El derecho a la proteccin de datos personales

El derecho a la protección de datos personales Lina Ornelas Directora General de Clasificación y Datos Personales (IFAI) II Semana Estatal de Transparencia 2009 ITAIP

¿Qué son los datos personales? Toda información concerniente o relativa a una persona física identificada o identificable.

Ejemplos | Nivel de protección ¢ Identificación | Básico l ¢ Patrimoniales | Medio l ¢ Estados de salud físicos y mentales. . . Biométricos | Alto l ¢ Cuentas bancarias, saldos, propiedades. . . Salud | Alto l ¢ Nombre, edad, domicilio, sexo, RFC, CURP. . . Huellas dactilares, iris, voz, firma autógrafa. . . Otros | Alto l Ideología, afiliación política, religión, origen étnico, preferencia sexual. . .

Derecho a la Privacidad o a la Protección de datos personales En derecho comparado se ha configurado un auténtico derecho fundamental a la protección de datos personales, distinto al de la vida privada o a la intimidad. ¢ Este derecho tiene sus propios mecanismos de protección. ¢ En México, este derecho ya es constitucional. ¢

Plan de la exposición I. II. Una visión comparada Principios y Derechos de la Protección de datos personales III. Similitudes y diferencias entre la PDP y la Seguridad de la información IV. La situación en México V. Conclusiones y perspectivas

I Una visión comparada

Los orígenes Los principales instrumentos internacionales de derechos humanos reconocen al derecho a la vida privada. ¢ Sin embargo, los avances en las TI y sus implicaciones para la vida de las personas dieron origen a un derecho distinto, relacionado con la protección de los datos personales (PDP). ¢

¿Cómo surge este nuevo derecho? Del derecho a la intimidad (noción tradicional “a ser dejado solo”), y ¢ Por el uso vertiginoso de las TI. ¢

¿En qué consiste el derecho a la autodeterminación informativa? ¢ Es el derecho que tiene toda persona a conocer y decidir, quién, cómo y de qué manera recaba y utiliza sus datos personales.

Principales instrumentos en Europa ¢ ¢ ¢ Convenio 108 del Consejo de Europa sobre protección de datos personales (1985) Directiva 95/46/CE sobre protección de personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos (1995) Carta de Derechos Fundamentales de la Unión Europea (2000)

Principales instrumentos a escala internacional ¢ ¢ ¢ Directrices relativas a la protección de la privacidad y flujos transfronterizos de datos personales (1980) OCDE Resolución 45/95 de la Asamblea General (1990) ONU Directrices para la armonización de la protección de datos personales de Iberoamérica (2007) RIPD

En el Continente Americano ¢ ¢ Canadá tiene leyes de protección de datos personales a nivel federal y provincial. Estados Unidos tiene regulaciones sectoriales “Privacy Act” (Safe Harbour) pero no reconoce el derecho a la PDP como tal. En América Latina sólo Argentina, Uruguay y Chile tienen legislación específica en la materia. México tiene una regulación trunca, sólo para sector público.

II Principios y Derechos de la Protección de datos personales

Información al titular ¢ Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco de la existencia de un sistema de datos personales (SDP) o del tratamiento de datos de carácter personal, de la finalidad de recabarlos y de los destinatarios de la información.

Calidad de los datos ¢ ¢ ¢ Los datos recogidos deben ser adecuados, pertinentes y no excesivos atendiendo a la finalidad. No podrán usarse para finalidades distintas de la que motivó que fueran recogidos. Serán exactos y actualizados. Serán cancelados cuando dejen de ser necesarios. No podrán ser recabados por medios fraudulentos, desleales o lícitos.

Consentimiento del titular ¢ ¢ El tratamiento de datos de carácter personal requiere del consentimiento inequívoco del afectado y éste puede ser revocado. Consentimiento previo (opt-in) o posterior (optout).

Comunicación de los datos ¢ ¢ Los datos personales sólo pueden comunicados a un tercero para fines directamente relacionados con las funciones del cedente y del cesionario, previo consentimiento del interesado. Existen algunas excepciones a este principio.

Derechos (ARCO) Acceso ¢ Rectificación ¢ Cancelación ¢ Oposición ¢

Deberes ¢ Deber de secreto l ¢ Obligación de quienes intervienen en el tratamiento de datos personales a guardar secreto profesional. Deber de seguridad l Adopción de medidas adecuadas y pertinentes a fin de garantizar el nivel de protección requerido.

Tutela de derechos ¢ ¢ En la ley de la materia se establecen procedimientos para ejercitar los derechos (ARCO) ante la Autoridad Independiente. Una violación deriva en una sanción administrativa, quedando a salvo el derecho de acudir a la vía correspondiente para efectos de responsabilidad civil, o patrimonial del Estado.

III Similitudes y diferencias entre la PDP y la SI

Similitudes y diferencias ¢ ¢ ¢ No toda la información es dato personal. La información es un activo valioso para la organización. Existen estándares internacionales sobre Seguridad de la información. ¢ ¢ ¢ Los datos personales son todos información. Los datos personales lo son además para su titular. Las leyes de cada país regulan a modo la Protección de datos personales.

Similitudes y diferencias ¢ ¢ Una fuga de información afecta a la organización. La Seguridad de la información tiene entre sus objetivos asegurar la Privacidad y la Protección de datos personales. ¢ ¢ Una fuga de datos personales afecta además al titular. La Protección de datos personales incorpora varios de los objetivos de la Seguridad de la información.

Disciplinas hermanadas que se complementan Protección de datos personales: Filosofía + Ética + Derecho + Seguridad administrativa + Seguridad técnica + Seguridad física Seguridad de la información: Liderazgo y Dirección + Gestión de riesgos + Clasificación de información + Gestión de capital humano + Gestión de incidentes + Continuidad de las operaciones + Gestión de hardware, software & redes + Desarrollo de software + Encripción de datos + Diseño arquitectónico + Ingeniería electromecánica + Vigilancia + Criminología + Derecho + Protección de propiedad intelectual + Privacidad + Protección de datos personales

IV La protección de datos personales en México

A nivel constitucional ¢ Artículo 6 l ¢ Artículo 16 l ¢ Reconoce el derecho a la protección de datos en el ámbito público. Introduce el derecho a la protección de datos personales como un derecho autónomo e independiente. Artículo 73 l Dota de facultades expresas al Congreso Federal para expedir una ley de protección de datos en posesión de los particulares.

La LFTAIPG ¢ ¢ ¢ La Ley Federal de Acceso a la Información Pública Gubernamental reconoce por primera vez en México la protección de los datos personales. Se limita a datos personales en el sector público, a nivel federal. Es, al mismo tiempo, una ley de acceso a la información y una ley de protección de datos personales (limitada en su ámbito de aplicación).

Principales disposiciones de la LFTAIPG ¢ ¢ Definición ejemplificativa de datos personales. Reconoce algunos principios: l l l ¢ Calidad, finalidad y consentimiento (con excepciones) Reconocen derechos de los interesados al acceso y rectificación de sus datos personales. Establecen obligaciones de los sujetos que traten datos personales (confidencialidad y seguridad). Se prevé la existencia de un registro de datos personales (el “Sistema Persona”). Se crea una autoridad independiente (el IFAI). Establece procedimientos específicos para el acceso y rectificación de datos personales.

Las excepciones al acceso ¢ El acceso a los datos personales esta restringido a sus titulares y por ello éstos no son susceptibles de divulgación. l ¢ ¢ ¢ Versiones públicas. Constituye una excepción al principio de publicidad. Su interpretación ha generado algunos de los debates más importantes en la materia y es aún motivo de controversia. La Ley mexicana no prevé “pruebas de interés público”.

A nivel estatal ¢ ¢ La mayoría de las legislaciones estatales contienen un capítulo de protección de datos personales y ya existen leyes especiales en Guanajuato, el D. F. , Colima y Jalisco. Sin embargo, en general, la materia está regulada en forma deficiente.

V Conclusiones y perspectivas

Exigencias y necesidades de la Protección de datos personales Asunto multidisciplinario; ¢ Énfasis en las medidas de seguridad; y ¢ Capacitación y autoestudio. ¢

Estatus de la aprobación de la Ley de protección de datos ¢ ¢ El pasado mes de mayo se aprobó por la Comisión de Gobernación de la Cámara de Diputados la Ley Federal de Protección de Datos en posesión de los particulares, pero no pasó al Pleno de la Cámara, por lo que está pendiente su aprobación. En dicha propuesta, el IFAI es la autoridad a nivel nacional.

¿Qué aspectos debe contemplar la ley? Principios y derechos (arco) Autoridad independiente Mecanismos de protección

¿Qué ley de protección de datos? ¢ Ley federal vs. ley estatal: Federal para ficheros privados con autoridad nacional. l Concurrente respecto de ficheros públicos. l Una ley equilibrada y suficiente. ¢ Una ley necesaria e inaplazable. ¢