Consultoría de Administración de riesgos, Seguridad de la información y Protección de datos personales.

Se trata de un derecho humano reconocido por el artículo 16 de la Constitución Política de los Estados Unidos Mexicanos, que impone obligaciones a las personas físicas o morales que utilizan datos personales, y que otorga derechos a los titulares de los datos, a fin de garantizar el buen uso de la información personal y la privacidad y derecho a la autodeterminación informativa de las personas. La autodeterminación informativa no es otra cosa más que el derecho de las personas para decidir, de manera libre e informada, sobre el uso de la información que les pertenece. Todo tratamiento o uso de datos personales conlleva un riesgo que, en caso de mal uso, gestión o cuidado, puede tener como consecuencia una intromisión ilegítima en la privacidad y la autodeterminación informativa de la persona que es titular de los datos personales. En ese sentido, al tratar datos personales se adquieren obligaciones para garantizar el debido tratamiento de la información. Así pues, la LFPDPPP tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

Es cualquier información concerniente a una persona física identificada o identificable, como puede ser el nombre, los apellidos, el domicilio, el número de teléfono, la dirección de correo electrónico, el número de pasaporte, una fotografía, la Clave Única de Registro de Población (CURP) o cualquier otra información que permita identificar o haga identificable al titular de los datos. Los datos personales pueden estar expresados en forma numérica, alfabética, gráfica, fotográfica, acústica o en cualquier otra modalidad. Se considera que una persona es identificable cuando su identidad puede determinarse mediante los datos personales de que se traten. La información relativa a una persona moral no se considera como dato personal, quedando ésta excluida de la protección que otorga la normatividad sobre protección de datos personales a las personas físicas. Es importante considerar que si los datos personales son objeto del procedimiento de disociación, de forma tal que no es posible asociarse a su titular, ni permitir su identificación, dejarán de ser considerados como tales y, por lo tanto, no será aplicable la normatividad sobre protección de datos personales.

Son datos personales que afectan la esfera más íntima de su titular o cuya utilización indebida pueda implicar un riesgo grave para el titular, como el origen racial o étnico; estado de salud (pasado, presente y futuro); información genética; creencias religiosas, filosóficas y morales; afiliación sindical; opiniones políticas y orientación sexual.

El tratamiento de datos personales es un concepto amplio que incluye cualquier acción relacionada con el acceso, manejo, aprovechamiento, transferencia o disposición de datos personales. Por ejemplo, un responsable del tratamiento puede obtener datos personales de una persona física a través de un formulario en papel, almacenarlos en el disco duro de un equipo o en la nube, utilizarlos para sus actividades cotidianas, compartirlos con un encargado que preste un servicio y suprimirlos cuando haya concluido la finalidad para la cual fueron obtenidos. Todas estas acciones se consideran tratamiento de datos personales.

Es la persona física a quien refieren y pertenecen los datos personales que son objeto de tratamiento. Por tanto, es el dueño de los datos personales, aunque éstos estén en posesión de un tercero para su tratamiento. Por ejemplo, el titular de los datos personales contenidos en un expediente laboral, es el trabajador a quien corresponden esos datos.

Es la persona física o moral de carácter privado que decide sobre el tratamiento de los datos personales, es decir, la que establece las finalidades del tratamiento, el tipo de datos que se requieren, a quién y para qué se comparten, cómo se obtienen, almacenan y suprimen, y en qué casos se divulgarán, entre otros factores de decisión. El responsable del tratamiento puede ser, por ejemplo, una empresa, un emprendedor, un doctor, un abogado, un contador, una organización de la sociedad civil, una escuela o colegio, el patronato de un museo, una universidad privada, una fundación o cualquier otra persona física o moral que decida sobre el tratamiento de los datos personales para el desarrollo de su actividad.

Es la persona física o moral, ajena a la organización del responsable del tratamiento, que trata los datos personales a nombre y por cuenta del responsable. A diferencia de este último, el encargado no decide sobre el tratamiento de los datos personales, sino que lo hace siguiendo las instrucciones del responsable. Por ejemplo, se considera encargado a la empresa contratada por el responsable para administrar su nómina o prestarle el servicio de call center. También sería encargado del tratamiento una empresa que ofrece servicios de cómputo en la nube y almacena bases de datos de un responsable, o bien, aquella contratada por el responsable para la destrucción de sus documentos. Si el encargado tratara los datos personales para finalidades propias y decidiera sobre dicho tratamiento, se convertiría en un responsable, con todas sus obligaciones, y estaría sujeto a las sanciones previstas por la LFPDPPP, en caso de incumplimiento.

La LFPDPPP aplica a TODAS las personas físicas o morales de carácter privado que en el desarrollo de sus actividades traten datos personales, con dos excepciones previstas en su artículo:

1) Las sociedades de información crediticia en los supuestos establecidos por la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables, y

2) Las personas físicas que recolecten y almacenen datos personales para uso exclusivamente personal, sin fines de divulgación o comerciales.

Por lo tanto, la LFPDPPP no aplicará únicamente en los dos supuestos mencionados. En todos los demás casos donde un particular trate datos personales, la norma será aplicable, por ejemplo, a notarios, abogados, contadores, médicos, organizaciones de la sociedad civil, empresas, bancos, aseguradoras, escuelas, entre otros. Adicionalmente, el artículo 5 del Reglamento de la LFPDPPP establece que la norma no será aplicable a la siguiente información:

• La relativa a personas morales;

• La que refiera a personas físicas en su calidad de comerciantes y profesionistas, y

• La de personas físicas que presten servicios para una persona moral o persona física con actividades empresariales o de prestación de servicios, consistente únicamente en su nombre, apellidos, funciones o puestos desempeñados, así como algunos datos laborales: domicilio físico, dirección electrónica, teléfono y número de fax; siempre que esta información sea tratada con fines de representación del empleador o contratista.

En resumen, además de las excepciones establecidas en la Ley para Regular las Sociedades de Información Crediticia y en el caso de personas físicas que traten datos personales para uso exclusivamente personal, la LFPDPPP no aplica a la información señalada en el artículo 5 de su Reglamento. En conjunto, el artículo 2 de la LFPDPPP establece excepciones a su aplicación para personas físicas y morales, mientras que el artículo 5 del Reglamento establece excepciones relacionadas con ciertos tipos de información.

La Ley, su Reglamento y demás normatividad derivada de ellos, salvo disposición en contrario, aplican al tratamiento de datos personales contenidos en soportes físicos o electrónicos, siempre que las bases de datos permitan acceder a los datos mediante criterios determinados, como criterios de búsqueda, nombres, fechas, tipo de tratamiento o cualquier otro. Esto implica que, si no es posible acceder a los datos mediante dichos criterios y para ello se requieren esfuerzos desproporcionados, no aplicará la normativa que regula la protección de los datos personales. Por otra parte, la normativa en materia de datos personales no exige que los datos se encuentren en un formato específico, ya que pueden presentarse en formatos numéricos, alfabéticos, gráficos, fotográficos, acústicos o cualquier otro. Lo importante es que se trate de información relacionada con una persona física identificada o identificable.

La LFPDPPP tiene aplicación general en toda la República Mexicana y es la única ley que regula el tratamiento de datos personales en posesión de los particulares en el país. En ese sentido, no existen leyes locales que apliquen al sector privado, aunque si existen para regular el tratamiento de datos personales en posesión del sector público. La LFPDPPP aplica en los siguientes casos:

• El tratamiento de datos personales se realice en un establecimiento del responsable ubicado en territorio mexicano.

• El tratamiento lo realice un encargado en nombre de un responsable establecido en territorio mexicano, sin importar dónde se encuentre ubicado el encargado, ya que el responsable es quien debe garantizar el debido tratamiento de los datos personales.

• El responsable no esté establecido en territorio mexicano, pero la legislación mexicana le resulte aplicable, derivado de la celebración de un contrato o en términos del derecho internacional.

• El responsable no esté establecido en territorio mexicano, pero utilice medios situados en el país para el tratamiento , salvo que estos se utilicen únicamente con fines de tránsito que no impliquen un tratamiento. En este caso, el responsable deberá garantizar que los datos personales se traten conforme a la legislación mexicana, pudiendo designar un representante en territorio nacional.

Cuando el responsable no se encuentre en territorio mexicano, pero el encargado sí lo esté, este último deberá cumplir con las medidas de seguridad establecidas por la normativa en materia de protección de datos personales, así como con el resto de las obligaciones aplicables al encargado según la LFPDPPP, su Reglamento y demás normativa vigente.

La transferencia de datos personales es la comunicación de datos que realiza el responsable del tratamiento a un tercero, distinto del titular, del mismo responsable (como las comunicaciones internas de la organización del responsable, como las que se realizan entre el personal) o del encargado. La comunicación puede producirse, entre otros actos, al enviar los datos al tercero, mostrarlos en una pantalla o permitir su acceso. La transferencia de datos personales pueden ser nacionales o internacionales, según el destino de los datos, y se regulan de manera distinta. En ambos casos, deben cumplir con los principios, deberes y derechos establecidos por la norma mexicana en materia de protección de datos. Ejemplos de transferencias:

• Un patrón o empresa (responsable del tratamiento) comunica datos personales de sus trabajadores al Instituto Mexicano del Seguro Social (tercero) para el cálculo de la pensión.

• Una empresa del grupo corporativo A (responsable) comparte datos de sus clientes a otra empresa del mismo grupo (tercero) a fin de que esta última pueda ofrecer sus servicios.

• Un hospital (responsable) proporciona información de un paciente a la aseguradora de este último (tercero), a fin de que aplique el seguro de gastos médicos.

• Una universidad mexicana (responsable) envía datos personales de sus alumnos que van a participar en un programa de intercambio a una universidad de otro país (tercero).

Al igual que en el caso de la transferencia, la remisión implica una comunicación de datos personales. La diferencia entre ambos conceptos radica en que esta comunicación se produce entre un responsable y un encargado del tratamiento. Las remisiones pueden ser nacionales o internacionales y están reguladas de la misma forma. Esto se debe a que, ya sea dentro o fuera del territorio nacional, el responsable sigue siendo quien garantiza el adecuado tratamiento de la información personal que comunicó. Ejemplos de remisiones:

• Una empresa comunica datos personales a un contador que le presta servicios de elaboración de nóminas.

• Un banco comunica datos de contacto de sus clientes a un call center ubicado fuera del país para el servicio de atención de quejas.

• Una institución financiera comunica datos personales a un despacho de cobranza para realizar gestiones de cobranza extrajudicial.