Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1 Principios de la Protección de Conforme a la Guía práctica para la atención de personales, salvo las excepciones previstas
Datos Personales las solicitudes de Ejercicio de los Derechos en el artículo 10 de la Ley. Cuando se
ARCO del Instituto Nacional de Transparencia,
1
recaben datos personales sensibles el
Los principios y los deberes en materia de Acceso a la Información y Protección de Datos consentimiento del titular deberá ser
protección de datos personales legitiman el Personales (en adelante, INAI), las fases del expreso y por escrito. En el caso de datos
tratamiento de los datos personales y deben tratamiento durante las que el responsable del personales de carácter patrimonial o
asegurarse a lo largo de su ciclo de vida, en tratamiento tiene que cumplir con estos financiero, el consentimiento del titular
todas y cada una de las fases del tratamiento de principios y deberes son las siguientes: deberá ser expreso únicamente. Fuera de
los datos personales, es decir, desde que se “Fase 1. Al momento de recabar los datos estos dos casos, como regla general es
obtienen o recaban, ya sea del propio interesado personales, el responsable está obligado a: válido el consentimiento tácito (principio
o no, hasta que finalmente son destruidos, de consentimiento) siempre y cuando se
eliminados o borrados. 1. Dar un uso a los datos personales ponga a disposición de los individuos
Estos principios y deberes son los siguientes: respetando la ley, desde el momento de su titulares de los datos, el aviso de privacidad,
1. Principios: obtención (principio de licitud). en el que se indique lo que se hará con su
a. Licitud 2. No utilizar medios engañosos o fraudulentos información.
b. Consentimiento para obtener los datos personales (principio 5. Evitar la creación de bases de datos de
c. Información de lealtad). carácter sensible, salvo que se justifique
d. Calidad 3. Poner a disposición el aviso de privacidad, plenamente la necesidad del tratamiento
e. Finalidad de tal manera que el titular pueda conocer para la consecución de finalidades legítimas
f. Lealtad de qué forma serán tratados sus datos y concretas relacionadas con las actividades
g. Proporcionalidad personales y cómo podrá ejercer sus estatutarias o comerciales que persigue el
h. Responsabilidad derechos ARCO (principio de información). responsable.
2. Deberes: 4. Obtener el consentimiento o autorización 6. Recabar sólo aquellos datos personales que
a. Confidencialidad del titular para el tratamiento de sus datos sean necesarios para las finalidades para las
b. Seguridad que se obtienen.
1
Disponible en
http://inicio.inai.org.mx/Publicaciones/02GuiaAtencio
nSolicitudesARCO.pdf
Fase 2. Durante el manejo o utilización de 5. Mantener los datos personales 11. Rendir cuentas al titular en caso de
los datos personales, el responsable está actualizados y correctos (principio de algún incumplimiento con relación a la
obligado a: calidad). protección de sus datos personales
6. Limitar el periodo de conservación de la (principio de responsabilidad).
1. Utilizar los datos personales respetando información personal tratada al mínimo 12. Comunicar los datos personales a
la Ley (principio de licitud). necesario (principio de calidad). terceros nacionales o extranjeros
2. Respetar la expectativa razonable de 7. Mantener la confidencialidad de los únicamente con la autorización del
datos personales tratados (deber de titular, salvo las excepciones previstas
privacidad del titular, es decir, la
confidencialidad). en la Ley, y hacer del conocimiento de
confianza que depositó este último en el
8. Implementar medidas de seguridad de los receptores de los datos personales
responsable, respecto de los datos
carácter administrativo, físico y técnico el aviso de privacidad y las finalidades a
personales que serán tratados que garanticen la confidencialidad e las que el titular sujetó el tratamiento
conforme a lo que acordaron y en los integridad de los datos personales de su información personal.
términos establecidos por la Ley (deber de seguridad).
9. Informar al titular, sin demora alguna, Fase 3. Una vez agotadas las finalidades que
(principio de lealtad).
sobre las vulneraciones de seguridad justificaron el tratamiento de los datos
3. Limitar el tratamiento de la información ocurridas en cualquier fase del personales, el responsable debe:
personal al cumplimiento de las tratamiento que afecten de forma
finalidades previamente consentidas significativa los derechos patrimoniales 1. Suprimir los datos personales cuando
por el titular (principio de finalidad). o morales de éste, en cuanto se hayan concluido las finalidades que
4. Usar los datos personales que resulten confirme la vulneración sucedida (deber dieron origen al tratamiento, previo
estrictamente necesarios para cumplir de seguridad). bloqueo (principio de calidad).”
con las finalidades para las cuales 10. Adoptar las medidas necesarias para
fueron recabados (principio de cumplir con las obligaciones Un ejemplo concreto de cómo se han
proporcionalidad). establecidas en la Ley (principio de incorporado estos principios a la normativa
responsabilidad). nacional sería el caso de México, de manera que
a continuación se centra la atención en la
misma, sin perjuicio de las correspondientes o Guía El ABC del Aviso de Iberoamericana de la Red Iberoamericana
referencias a otros países iberoamericanos o, en Privacidad . 3
de Protección de Datos7.
general, a Iberoamérica.
o Guía para instrumentar medidas • Dictamen con proyecto de Decreto por el
En este sentido, hay varios instrumentos tanto compensatorias4. que se expide la Ley Federal de Protección
nacionales como internacionales relevantes a de Datos Personales en Posesión de los
los que se puede, y en su caso debe, atender • Guía para la implementación del Principio Particulares (citado como Dictamen con
para estudiar los principios y deberes en materia de Responsabilidad Demostrada proyecto de Decreto por el que se expide la
de protección de datos personales. (Accountability) de la Delegatura LFPDPPP)8.
Entre los principales documentos e colombiana para la protección de datos • Estándares Internacionales sobre
instrumentos, tanto nacionales como personales5. Protección de Datos Personales y Privacidad
internacionales, a los que se hace referencia, se • Informe sobre Privacidad y Protección de (Resolución de Madrid)9.
encuentran: Datos Personales, Comité Jurídico • Informe sobre la norma ISO/IEC Nº 27.018,
Interamericano (CJI) de la Organización de del 1 de agosto de 2014, perteneciente a la
• Guías del Instituto Nacional de los Estados Americanos (OEA), de 26 de familia de la Serie 27.000 relativas a la
Transparencia, Acceso a la Información y marzo de 20156. seguridad de la información, Unidad
Protección de Datos Personales (INAI): • Directrices para la armonización de la
o Guía para cumplir con los principios protección de datos en la Comunidad
y deberes de la Ley Federal de
Protección de Datos Personales en
7
Disponible en
3
Disponible en http://www.redipd.es/actividades/seminarios_2007/c
Posesión de los Particulares (en http://abcavisosprivacidad.ifai.org.mx/#seccion1_02P ommon/directrices_armonizacion_iberoamerica_sem
adelante, Guía del INAI para cumplir 4
Disponible en inario_2007.pdf
http://inicio.inai.org.mx/DocumentosdeInteres/Guia_ 8
Disponible en
con los principios y deberes de la
para_instrumentar_medidas_compensatorias.pdf http://www3.diputados.gob.mx/camara/content/dow
LFPDPPP)2.. 5
Disponible en nload/231031/621446/file/Version_final_ley_proteccio
http://www.sic.gov.co/drupal/recursos_user/docume n_datos_personales.pdf
ntos/noticias/Guia_Accountability.pdf 9
Disponibles en
2
Disponible en: 6
Disponible en https://secure.edps.europa.eu/EDPSWEB/webdav/site
http://inicio.inai.org.mx/DocumentosdeInteres/Guia_ http://www.oas.org/es/sla/ddi/docs/CJI-doc_474- /mySite/shared/Documents/Cooperation/Conference
obligaciones_lfpdppp_julio2014.pdf 15_rev2.pdf _int/09-11-05_Madrid_Int_standards_ES.pdf
Reguladora y de Control de Datos de que se estén tratando ya los datos
Personales de Uruguay . 10
En relación con este principio, las Directrices personales, el tratamiento que no cumpla con
para la armonización de la protección de datos dicho principio resulta ser ilícito, de forma que
Por tanto, se recomienda una lectura analítica en la Comunidad Iberoamericana, indican que: los datos personales tendrán que cancelarse.
del presente documento, consultando y leyendo,
en su caso, los documentos citados en la “los datos sólo podrán ser recabados y 3.2.2 Importancia y utilidad
bibliografía de este módulo así como otras tratados de buena fe, con estricto respeto
lecturas que puedan ser de interés. por la Ley y los derechos de las personas y de El Informe del Comité Jurídico Interamericano
conformidad a lo previsto en las presentes (CJI) de la OEA sobre Privacidad y Protección de
3.2 Principio de la licitud directrices.” 12
Datos se refiere a este principio al enunciar y
explicar el principio relativo a los propósitos
3.2.1 Concepto Se trata de un principio que tiene que darse en legítimos y justos13. En concreto, indica que
La licitud, como principio de la protección de todo tratamiento de datos personales, ya que de dicho principio “abarca dos elementos: 1) los
datos, significa que el tratamiento de los datos no ser así dicho tratamiento sería ilícito. En caso “fines legítimos” para los cuales se recopilan
personales tenga que hacerse, siempre, de inicialmente los datos personales y 2) los
OEA en relación con este concepto “ofrezcan opciones
forma lícita y legítima o leal, con apego a la “medios justos y legales” con los cuales se
apropiadas a las personas con respecto a la forma y el
normativa aplicable y conforme lo acordado momento en que vayan a proporcionar datos efectúa la recopilación inicial.”
personales a controladores de datos en los casos en Con carácter general es necesario mencionar
entre el responsable del tratamiento y el titular
que no sea razonable prever que puedan recopilarse en
de los datos personales, bajo los términos vista de la relación de las personas con el recopilador o que este principio de licitud está también
establecidos, de manera que se cumpla con la procesador de datos y del aviso o los avisos que hayan interrelacionado con otros principios como los
recibido en el momento en que se recopilaron sus
expectativa razonable de privacidad11. datos. Las opciones que se ofrezcan a las personas no de finalidad e información, ya que será necesario
deberían interferir en las actividades y en la obligación proporcionar información que permita al titular
10
Disponible en de los controladores de datos de promover la seguridad
de los datos personales conocer claramente
http://datospersonales.gub.uy/wps/wcm/connect/urc externa e interna y el cumplimiento de la normativa ni
dp/1b7dd9bb-0544-4a42-a272- impedir que empleen prácticas comúnmente aceptadas para qué serán tratados sus datos personales,
7b7928976001/Informe+ISO+%281%29.pdf?MOD=AJP para la recopilación y utilización de datos personales. debiendo obviamente ser una finalidad lícita.
ERES&CONVERT_TO=url&CACHEID=1b7dd9bb-0544- Al aplicar estos principios, los Estados Miembros
4a42-a272-7b7928976001 podrían establecer un requisito de “justicia” separado
11
En este sentido, la “justicia” del tratamiento sería del tema del engaño.”. Informe ya citado, pág. 7.
una cuestión adicional, ya que como indica el CJI de la 12
Ya citadas. Pág. 14. 13
Ya citado. Págs. 5 a 7.
Es así que en cuanto al primer elemento, el divulgarán los datos.” Al respecto, y a modo de publicitarios impresos o mensajes por correo
relativo a que los fines sean legítimos, el ejemplo, el citado informe hace referencia al electrónico a fin de engañar a los consumidores
referido informe del CJI de la OEA indica que este caso en el que “se requiere esta información e inducirles a dar el número de su tarjeta de
requisito o condición de legalidad para el para garantizar que el reembolso se envíe a la crédito, información sobre cuentas bancarias u
tratamiento de los datos personales “es una dirección correcta del reclamante.” otros tipos de información personal delicada.”15
norma fundamental, profundamente arraigada En cuanto al segundo componente, el relativo A este principio se refieren también los
en valores democráticos básicos y en el estado a que los medios para el tratamiento de los Internacionales sobre Protección de Datos
de derecho. En principio, la recopilación de datos personales sean justos y legales, el Personales y Privacidad, ya mencionados, en su
datos personales debe ser limitada y realizarse informe del CJI de la OEA indica, con carácter artículo 6, bajo el título principio de lealtad y
con el conocimiento o el consentimiento de la general, que “[l]os datos personales se recopilan legalidad, en los siguientes términos:
persona.” por medios justos y legales cuando la
También que “[e]l requisito de legalidad recopilación es compatible tanto con los “1. Los tratamientos de datos de carácter
abarca el concepto de legitimidad y excluye la requisitos jurídicos pertinentes como con las personal se deberán realizar de manera leal,
recopilación arbitraria y caprichosa de datos expectativas razonables de las personas basadas respetando la legislación nacional aplicable y
personales. Implica transparencia y una en su relación con el controlador de datos o con los derechos y libertades de las personas, de
estructura jurídica a la cual pueda tener acceso otra entidad que recopile los datos y en el aviso conformidad con lo previsto en el presente
la persona cuyos datos estén recopilándose.” o los avisos dados a las personas en el momento Documento y con los fines y principios de la
Y llama la atención sobre aquellos casos en los en que se recopilen sus datos.” 14
Declaración Universal de Derechos Humanos
que el tratamiento de los datos personales no Y lo anterior significa o implica, en la práctica, y del Pacto Internacional de Derechos Civiles
esté previsto en una norma legal o regulación que quede prohibida “la obtención de datos y Políticos.
que la prevea, sino que dependa, por ejemplo, personales por medio de fraude, engaño o con 2. En particular, se considerarán desleales
del tratamiento que el responsable vaya a pretextos falsos”. El informe también cita, a aquellos tratamientos de datos de carácter
realizar para, por ejemplo, prestar un servicio al continuación, un ejemplo, en el que el personal que den lugar a una discriminación
titular de los datos, en cuyo caso “deben indicar mencionado principio “[s]e infringiría, por injusta o arbitraria contra los interesados.”
claramente los fines para los cuales se recopilan ejemplo, si una organización se hiciera pasar por
los datos, a fin de que la persona pueda otra en llamadas de tele marketing, avisos
entender cómo se recopilarán, usarán o
14
Informe ya citado. Pág. 7. 15
Véase la nota a pie de página anterior.
Atendiendo a ejemplos concretos de cómo se manera que el tratamiento de los datos El principio de licitud requiere que el
formula o articular este principio en la personales por el responsable debe asegurar responsable del tratamiento tenga que adoptar
normatividad, cabe mencionar el caso de que “los datos personales serán tratados medidas para asegurar que el tratamiento de los
México, donde es relevante la explicación dada, conforme lo acordado y bajo los términos datos personales se hace:
por su claridad y transcendencia, la versión final establecidos” .17
del Dictamen con proyecto de Decreto por el que Se trata también de uno de los principios que 1. Con pleno cumplimiento de la
se expide la LFPDPPP . El citado Dictamen
16
legitiman el tratamiento de datos personales, y legalidad;
indica sobre este principio que: que de no cumplirse el mismo, dicho 2. Respeto de la buena fe, y
tratamiento resultaría ilícito, pudiendo ser 3. Respeto de los derechos del individuo,
“implica que el tratamiento de los datos además objeto de sanción económica, en la cuya información es sometida a
personales debe llevarse a cabo de forma leal forma de multa al responsable, en su caso. tratamiento.
y lícita; es decir, con pleno cumplimiento de Este principio tiene que darse en todas las
la legalidad y respeto de la buena fe y los fases del tratamiento de los datos personales, Y lo anterior se concreta en que el tratamiento
derechos del individuo, cuya información es procediéndose a cancelar los datos personales si de los datos personales se haga sin engaño o
sometida a tratamiento.” alguno de los mismos incumpliese con el mismo fraude o de manera que el individuo no pueda
tanto cuando se recaban u obtienen del conocer con propiedad los términos y
Esto supone, tal y como sigue explicando el interesado como posteriormente, cuando son condiciones vinculados a ese tratamiento, por lo
Dictamen, que en la práctica esté prohibido objeto de tratamiento o uso. que este principio está también vinculado al de
“cualquier tratamiento que implique recabar o información o transparencia en el tratamiento
conservar los datos mediante la utilización de de datos personales, además de estar
engaño o fraude, de forma que el individuo no estrechamente interrelacionado con el principio
pueda conocer con propiedad los términos y 17
En el Dictamen ya citado se explica que: “la de lealtad.
iniciativa del diputado Gustavo Parra añade un
condiciones vinculados a ese tratamiento.” A dicho principio se ha referido también
concepto innovador que refuerza el espíritu que
Es decir, el principio de licitud queda subyace en el principio de licitud denominado como específicamente en México el INAI, que en su
reforzado también al hacer referencia a la “la expectativa razonable de privacidad”, el cual se Guía del INAI para cumplir con los principios y
traduce en la confianza que deposita el titular en el
“expectativa razonable de privacidad”, de responsable en el sentido de que los datos personales deberes de la LFPDPPP indica lo siguiente:
serán tratados conforme lo acordado y bajo los
16
Ya citada. Pág. 29. términos establecidos.” Pág. 29.
“Los datos personales tienen que ser posible resumir esquemáticamente este
tratados por el responsable de manera lícita principio de la siguiente manera :
19
20
Pág. 8 del informe. 21
Pág. 15. 22
Págs. 20 y 30 del Dictamen.
momento, no pudiendo exigirse para esa parte del principio general de legitimación, “Correcto: solicitar el consentimiento para
revocación más requisitos que los que fueron indicando, en el apartado 1 del artículo 12, que: el envío de publicidad de los servicios
necesarios para la previa prestación del deportivos que ofrece la organización.
consentimiento.” “1. Como regla general, los datos de carácter Incorrecto: solicitar el consentimiento para
personal sólo podrán ser tratados cuando el uso de los datos personales en general,
3.3.2 Importancia y utilidad concurra alguno de los siguientes supuestos: para cualquier finalidad que se le ocurra al
a. Previa obtención del consentimiento responsable en el futuro.”24
En la práctica, como indica la Guía del INAI hay libre, inequívoco e informado del
que considerar que “[c]omo regla general, el interesado.” Es así que, cuando es necesario obtenerlo
responsable deberá contar con el para el tratamiento de los datos personales, el
consentimiento del titular para el tratamiento de Es decir, el consentimiento no siempre es consentimiento tiene que ser válido ya de que no
sus datos personales. La solicitud del necesario para el tratamiento de los datos haber sido obtenido o de haberse obtenido de
consentimiento deberá ir siempre ligada a las personales ya que puede haber finalidades que forma no adecuada, por ejemplo, obtener un
finalidades concretas del tratamiento que se no requieran el mismo para poder tratar los consentimiento que no sea expreso y por escrito
informen en el aviso de privacidad, es decir, el datos, como por ejemplo cuando el responsable cuando así se requiera, implica que el
consentimiento se deberá solicitar para tratar tiene que cumplir una relación contractual con tratamiento de los datos personales sea ilícito, lo
los datos personales para finalidades el titular de los datos personales o tratarlos en que podría dar lugar a la imposición de una
específicas, no en lo general.” 23
virtud de una obligación legal. sanción por dicha razón. Y dicho tratamiento
El consentimiento es también, junto con los Además, el consentimiento tiene que ser ilícito vulnera el derecho a la protección de
demás, uno de los principios que legitima el válido, lo que implica que tenga que cumplir con datos personales de su titular.
tratamiento de los datos personales cuando el unas ciertas características, como se ha indicado Por último, como indica el informe del CJI de
mismo es necesario. ya, además de solicitarlo y obtenerlo en relación la OEA25 “[e]l método para obtener el
Al respecto, los Estándares Internacionales con finalidades específicas. Al respecto, la Guía consentimiento debe ser apropiado para la edad
sobre Protección de Datos Personales y del INAI, ya mencionada, indica que es: y la capacidad de la persona afectada (si se
Privacidad incluyen el consentimiento como
23
Guía del INAI para cumplir con los principios y 24
Pág. 18.
deberes de la LFPDPPP. Pág. 18. 25
Ya citado. Pág. 8.
conocen) y para las circunstancias particulares Sobre los tipos del consentimiento, el de datos sensibles, y en aquellos en los que
del caso.” Dictamen con proyecto de Decreto por el que se se ha modificado por el responsable de la
expide la LFPDPPP indica que : 27
base de datos de manera sustancial y
3.3.3 Tipos de consentimiento antagónica, la finalidad originaria para la
“El consentimiento tácito resultará de cual fueron recabados, con excepción del
Atendiendo a la normatividad mexicana sobre hechos o actos que lo presupongan o que tratamiento que efectúa el sector de
protección de datos personales y, en particular a autoricen a presumirlo, excepto en los prospección comercial.”
cómo lo resume la Guía del INAI, ya citada, los casos en que por ley o por convenio la
tipos o formas del consentimiento, cuando éste voluntad deba manifestarse expresamente. Por lo que se refiere a cómo obtener cada uno
es necesario para el tratamiento de los datos Este tipo de consentimiento es conocido de estos tipos o formas del consentimiento,
personales, son las siguientes : 26
también como el opt-out y resulta nodal siguiendo con el resumen hecho en la Guía del
para el sano flujo de datos en el comercio y INAI, sería así en cada caso:
Tipo o forma del Datos personales crecimiento económico, ya que si se
consentimiento requiriera acreditar de manera fehaciente Tipo o forma del Obtención del
Cualquier tipo de dato que la persona ha consentido el consentimiento consentimiento
Tácito
personal, con excepción tratamiento, tendría que hacerse por Se obtiene si el titular no
Tácito
de los datos escrito estampando su firma o a través de se niega a que sus datos
patrimoniales, personales sean
financieros y sensibles. otro medio de autenticación, lo cual podría
tratados, después de
Expreso Datos financieros y entorpecer el dinamismo de las
haber conocido el aviso
patrimoniales. transacciones comerciales. de privacidad. Es decir,
Por su parte, el consentimiento será no es necesario que
Expreso y por Datos personales quede registrado que el
escrito sensibles expreso cuando se manifieste por escrito,
titular autorizó el
medios electrónicos, ópticos o por tratamiento de su
cualquier otra tecnología, o por signos información personal,
inequívocos. Este tipo de consentimiento sino que es suficiente
con que no se niegue al
solo se requiere en el caso del tratamiento
tratamiento.
26
Págs. 18 y 19 de la Guía para cumplir con los Expreso El titular de los datos
principios y deberes de la LFPDPPP. 27
Pág. 30.
personales deberá financieros tendrá que solicitar el 3.3.4 Excepciones al principio de
señalar expresamente
consentimiento expreso, y de datos personales consentimiento
que consiente el
tratamiento de sus datos sensibles, el expreso y por escrito”, salvo que
personales. concurra alguna excepción legalmente prevista El consentimiento, con carácter general, será
a la obtención de dicho consentimiento. necesario, salvo que concurra alguna excepción
Expreso y por Se deberá otorgar por
También, hay que atender a los medios para prevista en la ley. En este sentido, puede haber
escrito escrito, mediante firma
autógrafa, huella obtener el consentimiento, en particular cuando excepciones al consentimiento tanto por lo que
dactilar, firma éste es expreso o, en su caso, expreso y por se refiere tanto al momento de obtener o
electrónica del titular o escrito, de manera que como resume la Guía del recabar los datos personales como al de
cualquier otro
INAI “se puede obtener a través del aviso de transferir o comunicarlos, nacional o
mecanismo autorizado
que permita identificarlo privacidad o de cualquier otro documento físico internacionalmente, a un nuevo responsable del
plenamente. o electrónico que determine el responsable. En tratamiento.
ese sentido, NO es necesario que el Es así que, si por ejemplo atendemos a la
Y como sigue indicando la Guía del INAI , hay 28
consentimiento se obtenga por medio del aviso normatividad mexicana sobre protección de
que considerar también que “si una ley o de privacidad. Por ejemplo, el consentimiento datos personales, en concreto a la LFPDPPP,
reglamento, en lo particular, exige el expreso y por escrito se podría obtener a través ésta contempla las siguientes excepciones al
consentimiento expreso o expreso y por escrito de un formato o contrato, y el expreso por medio consentimiento:
para el tratamiento, el responsable deberá de una grabación telefónica o de una casilla en
solicitarlo de esa forma, aunque no se trate de formato electrónico. No obstante, hay que 1) Para el tratamiento (obtención) de los
datos financieros, patrimoniales o sensibles. Por recordar que, en todos los casos, de manera datos personales:
otra parte, si el responsable lo considera previa se debe dar a conocer el aviso de “Artículo 10.- No será necesario el
necesario o conveniente, o lo acuerda con el privacidad. consentimiento para el tratamiento de los
titular, podrá solicitar el consentimiento expreso Es importante tener en cuenta, que el medio datos personales cuando:
o expreso y por escrito en cualquier caso. Lo que el responsable ponga a disposición del I. Esté previsto en una Ley;
importante es que el responsable tenga claro titular para obtener su consentimiento debe ser II. Los datos figuren en fuentes de
que cuando se trate de datos patrimoniales y sencillo y gratuito.” 29
acceso público;
28
Págs. 19 y 20. 29
Pág. 23.
III. Los datos personales se sometan a sociedad matriz o a cualquier sociedad
un procedimiento previo de 2) Para su transferencia (entre dos del mismo grupo del responsable que
disociación; responsables, el que los transfiere y opere bajo los mismos procesos y
el que recibe dicha transferencia), políticas internas;
IV. Tenga el propósito de cumplir nacional o internacional, de los
obligaciones derivadas de una relación datos personales: IV. Cuando la transferencia sea
jurídica entre el titular y el responsable; necesaria por virtud de un contrato
“Artículo 37.- Las transferencias celebrado o por celebrar en interés del
V. Exista una situación de emergencia nacionales o internacionales de datos titular, por el responsable y un tercero;
que potencialmente pueda dañar a un podrán llevarse a cabo sin el
individuo en su persona o en sus bienes; consentimiento del titular cuando se dé V. Cuando la transferencia sea necesaria
alguno de los siguientes supuestos: o legalmente exigida para la
VI. Sean indispensables para la atención salvaguarda de un interés público, o
médica, la prevención, diagnóstico, la I. Cuando la transferencia esté prevista para la procuración o administración de
prestación de asistencia sanitaria, en una Ley o Tratado en los que México justicia;
tratamientos médicos o la gestión de sea parte;
servicios sanitarios, mientras el titular VI. Cuando la transferencia sea precisa
no esté en condiciones de otorgar el II. Cuando la transferencia sea necesaria para el reconocimiento, ejercicio o
consentimiento, en los términos que para la prevención o el diagnóstico defensa de un derecho en un proceso
establece la Ley General de Salud y médico, la prestación de asistencia judicial, y
demás disposiciones jurídicas aplicables sanitaria, tratamiento médico o la
y que dicho tratamiento de datos se gestión de servicios sanitarios; VII. Cuando la transferencia sea precisa
realice por una persona sujeta al secreto para el mantenimiento o cumplimiento
profesional u obligación equivalente, o III. Cuando la transferencia sea de una relación jurídica entre el
efectuada a sociedades controladoras, responsable y el titular.”
VII. Se dicte resolución de autoridad subsidiarias o afiliadas bajo el control
competente.” común del responsable, o a una
3.3.5 Revocación del consentimiento Sobre la revocación del consentimiento, los ejemplo para fines mercadotécnicos,
Estándares Internacionales sobre Protección de publicitarios o de estudios comerciales, entre
Como indica el informe del CJI de la OEA “[u]na Datos Personales y Privacidad indican, en el otros. Con la segunda modalidad, la
persona tiene derecho a retirar el apartado 2 del artículo 12, que “persona revocación parcial del consentimiento, se
consentimiento según la índole del responsable deberá habilitar procedimientos mantienen a salvo otros fines del
consentimiento dado y los fines para los cuales sencillos, ágiles y eficaces que permitan a los tratamientos que el responsable, de
se recopile la información. En general, el retiro interesados revocar su consentimiento en conformidad con su aviso de privacidad,
del consentimiento no afecta la validez de lo que cualquier momento, y que no impliquen puede llevar a cabo y con los que el titular
ya se haya hecho sobre la base del demoras o costes indebidos, ni ingreso alguno está de acuerdo.
consentimiento.” 30
para la persona responsable.” Por lo anterior, será necesario que el titular
Es decir, el consentimiento que ha sido dado En la práctica, el titular de los datos al momento de hacerle llegar su solicitud de
por el titular de los datos personales para su personales podrá revocar su consentimiento en revocación de consentimiento al
tratamiento puede ser revocado, siempre y cualquier momento, de manera que el responsable, indique en ésta si la revocación
cuando no exista una obligación legal para el responsable del tratamiento debería establecer que pretende realizar es total o parcial; en
responsable de tratarlos. un procedimiento para gestionar dicha caso de ser del segundo tipo, se deberá
Al respecto, como explica el Dictamen con revocación. indicar cuál o cuáles tratamientos son
proyecto de Decreto por el que se expide la Por último, como indica el INI en su Guía aquéllos con los que el titular no está
LFPDPPP, el consentimiento “puede ser práctica para la atención de las solicitudes de conforme.”32
revocado por el individuo en cualquier Ejercicio de los Derechos ARCO:
momento, no pudiendo exigirse para esa “Se deberá tener en cuenta que existen
revocación más requisitos que los que fueron dos modalidades en las que la revocación del
necesarios para la previa prestación del consentimiento puede darse; la primera,
consentimiento.” 31
puede ser sobre la totalidad de las
finalidades consentidas, esto es, que el
responsable deje de tratar por completo los
datos del titular; la segunda, puede ocurrir
30
Pág. 9 del citado informe. sobre tratamientos determinados, como por
31
Pág. 30 del Dictamen. 32
Pág. 12.
3.4 Principio de información recopilen. Además, se debe informar a las 4.2. Cuando los datos no hayan sido
personas sobre las prácticas y políticas de las obtenidos del interesado deberá
3.4.1 Concepto entidades o personas que recopilen los datos informarse al mismo de los extremos
personales, a fin de que puedan tomar una previstos en el párrafo anterior en un plazo
El principio de información es otro de los decisión fundamentada con respecto al prudencial de tiempo y, en todo caso, con
fundamentales, ya que a través del mismo el suministro de tales datos. Sin claridad, el anterioridad a que los datos sean
responsable del tratamiento informa al titular de consentimiento de la persona con respecto a la comunicados a un tercero.” 34
los datos personales, entre otros aspectos, sobre recopilación de los datos no puede ser válido.” 33
qué datos personales obtiene y para qué los va a Por su parte, las Directrices para la 3.4.2 Importancia y utilidad
tratar. Este principio está vinculado con otros armonización de la protección de datos en la
principios relevantes, tales como los de Comunidad Iberoamericana, indican que: Como expone el Dictamen con proyecto de
finalidad, calidad y consentimiento. Decreto por el que se expide la LFPDPPP, el
Además, la información que el responsable “4.1 El interesado del que se recaben principio de información se traduce
proporcione al titular de los datos personales es los datos deberá ser informado al tiempo “necesariamente en el derecho, y correlativo
fundamental para que éste pueda ejercer sus de su recogida de la identidad del deber para la entidad o persona responsable, de
derechos de acceso, rectificación, cancelación u responsable del tratamiento, los fines para poder conocer efectivamente la existencia
oposición (derechos ARCO), ya que podrá saber los que los datos vayan ser tratados y el misma del tratamiento y las características
quién trata sus datos personales para dirigirse al modo en que podrá hacer efectivos los esenciales del mismo, en términos que le
mismo. derechos a los que se refieren los apartados resulten fácilmente comprensibles.”35
La información que se proporcione a titular de 5 y 6 de estas directrices, así como de Es decir, como indica a continuación, este
los datos sobre el tratamiento o los tratamientos cualquier otra información necesaria para principio “permite a la persona conocer los
de sus datos personales es también una cuestión garantizar un tratamiento lícito de los tratamientos de sus datos personales que están
de transparencia por el responsable del datos. Esta obligación solamente quedará siendo llevados a cabo y, lo que resulta esencial,
tratamiento y al respecto el informe del CJI de la exceptuada si el interesado hubiera sido ya ejercer los derechos comúnmente reconocidos
OEA explica que “los fines para los cuales se informado con anterioridad de estas en relación con esos tratamientos. Desde el
recopilan datos personales deben especificarse circunstancias.
claramente en el momento en el cual se
34
Pág. 15.
33
Pág. 8 del citado informe. 35
Págs. 34 y 35.
punto de vista de su extensión, el principio de obligado a poner a su disposición el aviso de implementar medidas para cumplir con el
información ha de aplicarse a todos los privacidad.” 36
principio de información.
tratamientos que se lleven a cabo, con En el caso de México, es importante destacar
independencia de si los datos proceden del que el INAI ha elaborado varias herramientas y 3.4.3 Aviso de privacidad
titular de los datos o de otras fuentes, así como a ha puesto a disposición de los sujetos obligados
la información útil relativa a cada uno de ellos. El varios instrumentos en relación con este El aviso de privacidad (en México), al que en
principio de información se materializa a través principio, que les servirá para poder adoptar e otros lugares se denomina también como
de un aviso de privacidad, el cual debe darse a implementar medidas en la práctica. Dichas cláusula de protección de datos (por ejemplo, en
conocer al momento de la recolección de los herramientas y documentos, que se encuentran España), como veremos a continuación, sirve al
datos personales.” disponibles en el sitio web del Instituto , son:
37
responsable del tratamiento para facilitar al
La Guía del INAI se refiere también a este titular de los datos personales la información
principio indicando que “los responsables se 1. El Generador de Avisos de Privacidad relativa al tratamiento de los mismos.
(GAP);
encuentran obligados a informar a los titulares
2. La guía El ABC del Aviso de Privacidad38;
de los datos personales, las características 3. El formato de auto-evaluación de avisos 3.4.3.1 Concepto de Aviso de privacidad
principales del tratamiento al que será sometida de privacidad para responsables; En México, el aviso de privacidad es definido, en
su información personal, lo que se materializa a 4. Modelo de aviso de privacidad corto la fracción I, del artículo 3 de la LFPDPPP, como
para video vigilancia; y
través del aviso de privacidad. En ese sentido, el “[d]ocumento físico, electrónico o en
5. Modelo de aviso de privacidad
todo responsable que trate datos personales, sin cualquier otro formato generado por el
simplificado en video.
importar la actividad que realice o si se trata de responsable que es puesto a disposición del
una persona física o moral, requiere elaborar y titular, previo al tratamiento de sus datos
Y a los mismos se hará referencia, en su caso,
poner a disposición los avisos de privacidad que personales, de conformidad con el artículo 15 de
en los siguientes apartados como ejemplos
correspondan a los tratamientos que lleven a la presente Ley.”
prácticos y concretos a la hora de adoptar e
cabo. A su vez, el artículo 15 de la LFPDPPP se refiere
Es importante tomar en cuenta que con a la obligación que tiene el responsable del
independencia de que se requiera o no el
36
Pág. 32. tratamiento “de informar a los titulares de los
37
Véase el vínculo electrónico http://www.inai.org.mx
consentimiento del titular para el tratamiento de 38
Disponible en datos, la información que se recaba de ellos y
sus datos personales, el responsable está http://abcavisosprivacidad.ifai.org.mx/PDF/El%20ABC con qué fines, a través del aviso de privacidad.”
%20del%20Aviso%20de%20Privacidad.pdf
En este sentido, la guía del INAI titulada El ABC 3.4.3.2 Lineamientos del Aviso de • Las modalidades del aviso de privacidad;
del Aviso de Privacidad explica que el aviso de
39 privacidad • Su contenido, ya sea el aviso de
privacidad “[e]s un documento físico, En el caso de México, además de la LFPDPPP y su privacidad integral, simplificado o corto, y
electrónico o en cualquier otro formato (por Reglamento hay que tomar en cuenta los • Buenas prácticas a considerar en relación
ejemplo sonoro), a través del cual el Lineamientos del Aviso de privacidad 40
que con el aviso de privacidad en materia de:
responsable informa al titular sobre la “tienen por objeto establecer el contenido y o Identidad y domicilio del
existencia y características principales del alcance de los avisos de privacidad, en términos responsable;
tratamiento al que serán sometidos sus datos de lo dispuesto por dicha Ley y su Reglamento”, o Listado de datos personales;
personales. A través del aviso de privacidad se tal y como se indica en el primer Lineamiento . 41
o Información sobre transferencias;
cumple el principio de información que Los Lineamientos del Aviso de privacidad o Tratamiento de datos personales
establece la Ley Federal de Protección de Datos fueron emitidos por la Secretaría de Economía de menores de edad y personas en
Personales en Posesión de los Particulares (en lo en coadyuvancia con el INAI y determinan el estado de interdicción o
sucesivo la Ley) y su Reglamento.” contenido y alcance del aviso de privacidad, de incapacidad;
Por lo tanto, quien tiene que cumplir con manera que, además de cuestiones generales, o Obtención del consentimiento
dicha obligación es el responsable del los Lineamientos se refieren a: expreso y expreso y por escrito del
tratamiento, con independencia de que en la • Su puesta a disposición; titular;
práctica tuviera un encargado del tratamiento o Toma de decisiones sin
que recabase los datos personales, en su
40
Publicados en el Diario Oficial de la Federación del intervención humana, y
17 de enero de 2013 y disponibles en
nombre y por su cuenta, y fuera éste quien http://dof.gob.mx/nota_detalle.php?codigo=5284966 o Atención de quejas y denuncias.
proporcionase al titular de los datos personales &fecha=17/01/2013
41
Además, el INAI sometió a consulta pública, entre el
el aviso de privacidad, lo cual hará también 28 de septiembre y el 18 de octubre de 2015, varios
siguiendo las instrucciones del responsable del anteproyectos de Lineamientos entre los que se
encontraban los Lineamientos que los sujetos
tratamiento.
obligados deben seguir al momento de generar
información, en un lenguaje sencillo, procurando su
accesibilidad y traducción a lenguas indígenas. Al
respecto, puede verse el Comunicado del INAI, de 7 de
octubre de 2015, disponible en el vínculo electrónico
http://inicio.inai.org.mx/Comunicados/Comunicado%
39
Ya citada. 20INAI-124-15.pdf
3.4.3.2.1 Elementos mínimos que debe tener VI. El procedimiento y medio por el cual trata los datos
el Aviso de privacidad el responsable comunicará a los personales;
En cuanto a los elementos mínimos que debe titulares de cambios al aviso de P
II. Los datos O O
tener el aviso de privacidad, el artículo 16 de la privacidad, de conformidad con lo personales que
LFPDPPP indica que: previsto en esta Ley. serán sometidos
“El aviso de privacidad deberá contener, al En el caso de datos personales a tratamiento;
menos, la siguiente información: sensibles, el aviso de privacidad deberá P
III. El O O
señalar expresamente que se trata de señalamiento
I. La identidad y domicilio del este tipo de datos.” expreso de los
responsable que los recaba; datos
Además de los elementos indicados en la personales
II. Las finalidades del tratamiento de LFPDPPP, hay que atender también al sensibles que se
datos; Reglamento de la LFPDPPP y a los Lineamientos tratarán;
del Aviso de privacidad, considerando la IV. Las P P
P
finalidades del
III. Las opciones y medios que el modalidad del aviso de privacidad (integral,
tratamiento;
responsable ofrezca a los titulares para simplificado y corto). V. Distinguir P P O
limitar el uso o divulgación de los datos; En función de cada una de las modalidades entre las
finalidades que
del aviso de privacidad y siguiendo la Guía del son necesarias y
IV. Los medios para ejercer los derechos INAI para cumplir con los principios y deberes de dieron origen a
la relación
de acceso, rectificación, cancelación u la LFPDPPP, los elementos que debe tener el
jurídica, de las
oposición, de conformidad con lo aviso de privacidad son los siguientes: que no lo son;
dispuesto en esta Ley; VI. Los P P O
mecanismos
Elemento Integral Simplificado Corto para que el
V. En su caso, las transferencias de informativo titular pueda
manifestar su
datos que se efectúen, y I. La identidad y P P P negativa para el
domicilio del tratamiento de
sus datos
responsable que
personales para
aquellas su través de los
finalidades que consentimiento cuales el
no son al tratamiento responsable
necesarias, ni de sus datos comunicará a los
hayan dado personales; titulares los
origen a la XI. Las opciones P O O cambios al aviso
relación jurídica y medios que el de privacidad;
con el responsable XIV. Los
O P P
responsable; ofrece al titular mecanismos
VII. Las P O O para limitar el para que el
transferencias uso o titular conozca
de datos divulgación de el texto
personales que, los datos completo del
en su caso, se personales; aviso de
efectúen; el XII. La O O privacidad
P
tercero receptor información integral.
de los datos sobre el uso de
personales, y las mecanismos en
finalidades de medios remotos La lista completa de los elementos que deberá
las mismas; o locales de tener el aviso de privacidad, conforme a la
VIII. La cláusula P O O comunicación
que indique si el electrónica, LFPDPPP, su Reglamento y los Lineamientos,
titular acepta o óptica u otra puede verse en do el apéndice único de El ABC
no la tecnología, que
del Aviso de Privacidad42.
transferencia, permitan
cuando así se recabar datos
requiera; personales de 3.4.3.2.2 Puesta a disposición
IX. Los medios y P O O manera
el automática y Con carácter general, tal y como se indica en El
procedimiento simultánea al ABC del Aviso de Privacidad, el momento de
para ejercer los tiempo que el
poner a disposición del titular de los datos
derechos ARCO; titular hace
X. Los P O O contacto con los personales el aviso de privacidad “depende de la
mecanismos y mismos, en su forma en que se obtengan los datos personales,
procedimientos caso;
para que, en su XIII. Los
caso, el titular procedimientos
pueda revocar y medios a
42
Disponible en
http://abcavisosprivacidad.ifai.org.mx/#seccion1_08
es decir, si éstos se recaban personal, directa o
indirectamente del titular.”
Al respecto, siguiendo la citada guía del INAI
“el aviso de privacidad se pone a disposición en
los siguientes momentos”:
44
Fracción VI y VII del Lineamiento tercero.
43
Fracciones III a V del Lineamiento tercero. 45
Páginas 35 a 37.
Momento de la puesta a Forma de obtención de los datos
disposición
A. Previo a la obtención Personal Se entiende que los datos personales se obtienen de manera personal, cuando el
de los datos personales titular los proporciona al responsable con la presencia física de ambos, por
ejemplo en una entrevista presencial o en las instalaciones del responsable.
Directa Por su parte, los datos personales se obtienen de manera directa cuando el propio
titular los proporciona por algún medio que permite su entrega directa al
responsable, entre ellos, medios electrónicos, ópticos, sonoros, visuales o
cualquier otra tecnología, como correo postal, Internet o vía telefónica. Por
ejemplo, el llenado de un formulario por Internet, el envío de los datos personales
por correo electrónico o la entrega de los datos personales a través de una
llamada telefónica.
En todos estos casos, el aviso de privacidad se debe dar a conocer previo a la obtención de los datos personales.
B. Al primer contacto con Indirecta Se entiende que los datos personales se obtienen de manera indirecta cuando el
el titular responsable los obtiene sin que el titular se los haya proporcionado de forma
personal o directa, como por ejemplo a través de una fuente de acceso público o
una transferencia consentida por el titular o que no requiere su consentimiento.
En estos casos en que el responsable no haya obtenido los datos personales directamente del titular, deberá dar a conocer
el aviso de privacidad al primer contacto que tenga con éste, siempre y cuando el tratamiento requiera el contacto entre el
responsable y el titular.
C. Previo al Indirecta. Ver inciso B.
aprovechamiento de los Ahora bien, a diferencia del caso expuesto en el inciso anterior, en este supuesto, el tratamiento de los datos personales no
datos personales involucra el contacto con los titulares, por lo que la puesta a disposición del aviso de privacidad no puede ser al primer contacto.
Por ejemplo, los datos se obtuvieron de una fuente de acceso público y se utilizarán para un estudio, en el que no se requiere entrar
en contacto con los titulares.
En estos casos, el responsable deberá dar a conocer su aviso de privacidad a los titulares, antes de que comience a utilizar
los datos para las finalidades para las cuales se obtuvieron, partiendo del supuesto de que tiene datos de contacto de los
titulares (para los casos en los que no se cuente con datos de contacto, ver apartado sobre medidas compensatorias de esta
guía). Siguiendo el ejemplo anterior, el aviso de privacidad se debería dar a conocer antes de iniciar la elaboración del
estudio.
D. Previo al Personal o directa. Ver inciso A.
aprovechamiento de los Ahora bien, en este supuesto se parte del hecho de que el responsable ya tiene los datos personales del titular, los cuales obtuvo
datos personales para cierta finalidad que le fue informada al titular en su momento, y que éste consintió, en el caso que se haya requerido el
consentimiento. Sin embargo, el responsable requiere tratar los datos personales para nuevas finalidades. En un caso así, el
responsable deberá poner a disposición del titular el aviso de privacidad con las nuevas finalidades, previo al
aprovechamiento de los datos personales, es decir, antes de que los datos sean utilizados para las nuevas finalidades.
3.4.3.2.3 Modalidades
En cuanto a las modalidades, el aviso de Sin perjuicio de lo anterior, como indica el
privacidad puede ser integral, simplificado y mencionado Lineamiento, es necesario tener en
corto. consideración que “[l]a puesta a disposición del
Como indica el decimoctavo de los aviso de privacidad simplificado o corto no
Lineamientos, conforme a la LFPDPPP y su exime al responsable de su obligación de
Reglamento, el aviso de privacidad “se podrá proveer los mecanismos para que el titular
poner a disposición en las siguientes pueda conocer el contenido del aviso de
modalidades”. privacidad integral.”
Por último, en El ABC del Aviso de Privacidad
Modalidad Casos en los que procede pueden encontrarse modelos de aviso de
53
Al respecto, cabe considerar que el INAI realizó una
consulta pública sobre unos Lineamientos para el uso
de hiperenlaces o hipervínculos en una página de
internet del Instituto Nacional de Transparencia,
Acceso a la Información y Protección de Datos
Personales, para dar a conocer avisos de privacidad a
través de medidas compensatorias.
datos
Perfil de los *tulares de los
publicación
Su lugar de residencia, Vías o canales a través Su alcance geográfico,
edad, género, nivel de de los cuales presta sus impacto y relevancia,
instrucción, nivel servicios u ofrece sus formato, accesibilidad,
socioeconómico, productos, así como temporalidad o
ocupación, acceso los medios habilitados permanencia, entre
efec*vo a las para mantener una otros factores.
Tecnologías de la comunicación general
Información y del o personalizada con
Conocimiento, gustos y sus clientes
preferencias, entre
otros;
en atención a los medios de difusión ya citados “Cuando los datos personales se hayan
En cualquier caso, el citado Criterio General anteriormente (diarios de circulación nacional, obtenido posterior al plazo establecido por el
concluye indicando que el responsable del diarios locales o revistas especializadas, página artículo Tercero Transitorio de la Ley, así
tratamiento deberá prestar atención a la de Internet del responsable, etc.). como en cualquier otro caso que no actualice
necesidad de conseguir: los supuestos y condiciones establecidas en
1. El máximo alcance, y 3.5.3 Modalidades los criterios sexto y séptimo, y el responsable
2. La máxima difusión del aviso de requiera la instrumentación de medidas
privacidad entre los titulares de los Dependiendo de que actualicen o no los compensatorias, será necesario que solicite
datos personales, eligiendo para supuestos y condiciones establecidos en los la autorización expresa del Instituto, de
ello el medio y el periodo más Criterios Generales, se podrán instrumentar conformidad con lo establecido en los
eficiente. medidas compensatorias sin la autorización artículos 32, segundo párrafo, 33, 34 y 35 del
previa y expresa del INAI o, por el contrario, será Reglamento.”
Por último, el decimoséptimo de los Criterios necesaria dicha autorización. Al respecto, el
Generales lista los criterios para la publicación octavo de os Criterios Generales indica que: En los siguientes apartados se atiende,
del aviso de privacidad en los diferentes medios específicamente, a los casos en los que
conforme a los Criterios Generales es posible exija esfuerzos desproporcionados, en 3.5.5 Procedimiento para la solicitud y
instrumentar medidas compensatorias sin los términos que se señalan en el autorización de Medidas
autorización del INAI como aquéllos otros casos artículo Séptimo de los Criterios compensatorias
en los que para instrumentar dichas medidas Generales, antes citado.
compensatorias se requiere la autorización 3. La finalidad para la que se trata los Conforme al artículo 32 del Reglamento de la
previa y expresa del INAI. datos personales en la actualidad sea LFPDPPP55, la autorización expresa del INAI, que
igual, análoga o compatible con aquélla deberá obtenerse previamente a instrumentar
3.5.4 Criterios generales para la para la cual, en su momento, se las medidas compensatorias, es necesaria
instrumentación de Medidas recabaron los datos personales. cuando, tal y como indica la Guía del INAI “no
compensatorias sin la autorización 4. No se requiera el consentimiento del actualicen los supuestos y condiciones previstos
expresa del numeral titular, cuando el tratamiento involucre por los Criterios Generales” 56, de manera que
datos personales sensibles. hay que atender a los siguientes:
Las medidas compensatorias podrán
instrumentarse, según indica la Guía del INAI, Por tanto, siempre que se cumplan los 55
Dicho artículo indica que:
cuando : 54
requisitos establecidos en los Criterios Generales “Medidas compensatorias
Artículo 32. En términos del tercer párrafo del artículo
y no actualice alguno de los casos para tener que
18 de la Ley, cuando resulte imposible dar a conocer
1. Los datos personales se hayan obtenido solicitar la autorización previa y expresa del INAI el aviso de privacidad al titular o exija esfuerzos
–ya sea de manera personal o directa de para instrumentar las medidas compensatorias, desproporcionados, en consideración al número de
titulares o a la antigüedad de los datos, el responsable
los titulares, o bien de manera indirecta- se podrán instrumentar éstas sin dicha podrá instrumentar medidas compensatorias de
, antes del 6 de julio de 2011 (fecha en la autorización. comunicación masiva de acuerdo con los criterios
generales expedidos por el Instituto, mismos que
que vencía el plazo para emitir los serán publicados en el Diario Oficial de la Federación,
avisos de privacidad). bajo los cuales podrán utilizarse los medios que se
establecen en el artículo 35 del presente Reglamento.
2. Exista una imposibilidad de dar a
Los casos que no actualicen los criterios generales
conocer a cada titular el aviso de emitidos por el Instituto requerirán la autorización
privacidad o que la puesta a disposición expresa de éste, previo a la instrumentación de la
medida compensatoria, de conformidad con el
del mismo a cada uno de los titulares procedimiento establecido en los artículos 33 y 34 del
presente Reglamento.”
54
Guía del INAI, pág. 6. 56
Ya citada. Pág. 7.
“i. Nombre, denominación o razón social x. Antigüedad de los datos personales
1. Los datos personales se hayan del responsable que promueve la solicitud; (por ejemplo, del 5 de mayo de 2010 al
obtenido –ya sea de manera ii. En su caso, nombre del representante del 15 de agosto de 2012);
personal o directa de los titulares, o responsable; xi. Indicar si existe o no contacto con los
bien de manera indirecta-, con iii. Copia simple de la identificación oficial titulares;
fecha posterior al 6 de julio de del responsable y, en su caso, de su xii. Capacidad económica del
2011, ya que a partir de dicha fecha representante, y original para su cotejo; responsable;
los responsables están obligados a iv. En su caso, copia simple del documento xiii. Tipo de medida compensatoria que
emitir los avisos de privacidad. que acredite la representación del pretende aplicar, según los medios que
2. La finalidad para la que trata los responsable y original para su cotejo; prevé el artículo 35 del RLFPDPPP;
datos personales en la actualidad v. Domicilio para oír y recibir notificaciones; xiv. Periodo de publicación de la medida
NO sea igual, análoga o compatible vi. Nombre de las personas autorizadas compensatoria,
con aquélla para la cual, en su para recibir notificaciones; xv. Texto del aviso de privacidad
momento, se recabaron los datos vii. Descripción del tratamiento que se propuesto para la medida
personales. efectúa con los datos personales compensatoria, y
3. Se requiera el consentimiento del (finalidad, tipo de datos tratados, xvi. Documentos que el responsable
titular, en aquellos casos en que el transferencias que se realizan, considere necesarios presentar ante el
tratamiento involucre datos particularidades de los titulares, entre Instituto.”
personales sensibles. ellas, edad, ubicación geográfica, nivel A la solicitud de autorización, como indica la
educativo y socioeconómico, entre Guía del INAI, se deben anexar los siguientes
La solicitud de autorización se otros); documentos57:
presentará al INAI mediante escrito libre que, viii. Causas o justificación de la
conforme al artículo 33 del Reglamento de la imposibilidad de dar a conocer el aviso 1. Copia de la identificación oficial que
LFPDPPP y como indica la Guía del INAI, deberá de privacidad a los titulares o el acredite la personalidad del
contener los siguientes aspectos: esfuerzo desproporcionado que esto responsable (persona física) y, en su
exige;
ix. Número de titulares afectados; 57
Véase la pregunta o apartado 8, en la página 8 de la
citada Guía.
caso, de su representante legal, así implementación de las medidas
como el original para su cotejo. compensatorias propuestas.
2. En caso de que sea el representante
legal quien realice el trámite, éste Gráficamente, el proceso sería de la
deberá presentar copia del siguiente forma:
documento que acredite la
representación del responsable, así
como el original para su cotejo.
3. Documentos que el responsable Evalúa la solicitud
considere necesarios presentar ante
el Instituto. DGA
Si es procedente, el
Propone a la Secretaría el Secretario autoriza la
Una vez presentada la solicitud ante el proyecto de solicitud implementación de las
medidas compensatorias
INAI, se seguirá el siguiente proceso:
1. La Dirección General de Por lo que se refiere al plazo para resolver Durante los cuatro (4) días siguientes a la
Autorregulación (DGA), que está sobre la solicitud, como se explica en la Guía del presentación de la solicitud se podrá prevenir al
adscrita a la Secretaría de INAI, será de “10 días hábiles siguientes a la responsable, en cuyo caso éste tendrá cinco (5)
Protección de Datos Personales del recepción de la solicitud de medida días hábiles, contados desde la fecha en que
INAI: compensatoria para emitir la resolución surta efectos la prevención, y si no respondiera,
a. Evalúa la solicitud de correspondiente. Este plazo se puede ampliar la solicitud se desechará. La prevención
autorización y por 5 días hábiles en términos del artículo 31 de suspende el plazo para que el INAI emita su
b. Propone a la Secretaría el la Ley Federal de Procedimiento determinación, reanudándose dicho plazo “a
proyecto de resolución, Administrativo.” 58
partir del día hábil siguiente a aquél en la que
2. En caso de resultar procedente, el ésta se conteste”, como indica la Guía del INAI.
Secretario autoriza la
58
Guía del INAI. Pág. 9.
3.6 Principio de calidad específicamente vinculado con la veracidad y cuando el expediente médico contiene
exactitud en la que se mantienen los datos todos los documentos clínicos e
3.6.1 Concepto personales” información que debe estar integrada al
Es decir, como indica la Guía del INAI, ya mismo.
La calidad de los datos personales, como mencionada, el principio de calidad implica que, • Los datos personales son pertinentes
principio, significa que éstos “deben ser “conforme a la finalidad o finalidades para las cuando corresponden efectivamente al
correctos, exactos y completos y estar que se vayan a tratar los datos personales” , los
61
titular. Por datos del adeudo son
actualizados según sea necesario con respecto a datos personales tratados sean exactos, pertinentes cuando corresponden al
los fines para los cuales se hayan recopilado”, tal completos, pertinentes, actualizados y deudor y no a una homonimia.
y como indica, entre otros, el informe del CJI de correctos. Y esto significa, a su vez, que: • Los datos están actualizados cuando están
la OEA59. al día y corresponden a la situación real
Al respecto, también los Estándares “• Los datos personales son exactos cuando del titular. Por ejemplo, el número
Internacionales sobre Protección de Datos reflejan la realidad de la situación de su telefónico que se tiene registrado en la
Personales y Privacidad indican, en el apartado titular, es decir, son verdaderos o fieles. base de datos está actualizado cuando,
1, del artículo 9, que “los datos de carácter Por ejemplo, un dato no sería exacto si se efectivamente, corresponde al titular con
personal sean exactos, así como que se registra en la base de datos que una el que está vinculado.
mantengan tan completos y actualizados como persona cuenta con Doctorado en • Los datos personales son correctos cuando
sea necesario para el cumplimiento de las derecho, si el título que en realidad tiene cumplen con todas las características
finalidades para las que sean tratados.” es una Maestría en derecho. anteriores, es decir, son exactos,
Específicamente, el Dictamen con proyecto • Los datos personales están completos completos, pertinentes y actualizados.”
de Decreto por el que se expide la LFPDPPP se cuando no falta ninguno de los que se
refiere a este principio como que “refleje requiera para las finalidades para las
realmente de forma fiel, la realidad de la cuales se obtuvieron y son tratados, de
información tratada.”60 Y también indica que forma tal que no se cause un daño o
este principio “ha de entenderse perjuicio al titular. Por ejemplo, los datos
de salud del titular están completos
59
Pág. 9 del informe ya citado.
60
Ya mencionado. Pág. 31. 61
Pág. 58.
3.6.2 Importancia y utilidad características, a fin de que no se altere la Calidad de los datos personales
veracidad de la información, ni que ello tenga
Datos Se presume que los datos
El principio de calidad de los datos personales es como consecuencia que el titular se vea
personales personales son exactos,
otro de los principios fundamentales, ya que afectado por dicha situación.”63
obtenidos completos, pertinentes,
como indica el informe del CJI de la OEA “es Y adoptar estas medidas implica que el
directamente del correctos y actualizados
importante para la protección de la privacidad”, responsable del tratamiento tenga que adoptar
titular cuando los proporciona
ya que si los datos personales no respondiesen e implementar medida para asegurar que los
directamente el titular, y
efectivamente a este principio, se vulneraría el datos personales que trata, en cualquier fase del
hasta en tanto éste no
derecho a la protección de datos personales de tratamiento y a lo largo de todo el ciclo de vida
manifieste y acredite lo
su titular. del tratamiento, reúnan las características ya
contrario, o bien, el
Como indica el Dictamen con proyecto de señaladas (ser exactos, completos, pertinentes,
responsable cuente con
Decreto por el que se expide la LFPDPPP, en la actualizados y correctos). Al respecto, se debe
evidencia que lo contradiga.
práctica, este principio: “conlleva un doble prestar también atención al momento mismo de
Datos En estos casos, se deben
esfuerzo para los particulares responsables: por obtener o recabar los datos personales,
personales adoptar medidas razonables
un lado deberán asegurarse en el momento de la distinguiendo los supuestos en los que los datos
obtenidos para que los datos
recogida de la información, sobre todo cuando personales sean obtenidos directa o
indirectamente personales contenidos en las
la misma no procede directamente del titular, de indirectamente del titular.
bases de datos sean exactos,
que aquella resulta exacta y actualizada; por Es así que, en virtud de la normatividad
completos, pertinentes,
otro debería, siempre que ello sea posible, mexicana sobre protección de datos personales,
actualizados y correctos.
adoptar las medidas razonables para que la en relación con el principio de calidad y
información responda a esa veracidad mientras considerando si se han obtenido directa o
persiste en su tratamiento.” 62
indirectamente del titular los datos personales,
Es decir, conforme a lo indicado en la Guía del es posible indicar lo siguiente:
INAI “[e]l responsable debe adoptar las medidas
que considere convenientes para procurar que
los datos personales cumplan con estas
62
Páginas 31 y 32 del Dictamen. 63
Pág. 59.
3.6.3 Plazos de conservación de los preguntarse “¿Cuánto tiempo puedo conservar + periodo de bloqueo.
datos personales los datos personales?”, ante lo que cabe
considerar que: En algunos casos estos tres tiempos o plazos
En cuanto a la conservación de los datos pueden coincidir.”
personales, las Directrices para la armonización “El plazo de conservación de los datos Por tanto, los plazos de conservación de los
de la protección de datos en la Comunidad personales no debe exceder el tiempo datos personales requieren tomar en cuenta los
Iberoamericana, indican que “[l]os datos estrictamente necesario para llevar a cabo diferentes casos que pueden darse en la práctica
deberán ser cancelados o convertidos en las finalidades que justificaron el y, esto implica que, requieren que el responsable
anónimos cuando hayan dejado de ser tratamiento, ni aquél que se requiera para del tratamiento adopte medidas para asegurar
necesarios para el cumplimiento de las cumplir con: el principio de calidad de los datos personales.
finalidades que justificaron su obtención y Lo ideal es que el responsable del tratamiento
tratamiento.” 64
• Las disposiciones legales aplicables en aplique una política de conservación de los
Los plazos de conservación de los datos la materia de que se trate; datos, pudiendo apoyarse además en el uso de
personales pueden depender del • Los aspectos administrativos, herramientas tecnológicas de control en el
consentimiento del titular de los datos contables, fiscales, jurídicos e históricos tratamiento de los datos personales.
personales, el cumplimiento de una obligación de la información, y
contractual o legal así como de que los datos • El periodo de bloqueo. 3.6.4 Procedimiento para conservación,
personales dejen de cumplir con el principio de bloqueo y supresión de los datos
calidad puestos en conexión con la finalidad Entonces tenemos que: personales y prueba de su cumplimiento
para la que son tratados o su exactitud en
relación con la persona a la que se refieren. Plazo de conservación Para garantizar la calidad de los datos
La calidad de los datos personales implica = Tiempo requerido para llevar personales a lo largo de su ciclo de vida, es decir,
también que el responsable tenga que adoptar a cabo las finalidades del tratamiento desde que se recaban hasta que se suprimen
medidas para asegurar que ésta se cumple a lo + plazos legales, finalmente, es necesario, si la obligación está
largo del ciclo de vida de su tratamiento, de administrativos, contables, prevista en la normativa aplicable, y
manera que, como hace la Guía del INAI, cabe fiscales, jurídicos e históricos conveniente, en cualquier caso, que el
aplicables responsable adopte un procedimiento,
64
Pág. 14.
documentado, para gestionar la conservación, el que el tratamiento únicamente sea llevado a establecido en el apartado 3 de estas
bloqueo y la supresión de los datos personales. cabo en el ámbito de finalidades determinadas, directrices.”65
Al estar documentado, pudiendo adoptar explícitas y legítimas relacionadas con la
múltiples formas, como por ejemplo la adopción actividad del responsable. Junto con esta regla La Guía del INAI se refiere también a este
e implementación de una política u otras general, se ha venido reconociendo la principio indicando que “[s]e entiende por
normas internas en materia de protección de posibilidad de proceder a este tratamiento para finalidad del tratamiento, el propósito, motivo o
datos personales, el responsable podrá probar otros fines, siempre que los mismos no sean razón por el cual se tratan los datos
que ha adoptado medidas al respecto. Y incompatibles con los que motivaron el personales.” 66
mediante la realización de auditorías u otras tratamiento inicial del dato.” Por tanto, la finalidad del tratamiento de los
evaluaciones, internas o externas, se podrá Se trata también de un principio clave en datos personales es el uso que se va a dar los
probar, en su caso, cómo funciona este protección de datos personales, mismos, pudiendo distinguir, como veremos,
procedimiento. interrelacionado con otros principios, entre finalidades primarias y secundarias. En
En cualquier caso, se trata de asegurar, a especialmente los de información, cualquier caso, la finalidad tiene que estar
través del correspondiente procedimiento, la consentimiento y calidad. determinada, ser explícita y legítima, lo que
protección de los datos personales, de manera Al respecto, las Directrices para la implica también que este principio esté
que se respete así el derecho a la protección de armonización de la protección de datos en la relacionado con los de licitud y lealtad.
datos personales de su titular. Comunidad Iberoamericana, indican que:
3.7.2 Importancia y utilidad
3.7 Principio de finalidad “los datos únicamente podrán ser
recabados y tratados para el cumplimiento Desde un punto de vista práctico, conforme a la
3.7.1 Concepto de las finalidades determinadas, explícitas y Guía del INAI, es necesario prestar atención
legítimas relacionadas con la actividad de tanto a la finalidad del tratamiento de los datos
El Dictamen con proyecto de Decreto por el que quien los trate. personales, en sí misma, y también a cómo se
se expide la LFPDPPP se refiere a este principio No podrán ser tratados para fines redacta en su caso el correspondiente aviso de
indicando que “[l]a manifestación esencial de la distintos de aquéllos que motivaron su privacidad. Es así que:
protección de la privacidad en relación con el obtención a menos que exista legitimación
tratamiento de los datos personales se funda en suficiente para ello, conforme a lo 65
Pág. 14.
66
Pág. 52 de la Guía, ya citada.
“La finalidad o finalidades del tratamiento de Х Incorrecto: Sus datos personales entre el titular y el responsable, a las cuales
datos personales deberán ser determinadas, es serán tratados con la finalidad de darle la identificamos como primarias”.
decir, deberán especificar para qué objeto se atención médica que solicita, realizarle los La finalidad primaria puede ser desde el uso
tratarán los datos personales de manera clara, estudios y análisis que requiere, para el cobro y de los datos personales para cumplir con un
sin lugar a confusión y con objetividad. Un facturación de los servicios médicos, entre otros contrato, que consista, por ejemplo, en la
ejemplo de una finalidad determinada es fines análogos.” 67
prestación de un servicio, hasta el cumplimiento
cuando una tienda departamental, para prestar Otra cuestión a considerar en la práctica, de una obligación legal.
su servicio de compra en línea, señala que las como apunta la Guía del INAI, es la razón o Es, por lo tanto, la necesidad de dicho
finalidades del tratamiento de los datos motivo de distinguir entre ambos tipos de tratamiento de datos personales la que va a
personales que solicita son i) para verificar la finalidades. Al respecto, la citada Guía, servir como parámetro para determinar si una
identidad del cliente; ii) realizar el cobro mencionando el Reglamento de la LFPDPPP, finalidad es primaria o secundaria. En el
respectivo, y iii) enviar el pedido solicitado a la indica que “el titular de los datos personales siguiente apartado se expone qué se entiende
dirección que el cliente proporciona. puede negar o revocar su consentimiento, así por finalidad secundaria así como algunos
En ese sentido, el responsable deberá evitar como oponerse para el tratamiento de sus datos ejemplos prácticos que sirven para diferenciar
que las finalidades que describa en el aviso de personales para las finalidades secundarias, sin finalidades primarias y secundarias.
privacidad sean inexactas, ambiguas o vagas, que ello tenga como consecuencia la conclusión
como “de manera enunciativa más no del tratamiento para las finalidades primarias.”68 3.7.4 Finalidad secundaria
limitativa”, “entre otras finalidades”, “otros fines
análogos”, “por ejemplo” o “entre otros”. Por 3.7.3 Finalidad primaria Si la finalidad primaria es aquella que da origen
ejemplo: e implica la necesidad del tratamiento de datos
La Guía del INAI, siguiendo la normatividad personales para la relación jurídica, ya sea la
√ Correcto: Sus datos personales serán sobre protección de datos personales en fuente de la obligación legal o contractual, las
tratados con la finalidad de darle la atención posesión de los particulares, se refiere la demás finalidades serán secundarias. Por
médica que solicita, realizarle los estudios y finalidad primaria como “aquéllas que dan ejemplo, una finalidad secundaria clara es el uso
análisis que requiere, así como para el cobro y origen y son necesarias para la relación jurídica de los datos personales para el envío de
facturación de los servicios médicos. publicidad.
67
Guía del INAI, pág. 52.
68
Pág. 53.
A modo de ejemplo, la Guía del INAI indica que 3.7.5 Tratamiento se somete a consideración, en aquellos
las siguientes son finalidades secundarias o supuestos en los que no se produce tal
accesorias : 69
El hecho de que los datos personales puedan compatibilidad.”70
utilizarse, en su caso, para finalidades primarias Al tratamiento de los datos personales hay
“• Una persona proporciona sus datos y secundarias, implica que haya que considerar que atender también a las finalidades distintas,
personales a una universidad para que le también al concepto de compatibilidad, el cual con respecto a lo que la Guía del INAI indica que:
preste un servicio educativo y, a su vez, la es explicado por el Dictamen con proyecto de “Es importante que el responsable tome en
universidad desea utilizar estos datos para Decreto por el que se expide la LFPDPPP de la consideración que no se pueden llevar a cabo
invitarla a los eventos anuales que realiza. siguiente manera: tratamientos para finalidades distintas que no
En este caso, la finalidad primaria es la “a los efectos de la aplicación de esta ley ha resulten compatibles o análogas con aquéllas
relacionada con la prestación del servicio de ser necesariamente indeterminado, dado que para las que se hubiese recabado de origen los
educativo, en tanto que la finalidad resulta imposible determinar a priori cuándo datos personales y que hayan sido previstas en
secundaria o accesoria es la relacionada existe o no la misma. Dicho esto, una el aviso de privacidad, a menos que:
con la invitación a los eventos anuales. interpretación razonable permite concluir que • Lo permita de forma explícita una ley o
no sería posible restringir el principio reglamento, o
• Una persona proporciona sus datos considerando prohibida la utilización de datos • El responsable haya obtenido el
personales a una compañía de para ninguna finalidad distinta de la que motivó consentimiento para el nuevo tratamiento.”
telecomunicaciones para que le preste el el tratamiento, pero tampoco sería acorde con la
servicio de telefonía local y, a su vez, la protección que se pretende, el conferir una Como conclusión, y siguiendo de nuevo la
compañía desea utilizar los datos de interpretación extensiva que considere que toda Guía del INAI, cabe señalar que “el responsable
finalidad primaria es la relacionada con la la actividad de un responsable puede tiene las siguientes obligaciones en torno al
prestación del servicio de telefonía, en considerarse compatible con la parte de la principio de finalidad:
tanto que la finalidad secundaria o misma que dio lugar al tratamiento. En todo
accesoria es la relacionada con la caso, la aplicación de esta regla impone al 1. Tratar los datos personales
promoción de los servicios de televisión por responsable la necesidad de encontrar únicamente para la finalidad o
cable e Internet.” legitimado el tratamiento de los datos con finalidades que hayan sido informadas
arreglo a los principios contenidos en la ley que
69
Págs. 52 y 53 70
Pág. 32 del Dictamen, ya citado.
al titular en el aviso de privacidad y, en 7. Tratar los datos personales para Al respecto, la versión final del Dictamen con
su caso, consentidas por éste; finalidades distintas que no resulten proyecto de Decreto por el que se expide la
2. Informar en el aviso de privacidad compatibles o análogas con aquéllas LFPDPPP73 explica este principio indicando que
todas las finalidades para las cuales se para las que se hubiese recabado de “implica que el tratamiento de los datos
tratarán los datos personales, y origen los datos personales y que personales debe llevarse a cabo de forma leal y
redactarlas de forma tal que sean hayan sido previstas en el aviso de lícita; es decir, con pleno cumplimiento de la
determinadas; privacidad, al menos que lo permita legalidad y respeto de la buena fe y los derechos
3. Identificar y distinguir en el aviso de una ley o reglamento, o se obtenga el del individuo, cuya información es sometida a
privacidad entre las finalidades consentimiento del titular de los tratamiento.”
primarias y secundarias; datos.” 71
Es decir, es necesario que todo tratamiento de
4. Ofrecer al titular de los datos datos personales, a lo largo del ciclo de vida de
personales un mecanismo para que 3.8. Principio de lealtad los datos personales, en todas las fases de su
pueda manifestar su negativa al tratamiento, sea lícito, cumpliendo con las
tratamiento de sus datos personales 3.8.1 Concepto condiciones aplicables. Lo contrario
para todas o algunas de las finalidades determinaría que el tratamiento fuese ilícito, por
secundarias; El principio de lealtad está vinculado con el de incumplir con los principios y/o deberes
5. Cuando el aviso de privacidad se dé a licitud o principio de lealtad y legalidad. aplicables y exigibles a quienes tratan los datos
conocer a través de un medio Como indica la Guía del INAI para cumplir con personales, lo cual podría dar lugar, en su caso,
indirecto, como el correo postal, los principios y deberes de la LFPDPPP72 “[l]os a la exigencia de responsabilidad.
informar al titular que tiene cinco días datos personales tienen que ser tratados por el
hábiles para manifestar su negativa responsable de manera lícita y leal, lo que 3.8.2 Importancia y utilidad
para el tratamiento de su información supone que tiene que actuar con apego a las
para finalidades secundarias; leyes en general y en lo particular a la La versión final del Dictamen con proyecto de
6. No condicionar el tratamiento para normatividad sobre protección de datos Decreto por el que se expide la LFPDPPP74 indica
finalidades primarias, a que se puedan personales.” que el principio de licitud “se traduce en la
llevar a cabo las finalidades
secundarias; 71
Guía ya citada, págs. 53 y 54. 73
Ya citado. Pág. 29.
72
Ya mencionada. 74
Véase la nota pie de página anterior.
prohibición de cualquier tratamiento que 3.9. Principio de proporcionalidad decisorias determinen si una medida ha ido más
implique recabar o conservar los datos mediante allá de lo que se requiere para alcanzar una
la utilización de engaño o fraude, de forma que 3.9.1 Concepto meta legítima y si los beneficios alegados
el individuo no pueda conocer con propiedad los excederán los costos previstos.”
términos y condiciones vinculados a ese El principio de proporcionalidad, como explica el Los Estándares Internacionales sobre
tratamiento.” informe del CJI de la OEA relacionándolo con la Protección de Datos Personales y Privacidad, a
Si se incumple con el principio de licitud, los necesidad y minimización del tratamiento de los los que ya se ha hecho referencia, incluyen, en su
datos personales tendrían que cancelarse, ya datos personales, implica que quienes tratan artículo 8, este principio de proporcionalidad,
que su tratamiento sería ilícito lo que supone datos personales los deben usar “solamente de indicando que:
que se vulnere el derecho a la protección de una forma acorde con los fines expresos de la
datos personales de su titular. Y ello sin perjuicio recopilación; por ejemplo, cuando sean “1. El tratamiento de datos de carácter
de que fuera exigible la responsabilidad necesarios para proporcionar el servicio o el personal deberá circunscribirse a aquéllos
correspondiente por el incumplimiento que, en producto solicitado por la persona. Asimismo, que resulten adecuados, relevantes y no
su caso, se haya producido. los recopiladores y procesadores de datos deben excesivos en relación con las finalidades
En este sentido, la licitud del tratamiento seguir un criterio de “limitación” o previstas en el apartado anterior.
implica también que tengan que cumplirse las “minimización”, de acuerdo con el cual deben 2. En particular, la persona responsable
condiciones aplicables y exigibles a todo hacer un esfuerzo razonable para cerciorarse de deberá realizar esfuerzos razonables para
tratamiento, lo que supone que este principio que los datos personales que manejen limitar los datos de carácter personal
esté interrelacionado con otros principios como correspondan al mínimo requerido para el fin tratados al mínimo necesario.”
los de información, consentimiento, calidad, etc. expreso.”75 Por su parte, la versión final del Dictamen
Por tanto, la licitud tiene que asegurarse por En particular, el CJI menciona, a continuación, con proyecto de Decreto por el que se expide
quien trata los datos personales en todo que “[e]n algunos sistemas jurídicos se usa el la LFPDPPP indica que “se encuentra
momento, evitando así posibles concepto de “proporcionalidad” para hacer directamente relacionado con el de
incumplimientos que pudieran dar lugar a la referencia al equilibrio de valores en pugna. La finalidad.” 76
75
Pág. 10. 76
Página 33 del citado Dictamen.
Y explica también, a continuación, que “[l]a 3.9.2 Importancia y utilidad tratamiento de los datos a realizar el mismo de
exigencia al responsable de únicamente tratar En la práctica, según indica el CJI de la OEA, este forma anonimizada o disociada.”
datos proporcionales para la finalidad para la principio implica que “[d]e acuerdo con estos Es así que, como ejemplo práctico,
que se obtuvieron ha sido analizada por los principios, los conceptos de “necesidad” y atendiendo a la normatividad mexicana sobre
distintos derechos regionales o nacionales desde “proporcionalidad” imponen limitaciones protección de datos personales, el principio de
dos perspectivas distintas, aunque generales al uso, lo cual significa que los datos proporcionalidad puede presentarse
complementarias: Por una parte, los datos sólo personales solo deben usarse para cumplir los gráficamente de la siguiente forma : 78
deberían ser los adecuados o necesarios para la propósitos de la recopilación excepto con el
finalidad que justifica el tratamiento (principio consentimiento de la persona cuyos datos
de proporcionalidad en sentido estricto); por personales se recopilen o cuando sea necesario
otra, quien procede al tratamiento de los datos para proporcionar un producto o servicio
deberá analizar las finalidades que justifican el solicitado por la persona.
tratamiento, de modo que sólo debería tratar la No obstante, en los principios se reconoce que
mínima cantidad de información necesaria para el campo de la gestión y el procesamiento de
conseguir la finalidad perseguida (principio de datos están evolucionando continuamente
minimización). desde el punto de vista tecnológico. En
Sobre este principio, las Directrices para la consecuencia, debe entenderse que este
armonización de la protección de datos en la principio abarca una medida razonable de
Comunidad Iberoamericana, indican que “[s]ólo flexibilidad y adaptabilidad.”
podrán ser sometidos a tratamiento los datos También, el Dictamen con proyecto de
que resulten adecuados, pertinentes y no Decreto por el que se expide la LFPDPPP indica
excesivos en relación con las finalidades a las que “el tratamiento de los datos de forma que
que se refiere el punto anterior.” 77
únicamente sean objeto de aquél los mínimos
datos necesarios para la finalidad que lo
justifica. La segunda consecuencia de la
aplicación de este principio será que deberá
tenderse siempre que sea posible en el
77
Pág. 14. 78
Recio Gayo, Miguel. Op. cit. Pág. 41.
Aspecto Art(s). Previsión normativa
Proporcionalidad de 11 de la LFPDPPP y 45 Los datos personales deberán ser:
los datos personales del Reglamento — Pertinentes para los fines para los
cuales fueron recabados;
— Necesarios, adecuados y relevantes en
relación con las finalidades para las
que hayan sido obtenidos.
Criterio de 46 del Reglamento El responsable deberá esfuerzos razonables para
minimización limitar al mínimo los datos personales que serán los
que sean necesarios de acuerdo con la finalidad del
tratamiento.
3.10. Principio de responsabilidad protección efectiva de los derechos individuales A nivel internacional, en cuanto a la definición
de protección de la privacidad y de los datos”. A de este concepto, debe hacerse referencia al
3.10.1 Concepto continuación, incide en el hecho de que este Grupo de Trabajo del artículo 29 de la Directiva
principio: 95/46/CE81, que ha tratado este principio en su
El informe del CJI de la OEA79 incluye entre sus
principios también el de responsabilidad80, sobre “requiere el establecimiento de metas
apropiadas en lo que se refiere a la
81
Creado en virtud del citado artículo de la Directiva
el que indica, con carácter general, que “[l]os 95/46/CE del Parlamento Europeo y del Consejo, de 24
controladores de datos adoptarán e protección de la privacidad, a las cuales los de octubre de 1995, relativa a la protección de las
controladores de datos (organizaciones y personas físicas en lo que respecta al tratamiento de
implementarán las medidas correspondientes
datos personales y a la libre circulación de estos
para el cumplimiento de estos principios”, de otras entidades) deben adherirse,
datos, como un grupo consultivo e independiente
forma que la “responsabilidad” de quien trata permitiéndoles determinar las medidas más que, conforme al apartado 2 de dicho artículo, “estará
apropiadas para alcanzar esas metas y vigilar compuesto por un representante de la autoridad o de
los datos personales es fundamental para “[l]a las autoridades de control designadas por cada
su cumplimiento.” Estado miembro, por un representante de la
79
Ya citado. autoridad o autoridades creadas por las instituciones
80
Véanse las páginas 17 y 18 del citado informe. y organismos comunitarios, y por un representante de
Dictamen 3/2010 sobre el principio de término que “proviene del mundo anglosajón para garantizar la observancia en materia de
responsabilidad (WP 173) indicando sobre este
82
donde es de uso general y donde se da una protección de datos.”85
comprensión ampliamente compartida de su Por establecer un punto de partida en cuanto
la Comisión.” Y el artículo 30 de la Directiva le confiere significado, aunque la definición exacta de a la inclusión y reconocimiento de este principio
las siguientes atribuciones:
“a) estudiar toda cuestión relativa a la «responsabilidad» resulta compleja en la en instrumentos internacionales sobre
aplicación de las disposiciones nacionales práctica. Pero de forma general, el término protección de datos personales, el Dictamen del
tomadas para la aplicación de la presente apunta sobre todo al modo en que se ejercen las Grupo de Trabajo del artículo 29 de la Directiva
Directiva con vistas a contribuir a su
aplicación homogénea;
competencias y al modo en que esto puede 95/46/CE menciona que “el principio de
b) emitir un dictamen destinado a la comprobarse. Competencia y responsabilidad responsabilidad no es exactamente nuevo. Su
Comisión sobre el nivel de protección son dos caras de la misma moneda y sendos reconocimiento expreso figura en las directrices
existente dentro de la Comunidad y en los
elementos esenciales de la gobernanza. Solo sobre privacidad adoptadas en 1980 por la
países terceros;
c) asesorar a la Comisión sobre cualquier cuando la responsabilidad funciona en la Organización de Cooperación y Desarrollo
proyecto de modificación de la presente práctica puede desarrollarse la confianza Económicos (OCDE). El principio de
Directiva, cualquier proyecto de medidas
suficiente.” 83
responsabilidad de estas reza así: «Todo
adicionales o específicas que deban
adoptarse para salvaguardar los derechos y Además, el Dictamen apunta que, en la responsable de datos debería ser responsable de
libertades de las personas físicas en lo que práctica, se utilizan también “otras palabras cumplir con las medidas que hagan efectivos los
respecta al tratamiento de datos personales,
para recoger el sentido de responsabilidad, principios [materiales] expuestos».”86
así como sobre cualquier otro proyecto de
medidas comunitarias que afecte a dichos como son «competencia reforzada», «garantía», Cabe señalar que las directrices de la OCDE
derechos y libertades; «fiabilidad», fiabilidad» o, en español, fueron revisadas, publicándose una versión
d) emitir un dictamen sobre los códigos de «obligación de rendir cuentas», etc. Puede actualizada en 2013, y precisamente una de las
conducta elaborados a escala comunitaria.”
La Directiva 95/46/CE fue publicada en el Diario Oficial también sugerirse que la responsabilidad se cuestiones en las que se ha centrado la revisión
de la Unión Europea L 281, de 23 de noviembre de refiere a la «aplicación de principios de ha sido en este principio de responsabilidad al
1995. Disponible en el vínculo electrónico http://eur-
protección de datos».” 84
referirse a la implementación práctica de
lex.europa.eu/legal-
content/ES/TXT/?qid=1443980796448&uri=CELEX:3199 La responsabilidad se refiere, por tanto, a “las medidas para proteger la privacidad a través de
5L0046 medidas que pudieran adoptarse o preverse
82
Adoptado el 13 de julio de 2010 y disponible en
http://ec.europa.eu/justice/data-protection/article-
29/documentation/opinion- 83
Apartado 21 del citado Dictamen. Pág. 8. 85
Apartado 23 del Dictamen. Pág. 8.
recommendation/files/2010/wp173_es.pdf 84
Apartado 22 del Dictamen. Pág. 8. 86
Dictamen ya citado. Pág. 7.
una aproximación basada en la gestión del que allí se habían incluido en 1980, sí Y también indica que “[e]n los programas y
riesgo (en inglés risk management) . 87
estableció un nuevo aparte sobre procedimientos se deben tener en cuenta la
Al respecto, la Guía para la implementación implementación del principio de índole de los datos personales en cuestión, el
del Principio de Responsabilidad Demostrada responsabilidad demostrada. En ese sentido, tamaño y la complejidad dela organización que
(Accountability) , publicada en 2015 por la
88
y según lo dispuesto por las guías, los recopila, almacena y procesa los datos, y el
Delegatura para la protección de datos Responsables del Tratamiento deben contar riesgo de violaciones. La protección de la
personales de Colombia , indica que:
89
con un Programa Integral de Gestión de privacidad depende de una evaluación creíble
Datos Personales y estar preparados para de los riesgos que el uso de datos personales
“Las guías de la OCDE recogen un principio demostrarle a la autoridad la podría plantear para las personas y la mitigación
fundamental conocido como responsabilidad implementación efectiva de esas medidas en responsable de esos riesgos.”
demostrada (accountability en inglés), según la organización.” 90
Citando de nuevo el Dictamen del Grupo de
el cual una entidad que recoge y hace Trabajo del artículo 29 de la Directiva 95/46/CE,
tratamiento de datos personales debe ser 3.10.2 Importancia y utilidad este principio “requeriría expresamente que los
responsable del cumplimiento efectivo de las responsables del tratamiento de datos aplicaran
medidas que implementen los principios de De nuevo, hay que mencionar el informe del CJI medidas adecuadas y eficaces para poner en
privacidad y protección de datos. de la OEA que sobre las implicaciones del práctica los principios y obligaciones de la
La versión de 2013 de las guías, que en lo principio de responsabilidad, indica que los Directiva y demostrar este extremo cuando se les
sustancial no hizo cambios a los principios principios de la protección de datos personales solicitara. En la práctica, ello se traduciría en
“dependen de la capacidad de quienes programas modulables tendentes a ejecutar los
87
Las Directrices actualizadas, en su versión de 2013, recopilan, procesan y retienen datos personales principios de protección vigentes (a veces
así como una guía explicativa, pueden verse, en
inglés, en el vínculo electrónico para tomar decisiones responsables, éticas y llamados «programas de cumplimiento»). Como
http://www.oecd.org/sti/ieconomy/oecd_privacy_fra disciplinadas acerca de los datos y su uso complemento al principio, podrían establecerse
mework.pdf
durante todo el “ciclo de vida” de los datos. requisitos adicionales tendentes a implantar
88
Disponible en
http://www.sic.gov.co/drupal/noticias/guia-para-la- Estos “gerentes de datos” deben actuar en garantías de protección de datos o a garantizar
implementacion-del-principio-de-responsabilidad- calidad de “buen custodio” de los datos que les su eficacia. Un ejemplo sería una disposición por
demostrada
89
Sobre la que puede verse más información en proporcionen o confíen.” la que se exigiera llevar a cabo una evaluación
http://www.sic.gov.co/drupal/delegatura-para-la-
proteccion-de-datos-personales 90
Véase la Guía en la página 5.
de impacto sobre la privacidad para operaciones o persona responsable el deber de velar por el datos personales. A este principio se le conoce
de tratamiento de datos de mayor riesgo.” 91
cumplimiento de los principios y rendir cuentas también como el principio de “rendición de
Al principio de responsabilidad hacen también al titular en caso de incumplimiento.” 93
cuentas”, ya que establece la obligación de los
referencia los Estándares Internacionales sobre Y, a continuación, el citado Dictamen destaca responsables de velar por el cumplimiento del
Protección de Datos Personales y Privacidad en 92
también que este principio de responsabilidad resto de los principios, adoptar las medidas
su artículo 11, que indica: “es la verdadera garantía para el titular de los necesarias para su aplicación, y demostrar ante
datos quien deposita su confianza en el titulares y la autoridad, que cumple con sus
“La persona responsable deberá: responsable, mismo que deberá tomar todas las obligaciones en torno a la protección de los
previsiones para que los datos sean tratados de datos personales.”94
a. adoptar las medidas necesarias para acuerdo con la voluntad del dueño de la Por tanto, se trata de un principio
cumplir con los principios y obligaciones información y bajo las medidas de seguridad que fundamental en materia de protección de datos
establecidos en el presente Documento y en se prevean por la vía contractual.” personales, siendo buena muestra de ello el
la legislación nacional aplicable, y Es así que, en la práctica, como termina hecho de que también la Comisión Europea lo
indicando el Dictamen, el principio de haya incluido en la propuesta de Reglamento
b. dotarse de aquellos mecanismos responsabilidad implica que “dado que existe un General de Protección de Datos que se tramita
necesarios para evidenciar dicho tráfico de datos intenso y en muchas ocasiones actualmente95.
cumplimiento, tanto ante los interesados este se da fuera de las fronteras de nuestro país,
como ante las autoridades de supervisión en el ciudadano tendrá la tranquilidad de que si su
94
Guía y citada, pág. 65.
95
La iniciativa de la Comisión Europea, la Propuesta
el ejercicio de sus competencias, conforme a información ha trascendido a manos de terceros de Reglamento del Parlamento Europeo y del Consejo
lo establecido en el apartado 23.” en otras latitudes, éste estará enterado de las relativo a la protección de las personas físicas en lo
que respecta al tratamiento de datos personales y a la
cautelas con que debe tratar su información.” libre circulación de estos datos (Reglamento general
Sobre el principio de responsabilidad, el En relación con este principio, citando, de de protección de datos), COM(2012) 11 final, de 25 de
enero de 2012, introduce este principio en el artículo
Dictamen con proyecto de Decreto por el que se nuevo, la Guía del INAI para cumplir con los
22 lo que supone que dicho Reglamento “toma en
expide la LFPDPPP indica que “debe entenderse principios y deberes de la LFPDPPP, ésta indica consideración el debate sobre un «principio de
en el sentido de que corresponderá a la entidad que este principio “cierra el círculo con relación responsabilidad» y describe pormenorizadamente la
obligación de responsabilidad del responsable del
a los principios que regulan la protección de los tratamiento a la hora de cumplir el presente
91
Véase el Dictamen ya citado en su párrafo 3. Pág. 4 Reglamento y de demostrar su observancia, incluso
92
Ya mencionados. 93
Dictamen ya citado, pág. 34. mediante la adopción de políticas y mecanismos
que, entre otras medidas “para garantizar el
internos que garanticen dicha conformidad.” El citado 3.10.3 Medidas para su cumplimiento debido tratamiento, privilegiando los intereses
artículo, en su versión original, indica lo siguiente: del titular y la expectativa, el responsable del
“Artículo 22 Obligaciones del responsable
A modo de ejemplo, en el caso de México, el tratamiento podrá adoptar las siguientes:
del tratamiento
1. El responsable del tratamiento adoptará artículo 48 del Reglamento de la LFPDPPP, en
políticas e implementará medidas
desarrollo del artículo 14 de la LFPDPPP96, indica I. Elaborar políticas y programas de privacidad
apropiadas para asegurar y poder demostrar
que el tratamiento de datos personales se obligatorios y exigibles al interior de la
lleva a cabo de conformidad con el presente organización del responsable;
Reglamento. dispuesto en el artículo 86, a fin de
2. Las medidas previstas en el apartado 1 especificar cualesquiera otros criterios y II. Poner en práctica un programa de
incluirán, en particular: requisitos aplicables a las medidas capacitación, actualización y concientización
a) la conservación de la documentación con apropiadas contempladas en el apartado 1,
del personal sobre las obligaciones en materia
arreglo a lo dispuesto en el artículo 28; distintas de las ya mencionadas en el
b) la implementación de los requisitos en apartado 2, las condiciones para los de protección de datos personales;
materia de seguridad de los datos mecanismos de verificación y auditoría III. Establecer un sistema de supervisión y
establecidos en el artículo 30; contemplados en el apartado 3 y el criterio
c) la realización de una evaluación de de proporcionalidad en virtud del apartado vigilancia interna, verificaciones o auditorías
impacto en relación con la protección de 3, y de considerar la adopción de medidas externas para comprobar el cumplimiento de
datos con arreglo a lo dispuesto en el específicas para las microempresas y las
las políticas de privacidad;
artículo 33; pequeñas y medianas empresas.”
d) el cumplimiento de los requisitos en La versión inicial de la Propuesta de Reglamento IV. Destinar recursos para la instrumentación
materia de autorización o consulta previas General de Protección de Datos puede consultarse en de los programas y políticas de privacidad;
de la autoridad de control con arreglo a lo http://eur-lex.europa.eu/legal-
dispuesto en el artículo 34, apartados 1 y 2; content/ES/TXT/?qid=1443970930549&uri=CELEX:5201 V. Instrumentar un procedimiento para que se
e) la designación de un delegado de 2PC0011 atienda el riesgo para la protección de datos
protección de datos con arreglo a lo 96
Dicho artículo indica lo siguiente: “El responsable
dispuesto en el artículo 35, apartado 1. velará por el cumplimiento de los principios de personales por la implementación de nuevos
3. El responsable del tratamiento protección de datos personales establecidos por esta productos, servicios, tecnologías y modelos de
implementará mecanismos para verificar la Ley, debiendo adoptar las medidas necesarias para su
negocios, así como para mitigarlos;
eficacia de las medidas contempladas en los aplicación. Lo anterior aplicará aún y cuando estos
apartados 1 y 2. Siempre que no sea datos fueren tratados por un tercero a solicitud del VI. Revisar periódicamente las políticas y
desproporcionado, estas verificaciones responsable. El responsable deberá tomar las programas de seguridad para determinar las
serán llevadas a cabo por auditores medidas necesarias y suficientes para garantizar que
independientes internos o externos. el aviso de privacidad dado a conocer al titular, sea modificaciones que se requieran;
4. La Comisión estará facultada para adoptar respetado en todo momento por él o por terceros con
actos delegados, de conformidad con lo los que guarde alguna relación jurídica.”
VII. Establecer procedimientos para recibir y posesión de los particulares, se encuentran los basado en este estándar debe buscar la
responder dudas y quejas de los titulares de los siguientes: implementación de esas políticas y
datos personales; procedimientos, para lo cual, como primera
VIII. Disponer de mecanismos para el 1. Estándares; medida, se requiere contar con el compromiso
cumplimiento de las políticas y programas de 2. Mejores prácticas internacionales; de los sujetos obligados, derivado de una cultura
privacidad, así como de sanciones por su 3. Políticas corporativas; de respeto a la protección de datos personales
incumplimiento; 4. Esquemas de autorregulación, y que recoge o trata. En este sentido, la
IX. Establecer medidas para el aseguramiento 5. Otros mecanismos. organización, atendiendo a su tamaño y
de los datos personales, es decir, un conjunto estructura, así como al tipo de información
de acciones técnicas y administrativas que Al respecto, es también relevante la Guía para personal a la que le realiza tratamiento, debe
permitan garantizar al responsable el la implementación del Principio de comprometer recursos económicos y de
cumplimiento de los principios y obligaciones Responsabilidad Demostrada (Accountability) 98
personal una vez que decide emprender el
que establece la Ley y el presente Reglamento, de Colombia, que para la adopción de medidas camino hacia la implementación de un
o que permitan cumplir con el principio de Programa Integral de Gestión de Datos
X. Establecer medidas para la trazabilidad de responsabilidad explica la necesidad de que la Personales.”
los datos personales, es decir, acciones, organización, es decir, quien trata los datos Como parte de dicho programa y para
medidas y procedimientos técnicos que personales, implemente un Programa Integral implementar prácticas responsables en materia
permiten rastrear a los datos personales de Gestión de Datos Personales, indicando al de protección de datos personales, la Guía parte
durante su tratamiento.” respecto que : 99
de la necesidad del apoyo y compromiso de la
“Para que una organización efectivamente alta dirección y/o la gerencia, que debe:
En la práctica, son varios los instrumentos a implemente un Programa Integral de Gestión
través de los que pueden adoptarse e de Datos Personales, no es suficiente demostrar 1. Designar a la persona o al área que
implementarse medidas en virtud del principio la adopción de políticas y procedimientos asumirá la función de protección de
de responsabilidad, entre los que, como indica la tendientes a cumplir las normas sobre datos dentro de la organización,
Guía del INAI 97
siguiendo la normatividad en protección de datos personales. Un programa 2. Aprobar y monitorear el Programa
materia de protección de datos personales en Integral de Gestión de Datos
98
Ya citada Personales, e
97
Guía ya citada, pág. 65. 99
Véase la Guía en las págs. 9 y siguientes.
3. Informar de manera periódica a los 3. Políticas: Son “políticas internas que de manejo de información, donde
órganos directivos sobre su dispongan obligaciones en virtud de la se afirme que se conoce a
ejecución. ley y dárselas a conocer a los suficiencia la política de la
En cuanto a los controles que debe incluir el empleados”, a través de las que se empresa, se acepta, y se permite a
Programa Integral de Gestión de Datos implementan los principios de la la compañía utilizar dicha
Personales para asegurar que las políticas protección de datos personales. Entre información de forma responsable.
adoptadas se implementen en la práctica, la las reglas que deben contener dichas f. Presentación de quejas, denuncias
Guía menciona los siguientes: políticas, tal y como indica la Guía 102
en y reclamos.
este punto, están las relativas a:
1. Procedimientos operacionales: Se trata a. La recolección, almacenamiento, 4. Sistema de administración de riesgos
de “procedimientos administrativos uso, circulación y supresión o asociados al tratamiento de datos
consistentes con las políticas generales disposición final de la información personales: Lo que implica que en la
de protección de datos y con las personal, incluyendo los requisitos práctica sea conveniente desarrollar
disposiciones legales vigentes de forma para obtener la autorización de los “un sistema de administración de
que pueda manejar adecuadamente los Titulares. riesgos, acorde con su estructura
riesgos inherentes al tratamiento de b. El acceso y corrección de datos organizacional, sus procesos y
información personal dentro de las personales. procedimientos internos asociados al
actividades de gestión operacional.” 100
c. La conservación y eliminación de tratamiento de datos personales, la
2. Inventario de las bases de datos con información personal. cantidad de base de datos y tipos de
información personal: Ya que quienes d. El uso responsable de la datos personales tratados por la
tratan datos personales “deben conocer información, incluyendo controles empresa.” Dicho sistema “permitirá a
qué datos personales almacenan, cómo de seguridad administrativos, la empresa identificar, medir,
los utilizan y si realmente los necesitan, físicos y tecnológicos. controlar y monitorear todos aquellos
teniendo en cuenta la finalidad para la e. Inclusión en todos los medios hechos o situaciones que puedan
cual los recolectan” 101
contractuales de la empresa de incidir en la debida administración del
una cláusula de confidencialidad y riesgo a que están expuestos en el
100
Apartado 2.1 de la Guía, pág. 14. desarrollo del cumplimiento de las
101
Véase el apartado 2.2 de la Guía, pág. 14. 102
Apartado 2.3 de la Guía pág. 15.
normas de protección de datos.”103 Por capacitación complementaria”. 7. Gestión de los encargados del
último, en la adopción de este sistema Además, esta formación y educación tratamiento en las transmisiones
de administración de riesgos se deben en materia de protección de datos internacionales de datos: Al respecto,
tener en cuenta las etapas que se personales “debe ser permanente”, la Guía indica que deben tenerse en
enumeran a continuación y que son por lo que “es importante que exista cuenta, entre otros aspectos, los
explicadas en la Guía : 104
una actualización periódica del siguientes107:
contenido del programa.” Por último,
a. Identificación; como indica la Guía, “[d]entro de los a. Disposiciones que incluyan
b. Medición; contratos que suscriban los requisitos para que los
c. Control, y empleados, es importante incluir Encargados cumplan con las
d. Monitoreo. acuerdos de cumplimiento de las normas colombianas de
políticas internas adoptadas por los protección de datos, en general,
5. Requisitos de formación y educación: sujetos obligados.” y las políticas de tratamiento del
La efectividad del programa depende, 6. Protocolos de respuesta en el manejo Responsable, en particular. De la
en gran medida, de “la formación y de violaciones e incidentes: Lo que, misma manera, considerar
educación de todos los empleados de con carácter general, implica que el mecanismos para que el
la organización” 105
que, para el Programa Integral de Gestión de Datos Encargado reporte al
desarrollo de sus funciones, traten Personales “debe involucrar un Responsable los incidentes de
datos personales. Es así que, como componente de gestión de riesgos, seguridad de la información.
indica la Guía, es importante que se internos y externos, que le permita b. Formación y educación en temas
imparta “una formación de carácter identificar vulnerabilidades a tiempo y de protección de datos
general sobre la materia y, para el enfocar sus recursos a la adopción de personales para los empleados
personal que maneje datos personales medidas de mitigación de riesgo que del Encargado que tienen acceso
directamente, deberá existir una minimicen dicho impacto tanto para a la información personal.
la organización como para los titulares
103
Apartado 2.4 de la Guía, pág. 16. de información.”106
104
Véase la Guía en las páginas 17 y 18.
105
Apartado 2.5 de la Guía, págs. 18 y 19. 106
Apartado 2.6 de la Guía, págs. 19 y 20. 107
Apartado 2.7 de la Guía, págs. 20 y 21.
c. Exigencia de adherencia a las evaluación revisión constante. A esta cuestión le como judiciales, así como accionistas, inversores
políticas de tratamiento si se dedica una sección 109
la Guía para la u otros.
utilizan subcontratistas. implementación del Principio de En definitiva, la adopción e implementación
d. Realización de auditorías Responsabilidad Demostrada (Accountability), de este principio implica que “[l]a apuesta que
internas y/o externas. siendo dos los aspectos fundamentales para hace una organización por implementar
e. Acuerdos con los Encargados y “supervisar, evaluar y revisar” el programa y que estándares elevados de protección de datos
sus empleados aceptando que consisten en: personales en su organización, y desarrollar un
cumplirán con las políticas y Programa Integral de Gestión de Datos
protocolos del Responsable del 1. Desarrollar un Plan de Supervisión y Personales, genera beneficios para la
Tratamiento. Revisión, y organización y se traduce en una mayor
2. Evaluar y revisar los controles del protección de datos individuos.”110
8. Comunicación externa: Se trata de “un Programa.
procedimiento para informar” por el
Responsable a los titulares de los Se trata, por tanto, de que a través de las
datos personales tanto de sus medidas previstas en el Programa Integral o
derechos como de “los programas de Sistema de Gestión de Datos Personales o en 3.10.4 Responsable y encargado del
control que han implementado”. Al cualquier instrumento adoptado e tratamiento de datos personales
respecto, como indica la Guía, es implementado por quien trata datos personales,
importante que las comunicaciones ya sea como responsable o encargado del Aunque el responsable del tratamiento es quien
sean “claras y comprensibles y no tratamiento, si bien la responsabilidad última es tiene la responsabilidad de adoptar e
limitarse a una simple reiteración de la del primero, se pueda demostrar el implementar las medidas necesarias para
ley.” 108
cumplimiento ante todas las partes interesadas, asegurar el cumplimiento en materia de
entre las que quedan incluidas el titular de los protección de datos personales, es necesario
Además, para asegurar la efectividad del datos personales, la autoridad garante en tener en consideración que el encargado del
Programa Integral de Gestión de Datos materia de protección de datos y otras tratamiento también trata datos personales y
Personales, es necesario que se realice una autoridades competentes, tanto administrativas
108
Apartado 2.8 de la Guía, pág. 21. 109
Véase la sección IV de la citada Guía, págs. 22 y 23. 110
Véase la Guía, ya citada, en la página 7.
por tanto tiene obligación de actuar en este Protección de Datos Personales112, en el que se establece la responsabilidad del encargado
de tratamiento de proteger los datos
sentido. hace referencia al esquema básico previsto en
personales sometidos a tratamiento
Dicha obligación se extiende al encargado del dicho estándar internacional113 en virtud del que mediante las “(...) medidas técnicas y
tratamiento a través del instrumento jurídico, ya el cliente de los servicios de cómputo en la nube organizativas que resulten idóneas para
sea un contrato, acuerdo, convenio, cláusula es considerado como responsable del garantizar su integridad, confidencialidad y
disponibilidad”. Finalmente, el artículo 17
contractual u otro. Dicho instrumento jurídico tratamiento y el proveedor de dichos servicio es inciso final de la Ley Nº 18.331 reafirma lo
permitirá, en su caso, asegurar el cumplimiento el encargado del tratamiento y se indica que: antedicho al establecer: “El destinatario
a lo largo de toda la cadena de contratación que quedará sujeto a las mismas obligaciones
“la Ley Nº 18.331 establece en su legales y reglamentarias del emisor y éste
implique el tratamiento de datos personales en
artículo 12 específicamente la consagración responderá solidaria y conjuntamente por la
cualquiera de las fases del mismo o a lo largo del observancia de las mismas ante el organismo
del principio de responsabilidad, por el cual
ciclo de vida de los datos personales. el responsable de la base de datos es de control y el titular de los datos de que se
A nivel internacional, cabe mencionar que responsable de la violación de las trate”.”114
esta es una cuestión que se está planteando en disposiciones de la presente ley.
Independientemente de ello, la Es decir, al contratar servicios que impliquen
relación con algunos servicios, como por responsabilidad del encargado de acceso a datos personales, entre los que se
ejemplo, el cómputo en la nube y a la que tratamiento también es clara en la Ley Nº encuentran los de cómputo en la nube, el
también está prestando atención la propuesta 18.331 en su artículo 35 que prevé la responsable debe considerar que:
posibilidad de que el encargado de
de Reglamento General de Protección de Datos
tratamiento sea sancionado al igual que el “Si bien el principio de
en la Unión Europea. responsable por el organismo de control, y
En cuanto al cómputo en la nube, puede en el decreto Nº 414/009 en su artículo 7º que responsabilidad o rendición de cuentas
124
Privacy by Design para fomentar la figura del derecho a la protección de datos personales. Reglamento general de protección de datos en la
encargado, ya citada. Pág. 17. Unión Europea, ya citada.
125
Ya citada.
estos mecanismos garantizarán que, por asegurar mejor el derecho a la protección de respetuosa y asegurando su derecho a la
defecto, los datos personales no sean datos personales. protección de datos personales.
accesibles a un número indeterminado de Aunque es un principio que no se encuentra
personas.” expresamente en la normatividad sobre 3.13 Deberes en la protección de
protección de datos personales de países datos personales
Es decir, cuando el responsable del iberoamericanos, el de protección de datos por
tratamiento, por ejemplo, desarrolla una defecto se encuentra estrechamente vinculado 3.13.1 Confidencialidad en los datos
aplicación (“app”), se prepara un proyecto de con el de responsabilidad (“accountability”), personales
negocio o se plantea cualquier otra actividad incidiendo en la importancia de considerar la
que implica el tratamiento de datos personales, protección de datos personales desde el La confidencialidad se refiere a guardar secreto
debe hacerse de manera que se asegure el principio. o sigilo sobre los datos personales objeto de
derecho a la protección de datos personales a lo Por lo tanto, el principio de privacidad por tratamiento.
largo del ciclo de vida de los mismos, en todas y defecto es también una muestra de compromiso El informe del CJI de la OEA sobre Privacidad y
cada una de las fases del tratamiento. Se trata con la protección de datos personales cuando se Protección de Datos, ya mencionado, incluye
así de que la protección de datos personales sea desarrolla una aplicación, tecnología o un también como principio el deber de
considerada desde el principio, antes de llegar a proyecto de negocio que implica el tratamiento confidencialidad y, con carácter general, indica
tratar los datos personales, lo que permitirá de datos personales. Es así que quien trata los que “[l]os datos personales no deben divulgarse,
impulsar un alto nivel de protección de datos datos personales tendrá en consideración la ponerse a disposición de terceros ni emplearse
personales generando así la confianza necesaria. protección de los datos personales, asegurando para otros propósitos que no sean aquellos para
así el derecho a la protección de datos los cuales se obtuvieron, excepto con el
3.12.2 Importancia y utilidad personales desde el inicio de su actividad, y la conocimiento o consentimiento de la persona en
persona a quien se refieren los datos personales, cuestión o bajo autoridad de la ley.”127
En la práctica, si por defecto, una aplicación, un su titular, encontrará en la práctica que este En relación con este principio, el informe
vestible (en inglés, “wearable”) o un proyecto, principio supone que el software, aplicación, explica que el mismo implica que el responsable
entre otros, ha incluido mecanismos, tales como vestible o negocio, entre otros, que va a tratar del tratamiento “se cerciore de que no se
controles, que por defecto sirvan para proteger los datos personales lo hace de forma
la protección de datos personales, se podrá
127
Véase la página 11 del citado informe.
proporcionen tales datos (ni se pongan a responsable y quienes intervengan en cualquier de las tareas o funciones que se le hubieran
disposición por otros medios) a personas o fase del tratamiento de los datos de carácter encomendado.”131
entidades excepto con el conocimiento o personal deberán respetar la confidencialidad La Guía del INAI también lista las siguientes
consentimiento de la persona afectada, en de los mismos, obligación que subsistirá aun obligaciones, a cumplir y hacer cumplir por el
consonancia con las expectativas razonables de después de finalizar sus relaciones con el responsable del tratamiento, en relación con el
la persona afectada o por mandato de la ley.” Y interesado o, en su caso, con la persona deber de confidencialidad:
también que “los datos personales no se usen responsable.”
con fines que sean incompatibles con el fin Como se explica en la Guía del INAI para “1. Guardar confidencialidad en
original para el cual se recopilaron los datos. cumplir con los principios y deberes de la cualquier fase del tratamiento de los
Estas responsabilidades emanan de la LFPDPPP , este deber “implica la obligación de
130
datos personales, incluso después de
naturaleza misma de los datos personales y no guardar secreto respecto de los datos finalizar la relación con el titular, y
dependen de afirmaciones de las personas personales que son tratados. La 2. Verificar que los encargados también
afectadas.” 128
confidencialidad debe cumplirse para evitar guarden confidencialidad de los datos
Las Directrices para la armonización de la causar un daño a su titular. De no ser así, un personales que tratan a nombre y por
protección de datos en la Comunidad tercero no autorizado podría tener acceso a los cuenta del responsable, aun después de
Iberoamericana indican que “quienes datos personales. concluida la relación con éste.”132
intervengan en cualquier fase del tratamiento de Es así que “cuando se tratan datos personales,
datos personales están obligados al secreto el responsable tiene que adoptar medidas para Por tanto, el deber de confidencialidad, que
profesional respecto de los mismos. Tal evitar que quienes tengan acceso a éstos implica que el responsable del tratamiento
obligación subsistirá aun después de finalizada divulguen dicha información. Incluso la tenga que adoptar medidas al respecto, tiene
su relación con el titular del archivo de datos.” 129
obligación de confidencialidad tiene que hacerse que garantizarse a lo largo del ciclo de vida de
Al mismo se refieren también los Estándares cumplir una vez que finalice la relación los datos personales, en todas las fases del
Internacionales sobre Protección de Datos contractual, laboral o de otra naturaleza, entre tratamiento, e incluso una vez finalizado el
Personales y Privacidad, que dedican su artículo el responsable del tratamiento y quien tenga tratamiento. A tal fin, es conveniente que el
21 al mismo indicando que “[l]a persona acceso a los datos personales para el desarrollo responsable adopte e implemente tanto una
128
Págs. 11 y 12 del informe. 131
Guía del INAI, ya mencionada, página 69.
129
Pág. 17. 130
Ya citada. 132
Guía del INAI. Pág. 70.
política de confidencialidad como otras pérdida o destrucción accidental, el acceso no autorizados, pérdida, destrucción, uso,
medidas, tales como contratos o cláusulas autorizado o su uso fraudulento.” 133
modificación o divulgación.” 136
contractuales a firmar con quienes intervengan Como explica, al respecto, la Guía del INAI, el
en el tratamiento de datos personales, ya sean deber de seguridad “se refiere a la obligación de Dicho informe continúa explicando que:
empleados de dicho responsable o encargados establecer y mantener medidas de seguridad
del tratamiento que le presten algún servicio. tanto técnicas, físicas y administrativas, que “tienen el deber claro de tomar las
permitan proteger los datos personales contra medidas prácticas y técnicas que sean
3.13.2 Seguridad en los datos personales daño, pérdida, alteración, destrucción o el uso, necesarias para proteger los datos
acceso o tratamiento no autorizado.” 134
personales que obren en su poder o bajo su
La seguridad en el tratamiento de los datos En relación con la seguridad, el Dictamen con custodia (o de los cuales sean
personales es también una cuestión proyecto de Decreto por el que se expide la responsables) y cerciorarse de que tales
fundamental ya que se protege, con carácter LFPDPPP, indica que “la seguridad en el datos personales no sean objeto de acceso,
general, contra su acceso no autorizado e tratamiento de los datos de carácter personal es pérdida, destrucción, uso, modificación o
incluso su pérdida. Al mismo tiempo, las vital para garantizar de forma efectiva la divulgación excepto con el conocimiento o
medidas de seguridad que se adopten van a privacidad de las personas, estableciendo consentimiento de la persona o de otra
servir, junto con los principios y demás deberes controles o medidas que impidan el acceso autoridad legítima.
aplicables, para asegurar el derecho a la indebido a la información.” 135
protección de los datos personales. El informe del CJI de la OEA se refiere a la La obligación específica consiste en
En relación con la seguridad de los datos seguridad como uno de los principios aplicables proporcionar “salvaguardias razonables y
personales, las Directrices para la armonización al tratamiento de datos personales e indica, con adecuadas”. Se basa en la consecución y el
de la protección de datos en la Comunidad carácter general, que “[l]os datos personales mantenimiento de un nivel apropiado de
Iberoamericana indican, con carácter general, deben ser protegidos mediante salvaguardias atención en el contexto de la situación
que “[d]eberán adoptarse las medidas técnicas y razonables y adecuadas contra accesos no general. Por lo tanto, hay que tener en
organizativas que resulten necesarias para cuenta consideraciones de
proteger los datos contra su adulteración, proporcionalidad y necesidad.”
133
Pág. 17.
134
Guía ya citada, pág. 72.
135
Pág. 41 del Dictamen. 136
Pág. 12 del informe, ya citado.
Y también que: que constituye salvaguardias “razonables y privacidad personal. Asimismo, debe
adecuadas” debe responder a esa reverse y evaluarse periódicamente.”
“Los datos personales deben protegerse, evolución. El reto consiste en proporcionar
independientemente de la forma en que se orientación válida a los controladores de El Dictamen con proyecto de Decreto por el
mantengan, por medio de salvaguardias datos, procurando al mismo tiempo que las que se expide la LFPDPPP explica también que
razonablemente concebidas para prevenir normas sigan siendo “tecnológicamente “[l]as medidas de seguridad no sólo deben
que las personas sufran daños neutrales” y no se vuelvan obsoletas como referirse al funcionamiento de los sistemas de
considerables como consecuencia del consecuencia de los rápidos cambios información en que se traten y almacenen datos
acceso no autorizado a los datos o de su tecnológicos. de carácter personal -tales como la
pérdida o destrucción. La índole de las identificación y autenticación o el
salvaguardias podría variar según la En vista de la celeridad de los cambios en establecimiento de bitácoras, también
sensibilidad de los datos en cuestión. el entorno actual de la información, una conocidos como “logs” de acceso a los datos,
práctica que hace solo unos meses era entre otras-, sino que además deben
Evidentemente, para los datos más permisible podría considerarse en la necesariamente complementarse con medidas
sensibles se requiere un nivel más alto de actualidad como una práctica intrusiva, físicas y administrativas dentro de la
protección. Algunas de las razones para riesgosa o peligrosa para la privacidad organización que, por objeto, permitan el
conferir mayor protección podrían ser, por individual. Análogamente, una restricción control de acceso físico a los centros de proceso
ejemplo, los riesgos de usurpación de la que haya parecido razonable hace algunos de datos o la entrada y salida de los soportes en
identidad, pérdidas económicas, efectos meses podría ser obsoleta o injusta a la luz que puedan almacenarse datos de carácter
negativos en la calificación crediticia, de los adelantos tecnológicos. personal y la formación de una cultura de
daños a bienes y pérdida del empleo o de seguridad integral.
oportunidades comerciales o profesionales. Por lo tanto, la determinación relativa a Así, tanto la persona o entidad responsable
la existencia de “salvaguardias razonables y como los encargados y terceros –estos últimos
La norma no es estática. Las amenazas a la adecuadas” debe basarse en los métodos y vía contractual- deben proteger los datos de
privacidad, especialmente las amenazas técnicas más avanzados que estén en uso carácter personal que sometan a tratamiento
cibernéticas, están evolucionando en el ámbito de la seguridad de los datos en mediante la implementación de medidas
constantemente y la determinación de lo vista de la evolución de las amenazas a la técnicas, físicas y organizativas que resulten
idóneas para garantizar su integridad, constante de la tecnología así como
confidencialidad y disponibilidad.” 137
los riesgos cambiantes para los “I. Elaborar un inventario de datos
Al momento de adoptar e implementar datos personales derivados de personales y de los sistemas de
medidas de seguridad es necesario tomar en ataques informáticos. tratamiento;
cuenta los siguientes factores : 138
• II. Determinar las funciones y obligaciones
Además de estos factores, siguiendo la de las personas que traten datos
• Riesgo inherente al tipo de dato: normatividad mexicana en materia de personales;
Siendo relevante si se trata o no de protección de datos, la Guía del INAI también III. Contar con un análisis de riesgos de
datos sensibles o especialmente lista los siguientes elementos a considerar: datos personales que consiste en identificar
protegidos. peligros y estimar los riesgos a los datos
• Consecuencias para los titulares de 1. Número de titulares; personales;
una vulneración: Debiendo 2. Vulnerabilidades previas ocurridas IV. Establecer las medidas de seguridad
considerar el daño o impacto para en los sistemas de tratamiento; aplicables a los datos personales e
el derecho a la protección de datos 3. Riesgo por valor potencial identificar aquéllas implementadas de
personales así como otros impactos cuantitativo y cualitativo por manera efectiva;
reputacionales y/o económicos tratamiento no autorizado; V. Realizar el análisis de brecha que
para el titular de los datos 4. Demás factores que pueden incidir consiste en la diferencia de las medidas de
personales. en el riesgo que resulten de otra seguridad existentes y aquéllas faltantes
• Sensibilidad de los datos: Si son normativa aplicable. que resultan necesarias para la protección
sensibles o especialmente de los datos personales;
protegidos o no. En cuanto a las acciones a adoptar en materia VI. Elaborar un plan de trabajo para la
• Desarrollo tecnológico: Por lo que de seguridad, el Reglamento de la LFPDPPP 139
implementación de las medidas de
hay que atender al avance lista algunas, correspondiendo al responsable en seguridad faltantes, derivadas del análisis
última instancia adoptar las necesarias en de brecha;
atención a los factores y elementos ya indicados. VII. Llevar a cabo revisiones o auditorías;
137
Pág. 42.
138
La Guía del INAI hace referencia a estos factores, en Estas acciones son: VIII. Capacitar al personal que efectúe el
virtud de la normatividad aplicable en México, en tratamiento, y
particular el Reglamento de la LFPDPPP. 139
Artículo 61.
IX. Realizar un registro de los medios de procurarán revisar y, en su caso, actualizar las los datos y pedir que se corrijan datos
almacenamiento de los datos personales.” relaciones correspondientes una vez al año.” inexactos o el uso indebido de los datos
como consecuencia de su violación. Las
Las medidas de seguridad deben revisarse o — Violaciones o vulneraciones de seguridad notificaciones también podrían ofrecer
actualizarse, pudiendo utilizar como criterios al incentivos a los controladores de datos
respecto los indicados por el Reglamento de la En relación con la seguridad hay que para asumir la responsabilidad, examinar
LFPDPPP en su artículo 62, que son los considerar también, de manera específica, las las políticas en materia de retención de
siguientes: violaciones o vulneraciones de seguridad. Al datos y mejorar sus medidas de seguridad.”
respecto, el informe del CIJ de la OEA indica que:
“I. Se modifiquen las medidas o En el caso de México, el artículo 20 de la
procesos de seguridad para su mejora “La incidencia creciente de intrusiones LFPDPPP se refiere a las vulneraciones de
continua, derivado de las revisiones a la externas (“violaciones de los datos seguridad, indicando que “[l]as vulneraciones de
política de seguridad del responsable; personales”), que consisten en el acceso no seguridad ocurridas en cualquier fase del
II. Se produzcan modificaciones autorizado a datos protegidos, suscita tratamiento que afecten de forma significativa
sustanciales en el tratamiento que preocupaciones relacionadas con la los derechos patrimoniales o morales de los
deriven en un cambio del nivel de privacidad y con el ámbito penal. En titulares, serán informadas de forma inmediata
riesgo; muchos países, entre los cuales se cuentan por el responsable al titular, a fin de que este
III. Se vulneren los sistemas de Estados Miembros de la OEA, la notificación último pueda tomar las medidas
tratamiento, de conformidad con lo es obligatoria por ley en esos casos. Por correspondientes a la defensa de sus derechos.”
dispuesto en el artículo 20 de la Ley y 63 consiguiente, en caso de violación de los Dicho artículo ha sido desarrollado por los
del presente Reglamento, o datos, los controladores de datos podrían artículos 63 a 66 del Reglamento de la LFPDPPP
IV. Exista una afectación a los datos tener la obligación legal de notificar a las que, entre otras cuestiones, se refieren a la
personales distinta a las anteriores.” personas cuyos datos hayan sido (o puedan notificación, la información mínima a
haber sido) comprometidos. proporcionar al titular de los datos personales
Y en el caso de que los datos personales Tales notificaciones permiten a las así como a las medidas correctivas.
tratados sean sensibles, el citado artículo personas afectadas tomar medidas de
concluye indicando que “los responsables protección y posiblemente tener acceso a
De producirse la vulneración, como indica la mantenimiento de las medidas de
Guía del INAI “el responsable, en primer lugar, seguridad;
debe analizar las causas por las cuales se 5. Actualizar las medidas de seguridad
presentó; y en segundo lugar, a efecto de evitar implementadas, cuando así se requiera,
que la vulneración se repita” . 140
según los criterios antes descritos;
En definitiva, conforme indica la Guía del INAI, 6. Notificar a los titulares las
las medidas de seguridad implican que “el vulneraciones de seguridad que se
responsable tiene las siguientes obligaciones en presenten, con la información y en el
torno al deber de seguridad: momento antes señalados;
7. Llevar a cabo las acciones correctivas
“1. Establecer y mantener medidas de que sean necesarias.”
seguridad administrativas, físicas y
técnicas;
2. No adoptar medidas de seguridad
menores a aquéllas que mantengan
para el manejo de su información;
3. Tomar en cuenta el riesgo inherente
por tipo de dato personales; las posibles
consecuencias para los titulares por una
vulneración; la sensibilidad de los datos
personales tratados y el desarrollo
tecnológico;
4. Considerar las acciones que establece
el artículo 61 del Reglamento de la
LFPDPPP pata la implementación y
140
Pág. 75.