y para qué se tratan sus datos.

Como vemos, el derecho gira en torno al titular, se protege al titular, no a los datos.

ANTECEDENTES INTERNACIONALES

• El artículo 12 de la Declaración Universal de los Derechos Humanos de 1948.• El artículo 8 del Convenio Europeo para la Protección de los Derechos y las Libertades

Fundamentales, de 1950.• El artículo 17 del Pacto Internacional de Derechos Civiles y Políticos, de 1966. • La Resolución 509 de la Asamblea del Consejo de Europa sobre derechos humanos y nuevos logros

científicos y técnicos de 1968.• El artículo 11 de la Convención Americana sobre derechos humanos de 1969. • Los ampliamente aceptados Fair Information Practice Principles [Información (Notice), Elección (Choice), Acceso (Access) y Seguridad (Security)] desarrollados por el Departamento de Sanidad, Educación y Bienestar de los Estados Unidos en 1973.

• Las Resoluciones del Comité de Ministros de Europa de 1973 y 1974.• El Convenio 108 del Consejo de Europa, para la protección de las personas con relación al

tratamiento automatizado de los datos de carácter personal y a la libre circulación de estos datos de 28 de enero de 1981.

• La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de Octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

• El mosaico de leyes federales y estatales que protegen ciertos sectores en Estados Unidos, además de la denominada “autorregulación industrial” .

• La Directiva 2002/58/CE en el sector de las comunicaciones electrónicas; modificada por las Directivas 2006/24/CE (retención de datos de comunicaciones-e) y 2009/136/CE.

• La Carta Europea de Derechos Fundamentales (artículo 8).• La polémica Constitución europea (artículo I-51 dedicado al derecho a la protección de datos

personales.Y, además de estas referencias normativas, existen muchos y muy diferentes esfuerzos de distintas organizaciones internacionales. Reconoceremos aquí los siguientes:• Las “Directrices relativas a la protección de la privacidad y flujos transfronterizos de datos

personales” de la Cooperación y el Desarrollo Económicos (OCDE) de 1980.• La Resolución 45/95 de la Asamblea General de la Organización de las Naciones Unidas de 1990. • El Marco de Privacidad de la Asociación para la cooperación económica Asia-Pacífico (APEC). • El Reglamento de la Red Iberoamericana de Protección de Datos de Mayo de 2008. • La Resolución de Madrid, adoptada el 5 de noviembre de 2009.

2010

www.davara.com.mx

DAVARA ABOGADOS S.C.

ALGUNAS CUESTIONES PRELIMINARES (1)1. RECONOCIMIENTO

CONSTITUCIONALLos legisladores han estado sumamente activos en este campo los últimos años. Así, en 2007 se publicó la reforma al artículo 6 de la Constitución y, el 1 de junio de 2009 se publicó una reforma al artículo 16 de la Constitución que incorpora un párrafo especí-ficamente destinado a la protección de datos perso-nales. Finalmente, el 30 de abril de 2009 se reformó el 73 de la Constitución atribuyendo al Congreso Fe-deral el poder para legislar en materia de datos per-sonales en posesión de los particulares.

2. PASOS PARLAMENTARIOSEsta ley ha pasado por un camino azaroso y tortuoso de iniciativas. Sin ir más lejos, tan sólo el Dictamen presentado en el Congreso de Diputados por la Co-misión de Gobernación de dicha Cámara se basaba en el análisis de las iniciativas presentadas por los Diputados David Hernández Pérez del PRI (23 de febrero de 2006); Sheyla Fabiola Aragón Cortés del PAN (22 de marzo de 2006); Luis Gustavo Parra No-riega del PAN (4 de noviembre de 2008) y Adolfo Mota Hernández del PRI (11 de diciembre de 2008), además de citar algunas otras que se desecharon por no procedentes en cuanto a su objeto (incluían al Sector Público).

3. ESTRUCTURA DE LA NORMATIVALa normativa se estructura en principios, derechos y procedimientos. Los principios, a modo de declara-ciones programáticas, establecen los pilares en los que se basa la protección de datos personales. Los derechos, por su parte, representan la concreción subjetiva de ejercicio de esos principios, es decir, cómo el titular de los datos de carácter personal puede ejercer unos derechos que concretan los prin-cipios teóricos en los que se basa toda la normativa. Los procedimientos, finalmente, cerrando este trián-gulo ficticio, concretan la tutela pública a la que el individuo puede recurrir cuando se ve lesionado en el ejercicio de esos derechos como consecuencia de esos principios. Se trata, en concreto, de los proce-dimientos de protección de derechos y del procedi-miento sancionador o de imposición de sanciones. Además, cabe apuntar el procedimiento de verifica-ción.

4. ÁMBITO DE APLICACIÓNLa Ley es de orden público y de observancia general en toda la República. No hay que olvidar que la ley es

consecuencia directa del mandato constitucional que introdujo en su artículo 16, reformado el 1 de junio de 2009, por fin, un párrafo específicamente desti-nado a la protección de datos personales. Por tanto, la Ley dejará sin efecto cualesquiera leyes estatales aprobadas en la materia (Colima, Jalisco y Tlaxcala).

5. OBJETO DE LA LEYLa protección de los datos personales en posesión de particulares, con la finalidad de regular su tratamien-to legítimo, controlado e informado, a efecto de ga-rantizar la privacidad y el derecho a la autodetermi-nación informativa de las personas.

6. SUJETOS OBLIGADOSComo novedad en Derecho comparado, la ley excep-ciona de su ámbito de aplicación subjetivo, a las So-ciedades de Información Crediticia. Es decir, los fa-mosos “burós de crédito” no están dentro de esta regulación. Si bien a nivel internacional estas organi-zaciones suelen contar con un régimen especial den-tro de la regulación, no es tan usual que estén excep-cionadas, aunque es cierto que cuentan con algunas consideraciones al respecto dentro de su propia re-gulación.Del mismo modo, las personas que lleven a cabo la recolección y almacenamiento de datos personales para uso exclusivamente personal y sin fines de di-vulgación o utilización comercial tampoco se en-cuentran dentro del ámbito de aplicación de la ley. Aunque en algunos casos la frontera será complicada de determinar, lo que persigue la regulación es que las “agendas” personales no estén sujetas salvo que, obviamente, sean utilizadas más allá de lo estricta-mente personal.

7. LÍMITES DE APLICACIÓNLas excepciones más fuertes a la aplicación de la normativa, que tendrá necesariamente que tener un amplio y diverso desarrollo reglamentario (en con-creto el Reglamento, según los Transitorios tendrá que estar un año después de la entrada en vigor, es decir, más o menos sobre mayo de 2011), serán la se-guridad nacional, orden, seguridad y salud públicos y, evidentemente, otros derechos de terceros en con-flicto.

2010

www.davara.com.mx

DAVARA ABOGADOS S.C.

ALGUNAS CUESTIONES PRELIMINARES (2)8. FASES DEL TRATAMIENTOEn el tratamiento de datos de carácter personal podemos distinguir tres fases claramente diferen-ciadas: la obtención de los datos, el tratamiento de los mismos, y la utilización del resultado del trata-miento, y, en su caso, transferencia de datos a un tercero, nacional o internacional. En cada una de esas fases tenemos que atender al respeto de todos los principios y derechos prescritos en la normati-va. De esta manera, si no se cumple con alguno, el tratamiento se convierte inmediatamente en ilícito.

9. ¿QUÉ TIPO DE DERECHO ES?Es un derecho fundamental, es decir, pertenece a los derechos consustanciales a la personalidad, no se puede prescindir de él. Bien es cierto que es un derecho de tercera genera-ción, que surge conforme se van desarrollando las sociedades democráticas, y ya se han cubierto otros derechos más primarios.Es un derecho colectivo, que afecta a todos, y por el que cada uno de nosotros, titulares de datos, te-nemos que luchar, pero, a la vez, podemos deman-dar protección del Estado.

10. INTIMIDAD vs PRIVACIDADEl derecho a la intimidad es un derecho ya asenta-do históricamente. La intimidad es algo que el suje-to de la misma controla en grado suficiente. Cada quien define qué es íntimo para él mismo (además de los mínimos establecidos en las leyes), y, además, cuando se vulnera puede saberlo con bastante exac-titud.Sin embargo, el derecho del que estamos hablando aquí es diferente. Hablamos de la protección de este perfil que se crea utilizando estas nuevas téc-nicas. Este perfil que el ciudadano incluso llega a no conocer, pero, sobre todo, que no controla.El derecho a la intimidad pasa así de una concep-ción cerrada y estática (libertad negativa) a una abierta y dinámica (libertad positiva), que implica el reconocimiento no sólo de un derecho sino de nuevos mecanismos de protección basados en el poder de control del tratamiento de los datos per-sonales.No se trata ya del derecho a ser dejado solo (“the right to be let alone”), sino del derecho a saber quién, cuándo y para qué un tercero trata los datos per-sonales de los que el interesado es titular.

La privacidad conlleva el poder de controlar la in-formación personal, y, en concreto, el flujo de la misma. Podemos afirmar, por tanto, que privacidad es un término que se utiliza para referirnos al perfil que se puede obtener de una persona con el tratamien-to de sus datos personales y que el individuo tiene derecho a exigir que permanezca en su esfera in-terna.

11. ¿QUÉ ES UN DATO PERSONAL?La definición de datos personales

del artículo 3 de la LFPDP cambia la dada por la regulación

federal de la Ley del IFAI, y asimismo se señala que

é s ta deberá se r reformada, para pasar a quedar únicamente como “c u a l q u i e r

información concerniente a una persona identificada o

identificable”.Se trata de una definición amplia, pero tampoco es un concepto ilimitado.

-“La información”: existen una serie de datos personales que todo el mundo identifica como tales, pero queda un gran espectro de información personal sobre la que no se tiene demasiado interés a menudo y que ni tan siquiera se considera como propia. -Persona física: en la normativa mexicana sólo tiene sentido la protección de datos sobre los datos de las personas físicas. Acerca de la información sobre personas morales hablaríamos de otras protecciones jurídicas, pero no de aplicación de la normativa en protección de datos personales..-Identificada o identificable: Incluso cuando esa persona física sólo pueda ser identificable, es decir, aunque no la tengamos identificada actualmente, su información personal sigue siendo protegible.

En conclusión, cualquier información, en cuanto asociada a un titular, es información personal, no por la información en sí, sino por su asociación con la persona física a la que se protege. Así, no se puede hablar de datos personales en sentido neutro, sino que tan sólo adquieren este carácter en cuanto se asocian a un titular.

2010

www.davara.com.mx

DAVARA ABOGADOS S.C.

ALGUNAS CUESTIONES PRELIMINARES (3)12. DATOS SENSIBLESTambién se definen los datos personales sensi-bles como “Aquellos datos personales que afec-ten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discri-minación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, in-formación genética, creencias religiosas, filo-sóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual”. A este respecto hubo mucha discusión parlamentaria, ya que la definición de un dato como sensible tiene im-portantes consecuencias, como la exigencia de consentimiento expreso o la inmediata eleva-ción de las sanciones cometidas sobre un dato de estas características. La primera parte, en nuestra opinión demasia-do abierta, hay que unirla a lo establecido al respecto en la llamada Resolución de Madrid (www.agpd.es), relativa al establecimiento de un estándar internacional. Se añade además una categoría de datos, como los de informa-ción genética, que no había estado en todas las iniciativas. Tanto es así que en el Dictamen emitido por la Cámara de Diputados, al co-mentar el tema, en su último párrafo, se “olvi-dan” de incluirlo. En todo caso, no podrán crearse bases de datos con información que directa o indirectamente contenga datos personales sensibles, sin que se justifique la creación de dichas bases para fina-lidades legítimas y concretas.

13. TITULAR, RESPONSABLE, ENCARGADO Y TERCERO

Se distingue entre responsable del tratamiento, encargado y tercero. Así, se entiende por res-ponsable a la persona físi-ca o moral de carácter privado que decide sobre el tratamiento de datos personales; encargado a la persona física o jurídica que sola o conjuntamente con otras trate datos per-

sonales por cuenta del responsable; y tercero a la persona física o moral, nacional o extranjera, distinta del titular o del responsable de los da-tos.Esta distinción, que claramente sigue lo dis-puesto en la Directiva europea, supondrá una clara discusión en la práctica sobre los diferen-tes supuestos que pueden darse y las implica-ciones que tiene cada uno de ellos en cuanto al cumplimiento de la normativa sobre protec-ción de datos.

En definitiva:

1. Responsable: quien DECIDE sobre el tra-tamiento de los datos personales.

2. Encargado: el que realiza una prestación de servicios sobre los datos, un tratamiento, POR CUENTA del responsable

3. Tercero: cualquiera a quien se comuniquen datos, ya sea responsable o encargado.

14. EL AVISO DE PRIVACIDADEl aviso de privacidad es uno de los puntos más relevantes de la iniciativa, sobre todo a efectos prácticos. Se define como el documento físico, electrónico o en cualquier otro formato gene-rado por el responsable que es puesto a dispo-sición del titular previo el tratamiento de sus datos personales y que deberá contener: (i) identidad y domicilio del responsable que los recaba; (ii) finalidades del tratamiento; (iii) cualquier opción y medios que se ofrezcan a los titulares para limitar el uso o divulgación de los datos o ejercer derechos de acceso, rectifica-ción, cancelación u oposición y; (iv) procedi-miento y medio por el cual se comunicarán a los titulares cambios sustanciales al aviso de privacidad. El responsable deberá velar por mantener el aviso de privacidad actualizado y tomar las medidas necesarias y suficientes para garanti-zar que: (i) es dado a conocer al titular, y (ii) sea respetado en todo momento por él o por terceros con los que guarde alguna relación jurídica.

2010

www.davara.com.mx

DAVARA ABOGADOS S.C.

ALGUNAS CUESTIONES PRELIMINARES (4)15. OTRAS DEFINICIONES

RELEVANTESBases de datos: El conjunto ordenado de datos personales referentes a una persona identificada o identificable (art. 3, fracción II, de la LFPDP).Bloqueo: La identificación y conservación de da-tos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de estas. Durante dicho periodo, los datos personales no podrán ser objeto de trata-miento y transcurrido éste, se procederá a su cance-lación en la base de datos que corresponde (art. 3, fracción III, de la LFPDP).Disociación: El procedimiento mediante el cual los datos personales no pueden asociarse al titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo (art. 3, fracción VIII, de la LFPDP).Fuente de acceso público: Aquellas bases de da-tos cuya consulta puede ser realizada por cualquier persona, sin más requisito que, en su caso, el pago de una contraprestación, de conformidad con lo señalado por el Reglamento de esta Ley (art. 3, fracción X, de la LFPDP).Tratamiento: La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposi-ción de datos personales (art. 3, fracción XVIII, de la LFPDP).Transferencia: Toda comunicación de datos rea-lizada a persona distinta del responsable o encarga-do del tratamiento (art. 3, fracción XIX, de la LFPDP).

16. MEDIDAS DE SEGURIDADSe debe impedir el acceso a los sistemas de datos personales, en particular, y a los datos en general, a personas no autorizadas, para evitar el desvío de la

información, mal intencionadamente o no, hacia sitios no previstos, además de para garantizar el tratamiento de datos dentro de los límites permitidos por la norma y con respeto a los

derechos del afectado, asegurando la confidencialidad y la integridad de los datos personales y evitando su alteración, pérdida, transmisión y acceso no autorizado. El responsable debe asegurarse de que el tratamiento por terceros (nacional e internacionalmente) cumple la reglamentación. En particular, el responsable debe cuidar porque lo asegurado en el Aviso de Privacidad se respete, y en especial lo relativo a las medidas de seguridad, que nunca deben ser menores a las impuestas en la organización para el manejo de la información.

17. AUTORREGULACIÓNSe alienta la creación de esquemas de autorregula-ción como complemento a la legislación, y con ca-rácter vinculante entre las partes, en la forma de códigos deontológicos o de buena práctica profe-sional, sellos de confianza u otros mecanismos, que contendrán reglas o estándares específicos que permitan armonizar los tratamientos de datos efec-tuados por los adheridos y facilitar el ejercicio de los derechos de los titulares. Es importante que estos instrumentos definan claramente su meca-nismo de control, resarcimiento y ejercicio de de-rechos.

18. PLAZOS PARA EL DESARROLLO REGLAMENTARIO Y CUMPLIMIENTO DE ALGUNAS OBLIGACIONES

1. 12 meses (un año), para que:a. el Ejecutivo Federal

expida el Reglamento de la Ley y

b. los responsables del tratamiento: i. designen a la per-

sona o departa-mento de datos personales, y

ii. expidan sus avi-sos de privacidad.

2. 18 meses, para que los titulares puedan ejercer los derechos de acceso, rectificación, cancela-ción y oposición ante el responsable y el proce-dimiento de protección de datos ante el Insti-tuto.

2010

www.davara.com.mx

DAVARA ABOGADOS S.C.

OBLIGACIONES DE LOS RESPONSABLES (1)Los responsables del tratamiento tienen que cumplir y hacer cumplir las obligaciones establecidas en la Ley para garantizar un tratamiento lícito de los datos personales. A continuación, de manera breve pero concisa, se exponen las obligaciones a cumplir en el tratamiento de los datos personales y que vienen a concretar los principios de la protección de datos:

1.TRATAMIENTO LÍCITOEl principio de licitud prohibe la obtención de datos personales por medios ilícitos, enga-ñosos o fraudulentos. Partiendo inicialmente de la iniciativa propuesta por el Diputado Parra, se incluye en este principio la noción de la expectativa razonable de privacidad, que es la confianza que deposita cualquier persona respecto de que sus datos proporcionados serán tratados conforme a lo que acordaron las partes en los términos de la Ley.

2. CONSENTIMIENTOEl principio del consentimiento, que como se dice en la propia iniciativa constituye internacionalmente el principio de legitimidad del tratamiento, exige que el tratamiento de los datos requiera del consenti-miento previo de su titular (aunque en la mayor parte de los casos puede ser tácito), el cual podrá mani-festarse de forma verbal, escrita, a través de medios electrónicos, ópticos o de cualquier otra tecnología o a través de signos inequívocos (siempre que sea una manifestación de voluntad libre, inequívoca, específi-ca e informada). Dicho consentimiento podrá revocarse en cualquier momento sin que se le atribuyan efectos retroactivos. El responsable de los datos deberá establecer los mecanismos y los procedimientos de revocación en el aviso de privacidad. Como decíamos, en el caso de los datos sensibles, este con-sentimiento deberá ser expreso, eso sí, “a través de su firma autógrafa, firma electrónica o cualquier mecanismo de autenticación que al efecto se prevea”. Por último, no son pocas las excepciones al consentimiento: cuando la Ley lo prevea; los datos sean necesarios para el manteni-miento de la relación jurídica, de negocios, laboral o administrativa; tratamientos de prevención o diagnóstico médico o asistencia sanitaria; situaciones de emergencia que puedan dañar potencialmente la persona o los bienes de un individuo, etc.).

3.INFORMACIÓNEl principio de información es un derecho del titular que constituye simultáneamente

una obligación del responsable y un principio del tratamiento de los datos. Debe aplicarse a todos los tratamientos, independientemente de su fuente de procedencia, es decir, del propio titular o de terceros. El titular tiene derecho a conocer quién trata su información personal y qué se hace con ella, así cómo dónde y cómo puede ejercer sus derechos. Este principio se concreta a través del aviso de privacidad.

4. CALIDADEl principio de calidad se vincula a la veracidad y a la exactitud en la que se mantienen los datos personales de manera que el tratamiento refleje de forma fiel la realidad de la información tratada. Los responsables entonces deberán, de un lado, asegurarse de que en el momento de la obtención de la información sea exacta y actualizada, y, de otro, que adopten las “medidas razonables” para que la información responda a esa veracidad durante todo el tratamiento.

5. FINALIDADEl principio de finalidad establece que la obtención y tratamiento de los datos deberá estar

relacionada con la finalidad del tratamiento previsto en el aviso de privacidad. La finalidad, por lo tanto, debe ser explícita, legítima y determinada. Incluso, si los datos serán utilizados para otros fines que no sean incompatibles podrá realizarse dicho tratamiento si se prevé en dicho aviso. Sin embargo, si el responsable pretende tratar los datos para un nuevo fin incompatible a los fines establecidos en el aviso, deberá obtener nuevamente el consentimiento del titular.

2010

www.davara.com.mx

DAVARA ABOGADOS S.C.

OBLIGACIONES DE LOS RESPONSABLES (2)6.PROPORCIONALIDAD

El principio de proporcionalidad se encuentra directamente relacionado con el de finali-dad. Por un lado, sólo se pueden tratar los datos adecuados o necesarios para la finalidad que justifica el tratamiento (principio de proporcionalidad), por otra el responsable sólo debe tratar la mínima cantidad de información necesaria para conseguir la finalidad per-seguida (principio de minimización).

7.RESPONSABILIDADEl principio de responsabilidad se reconoce en el Dictamen de la Cámara de Diputados como “la aporta-ción central de esta dictaminadora”. Este principio implica que el responsable debe velar por el cumpli-miento de los principios y rendir cuentas al titular, a través del procedimiento incoado por el Ins-tituto, en caso de incumplimiento. El responsable debe asegurarse de que el tratamiento por terceros (nacional e internacionalmente), y en particular el encargado del tratamien-to, cumple la normativa sobre protección de datos. En particular, el responsable debe cuidar porque lo asegurado en el Aviso de Privacidad se respete. Es decir, lo indicado en el aviso es vinculante para el responsable y para aquellos con quienes contrata, ya sea medidas de confidencialidad que adopta, medidas de seguridad que aplica, o tratamiento de datos de menores, etc., de manera que si no cumple se le podrá exigir responsabilidad.

2010

CUMPLIMIENTO NORMATIVO EN ENTORNOS INTERNACIONALESLa evolución de las TIC da lugar a nuevos modelos que requieren de una rápida respuesta por la empresa si quiere ser realmente competitiva en un entorno global. Entre otras cuestiones, esto supone que el res-ponsable tenga que ser capaz de implementar esquemas de protección de datos que permitan cumplir con los principios de la protección de datos incluso cuando éstos son tratados por un tercero en otro país. Así, las BCR (Binding Corporate Rules), las cláusulas contractuales, o los códigos éticos se convierten en instrumentos que tienen que ser manejados, en particular, por las entidades que operan en un entorno internacional.

PROTECCIÓN DE DATOS Y TECNOLOGÍAS DE LA INFORMACIÓN

La LFPDP busca incluir los estándares internacionales en materia de protección de datos y privacidad, siendo así un instrumento normativo adecuado para responder a las necesidades de buscar el equilibrio entre la actividad comercial y el derecho fundamental a la protección de datos.

Resulta claro que la constante evolución de las TIC supone un reto para el legislador y, en última instan-cia, para el responsable que tiene que evaluar los riesgos legales de su actividad y, en consecuencia, adop-tar decisiones con rapidez que le permitan tener un control adecuado. En este sentido, el desarrollo de las TIC tiene importantes implicaciones en materia de protección de

datos, que se concretan, entre otros, en la necesidad de atender a: • Privacidad por diseño (Privacy by desing): en concreto en el caso de las entidades que desarrollan o utilizan un alto nivel de tecnología, con la finali-dad de cumplir con los principios y obligaciones de la protección de datos. • Computación en nube (Cloud computing): lo que supone que las empresas que compiten a nivel internacional, tengan que analizar el cumpli-miento de los principios de la protección de datos en aras a garantizar este derecho y, al mismo tiempo, reducir cualquier riesgo legal derivado de su acti-vidad offshore, o al menos conocer dicho riesgo y adoptar las medidas necesa-

rias para controlarlo.

www.davara.com.mx

DAVARA ABOGADOS S.C.

DERECHOS DEL TITULAR

1. DERECHO DE ACCESO (A)El derecho de acceso a los datos y al aviso de pri-vacidad, supone que el titular (o su representante legal) podrá conocer qué datos personales suyos son objeto de tratamiento por el responsable y para qué son tratados (finalidad del tratamiento indica-da en el aviso de privacidad). 2. DERECHO DE RECTIFICACIÓN (R)El titular (o su representante legal) podrá rectifi-car los datos que resulten ser inexactos o incom-pletos, con la finalidad de que el tratamiento res-ponda a la situación actual del titular de los datos. Y si los datos que se rectifican hubieran sido transmitidos a un tercero, entonces el responsable tendrá que comunicar a dicho tercero la rectifica-ción efectuada para que proceda en igual sentido si todavía son objeto de tratamiento.

3. DERECHO DE CANCELACIÓN (C)El titular (o su representante legal) tiene derecho a solicitar la cancelación de los datos dará lugar al bloqueo de los mismos por un período en el que el responsable deberá conservarlos para efectos de responsabilidades y no podrá darles tratamiento

alguno. Cumplido este período, el dato deberá su-primirse. Es decir, los datos cancelados no se bo-rran de inmediato, sino que se bloquean - habrá que ver en la práctica cómo son bloqueados. Igualmente, se comunicará al tercero al que se hu-biesen transmitido en los términos señalados para el derecho de rectificación.

4. DERECHO DE OPOSICIÓN (O)El derecho de oposición al tratamiento de los da-tos tiene lugar siempre y cuando exista una causa legítima para ello. Si el derecho de oposición resul-ta procedente, el responsable excluirá los datos del tratamiento de manera que no serán objeto del tra-

MODELOS PARA EL EJERCICIO DE LOS DERECHOSUno de los aspectos a considerar por el responsable, a través de la persona o departamento que designe al efecto, será el de tramitar las solicitudes de los interesados para el ejercicio de los derechos. Por tanto, el responsable debe establecer un procedimiento (auditable) que permita responder, en tiempo y forma, a los derechos de acceso, rectificación, cancelación y oposición. No se trata sólo de establecer los mode-los, sino de desarrollar un procedimiento por completo, incluso online, que permita atender al titular de los datos cumpliendo con todos los requisitos establecidos por la normativa en protección de datos.

2010

En cuanto a los derechos, se le reconocen al titular de los datos personales (aunque también podrán ser ejercidos por su representante legal) los derechos de acceso, rectificación, cancelación y oposición (dere-chos ARCO).

Así, el titular de los datos tendrá derecho a: (1) obtener sus datos personales que obran en poder del res-ponsable; (2) tener acceso al aviso de privacidad al que está sujeto el tratamiento de los datos; (3) rectificar los datos cuando sean inexactos o incompletos; (4) cancelarlos y; (5) oponerse al tratamiento de los datos cuando no los hubiere proporcionado al responsable.

En cuanto al procedimiento, el titular o su representante legal podrán presentar una solicitud de acceso, rectificación, cancelación u oposición ante el responsable del tratamiento (que es quien decide sobre la finalidad del mismo), el cual deberá dar respuesta a la solicitud en un término de 20 días desde su presen-tación. Si la solicitud es concedida se hará efectiva dentro de los 15 días siguientes a la respuesta. Los pla-zos señalados podrán ser ampliados una sola vez por igual período cuando haya circunstancias que lo jus-tifiquen.

PROCEDIMIENTO DE PROTECCIÓN DE LOS DERECHOS

El titular (o su representante legal) podrán solici-tar al Instituto la tutela de sus derechos cuando considere que han sido vulnerados por el respon-sable o éste no responda al ejercicio de los mis-mos.El Reglamento de la Ley desarrollará este proce-dimiento en cuanto a forma, términos y plazos.

www.davara.com.mx

DAVARA ABOGADOS S.C.

PROCEDIMIENTOSEn cuanto a los procedimientos, se tienen dos posibilidades “tradicionales”: el procedimiento de protec-ción de datos personales y el procedimiento de verificación. En el procedimiento de protección de datos personales el titular de los datos puede recurrir al Ins-tituto por la respuesta recibida o la falta de respuesta del responsable dentro de los 15 días siguientes a la fecha en que se comunique la respuesta o a partir del día en que venza el plazo para que el responsable dé respuesta. La solicitud también podrá presentarse cuando el responsable entregue al titular los datos soli-citados en un formato incomprensible, se niegue a efectuar modificaciones o correcciones a los datos, o cuando el titular no esté conforme con la información entregada por incompleta o porque no correspon-da. En este procedimiento, el responsable tendrá 15 días desde el traslado de la solicitud para emitir su respuesta y manifestar lo que a su derecho convenga. El Instituto deberá resolver la solicitud en un plazo máximo de 50 días contados a partir de la presentación de la solicitud y deberá tomar en cuenta, la pre-sentación de pruebas y alegatos y las audiencias que se lleven a cabo*. Las resoluciones consecuentes de este procedimiento podrán sobreseer o desechar la solicitud, confirmar, revocar o modificar la respuesta del responsable. En caso de que la resolución sea favorable para el titular de los datos, el responsable ten-drá un plazo de 10 días a partir de su notificación o bien el plazo que señale el Instituto para dar cumpli-miento a la resolución. Ante las resoluciones del Instituto cabe asimismo recurso ante el Tribunal de Jus-ticia Fiscal y Administrativa mediante la interposición de juicio de nulidad al efecto.

El procedimiento de verificación, a instancia del Instituto o a petición de parte, tiene por objeto comprobar el cumplimiento de la ley y la normativa que la desarrolle. La ley señala que los servidores pú-blicos federales del IFAI tendrán acceso a la información y documentación que consideren necesarias, si bien habrá que esperar a que el procedimiento sea desarrollado reglamentariamente para ver su efectivi-dad en la práctica. (Puede verse un esquema de dicho procedimiento en el apartado de infracciones y sanciones)Asimismo, el Instituto puede en cualquier momento intentar ejercer de autoridad de solución de conflic-tos, esto es, de mediadora, como una de las grandes novedades.

2010

Entre las funciones del nuevo Instituto Federal de Acceso a la Información y Protección de Datos destaca la difundir el conocimiento del derecho a la protección de datos personales, promover su ejercicio y velar su cumplimiento. Para ello, entre sus facultades destacan: (i) interpretar la Ley en el ámbito administrativo; (ii) emitir criterios, recomendaciones y normas técnicas; (iii) proporcionar apoyo técnico a los responsables que lo soliciten; (iv) conocer y resolver los procedimientos de tutela de derechos; (v) vigilar y verificar el cumplimiento de la Ley, así como conocer la información necesaria para el fin anterior; (vi) elaborar estudios de impacto sobre la privacidad previos a la puesta en práctica de una nueva modalidad de tratamiento de datos personales o la realización de modificaciones sustanciales al tratamiento ya existente y; (vii) brindar capacitación a los sujetos obligados.

Además del Instituto, también tienen competencias otras dependencias, y, especialmente se destaca a la Secretaría de Economía, que deberá difundir el conocimiento de las obligaciones en torno a la protección de datos personales entre la iniciativa privada e internacional con actividad comercial en territorio mexicano y promover mejores prácticas comerciales en torno a la protección de datos personales como insumo de la economía digital y desarrollo económico en su conjunto. Entre sus atribuciones en la materia destacan: (1) establecer políticas públicas en materia de datos personales como insumo del comercio y la economía digital; (2) fomentar buenas prácticas comerciales; (3) emitir lineamientos relativos al contenido y alcances de los avisos de privacidad; (4) fijar parámetros para el correcto desarrollo de los mecanismos y medidas de autorregulación; (5) diseñar e instrumentar políticas y coordinar la elaboración de estudios para la modernización y operación eficiente del comercio electrónico; (6) emitir opinión sobre asuntos vinculados con la protección de datos personales y; (7) llevar registros de consumidores en materia de datos personales y verificar su funcionamiento.

!"#$%&'!'()'"'

'

'

'

#

Washington, D.C., a 29 de abril de 2010 IFAI/049/10

PARTICIPA EL IFAI EN LA ENTREGA A LA OEA DE LA LEY MODELO DE ACCESO A LA INFORMACIÓN PARA EL CONTINENTE AMERICANO

! La comisionada María Marván forma parte del grupo selecto de expertos que trabajó el documento

! La Asamblea General de la OEA deberá aprobarlo para que los estados miembros asuman el compromiso de impulsar la ley a nivel local

Washington, D.C.- Un grupo selecto de expertos internacionales, en el que

México está representado por el Instituto Federal de Acceso a la Información

(IFAI), hizo hoy la entrega formal a la Organización de Estados Americanos

(OEA) de la propuesta de una Ley Modelo sobre acceso a la información para

todo el continente americano.

En un acto realizado en la sede del organismo, los especialistas pusieron en

manos de la OEA el producto de un año de trabajo en el que confluyeron las

experiencias de países como México, Canadá, Chile, Estados Unidos, Jamaica,

y Perú; se contó también con el apoyo de organizaciones de la sociedad civil

como Artículo 19, Open Society Justice Initiative, el Centro Carter y la American

Bar Association, además de las aportaciones de la propia OEA y la Corte

Interamericana de Derechos Humanos, así como algunas universidades, entre

ellas, la Universidad Nacional Autónoma de México (UNAM).

La comisionada del IFAI, María Marván Laborde, formó parte de ese selecto

grupo que hizo realidad el mandato de la Asamblea General de la OEA para

elaborar un modelo que permita impulsar que los países del continente cuenten

con una ley de acceso a la información pública gubernamental homogénea. La

OEA asumió la responsabilidad de promover que en cada nación haya una

legislación en la materia.

El IFAI fue invitado a participar como una gran deferencia y reconocimiento al

trabajo que se ha hecho en México para avanzar en materia de transparencia,

acceso a la información y protección de datos personales.

www.davara.com.mx

DAVARA ABOGADOS S.C.

INFRACCIONES Y SANCIONES

2010

Tipo Infracción Sanción

Admi-nistra-

tiva

No cumplir con la solicitud del titular para el acceso, rectificación, cancela-ción u oposición al tratamiento de sus datos personales, sin razón fundada, en los términos previstos en esta Ley.

Apercibimiento

Admi-nistra-

tiva

I. Actuar con negligencia o dolo en la tramitación y respuesta de solici-tudes de acceso, rectificación, cancelación u oposición de datos per-sonales.

II. Declarar dolosamente la inexistencia de datos personales, cuando exista total o parcialmente en las bases de datos del responsable.

III.Dar tratamiento a los datos personales en contravención a los prin-cipios establecidos en la presente Ley;

IV.Omitir en el aviso de privacidad, alguno o todos los elementos a que se refiere el artículo 16 de esta Ley.

V. Mantener datos personales inexactos cuando resulte imputable al responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los dere-chos de los titulares.

VI.No cumplir con el apercibimiento a que se refiere la fracción I del artículo 64.

Multa de 100 ($5,746) a 160,000 ($9,193,600) días de salario mínimo vigente en el Distrito Federal

Admi-nistra-

tiva

I. Incumplir el deber de confidencialidad establecido en el artículo 21 de esta Ley.

II. Cambiar sustancialmente la finalidad originaria del tratamiento de los datos, sin observar lo dispuesto por el artículo 12.

III.Transferir datos a terceros sin comunicar a éstos el aviso de privaci-dad que contiene las limitaciones a que el titular sujetó la divulgación de los mismos.

IV.Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable.

V. Llevar a cabo la transferencia o cesión de los datos personales, fuera de los casos en que esté permitida por esta Ley.

VI.Recabar o transferir datos personales sin el consentimiento expreso del titular, en los casos en que éste sea exigible.

VII.Obstruir los actos de verificación de la autoridad.VIII.Recabar datos en forma engañosa y fraudulenta.IX.Continuar con el uso ilegítimo de los datos personales cuando se ha

solicitado el cese del mismo por el Instituto o los titulares.X. Tratar los datos personales de manera que se afecte o impida el ejer-

cicio de los derechos de acceso, rectificación, cancelación y oposi-ción establecidos en el artículo 16 de la Constitución Política de los Estados Unidos Mexicano.

XI.Crear bases de datos en contravención a lo dispuesto por el artículo 9, segundo párrafo de la Ley.

Multa de 200 ($11,492) a 320,000 ($18,387,200) días de salario mínimo vigente en el Distrito Federal

Admi-nistra-

tiva

Reiteración en las infracciones anteriores. Multa adicional que irá de 100 ($5,746) a 320,000 ($18,387,200) días de salario mínimo vigente en el Distrito Federal

Admi-nistra-

tiva

Cuando la infracción se cometa en el tratamiento de datos sensibles Las sanciones podrán incrementarse hasta por dos veces, los montos establecidos

Admi-nistra-

tiva

Criterios para la adecuación de la sancionesCriterios para la adecuación de la sanciones

Admi-nistra-

tiva

La naturaleza del dato; La notoria improcedencia de la negativa del responsable, para realizar los actos solicitados por el titular, en términos

de esta Ley; El carácter intencional o no, de la acción u omisión constitutiva de la infracción; La capacidad económica del Responsable, y La reincidencia.

La naturaleza del dato; La notoria improcedencia de la negativa del responsable, para realizar los actos solicitados por el titular, en términos

de esta Ley; El carácter intencional o no, de la acción u omisión constitutiva de la infracción; La capacidad económica del Responsable, y La reincidencia.

Nota:Salariosmínimosvigentesapartirdel1deenerode2010,establecidosporlaComisiónNacionaldelosSala­riosMínimosmedianteresoluciónpublicadaenelDiarioO>icialdelaFederacióndel23dediciembrede2009.

www.davara.com.mx

DAVARA ABOGADOS S.C.

INFRACCIONES Y SANCIONES

2010

EL PROCEDIMIENTO SANCIONADOR

DESARROLLO REGLAMENTARIO DEL PROCEDIMIENTO SANCIONADORUna de las cuestiones que tendrá que ser desarrollada por el Reglamento de la Ley es el “procedimiento sancionador”. En concreto, el último párrafo del artículo 62 de la LFPDP señala que el Reglamento desarrollará:

— Forma, términos y plazos para la imposición de sanciones.— Presentación de pruebas y alegatos, la celebración de audiencias y el cierre de instrucción.

El procedimiento sancionador regulado en el artículo 62 de la LFPDP es como sigue:

El plazo señalado podrá ser ampliado una sola vez por igual período cuando haya circunstancias que lo justifiquen.

Civil o Penal

Responsabilidad civil o penalResponsabilidad civil o penalCivil o Penal Las sanciones se impondrán sin perjuicio de la responsabilidad civil o penal que resulte.Las sanciones se impondrán sin perjuicio de la responsabilidad civil o penal que resulte.

Tipo Infracción Sanción

Penal

El que estando autorizado para tratar datos personales, con ánimo de lucro, provo-que una vulneración de seguridad a las bases de datos bajo su custodia.

Prisión de tres meses a tres años.

Penal El que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autori-zada para transmitirlos.

Prisión de seis meses a cinco años.Penal

Cuando los supuestos anteriores se refieran a datos personales sensibles. Las penas se duplicarán.

www.davara.com.mx

DAVARA ABOGADOS S.C.

EN EL SECTOR PÚBLICO (1)La Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (en adelante, LFTAIPG) regula directamente la privacidad de los individuos cuyos datos personales son objeto de tratamiento en los organismos de la Administración Pública Federal.

Y además la LFTAIPG cuenta con varias normas que lo desarrollan, como su Reglamento, además de los Lineamientos en protección de datos y las Recomendaciones en medidas de seguridad emitidos por el IFAI.

2010

LOS PRINCIPIOS

Según los Lineamientos, los principios rectores de la protección de datos son la licitud, la calidad, el ac-ceso y corrección, la información, la seguridad, la custodia y el consentimiento para la transmi-sión.

El artículo 6º de los Lineamientos, bajo el epígrafe de “Licitud” dice que “la posesión de sistemas de datos per-sonales deberá obedecer exclusivamente a las atribuciones legales o reglamentarias de cada dependencia o entidad y debe-rán obtenerse a través de los medios previstos en dichas disposiciones”. Y continúa el lineamiento entendiendo asi-mismo que la licitud también comprende que “los datos personales deberán tratarse únicamente para la finalidad para la cual fueron obtenidos”.

El artículo Séptimo de los Lineamientos, acerca de la Calidad de los datos, dice que “el tratamiento de datos personales deberá ser exacto, adecuado, pertinente y no excesivo respecto de las atribuciones legales de la dependencia o en-tidad que los posea”. Por otro lado, el lineamiento 14º obliga a los Responsables, Encargados o usuarios que detecten que hay datos inexactos a actualizarlos de oficio en cuanto tengan conocimiento de la inexactitud y siempre que posean los documentos justificativos que justifiquen la actualización.

El lineamiento 5º tan sólo señala que los sistemas deberán almacenarse para permitir el ejercicio de los dere-chos de acceso y corrección en los términos previstos en la Ley, el Reglamento y los Lineamientos. Por lo tanto, el principio, aún denominado acceso y corrección, en realidad no desarrolla nada, y además, en nues-tra opinión, preferiríamos que se estableciera claramente como derechos.

El Lineamiento 9º dice que se debe hacer del conocimiento del titular de los datos al momento de recabar-los y de forma escrita el fundamento y motivo de ello, así como los propósitos para los que se tratarán di-chos datos (principio de información).

El lineamiento 20º, al hablar de seguridad, dice que se deberán adoptar las medidas necesarias para garan-tizar la integridad, confiabilidad, confidencialidad y disponibilidad de los datos personales mediante accio-nes que eviten su alteración, pérdida, transmisión y acceso no autorizado y posteriormente el capítulo IV se dedica a ahondar detalladamente en dichas medidas de seguridad.

El lineamiento 11º señala que los datos personales serán debidamente custodiados y los Responsables, En-cargados y Usuarios deberán garantizar el manejo cuidadoso en su tratamiento.

El consentimiento se articula en cierta medida en el Lineamiento 12º, aunque, como dijimos, no se con-templa nada acerca de la necesidad del consentimiento para el tratamiento en origen o posterior de datos personales. Sólo se exige, excepciones aparte, en la fase en la que los datos se transfieren a un tercero, es decir, cuando se produce la transmisión de datos a terceros, en la que el titular pierde, en su caso, aún más el control sobre su información personal. En realidad, se persigue garantizar la responsabilidad y la imputabi-lidad por el tratamiento. Es decir, que siempre se pueda saber y controlar quién está haciendo qué con los datos.

www.davara.com.mx

DAVARA ABOGADOS S.C.

EN EL SECTOR PÚBLICO (2)

2010

LOS DERECHOS

1. El derecho de acceso (regulado en los artículos 20 y 24 LFTAIPG y en el artículo 47 de su Reglamento) faculta a los titulares de los datos para solicitar al responsable del sistema de datos personales informa-ción relativa al tratamiento de sus datos personales, pudiendo conocer qué datos tiene sobre él y a quié-nes se van a comunicar. Este derecho de acceso es independiente al acceso a la información pública gu-bernamental. Es así que el derecho de acceso en protección de datos se dirige a saber qué datos y con qué finalidad son tratados a efectos de poder ejercitar los derechos correspondientes.

2. Los derechos de rectificación y supresión (según el artículo 25 de la LFTAIPG) permiten al titular de los datos, por un lado, solicitar la modificación, en los casos de que los datos sean inexactos, y cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido registrados, requerir su cancelación.

3. LA LFTAIPG no contempla el derecho de oposición.

4. Otro de los derechos previsto en la LFTAIPG (en su artículo 23 y 48 del Reglamento) es el derecho de consulta por los interesados a un Registro público al que los responsables de los sistemas de datos per-sonales deben notificar la existencia de los sistemas de datos de carácter personal, y que va a permitir a los interesados obtener información con el propósito de poder dirigirse a su responsable para ejercitar sus derechos. Así, el “Sistema Persona” se crea en el Capítulo VI de los Lineamientos para facilitar el ejercicio de los derechos de acceso y corrección de los particulares, incluyendo asimismo el derecho de consulta a dicho Sistema.

EL PROCEDIMIENTO

La regulación del procedimiento en la LFTAIPG es muy escasa, y el IFAI, por su parte, cumple con alguna de las funciones en materia de control y tutela de los derechos de la normativa en protección de datos, sin que se pueda hablar, de nuevo, de una regulación comprehensiva al efecto.

LA(S) REFORMA(S) DE LA LFTAIPG

La LFPDP reforma a la LFTAIPG en su artículo 3, ya que modifica las definiciones de:

− Datos personales, que se definen en el mismo sentido que la LFPDP de manera que será “cual-queir información concerniente a una persona física identificada o identificable”. Esta modifica-ción viene a dar solución a −Instituto, que ahora pasa a denominarse Instituto Federal de Acceso a la Información y Protec-ción de datos.

Además, habrá que ver qué ocurre con la reforma de otros artículos de la LFTAIPG que fue remitida por el Senado a la Cámara de Diputados tras ser aprobado en primera lectura un Dictamen para modificar la denominación actual de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamen-tal, para quedar como Ley Federal de Acceso a la Información y Protección de Datos Personales. La re-forma supondría que la LFTAIPG se divida en dos libros, uno relativo al acceso a la información y otro a la protección de datos desarrollando los principios y derechos de la protección de datos.Es decir, de aprobarse por la Cámara de Diputados, supondría que el Instituto cuente con más facultades y recursos, y que se establezca una regulación clara sobre las reglas para el adecuado tratamiento de datos por el Gobierno Federal.

www.davara.com.mx

DAVARA ABOGADOS S.C.

PLAN DE ACCIÓN

2010

El objetivo general de nuestra asesoramiento es ayudar a la organización a prever una correcta utilización y tratamiento de los datos personales en sus bases de datos y en sus relaciones con terceros, desde el punto de vista jurídico, y, consecuentemente, adecuarlo, en las diferentes fa-ses y etapas, a la vigente legislación sobre protección de datos.

Asimismo, se trata de conocer los valores de riesgo que tiene la organización por el tratamiento de los datos personales respecto a su confidencialidad, la llamada “privacidad”, la integridad y la disponibilidad de los datos, asegurando su correcto tratamiento y consulta, así como su veraci-dad, exactitud y legalidad.

Todas las personas de la organización que tienen acceso, aunque solamente sea de consulta, a los datos de carácter personal deben tener conocimiento de la existencia de unas normas bási-cas y las actuaciones mínimas que exige al personal de la entidad su cumplimiento.

Hay que conocer las obligaciones del responsable del tratamiento, desde la formulación y res-peto al Aviso de Privacidad, hasta las medidas de seguridad que, en forma obligada, hay que tomar, pasando por un tratamiento legal y leal, el deber de confidencialidad y la forma en que todas las personas de la entidad que tengan acceso a los datos, deben facilitar el ejercicio de los derechos a los titulares.

Se trata, por tanto, de crear una cultura de protección de datos también en el seno de la empre-sa. Es decir, reconocer el valor del dato como activo sin que ello suponga olvidar que está refe-rido a una persona física, su titular.

En concreto, al menos, podemos hablar de varios focos de actuación:

1. Procedimiento de atención al ejercicio de derechos de acceso, rectificación, cancelación y oposición (derechos ARCO).

2. Análisis cláusulas contractuales en materia de protección de datos.3. Esquema de gestión del consentimiento en todas las fases del tratamiento.4.Análisis del riesgo legal del tratamiento offline, online y offshore.5. Modelos de Aviso de Privacidad del que se haga uso en la entidad para informar a los intere-

sados sobre la recogida, tratamiento y transferencias de sus datos personales.6.Elaboración y/o adecuación de políticas de privacidad para sitios y páginas web.7. Análisis relaciones y contratos. Contratos suscritos con terceras entidades, nacionales o in-

ternacionales, por los que se regule la prestación de algún servicio que implique el acceso a datos personales, con independencia de que se trate de una mera descripción de servicios.

8.Documento/s de Seguridad que establezca/n las medidas físicas, técnicas y administrativas prescritas en la normativa.

9.“Coach training” dirigido a la persona o departamento responsable en mate-ria de protección de datos (art. 30 LFPDP). En general, capacitación a dis-tintos niveles en la organización.

www.davara.com.mx

DAVARA ABOGADOS S.C.

GLOSARIO Aviso de Privacidad: Documento físico, electrónico o en cualquier otro formato generado por el respon-sable que es puesto a disposición del titular previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley (art. 3, fracción I, de la LFPDP).Bases de datos: El conjunto ordenado de datos personales referentes a una persona identificada o identi-ficable (art. 3, fracción II, de la LFPDP).Bloqueo: La identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tra-tamiento, hasta el plazo de prescripción legal o contractual de estas. Durante dicho periodo, los datos per-sonales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a su cancelación en la base de datos que corresponde (art. 3, fracción III, de la LFPDP).Consentimiento: Manifestación de la voluntad del titular de los datos mediante la cual se efectúa el tra-tamiento de los mismos (art. 3, fracción IV, de la LFPDP).Datos personales: Cualquier información concerniente a una persona física identificada o identificable (art. 3, fracción V, de la LFPDP).Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particu-lar, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de sa-lud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual (art. 3, fracción VI, de la LFPDP).Días: Días hábiles (art. 3, fracción VII, de la LFPDP).Disociación: El procedimiento mediante el cual los datos personales no pueden asociarse al titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo (art. 3, fracción VIII, de la LFPDP).Encargado: La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable (art. 3, fracción IX, de la LFPDP).Fuente de acceso público: Aquellas bases de datos cuya consulta puede ser realizada por cualquier per-sona, sin más requisito que, en su caso, el pago de una contraprestación, de conformidad con lo señalado por el Reglamento de esta Ley (art. 3, fracción X, de la LFPDP).Instituto: Instituto Federal de Acceso a la Información y Protección de Datos, a que hace referencia la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (art. 3, fracción XI, de la LFPDP).Responsable: Persona física o moral de carácter privado que decide sobre el tratamiento de datos perso-nales (art. 3, fracción XIV, de la LFPDP).Secretaría: Secretaría de Economía (art. 3, fracción XV, de la LFPDP).Tercero: La persona física o moral, nacional o extranjera, distinta del titular o del responsable de los datos (art. 3, fracción XVI, de la LFPDP).Titular: La persona física a quien corresponden los datos personales (art. 3, fracción XVII, de la LFPDP).Tratamiento: La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprove-chamiento, transferencia o disposición de datos personales (art. 3, fracción XVIII, de la LFPDP).Transferencia: Toda comunicación de datos realizada a persona distinta del responsable o encargado del trata-miento (art. 3, fracción XIX, de la LFPDP).

2010

Nuestro Glosario de Términos engloba conceptos jurídicos en Derecho de las TICs tomados de distin-tas normas nacionales que puedan ayudar en la inter-pretación y conocimiento de las materias relaciona-das. Cada uno de los términos incorpora la norma de la que fue extraído como referencia. En este sentido, todos los términos se tendrán que poner en relación con la normativa citada, siendo incluso algunos de interés primordialmente para investigación y compa-ración entre las distintas regulaciones.

www.davara.com.mx

DAVARA ABOGADOS S.C.

REFERENCIAS NORMATIVAS

Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (DOF 11/6/2002, http://www.davara.com.mx/upload/documents/532/LFTAIPG.pdf).

Reglamento de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (DOF 11/6/2003, http://www.davara.com.mx/upload/documents/517/RLFTAIPG.pdf).

Lineamientos de Protección de Datos Personales (DOF 3/9/2005, http://www.davara.com.mx/upload/documents/516/LineamientosPDP.pdf).

Recomendaciones de Seguridad para la Protección de Datos Personales (Instituto Federal de Acceso a l a Informac ión Púb l ica , h t tp : / /www. i fa i .o rg .mx/descargar.php?r= /pdf /c iudadanos /cumplimiento_normativo/datos_personales/&a=Recomendaciones_SDP.pdf).

Decreto por el que se reforman y adicionan diversas disposiciones del Código de Comercio en Materia de Firma Electrónica (DOF29/8/2003, http://www.davara.com.mx/upload/documents/469/CCo.pdf).

Lineamientos Generales para la organización y conservación de los archivos de los archivos de las dependencias y entidades de la Administración Pública Federal (DOF 20/2/2004, http://www.davara.com.mx/upload/documents/551/Lineamientosarchivos.pdf).

Decreto por el que se reforman y adicionan diversas disposiciones de la Ley Federal de Procedimiento Contencioso Administrativo y de la Ley Orgánica del Tribunal Federal de Justicia Fiscal y Administrativa (DOF 12/6/2009, http://www.davara.com.mx/upload/documents/581/Decreto_LFPCA.pdf).

Decreto por el que se reforman y adicionan diversas disposiciones del Código Civil para el Distrito Federal en Materia Común y para toda la República en Materia Federal, del Código Federal de Procedimientos Civiles, del Código de Comercio y de la Ley Federal de Protección al Consumidor (DOF 29/5/2000, http://www.davara.com.mx/upload/documents/579/Ccom2000.pdf).

Norma Oficial Mexicana NOM-151-SCFI-2002, Prácticas comerciales-Requisitos que deben observarse para la conservación de mensajes de datos (DOF 4/6/2002, http://www.davara.com.mx/upload/documents/577/NOM-151.pdf).

Reglamento del Código de Comercio en Materia de Prestadores de Servicios de Certificación (DOF 19/7/2004, http://www.davara.com.mx/upload/documents/580/Reglamento_PSC.pdf).

Reglas generales a las que deberán sujetarse los prestadores de servicios de certificación (DOF 10/8/2004, http://www.davara.com.mx/upload/documents/50/ReglasPSC.pdf). Acuerdo Interinstitucional por el que se establecen los Lineamientos para la homologación, implan-tación y uso de la firma electrónica avanzada en la Administración Pública Federal (DOF 24/8/2006, http://www.davara.com.mx/upload/documents/531/AI24806.pdf).

SITIOS WEB

Comisión Intersectorial para el Desarrollo del Gobierno Electrónico (CIDGE): http://www.cidge.gob.mx/ Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI): http://www.uncitral.org/uncitral/es/index.html EEstrategia para la sociedad de la información en América Latina y el Caribe (eLAC): http://www.eclac.cl/socinfo/elac/ Firma electrónica avanzada (FIEL): http://portal.funcionpublica.gob.mx:8080/wb3/wb/SFP/fiel Instituto Federal de Acceso a la Información Pública Gubernamental: http://www.ifai.org.mx Organización para la Cooperación y el Desarollo Económico (OCDE): http://www.oecd.org Plan Nacional de Desarrollo 2007-2012: http://pnd.presidencia.gob.mx/ Sistema Integral de Gestión Registral: http://www.firmadigital.gob.mx Servicio de Administración Tributaria: http://www.sat.gob.mx

2010

www.davara.com.mx

DAVARA ABOGADOS S.C.

Adquisición y uso de las TIC ✓ Cumplimiento del Decreto de Austeridad y sus Lineamientos específicos por las AA.PP.✓ Elaboración por las AA.PP. del Plan Estratégico de Tecnologías de la Información y Comunicaciones (PETIC) a enviar a la SFP cada ejercicio fiscal.

Documentos y archivos electrónicos ✓ Sistema automatizado de control de gestión.✓ Ciclo de vida de los documentos y archivos (generación, tratamiento, recepción y envío).✓ En particular, la digitalización de documentos y archivos en papel (garantías jurídicas y tecnológicas).✓ Realización de inventarios de documentos y archivos.✓ Admisibilidad legal del documento-e: público y privado.✓ Validez probatoria del documento (administrativo) electrónico.

Firma electrónica✓ Uso de la firma-e para garantizar, entre otras, la autenticación, integridad y confidencialidad.✓ El sellado de tiempo y el no repudio en las comunicaciones-e.

Acceso a la información, protección de datos y medidas de seguridad ✓ Cumplimiento de obligaciones ante el IFAI u órgano correspondiente en materia de acceso a la información y notificación de sistemas de datos personales.✓ Cumplimiento de obligaciones específicas en materia de protección de datos (principios, derechos y procedimientos)✓ Atención al ejercicio de los derechos de acceso, rectificación, cancelación y oposición (ARCO).✓ Adopción de medidas de seguridad para garantizar la integridad y confidencialidad.

Seguridad de la información y de los sistemas de comunicaciones-e

✓ Valor estratégico de las redes y sistemas de comunicaciones-e.

✓ Medidas preventivas para evitar ciberataques, intrusiones o usos no autorizados en los sistemas de información.

Otras cuestiones a considerar✓ Garantizar la compatibilidad e interoperabilidad.✓ Conservación de archivos y documentos electrónicos. ✓ Prestación de servicios de certificación y otros servicios relacionados.

Aplicación de las TIC ✓ Digitalización de documentos (facturas, contratos, etc.) y archivo a través de terceros de confianza.✓ Contratación electrónica. ✓ Factura electrónica y presentación de impuestos por medios electrónicos.✓ Validez legal: equivalencia funcional del documento-e y la firma-e.

IMPLICACIONES JURÍDICAS DEL USO DE LAS TIC

2010

W W W . D A V A R A . C O M . M X

W W W . D A V A R A . C O M . M X

www.davara.com.mx Info@davara.com.mx

DAVARA ABOGADOS, S.C.

UNA APUESTA POR LA ESPECIALIZACIÓN

Boutique legal especializada en Derecho de las TIC

Davara Abogados, S.C. sólo presta servicios de alta experiencia y especialización, lo que nos permite asegurar un servicio de la más alta calificación con los profesionales más capacitados y experimentados, incorporando asimismo la participación de expertos colaboradores independientes.Asimismo, conscientes de la novedad y desconocimiento de la materia, y formando ya parte de la tradición de la Firma, Davara Abogados, S.C.

otorga una gran atención a la formación y capacitación, ofreciendo cursos especializados en la materia a entidades y organizaciones, adaptándolos en cada caso concreto.

Aunque con sede en México D.F., contamos asimismo con una tradición y experiencia asentadas en el entorno estadounidense y europeo, represen-tando a la American Bar Associa-tion (ABA), en LatAm, pudiendo así

brindar un asesoramiento experto internacional integral.

Davara Abogados, S.C. es asi-mimsmo miembro de la Asociación Mexicana de Empresas de Inter-net (AMIPCI).

LA FIRMA

ServiciosNuestras áreas de especialización abarcan todos y únicamente los ámbitos de influencia de las Tecnologías de la Información y las Comunica-ciones en el Derecho.

En especial, ofrecemos servicios de asesoría y consultoría en las siguientes cuestiones:

● Protección de datos de carácter personal● Contratos informáticos● Comercio y contratación electrónicos● Firma electrónica● Aspectos fiscales del entorno electrónico. En especial, la factura electrónica

● Propiedad intelectual. En particular, nom-bres de dominio

● Delitos informáticos● Otros: gobierno electrónico, voto electróni-co, telemedicina, teleducación, teletrabajo, protección a consumidores, ADR, etc..

Capacitaciónla Firma ofrece cursos de capacitación específicos a distintos niveles de profundización y duración, según los requerimientos y necesidades de cada cliente en particular, considerando la materia y el público objetivo en particular.

Estos cursos versan sobre cada una de las mate-rias objeto de especialización de la Firma, pu-diendo ser específicos o combinando varias de dichas materias, a petición concreta y diseño particular según las necesidades del cliente.

Para más información sobre temas, programas y honorarios, por favor contacte con nosotros en la siguiente dirección de correo electrónico: capacitacion@davara.com.mx

www.davara.com.mxNuestro sitio web www.davara.com.mx ofrece a sus usuarios la posibilidad de acceder de forma gratuita a información sobre el Derecho de las Tecnologías de la Información y las

Comunicaciones en las diferentes áreas a las que se dedica la firma.

Entre otros contenidos, los usuarios podrán encontrar Publicaciones, tales como artículos, conferencias y medios de comunicación; Normativa; Otra documentación; Jurispru-dencia y otras Resoluciones de interés; y un Glosario de términos.

Dado el carácter eminentemente internacional de la práctica que lleva en la Firma, tanto por los servicios ofertados como por los clientes a los que presta dichos servicios, el sitio web permite el acceso a información a nivel nacio-nal e internacional.

Para responder a las necesidades de sus clien-tes y usuarios, el sitio web es constantemente actualizado conforme a los cambios normati-vos y jurisprudenciales que se producen en esta área del Derecho.

Además, el sitio web permite una constate comunicación con los usuarios y clientes, respondiendo así a sus necesidades de forma-ción y/o asesoramiento.

Por favor contacte con nosotros en

www.davara.com.mx o info@davara.com.mx o pase a visitarnos y con todo gusto

le atenderemos.