La protección de datos personales; un derecho fundamental
¿QUIÉN ES EL RESPONSABLE?
La protección de datos personales es un derecho fundamental que exige al responsable el cumplimiento de ciertas obligaciones, pero ¿quién tiene esta naturaleza?
INTRODUCCIÓN
Los derechos humanos a la autodeterminación y a la intimidad del individuo se encuentran presentes en diversas facetas de su existencia, pero es evidente que la interacción entre los miembros de la sociedad pone en riesgo tales derechos, en razón de las múltiples relaciones que tienen lugar entre ellos.
Lo anterior se agudiza con el uso de la tecnología, que implica el almacenar una serie de datos referentes a una persona, desde los generales hasta aquellos que realmente la ponen en un grave riesgo, dada su especial naturaleza.
El citado almacenamiento en sí mismo no representa algo malo, pues sin conservar estos datos no sería posible el celebrar una relación laboral tan necesaria en nuestro país, o incluso el tratamiento para salvar una vida, lo cual nos lleva necesariamente a un concepto importantísimo en el respeto de los derechos en comento, que es la finalidad del tratamiento de los datos.
Por lo tanto, lo que realmente preocupa es que alguien haga un mal uso de los datos personales, para actos o actividades, que sin importar que sean lícitas, afectan la esfera jurídica, o incluso más íntima de su titular.
De ahí la necesidad de que en México se reconociera como derecho humano la protección de los datos personales en el artículo 16 de la Constitución Federal, que se encuentren en posesión de los sujetos obligados, que pueden ser entes públicos o privados, aunque en teoría, resultaría de mayor exigencia su protección en el ámbito privado.
En dicho ámbito, existe una normatividad aplicable cuyo objeto es la salvaguarda de este derecho, de la cual sobresale la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en lo sucesivo LFPDPPP) y su Reglamento (en adelante RLFPDPPP), que proporciona las bases y los lineamientos que deben ser atendidos para conocer los siguientes tópicos:
· El titular del derecho.
· El responsable de recabar los datos, por lo tanto, de cumplir con las obligaciones.
· La naturaleza de los datos.
· Los derechos del titular.
· Las obligaciones del responsable.
· Los procedimientos aplicables.
· Las multas que pueden ser impuestas ante el incumplimiento de la normatividad.
· La tipificación de los delitos.
Es nuestra intención en esta ocasión, concentrarnos en los sujetos de esta reciente relación jurídica, y algunas de las posibles problemáticas prácticas que deben ser atendidas en su momento con una adecuada asesoría por personal especializado y experimentado, para que, en oportunidades posteriores, podamos ir abordando el resto de los temas.
TITULAR
De conformidad con el artículo 3º, fracción XVII de la LFPDPPP, el titular es la persona física a quien corresponden los datos personales.
Por su parte, el artículo 5º, fracción I del RLFPDPPP establece que sus disposiciones no serán aplicables a la información relativa a las personas morales.
Como se aprecia, nuestra normatividad, con un criterio rigorista y ajeno a los derechos humanos, ha excluido de su aplicación a los datos relativos a las personas morales, por lo que, como regla general, no son objeto de protección.
Los mencionados artículos 3º, fracción XVII y 5º, fracción I son inconstitucionales y ajenos a la verdadera dimensión de la protección de los datos personales.
No obstante, el Pleno de la Suprema Corte de Justicia de la Nación ha matizado en una tesis aislada esta situación abarcando su protección a cierta clase de datos atribuibles a las personas morales, como son la relativa a su información económica, comercial o la relacionada con su identidad, sin que esto sea, a nuestro entender, suficiente.
La tesis aislada fue publicada en la Gaceta del Seminario Judicial de la Federación, Libro 3, Tomo I, febrero de 2014, página 274, del tenor siguiente:
PERSONAS MORALES, TIENEN DERECHO A LA PROTECCIÓN DE LOS DATOS QUE PUEDAN EQUIPARARSE A LOS PERSONALES, AUN CUANDO DICHAS INFORMACIÓN HAYA SIDO ENTREGADA A UNA AUTORIDAD.
El artículo 16, párrafo segundo de la Constitución Política de los Estados Unidos Mexicanos reconoce el derecho a la protección de datos personales, consistente en el control de cada individuo sobre el acceso y uso de la información personal en aras de preservar la vida privada de las personas. En este sentido, el derecho a la protección de datos personales podría entenderse, en primera instancia, como una prerrogativa de las personas físicas, ante la imposibilidad de afirmar que las morales son titulares del derecho a la intimidad y/o a la vida privada; sin embargo, el contenido de este derecho puede extenderse a cierta información de las personas jurídicas colectivas, en tanto que también cuentan con determinados espacios de protección ante cualquier intromisión arbitraria por parte de terceros respecto de cierta información económica, comercial o relativa a su identidad que, de revelarse, pudiera anular o menoscabar su libre y buen desarrollo. Por tanto, los bienes protegidos por el derecho a la privacidad y de protección de datos de las personas morales, comprenden aquellos documentos o información que les son inherentes, que deben permanecer ajenos al conocimiento de terceros, independientemente de que, en materia de transparencia e información pública, opere el principio de máxima publicidad y disponibilidad, conforme al cual, toda información en posesión de las autoridades es pública, sin importar la fuente o la forma en que se haya obtenido, pues, acorde con el artículo 6º, en relación con el 16, párrafo segundo, constitucionales, la información entregada a las autoridades por parte de las personas morales, será confidencial cuando tenga el carácter de privada por contener datos que pudieran equipararse a los personales, o bien, reservada temporalmente, si se actualiza alguno de los supuestos previstos legalmente.
Como se observa, la tesis está vinculada con el derecho humano de acceso a la información pública y lo que debe considerarse como información reservada o confidencial, sin embargo, los argumentos son válidos en cuanto al alcance del derecho fundamental de protección de datos personales, por lo que es procedente, en su caso, promover un juicio de amparo al excluir como titulares de este derecho a las personas morales.
RESPONSABLE
El artículo 2º de la LFPDPPP indica que son sujetos regulados por la misma, los particulares, sean personas físicas o morales de carácter privado, que lleven a cabo el tratamiento de datos personales, con excepción de:
· Las sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables, y
· Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.
Por su parte, el artículo 3º, fracción XIV de la misma Ley define al responsable como la persona física o moral que decide sobre el tratamiento de los datos personales, en tanto que su fracción XVIII al tratamiento como la obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio; el uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de los datos personales.
Es claro que el responsable, a diferencia del titular, puede ser una persona física o moral, y que su conducta va desde la obtención de los datos hasta su uso o aprovechamiento.
En relación con los sujetos que recaban datos, pero no se ven obligados a acatar la ley, uno de ellos es muy claro, al identificarse con el llamado “Buró de crédito”, en tanto que el segundo es un concepto ambiguo, que además se ve acotado por el artículo 6º del RLFPDPPP (de dudosa constitucionalidad) al determinar que cuando el tratamiento tenga como propósito cumplir con una obligación derivada de una relación jurídica, no se considerará para uso exclusivamente personal, una idea todavía más vaga, de ahí la importancia de analizar cada caso concreto
La primera obligación a cargo del responsable consiste en poner a disposición del titular un aviso de privacidad, cuyos requisitos son los siguientes:
· La identidad y domicilio del responsable que los recaba.
· Las finalidades del tratamiento de datos (para qué se obtienen y utilizan).
· Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos.
· Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición (derechos del titular)
· En su caso, las transferencias de datos que se efectúen (a terceros).
· El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad, de conformidad con lo previsto en esta Ley.
· En su caso, señalar expresamente que se trata de datos personales sensibles.
De los requisitos anteriores encontramos dos cuestiones necesarias de tomar en cuenta, la primera la naturaleza de los datos, la segunda, la transmisión o la transferencia de los datos.
NATURALEZA DE LOS DATOS
Los datos personales son cualquier información concerniente a una persona identificada o identificable (artículo 3º, fracción V de la LFPDPPP), sin importar su naturaleza.
En cambio, los datos personales sensibles son aquellos que afectan a la esfera más íntima de su titular, o cuya utilización indebida puede dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que pueden revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual (artículo 3º, fracción VI de la LFPDPPP).
La definición de un dato personal sensible es tan amplia, que es menester analizar cada caso en concreto para apreciar si realmente se está o no en presencia de un dato de esta índole, o de lo contrario, podría estar redactado el aviso de privacidad sin cumplir cabalmente los requisitos.
ENCARGADO
El encargado es la persona física o jurídica que sola o conjuntamente con otras, trata datos personales por cuenta del responsable (artículo 3º, fracción IX de la LFPDPPP), por lo que evidentemente el responsable le transmite los datos personales a esta persona física o jurídica para estos efectos.
Lo que se presenta entre el responsable y el encargado es una transmisión, no una transferencia, y esta transmisión debe estar soportada en un acto jurídico que debe reunir determinados requisitos para considerarse legal, y de esa manera no encontrarse en la incertidumbre de ser objeto de una multa.
Esos requisitos deben ser contemplados y redactados en los términos exigidos por la normatividad en materia de protección de datos personales.
Y podemos afirmar lo anterior, porque la transferencia es toda comunicación de datos realizada a una persona distinta del responsable o encargado (artículo 3º, fracción XIX de la LFPDPPP).
En este sentido, una de las problemáticas a resolver en la práctica es determinar si se está en presencia de una transmisión o una transferencia de los datos personales, ya que ambas exigen la celebración de actos jurídicos diferentes con el cumplimiento de requisitos igualmente distintos.
Aunado a ello, si efectivamente existe una transferencia, el responsable debe hacerlo constar en el aviso de privacidad para no incumplir con la ley y ser sancionado, además de darle el debido tratamiento a los datos sin ningún imponderable legal posterior.
APUNTES FINALES
Inconstitucionalmente, las personas morales son excluidas de la protección de sus datos personales.
Definir si se está en presencia de datos personales sensibles es ineludible para la redacción del aviso de privacidad y del tratamiento de los mismos, sobre todo por lo que respecta al consentimiento, de lo cual hablaremos en otra ocasión.
Es forzoso saber si se está en presencia de un encargado o si hay transferencia de los datos personales, con el objeto de documentar adecuadamente esta relación jurídica y evitar la imposición de una cuantiosa multa.