LA PROTECCIN DE DATOS PERSONALES EN POSESIN DE

LA PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE PARTICULARES Y LAS IMPLICACIONES EN EL COMERCIO, LA ECONOMÍA Y LA COMPETITIVIDAD. Juan S. Mijares Ortega Director Jurídico y de Asuntos Corporativos Microsoft México Microsoft Confidential 1

Situación actual en México: Contamos con un marco legal razonablemente sólido en cuanto al manejo de datos personales en posesión del Estado (Ley de Transparencia, Lineamientos de Protección de Datos Personales, etc. ). Hay una regulación aceptable respecto del uso de datos personales en posesión de burós de crédito. Sin embargo, falta un marco legal que regule el manejo de datos personales en posesión de particulares (sean individuos o empresas). Microsoft Confidential 2

Diferencia esencial entre la regulación de los datos personales en poder del Estado y los que obtengan los particulares La diferencia es simple: el sector público tiene datos personales de sus ciudadanos para que el Estado pueda cumplir con sus propios fines y con base en leyes que permitan esa recopilación de datos (contribuyentes, derechohabientes del IMSS, ISSSTE, votantes, usuarios de servicios públicos, etc. ). En cambio, los particulares tienen datos personales de sus clientes o consumidores, reales o potenciales; es decir, obtienen y usan esos datos con un fin esencialmente comercial, que puede incluir, válidamente, servicios de apoyo y/o soporte al usuario o consumidor. Microsoft Confidential 3

Actualmente, los ciudadanos NO carecemos de una vulnerabilidad legislativa absoluta respecto del uso, por particulares, de nuestros datos personales. Efectivamente, no estamos partiendo "de cero". Ya se han promulgado algunas leyes (o adiciones a las mismas) que limitan, por ejemplo, el uso por parte de proveedores en una relación comercial, de los datos personales de sus consumidores para fines diferentes a los necesarios en el contexto de su relación comercial. Pero se necesita hacer más. Microsoft Confidential 4

¿Qué falta? ¿Qué protección debe darse desde el punto de vista legislativo, a los datos personales que tienen de nosotros los particulares? Para este fin, hay dos premisas fundamentales: 1. Es aceptable que los particulares tengan y usen información de nosotros en el contexto de la relación comercial que tengamos con tales particulares. 2. Si dichos particulares piensan usar esa información personal para un fin distinto; o transmitirla a terceros, deben avisarnos y, en ciertos casos, necesariamente requieren obtener nuestro consentimiento previo. Microsoft Confidential 5

Necesidad de una legislación diferenciada entre los datos personales en poder del Estado de los que lleguen a obtener los particulares. La diferencia parte del bien jurídico que en uno y en otro caso se debe tutelar: los datos en poder del Estado, permiten que éste realice sus funciones como tal, mientras que los que recaban los particulares deben tender a permitir las transacciones comerciales, al tiempo que guardar la privacidad e intimidad de los individuos. El principio regulatorio que rige a la protección de datos personales en posesión del Estado, por su naturaleza es preponderantemente RESTRICTIVO: Los datos personales de los ciudadanos sólo pueden usarse para los fines públicos por el que el Estado los recibió. Sólo por excepción, debidamente contemplada en las leyes respectivas, pueden ser usados para fines distintos o transmitidos a terceros. Microsoft Confidential 6

Principio regulatorio que rige a la protección de datos personales en posesión de los particulares. El principio regulatorio que rige a la protección de datos personales que recaban los preponderantemente FACULTATIVO: particulares, es Por regla general, los datos personales de los clientes, usuarios o consumidores de los particulares, pueden usarse en el contexto de una o más transacciones comerciales. Sólo por excepción y cuando la naturaleza de la información sea especialmente delicada o sensible, su uso secundario o transmisión a terceros debe obtenerse, el consentimiento previo. Microsoft Confidential 7

Justificación de la diferencia entre los principios regulatorios que rigen a uno y otro sector. El principio regulatorio es inverso: lo que es regla general en uno, es decir, con los particulares, es la excepción en el otro. Esta diferencia radica en el uso: en el sector público los datos personales se obtienen para cumplir fines públicos. Entre los particulares, los datos personales se recaban para potenciar la economía: es decir, para que más personas puedan acceder a bienes y servicios. Fundamentalmente, esto deriva de nuestras garantías individuales y del principio de Derecho y de la Democracia, relativo a que el Estado sólo puede realizar lo que le está expresamente permitido, mientras que los particulares pueden hacer todas aquéllas actividades que no les están prohibidas. Microsoft Confidential 8

Una legislación adecuada impacta positivamente en el comercio electrónico, en el fomento a la economía y en la competitividad de México. No hay duda de que una buena legislación en la materia de protección de datos recabados por particulares beneficia no sólo al comercio electrónico, sino también al comercio en general. Facilita la realización de mayores actividades económicas y, por lo tanto, incide en una mayor la generación de empleos. Por el contrario, una legislación con un enfoque no atienda a este principio de eficiencia económica, desde luego impactaría negativamente al comercio y los empleos y a la competitividad nacional. Microsoft Confidential 9

Principios internacionales reconocidos. Destacan los de la OCDE (1980 OECD Guidelines) y la APEC (Privacy Framework). Para simplificar, me referiré al "ICC Privacy Toolkit", de la Cámara Internacional de Comercio (ICC, con sede en París), que resume a las mejores prácticas de regulación en materia de privacidad de datos con base en los principios de OCDE y APEC. De acuerdo con el ICC Privacy Toolkit, las funciones básicas de la protección de datos personales son: Identificar los diferentes tipos de datos personales. Educar a los usuarios y consumidores sobre la forma de proteger su información, de una forma co-responsable. Implementar los mecanismos legales de protección de datos personales, mediante regulación (y permitir la auto-regulación). Ejecutar las disposiciones legales. Microsoft Confidential 10

ICC Privacy Toolkit-Principios A) Lawful and Fair Collection (Obtención Legal y Transparente). La obtención de datos personales debe hacerse de forma clara y transparente. B) Data Quality (Tipo de Datos). Los datos personales que obtienen los particulares deben ser los necesarios para su actividad comercial, ni más ni menos, y deben mantenerlos íntegros y actualizados. C) Purpose Specification (Descripción del Uso). Los particulares deben avisar a los titulares de la información personal, para qué será usada dicha información, incluyendo si puede usarse para otros propósitos. Microsoft Confidential 11

ICC Privacy Toolkit-Principios D) Use Limitation (Limitaciones a su Uso). Si existe una limitación legal para usar la información para otros propósitos, los particulares no deben usarla o enajenarla (esto es aplicable particularmente para el caso de información sensible). E) Security (Seguridad). Los particulares deben tener mecanismos razonables de protección y seguridad técnica sobre sus bases de datos, que permita preservar su integridad y uso adecuado (y confidencialidad, en su caso). F) Openness (Transparencia). Los particulares deben tener y ejecutar una política clara y transparente respecto de la privacidad de los datos personales que obtienen de terceros. Microsoft Confidential 12

ICC Privacy Toolkit-Principios G) Right of Access (Acceso). Las personas cuya información personal está en poder de otros particulares, deben tener derecho a acceder a ella y hacer correcciones, en su caso. H) Accountability (Responsabilidad Exigible). - Todo particular que tenga información personal de terceros tiene que ser responsable por el cumplimiento de los principios indicados, según consten en la legislación que le aplique. Microsoft Confidential 13

Algunas recomendaciones de ICC Para el sector privado: Promover esquemas de autorregulación, tales como Códigos de Conducta y/o Códigos de Mejores Prácticas Corporativas. Para los gobiernos: Adoptar un marco legislativo de protección de datos personales en cumplimiento estricto a las 1980 OECD Guidelines, a los lineamientos de APEC y, evidentemente, de ICC. Evitar leyes, disposiciones y prácticas que obstaculicen el flujo transfronterizo de datos. Evitar instancias burocráticas que limiten, controlen y quiten eficiencia a las actividades vinculadas con el comercio electrónico y el uso legal de datos personales. Esos procedimientos incluyen registros, restricciones innecesarios a la transmisión de datos no sensibles datos. Promover programas de educación de corresponsabilidad de protección de la información personal. Microsoft Confidential 14

En síntesis: La protección de datos personales debe ser suficiente, pero no excesiva, de tal forma que se cumplan con los requisitos establecidos por nuestros principales socios comerciales: los del TLCAN y, también, aunque tienen una perspectiva diferente, los de la Unión Europea. No es con burocracia y/o trámites como se resuelve la protección de datos personales en poder de privados. Hay unos principios comúnmente aceptados, que nuestra legislación debe permitir y proteger: La protección de datos es una materia local, de cada país; El flujo de datos es global; y Las obligaciones de protección y el honrar esas obligaciones es universal. Microsoft Confidential 15

Gracias. © 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U. S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. Microsoft Confidential 16