Proteccin de datos

personales en Mxico

Septiembre 2010
Contenido de la exposicin
I. Generalidades del derecho a la proteccin de datos
II. El derecho a la proteccin de datos en Mxico
Normatividad federal
Normatividad estatal
De aplicacin general en toda la Repblica
III. El derecho a la proteccin de datos en el sector
pblico LFTAIPG Principios y Derechos-
IV. Actuacin del IFAI como autoridad garante
VI. Retos
 I
Generalidades del derecho a la
proteccin de datos
Cmo surge el derecho?
Del derecho a la intimidad (nocin
tradicional a ser dejado solo).

Por el uso vertiginoso de las

tecnologas de la informacin.
En qu consiste el derecho?

Es el poder de disposicin y control que faculta a su

titular a decidir cules de sus datos proporciona a un
tercero, as como el saber quin posee esos datos y para
qu, pudiendo oponerse a esa posesin o uso
(autodeterminacin informativa).

Es el derecho que tiene toda persona a conocer y

decidir, quin, cmo y de qu manera recaban y utilizan
sus datos personales.
 Qu son los datos personales?

Toda informacin concerniente o relativa

a una persona fsica identificada o
identificable.
 Ejemplos

Identificacin
Nombre, edad, domicilio, sexo, RFC, CURP...
Patrimoniales
Cuentas bancarias, saldos, propiedades...
Salud
Estados de salud fsicos y mentales...
Biomtricos
Huellas dactilares, iris, voz, firma autgrafa...
ntimos
Ideologa, afiliacin poltica, religin, preferencia sexual...
 Datos personales sensibles
Revelan aspectos ntimos o particulares de las personas:

El origen racial o tnico.

El estado de salud presente y futuro.
La informacin gentica.
Las creencias religiosas, filosficas y morales.
La afiliacin sindical.
Las opiniones polticas.
La preferencia sexual.

Los datos personales sensibles o especialmente protegidos al

revelar aspectos muy ntimos y particulares de la vida privada de
las personas, merecen de medidas de proteccin ms exigentes
y robustas.
 Otros conceptos importantes

Titular: persona fsica a quien corresponden los datos personales.

Bases de datos: conjunto ordenado de datos personales referentes a una

persona identificada o identificable.

Tratamiento: obtencin, uso, divulgacin o almacenamiento de datos

personales, por cualquier medio. El uso abarca cualquier accin de acceso,
manejo, aprovechamiento, transferencia o disposicin de datos personales.

Responsable: persona fsica o moral de carcter privado que decide sobre el

tratamiento de datos personales.

Encargado: persona fsica o jurdica que sola o conjuntamente con otras trate
datos personales por cuenta del responsable.

Transferencia: toda comunicacin de datos realizada a persona distinta del

responsable o encargado del tratamiento.
 II
El derecho a la proteccin de
datos en Mxico
 La primera mencin a nivel
constitucional
Reforma al artculo 6 constitucional, en la cual se reconoce el derecho
de acceso a la informacin como una garanta fundamental -el 20 de julio
de 2007-.

Las fracciones II y III tienen la virtud de ser las primeras menciones

constitucionales expresas que hacen un reconocimiento del derecho a la
proteccin de datos personales y se constituyen como limitantes al
ejercicio del derecho de acceso a la informacin.

Estas fracciones sealan que:

La informacin a que se refiere la vida privada ser protegida en

trminos de ley respectiva.
Toda persona tiene derecho a acceder y rectificar sus datos
personales.
 Los artculos 16 y 73
constitucionales
El 2009 se distingue por la concrecin de dos relevantes acontecimientos relacionados
con la consolidacin del derecho a la proteccin de datos en Mxico, la aprobacin de las
reformas a los artculos 16 y 73 de la Constitucin.

El artculo 16 constitucional incorpora a la lista de garantas fundamentales consagradas

en nuestra Carta Magna, el derecho a la proteccin de datos personales y lo dota de
contenido, a saber:

Artculo 16.

Toda persona tiene derecho a la proteccin de sus datos personales, al acceso,

rectificacin y cancelacin de los mismos, as como a manifestar su oposicin,
en los trminos que fije la ley, la cual establecer los supuestos de excepcin a
los principios que rijan el tratamiento de datos, por razones de seguridad
nacional, disposiciones de orden pblico, seguridad y salud pblicas o para
proteger los derechos de terceros.

Por su parte, el artculo 73 constitucional dota de facultades al Congreso de la Unin para

legislar en materia de proteccin de datos personales en posesin de particulares.
 A nivel Federal:
LFTAIPG

Este instrumento reconoce por primera vez en

Mxico la proteccin de los datos personales.

Se limita a las bases de datos del sector pblico a

nivel federal. Es a la vez, una ley de acceso a la
informacin y una ley de proteccin de datos
personales (limitada en su mbito de aplicacin).

Su captulo IV establece un marco muy general que

regula la obtencin, almacenamiento, transmisin,
uso y manejo de los datos personales en posesin
de dependencias y entidades federales.
 A nivel estatal

En todos los Estados y el D.F. se regula la Proteccin de Datos Personales

en entes Pblicos, ya sea en las mismas Leyes de Transparencia o en Leyes
especiales sobre Proteccin de Datos Personales.
En 4 Estados (Colima, D.F., Guanajuato y Oaxaca) existe Ley especial en
materia de Proteccin de Datos Personales (Ley de Datos Personales)
En 4 Estados (Colima, Jalisco, Quertaro y Tlaxcala) se regula la Proteccin
de Datos Personales en entes Privados o Particulares.
En 2 Estados (Jalisco y Quertaro) se aplica supletoriamente el Cdigo Civil
Local para la Proteccin de Datos Personales en Privados. Cabe sealar que
no es claro lo establecido en el Cdigo Civil Local.
21 Estados han emitido Lineamientos, Reglamentos o Manuales en materia
de Proteccin de Datos Personales en entes Pblicos (Sujetos Obligados)
Slo 2 Estados (Oaxaca y Tlaxcala) regulan la implementacin de un
Registro Estatal de Datos Personales.
 De aplicacin en toda la Repblica:
LFPDPPP

El 13 de abril de 2010 la Cmara de Diputados aprob el

proyecto de decreto por el que se expide la Ley Federal de
Proteccin de Datos Personales en posesin de los
particulares.

Por su parte, la Cmara de Senadores aprob por

unanimidad dicho dictamen, el 27 de abril de 2010.

Finalmente, el 5 de julio de 2010 el Poder Ejecutivo

Federal public en el Diario Oficial de la Federacin la Ley.
El derecho a la proteccin de datos
en el sector pblico LFTAIPG
-Principios y Derechos-
 Uno de los objetivos de la
LFTAIPG es:

Artculo 4, fraccin III: Garantizar la

proteccin de los datos personales en
posesin de los sujetos obligados.
 Lineamientos de proteccin de
datos personales
Publicados por el IFAI el 30 de septiembre de 2005.
Establecen procedimientos para garantizar a las personas la
facultad de decisin sobre el uso y destino de sus datos, con el
propsito de asegurar su adecuado tratamiento e impedir su
transmisin ilcita y lesiva;
Establecen las condiciones y requisitos para el manejo y
custodia de los sistemas de datos personales en posesin de las
dependencias y entidades;
Definen los principios de la proteccin de datos personales que
deben observar las dependencias y entidades para su
tratamiento.
Principios

Licitud

Custodia y
Cuidado Finalidad
Responsabilidad

Tratamiento

Consentimiento Proporcionalidad

Informacin Calidad
 Licitud

El tratamiento de datos debe obedecer

a una atribucin conferida por una ley,
reglamento, decreto, acuerdo o circular
que faculte a recabar los datos
personales contenidos en los sistemas
de datos personales.

Sexto de los Lineamientos de Proteccin de

datos
 Finalidad

Tratamiento en el mbito de finalidades

determinadas, explcitas y legtimas.
El tratamiento para fines distintos a los
establecidos en la leyenda de informacin
(aviso de privacidad) requiere
consentimiento.

Sexto de los Lineamientos de Proteccin de

datos
 Proporcionalidad

Slo se debern recabar los datos

adecuados o necesarios para la finalidad
que justifica el tratamiento.
El tratamiento obedecer a tratar la mnima
cantidad de informacin necesaria para
conseguir la finalidad perseguida.

Sptimo de los Lineamientos de proteccin de

Datos Personales.
 Calidad

Datos pertinentes, correctos y

actualizados.
Datos que reflejen la realidad.

Se debe implementar los plazos de

conservacin de los datos personales,

Art. 20, fraccin IV de la LFTAIPG y Sptimo de los

Lineamientos
 Informacin

Dar a conocer a los titulares la existencia del

tratamiento y sus caractersticas.
En trminos fcilmente comprensibles y
previo a la recolecta de los datos.
A travs de la leyenda de informacin -
aviso de privacidad- por diversos medios.

Art. 20, fraccin III y Noveno de los Lineamientos.

 Informacin

El principio de informacin se materializa en la leyenda

de informacin -aviso de privacidad-, mediante la cual se
hace del conocimiento del titular:

Identidad y domicilio del responsable que recaba sus

datos;
Finalidades del tratamiento;
Medios para ejercer los derechos de acceso,
rectificacin, cancelacin u oposicin, y
Transferencias de datos.
 Consentimiento
La voluntad del titular es la causa principal legitimadora
del tratamiento de los datos personales.

Excepciones: la ley, celebracin de un contrato

Aunque en la mayora de los casos el consentimiento es

tcito, la manifestacin deber ser libre, especfica,
inequvoca e informada.

Art. 21 y 22 de la LFTAIPG y Duodcimo de los

Lineamientos.
 Custodia y Cuidado
Responsabilidad

Deber de la persona responsable del

tratamiento de los datos de velar por
el cumplimiento de los principios y
rendir cuentas al titular en caso de
incumplimiento.
Art. 20, fraccin VI y Undcimo de los
Lineamientos.
Deberes
 Deber de seguridad

Obligacin de adoptar las medidas

necesarias para garantizar la
integridad, confidencialidad y
disponibilidad de los datos personales
mediante acciones que eviten su
alteracin, prdida, transmisin y
acceso no autorizado.
 Obligaciones en materia de
seguridad de las bases de datos

Todo responsable deber establecer y mantener medidas de

seguridad de carcter administrativo, tcnico y fsico que
permitan proteger los datos personales contra dao, prdida,
alteracin, destruccin o el uso, acceso, o tratamiento no
autorizado.

Los responsables no debern adoptar medidas de seguridad

menores a aquellas que mantengan para el manejo de su
informacin.

Para la implementacin de dichas medidas stos debern tomar

en cuenta factores como riesgo existente y posibles
consecuencias para los titulares, la sensibilidad de los datos
personales y el desarrollo tecnolgico.
 Deber de confidencialidad

Secreto, discrecin,
confidencialidad y custodia al que
est obligada toda persona que
maneja, usa, recaba o transfiere datos
personales en cualquier fase del
tratamiento.
Derechos
 Derechos ARCO

Acceso: derecho del titular a obtener informacin sobre s

sus propios datos estn siendo objeto de tratamiento, la
finalidad del tratamiento que, en su caso, se est
realizando, as como la informacin disponible sobre el
origen de dichos datos y las comunicaciones realizadas o
previstas de los mismos.

Rectificacin: derecho del titular a que se modifiquen los

datos que resulten ser inexactos o incompletos.

Cancelacin: derecho del titular que da lugar a que se

supriman los datos que resulten ser inadecuados o excesivos.

Oposicin: derecho del titular a que no se lleve a cabo el

tratamiento de sus datos cuando se trate de sistemas de
datos que tengan por finalidad la realizacin de actividades
de publicidad
Oposicin
El derecho a la proteccin de
datos en el sector privado
LFPDPPP
Generalidades de la ley
Reviste las caractersticas de ser una
legislacin moderna que reconoce y protege
los llamados derechos de tercera
generacin, en particular la
autodeterminacin informativa.

Coloca a la persona en el centro de la tutela

del Estado, reconociendo y respetando su
dignidad y vala.

Establece un marco general que contempla

reglas claras, concretas y mnimas para lograr
un equilibrio entre proteccin de la informacin
personal y la libre circulacin de la misma en
un mundo globalizado, en concordancia con los
estndares internacionales.
Ejes rectores de la ley
1. mbito de aplicacin.
2. Principios y derechos.
3. Rgimen especial para datos sensibles.
4. Ejercicio de los derechos ARCO.
5. Transferencias de datos.
6. Autoridades:
IFAI garante- y
Reguladoras.
7. Procedimientos:
Proteccin de datos.
Verificacin.
imposicin de sanciones.
8. Infracciones y sanciones.
9. Delitos en materia de tratamiento indebido.
Actuacin del IFAI como
autoridad garante
 Actuacin del IFAI
Emisin e implementacin de regulacin secundaria.

Solucin de controversias para la tutela de derechos de

acceso y rectificacin

Supervisin del cumplimiento regulatorio

verificaciones/recomendaciones-.

Promocin de la cultura de seguridad de los datos

personales documento de seguridad-.
 Implementacin de regulacin
secundaria
Lineamientos de Proteccin de Datos
Personales:

Disposiciones generales que establecen las

condiciones y requisitos mnimos para el
debido manejo y custodia de las bases de
datos en posesin de la Administracin
Pblica Federal.
Supervisin del cumplimiento
regulatorio

Desde el ao 2007, el IFAI se ha dado a la

tarea de verificar las bases de datos en
posesin de la Administracin Pblica
Federal.

Numeralia:
16 dependencias o entidades verificadas.
62 recomendaciones votadas por el Pleno del
IFAI.
Supervisin del cumplimiento
regulatorio

Destacan por su importancia las siguientes

bases de datos verificadas:

Base de Datos Nacional de la Clave nica de

Registro Nacional de Poblacin.
Sistema de Acreditacin de Derechohabiente.
Sistema Integral de Operacin Migratoria.
Padrn de Beneficiarios de los Programas de
Desarrollo Social.
 Elaboracin de Manifestaciones de
Impacto a la Privacidad
NOM-024-SSA3-2007 del Expediente Clnico Electrnico

Esta poltica pblica tiene como objetivo primordial promover el establecimiento de

reglas y estndares homogneos que permitan la comunicacin e interoperabilidad entre
los diferentes sistemas de informacin de salud que existen en el Sistema Nacional de
Salud.

Por la complejidad del diseo de la estructura funcional de la NOM, la Secretara de

Salud y el IFAI, en su carcter de rgano garante, sometieron el proyecto a una
Manifestacin de Impacto a la Privacidad.

Lo anterior, a fin de garantizar que antes de la puesta en operacin dicha poltica pblica
cumpliera con los estndares internacionales en materia de proteccin, teniendo especial
cuidado en los controles de seguridad que se requieren en un proyecto de tal
envergadura.

Emisin de una serie de recomendaciones tendientes a garantizar la confidencialidad,

disponibilidad e integridad de los datos de salud con la puesta en operacin de esta
poltica pblica.
 Elaboracin de Manifestaciones de
Impacto a la Privacidad

Cdula de Identidad Ciudadana

Este proyecto tiene como objeto expedir un documento que

acredite fehacientemente la identidad de los ciudadanos
mexicanos, a travs de la obtencin de datos biomtricos
huellas dactilares e iris-.

Emisin de una serie de recomendaciones relativas a:

Adecuar el marco jurdico para la expedicin de la CEDI.
Recabar los datos estrictamente necesarios para la finalidad
perseguida.
Implementar estrictas medidas de seguridad.
Retos
 Retos LFTAIPG

Para los organismos de transparencias estatales:

Adecuar las leyes de transparencia a las reformas constitucionales y
nuevas exigencias de la administracin pblica estatal y municipal.
Emitir regulacin secundaria en materia de proteccin de datos
personales en posesin del sector pblico, tomando en
consideracin los estndares internacionales.

Para el IFAI:
Impulsar el dictamen aprobado por el Senado de la Repblica que
reforma la Ley Federal de Transparencia y Acceso a la informacin
Pblica Gubernamental.
Establecer mecanismos de cooperacin eficaces con los diversos
institutos de transparencia para la difusin y capacitacin de este
nuevo derecho.
 Retos LFPDPPP

Coadyuvar con el Ejecutivo Federal en la emisin del

reglamento, dentro del ao siguiente a la entrada en vigor de la
ley.
Emitir criterios que coadyuven a un mejor cumplimiento de la ley.
Disear mecanismos eficaces para la recepcin y atencin de
solicitudes de proteccin de datos.
Difusin y capacitacin al interior y exterior.
Solicitar a la Unin Europea el nivel de adecuacin como un pas
seguro en materia de proteccin de datos personales.
Disear la estructura organizacional ms adecuada para asumir
y ejecutar con eficiencia las nuevas tareas y responsabilidades
del IFAI.
 GRACIAS

www.ifai.org.mx 01800 TEL IFAI

http://www.infomex.org.mx