Derechos Humanos

(¡Por fin!) Nueva Ley de Datos Personales para México

En este día, 26 de enero de 2017, ha sido publicado el Decreto de expedición de la tan esperada “Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados” (LGPD).

A reserva de analizar en otra oportunidad los aspecto más relevantes, las innovaciones que esta nueva ley supone, me gustaría responder de inmediato: ¿Y por qué dices tú que era tan esperada esta ley ?

 

La primera razón que me viene a la mente para responder a esa pregunta, es el sentido de igualdad de obligaciones que debe primar en materia de protección de datos. Al respecto, debemos recordar que México no incluyó como sujetos de obligaciones, en materia de protección de datos personales, a los que la LGPD ahora denomina SUJETOS OBLIGADOS.

Para no incluir a este grupo de SUJETOS OBLIGADOS en el mundo de obligaciones relacionadas con la protección de datos personales, muchos sabemos que incluso se recurrió a un ingenioso (y largo) nombre para la ley que fue publicada el  5 de julio de 2010: la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (“LFPD“).

Esta decisión trajo consigo un generalizado estado de malestar en el mundo de “los particulares”, quienes tras un breve análisis, preguntaban abiertamente: ¿Y por qué “el gobierno” no hace lo mismo?, ¿por qué no tienen que cumplir con esta ley? Ellos tienen mucha información, de millones y millones de personas, ¿el Gobierno no debe cumplir con todos los principios para proteger los datos?

Pero dejando atrás esta realidad y malestar, en parte porque es inevitable cumplir con la LFPD y “los particulares” ya son investigados y sancionados por su incumplimiento, concuerdo con la comisionada presidente del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), cuando señala que la LGPD es una ley “sin precedentes en México, que dotará al sector público de certeza jurídica y equilibrio regulatorio para la protección de ese derecho fundamental.”

Y esa es parte de la segunda razón por la que damos la bienvenida con entusiasmo a la LGPD, pues pienso en un previsible efecto expansivo de concientización y conocimiento que derivará de la aplicación y cumplimiento de la LGPD, tanto a nivel federal, estatal y municipal. Los estudios, acciones, planes, proyectos, programas e iniciativas que derivarán de su entrada en vigor, no pueden sino contribuir al desarrollo de la necesaria “cultura de la protección de datos”, que ya promueve desde hace tiempo el INAI.

Pero dicho lo anterior, y para centrar la atención en el efecto que considero debemos resaltar, digamos de una vez por todas que, AHORA SÍ, “el Gobierno” estará obligado a garantizar el derecho que tiene toda persona a la protección de sus datos personales.

Pero, como “el Gobierno” pueden ser muchas cosas, recurramos a la LGPD para aclarar a qué nos referimos; y comencemos por el concepto estrella.

Conforme al artículo 1 de la LGPD, “son sujetos obligados por esta Ley, en el ámbito federal, estatal y municipal, cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos.”

También se indica en este primer artículo, con el objeto de evitar debates innecesarios, que “los sindicatos y cualquier otra persona física o moral que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito federal, estatal y municipal serán responsables de los datos personales, de conformidad con la normatividad aplicable para la protección de datos personales en posesión de los particulares.”

Y, de verdad, para no dejar duda, se cierra el artículo 1 con este sencillo párrafo: “En todos los demás supuestos diferentes a los mencionados en el párrafo anterior, las personas físicas y morales se sujetarán a lo previsto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Con lo anterior, debemos tener el circulo por cerrado: todos los posibles sujetos que pueden o deben tratar datos personales, cuentan ya con una normativa que en sus respectivos ámbitos, les regula y establece las obligaciones y principios que deben regir el tratamiento de esta información.

Por supuesto, habrá diferencias entre el régimen privado y el público, pero también podemos adelantar algunas coincidencia conceptuales, tales como: el aviso de privacidad, las bases de datos, el bloqueo (de datos personales), el consentimiento, los datos personales y los datos personales sensibles, los derechos ARCO, el encargado, la remisión, la transferencia, el tratamiento y, desde luego, el titular de los datos personales. Como es obvio, en la LGPD se describe al responsable como “los sujetos obligados a que se refiere el artículo 1 de la presente Ley que deciden sobre el tratamiento de datos personales.

Las diferencias específicas en la LFPD y la LGPD, que deberemos resumir en otras oportunidades, son varias, pero en este momento me gustaría anunciar como diferencia notable que los sujetos obligados que lleven a cabo “tratamientos intensivos o relevantes” de datos personales, deberán efectuar Evaluaciones de Impacto en la Protección de Datos Personales, conocidas también como PIAs (Privacy Impact Assessments).

Por otro lado, y aunque algunos colegas usan el concepto para los particulares, a pesar de que la LFPD ni lo menciona, en la LGPD ya encontramos, de forma expresa, el concepto de “Documento de Seguridad“, definido como el “instrumento que describe y da cuenta de manera general sobre las medidas de seguridad técnicas, físicas y administrativas adoptadas por el responsable para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que posee“.

Y tal y como ya hiciera el Reglamento General de Protección de Datos de la Unión Europea, nuestra nueva LGPD introduce el concepto de la “portabilidad de los datos”, como un medio para que los titulares puedan obtener del responsable una copia de sus datos “en un formato electrónico estructurado y comúnmente utilizado“.

Ya a partir de estos tres conceptos, y sus implicaciones prácticas y de cumplimiento, podemos adelantar que los sujetos obligados de la LGPD tienen en el horizonte grandes ventanas de oportunidad en el momento en que decidan emprender acciones y proyectos de cumplimiento que, lo sé personalmente, redundaran en beneficios tanta para las propias entidades como para los titulares de los datos personales.

Finalmente y por ahora, señalemos que la LGPD entrará al día siguiente de su publicación en el Diario Oficial de la Federación. Además, tengamos presente que el artículo segundo transitorio de su Decreto de expedición, establece un plazo corto (y aplaudible) de seis meses para que Congreso de la Unión y las Legislaturas de las Entidades Federativas realicen las adecuaciones legislativas necesarias para ajustar las leyes federales y locales a las disposiciones previstas en la LGPD.

En el mismo numeral, se prevé que “en caso de que el Congreso de la Unión o las Legislaturas de las Entidades Federativas omitan total o parcialmente realizar las adecuaciones legislativas a que haya lugar, en el plazo establecido [de seis meses], resultará aplicable de manera directa la presente Ley, con la posibilidad de seguir aplicando de manera supletoria las leyes preexistentes en todo aquello que no se oponga a la misma, hasta en tanto no se cumpla la condición impuesta en el presente artículo.

Dicho todo lo anterior, y confesando que tengo tiempo esperando este momento, termino diciendo: ¡BIENVENIDA LA LGPD!

Hasta el próximo post…

Anuncios

Videovigilancia, centros educativos y violencia sexual. ¡Debes Vigilar!… ¿pero cómo?

Aunque tengo muchos temas en el tintero, parece que la videovigilancia está ocupando un espacio importante en el blog y, debido a que percibo que seguimos ante un ambiente de abierto incumplimiento de la normativa de protección de datos, alimentada en parte por lo que aquí voy a contarles, de nuevo hablaré sobre este tema, que parece me persigue.

Sucede que, en plena asesoría a un centro educativo privado, y durante la visita a una de sus instalaciones, nos encontramos con numerosas cámaras de video, instaladas no solo en los sitios “habituales”, sino también en las propias aulas.

Cuestionados sobre la finalidad de la videograbación de cuanto sucedía en las aulas o salones de clases del centro educativo, las partes interesadas (stakeholders) nos explicaron que:

  • Por cuestiones de calidad y seguimiento, registramos la forma en que los profesores imparten sus clases, para evaluar si utilizan el material de forma adecuada, si imparten los contenidos de la forma en que está programado, si interactúan adecuadamente con los alumnos y si responden apropiadamente a sus preguntas. En suma, que graban a los profesores para determinar si siguen adecuadamente el método de enseñanza del propio centro educativo.
  • Adicionalmente, las grabaciones nos sirven para conservar “pruebas” de cualquier situación que pueda ocurrir en los salones, dado que no han sido pocas las veces que las hemos utilizado para aclarar quejas de algunos alumnos, relacionadas con sus profesores o sus propios compañeros.

En esas estábamos, cuando el abogado del centro, que también se encontraba con nosotros, nos indicó: “EN TODO CASO, tenemos la obligación de contar con esas videocámaras, pues la SEP (Secretaría de Educación Pública), nos envió un oficio indicando que debemos contar con ellas para cumplir con una Recomendación de la CNDH (Comisión Nacional de los Derechos Humanos).

Como en estas visitas de lo que se trata es de reunir evidencias y no de polemizar sobre las razones que cada responsable mantiene para recabar los datos personales que hasta entonces vienen recabando, solicitamos una copia del oficio de la SEP para ver a qué se refería.

Aquí tienen el texto, en aquello que nos interesa:

201603 Oficio SEP - VV - BIS

 

Ante la evidente generalidad de este documento y de sus “instrucciones”, resulta claro que debíamos acudir a la Recomendación emitida por la Comisión Nacional de los Derechos Humanos, cuyo nombre completo es RECOMENDACIÓN General No. 21 sobre la prevención, atención y sanción de casos de violencia sexual en contra de las niñas y los niños en centros educativos, publicada en el Diario Oficial de la Federación el pasado 20 de octubre de 2014.

El objeto de acudir a esta fuente era el de comprobar, entre otras cuestiones, si a lo largo de su texto encontrábamos respuestas a determinadas interrogantes como:

  • ¿La CNDH aportó en su recomendación una definición o parámetros de definición de aquello que dio por llamar ““puntos estratégicos” de los planteles educativos”?
  • ¿En el marco de sus recomendaciones, se refirió o tomó en cuenta las disposiciones de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPD)?
  • A falta de una ley general sobre protección de datos personales en posesión de entidades públicas, ¿se establecieron límites para que dichas entidades respetaran la privacidad de las personas y protegieran sus datos personales cuando instalaran cámaras de video en los planteles educativos?
  • En algún punto de su recomendación, ¿la CNDH se refirió al entonces IFAI, como organismo que debiese supervisar la correcta implementación de las siguientes recomendaciones generales:

“A usted, señor secretario de Educación Pública:

[…]

TERCERA. Se instruya a quien corresponda, con la finalidad de que se realicen revisiones en los centros escolares con el objetivo de asegurar que las instalaciones son adecuadas para que las niñas y los niños puedan ejercer de forma sana y segura su derecho a la educación al interior de las mismas, y asimismo, se gestione la instalación de cámaras de video en puntos estratégicos de los planteles educativos públicos y privados.

 A ustedes señores gobernadores y jefe de gobierno del Distrito Federal:

[…]

SEXTA. Se instruya a quien corresponda, con la finalidad de que se realicen revisiones en los centros escolares con el objetivo de asegurar que las instalaciones sean adecuadas para que las niñas y los niños puedan ejercer de forma sana y segura su derecho a la educación al interior de las mismas, y asimismo, se gestione la instalación de cámaras de video en puntos estratégicos de los planteles educativos.”

Por resumir, digamos, simplemente, que a todas las anteriores preguntas la respuesta es un rotundo NO.

Entonces, ¿qué deben hacer los planteles educativos, públicos y privados, para respetar los derechos a la privacidad y a la protección de datos personales de todos aquellos que acuden a uno de estos centros, al tiempo que dan cumplimiento a una recomendación emitida por la mismísima CNDH?

La fórmula para resolver la ecuación pasa por reconocer que debemos efectuar un ejercicio de ponderación entre derechos que demandan simultáneamente su protección, para cumplir con los principios que la LFPD reconoce aplicables al tratamiento de los datos personales (al menos, de aquellos que están en posesión de “los particulares”) y procurar la protección de los menores de edad contra la violencia sexual en sus propios centros educativos.

Donde comienzan las verdaderas dificultades (y a falta de precedentes nacionales sobre el tema, o de recomendaciones o guías emitidas por el propio Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI)), es en el momento de proceder a la definición de aquello que resulta proporcional, leal o lícito en el contexto de “prevención, atención y sanción de casos de violencia sexual en contra de las niñas y los niños”, frente al derecho a la protección de los datos personales y la privacidad de todos aquellos alumnos, profesores, padres, administrativos y demás personas que acuden o pueden acudir a un centro educativo.

Todo lo anterior, en adición al cumplimiento del principio de información, conforme al cual en todos los centros educativos que ya cuentan con sistemas de videovigilancia instalados en “puntos estratégicos”, deberíamos encontrar los correspondientes avisos en los que se informe sobre la existencia del propio sistema y de las finalidades para las cuales se recaba la imagen (y sonido) de aquellas personas que acuden a éstos.

Estas consideraciones ya anticipan que la cuestión no es fácil, y que la simple recomendación general sobre la “instalación de cámaras de video en puntos estratégicos de los planteles educativos” resulta excesiva por desconsideración a la existencia de otros derechos humanos como el de privacidad o el de protección de datos personales; sin que sea óbice para decir lo anterior que en su Recomendación General No. 21, la CNDH haya tenido a bien decir lo siguiente:

173. Asimismo, este organismo autónomo considera que sería de gran utilidad contar con cámaras de video ubicadas en puntos estratégicos de los planteles escolares, por medio de las cuales se pueda realizar un monitoreo a las actividades de las niñas y los niños, de forma tal que se resguarde su integridad y sano desarrollo, aunado a que de los videos de dichas cámaras se podrá obtener material que, en su caso, evidencie las conductas de violencia o abuso que se susciten dentro de las instalaciones del plantel escolar. Al respecto, se deberán tomar las medidas de seguridad para el resguardo de los contenidos y proteger el uso del material para otros fines.

Evidentemente, este espacio no es suficiente para el desarrollo de un análisis completo de todas las implicaciones que la instalación de determinados sistemas de videovigilancia en centros educativos conlleva frente al cumplimiento de la normativa de protección de datos personales, sin que lo anterior conlleve a su vez a la inobservancia de una recomendación de un organismo como la CNDH; pero en todo caso, y fieles a lo que hemos venido haciendo hasta ahora, a continuación haré referencia (y citaré) ciertas fuentes internacionales, que podrían arrojar luz sobre este tema:

  • De la Autoridad Catalana de Protección de Datos, la Instrucción 1/2009, de 10 de febrero, sobre el tratamiento de datos de carácter personal mediante cámaras con fines de videovigilancia, donde podemos encontrar ciertas disposiciones muy interesantes:

Artículo 7

Proporcionalidad

7.1 El tratamiento de la imagen, y especialmente de la voz, de las personas físicas con finalidades de vigilancia sólo se puede producir cuando sea adecuado para contribuir de forma clara a la mejora del servicio o actividad, y dicha finalidad no se pueda obtener con otros medios que, sin exigir esfuerzos desproporcionados, resulten menos intrusivos para los derechos de las personas.

Este mismo principio de intervención mínima también se debe aplicar en la selección de la tecnología utilizada, los lapsos temporales de grabación y en la determinación de las condiciones de conservación y acceso a las imágenes.

[…]

7.3 Puede resultar no adecuada al principio de proporcionalidad:

a) La instalación de cámaras en espacios como baños, servicios, vestuarios, salas de ocio o de descanso con acceso restringido o habitaciones de hoteles y similares, donde, por su propia naturaleza, la captación de imágenes resulta especialmente intrusiva respecto al derecho a la intimidad, a la dignidad personal o al libre desarrollo de la personalidad. Esta previsión también es aplicable a las habitaciones de los centros asistenciales, a menos que sea necesario para proteger un interés vital de la persona afectada. En el caso de celdas de depósito de personas detenidas o de centros penitenciarios o espacios análogos de reclusión, la instalación no resulta proporcionada, salvo que exista un interés legítimo superior que lo justifique.

b) La utilización de sistemas de videovigilancia en el ámbito laboral con la finalidad exclusiva de controlar el rendimiento de las personas trabajadoras.

c) La instalación, en el ámbito educativo, de cámaras en el interior de las aulas, gimnasios o espacios de ocio del alumnado para su control.

[…]

Artículo 10

Memoria

10.1 Con carácter previo a la creación del dichero, o a la puesta en marcha del sistema de videovigilancia en aquellos casos en que no se registren las imágenes, se debe elaborar una Memoria, que debe hacer referencia a los siguientes puntos:

b) Justificación de la legitimidad de la captación y de los tratamientos posteriores que se prevean: debe hacerse constar si se cuenta con el consentimiento de los afectados o, si no es el caso, cuál de los apartados del artículo 6.2 de la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, y en su caso otra normativa aplicable, concurre en el caso concreto, a efectos de legitimar el tratamiento de las imágenes y voces.

c) Justificación de la finalidad y de la proporcionalidad del sistema, de acuerdo con lo que establecen los artículos 6 y 7 de la presente Instrucción.

d) Datos personales tratados: hay que concretar si se registrará también la voz y si la finalidad conlleva, previsiblemente, la captación de imágenes que revelen datos personales especialmente protegidos u otros que exijan un nivel medio o alto de seguridad.

e) Ubicación y campo de visión de las cámaras: debe hacerse referencia a la ubicación y orientación de las cámaras. En especial, cuando se trate de cámaras en el exterior, debe hacerse constar si en un radio de 50 metros hay centros de salud, centros religiosos, de culto o sedes de partidos políticos o centros educativos donde asistan menores. También debe hacerse referencia a los espacios que entren dentro del campo de visión de las cámaras.

f) Definición de las características del sistema. En este apartado hay que especificar:

Número total de cámaras que forman el sistema.

Condiciones técnicas de las cámaras y de otros elementos.

Si las cámaras disponen de ranuras o conexiones para dispositivos de almacenamiento externo.

Si las cámaras son fijas o móviles.

Si se captan imágenes en un plano fijo o móvil.

Si se dispone de la posibilidad de obtener primeros planos en el momento de la captación o una vez registradas las imágenes.

Si las imágenes se visionan directamente o sólo se registran, con acceso limitado a determinados supuestos previstos en la Memoria.

Si la captación, y en su caso la grabación, se hace de manera continuada o discontinua.

Si las imágenes se transmiten.

Previsiones relativas a los mecanismos de identificación y de disociación para atender al ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

Cuando se grabe la voz, también hay que especificar la distancia a la que se puede registrar.

g) Deber de información: hay que incluir una referencia al número y emplazamiento de los carteles informativos, como también a los otros medios adicionales de información, con el fin de acreditar el cumplimiento del deber de información.

h) Periodo por el que se instala el sistema y periodo de conservación de las imágenes.

i) Medidas previstas para evaluar los resultados del funcionamiento del sistema y la necesidad de su mantenimiento.

j) Medidas de seguridad: concreción del nivel de seguridad exigible y descripción de las medidas de seguridad aplicadas.

  • De la Agencia Española de Protección de Datos, la Instrucción 1/2006, de 12 de diciembre, de la Agencia Española de Protección de Datos sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.
  • Del Data Protection Commissioner de Irlanda, sus Directrices sobre Protección de Datos y Sistemas de Circuito Cerrrado de Televisión (Data Protection and CCTV).
  • De la Information Commissioner’s Office del Reino Unido, su Código de Buenas Prácticas sobre cámaras de vigilancia (CCTV Code of Practice).

Y por ahora, después de este largo texto, dejo toda esta información para la reflexión, pues debo regresar a trabajar en las soluciones de cumplimiento que deberemos ofrecer al centro educativo que originó esta entrada, al que le interesa cumplir con la LFPD y con la recomendación de la CNDH.

Y si has llegado hasta aquí, ¡gracias por aguantar!

Hasta el próximo post…

Imagen cortesía de criminalatt en FreeDigitalPhotos.net.