Mecanismos sancionadores en caso delMecanismos sancionadores en caso del tratamiento indebido de datos 

personales

Dra. Isabel Davara Fdez. de MarcosVIII EncuentroIberoamericano de Protección de Datos

29 de Septiembre de 2010México, D.F. 

idavara@davara.com.mxidavara@davara.com.mx

¿Qué es la protección de datos?

Un derechofundamental yUn derecho

fundamental yUna obligación del responsableUna obligación del responsablefundamental y 

un derechodel titular de 

fundamental y un derechodel titular de 

del responsable del tratamiento y un compromiso con el titular de

del responsable del tratamiento y un compromiso con el titular de

los datoslos datoscon el titular de 

los datoscon el titular de 

los datos

Derecho a la autodeterminación informativa

•Conocer y decidir quién, cómo y 

Derecho a la autodeterminación informativa

•Conocer y decidir quién, cómo y 

Se protege:

• Objeto: datos personales referidos al titular de los

Se protege:

• Objeto: datos personales referidos al titular de losde qué manera recaba y utiliza 

sus datos personales•Libertad para elegir qué desea comunicar, cuándo y a quién, manteniendo el control

h ó

de qué manera recaba y utiliza sus datos personales•Libertad para elegir qué desea comunicar, cuándo y a quién, manteniendo el control

h ó

referidos al titular de los datos (persona física)

• Garantizando • su privacidad y• el derecho a la

referidos al titular de los datos (persona física)

• Garantizando • su privacidad y• el derecho a la•Derecho autónomo y 

fundamental, directamente conectado con la dignidad y la libertad de la persona

•Derecho autónomo y fundamental, directamente conectado con la dignidad y la libertad de la persona

• el derecho a la autodeterminación informativa de las personas

• el derecho a la autodeterminación informativa de las personas

¿Cómo se protege?¿Cómo se protege?

Mediante un  Basado en:tratamiento: Basado en:

• Legítimo• Controlado

• Principios• DerechosControlado

• InformadoDerechos

• Procedimientos

¿Por qué cumplir la normativa?¿Por qué cumplir la normativa?

Cumplimiento de una obligación 

legal

Derecho f d t l

Cumplimiento de una obligación contractual 

(cláusulas/polític

Establecer controles 

internos que permitan una fundamental 

a la protección

(cláusulas/políticas de privacidad, contratos, etc.)

permitan una gestión adecuada

protección de datos

Cumpimiento de una obligación con la sociedad (cultura de 

protección de datos)

Minimizar riesgos legales (sanciones y demandas)

Tratamiento lícito y lealTratamiento lícito y leal

Fuentes de la obligaciónFuentes de la obligación

LegalLegalContractual (cláusulasContractual (cláusulas

Extra‐contractual (autorregulaciónExtra‐contractual (autorregulaciónLegalLegal (cláusulas 

contractuales)(cláusulas 

contractuales)(autorregulación, 

etc.)(autorregulación, 

etc.)

Tratamiento ilícitoTratamiento ilícito

InfracciónInfracción Potestad sancionadoraPotestad 

sancionadora SanciónSanción

Tratamiento ilícitoTratamiento ilícito

N l lN l lNo cumple con los principiosNo cumple con los principios

Por acción u omisiónPor acción u omisión

P i á jP i á jPor quienes están sujetos al régimen sancionadorPor quienes están sujetos al régimen sancionador

Mecanismos sancionadoresMecanismos sancionadores

LeyLey

ContratoContrato

Otro instrumento jurídico/sancionadorOtro instrumento 

jurídico/sancionador

SanciónSanción

Previsiones sobre sancionesPrevisiones sobre sanciones

• Art 14APECAPEC • Art. 14APECAPEC

• Art. 24Directiva 95/46/CEDirectiva 95/46/CE Art. 24Directiva 95/46/CEDirectiva 95/46/CE

• Art. 19.d) OCDEOCDE )

• (5) Aplicación (Enforcement/Redress)FIPSFIPS

• Art. 10CONVENIO 108 CECONVENIO 108 CE

• Art. 25 Resolución de MadridResolución de Madrid

Finalidad las sancionesFinalidad las sanciones

SanciónSanciónHacer efectivos los principios de la

Hacer efectivos los principios de laSanciónSanción principios de la 

protección de datosprincipios de la 

protección de datos

Objetivos de las sancionesObjetivos de las sanciones

Sancionar la infracciónSancionar la infracción

SanciónSanciónSanciónSanción

Incentivo para el 

cumplimiento

Incentivo para el 

cumplimiento

Necesidad de distinguirNecesidad de distinguir

Sanción por el incumplimientoSanción por el incumplimiento

Indemnización del daño causado

Indemnización del daño causado

PrevenciónPrevención

Potestad sancionadoraPotestad sancionadora

•Administrativa• JudicialAutoridad Autoridad 

competentecompetente

• Privados• Privados (autorregulación)

• Sociedad (prensa etc )Otros 

sujetos/institucionesOtros 

sujetos/instituciones • Sociedad (prensa, etc.)sujetos/institucionessujetos/instituciones

Naturaleza de las sancionesNaturaleza de las sanciones

CivilCivil

PenalPenalAdministrativaAdministrativa

Otra 

(inter partes, prensa, etc.)

Otra 

(inter partes, prensa, etc.)

Tipos de sancionesTipos de sanciones

Económica Administrativa Judicial Otra

Aplicación y efectos de las sancionesAplicación y efectos de las sanciones

Efectividad de las sancionesEfectividad de las sancionesPreviene una 

infracción posterior

Detiene la infracción

Depende de la autoridad d i l

Es indepen‐diente de la i d i de quien la 

imponeindemniza‐

ción

Sanciona el incumpli‐miento

Modelos en los que se puede basar MéxicoModelos en los que se puede basar México

Estados Unidos

++

y

Unión Europea

Federal Trade Commission (FTC)Federal Trade Commission (FTC)La FTC tiene competencia para aplicar diferentes leyes relacionadas con

La FTC tiene competencia para aplicar diferentes leyes relacionadas con

La FTC no es una APD, es una agencia de protección de los consumidores

La FTC no es una APD, es una agencia de protección de los consumidores

diferentes leyes relacionadas con protección de datos (Gramm‐Leach‐BlileyAct –GLB Act‐; Fair Credit Reporting Act –FCRA‐, y Federal Trade Commission Act –

diferentes leyes relacionadas con protección de datos (Gramm‐Leach‐BlileyAct –GLB Act‐; Fair Credit Reporting Act –FCRA‐, y Federal Trade Commission Act –FTCA‐, esta última en casos de prácticas 

injustas o deceptivas).FTCA‐, esta última en casos de prácticas 

injustas o deceptivas).

FTCFTCFTC 

(potestad sancionadora)

FTC 

(potestad sancionadora)

Desde 2001, la FTC ha empleado su autoridad en un total de 29 casos 

http://www ftc gov/os/testimony/1009

Desde 2001, la FTC ha empleado su autoridad en un total de 29 casos 

http://www ftc gov/os/testimony/1009

La FTC puede iniciar procedimientos, administrativos o judiciales, en casos de incumplimiento, tales como ChoicePoint

que dio lugar a una resolución que

La FTC puede iniciar procedimientos, administrativos o judiciales, en casos de incumplimiento, tales como ChoicePoint

que dio lugar a una resolución quehttp://www.ftc.gov/os/testimony/100922datasecuritytestimony.pdf y 

http://www.ftc.gov/privacy/privacyinitiatives/promises_enf.html).

http://www.ftc.gov/os/testimony/100922datasecuritytestimony.pdf y 

http://www.ftc.gov/privacy/privacyinitiatives/promises_enf.html).

que dio lugar a una resolución que ordenaba pagar US$ 10 millones como indemnización civil por violar la FCRA y 

otros US$ 5 millones como indemnización 

que dio lugar a una resolución que ordenaba pagar US$ 10 millones como indemnización civil por violar la FCRA y 

otros US$ 5 millones como indemnización a las víctimas por robo de identidad.a las víctimas por robo de identidad.

Poderes de la FTCPoderes de la FTC

FTCFTC

Poder de investigación/inspección

Poder de investigación/inspección

Procesos administrativosProcesos administrativos

Poder de aplicación/sanción (enforcement)

Poder de aplicación/sanción (enforcement)

Procesos judicialesProcesos judiciales

Procedimiento civilProcedimiento civil

Comisión Nacional de Informática y Libertades (CNIL)

Contra sus resoluciones cabe recursoContra sus resoluciones cabe recursoLa CNIL es una APD (una de las más antiguas en Europa puesto que fue 

creada por la ley de 6 de enero de 1978)

La CNIL es una APD (una de las más antiguas en Europa puesto que fue 

creada por la ley de 6 de enero de 1978)

Contra sus resoluciones cabe recurso jurisdiccional en vía contencioso‐

administrativa ante el Conseil d´Etat(Tribunal Supremo en el orden 

Contra sus resoluciones cabe recurso jurisdiccional en vía contencioso‐

administrativa ante el Conseil d´Etat(Tribunal Supremo en el orden 

administrativo)administrativo)

CNILCNILCNIL

(potestad sancionadora)

CNIL

(potestad sancionadora)

Puede imponer multas de hastaPuede imponer multas de hasta

Tiene postestades de inspección y sancionadora (puede: a) imponer 

sanciones conforme a la Ley de 6 de

Tiene postestades de inspección y sancionadora (puede: a) imponer 

sanciones conforme a la Ley de 6 dePuede imponer multas de hasta 300.000 euros en casos de reincidencia

Puede imponer multas de hasta 300.000 euros en casos de reincidencia

sanciones, conforme a la Ley de 6 de agosto de 2004, b) puede ordenar el cese de un tratamiento, y c) puede revocar 

autorizaciones)

sanciones, conforme a la Ley de 6 de agosto de 2004, b) puede ordenar el cese de un tratamiento, y c) puede revocar 

autorizaciones)

Admisibilidad de ADRAdmisibilidad de ADR

APEC

•Se recomienda a las economías miembros a que compartan experiencias sobre diferentes procedimientos en la investigación de infracciones en materia de privacidad y estrategias de regulación para resolver disputas que impliquen tales infracciones, i l d j l tió d j i d l ió t j di i l d fli tAPEC incluyendo, por ejemplo, gestión de quejas y mecanismos de resolución extrajudicial de conflictos.

DirectivaDirectiva95/46/CE

• No

95/46/CE

OCDEOCDE

•19. Al implantar nacionalmente los principios expuestos en las Partes II y III, los países miembro deberían establecer procedimientos o instituciones jurídicas, administrativas u otras para la protección de la intimidad y de las libertades individuales respecto a los datos personales. Los países miembro deberían, en particular, procurar:

•[…]•d) prever las sanciones y recursos suficientes en caso de incumplimiento de las medidas con las cuales se implanten los principios expuestos en las Partes II y III,•[ ]•[…] 

FIPS

• Cumplimiento/Compensación del daño• Es aceptado ampliamente que el núcleo de los principios de la protección de datos sólo puede ser efectivo si existen mecanismos para garantizar su cumplimiento. En ausencia de un mecanismo de cumplimiento y compensación del daño, un código de práctica es meramente sugestivo más que prescriptivo, y no garantiza el cumplimiento con los principios de la protección de datos. Entre los mecanismos alternativos de cumplimiento están la autorregulación; la legislación que establece remedios privados para los consumidores; y/o las regulaciones que garantizan el cumplimiento a través de sanciones civiles o penales.

• 5. Enforcement/Redress• It is generally agreed that the core principles of privacy protection can only be effective if there is a mechanism in place to enforce them. Absent an enforcement and redress mechanism, a fair information practice code is merely suggestive rather than prescriptive, and does notensure compliance with core fair information practice principles. Among the alternative enforcement approaches are industry self‐regulation; legislation that would create private remedies for consumers; and/or regulatory schemes enforceable through civil and criminal sanctions. 

CONVENIO CONVENIO 108 CE

•Artículo 10. Sanciones y recursos•Cada Parte se compromete a establecer sanciones y recursos convenientes contra las infracciones de las disposiciones de derecho interno que hagan efectivos los principios básicos para la protección de datos enunciados en el presente capítulo.

RESOLUCIÓN RESOLUCIÓN DE MADRID

•No, sólo procesos judiciales o administrativos.

Potestades de la autoridad de control/supervisión

InvestigaciónInvestigación

Intervención

Iniciar procedimientos 

Iniciar procedimientos  Intervenciónlegales o 

judicialeslegales o judiciales

Aplicación de las sancionesAplicación de las sancionesCriterios para 

lla determinación 

de las sanciones

Sanción Prescripción de las 

sanciones

Posibilidad de revisión judicial

Otras medidas (inmovializa‐ción, medidas cautelares, 

t )etc.)

Efectividad del mecanismo sancionadorEfectividad del mecanismo sancionador

Modelo Modelo  Modelo APD

Modelo APD

No atiende casos particulares

FTCFTCAtienden casos particulares

APD EuropeaAPD 

Europea

Actúa para proteger a los 

Protegen al denunciante y al mismo tiempo alp g

consumidores en general

mismo tiempo al resto de titulares del derecho

En la prácticaEn la práctica

Modelo Modelo  Modelo APD

Modelo APD

Sanción en determinados casos

FTCFTCSanción a quien trató ilícitamente datos personales

APD EuropeaAPD 

Europea

Tutela indirecta puesto que no 

Tutela del interesado cuyos datos fueronp q

atiende al caso particular

datos fueron tratados ilícitamente

Órganos de control y competentes (tratamientos por el sector privado)

Secretaría de Economía

f d l d l bl

Secretaría de Economía

f d l d l blDifundir el conocimiento de las obligaciones en torno a la protección de datos personales 

entre la iniciativa privada nacional e internacional con actividad comercial en 

territorio mexicano y promover las mejores

Difundir el conocimiento de las obligaciones en torno a la protección de datos personales 

entre la iniciativa privada nacional e internacional con actividad comercial en 

territorio mexicano y promover las mejores

Procuraduría Federal del Consumidor(Profeco)

P l id

Procuraduría Federal del Consumidor(Profeco)

P l idterritorio mexicano y promover las mejores prácticas comerciales en torno a la protección 

de datos

territorio mexicano y promover las mejores prácticas comerciales en torno a la protección 

de datos

Proteger a los consumidoresProteger a los consumidores

IFAI 

Autoridad garante de la LFPDPPP

IFAI 

Autoridad garante de la LFPDPPP

Comisión Federal de TelecomunicacionesComisión Federal de Telecomunicaciones

Otras

C i ió N i l i d

Otras

C i ió N i l i dRegistro Nacional de Usuarios de 

Telefonía Móvil (RENAUT)Registro Nacional de Usuarios de 

Telefonía Móvil (RENAUT)

Comisión Nacional Bancaria y de Valores, Comisión Nacional para la Protección y Defensa de los Usuarios 

de Servicios Financieros, etc.

Comisión Nacional Bancaria y de Valores, Comisión Nacional para la Protección y Defensa de los Usuarios 

de Servicios Financieros, etc.,,

Infracciones en la LFPDPPP (1)Infracciones en la LFPDPPP (1)

I. No cumplir con la solicitud del titular para el 

acceso, 

I. No cumplir con la solicitud del titular para el 

acceso, 

II. Actuar con negligencia o dolo en la

II. Actuar con negligencia o dolo en la

III. Declarar dolosamente la III. Declarar 

dolosamente la  IV DarIV Dar V. Omitir en el V. Omitir en el 

VI. Mantener datos personales inexactos cuando 

resulte imputable al 

VI. Mantener datos personales inexactos cuando 

resulte imputable al  IX. Cambiar 

sustancialmenteIX. Cambiar 

sustancialmenterectificación, cancelación u oposición al 

tratamiento de sus datos 

personales, sin razón fundada, en los términos

rectificación, cancelación u oposición al 

tratamiento de sus datos 

personales, sin razón fundada, en los términos

dolo en la tramitación y respuesta de solicitudes de 

acceso, rectificación, cancelación u oposición de 

dolo en la tramitación y respuesta de solicitudes de 

acceso, rectificación, cancelación u oposición de 

inexistencia de datos personales, cuando exista 

total o parcialmente en las bases de datos del 

responsable;

inexistencia de datos personales, cuando exista 

total o parcialmente en las bases de datos del 

responsable;

IV. Dar tratamiento a los datos personales en contravención a los principios establecidos en la presente Ley;

IV. Dar tratamiento a los datos personales en contravención a los principios establecidos en la presente Ley;

aviso de privacidad, 

alguno o todos los elementos a que se refiere el artículo 16 de 

esta Ley;

aviso de privacidad, 

alguno o todos los elementos a que se refiere el artículo 16 de 

esta Ley;

responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente 

procedan cuando resulten

responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente 

procedan cuando resulten

VII. No cumplir con el 

apercibimiento a que se refiere la fracción I del artículo 64;

VII. No cumplir con el 

apercibimiento a que se refiere la fracción I del artículo 64;

VIII. Incumplir el deber de 

confidencialidad establecido en el artículo 21 de 

esta Ley;

VIII. Incumplir el deber de 

confidencialidad establecido en el artículo 21 de 

esta Ley;

sustancialmente la finalidad originaria del tratamiento de los datos, sin observar lo 

dispuesto por el artículo 12;

sustancialmente la finalidad originaria del tratamiento de los datos, sin observar lo 

dispuesto por el artículo 12;en los términos 

previstos en esta Ley;

en los términos previstos en esta 

Ley;

datos personales;datos personales; responsable;responsable; resulten afectados los 

derechos de los titulares;

resulten afectados los 

derechos de los titulares;

Infracciones en la LFPDPPP (2)Infracciones en la LFPDPPP (2)

X. Transferir datos a terceros sin comunicar a 

X. Transferir datos a terceros sin comunicar a  XI. Vulnerar la 

id d dXI. Vulnerar la 

id d dXII. Llevar a cabo l t f iXII. Llevar a cabo l t f i

XIII. Recabar o t f i d tXIII. Recabar o t f i d t

XVI. Continuar con el uso 

XVI. Continuar con el uso 

XVII. Tratar los datos personales de manera que se afecte o impida el ejercicio de los d h d

XVII. Tratar los datos personales de manera que se afecte o impida el ejercicio de los d h d XVIII. Crear bases XVIII. Crear bases 

XIX. Cualquier incumplimiento XIX. Cualquier incumplimiento 

éstos el aviso de privacidad que contiene las limitaciones a que el titular sujetó la 

divulgación de los mismos;

éstos el aviso de privacidad que contiene las limitaciones a que el titular sujetó la 

divulgación de los mismos;

seguridad de bases de datos, 

locales, programas o 

equipos, cuando resulte imputable al responsable;

seguridad de bases de datos, 

locales, programas o 

equipos, cuando resulte imputable al responsable;

la transferencia o cesión de los 

datos personales, fuera de los casos 

en que esté permitida por la 

Ley;

la transferencia o cesión de los 

datos personales, fuera de los casos 

en que esté permitida por la 

Ley;

transferir datos personales sin el consentimiento expreso del titular, en los 

casos en que éste sea exigible;

transferir datos personales sin el consentimiento expreso del titular, en los 

casos en que éste sea exigible;

XIV. Obstruir los actos de 

verificación de la autoridad;

XIV. Obstruir los actos de 

verificación de la autoridad;

XV. Recabar datos en forma engañosa y fraudulenta;

XV. Recabar datos en forma engañosa y fraudulenta;

ilegítimo de los datos personales cuando se ha 

solicitado el cese del mismo por el Instituto o los titulares;

ilegítimo de los datos personales cuando se ha 

solicitado el cese del mismo por el Instituto o los titulares;

derechos de acceso, 

rectificación, cancelación y oposición 

establecidos en el artículo 16 de la Constitución Política de los 

derechos de acceso, 

rectificación, cancelación y oposición 

establecidos en el artículo 16 de la Constitución Política de los 

de datos en contravención a lo dispuesto por el artículo 9, 

segundo párrafo de esta Ley, y

de datos en contravención a lo dispuesto por el artículo 9, 

segundo párrafo de esta Ley, y

pdel responsable a las obligaciones establecidas a su 

cargo en términos de lo previsto en la presente Ley.

pdel responsable a las obligaciones establecidas a su 

cargo en términos de lo previsto en la presente Ley.

Estados Unidos Mexicanos;

Estados Unidos Mexicanos;

Aplicación de la sanciónAplicación de la sanción

AutoridadAutoridad

Previsión d l

Previsión d l

Efectivdad de la Efectivdad de la 

de la sanciónde la 

sanción

sanciónsanción

Algunas cuestiones a considerarAlgunas cuestiones a considerar

mo

mo Público o privadoPúblico o privado ón 

ón 

Detener la Detener la  dodo Sanción por la Sanción por la 

mecanism

mecanism

Administrativo o judicial 

A priori o a posteriori

Administrativo o judicial 

A priori o a posteriori e 

la sanció

e la sanció infracción

Prevenir la comisión de infracciones

Sancionar la

infracción

Prevenir la comisión de infracciones

Sancionar la l ind

ividud

l ind

ividud infracción cometida

Acceso a la autoridad o institución que aplica la sanción

infracción cometida

Acceso a la autoridad o institución que aplica la sanción

rácter del 

rácter del  posteriori

Legislativo o contractual

Otros mecanismos ( bli id d d l

posteriori

Legislativo o contractual

Otros mecanismos ( bli id d d l

Efectos d

Efectos d Sancionar la 

infracción cometidaSancionar la 

infracción cometida

tecciónde

tecciónde Posibilidad de 

recursoPosibilidad de 

recurso

CaCa

(publicidad de la sanción, etc.)(publicidad de la sanción, etc.) Pr

otProt