Datos personales y privacidad a nivel internacional Comentarios

Datos personales y privacidad a nivel internacional Comentarios desde el proyecto de ley de protección de datos personales en posesión de sujetos obligados

Marco jurídico latinoamericano • • Declaración Universal de Derechos Humanos (1948) Declaración Americana de Derechos y Deberes del Hombre (1948) Convención Americana sobre Derechos Humanos (art. 13) Jurisprudencia de la Corte Interamericana (OC 5/85, OC 7/87, Claude Reyes vs. Chile, 2006, Gomes Lund vs. Brasil, 2010) • Informes de la Comisión Interamericana y de su Relatoría de la Libertad de Expresión • Declaración de Principios, Principios de Lima, Carta Democrática Interamericana, Ley Modelo interamericana de Acceso a la Información Pública • La OEA está trabajando sobre una eventual Ley Modelo en materia de Protección de Datos Personales, pero parece haber virado hacia un criterio de elaboración de principios.

Las principales líneas de las reformas a las LPDP de la tercera generación (Proyecto de Reglamento General de Protección de Datos de la UE) • 1) Ámbito extraterritorial de aplicación • Se aplica no sólo a los tratamientos de datos que se produzcan en el ámbito de la Unión Europea, sino a tratamientos de datos que se produzcan fuera del ámbito territorial de la Unión Europea, pero que afecten a ciudadanos o residentes en la Unión Europea. • • • 2) Principios novedosos en materia de protección de datos; Privacy by design (privacidad por diseño) Privacy by default (privacidad por defecto) Transparencia Accountability (principio de responsabilidad o compromiso de los responsables y encargados)

• • Novedades en la propuesta de Reglamento General de Protección de Datos 3) Nuevos derechos Derecho de oposición a la creación de perfiles Derecho de portabilidad Derecho al olvido (primero denominado así y luego incluido dentro del derecho de supresión) • 4) Modificaciones sobre las medidas de seguridad • 5) Novedades en las transferencias internacionales. • 6) Exigencia de evaluación del impacto de privacidad (Privacy Impact Assessment) en tratamientos sobre más de 5000 o cualquier tipo de tratamiento de datos que conlleve riesgo.

Novedades en la propuesta de Reglamento General de Protección de Datos • 7) Se establece la figura del Delegado de Protección de Datos, primero obligatoria en todas las empresas de más de 200/250 trabajadores y en todas las Administraciones Públicas, pero ahora para personas jurídicas que hayan tratado datos de más de 5. 000 personas durante cualquier período consecutivo de doce meses (apunta a servicios en la nube). • 8) Impulso importante en favor de la autorregulación, con referencia expresa a las Binding Corporate Rules (BCR), Normas Corporativas Vinculantes modernizando la protección de datos desde el rigor.

Novedades en la propuesta de Reglamento General de Protección de Datos • 9) Cambio sustancial en el sistema de infracciones y sanciones. • Se incrementa la cuantía de las sanciones (hasta 100. 000 de euros o el 5 % del volumen de negocios global -lo que sea superior-, lo que supera la propuesta de la Comisión -1. 000 de euros, o el 2 % del volumen de negocios global-) • Se extienden a las Administraciones Públicas. • 10) Cambio en el marco institucional • Renovación del Grupo del art. 29.

Marco jurídico constitucional y legal mexicano (básico) • Características de la legislación vigente y la proyectada • a) Multiplicidad de las normas al abrigo de las reglas constitucionales • El art. 73 XXIX-S y el Segundo Transitorio de la Reforma al art. 6 dan base a la duplicación de las leyes federales y existen leyes locales de transparencia y de protección de datos • b) Asimetrías: • No hay una homogénea regulación en los sectores público y privado sobre principios que deben ser comunes

Puntos de contacto de la propuesta del IFAI con las reformas a las normas comunitarias • Fisonomía: 13 Títulos, 26 capítulos y 141 artículos. 5 Transitorios. • Título I: • Capítulo I: • Alcance amplio de la ley: • “cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos fideicomisos y fondos públicos en el ámbito federal, estatal y municipal” • Remite a la LFPDPPP “los sindicatos y cualquier otra persona física o moral que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito federal, estatal y municipal

Puntos de contacto de la propuesta del IFAI con las reformas a las normas comunitarias • Límites a los derechos: • Problema con el límite del orden público y remisión al desarrollo de otras leyes o leyes especiales. • Problema de la superposición de los regímenes de excepciones (preterida con claridad en la relación: Colombia, Honduras, sin claridad: República Dominicana y Panamá. Claramente primera en Sudáfrica y la India) • Problemas respecto del test del interés público. Efectos sobre quienes clasifican y como se desclasifica. Tendencia a la sobreclasificación. • Es necesario referir a los datos de menores pero ¿interés superior de la infancia? Niño-menor, propuesta de reglamento europeo lo menciona, pero infancia excluye adolescencia.

Puntos de contacto de la propuesta del IFAI con las reformas a las normas comunitarias • Cuestión terminológica de la autodeterminación informativa y la protección de datos: • Art. 1. Objeto. La presente Ley… tiene por objeto establecer las bases, principios generales y procedimientos para garantizar el derecho que tiene toda persona a la protección de sus datos personales… • Art. 2. Objetivos. Son objetivos de la presente ley: … IV: Proteger los datos personales …con la finalidad de regular su debido tratamiento y garantizar el derecho a la autodeterminación informativa de las personas • Interpretación y aplicación: • En la aplicación e interpretación de la presente Ley se estará a lo dispuesto en la Constitución Política de los Estados Unidos Mexicanos, en los tratados internacionales de los que el Estado Mexicano sea parte, así como en las resoluciones, sentencias, determinaciones, decisiones, criterios y opiniones vinculantes, entre otros, que emitan los órganos internacionales especializados, privilegiando en todo momento la interpretación que más favorezca a los solicitantes”.

Puntos de contacto de la propuesta del IFAI con las reformas a las normas comunitarias • • Capítulo II: Distribución de competencias Federación, estados Federados, Distrito Federal. Capítulo III: Sistema nacional de Protección de los Datos personales. Programa y Consejo. Título II Capítulo I Adecuación de los principios (lealtad, legalidad, consentimiento, finalidad, proporcionalidad, calidad, transparencia y responsabilidad) • Capítulo II • Deber de seguridad, medidas de seguridad, documento de seguridad.

Puntos de contacto de la propuesta del IFAI con las reformas a las normas comunitarias • • • Título III Derechos ARCO Capítulo I Personas fallecidas “persona que acredite tener un interés jurídico o legítimo” Capítulo II Derecho de oposición: a) para evitar un daño, o b) si no hay obligación legal de tratamiento. Derecho al olvido en plataformas de Internet (Caso Costeja y procedimiento sancionatorio IFAI contra Google)

Puntos de contacto de la propuesta del IFAI con las reformas a las normas comunitarias • Título IV • Capítulo único • Responsables y encargados de tratamientos: contratos y subcontratos • Título V • Capítulo único • Diferencia entre transferencia y remisión (sólo entre responsable y encargado). • “Las remisiones nacionales e internacionales de datos personales que se realicen entre responsable y encargado no requerirán ser informadas al titular, ni contar con su consentimiento”. • Transferencia, remisión y cesión.

Puntos de contacto de la propuesta del IFAI con las reformas a las normas comunitarias • • Título VI • • Capítulo II Acciones preventivas Capítulo I Manifestación del impacto de privacidad (proyectos leyes, decretos, actos administrativos generales, uso nuevas tecnologías) Antecedente en las exigencias de impacto ambiental. Mejores prácticas de los responsables (aprobadas por el IFAI) Título VII Registro Nacional de Protección de (¿de sistemas de información que contienen? ) Datos Personales.

Puntos de contacto de la propuesta del IFAI con las reformas a las normas comunitarias • • Título VIII Capítulos I a III Cada responsable contará con: a) un Comité de Información que “será la autoridad máxima en materia de protección de datos personales, el cual también estará integrado por el oficial de protección de datos personales cuando sesione para cuestiones relacionadas con esta materia”, • b) una Unidad de Información • c) un oficial de protección de datos personales, el cual deberá fungir como enlace ante el Instituto o, en su caso, los organismos garantes para atender los asuntos relativos a la presente Ley y demás normativa aplicable. • Los partidos políticos deberán establecer en su regulación interna la integración, designación y atribuciones de los órganos a que se refiere el presente Título, en los términos previstos en esta Ley y demás normativa aplicable.

• • • Puntos de contacto de la propuesta del IFAI con las reformas a las normas comunitarias Título IX Capítulos I y II Distribución de competencias IFAI y órganos garantes Capítulo III Bases coordinación y promoción del derecho a la protección de los datos personales. • Título X • Capítulo Único • Coordinaciones IFAI con otras entidades (Instituto con la Auditoría Superior de la Federación, Archivo General de la Nación, Instituto Nacional de Estadística y Geografía)

Puntos de contacto de la propuesta del IFAI con las reformas a las normas comunitarias • Recursos: • a) de Revisión (suplencia de la queja), impugnación ante el poder judicial (irrevisibilidad por otra vía) • b) de Inconformidad (respecto de las resoluciones de los órganos garantes, se remite al IFAI), • c) Atracción de recursos de revisión en trámite ante órganos garantes (de oficio o a petición fundada de los organismos garantes, por interés y trascendencia del caso). Bypass o Per saltum

Puntos de contacto de la propuesta del IFAI con las reformas a las normas comunitarias • • Título XII Capítulo IV Criterios de interpretación Causada ejecutoria en las resoluciones dictadas con motivo de los recursos de revisión, el Instituto o los organismos garantes, según corresponda, podrán emitir los criterios de interpretación que estimen pertinentes y que deriven de lo resuelto en los mismos. Capítulo Único Facultades de vigilancia y verificación (IFAI-órganos garantes) Requisitos de normas y procedimientos

Puntos de contacto de la propuesta del IFAI con las reformas a las normas comunitarias • • Título XIII Capítulo I Medidas de Apremio de resoluciones (IFAI y órganos garantes) Apercibimiento Amonestación, Multa de hasta 1500 salarios mínimos, Suspensión sin goce de sueldo entre 30 y 90 días

Puntos de contacto de la propuesta del IFAI con las reformas a las normas comunitarias • Capítulo II • Responsabilidades administrativas de los Servidores Públicos y Régimen de • • sanciones. 22 causales de responsabilidad administrativa de los servidores públicos por incumplimiento de las obligaciones establecidas en esta ley. La sanción se hará en los términos de los procedimientos establecidos en la Ley Federal de Responsabilidades Administrativas de los Servidores Públicos o las correspondientes en los Estados y el Distrito Federal Independencia de estas sanciones respecto de las de carácter civil y penal No serán sujetos de responsabilidad, cuando los servidores públicos actúen en cumplimiento de una resolución del Instituto o de los organismos garantes