Comentarios al reglamento de la Ley Federal de Protección de Datos Personales en posesión de los particulares

Publicado el 04 de junio de 2012 Arturo González Solís, Profesor en el Centro Universitario Sur de la Universidad de Guadalajara arturogs@cusur.udg.mx

Con fecha 21 de diciembre de 2011 se publicó, en el Diario Oficial de la Federación, el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LPDPPP).

Puede ser consultada:

dof.gob.mx/nota_detalle.php?codigo=5226005&fecha=21/12/2011

Viene a concretar aspectos que se encontraban en el tintero, por mencionar algunos:

Se definen y desarrollan conceptos como derechos ARCO: son los derechos de acceso, rectificación, cancelación y oposición. Asimismo, se define terminología de las tecnologías de la información y comunicaciones electrónicas, entre otros:

Entorno digital: es el ámbito conformado por la conjunción de hardware, software, redes, aplicaciones, servicios o cualquier otra tecnología de la sociedad de la información que permiten el intercambio o procesamiento informatizado o digitalizado de datos.

Medidas de seguridad físicas: conjunto de acciones y mecanismos, ya sea que empleen o no la tecnología, destinados para:

1. Prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información.




2. Proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones.





3. Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, funcionalidad e integridad.





4. Garantizar la eliminación de datos de forma segura.

En otro aspecto a destacar, se regulan aspectos importantes como el ámbito territorial de aplicación, que dicho de otra forma se fija la competencia y para en caso de procedimientos administrativos y judiciales, por motivo de incumplimiento de las partes.

Sobre todo destaca la competencia que regula el derecho internacional privado: que se encarga de regular aspectos de competencia: el acuerdo por medio del acuerdo de las partes (pacta sunt servanda), el que fija el foro de acuerdo al domicilio del cliente/consumidor, o de acuerdo al domicilio del responsable del tratamientos de los datos personales (que en ocasiones no se encuentra en territorio mexicano), como se desarrolla en el arábigo 4.

Por otra parte, en el artículo 9o. se mencionan los principios rectores de la protección de datos personales:

• Licitud.

• Consentimiento.

• Información.

• Calidad.

• Finalidad.

• Lealtad.

• Proporcionalidad.

• Responsabilidad.

De igual forma, se regula el tratamiento de datos personales para fines mercadotécnicos, publicitarios o de prospección comercial, el artículo 30 menciona:

Entre las finalidades del tratamiento a las que refiere la fracción II del artículo 16 de la Ley, en su caso, se deberán incluir las relativas al tratamiento para fines mercadotécnicos, publicitarios o de prospección comercial.

Lo anterior sin perjuicio de lo establecido por las disposiciones vigentes que regulen el tratamiento para los fines señalados en el párrafo anterior, cuando éstas contemplen una protección mayor para el titular que la dispuesta en la Ley y el presente Reglamento.

También se regula el derecho de oposición del tratamiento para finalidades distintas, en el numeral 42 se refiere:

El titular podrá negar o revocar su consentimiento, así como oponerse para el tratamiento de sus datos personales para las finalidades que sean distintas a aquéllas que son necesarias y den origen a la relación jurídica entre el responsable y el titular, sin que ello tenga como consecuencia la conclusión del tratamiento para estas últimas finalidades.

Una cuestión interesante es que el reglamento en comento, regula aspectos muy actuales, como lo es el tratamiento de datos personales en el denominado cómputo de la nube, al respecto, el artículo 52 señala:

Para el tratamiento de datos personales en servicios, aplicaciones e infraestructura en el denominado cómputo en la nube, en los que el responsable se adhiera a los mismos mediante condiciones o cláusulas generales de contratación, sólo podrá utilizar aquellos servicios en los que el proveedor:

1. Cumpla, al menos, con lo siguiente:




1. Tener y aplicar políticas de protección de datos personales afines a los principios y deberes aplicables que establece la Ley y el presente Reglamento;





2. Transparentar las subcontrataciones que involucren la información sobre la que se presta el servicio;





3. Abstenerse de incluir condiciones en la prestación del servicio que le autoricen o permitan asumir la titularidad o propiedad de la información sobre la que presta el servicio, y




4. Guardar confidencialidad respecto de los datos personales sobre los que se preste el servicio, y



2. Cuente con mecanismos, al menos, para:




1. Dar a conocer cambios en sus políticas de privacidad o condiciones del servicio que presta;





2. Permitir al responsable limitar el tipo de tratamiento de los datos personales sobre los que se presta el servicio;





3. Establecer y mantener medidas de seguridad adecuadas para la protección de los datos personales sobre los que se preste el servicio;





4. Garantizar la supresión de los datos personales una vez que haya concluido el servicio prestado al responsable, y que este último haya podido recuperarlos, y





5. Impedir el acceso a los datos personales a personas que no cuenten con privilegios de acceso, o bien en caso de que sea a solicitud fundada y motivada de autoridad competente, informar de ese hecho al responsable.

En cualquier caso, el responsable no podrá adherirse a servicios que no garanticen la debida protección de los datos personales.

Para fines del presente Reglamento, por cómputo en la nube se entenderá al modelo de provisión externa de servicios de cómputo bajo demanda, que implica el suministro de infraestructura, plataforma o software, que se distribuyen de modo flexible, mediante procedimientos de virtualización, en recursos compartidos dinámicamente.

Las dependencias reguladoras, en el ámbito de sus competencias, en coadyuvancia con el Instituto, emitirán criterios para el debido tratamiento de datos personales en el denominado cómputo en la nube.

El Reglamento de la LPDPPP ajusta diferentes procedimientos: procedimiento ante la negativa al cese en el tratamiento; procedimiento para la autorización de medidas compensatorias; procedimiento para conservación, bloqueo y supresión de los datos personales; procedimientos específicos para el ejercicio de los derechos ARCO; del procedimiento de protección de derechos; del procedimiento de verificación, y del procedimiento de imposición de sanciones.

De lo anterior, con el mencionado reglamento se allanan aspectos que quedaban pendientes en el tintero, entre otros aspectos importantes a destacar: que los corporativos, empresas y demás de la iniciativa privada del país, ya estarán reguladas para realizar un óptimo tratamiento y transferencia de datos personales de sus clientes/consumidores

Haciendo una relación con la ley que se desprende, cabe recordar que de acuerdo con lo mencionado en el artículo 3o. de la ley de PDPPP, que a la letra dice:

Tratamiento: La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.

Transferencia: Toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento.

Con ello, el cliente/consumidor ya tiene opción por ejemplo, al momento de contratar un servicio de televisión privada (por cable o vía satélite), la existencia de una cláusula en el contrato de servicios para autorizar o no, que sus datos personales, entre otros, por ejemplo, su cuenta de correo electrónico, su domicilio particular, circule o no a terceros; para tratamientos y transferencia con fines mercadotécnicos, publicitarios o de prospección comercial. Que el particular disponga de sus datos personales y tenga conocimientos de quiénes los tratan y para qué, con el derecho de acceder, rectificar, cancelar u oponerse a ello, de manera completa o parcial.

Finalmente decir, que las sociedades democráticas se caracterizan por la existencia de pesos y contra pesos que equilibran los diferentes sectores que las conforman. Con estos dos instrumentos jurídicos: la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su reglamento, vienen a regular el ambiente civil, mercantil y de seguridad informática, al momento de que los datos personales circulan en la llamada Sociedad de la Información, a través de su medio electrónico insignia: la Internet.

Lo anterior, y en relación con la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, trae por consecuencia la protección de datos personales (de los ciudadanos) que obran en los archivos de oficinas públicas, y de igual forma, los que existen en la iniciativa privada (empresas), ya estarán debidamente regulados. Entonces, conlleva generar y promover la cultura necesaria para difundir el ejercicio de este derecho de protección de datos personales.