Data Protection

Mejorar los aspectos de privacidad y protección de datos, en un NAFTA renegociado. Entrevista en Bloomberg BNA.

Aunque el Tratado de Libre Comercio de América del Norte (TLCAN o NAFTA) no entró en vigor sino hasta el 1 de enero de 1994, lo cierto es que su contenido y alcance es el producto de años de negociaciones, que en su mayoría se produjeron durante los primeros años de la década de los 90.

En este contexto, ¿es de extrañar que el entorno digital y la protección de datos personales, como resultado del intercambio de bienes y servicios, no fuese contemplada en este tratado? Desde luego que no… eren, en verdad, otros tiempos.

En 2017, no es posible concebir que las negociaciones sobre un tratado de libre comercio sean ajenas al entorno digital que prevalece en nuestra sociedad, y que el intercambio de información para el desenvolvimiento del libre comercio se lleve a cabo sin un estándar de protección mínimo, para las datos personales que deben intercambiarse.

En este escenario, Emily Pickrell (Bloomberg® BNA) nos preguntó a Joel Gómez Treviño y un servidor, sobre nuestra posición entorno a la privacidad como parte de las negociaciones de un NAFTA renovado, y aprovechó la ocasión para preguntar sobre nuestra posición en relación con el Derecho al Olvido, Google® y la forma en que México ha abordado esta cuestión a partir de la aplicación de nuestra Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Pueden acceder al texto de la entrevista, en este enlace.

Imágenes de banderas, cortesía de Pixabay; la composición es nuestra.

Anuncios

(¡Por fin!) Nueva Ley de Datos Personales para México

En este día, 26 de enero de 2017, ha sido publicado el Decreto de expedición de la tan esperada “Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados” (LGPD).

A reserva de analizar en otra oportunidad los aspecto más relevantes, las innovaciones que esta nueva ley supone, me gustaría responder de inmediato: ¿Y por qué dices tú que era tan esperada esta ley ?

 

La primera razón que me viene a la mente para responder a esa pregunta, es el sentido de igualdad de obligaciones que debe primar en materia de protección de datos. Al respecto, debemos recordar que México no incluyó como sujetos de obligaciones, en materia de protección de datos personales, a los que la LGPD ahora denomina SUJETOS OBLIGADOS.

Para no incluir a este grupo de SUJETOS OBLIGADOS en el mundo de obligaciones relacionadas con la protección de datos personales, muchos sabemos que incluso se recurrió a un ingenioso (y largo) nombre para la ley que fue publicada el  5 de julio de 2010: la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (“LFPD“).

Esta decisión trajo consigo un generalizado estado de malestar en el mundo de “los particulares”, quienes tras un breve análisis, preguntaban abiertamente: ¿Y por qué “el gobierno” no hace lo mismo?, ¿por qué no tienen que cumplir con esta ley? Ellos tienen mucha información, de millones y millones de personas, ¿el Gobierno no debe cumplir con todos los principios para proteger los datos?

Pero dejando atrás esta realidad y malestar, en parte porque es inevitable cumplir con la LFPD y “los particulares” ya son investigados y sancionados por su incumplimiento, concuerdo con la comisionada presidente del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), cuando señala que la LGPD es una ley “sin precedentes en México, que dotará al sector público de certeza jurídica y equilibrio regulatorio para la protección de ese derecho fundamental.”

Y esa es parte de la segunda razón por la que damos la bienvenida con entusiasmo a la LGPD, pues pienso en un previsible efecto expansivo de concientización y conocimiento que derivará de la aplicación y cumplimiento de la LGPD, tanto a nivel federal, estatal y municipal. Los estudios, acciones, planes, proyectos, programas e iniciativas que derivarán de su entrada en vigor, no pueden sino contribuir al desarrollo de la necesaria “cultura de la protección de datos”, que ya promueve desde hace tiempo el INAI.

Pero dicho lo anterior, y para centrar la atención en el efecto que considero debemos resaltar, digamos de una vez por todas que, AHORA SÍ, “el Gobierno” estará obligado a garantizar el derecho que tiene toda persona a la protección de sus datos personales.

Pero, como “el Gobierno” pueden ser muchas cosas, recurramos a la LGPD para aclarar a qué nos referimos; y comencemos por el concepto estrella.

Conforme al artículo 1 de la LGPD, “son sujetos obligados por esta Ley, en el ámbito federal, estatal y municipal, cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos.”

También se indica en este primer artículo, con el objeto de evitar debates innecesarios, que “los sindicatos y cualquier otra persona física o moral que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito federal, estatal y municipal serán responsables de los datos personales, de conformidad con la normatividad aplicable para la protección de datos personales en posesión de los particulares.”

Y, de verdad, para no dejar duda, se cierra el artículo 1 con este sencillo párrafo: “En todos los demás supuestos diferentes a los mencionados en el párrafo anterior, las personas físicas y morales se sujetarán a lo previsto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Con lo anterior, debemos tener el circulo por cerrado: todos los posibles sujetos que pueden o deben tratar datos personales, cuentan ya con una normativa que en sus respectivos ámbitos, les regula y establece las obligaciones y principios que deben regir el tratamiento de esta información.

Por supuesto, habrá diferencias entre el régimen privado y el público, pero también podemos adelantar algunas coincidencia conceptuales, tales como: el aviso de privacidad, las bases de datos, el bloqueo (de datos personales), el consentimiento, los datos personales y los datos personales sensibles, los derechos ARCO, el encargado, la remisión, la transferencia, el tratamiento y, desde luego, el titular de los datos personales. Como es obvio, en la LGPD se describe al responsable como “los sujetos obligados a que se refiere el artículo 1 de la presente Ley que deciden sobre el tratamiento de datos personales.

Las diferencias específicas en la LFPD y la LGPD, que deberemos resumir en otras oportunidades, son varias, pero en este momento me gustaría anunciar como diferencia notable que los sujetos obligados que lleven a cabo “tratamientos intensivos o relevantes” de datos personales, deberán efectuar Evaluaciones de Impacto en la Protección de Datos Personales, conocidas también como PIAs (Privacy Impact Assessments).

Por otro lado, y aunque algunos colegas usan el concepto para los particulares, a pesar de que la LFPD ni lo menciona, en la LGPD ya encontramos, de forma expresa, el concepto de “Documento de Seguridad“, definido como el “instrumento que describe y da cuenta de manera general sobre las medidas de seguridad técnicas, físicas y administrativas adoptadas por el responsable para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que posee“.

Y tal y como ya hiciera el Reglamento General de Protección de Datos de la Unión Europea, nuestra nueva LGPD introduce el concepto de la “portabilidad de los datos”, como un medio para que los titulares puedan obtener del responsable una copia de sus datos “en un formato electrónico estructurado y comúnmente utilizado“.

Ya a partir de estos tres conceptos, y sus implicaciones prácticas y de cumplimiento, podemos adelantar que los sujetos obligados de la LGPD tienen en el horizonte grandes ventanas de oportunidad en el momento en que decidan emprender acciones y proyectos de cumplimiento que, lo sé personalmente, redundaran en beneficios tanta para las propias entidades como para los titulares de los datos personales.

Finalmente y por ahora, señalemos que la LGPD entrará al día siguiente de su publicación en el Diario Oficial de la Federación. Además, tengamos presente que el artículo segundo transitorio de su Decreto de expedición, establece un plazo corto (y aplaudible) de seis meses para que Congreso de la Unión y las Legislaturas de las Entidades Federativas realicen las adecuaciones legislativas necesarias para ajustar las leyes federales y locales a las disposiciones previstas en la LGPD.

En el mismo numeral, se prevé que “en caso de que el Congreso de la Unión o las Legislaturas de las Entidades Federativas omitan total o parcialmente realizar las adecuaciones legislativas a que haya lugar, en el plazo establecido [de seis meses], resultará aplicable de manera directa la presente Ley, con la posibilidad de seguir aplicando de manera supletoria las leyes preexistentes en todo aquello que no se oponga a la misma, hasta en tanto no se cumpla la condición impuesta en el presente artículo.

Dicho todo lo anterior, y confesando que tengo tiempo esperando este momento, termino diciendo: ¡BIENVENIDA LA LGPD!

Hasta el próximo post…

Influencia europea en la normativa mexicana de protección de datos personales

Sobre el tema de este post, cabe señalar que no es la primera vez que se escribe al respecto. Hace años ya que un excelente experto español en privacidad (@Samuel_Parra) escribió sobre las similitudes entre la Ley Orgánica 15/1999, de 13 diciembre, de Protección de Datos de Carácter Personal (la «LOPD») y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la «LFPD»), en este post.

Por otra parte, en 2012 Graham Greenleaf publicó en la Revista de la Universidad de Oxford International Data Privacy Law, el siguiente artículo: The influence of European data privacy standards outside Europe: implications for globalization of Convention 108. En éste, el autor no dejó de mencionar a México como un país cuya legislación de protección de datos personales ha sido influenciada por la legislación del viejo continente.

Desde entonces, varias cosas han sucedido en México: el Reglamento de la LFPD fue publicado y actualmente todas sus disposiciones se encuentran en vigor; entre otros, también fueron publicados los Lineamientos del Aviso de Privacidad y las Recomendaciones en Materia de Seguridad de Datos Personales; además, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (el “INAI”) ya ha sancionado a varios responsables por diversas violaciones a la LFPD.

En la Unión Europea, es posible que a finales de este 2015 veamos la conclusión del proceso de reforma y modernización de la normativa europea de protección de datos personales (aunque nada puede darse por sentado).

Dicho lo anterior, sólo queda confesar que desde la publicación de la LFPD siempre he deseado compartir un ejercicio comparativo entre ésta, la LOPD española, y las disposiciones de la Directiva 95/46/CE (la «Directiva de Protección de Datos” o la “Directiva 95/46/CE”), que pueda servir para subrayar las fuentes europeas de la normativa mexicana sobre la materia, extendiendo la comparación hacia las disposiciones reglamentarias de la LFPD y la LOPD.

La LFPD y la LOPD guardan semejanzas no sólo en cuanto sus finalidades y medios de protección; también encontraremos coincidencias significativas en sus conceptos, significados y principios, sin olvidar que la segunda incorpora en el derecho español las disposiciones de la Directiva de Protección de Datos.

Por lo que, a manera de despedida a la “Directiva 95/46/CE” (¿de verdad ocurrirá pronto?), me gustaría dejar como referencia la siguiente tabla comparativa, en la que pretendo identificar conceptos y principios comunes entre las legislaciones de referencia, indicando los artículos que en cada normativa los regulan o definen:

CONCEPTO / PRINCIPIO

LFPD LOPD REGLAMENTO LFPD REGLAMENTO LOPD

DIRECTIVA 95/46/CE

Datos Personales / Datos de carácter personal

art. 3, V

art. 3.a) N/A art. 5.1.f)

art. 2.a)

Titular / Afectado o Interesado

art. 3, XVII

art. 3.e) N/A art. 5.1.a)

art. 2.a)

Base de Datos / Fichero

art. 3, II

art. 3.b) N/A art. 5.1.k)

art. 2.c)

Responsable / Responsable del fichero o tratamiento

art. 3, XIV

art. 3.d) N/A art. 5.1.q)

art. 2.d)

Tratamiento

art. 3, XVII

art. 3.c) N/A art. 5.1.t)

art. 2.b)

Encargado / Encargado del tratamiento

art. 3, IX

art. 3.g) art. 49 art. 5.1.i)

art. 2.e)

Consentimiento / Consentimiento del interesado

art. 3,IV

art. 3.h) art. 12 art. 5.1.d)

art. 2.h)

Transferencia (nacional)

art. 3.XIX

N/A art. 67 a 73 N/A

N/A

Cesión o comunicación de datos

N/A

art. 3.i) N/A art. 5.1.d)

Considerando 30

Transferencia internacional o a países terceros

art. 3.XIX

arts. 33 y 34 arts. 67 a 70 y 74 a 76 art. 5.1.s)

arts. 25 y 26

Fuentes de acceso público / Fuentes accesibles al público

art. 3, X

art. 3.j) art. 7 art. 7

Considerando 50

Datos personales sensibles / Datos especialmente protegidos

art. 3, VI

art. 7 art. 56 art. 5.1.g)

Datos de salud

art. 8

Derechos ARCO

arts. 28 a 35

arts. 15 a 17 art. 2, II arts. 23 a 36

arts. 10, 12 y 14

Principio del Consentimiento

arts. 9 a 10

art. 6 arts. 11 a 22 arts. 12 a 17

arts. 7.a); 8.2.a) y 26.1.a)

Principio de Información

art. 15

art. 5 arts. 23 a 35 arts. 18 y 19

arts. 10 y 11

Principio de Calidad

art. 11

art. 4.3 y 4.4 arts. 36 a 39 art. 8.5; 8.6 y 8.7

art. 6

Principio de Proporcionalidad

art. 13

art. 4.1 arts. 45 y 46 art. 8.4

art. 6.1.c)

Principios de Licitud y Lealtad

art. 7

art. 4.7 arts. 10 y 44 art. 8.1

arts. 5 y 6.1.a)

Principio de Finalidad

art. 12

art. 4.2 arts. 40 a 43 art. 8.2 y 8.3

art. 6.1.b)

Principio de Responsabilidad

art. 14

No existe arts. 47 y 48 No existe

No existe

Como puede apreciarse, existen claros antecedentes de la LFPD en los cuerpos legales europeos de referencia. La comparativa, desde luego, no es exhaustiva y puede extenderse a disposiciones más específicas. El acceso a los textos completos de la normativa analizada, a través de los links correspondientes, así como la consulta exhaustiva de los artículos mencionados (y del resto de sus disposiciones), queda en manos de aquellos que deseen profundizar en ello.

Esta realidad, y el hecho de que mi primer contacto y desarrollo profesional esté relacionado con la normativa española y europea, servirán como pretexto para que en futuras entradas de este blog recuerde y traiga a colación informes jurídicos, opiniones y resoluciones que seguramente nos ayudarán a resolver dudas sobre el cumplimiento y la aplicación de la LFPD, mediante un ejercicio de derecho comparado que sólo puedo vislumbrar como enriquecedor.

Serán ustedes, amigos, quienes finalmente decidan si dicho ejercicio cumple este objetivo.

Hasta el próximo post.