Académique Documents
Professionnel Documents
Culture Documents
Contenido
3.2.1 Concepto................................................................................................................................................... 8
3.3.1 Concepto................................................................................................................................................. 13
3.4.1 Concepto................................................................................................................................................. 19
2
Principios y deberes en materia de Protección de Datos Personales
3.5 Medidas compensatorias............................................................................................................................. 30
3.5.2 Instrumentación......................................................................................................................................32
3.5.3 Modalidades............................................................................................................................................33
3.6.1 Concepto................................................................................................................................................. 36
3.6.4 Procedimiento para conservación, bloqueo y supresión de los datos personales y prueba de
su cumplimiento............................................................................................................................................... 40
3.7.1 Concepto................................................................................................................................................. 40
3.7.5 Tratamiento............................................................................................................................................. 43
3.8.1 Concepto................................................................................................................................................. 44
3.9.1 Concepto................................................................................................................................................. 45
3
Principios y deberes en materia de Protección de Datos Personales
3.10.1 Concepto............................................................................................................................................... 47
3.11.1 Concepto............................................................................................................................................... 59
3.12.1 Concepto............................................................................................................................................... 63
4
Principios y deberes en materia de Protección de Datos Personales
3.1 Principios de la Protección de Datos Personales
Los principios y los deberes en materia de protección de datos personales legitiman el tratamiento de
los datos personales y deben asegurarse a lo largo de su ciclo de vida, en todas y cada una de las
fases del tratamiento de los datos personales, es decir, desde que se obtienen o recaban, ya sea del
propio interesado o no, hasta que finalmente son destruidos, eliminados o borrados.
1. Principios:
a. Licitud
b. Consentimiento
c. Información
d. Calidad
e. Finalidad
f. Lealtad
g. Proporcionalidad
h. Responsabilidad
2. Deberes:
a. Confidencialidad
b. Seguridad
Conforme a la Guía práctica para la atención de las solicitudes de Ejercicio de los Derechos ARCO1
del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales
(en adelante, INAI), las fases del tratamiento durante las que el responsable del tratamiento tiene que
cumplir con estos principios y deberes son las siguientes:
1. Dar un uso a los datos personales respetando la ley, desde el momento de su obtención
(principio de licitud).
2. No utilizar medios engañosos o fraudulentos para obtener los datos personales (principio de
lealtad).
3. Poner a disposición el aviso de privacidad, de tal manera que el titular pueda conocer de qué
forma serán tratados sus datos personales y cómo podrá ejercer sus derechos ARCO
(principio de información).
4. Obtener el consentimiento o autorización del titular para el tratamiento de sus datos
personales, salvo las excepciones previstas en el artículo 10 de la Ley. Cuando se recaben
datos personales sensibles el consentimiento del titular deberá ser expreso y por escrito. En
el caso de datos personales de carácter patrimonial o financiero, el consentimiento del
titular deberá ser expreso únicamente. Fuera de estos dos casos, como regla general es
válido el consentimiento tácito (principio de consentimiento) siempre y cuando se ponga a
1
Disponible en http://inicio.inai.org.mx/Publicaciones/02GuiaAtencionSolicitudesARCO.pdf
5
Principios y deberes en materia de Protección de Datos Personales
disposición de los individuos titulares de los datos, el aviso de privacidad, en el que se indique
lo que se hará con su información.
5. Evitar la creación de bases de datos de carácter sensible, salvo que se justifique plenamente
la necesidad del tratamiento para la consecución de finalidades legítimas y concretas
relacionadas con las actividades estatutarias o comerciales que persigue el responsable.
6. Recabar sólo aquellos datos personales que sean necesarios para las finalidades para las que
se obtienen.
Fase 2. Durante el manejo o utilización de los datos personales, el responsable está obligado a:
Fase 3. Una vez agotadas las finalidades que justificaron el tratamiento de los datos personales, el
responsable debe:
1. Suprimir los datos personales cuando hayan concluido las finalidades que dieron origen al
tratamiento, previo bloqueo (principio de calidad).”
Un ejemplo concreto de cómo se han incorporado estos principios a la normativa nacional sería el
caso de México, de manera que a continuación se centra la atención en la misma, sin perjuicio de las
correspondientes referencias a otros países iberoamericanos o, en general, a Iberoamérica.
6
Principios y deberes en materia de Protección de Datos Personales
En este sentido, hay varios instrumentos tanto nacionales como internacionales relevantes a los que
se puede, y en su caso debe, atender para estudiar los principios y deberes en materia de protección
de datos personales.
Entre los principales documentos e instrumentos, tanto nacionales como internacionales, a los que se
hace referencia, se encuentran:
2
Disponible en: http://inicio.inai.org.mx/DocumentosdeInteres/Guia_obligaciones_lfpdppp_julio2014.pdf
3
Disponible en: http://abcavisosprivacidad.ifai.org.mx/#seccion1_02P
4
Disponible en http://inicio.inai.org.mx/DocumentosdeInteres/Guia_para_instrumentar_medidas_compensatorias.pdf
5
Disponible en http://www.sic.gov.co/drupal/recursos_user/documentos/noticias/Guia_Accountability.pdf
6
Disponible en http://www.oas.org/es/sla/ddi/docs/CJI-doc_474-15_rev2.pdf
7
Disponible en
http://www.redipd.es/actividades/seminarios_2007/common/directrices_armonizacion_iberoamerica_seminario_2007.pdf
8
Disponible en
http://www3.diputados.gob.mx/camara/content/download/231031/621446/file/Version_final_ley_proteccion_datos_personales.pdf
9
Disponibles en https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Cooperation/Conference_int/09-11-
05_Madrid_Int_standards_ES.pdf
7
Principios y deberes en materia de Protección de Datos Personales
Informe sobre la norma ISO/IEC Nº 27.018, del 1 de agosto de 2014, perteneciente a la familia
de la Serie 27.000 relativas a la seguridad de la información, Unidad Reguladora y de Control
de Datos Personales de Uruguay10.
Por tanto, se recomienda una lectura analítica del presente documento, consultando y leyendo, en su
caso, los documentos citados en la bibliografía de este módulo así como otras lecturas que puedan
ser de interés.
La licitud, como principio de la protección de datos, significa que el tratamiento de los datos
personales tenga que hacerse, siempre, de forma lícita y legítima o leal, con apego a la normativa
aplicable y conforme lo acordado entre el responsable del tratamiento y el titular de los datos
personales, bajo los términos establecidos, de manera que se cumpla con la expectativa razonable de
privacidad11.
En relación con este principio, las Directrices para la armonización de la protección de datos en la
Comunidad Iberoamericana, indican que:
“los datos sólo podrán ser recabados y tratados de buena fe, con estricto respeto por la Ley y los
derechos de las personas y de conformidad a lo previsto en las presentes directrices.”12
Se trata de un principio que tiene que darse en todo tratamiento de datos personales, ya que de no
ser así dicho tratamiento sería ilícito. En caso de que se estén tratando ya los datos personales, el
tratamiento que no cumpla con dicho principio resulta ser ilícito, de forma que los datos personales
tendrán que cancelarse.
10
Disponible en http://datospersonales.gub.uy/wps/wcm/connect/urcdp/1b7dd9bb-0544-4a42-a272-
7b7928976001/Informe+ISO+%281%29.pdf?MOD=AJPERES&CONVERT_TO=url&CACHEID=1b7dd9bb-0544-4a42-a272-
7b7928976001
11
En este sentido, la “justicia” del tratamiento sería una cuestión adicional, ya que como indica el CJI de la OEA en relación
con este concepto “ofrezcan opciones apropiadas a las personas con respecto a la forma y el momento en que vayan a
proporcionar datos personales a controladores de datos en los casos en que no sea razonable prever que puedan
recopilarse en vista de la relación de las personas con el recopilador o procesador de datos y del aviso o los avisos que
hayan recibido en el momento en que se recopilaron sus datos. Las opciones que se ofrezcan a las personas no deberían
interferir en las actividades y en la obligación de los controladores de datos de promover la seguridad externa e interna y el
cumplimiento de la normativa ni impedir que empleen prácticas comúnmente aceptadas para la recopilación y utilización de
datos personales.
Al aplicar estos principios, los Estados Miembros podrían establecer un requisito de “justicia” separado del tema del
engaño.”. Informe ya citado, pág. 7.
8
Principios y deberes en materia de Protección de Datos Personales
3.2.2 Importancia y utilidad
El Informe del Comité Jurídico Interamericano (CJI) de la OEA sobre Privacidad y Protección de
Datos se refiere a este principio al enunciar y explicar el principio relativo a los propósitos legítimos y
justos13. En concreto, indica que dicho principio “abarca dos elementos: 1) los “fines legítimos” para
los cuales se recopilan inicialmente los datos personales y 2) los “medios justos y legales” con los
cuales se efectúa la recopilación inicial.”
Con carácter general es necesario mencionar que este principio de licitud está también
interrelacionado con otros principios como los de finalidad e información, ya que será necesario
proporcionar información que permita al titular de los datos personales conocer claramente para qué
serán tratados sus datos personales, debiendo obviamente ser una finalidad lícita.
Es así que en cuanto al primer elemento, el relativo a que los fines sean legítimos, el referido informe
del CJI de la OEA indica que este requisito o condición de legalidad para el tratamiento de los datos
personales “es una norma fundamental, profundamente arraigada en valores democráticos básicos y
en el estado de derecho. En principio, la recopilación de datos personales debe ser limitada y
realizarse con el conocimiento o el consentimiento de la persona.”
También que “[e]l requisito de legalidad abarca el concepto de legitimidad y excluye la recopilación
arbitraria y caprichosa de datos personales. Implica transparencia y una estructura jurídica a la cual
pueda tener acceso la persona cuyos datos estén recopilándose.”
Y llama la atención sobre aquellos casos en los que el tratamiento de los datos personales no esté
previsto en una norma legal o regulación que la prevea, sino que dependa, por ejemplo, del
tratamiento que el responsable vaya a realizar para, por ejemplo, prestar un servicio al titular de los
datos, en cuyo caso “deben indicar claramente los fines para los cuales se recopilan los datos, a fin
de que la persona pueda entender cómo se recopilarán, usarán o divulgarán los datos.” Al respecto, y
a modo de ejemplo, el citado informe hace referencia al caso en el que “se requiere esta información
para garantizar que el reembolso se envíe a la dirección correcta del reclamante.”
En cuanto al segundo componente, el relativo a que los medios para el tratamiento de los datos
personales sean justos y legales, el informe del CJI de la OEA indica, con carácter general, que “[l]os
datos personales se recopilan por medios justos y legales cuando la recopilación es compatible tanto
con los requisitos jurídicos pertinentes como con las expectativas razonables de las personas
basadas en su relación con el controlador de datos o con otra entidad que recopile los datos y en el
aviso o los avisos dados a las personas en el momento en que se recopilen sus datos.”14
Y lo anterior significa o implica, en la práctica, que quede prohibida “la obtención de datos personales
por medio de fraude, engaño o con pretextos falsos”. El informe también cita, a continuación, un
ejemplo, en el que el mencionado principio “[s]e infringiría, por ejemplo, si una organización se hiciera
pasar por otra en llamadas de tele marketing, avisos publicitarios impresos o mensajes por correo
13 Ya citado. Págs. 5 a 7.
14
Informe ya citado. Pág. 7.
9
Principios y deberes en materia de Protección de Datos Personales
electrónico a fin de engañar a los consumidores e inducirles a dar el número de su tarjeta de crédito,
información sobre cuentas bancarias u otros tipos de información personal delicada.”15
A este principio se refieren también los Internacionales sobre Protección de Datos Personales y
Privacidad, ya mencionados, en su artículo 6, bajo el título principio de lealtad y legalidad, en los
siguientes términos:
“implica que el tratamiento de los datos personales debe llevarse a cabo de forma leal y lícita;
es decir, con pleno cumplimiento de la legalidad y respeto de la buena fe y los derechos del
individuo, cuya información es sometida a tratamiento.”
Esto supone, tal y como sigue explicando el Dictamen, que en la práctica esté prohibido “cualquier
tratamiento que implique recabar o conservar los datos mediante la utilización de engaño o fraude, de
forma que el individuo no pueda conocer con propiedad los términos y condiciones vinculados a ese
tratamiento.”
Se trata también de uno de los principios que legitiman el tratamiento de datos personales, y que de
no cumplirse el mismo, dicho tratamiento resultaría ilícito, pudiendo ser además objeto de sanción
económica, en la forma de multa al responsable, en su caso.
15
Véase la nota a pie de página anterior.
16
Ya citada. Pág. 29.
17
En el Dictamen ya citado se explica que: “la iniciativa del diputado Gustavo Parra añade un concepto
innovador que refuerza el espíritu que subyace en el principio de licitud denominado como “la expectativa
razonable de privacidad”, el cual se traduce en la confianza que deposita el titular en el responsable en el
sentido de que los datos personales serán tratados conforme lo acordado y bajo los términos establecidos.” Pág.
29.
10
Principios y deberes en materia de Protección de Datos Personales
Este principio tiene que darse en todas las fases del tratamiento de los datos personales,
procediéndose a cancelar los datos personales si alguno de los mismos incumpliese con el mismo
tanto cuando se recaban u obtienen del interesado como posteriormente, cuando son objeto de
tratamiento o uso.
El principio de licitud requiere que el responsable del tratamiento tenga que adoptar medidas para
asegurar que el tratamiento de los datos personales se hace:
Y lo anterior se concreta en que el tratamiento de los datos personales se haga sin engaño o fraude o
de manera que el individuo no pueda conocer con propiedad los términos y condiciones vinculados a
ese tratamiento, por lo que este principio está también vinculado al de información o transparencia en
el tratamiento de datos personales, además de estar estrechamente interrelacionado con el principio
de lealtad.
A dicho principio se ha referido también específicamente en México el INAI, que en su Guía del INAI
para cumplir con los principios y deberes de la LFPDPPP indica lo siguiente:
“Los datos personales tienen que ser tratados por el responsable de manera lícita y leal, lo
que supone que tiene que actuar con apego a las leyes en general y en lo particular a la
normatividad sobre protección de datos personales. En ese sentido, el responsable sólo podrá
hacer con los datos personales aquello que esté legalmente permitido.
De acuerdo con el principio de lealtad, la obtención de los datos personales no podrá hacerse
a través de medios engañosos, ni fraudulentos, lo que implica que:
Expectativa razonable 7, párrafo “Se presume que existe la expectativa razonable de privacidad,
de privacidad tercero, de la entendida como la confianza que deposita cualquier persona en otra,
18
Véase la Guía ya citada, pág. 15.
19
Recio Gayo, Miguel; Esquemas de la Ley de Protección de Datos Personales y su Reglamento, Tirant lo Blanch, México, 2013. Pág.
29.
11
Principios y deberes en materia de Protección de Datos Personales
LFPDPPP respecto de que los datos personales proporcionados entre ellos serán
tratados conforme a lo que acordaron las partes en los términos
establecidos por [la] Ley”.
Prohibición de obtener 7, párrafo “La obtención de datos personales no debe hacerse a través de
datos personales por segundo, de medios engañosos o fraudulentos”
medios engañosos o la LFPDPPP
fraudulentos
“Existe una actuación fraudulenta o engañosa cuando:
12
Principios y deberes en materia de Protección de Datos Personales
Por consentimiento, según la definición dada en la fracción IV, del artículo 3 de la LFPDPPP, se
entiende la “[m]anifestación de la voluntad del titular de los datos mediante la cual se efectúa el
tratamiento de los mismos.”
Sobre el consentimiento, el informe del CJI de la OEA indica que “[p]or lo general, la persona debe
ser capaz de dar su consentimiento libremente respecto de la recopilación de datos personales de la
forma y con los fines previstos. Por lo tanto, el consentimiento de la persona debe basarse en
suficiente información y debe ser claro, es decir, no debe dar lugar a ninguna duda o ambigüedad con
respecto a la intención de la persona.”20
“3.1. Los datos sólo podrán ser recabados o tratados en caso de que se hubiera
obtenido el consentimiento del interesado.
3.2. No obstante la Ley podrá establecer supuestos en los que no será necesario el
consentimiento del interesado para el tratamiento de sus datos personales, atendiendo a las
circunstancias que concurran en cada supuesto y, en todo caso, siempre que dicha excepción
no perjudique los derechos fundamentales del interesado. En particular, la Ley podrá permitir
el tratamiento de los datos sin contar con el consentimiento del interesado cuando el mismo se
realice en el marco de una relación jurídica o por una Administración en el ejercicio de las
potestades que le hayan sido atribuidas.”21
“3.3. Los datos que revelen la ideología, afiliación sindical, religión o creencias del
afectado sólo podrán ser tratados con su consentimiento, a menos que aquél los hubiera
hecho manifiestamente públicos.
3.4. Los datos relacionados con la salud, el origen racial y la vida sexual del afectado
únicamente podrán ser recogidos y tratados en los supuestos mencionados en el párrafo
anterior o cuando una Ley así lo disponga.
20
Pág. 8 del informe.
21
Pág. 15.
13
Principios y deberes en materia de Protección de Datos Personales
El Dictamen con proyecto de Decreto por el que se expide la LFPDPPP explica el principio del
consentimiento indicando que “[d]ado que el derecho a la protección de datos consiste en el poder de
decisión y control que goza el individuo sobre el tratamiento de sus datos de carácter personal, la
mayor parte de los instrumentos nacionales o internacionales reguladores de esta materia sitúan al
consentimiento del titular de los datos, como manifestación de este poder decisorio como causa
principal legitimadora del tratamiento de los datos personales.”22
Y añade también que “[e]ste consentimiento debe caracterizarse por ser previo, libre, inequívoco,
informado y por último, puede ser revocado por el individuo en cualquier momento, no pudiendo
exigirse para esa revocación más requisitos que los que fueron necesarios para la previa prestación
del consentimiento.”
En la práctica, como indica la Guía del INAI hay que considerar que “[c]omo regla general, el
responsable deberá contar con el consentimiento del titular para el tratamiento de sus datos
personales. La solicitud del consentimiento deberá ir siempre ligada a las finalidades concretas del
tratamiento que se informen en el aviso de privacidad, es decir, el consentimiento se deberá solicitar
para tratar los datos personales para finalidades específicas, no en lo general.”23
El consentimiento es también, junto con los demás, uno de los principios que legitima el tratamiento
de los datos personales cuando el mismo es necesario.
“1. Como regla general, los datos de carácter personal sólo podrán ser tratados cuando
concurra alguno de los siguientes supuestos:
Además, el consentimiento tiene que ser válido, lo que implica que tenga que cumplir con unas
ciertas características, como se ha indicado ya, además de solicitarlo y obtenerlo en relación con
finalidades específicas. Al respecto, la Guía del INAI, ya mencionada, indica que es:
22
Págs. 20 y 30 del Dictamen.
23
Guía del INAI para cumplir con los principios y deberes de la LFPDPPP. Pág. 18.
14
Principios y deberes en materia de Protección de Datos Personales
Es así que, cuando es necesario obtenerlo para el tratamiento de los datos personales, el
consentimiento tiene que ser válido ya de que no haber sido obtenido o de haberse obtenido de forma
no adecuada, por ejemplo, obtener un consentimiento que no sea expreso y por escrito cuando así se
requiera, implica que el tratamiento de los datos personales sea ilícito, lo que podría dar lugar a la
imposición de una sanción por dicha razón. Y dicho tratamiento ilícito vulnera el derecho a la
protección de datos personales de su titular.
Por último, como indica el informe del CJI de la OEA25 “[e]l método para obtener el consentimiento
debe ser apropiado para la edad y la capacidad de la persona afectada (si se conocen) y para las
circunstancias particulares del caso.”
Sobre los tipos del consentimiento, el Dictamen con proyecto de Decreto por el que se expide la
LFPDPPP indica que27:
24
Pág. 18.
25
Ya citado. Pág. 8.
26
Págs. 18 y 19 de la Guía para cumplir con los principios y deberes de la LFPDPPP.
27
Pág. 30.
15
Principios y deberes en materia de Protección de Datos Personales
Por su parte, el consentimiento será expreso cuando se manifieste por escrito, medios
electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos. Este tipo de
consentimiento solo se requiere en el caso del tratamiento de datos sensibles, y en aquellos
en los que se ha modificado por el responsable de la base de datos de manera sustancial y
antagónica, la finalidad originaria para la cual fueron recabados, con excepción del tratamiento
que efectúa el sector de prospección comercial.”
Por lo que se refiere a cómo obtener cada uno de estos tipos o formas del consentimiento, siguiendo
con el resumen hecho en la Guía del INAI, sería así en cada caso:
Expreso y por escrito Se deberá otorgar por escrito, mediante firma autógrafa, huella dactilar,
firma electrónica del titular o cualquier otro mecanismo autorizado que
permita identificarlo plenamente.
Y como sigue indicando la Guía del INAI28, hay que considerar también que “si una ley o reglamento,
en lo particular, exige el consentimiento expreso o expreso y por escrito para el tratamiento, el
28
Págs. 19 y 20.
16
Principios y deberes en materia de Protección de Datos Personales
responsable deberá solicitarlo de esa forma, aunque no se trate de datos financieros, patrimoniales o
sensibles. Por otra parte, si el responsable lo considera necesario o conveniente, o lo acuerda con el
titular, podrá solicitar el consentimiento expreso o expreso y por escrito en cualquier caso. Lo
importante es que el responsable tenga claro que cuando se trate de datos patrimoniales y
financieros tendrá que solicitar el consentimiento expreso, y de datos personales sensibles, el
expreso y por escrito”, salvo que concurra alguna excepción legalmente prevista a la obtención de
dicho consentimiento.
También, hay que atender a los medios para obtener el consentimiento, en particular cuando éste es
expreso o, en su caso, expreso y por escrito, de manera que como resume la Guía del INAI “se puede
obtener a través del aviso de privacidad o de cualquier otro documento físico o electrónico que
determine el responsable. En ese sentido, NO es necesario que el consentimiento se obtenga por
medio del aviso de privacidad. Por ejemplo, el consentimiento expreso y por escrito se podría obtener
a través de un formato o contrato, y el expreso por medio de una grabación telefónica o de una casilla
en formato electrónico. No obstante, hay que recordar que, en todos los casos, de manera previa se
debe dar a conocer el aviso de privacidad.
Es importante tener en cuenta, que el medio que el responsable ponga a disposición del titular para
obtener su consentimiento debe ser sencillo y gratuito.”29
El consentimiento, con carácter general, será necesario, salvo que concurra alguna excepción
prevista en la ley. En este sentido, puede haber excepciones al consentimiento tanto por lo que se
refiere tanto al momento de obtener o recabar los datos personales como al de transferir o
comunicarlos, nacional o internacionalmente, a un nuevo responsable del tratamiento.
Es así que, si por ejemplo atendemos a la normatividad mexicana sobre protección de datos
personales, en concreto a la LFPDPPP, ésta contempla las siguientes excepciones al consentimiento:
29
Pág. 23.
17
Principios y deberes en materia de Protección de Datos Personales
1) Para su transferencia (entre dos responsables, el que los transfiere y el que recibe dicha
transferencia), nacional o internacional, de los datos personales:
“Artículo 37.- Las transferencias nacionales o internacionales de datos podrán llevarse a cabo
sin el consentimiento del titular cuando se dé alguno de los siguientes supuestos:
I. Cuando la transferencia esté prevista en una Ley o Tratado en los que México sea
parte;
II. Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico,
la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios
sanitarios;
III. Cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o
afiliadas bajo el control común del responsable, o a una sociedad matriz o a
cualquier sociedad del mismo grupo del responsable que opere bajo los mismos
procesos y políticas internas;
IV. Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por
celebrar en interés del titular, por el responsable y un tercero;
V. Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de
un interés público, o para la procuración o administración de justicia;
VI. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de
un derecho en un proceso judicial, y
VII. Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una
relación jurídica entre el responsable y el titular.”
Como indica el informe del CJI de la OEA “[u]na persona tiene derecho a retirar el consentimiento
según la índole del consentimiento dado y los fines para los cuales se recopile la información. En
general, el retiro del consentimiento no afecta la validez de lo que ya se haya hecho sobre la base del
consentimiento.”30
Es decir, el consentimiento que ha sido dado por el titular de los datos personales para su tratamiento
puede ser revocado, siempre y cuando no exista una obligación legal para el responsable de tratarlos.
Al respecto, como explica el Dictamen con proyecto de Decreto por el que se expide la LFPDPPP, el
consentimiento “puede ser revocado por el individuo en cualquier momento, no pudiendo exigirse
30
Pág. 9 del citado informe.
18
Principios y deberes en materia de Protección de Datos Personales
para esa revocación más requisitos que los que fueron necesarios para la previa prestación del
consentimiento.”31
Sobre la revocación del consentimiento, los Estándares Internacionales sobre Protección de Datos
Personales y Privacidad indican, en el apartado 2 del artículo 12, que “persona responsable deberá
habilitar procedimientos sencillos, ágiles y eficaces que permitan a los interesados revocar su
consentimiento en cualquier momento, y que no impliquen demoras o costes indebidos, ni ingreso
alguno para la persona responsable.”
Por último, como indica el INI en su Guía práctica para la atención de las solicitudes de Ejercicio de
los Derechos ARCO:
“Se deberá tener en cuenta que existen dos modalidades en las que la revocación del consentimiento
puede darse; la primera, puede ser sobre la totalidad de las finalidades consentidas, esto es, que el
responsable deje de tratar por completo los datos del titular; la segunda, puede ocurrir sobre
tratamientos determinados, como por ejemplo para fines mercadotécnicos, publicitarios o de estudios
comerciales, entre otros. Con la segunda modalidad, la revocación parcial del consentimiento, se
mantienen a salvo otros fines del tratamientos que el responsable, de conformidad con su aviso de
privacidad, puede llevar a cabo y con los que el titular está de acuerdo.
Por lo anterior, será necesario que el titular al momento de hacerle llegar su solicitud de revocación
de consentimiento al responsable, indique en ésta si la revocación que pretende realizar es total o
parcial; en caso de ser del segundo tipo, se deberá indicar cuál o cuáles tratamientos son aquéllos
con los que el titular no está conforme.”32
El principio de información es otro de los fundamentales, ya que a través del mismo el responsable
del tratamiento informa al titular de los datos personales, entre otros aspectos, sobre qué datos
personales obtiene y para qué los va a tratar. Este principio está vinculado con otros principios
relevantes, tales como los de finalidad, calidad y consentimiento.
31
Pág. 30 del Dictamen.
32
Pág. 12.
19
Principios y deberes en materia de Protección de Datos Personales
La información que se proporcione a titular de los datos sobre el tratamiento o los tratamientos de sus
datos personales es también una cuestión de transparencia por el responsable del tratamiento y al
respecto el informe del CJI de la OEA explica que “los fines para los cuales se recopilan datos
personales deben especificarse claramente en el momento en el cual se recopilen. Además, se debe
informar a las personas sobre las prácticas y políticas de las entidades o personas que recopilen los
datos personales, a fin de que puedan tomar una decisión fundamentada con respecto al suministro
de tales datos. Sin claridad, el consentimiento de la persona con respecto a la recopilación de los
datos no puede ser válido.”33
“4.1 El interesado del que se recaben los datos deberá ser informado al tiempo de su recogida de la
identidad del responsable del tratamiento, los fines para los que los datos vayan ser tratados y el
modo en que podrá hacer efectivos los derechos a los que se refieren los apartados 5 y 6 de estas
directrices, así como de cualquier otra información necesaria para garantizar un tratamiento lícito de
los datos. Esta obligación solamente quedará exceptuada si el interesado hubiera sido ya informado
con anterioridad de estas circunstancias.
4.2. Cuando los datos no hayan sido obtenidos del interesado deberá informarse al mismo de los
extremos previstos en el párrafo anterior en un plazo prudencial de tiempo y, en todo caso, con
anterioridad a que los datos sean comunicados a un tercero.”34
Como expone el Dictamen con proyecto de Decreto por el que se expide la LFPDPPP, el principio de
información se traduce “necesariamente en el derecho, y correlativo deber para la entidad o persona
responsable, de poder conocer efectivamente la existencia misma del tratamiento y las características
esenciales del mismo, en términos que le resulten fácilmente comprensibles.”35
Es decir, como indica a continuación, este principio “permite a la persona conocer los tratamientos de
sus datos personales que están siendo llevados a cabo y, lo que resulta esencial, ejercer los
derechos comúnmente reconocidos en relación con esos tratamientos. Desde el punto de vista de su
extensión, el principio de información ha de aplicarse a todos los tratamientos que se lleven a cabo,
con independencia de si los datos proceden del titular de los datos o de otras fuentes, así como a la
información útil relativa a cada uno de ellos. El principio de información se materializa a través de un
aviso de privacidad, el cual debe darse a conocer al momento de la recolección de los datos
personales.”
33
Pág. 8 del citado informe.
34
Pág. 15.
35
Págs. 34 y 35.
20
Principios y deberes en materia de Protección de Datos Personales
La Guía del INAI se refiere también a este principio indicando que “los responsables se encuentran
obligados a informar a los titulares de los datos personales, las características principales del
tratamiento al que será sometida su información personal, lo que se materializa a través del aviso de
privacidad. En ese sentido, todo responsable que trate datos personales, sin importar la actividad que
realice o si se trata de una persona física o moral, requiere elaborar y poner a disposición los avisos
de privacidad que correspondan a los tratamientos que lleven a cabo.
Es importante tomar en cuenta que con independencia de que se requiera o no el consentimiento del
titular para el tratamiento de sus datos personales, el responsable está obligado a poner a su
disposición el aviso de privacidad.”36
Y a los mismos se hará referencia, en su caso, en los siguientes apartados como ejemplos prácticos y
concretos a la hora de adoptar e implementar medidas para cumplir con el principio de información.
El aviso de privacidad (en México), al que en otros lugares se denomina también como cláusula de
protección de datos (por ejemplo, en España), como veremos a continuación, sirve al responsable del
tratamiento para facilitar al titular de los datos personales la información relativa al tratamiento de los
mismos.
36
Pág. 32.
37
Véase el vínculo electrónico http://www.inai.org.mx
38
Disponible en http://abcavisosprivacidad.ifai.org.mx/PDF/El%20ABC%20del%20Aviso%20de%20Privacidad.pdf
21
Principios y deberes en materia de Protección de Datos Personales
En este sentido, la guía del INAI titulada El ABC del Aviso de Privacidad39 explica que el aviso de
privacidad “[e]s un documento físico, electrónico o en cualquier otro formato (por ejemplo sonoro), a
través del cual el responsable informa al titular sobre la existencia y características principales del
tratamiento al que serán sometidos sus datos personales. A través del aviso de privacidad se cumple
el principio de información que establece la Ley Federal de Protección de Datos Personales en
Posesión de los Particulares (en lo sucesivo la Ley) y su Reglamento.”
Por lo tanto, quien tiene que cumplir con dicha obligación es el responsable del tratamiento, con
independencia de que en la práctica tuviera un encargado del tratamiento que recabase los datos
personales, en su nombre y por su cuenta, y fuera éste quien proporcionase al titular de los datos
personales el aviso de privacidad, lo cual hará también siguiendo las instrucciones del responsable
del tratamiento.
En el caso de México, además de la LFPDPPP y su Reglamento hay que tomar en cuenta los
Lineamientos del Aviso de privacidad40 que “tienen por objeto establecer el contenido y alcance de los
avisos de privacidad, en términos de lo dispuesto por dicha Ley y su Reglamento”, tal y como se
indica en el primer Lineamiento41.
Los Lineamientos del Aviso de privacidad fueron emitidos por la Secretaría de Economía en
coadyuvancia con el INAI y determinan el contenido y alcance del aviso de privacidad, de manera que,
además de cuestiones generales, los Lineamientos se refieren a:
Su puesta a disposición;
Las modalidades del aviso de privacidad;
Su contenido, ya sea el aviso de privacidad integral, simplificado o corto, y
Buenas prácticas a considerar en relación con el aviso de privacidad en materia de:
o Identidad y domicilio del responsable;
o Listado de datos personales;
o Información sobre transferencias;
o Tratamiento de datos personales de menores de edad y personas en estado de
interdicción o incapacidad;
39
Ya citada.
40
Publicados en el Diario Oficial de la Federación del 17 de enero de 2013 y disponibles en
http://dof.gob.mx/nota_detalle.php?codigo=5284966&fecha=17/01/2013
41 Además, el INAI sometió a consulta pública, entre el 28 de septiembre y el 18 de octubre de 2015, varios anteproyectos
de Lineamientos entre los que se encontraban los Lineamientos que los sujetos obligados deben seguir al momento de
generar información, en un lenguaje sencillo, procurando su accesibilidad y traducción a lenguas indígenas. Al respecto,
puede verse el Comunicado del INAI, de 7 de octubre de 2015, disponible en el vínculo electrónico
http://inicio.inai.org.mx/Comunicados/Comunicado%20INAI-124-15.pdf
22
Principios y deberes en materia de Protección de Datos Personales
En cuanto a los elementos mínimos que debe tener el aviso de privacidad, el artículo 16 de la
LFPDPPP indica que:
Además de los elementos indicados en la LFPDPPP, hay que atender también al Reglamento de la
LFPDPPP y a los Lineamientos del Aviso de privacidad, considerando la modalidad del aviso de
privacidad (integral, simplificado y corto).
En función de cada una de las modalidades del aviso de privacidad y siguiendo la Guía del INAI para
cumplir con los principios y deberes de la LFPDPPP, los elementos que debe tener el aviso de
privacidad son los siguientes:
23
Principios y deberes en materia de Protección de Datos Personales
que se tratarán;
24
Principios y deberes en materia de Protección de Datos Personales
La lista completa de los elementos que deberá tener el aviso de privacidad, conforme a la LFPDPPP,
su Reglamento y los Lineamientos, puede verse en do el apéndice único de El ABC del Aviso de
Privacidad42.
Con carácter general, tal y como se indica en El ABC del Aviso de Privacidad, el momento de poner a
disposición del titular de los datos personales el aviso de privacidad “depende de la forma en que se
obtengan los datos personales, es decir, si éstos se recaban personal, directa o indirectamente del
titular.”
Al respecto, siguiendo la citada guía del INAI “el aviso de privacidad se pone a disposición en los
siguientes momentos”:
A) Previo a la obtención de los Cuando los datos personales se obtienen de manera directa o
datos personales personal de su titular. En ese sentido, el responsable debe
poner a disposición del titular su aviso de privacidad antes de
que este último le proporcione su información personal, a
través del formato o medio respectivo.
B) Al primer contacto con el titular Cuando los datos personales se obtienen de manera indirecta
y el tratamiento para el cual serán utilizados involucra el
contacto directo o personal con el titular. Por ejemplo, si los
datos personales se obtuvieron de una fuente de acceso
público y el responsable enviará al titular propaganda sobre los
bienes o servicios que ofrece, en el primer envío de
información que realice, deberá poner a disposición del titular
42
Disponible en http://abcavisosprivacidad.ifai.org.mx/#seccion1_08
25
Principios y deberes en materia de Protección de Datos Personales
el aviso de privacidad.
Los Lineamientos del Aviso de privacidad definen cada una de estas formas de obtención de
los datos personales de la siguiente manera43:
De forma directa Acto en el cual el propio titular proporciona los datos personales por
algún medio que permite su entrega directa al responsable, entre ellos,
medios electrónicos, ópticos, sonoros, visuales o cualquier otra
tecnología, como correo postal, internet o vía telefónica, entre otros.
De forma indirecta Acto en el cual el responsable obtiene los datos personales sin que el
titular se los haya proporcionado de forma personal o directa, como por
ejemplo a través de una fuente de acceso público o una transferencia.
43
Fracciones III a V del Lineamiento tercero.
44
Fracción VI y VII del Lineamiento tercero.
26
Principios y deberes en materia de Protección de Datos Personales
Siguiendo la Guía del INAI para cumplir con los principios y deberes de la LFPDPPP45, se puede
resumir la puesta a disposición del aviso de privacidad con la siguiente tabla que considera el
momento de la puesta a disposición y la forma de obtención de los datos:
A. Previo a la obtención de los Personal Se entiende que los datos personales se obtienen
datos personales de manera personal, cuando el titular los
proporciona al responsable con la presencia física
de ambos, por ejemplo en una entrevista
presencial o en las instalaciones del responsable.
45
Páginas 35 a 37.
27
Principios y deberes en materia de Protección de Datos Personales
B. Al primer contacto con el titular Indirecta Se entiende que los datos personales se obtienen
de manera indirecta cuando el responsable los
obtiene sin que el titular se los haya
proporcionado de forma personal o directa, como
por ejemplo a través de una fuente de acceso
público o una transferencia consentida por el
titular o que no requiere su consentimiento.
28
Principios y deberes en materia de Protección de Datos Personales
3.4.3.2.3 Modalidades
En cuanto a las modalidades, el aviso de privacidad puede ser integral, simplificado y corto.
Integral o simplificado Cuando los datos personales se obtengan de manera directa o indirecta
del titular.
Corto Cuando el espacio utilizado para la obtención de los datos personales sea
mínimo y limitado, de forma tal que los datos personales recabados o el
espacio para la difusión o reproducción del aviso de privacidad también lo
sean.
29
Principios y deberes en materia de Protección de Datos Personales
Por último, en El ABC del Aviso de Privacidad pueden encontrarse modelos de aviso de privacidad
integral, simplificado y corto46.
El titular de los datos personales tiene que ser informado siempre del tratamiento de sus datos
personales, con independencia de cómo se obtengan los datos personales, ya sea directa,
indirectamente o personalmente. Es decir, incluso cuando pudiera haber una excepción a la
necesidad del consentimiento, porque el tratamiento de los datos personales sea exigido por una ley
o necesario para el cumplimiento de un contrato, dichos tratamientos tendrán que ser informados, a
través del aviso de privacidad, al titular de los datos.
Ahora bien, puede haber situaciones en las que informar al titular de los datos personales, puede
resultar complicado por varios motivos, previstos específicamente en la normatividad sobre protección
de datos personales, y que implican que el responsable del tratamiento tenga que instrumentar
medidas compensatorias. Éstas consistente, por ejemplo, en que el responsable del tratamiento
informe a los titulares de los datos personales difundiendo el aviso de privacidad a través de su
página web, un diario de circulación nacional, carteles informativos u otros medios alternos de
comunicación masiva.
Es decir, el aviso de privacidad tiene que darse siempre y sólo en casos específicos que pueden
requerir incluso que el responsable tenga que obtener la autorización del INAI, este aviso de
privacidad podrá difundirse a través de medios de comunicación masiva, como Internet, diarios u
otros medios de comunicación.
En cualquier caso, el titular de los datos personales tiene que atender también al aviso de privacidad
cuando se difunda de esta manera para informarse sobre el tratamiento de sus datos personales así
como de la posibilidad de ejercitar sus derechos. Hay que tomar también en cuenta que el aviso de
privacidad es el instrumento a través del que el responsable cumple con el principio de información,
que de no darse podría suponer un incumplimiento de la normatividad sobre protección de datos
personales, siendo ilícito el tratamiento.
46
Véase la citada Guía, que incluye los modelos, en http://abcavisosprivacidad.ifai.org.mx/#seccion1_08
47
A nivel internacional, por ejemplo, cabe hacer referencia en este sentido al caso de España donde el apartado 5, del artículo 5 de la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) incluye una excepción al principio de
información indicando que: “No será de aplicación lo dispuesto en el apartado anterior, cuando expresamente una ley lo prevea, cuando el
tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos
desproporcionados, a criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente, en consideración al número
de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.” La LOPD puede consultarse en
http://www.boe.es/buscar/act.php?id=BOE-A-1999-23750
30
Principios y deberes en materia de Protección de Datos Personales
Al respecto, es necesario saber que la obligación que tiene el responsable del tratamiento de informar
sobre el tratamiento de datos personales, incluso cuando se dan determinadas situaciones por el
número de personas o el momento en el que se obtuvieron los datos personales, tiene que cumplirse
siempre, pudiendo llevarse a cabo a través de medidas compensatorias. Esto implica también que
como titulares de los datos personales, tengamos que informarnos de qué datos personales nos
piden, para qué y quién los tratará. Se trata también de un ejercicio de responsabilidad que además
es clave para, si fuera necesario, poder ejercitar los derechos ARCO ante el responsable del
tratamiento.
En definitiva, el titular de los datos personales tiene que informarse del tratamiento de sus datos
personales a través del aviso de privacidad, prestando también atención a aquellos casos en los que
éste sea difundido a través de medidas compensatorias. Y por lo que se refiere a las mismas, en los
siguientes apartados se explica cómo se instrumentan en atención específicamente al caso de
México.
Es decir, cuando por determinadas razones o motivos previstos en los Criterios Generales, en
particular cuando resulte imposible o suponga realizar esfuerzos desproporcionados para dar a
conocer el aviso de privacidad de forma personal o directa50, el responsable del tratamiento no puede
dar a conocer, de manera directa o personal, el aviso de privacidad a los titulares de los datos
personales, se puede recurrir, bajo ciertas condiciones, a darlo a conocer a través de los medios
previstos en dichos Criterios Generales.
48
Publicados en el Diario Oficial de la Federación del 18 de abril de 2012. Pueden consultarse en
http://dof.gob.mx/nota_detalle.php?codigo=5244229&fecha=18/04/2012
49
Cabe recordar que por el cambio de denominación, las referencias hechas al Instituto Federal de Acceso a la Información y Protección
de Datos (IFAI), deben entenderse hechas al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos
Personales.
50
Por esfuerzos desproporcionados para dar a conocer el aviso de privacidad de forma personal o directa, se entiende, según la definición
dada en los Criterios Generales “Cuando el número de titulares sea tal, que el hecho poner a disposición de cada uno de ellos el aviso de
privacidad, de manera personal o directa, implique al responsable un costo excesivo, al considerar su capacidad económica, así como el
hecho de que se comprometa su estabilidad financiera, la realización de actividades propias de su negocio o la viabilidad de su
presupuesto programado; o bien, que dicha actividad sea disruptiva, de manera significativa, de aquellas que el responsable lleva a cabo
cotidianamente.”
31
Principios y deberes en materia de Protección de Datos Personales
Por tanto, como indica la Guía del INAI para Instrumentar Medidas Compensatorias51, se trata de
“mecanismos alternos para dar a conocer a los titulares el aviso de privacidad, a través de su difusión
por medios masivos de comunicación u otros mecanismos de amplio alcance, en lugar de poner a
disposición el aviso a cada titular, de manera personal o directa.”52
3.5.2 Instrumentación
Con carácter previo a instrumentar medidas compensatorias, y sin perjuicio de que sea necesaria o
no la autorización del INAI, tiene que cumplirse con el principio de calidad de los datos personales
tratados, de manera que, como indica el quinto de los Criterios, relativo al cumplimiento del principio
de calidad, “[p]revio la implementación de medidas compensatorias en el marco de los presentes
Criterios Generales, el responsable”, conforme a la normatividad sobre protección de datos
personales, “deberá cancelar los datos personales que hayan dejado de ser necesarios para el
cumplimiento de las finalidades que originaron su tratamiento y las obligaciones legales aplicables.”
En cuanto a los medios para comunicar el aviso de privacidad, el decimoquinto de los Criterios
Generales, podrán ser los siguientes53:
V. Carteles informativos;
Al respecto, hay que atender también a que el decimosexto de los Criterios Generales lista algunos
factores que podrán ser tomados en cuenta por el responsable del tratamiento para elegir el medio
correspondiente, siendo dichos factores, en lo fundamental, los siguientes:
51
Publicada en marzo de 2014 y disponible en el vínculo electrónico
http://inicio.inai.org.mx/DocumentosdeInteres/Guia_para_instrumentar_medidas_compensatorias.pdf
52
Pág. 4.
53
Al respecto, cabe considerar que el INAI realizó una consulta pública sobre unos Lineamientos para el uso de hiperenlaces o
hipervínculos en una página de internet del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos
Personales, para dar a conocer avisos de privacidad a través de medidas compensatorias.
32
Principios y deberes en materia de Protección de Datos Personales
En cualquier caso, el citado Criterio General concluye indicando que el responsable del tratamiento
deberá prestar atención a la necesidad de conseguir:
1. El máximo alcance, y
2. La máxima difusión del aviso de privacidad entre los titulares de los datos personales,
eligiendo para ello el medio y el periodo más eficiente.
Por último, el decimoséptimo de los Criterios Generales lista los criterios para la publicación del aviso
de privacidad en los diferentes medios en atención a los medios de difusión ya citados anteriormente
(diarios de circulación nacional, diarios locales o revistas especializadas, página de Internet del
responsable, etc.
3.5.3 Modalidades
“Cuando los datos personales se hayan obtenido posterior al plazo establecido por el
artículo Tercero Transitorio de la Ley, así como en cualquier otro caso que no actualice los
supuestos y condiciones establecidas en los criterios sexto y séptimo, y el responsable
requiera la instrumentación de medidas compensatorias, será necesario que solicite la
autorización expresa del Instituto, de conformidad con lo establecido en los artículos 32,
segundo párrafo, 33, 34 y 35 del Reglamento.”
En los siguientes apartados se atiende, específicamente, a los casos en los que conforme a los
Criterios Generales es posible instrumentar medidas compensatorias sin autorización del INAI como
aquéllos otros casos en los que para instrumentar dichas medidas compensatorias se requiere la
autorización previa y expresa del INAI.
33
Principios y deberes en materia de Protección de Datos Personales
Las medidas compensatorias podrán instrumentarse, según indica la Guía del INAI, cuando54:
1. Los datos personales se hayan obtenido –ya sea de manera personal o directa de los
titulares, o bien de manera indirecta-, antes del 6 de julio de 2011 (fecha en la que
vencía el plazo para emitir los avisos de privacidad).
2. Exista una imposibilidad de dar a conocer a cada titular el aviso de privacidad o que la
puesta a disposición del mismo a cada uno de los titulares exija esfuerzos
desproporcionados, en los términos que se señalan en el artículo Séptimo de los
Criterios Generales, antes citado.
3. La finalidad para la que se trata los datos personales en la actualidad sea igual, análoga
o compatible con aquélla para la cual, en su momento, se recabaron los datos
personales.
4. No se requiera el consentimiento del titular, cuando el tratamiento involucre datos
personales sensibles.
Por tanto, siempre que se cumplan los requisitos establecidos en los Criterios Generales y no
actualice alguno de los casos para tener que solicitar la autorización previa y expresa del INAI para
instrumentar las medidas compensatorias, se podrán instrumentar éstas sin dicha autorización.
Conforme al artículo 32 del Reglamento de la LFPDPPP55, la autorización expresa del INAI, que
deberá obtenerse previamente a instrumentar las medidas compensatorias, es necesaria cuando, tal
y como indica la Guía del INAI “no actualicen los supuestos y condiciones previstos por los Criterios
Generales” 56, de manera que hay que atender a los siguientes:
1. Los datos personales se hayan obtenido –ya sea de manera personal o directa de los
titulares, o bien de manera indirecta-, con fecha posterior al 6 de julio de 2011, ya que a partir
de dicha fecha los responsables están obligados a emitir los avisos de privacidad.
54
Guía del INAI, pág. 6.
55
Dicho artículo indica que:
“Medidas compensatorias
Artículo 32. En términos del tercer párrafo del artículo 18 de la Ley, cuando resulte imposible dar a conocer el aviso de
privacidad al titular o exija esfuerzos desproporcionados, en consideración al número de titulares o a la antigüedad de los
datos, el responsable podrá instrumentar medidas compensatorias de comunicación masiva de acuerdo con los criterios
generales expedidos por el Instituto, mismos que serán publicados en el Diario Oficial de la Federación, bajo los cuales
podrán utilizarse los medios que se establecen en el artículo 35 del presente Reglamento.
Los casos que no actualicen los criterios generales emitidos por el Instituto requerirán la autorización expresa de éste, previo a la
instrumentación de la medida compensatoria, de conformidad con el procedimiento establecido en los artículos 33 y 34 del presente
Reglamento.”
56
Ya citada. Pág. 7.
34
Principios y deberes en materia de Protección de Datos Personales
2. La finalidad para la que trata los datos personales en la actualidad NO sea igual, análoga o
compatible con aquélla para la cual, en su momento, se recabaron los datos personales.
3. Se requiera el consentimiento del titular, en aquellos casos en que el tratamiento involucre
datos personales sensibles.
La solicitud de autorización se presentará al INAI mediante escrito libre que, conforme al artículo 33
del Reglamento de la LFPDPPP y como indica la Guía del INAI, deberá contener los siguientes
aspectos:
A la solicitud de autorización, como indica la Guía del INAI, se deben anexar los siguientes
documentos57:
1. Copia de la identificación oficial que acredite la personalidad del responsable (persona física)
y, en su caso, de su representante legal, así como el original para su cotejo.
2. En caso de que sea el representante legal quien realice el trámite, éste deberá presentar
copia del documento que acredite la representación del responsable, así como el original
para su cotejo.
3. Documentos que el responsable considere necesarios presentar ante el Instituto.
57
Véase la pregunta o apartado 8, en la página 8 de la citada Guía.
35
Principios y deberes en materia de Protección de Datos Personales
Por lo que se refiere al plazo para resolver sobre la solicitud, como se explica en la Guía del INAI,
será de “10 días hábiles siguientes a la recepción de la solicitud de medida compensatoria para emitir
la resolución correspondiente. Este plazo se puede ampliar por 5 días hábiles en términos del artículo
31 de la Ley Federal de Procedimiento Administrativo.”58
Durante los cuatro (4) días siguientes a la presentación de la solicitud se podrá prevenir al
responsable, en cuyo caso éste tendrá cinco (5) días hábiles, contados desde la fecha en que surta
efectos la prevención, y si no respondiera, la solicitud se desechará. La prevención suspende el plazo
para que el INAI emita su determinación, reanudándose dicho plazo “a partir del día hábil siguiente a
aquél en la que ésta se conteste”, como indica la Guía del INAI.
La calidad de los datos personales, como principio, significa que éstos “deben ser correctos, exactos
y completos y estar actualizados según sea necesario con respecto a los fines para los cuales se
hayan recopilado”, tal y como indica, entre otros, el informe del CJI de la OEA59.
58
Guía del INAI. Pág. 9.
59
Pág. 9 del informe ya citado.
36
Principios y deberes en materia de Protección de Datos Personales
así como que se mantengan tan completos y actualizados como sea necesario para el cumplimiento
de las finalidades para las que sean tratados.”
Específicamente, el Dictamen con proyecto de Decreto por el que se expide la LFPDPPP se refiere a
este principio como que “refleje realmente de forma fiel, la realidad de la información tratada.”60 Y
también indica que este principio “ha de entenderse específicamente vinculado con la veracidad y
exactitud en la que se mantienen los datos personales”
Es decir, como indica la Guía del INAI, ya mencionada, el principio de calidad implica que, “conforme
a la finalidad o finalidades para las que se vayan a tratar los datos personales”61, los datos personales
tratados sean exactos, completos, pertinentes, actualizados y correctos. Y esto significa, a su vez,
que:
“• Los datos personales son exactos cuando reflejan la realidad de la situación de su titular, es
decir, son verdaderos o fieles. Por ejemplo, un dato no sería exacto si se registra en la base de
datos que una persona cuenta con Doctorado en derecho, si el título que en realidad tiene es una
Maestría en derecho.
• Los datos personales están completos cuando no falta ninguno de los que se requiera para las
finalidades para las cuales se obtuvieron y son tratados, de forma tal que no se cause un daño o
perjuicio al titular. Por ejemplo, los datos de salud del titular están completos cuando el
expediente médico contiene todos los documentos clínicos e información que debe estar
integrada al mismo.
• Los datos personales son pertinentes cuando corresponden efectivamente al titular. Por datos
del adeudo son pertinentes cuando corresponden al deudor y no a una homonimia.
• Los datos están actualizados cuando están al día y corresponden a la situación real del titular.
Por ejemplo, el número telefónico que se tiene registrado en la base de datos está actualizado
cuando, efectivamente, corresponde al titular con el que está vinculado.
• Los datos personales son correctos cuando cumplen con todas las características anteriores, es
decir, son exactos, completos, pertinentes y actualizados.”
El principio de calidad de los datos personales es otro de los principios fundamentales, ya que como
indica el informe del CJI de la OEA “es importante para la protección de la privacidad”, ya que si los
datos personales no respondiesen efectivamente a este principio, se vulneraría el derecho a la
protección de datos personales de su titular.
60
Ya mencionado. Pág. 31.
61
Pág. 58.
37
Principios y deberes en materia de Protección de Datos Personales
Como indica el Dictamen con proyecto de Decreto por el que se expide la LFPDPPP, en la práctica,
este principio: “conlleva un doble esfuerzo para los particulares responsables: por un lado deberán
asegurarse en el momento de la recogida de la información, sobre todo cuando la misma no procede
directamente del titular, de que aquella resulta exacta y actualizada; por otro debería, siempre que
ello sea posible, adoptar las medidas razonables para que la información responda a esa veracidad
mientras persiste en su tratamiento.”62
Es decir, conforme a lo indicado en la Guía del INAI “[e]l responsable debe adoptar las medidas que
considere convenientes para procurar que los datos personales cumplan con estas características, a
fin de que no se altere la veracidad de la información, ni que ello tenga como consecuencia que el
titular se vea afectado por dicha situación.”63
Y adoptar estas medidas implica que el responsable del tratamiento tenga que adoptar e implementar
medida para asegurar que los datos personales que trata, en cualquier fase del tratamiento y a lo
largo de todo el ciclo de vida del tratamiento, reúnan las características ya señaladas (ser exactos,
completos, pertinentes, actualizados y correctos). Al respecto, se debe prestar también atención al
momento mismo de obtener o recabar los datos personales, distinguiendo los supuestos en los que
los datos personales sean obtenidos directa o indirectamente del titular.
Es así que, en virtud de la normatividad mexicana sobre protección de datos personales, en relación
con el principio de calidad y considerando si se han obtenido directa o indirectamente del titular los
datos personales, es posible indicar lo siguiente:
Datos personales Se presume que los datos personales son exactos, completos, pertinentes,
obtenidos correctos y actualizados cuando los proporciona directamente el titular, y
directamente del titular hasta en tanto éste no manifieste y acredite lo contrario, o bien, el
responsable cuente con evidencia que lo contradiga.
Datos personales En estos casos, se deben adoptar medidas razonables para que los datos
obtenidos personales contenidos en las bases de datos sean exactos, completos,
indirectamente pertinentes, actualizados y correctos.
62
Páginas 31 y 32 del Dictamen.
63
Pág. 59.
38
Principios y deberes en materia de Protección de Datos Personales
Los plazos de conservación de los datos personales pueden depender del consentimiento del titular
de los datos personales, el cumplimiento de una obligación contractual o legal así como de que los
datos personales dejen de cumplir con el principio de calidad puestos en conexión con la finalidad
para la que son tratados o su exactitud en relación con la persona a la que se refieren.
La calidad de los datos personales implica también que el responsable tenga que adoptar medidas
para asegurar que ésta se cumple a lo largo del ciclo de vida de su tratamiento, de manera que, como
hace la Guía del INAI, cabe preguntarse “¿Cuánto tiempo puedo conservar los datos personales?”,
ante lo que cabe considerar que:
“El plazo de conservación de los datos personales no debe exceder el tiempo estrictamente
necesario para llevar a cabo las finalidades que justificaron el tratamiento, ni aquél que se
requiera para cumplir con:
Por tanto, los plazos de conservación de los datos personales requieren tomar en cuenta los
diferentes casos que pueden darse en la práctica y, esto implica que, requieren que el responsable
del tratamiento adopte medidas para asegurar el principio de calidad de los datos personales. Lo ideal
es que el responsable del tratamiento aplique una política de conservación de los datos, pudiendo
apoyarse además en el uso de herramientas tecnológicas de control en el tratamiento de los datos
personales.
64
Pág. 14.
39
Principios y deberes en materia de Protección de Datos Personales
Para garantizar la calidad de los datos personales a lo largo de su ciclo de vida, es decir, desde que
se recaban hasta que se suprimen finalmente, es necesario, si la obligación está prevista en la
normativa aplicable, y conveniente, en cualquier caso, que el responsable adopte un procedimiento,
documentado, para gestionar la conservación, el bloqueo y la supresión de los datos personales.
Al estar documentado, pudiendo adoptar múltiples formas, como por ejemplo la adopción e
implementación de una política u otras normas internas en materia de protección de datos personales,
el responsable podrá probar que ha adoptado medidas al respecto. Y mediante la realización de
auditorías u otras evaluaciones, internas o externas, se podrá probar, en su caso, cómo funciona este
procedimiento.
El Dictamen con proyecto de Decreto por el que se expide la LFPDPPP se refiere a este principio
indicando que “[l]a manifestación esencial de la protección de la privacidad en relación con el
tratamiento de los datos personales se funda en que el tratamiento únicamente sea llevado a cabo en
el ámbito de finalidades determinadas, explícitas y legítimas relacionadas con la actividad del
responsable. Junto con esta regla general, se ha venido reconociendo la posibilidad de proceder a
este tratamiento para otros fines, siempre que los mismos no sean incompatibles con los que
motivaron el tratamiento inicial del dato.”
Se trata también de un principio clave en protección de datos personales, interrelacionado con otros
principios, especialmente los de información, consentimiento y calidad.
“los datos únicamente podrán ser recabados y tratados para el cumplimiento de las
finalidades determinadas, explícitas y legítimas relacionadas con la actividad de quien los trate.
40
Principios y deberes en materia de Protección de Datos Personales
No podrán ser tratados para fines distintos de aquéllos que motivaron su obtención a
menos que exista legitimación suficiente para ello, conforme a lo establecido en el apartado 3
de estas directrices.”65
La Guía del INAI se refiere también a este principio indicando que “[s]e entiende por finalidad del
tratamiento, el propósito, motivo o razón por el cual se tratan los datos personales.”66
Por tanto, la finalidad del tratamiento de los datos personales es el uso que se va a dar los mismos,
pudiendo distinguir, como veremos, entre finalidades primarias y secundarias. En cualquier caso, la
finalidad tiene que estar determinada, ser explícita y legítima, lo que implica también que este
principio esté relacionado con los de licitud y lealtad.
Desde un punto de vista práctico, conforme a la Guía del INAI, es necesario prestar atención tanto a
la finalidad del tratamiento de los datos personales, en sí misma, y también a cómo se redacta en su
caso el correspondiente aviso de privacidad. Es así que:
“La finalidad o finalidades del tratamiento de datos personales deberán ser determinadas, es decir,
deberán especificar para qué objeto se tratarán los datos personales de manera clara, sin lugar a
confusión y con objetividad. Un ejemplo de una finalidad determinada es cuando una tienda
departamental, para prestar su servicio de compra en línea, señala que las finalidades del tratamiento
de los datos personales que solicita son i) para verificar la identidad del cliente; ii) realizar el cobro
respectivo, y iii) enviar el pedido solicitado a la dirección que el cliente proporciona.
En ese sentido, el responsable deberá evitar que las finalidades que describa en el aviso de
privacidad sean inexactas, ambiguas o vagas, como “de manera enunciativa más no limitativa”, “entre
otras finalidades”, “otros fines análogos”, “por ejemplo” o “entre otros”. Por ejemplo:
√ Correcto: Sus datos personales serán tratados con la finalidad de darle la atención
médica que solicita, realizarle los estudios y análisis que requiere, así como para el cobro y
facturación de los servicios médicos.
Х Incorrecto: Sus datos personales serán tratados con la finalidad de darle la atención
médica que solicita, realizarle los estudios y análisis que requiere, para el cobro y facturación
de los servicios médicos, entre otros fines análogos.”67
Otra cuestión a considerar en la práctica, como apunta la Guía del INAI, es la razón o motivo de
distinguir entre ambos tipos de finalidades. Al respecto, la citada Guía, mencionando el Reglamento
de la LFPDPPP, indica que “el titular de los datos personales puede negar o revocar su
65
Pág. 14.
66
Pág. 52 de la Guía, ya citada.
67
Guía del INAI, pág. 52.
41
Principios y deberes en materia de Protección de Datos Personales
consentimiento, así como oponerse para el tratamiento de sus datos personales para las finalidades
secundarias, sin que ello tenga como consecuencia la conclusión del tratamiento para las finalidades
primarias.”68
La Guía del INAI, siguiendo la normatividad sobre protección de datos personales en posesión de los
particulares, se refiere la finalidad primaria como “aquéllas que dan origen y son necesarias para la
relación jurídica entre el titular y el responsable, a las cuales identificamos como primarias”.
La finalidad primaria puede ser desde el uso de los datos personales para cumplir con un contrato,
que consista, por ejemplo, en la prestación de un servicio, hasta el cumplimiento de una obligación
legal.
Es, por lo tanto, la necesidad de dicho tratamiento de datos personales la que va a servir como
parámetro para determinar si una finalidad es primaria o secundaria. En el siguiente apartado se
expone qué se entiende por finalidad secundaria así como algunos ejemplos prácticos que sirven
para diferenciar finalidades primarias y secundarias.
Si la finalidad primaria es aquella que da origen e implica la necesidad del tratamiento de datos
personales para la relación jurídica, ya sea la fuente de la obligación legal o contractual, las demás
finalidades serán secundarias. Por ejemplo, una finalidad secundaria clara es el uso de los datos
personales para el envío de publicidad.
A modo de ejemplo, la Guía del INAI indica que las siguientes son finalidades secundarias o
accesorias69:
“• Una persona proporciona sus datos personales a una universidad para que le preste
un servicio educativo y, a su vez, la universidad desea utilizar estos datos para invitarla
a los eventos anuales que realiza. En este caso, la finalidad primaria es la relacionada
con la prestación del servicio educativo, en tanto que la finalidad secundaria o accesoria
es la relacionada con la invitación a los eventos anuales.
68
Pág. 53.
69
Págs. 52 y 53
42
Principios y deberes en materia de Protección de Datos Personales
3.7.5 Tratamiento
El hecho de que los datos personales puedan utilizarse, en su caso, para finalidades primarias y
secundarias, implica que haya que considerar también al concepto de compatibilidad, el cual es
explicado por el Dictamen con proyecto de Decreto por el que se expide la LFPDPPP de la siguiente
manera:
“a los efectos de la aplicación de esta ley ha de ser necesariamente indeterminado, dado que resulta
imposible determinar a priori cuándo existe o no la misma. Dicho esto, una interpretación razonable
permite concluir que no sería posible restringir el principio considerando prohibida la utilización de
datos para ninguna finalidad distinta de la que motivó el tratamiento, pero tampoco sería acorde con
la protección que se pretende, el conferir una interpretación extensiva que considere que toda la
actividad de un responsable puede considerarse compatible con la parte de la misma que dio lugar al
tratamiento. En todo caso, la aplicación de esta regla impone al responsable la necesidad de
encontrar legitimado el tratamiento de los datos con arreglo a los principios contenidos en la ley que
se somete a consideración, en aquellos supuestos en los que no se produce tal compatibilidad.”70
Al tratamiento de los datos personales hay que atender también a las finalidades distintas, con
respecto a lo que la Guía del INAI indica que:
“Es importante que el responsable tome en consideración que no se pueden llevar a cabo
tratamientos para finalidades distintas que no resulten compatibles o análogas con aquéllas para las
que se hubiese recabado de origen los datos personales y que hayan sido previstas en el aviso de
privacidad, a menos que:
Como conclusión, y siguiendo de nuevo la Guía del INAI, cabe señalar que “el responsable tiene las
siguientes obligaciones en torno al principio de finalidad:
1. Tratar los datos personales únicamente para la finalidad o finalidades que hayan sido
informadas al titular en el aviso de privacidad y, en su caso, consentidas por éste;
2. Informar en el aviso de privacidad todas las finalidades para las cuales se tratarán los
datos personales, y redactarlas de forma tal que sean determinadas;
3. Identificar y distinguir en el aviso de privacidad entre las finalidades primarias y
secundarias;
4. Ofrecer al titular de los datos personales un mecanismo para que pueda manifestar su
negativa al tratamiento de sus datos personales para todas o algunas de las finalidades
secundarias;
5. Cuando el aviso de privacidad se dé a conocer a través de un medio indirecto, como el
correo postal, informar al titular que tiene cinco días hábiles para manifestar su negativa
para el tratamiento de su información para finalidades secundarias;
70
Pág. 32 del Dictamen, ya citado.
43
Principios y deberes en materia de Protección de Datos Personales
Como indica la Guía del INAI para cumplir con los principios y deberes de la LFPDPPP72 “[l]os datos
personales tienen que ser tratados por el responsable de manera lícita y leal, lo que supone que tiene
que actuar con apego a las leyes en general y en lo particular a la normatividad sobre protección de
datos personales.”
Al respecto, la versión final del Dictamen con proyecto de Decreto por el que se expide la LFPDPPP73
explica este principio indicando que “implica que el tratamiento de los datos personales debe llevarse
a cabo de forma leal y lícita; es decir, con pleno cumplimiento de la legalidad y respeto de la buena fe
y los derechos del individuo, cuya información es sometida a tratamiento.”
Es decir, es necesario que todo tratamiento de datos personales, a lo largo del ciclo de vida de los
datos personales, en todas las fases de su tratamiento, sea lícito, cumpliendo con las condiciones
aplicables. Lo contrario determinaría que el tratamiento fuese ilícito, por incumplir con los principios
y/o deberes aplicables y exigibles a quienes tratan los datos personales, lo cual podría dar lugar, en
su caso, a la exigencia de responsabilidad.
La versión final del Dictamen con proyecto de Decreto por el que se expide la LFPDPPP74 indica que
el principio de licitud “se traduce en la prohibición de cualquier tratamiento que implique recabar o
conservar los datos mediante la utilización de engaño o fraude, de forma que el individuo no pueda
conocer con propiedad los términos y condiciones vinculados a ese tratamiento.”
Si se incumple con el principio de licitud, los datos personales tendrían que cancelarse, ya que su
tratamiento sería ilícito lo que supone que se vulnere el derecho a la protección de datos personales
71
Guía ya citada, págs. 53 y 54.
72
Ya mencionada.
73
Ya citado. Pág. 29.
74
Véase la nota pie de página anterior.
44
Principios y deberes en materia de Protección de Datos Personales
de su titular. Y ello sin perjuicio de que fuera exigible la responsabilidad correspondiente por el
incumplimiento que, en su caso, se haya producido.
En este sentido, la licitud del tratamiento implica también que tengan que cumplirse las condiciones
aplicables y exigibles a todo tratamiento, lo que supone que este principio esté interrelacionado con
otros principios como los de información, consentimiento, calidad, etc. Por tanto, la licitud tiene que
asegurarse por quien trata los datos personales en todo momento, evitando así posibles
incumplimientos que pudieran dar lugar a la exigencia de responsabilidad por un tratamiento ilícito de
los datos personales.
El principio de proporcionalidad, como explica el informe del CJI de la OEA relacionándolo con la
necesidad y minimización del tratamiento de los datos personales, implica que quienes tratan datos
personales los deben usar “solamente de una forma acorde con los fines expresos de la recopilación;
por ejemplo, cuando sean necesarios para proporcionar el servicio o el producto solicitado por la
persona. Asimismo, los recopiladores y procesadores de datos deben seguir un criterio de “limitación”
o “minimización”, de acuerdo con el cual deben hacer un esfuerzo razonable para cerciorarse de que
los datos personales que manejen correspondan al mínimo requerido para el fin expreso.”75
En particular, el CJI menciona, a continuación, que “[e]n algunos sistemas jurídicos se usa el
concepto de “proporcionalidad” para hacer referencia al equilibrio de valores en pugna. La
proporcionalidad requiere que las instancias decisorias determinen si una medida ha ido más allá de
lo que se requiere para alcanzar una meta legítima y si los beneficios alegados excederán los costos
previstos.”
Los Estándares Internacionales sobre Protección de Datos Personales y Privacidad, a los que ya se
ha hecho referencia, incluyen, en su artículo 8, este principio de proporcionalidad, indicando que:
2. En particular, la persona responsable deberá realizar esfuerzos razonables para limitar los
datos de carácter personal tratados al mínimo necesario.”
Por su parte, la versión final del Dictamen con proyecto de Decreto por el que se expide la LFPDPPP
indica que “se encuentra directamente relacionado con el de finalidad.”76
75
Pág. 10.
76
Página 33 del citado Dictamen.
45
Principios y deberes en materia de Protección de Datos Personales
Y explica también, a continuación, que “[l]a exigencia al responsable de únicamente tratar datos
proporcionales para la finalidad para la que se obtuvieron ha sido analizada por los distintos derechos
regionales o nacionales desde dos perspectivas distintas, aunque complementarias: Por una parte,
los datos sólo deberían ser los adecuados o necesarios para la finalidad que justifica el tratamiento
(principio de proporcionalidad en sentido estricto); por otra, quien procede al tratamiento de los datos
deberá analizar las finalidades que justifican el tratamiento, de modo que sólo debería tratar la
mínima cantidad de información necesaria para conseguir la finalidad perseguida (principio de
minimización).
Sobre este principio, las Directrices para la armonización de la protección de datos en la Comunidad
Iberoamericana, indican que “[s]ólo podrán ser sometidos a tratamiento los datos que resulten
adecuados, pertinentes y no excesivos en relación con las finalidades a las que se refiere el punto
anterior.”77
En la práctica, según indica el CJI de la OEA, este principio implica que “[d]e acuerdo con estos
principios, los conceptos de “necesidad” y “proporcionalidad” imponen limitaciones generales al uso,
lo cual significa que los datos personales solo deben usarse para cumplir los propósitos de la
recopilación excepto con el consentimiento de la persona cuyos datos personales se recopilen o
cuando sea necesario para proporcionar un producto o servicio solicitado por la persona.
También, el Dictamen con proyecto de Decreto por el que se expide la LFPDPPP indica que “el
tratamiento de los datos de forma que únicamente sean objeto de aquél los mínimos datos necesarios
para la finalidad que lo justifica. La segunda consecuencia de la aplicación de este principio será que
deberá tenderse siempre que sea posible en el tratamiento de los datos a realizar el mismo de forma
anonimizada o disociada.”
Es así que, como ejemplo práctico, atendiendo a la normatividad mexicana sobre protección de datos
personales, el principio de proporcionalidad puede presentarse gráficamente de la siguiente forma78:
77
Pág. 14.
78
Recio Gayo, Miguel. Op. cit. Pág. 41.
46
Principios y deberes en materia de Protección de Datos Personales
los datos personales 45 del Reglamento Pertinentes para los fines para los cuales fueron
recabados;
3.10.1 Concepto
El informe del CJI de la OEA79 incluye entre sus principios también el de responsabilidad80, sobre el
que indica, con carácter general, que “[l]os controladores de datos adoptarán e implementarán las
medidas correspondientes para el cumplimiento de estos principios”, de forma que la
“responsabilidad” de quien trata los datos personales es fundamental para “[l]a protección efectiva de
los derechos individuales de protección de la privacidad y de los datos”. A continuación, incide en el
hecho de que este principio:
A nivel internacional, en cuanto a la definición de este concepto, debe hacerse referencia al Grupo de
Trabajo del artículo 29 de la Directiva 95/46/CE81, que ha tratado este principio en su Dictamen
79
Ya citado.
80
Véanse las páginas 17 y 18 del citado informe.
81
Creado en virtud del citado artículo de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de
1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos, como un grupo consultivo e independiente que, conforme al apartado 2 de dicho artículo, “estará
compuesto por un representante de la autoridad o de las autoridades de control designadas por cada Estado miembro, por un
representante de la autoridad o autoridades creadas por las instituciones y organismos comunitarios, y por un representante
de la Comisión.” Y el artículo 30 de la Directiva le confiere las siguientes atribuciones:
“a) estudiar toda cuestión relativa a la aplicación de las disposiciones nacionales tomadas para la aplicación de la
presente Directiva con vistas a contribuir a su aplicación homogénea;
47
Principios y deberes en materia de Protección de Datos Personales
3/2010 sobre el principio de responsabilidad (WP 173)82 indicando sobre este término que “proviene
del mundo anglosajón donde es de uso general y donde se da una comprensión ampliamente
compartida de su significado, aunque la definición exacta de «responsabilidad» resulta compleja en la
práctica. Pero de forma general, el término apunta sobre todo al modo en que se ejercen las
competencias y al modo en que esto puede comprobarse. Competencia y responsabilidad son dos
caras de la misma moneda y sendos elementos esenciales de la gobernanza. Solo cuando la
responsabilidad funciona en la práctica puede desarrollarse la confianza suficiente.”83
Además, el Dictamen apunta que, en la práctica, se utilizan también “otras palabras para recoger el
sentido de responsabilidad, como son «competencia reforzada», «garantía», «fiabilidad», fiabilidad» o,
en español, «obligación de rendir cuentas», etc. Puede también sugerirse que la responsabilidad se
refiere a la «aplicación de principios de protección de datos».”84
La responsabilidad se refiere, por tanto, a “las medidas que pudieran adoptarse o preverse para
garantizar la observancia en materia de protección de datos.”85
b) emitir un dictamen destinado a la Comisión sobre el nivel de protección existente dentro de la Comunidad y en
los países terceros;
c) asesorar a la Comisión sobre cualquier proyecto de modificación de la presente Directiva, cualquier proyecto de
medidas adicionales o específicas que deban adoptarse para salvaguardar los derechos y libertades de las personas
físicas en lo que respecta al tratamiento de datos personales, así como sobre cualquier otro proyecto de medidas
comunitarias que afecte a dichos derechos y libertades;
82
Adoptado el 13 de julio de 2010 y disponible en http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-
recommendation/files/2010/wp173_es.pdf
83
Apartado 21 del citado Dictamen. Pág. 8.
84
Apartado 22 del Dictamen. Pág. 8.
85
Apartado 23 del Dictamen. Pág. 8.
86
Dictamen ya citado. Pág. 7.
48
Principios y deberes en materia de Protección de Datos Personales
Cabe señalar que las directrices de la OCDE fueron revisadas, publicándose una versión actualizada
en 2013, y precisamente una de las cuestiones en las que se ha centrado la revisión ha sido en este
principio de responsabilidad al referirse a la implementación práctica de medidas para proteger la
privacidad a través de una aproximación basada en la gestión del riesgo (en inglés risk
management)87.
La versión de 2013 de las guías, que en lo sustancial no hizo cambios a los principios
que allí se habían incluido en 1980, sí estableció un nuevo aparte sobre implementación del
principio de responsabilidad demostrada. En ese sentido, y según lo dispuesto por las guías,
los Responsables del Tratamiento deben contar con un Programa Integral de Gestión de
Datos Personales y estar preparados para demostrarle a la autoridad la implementación
efectiva de esas medidas en la organización.”90
De nuevo, hay que mencionar el informe del CJI de la OEA que sobre las implicaciones del principio
de responsabilidad, indica que los principios de la protección de datos personales “dependen de la
capacidad de quienes recopilan, procesan y retienen datos personales para tomar decisiones
responsables, éticas y disciplinadas acerca de los datos y su uso durante todo el “ciclo de vida” de los
datos. Estos “gerentes de datos” deben actuar en calidad de “buen custodio” de los datos que les
proporcionen o confíen.”
Y también indica que “[e]n los programas y procedimientos se deben tener en cuenta la índole de los
datos personales en cuestión, el tamaño y la complejidad dela organización que recopila, almacena y
procesa los datos, y el riesgo de violaciones. La protección de la privacidad depende de una
evaluación creíble de los riesgos que el uso de datos personales podría plantear para las personas y
la mitigación responsable de esos riesgos.”
87
Las Directrices actualizadas, en su versión de 2013, así como una guía explicativa, pueden verse, en inglés, en el vínculo electrónico
http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf
88
Disponible en http://www.sic.gov.co/drupal/noticias/guia-para-la-implementacion-del-principio-de-responsabilidad-demostrada
89
Sobre la que puede verse más información en http://www.sic.gov.co/drupal/delegatura-para-la-proteccion-de-datos-personales
90
Véase la Guía en la página 5.
49
Principios y deberes en materia de Protección de Datos Personales
Citando de nuevo el Dictamen del Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE, este
principio “requeriría expresamente que los responsables del tratamiento de datos aplicaran medidas
adecuadas y eficaces para poner en práctica los principios y obligaciones de la Directiva y demostrar
este extremo cuando se les solicitara. En la práctica, ello se traduciría en programas modulables
tendentes a ejecutar los principios de protección vigentes (a veces llamados «programas de
cumplimiento»). Como complemento al principio, podrían establecerse requisitos adicionales
tendentes a implantar garantías de protección de datos o a garantizar su eficacia. Un ejemplo sería
una disposición por la que se exigiera llevar a cabo una evaluación de impacto sobre la privacidad
para operaciones de tratamiento de datos de mayor riesgo.”91
a. adoptar las medidas necesarias para cumplir con los principios y obligaciones
establecidos en el presente Documento y en la legislación nacional aplicable, y
Sobre el principio de responsabilidad, el Dictamen con proyecto de Decreto por el que se expide la
LFPDPPP indica que “debe entenderse en el sentido de que corresponderá a la entidad o persona
responsable el deber de velar por el cumplimiento de los principios y rendir cuentas al titular en caso
de incumplimiento.”93
Y, a continuación, el citado Dictamen destaca también que este principio de responsabilidad “es la
verdadera garantía para el titular de los datos quien deposita su confianza en el responsable, mismo
que deberá tomar todas las previsiones para que los datos sean tratados de acuerdo con la voluntad
del dueño de la información y bajo las medidas de seguridad que se prevean por la vía contractual.”
91
Véase el Dictamen ya citado en su párrafo 3. Pág. 4
92
Ya mencionados.
93
Dictamen ya citado, pág. 34.
50
Principios y deberes en materia de Protección de Datos Personales
En relación con este principio, citando, de nuevo, la Guía del INAI para cumplir con los principios y
deberes de la LFPDPPP, ésta indica que este principio “cierra el círculo con relación a los principios
que regulan la protección de los datos personales. A este principio se le conoce también como el
principio de “rendición de cuentas”, ya que establece la obligación de los responsables de velar por el
cumplimiento del resto de los principios, adoptar las medidas necesarias para su aplicación, y
demostrar ante titulares y la autoridad, que cumple con sus obligaciones en torno a la protección de
los datos personales.”94
Por tanto, se trata de un principio fundamental en materia de protección de datos personales, siendo
buena muestra de ello el hecho de que también la Comisión Europea lo haya incluido en la propuesta
de Reglamento General de Protección de Datos que se tramita actualmente95.
94
Guía y citada, pág. 65.
95
La iniciativa de la Comisión Europea, la Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la
protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos
datos (Reglamento general de protección de datos), COM(2012) 11 final, de 25 de enero de 2012, introduce este principio
en el artículo 22 lo que supone que dicho Reglamento “toma en consideración el debate sobre un «principio de
responsabilidad» y describe pormenorizadamente la obligación de responsabilidad del responsable del tratamiento a la hora
de cumplir el presente Reglamento y de demostrar su observancia, incluso mediante la adopción de políticas y mecanismos
internos que garanticen dicha conformidad.” El citado artículo, en su versión original, indica lo siguiente:
“Artículo 22 Obligaciones del responsable del tratamiento
1. El responsable del tratamiento adoptará políticas e implementará medidas apropiadas para asegurar y poder demostrar
que el tratamiento de datos personales se lleva a cabo de conformidad con el presente Reglamento.
2. Las medidas previstas en el apartado 1 incluirán, en particular:
a) la conservación de la documentación con arreglo a lo dispuesto en el artículo 28;
b) la implementación de los requisitos en materia de seguridad de los datos establecidos en el artículo 30;
c) la realización de una evaluación de impacto en relación con la protección de datos con arreglo a lo dispuesto en el artículo
33;
d) el cumplimiento de los requisitos en materia de autorización o consulta previas de la autoridad de control con arreglo a lo
dispuesto en el artículo 34, apartados 1 y 2;
e) la designación de un delegado de protección de datos con arreglo a lo dispuesto en el artículo 35, apartado 1.
3. El responsable del tratamiento implementará mecanismos para verificar la eficacia de las medidas contempladas en los
apartados 1 y 2. Siempre que no sea desproporcionado, estas verificaciones serán llevadas a cabo por auditores
independientes internos o externos.
4. La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de
especificar cualesquiera otros criterios y requisitos aplicables a las medidas apropiadas contempladas en el apartado 1,
distintas de las ya mencionadas en el apartado 2, las condiciones para los mecanismos de verificación y auditoría
contemplados en el apartado 3 y el criterio de proporcionalidad en virtud del apartado 3, y de considerar la adopción de
medidas específicas para las microempresas y las pequeñas y medianas empresas.”
La versión inicial de la Propuesta de Reglamento General de Protección de Datos puede consultarse en http://eur-lex.europa.eu/legal-
content/ES/TXT/?qid=1443970930549&uri=CELEX:52012PC0011
96
Dicho artículo indica lo siguiente: “El responsable velará por el cumplimiento de los principios de protección de datos personales
establecidos por esta Ley, debiendo adoptar las medidas necesarias para su aplicación. Lo anterior aplicará aún y cuando estos datos
51
Principios y deberes en materia de Protección de Datos Personales
tratamiento, privilegiando los intereses del titular y la expectativa, el responsable del tratamiento
podrá adoptar las siguientes:
VI. Revisar periódicamente las políticas y programas de seguridad para determinar las
modificaciones que se requieran;
VII. Establecer procedimientos para recibir y responder dudas y quejas de los titulares de los
datos personales;
IX. Establecer medidas para el aseguramiento de los datos personales, es decir, un conjunto
de acciones técnicas y administrativas que permitan garantizar al responsable el
cumplimiento de los principios y obligaciones que establece la Ley y el presente Reglamento,
o
En la práctica, son varios los instrumentos a través de los que pueden adoptarse e implementarse
medidas en virtud del principio de responsabilidad, entre los que, como indica la Guía del INAI97
siguiendo la normatividad en materia de protección de datos personales en posesión de los
particulares, se encuentran los siguientes:
fueren tratados por un tercero a solicitud del responsable. El responsable deberá tomar las medidas necesarias y suficientes para garantizar
que el aviso de privacidad dado a conocer al titular, sea respetado en todo momento por él o por terceros con los que guarde alguna
relación jurídica.”
97
Guía ya citada, pág. 65.
52
Principios y deberes en materia de Protección de Datos Personales
1. Estándares;
2. Mejores prácticas internacionales;
3. Políticas corporativas;
4. Esquemas de autorregulación, y
5. Otros mecanismos.
“Para que una organización efectivamente implemente un Programa Integral de Gestión de Datos
Personales, no es suficiente demostrar la adopción de políticas y procedimientos tendientes a
cumplir las normas sobre protección de datos personales. Un programa basado en este estándar
debe buscar la implementación de esas políticas y procedimientos, para lo cual, como primera
medida, se requiere contar con el compromiso de los sujetos obligados, derivado de una cultura de
respeto a la protección de datos personales que recoge o trata. En este sentido, la organización,
atendiendo a su tamaño y estructura, así como al tipo de información personal a la que le realiza
tratamiento, debe comprometer recursos económicos y de personal una vez que decide emprender el
camino hacia la implementación de un Programa Integral de Gestión de Datos Personales.”
Como parte de dicho programa y para implementar prácticas responsables en materia de protección
de datos personales, la Guía parte de la necesidad del apoyo y compromiso de la alta dirección y/o la
gerencia, que debe:
En cuanto a los controles que debe incluir el Programa Integral de Gestión de Datos Personales para
asegurar que las políticas adoptadas se implementen en la práctica, la Guía menciona los siguientes:
98
Ya citada
99
Véase la Guía en las págs. 9 y siguientes.
100
Apartado 2.1 de la Guía, pág. 14.
53
Principios y deberes en materia de Protección de Datos Personales
2. Inventario de las bases de datos con información personal: Ya que quienes tratan datos
personales “deben conocer qué datos personales almacenan, cómo los utilizan y si
realmente los necesitan, teniendo en cuenta la finalidad para la cual los recolectan”101
3. Políticas: Son “políticas internas que dispongan obligaciones en virtud de la ley y dárselas
a conocer a los empleados”, a través de las que se implementan los principios de la
protección de datos personales. Entre las reglas que deben contener dichas políticas, tal y
como indica la Guía102 en este punto, están las relativas a:
101
Véase el apartado 2.2 de la Guía, pág. 14.
102
Apartado 2.3 de la Guía pág. 15.
103
Apartado 2.4 de la Guía, pág. 16.
104
Véase la Guía en las páginas 17 y 18.
54
Principios y deberes en materia de Protección de Datos Personales
a. Disposiciones que incluyan requisitos para que los Encargados cumplan con las
normas colombianas de protección de datos, en general, y las políticas de
tratamiento del Responsable, en particular. De la misma manera, considerar
mecanismos para que el Encargado reporte al Responsable los incidentes de
seguridad de la información.
e. Acuerdos con los Encargados y sus empleados aceptando que cumplirán con las
políticas y protocolos del Responsable del Tratamiento.
105
Apartado 2.5 de la Guía, págs. 18 y 19.
106
Apartado 2.6 de la Guía, págs. 19 y 20.
107
Apartado 2.7 de la Guía, págs. 20 y 21.
55
Principios y deberes en materia de Protección de Datos Personales
Además, para asegurar la efectividad del Programa Integral de Gestión de Datos Personales, es
necesario que se realice una evaluación revisión constante. A esta cuestión le dedica una sección109
la Guía para la implementación del Principio de Responsabilidad Demostrada (Accountability), siendo
dos los aspectos fundamentales para “supervisar, evaluar y revisar” el programa y que consisten en:
Se trata, por tanto, de que a través de las medidas previstas en el Programa Integral o Sistema de
Gestión de Datos Personales o en cualquier instrumento adoptado e implementado por quien trata
datos personales, ya sea como responsable o encargado del tratamiento, si bien la responsabilidad
última es del primero, se pueda demostrar el cumplimiento ante todas las partes interesadas, entre
las que quedan incluidas el titular de los datos personales, la autoridad garante en materia de
protección de datos y otras autoridades competentes, tanto administrativas como judiciales, así como
accionistas, inversores u otros.
En definitiva, la adopción e implementación de este principio implica que “[l]a apuesta que hace una
organización por implementar estándares elevados de protección de datos personales en su
organización, y desarrollar un Programa Integral de Gestión de Datos Personales, genera beneficios
para la organización y se traduce en una mayor protección de datos individuos.”110
Dicha obligación se extiende al encargado del tratamiento a través del instrumento jurídico, ya sea un
contrato, acuerdo, convenio, cláusula contractual u otro. Dicho instrumento jurídico permitirá, en su
caso, asegurar el cumplimiento a lo largo de toda la cadena de contratación que implique el
tratamiento de datos personales en cualquiera de las fases del mismo o a lo largo del ciclo de vida de
los datos personales.
108
Apartado 2.8 de la Guía, pág. 21.
109
Véase la sección IV de la citada Guía, págs. 22 y 23.
110
Véase la Guía, ya citada, en la página 7.
56
Principios y deberes en materia de Protección de Datos Personales
A nivel internacional, cabe mencionar que esta es una cuestión que se está planteando en relación
con algunos servicios, como por ejemplo, el cómputo en la nube y a la que también está prestando
atención la propuesta de Reglamento General de Protección de Datos en la Unión Europea.
En cuanto al cómputo en la nube, puede prestarse atención, por ejemplo, al informe publicado por la
Unidad Reguladora y de Control de Datos Personales111 sobre el Análisis de la Norma ISO/IEC
27.018 desde la perspectiva de la Protección de Datos Personales112, en el que se hace referencia al
esquema básico previsto en dicho estándar internacional113 en virtud del que el cliente de los servicios
de cómputo en la nube es considerado como responsable del tratamiento y el proveedor de dichos
servicio es el encargado del tratamiento y se indica que:
Es decir, al contratar servicios que impliquen acceso a datos personales, entre los que se encuentran
los de cómputo en la nube, el responsable debe considerar que:
Un proveedor de servicios de cómputo en la nube que diseña sus servicios para que tanto él
como su cliente estén en condición de cumplir con la normatividad sobre protección de datos
personales y privacidad; adopte medidas para proteger de manera efectiva los datos
personales durante la prestación de sus servicios y, además, proporcione al cliente información
y recursos para empoderarle de manera que pueda tomar decisiones tanto en relación con la
111
Sobre la que puede verse más información en http://datospersonales.gub.uy/
112
De mayo de 2015 y disponible en http://datospersonales.gub.uy/inicio/institucional/noticias/informe+norma+iso
113
La ISO/IEC 27018 Information technology -- Security techniques -- Code of practice for protection of personally identifiable
information (PII) in public clouds acting as PII processors, es el primer estándar internacional sobre privacidad en la nube. Sobre el
mismo puede verse más información, en inglés, en http://www.iso.org/iso/catalogue_detail.htm?csnumber=61498
114
Pág. 7 del citado informe.
57
Principios y deberes en materia de Protección de Datos Personales
Es así que el responsable del tratamiento, cuando decide hacer uso de los servicios de un encargado
del tratamiento para que trate datos personales en su nombre, tiene que buscar a uno que le permita,
concretando las garantías necesarias en el correspondiente instrumento jurídico, asegurar un buen
gobierno y gestión de la protección de datos personales116.
115
Maqueo Ramírez, María Solange; Moreno González, Jimena y Recio Gayo, Miguel (2014), Lineamientos de Protección de Datos en el
Cómputo en la Nube: Parámetros para su elaboración, Centro de Investigación y Docencia Académicas (CIDE), México. Pág. 53.
Disponible en https://cidecyd.files.wordpress.com/2014/09/white-paper-lineamientos-proteccion-datos-computo-nube-mx-18-sept-14-
def.pdf
116 En este sentido, referido al cómputo en la nube aunque es aplicable también a otros servicios que impliquen un tratamiento de datos
personales por un encargado del tartamiento, el Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE, al que ya se ha hecho
referencia, en su Dictamen 5/2012 sobre computación en la nube, recomienda específicamente que: “el responsable del tratamiento debe
elegir un proveedor que garantice el cumplimiento de la legislación sobre protección de datos. Debe prestarse una atención especial a las
características de los contratos, que deberán incluir una serie de garantías de protección de datos normalizadas.” Dictamen 5/2012 sobre la
computación en la nube, WP 196, adoptado el 1 de julio de 2012. Pág. 10. Disponible, en español, en la dirección de Internet
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_es.pdf
117
Ya citada.
118
Ya citada.
119
En lo sustancial, dicho artículo, conforme a la propuesta de la Comisión Europea, indica que:
“Artículo 26 Encargado del tratamiento
1. Cuando una operación de tratamiento vaya a ser llevada a cabo por cuenta de un responsable del tratamiento, este
elegirá un encargado del tratamiento que ofrezca garantías suficientes para implementar medidas y procedimientos técnicos
58
Principios y deberes en materia de Protección de Datos Personales
El principio de privacidad desde o por diseño (en inglés, “privacy by default”) ha sido reconocido a
nivel internacional120, aunque el mismo no se encuentra previsto específicamente en la normativa de
muchos países. Este principio “tiene por objeto servir como aproximación de manera que los nuevos
modelos o prácticas de negocio, las especificaciones tecnológicas y las infraestructuras físicas
y organizativos apropiados, de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento y
garantice la protección de los derechos del interesado, en particular en lo que respecta a las medidas de seguridad técnica y
organizativas que rigen el tratamiento que vaya a efectuarse, y velará por que se cumplan dichas medidas.
2. La realización del tratamiento por un encargado se regirá por un contrato u otro acto jurídico que vincule al encargado del
tratamiento con el responsable del tratamiento y que disponga, en particular, que el encargado del tratamiento:
a) actuará únicamente siguiendo instrucciones del responsable del tratamiento, en particular cuando la transferencia de los
datos personales utilizados esté prohibida;
b) empleará únicamente personal que se haya comprometido a respetar la confidencialidad o esté sujeto a una obligación
legal de confidencialidad;
c) tomará todas las medidas necesarias de conformidad con lo dispuesto en el artículo 30;
d) solo recurrirá a otro encargado del tratamiento con la autorización previa del responsable del tratamiento;
e) en la medida de lo posible, y teniendo en cuenta la naturaleza del tratamiento, creará, de acuerdo con el responsable del
tratamiento, las condiciones técnicas y organizativas necesarias para permitir al responsable del tratamiento cumplir su
obligación de dar curso a las solicitudes que le dirijan los interesados en el ejercicio de sus derechos establecidos en el
capítulo III;
f) ayudará al responsable del tratamiento a garantizar el cumplimiento de las obligaciones previstas en los artículos 30 a 34;
g) transmitirá todos los resultados al responsable del tratamiento al término de este y se abstendrá de someter los datos
personales a otros tratamientos;
h) pondrá a disposición del responsable del tratamiento y de la autoridad de control toda la información necesaria para
controlar el cumplimiento de las obligaciones establecidas en el presente artículo.
3. El responsable y el encargado del tratamiento documentarán por escrito las instrucciones del responsable y las
obligaciones del encargado contempladas en el apartado 2.
4. Si un encargado del tratamiento trata datos personales sin seguir las instrucciones del responsable del tratamiento, el
encargado será considerado responsable del tratamiento con respecto a ese tratamiento y estará sujeto a las normas
aplicables a los corresponsables del tratamiento establecidas en el artículo 24.”
120
Al respecto, puede verse, por ejemplo, la Resolución sobre Privacidad por Diseño, adoptada durante la 32ª Conferencia Internacional
de Autoridades de Protección de Datos y Privacidad, celebrada en Jerusalén (Israel) del 27 al 29 de octubre de 2010. Disponible, en inglés,
en el vínculo electrónico http://www.justice.gov.il/NR/rdonlyres/F8A79347-170C-4EEF-A0AD-
155554558A5F/26502/ResolutiononPrivacybyDesign.pdf También el artículo 23 de la propuesta de Reglamento del Parlamento Europeo
y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación
de estos datos (Reglamento general de protección de datos), COM(2012) 11 final, se refiere a los principios de privacidad desde el diseño
y por defecto.
La propuesta d Reglamento general de protección de datos, presentada por la Comisión Europea el 25 de enero de 2012, puede verse en el
vínculo electrónico http://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:52012PC0011&qid=1445182738440&from=ES
Una versión en inglés, que incluye la tabla comparativa entre la propuesta de la Comisión Europea, la posición del Parlamento Europeo y
la aproximación general adoptada por el Consejo de la Unión Europea, además de los comentarios oportunos del Supervisor Europeo de
Protección de Datos puede verse en
https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2015/15-07-
27_GDPR_Recommendations_Annex_EN.pdf
59
Principios y deberes en materia de Protección de Datos Personales
Como explica la Dra. Ann Cavoukian, que desarrolló este principio en los años 90, la privacidad por
diseño “promueve la visión de que el futuro de la privacidad no puede ser garantizada sólo por
cumplir con los marcos regulatorios; más bien, idealmente el aseguramiento de la privacidad debe
convertirse en el modo de operación predeterminado de una organización.”122
La privacidad desde el diseño implica incluir controles relativos a la protección de datos personales
desde el momento mismo en el que se define la arquitectura de un sistema de información, un
modelo de negocio o las prácticas del mismo que impliquen el tratamiento de datos personales.
La privacidad desde el diseño se basa en siete principios fundamentales123, que son los siguientes:
1. Proactivo, no Reactivo; “El enfoque de Privacidad por Diseño (PbD por sus siglas en Inglés)
Preventivo no Correctivo está caracterizado por medidas proactivas, en vez de reactivas.
Anticipa y previene eventos de invasión de privacidad antes de que
estos ocurran. PbD no espera a que los riesgos se materialicen, ni
ofrece remedios para resolver infracciones de privacidad una vez
que ya ocurrieron – su finalidad es prevenir que ocurran. En
resumen, Privacidad por Diseño llega antes del suceso, no
después.”
2. Privacidad como la “Todos podemos estar seguros de una cosa – ¡Lo predeterminado
Configuración es lo que manda! La Privacidad por Diseño busca entregar el
máximo grado de privacidad asegurándose de que los datos
121 Véase el estudio de GEV, Asesores Internacionales, S.C. (2013) Privacy by Design para fomentar la figura del
encargado, Estudios del PROSOFT. Disponible en
https://prosoft.economia.gob.mx/Imagenes/ImagenesMaster/Estudios%20Prosoft/FREF_23.pdf
122
Ann Cavoukian, Privacy by Design, Los 7 Principios Fundamentales. Disponible en
https://www.privacybydesign.ca/content/uploads/2009/08/7foundationalprinciples-spanish.pdf
123
Véase la nota a pie de página anterior.
60
Principios y deberes en materia de Protección de Datos Personales
6. Visibilidad y “Privacidad por Diseño busca asegurar a todos los involucrados que
Transparencia – cualquiera que sea la práctica de negocios o tecnología involucrada,
Mantenerlo Abierto esta en realidad esté operando de acuerdo a las promesas y
objetivos declarados, sujeta a verificación independiente. Sus partes
componentes y operaciones permanecen visibles y transparentes, a
61
Principios y deberes en materia de Protección de Datos Personales
7. Respeto por la Privacidad “Por encima de todo, la Privacidad por Diseño requiere que los
de los Usuarios – arquitectos y operadores mantengan en una posición superior los
Mantener un Enfoque intereses de las personas, ofreciendo medidas tales como
Centrado en el Usuario predefinidos de privacidad robustos, notificación apropiada, y
facultando opciones amigables para el usuario. Hay que mantener
al usuario en el centro de las prioridades.”
En la práctica, este principio implica que “[d]esde una base de datos de clientes o recursos humanos,
pasando por aplicación (en inglés, ´app´), hasta una red social, son algunos ejemplos de casos en los
que la privacidad por diseño es fundamental ya que, en caso contrario, podrían darse situaciones en
las que un mal diseño o una gestión inadecuada de los datos personales dé lugar, por una parte, a
una sanción en caso de que se verifique un incumplimiento de la normatividad sobre protección de
datos personales y, por otra parte, al propio fracaso del negocio ya que los controles necesarios no
fueron considerados en el diseño del sistema de información, producto o servicio correspondiente.”124
Es así que, considerar la protección de datos personales desde el comienzo permite fomentar la
confianza de los titulares de los datos personales y, al mismo tiempo, puede dar lugar a una ventaja
competitiva ya que una tecnología que se desarrolla o un negocio que se realiza han sido diseñados
considerando altos estándares en protección de datos personales.
124
Privacy by Design para fomentar la figura del encargado, ya citada. Pág. 17.
125
Ya citada.
62
Principios y deberes en materia de Protección de Datos Personales
“El responsable del tratamiento implementará mecanismos con miras a garantizar que,
por defecto, solo sean objeto de tratamiento los datos personales necesarios para cada fin
específico del tratamiento y, especialmente, que no se recojan ni conserven más allá del
mínimo necesario para esos fines, tanto por lo que respecta a la cantidad de los datos como a
la duración de su conservación. En concreto, estos mecanismos garantizarán que, por defecto,
los datos personales no sean accesibles a un número indeterminado de personas.”
Es decir, cuando el responsable del tratamiento, por ejemplo, desarrolla una aplicación (“app”), se
prepara un proyecto de negocio o se plantea cualquier otra actividad que implica el tratamiento de
datos personales, debe hacerse de manera que se asegure el derecho a la protección de datos
personales a lo largo del ciclo de vida de los mismos, en todas y cada una de las fases del
tratamiento. Se trata así de que la protección de datos personales sea considerada desde el principio,
antes de llegar a tratar los datos personales, lo que permitirá impulsar un alto nivel de protección de
datos personales generando así la confianza necesaria.
En la práctica, si por defecto, una aplicación, un vestible (en inglés, “wearable”) o un proyecto, entre
otros, ha incluido mecanismos, tales como controles, que por defecto sirvan para proteger la
protección de datos personales, se podrá asegurar mejor el derecho a la protección de datos
personales.
126
En concreto, véase el artículo 23 de la propuesta de Reglamento general de protección de datos en la Unión Europea, ya citada.
63
Principios y deberes en materia de Protección de Datos Personales
Por lo tanto, el principio de privacidad por defecto es también una muestra de compromiso con la
protección de datos personales cuando se desarrolla una aplicación, tecnología o un proyecto de
negocio que implica el tratamiento de datos personales. Es así que quien trata los datos personales
tendrá en consideración la protección de los datos personales, asegurando así el derecho a la
protección de datos personales desde el inicio de su actividad, y la persona a quien se refieren los
datos personales, su titular, encontrará en la práctica que este principio supone que el software,
aplicación, vestible o negocio, entre otros, que va a tratar los datos personales lo hace de forma
respetuosa y asegurando su derecho a la protección de datos personales.
La confidencialidad se refiere a guardar secreto o sigilo sobre los datos personales objeto de
tratamiento.
El informe del CJI de la OEA sobre Privacidad y Protección de Datos, ya mencionado, incluye
también como principio el deber de confidencialidad y, con carácter general, indica que “[l]os datos
personales no deben divulgarse, ponerse a disposición de terceros ni emplearse para otros
propósitos que no sean aquellos para los cuales se obtuvieron, excepto con el conocimiento o
consentimiento de la persona en cuestión o bajo autoridad de la ley.”127
En relación con este principio, el informe explica que el mismo implica que el responsable del
tratamiento “se cerciore de que no se proporcionen tales datos (ni se pongan a disposición por otros
medios) a personas o entidades excepto con el conocimiento o consentimiento de la persona
afectada, en consonancia con las expectativas razonables de la persona afectada o por mandato de
la ley.” Y también que “los datos personales no se usen con fines que sean incompatibles con el fin
original para el cual se recopilaron los datos. Estas responsabilidades emanan de la naturaleza
misma de los datos personales y no dependen de afirmaciones de las personas afectadas.”128
Al mismo se refieren también los Estándares Internacionales sobre Protección de Datos Personales y
Privacidad, que dedican su artículo 21 al mismo indicando que “[l]a persona responsable y quienes
intervengan en cualquier fase del tratamiento de los datos de carácter personal deberán respetar la
confidencialidad de los mismos, obligación que subsistirá aun después de finalizar sus relaciones con
el interesado o, en su caso, con la persona responsable.”
127
Véase la página 11 del citado informe.
128
Págs. 11 y 12 del informe.
129
Pág. 17.
64
Principios y deberes en materia de Protección de Datos Personales
Como se explica en la Guía del INAI para cumplir con los principios y deberes de la LFPDPPP130, este
deber “implica la obligación de guardar secreto respecto de los datos personales que son tratados. La
confidencialidad debe cumplirse para evitar causar un daño a su titular. De no ser así, un tercero no
autorizado podría tener acceso a los datos personales.
Es así que “cuando se tratan datos personales, el responsable tiene que adoptar medidas para evitar
que quienes tengan acceso a éstos divulguen dicha información. Incluso la obligación de
confidencialidad tiene que hacerse cumplir una vez que finalice la relación contractual, laboral o de
otra naturaleza, entre el responsable del tratamiento y quien tenga acceso a los datos personales
para el desarrollo de las tareas o funciones que se le hubieran encomendado.”131
La Guía del INAI también lista las siguientes obligaciones, a cumplir y hacer cumplir por el
responsable del tratamiento, en relación con el deber de confidencialidad:
“1. Guardar confidencialidad en cualquier fase del tratamiento de los datos personales,
incluso después de finalizar la relación con el titular, y
2. Verificar que los encargados también guarden confidencialidad de los datos personales
que tratan a nombre y por cuenta del responsable, aun después de concluida la relación
con éste.”132
Por tanto, el deber de confidencialidad, que implica que el responsable del tratamiento tenga que
adoptar medidas al respecto, tiene que garantizarse a lo largo del ciclo de vida de los datos
personales, en todas las fases del tratamiento, e incluso una vez finalizado el tratamiento. A tal fin, es
conveniente que el responsable adopte e implemente tanto una política de confidencialidad como
otras medidas, tales como contratos o cláusulas contractuales a firmar con quienes intervengan en el
tratamiento de datos personales, ya sean empleados de dicho responsable o encargados del
tratamiento que le presten algún servicio.
La seguridad en el tratamiento de los datos personales es también una cuestión fundamental ya que
se protege, con carácter general, contra su acceso no autorizado e incluso su pérdida. Al mismo
tiempo, las medidas de seguridad que se adopten van a servir, junto con los principios y demás
deberes aplicables, para asegurar el derecho a la protección de los datos personales.
En relación con la seguridad de los datos personales, las Directrices para la armonización de la
protección de datos en la Comunidad Iberoamericana indican, con carácter general, que “[d]eberán
adoptarse las medidas técnicas y organizativas que resulten necesarias para proteger los datos
130
Ya citada.
131
Guía del INAI, ya mencionada, página 69.
132
Guía del INAI. Pág. 70.
65
Principios y deberes en materia de Protección de Datos Personales
Como explica, al respecto, la Guía del INAI, el deber de seguridad “se refiere a la obligación de
establecer y mantener medidas de seguridad tanto técnicas, físicas y administrativas, que permitan
proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o
tratamiento no autorizado.”134
En relación con la seguridad, el Dictamen con proyecto de Decreto por el que se expide la LFPDPPP,
indica que “la seguridad en el tratamiento de los datos de carácter personal es vital para garantizar de
forma efectiva la privacidad de las personas, estableciendo controles o medidas que impidan el
acceso indebido a la información.”135
El informe del CJI de la OEA se refiere a la seguridad como uno de los principios aplicables al
tratamiento de datos personales e indica, con carácter general, que “[l]os datos personales deben ser
protegidos mediante salvaguardias razonables y adecuadas contra accesos no autorizados, pérdida,
destrucción, uso, modificación o divulgación.”136
“tienen el deber claro de tomar las medidas prácticas y técnicas que sean necesarias
para proteger los datos personales que obren en su poder o bajo su custodia (o de los cuales
sean responsables) y cerciorarse de que tales datos personales no sean objeto de acceso,
pérdida, destrucción, uso, modificación o divulgación excepto con el conocimiento o
consentimiento de la persona o de otra autoridad legítima.
Y también que:
133
Pág. 17.
134
Guía ya citada, pág. 72.
135
Pág. 41 del Dictamen.
136
Pág. 12 del informe, ya citado.
66
Principios y deberes en materia de Protección de Datos Personales
Evidentemente, para los datos más sensibles se requiere un nivel más alto de
protección. Algunas de las razones para conferir mayor protección podrían ser, por ejemplo,
los riesgos de usurpación de la identidad, pérdidas económicas, efectos negativos en la
calificación crediticia, daños a bienes y pérdida del empleo o de oportunidades comerciales o
profesionales.
El Dictamen con proyecto de Decreto por el que se expide la LFPDPPP explica también que “[l]as
medidas de seguridad no sólo deben referirse al funcionamiento de los sistemas de información en
que se traten y almacenen datos de carácter personal -tales como la identificación y autenticación o el
establecimiento de bitácoras, también conocidos como “logs” de acceso a los datos, entre otras-, sino
que además deben necesariamente complementarse con medidas físicas y administrativas dentro de
la organización que, por objeto, permitan el control de acceso físico a los centros de proceso de datos
o la entrada y salida de los soportes en que puedan almacenarse datos de carácter personal y la
formación de una cultura de seguridad integral.
Así, tanto la persona o entidad responsable como los encargados y terceros –estos últimos vía
contractual- deben proteger los datos de carácter personal que sometan a tratamiento mediante la
implementación de medidas técnicas, físicas y organizativas que resulten idóneas para garantizar su
integridad, confidencialidad y disponibilidad.”137
137
Pág. 42.
67
Principios y deberes en materia de Protección de Datos Personales
1. Número de titulares;
2. Vulnerabilidades previas ocurridas en los sistemas de tratamiento;
3. Riesgo por valor potencial cuantitativo y cualitativo por tratamiento no autorizado;
4. Demás factores que pueden incidir en el riesgo que resulten de otra normativa aplicable.
II. Determinar las funciones y obligaciones de las personas que traten datos personales;
III. Contar con un análisis de riesgos de datos personales que consiste en identificar peligros y
estimar los riesgos a los datos personales;
IV. Establecer las medidas de seguridad aplicables a los datos personales e identificar aquéllas
implementadas de manera efectiva;
VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes,
derivadas del análisis de brecha;
La Guía del INAI hace referencia a estos factores, en virtud de la normatividad aplicable en México, en particular el Reglamento de la
138
LFPDPPP.
139
Artículo 61.
68
Principios y deberes en materia de Protección de Datos Personales
Las medidas de seguridad deben revisarse o actualizarse, pudiendo utilizar como criterios al respecto
los indicados por el Reglamento de la LFPDPPP en su artículo 62, que son los siguientes:
“I. Se modifiquen las medidas o procesos de seguridad para su mejora continua, derivado de
las revisiones a la política de seguridad del responsable;
IV. Exista una afectación a los datos personales distinta a las anteriores.”
Y en el caso de que los datos personales tratados sean sensibles, el citado artículo concluye indicando
que “los responsables procurarán revisar y, en su caso, actualizar las relaciones correspondientes una
vez al año.”
En relación con la seguridad hay que considerar también, de manera específica, las violaciones o
vulneraciones de seguridad. Al respecto, el informe del CIJ de la OEA indica que:
69
Principios y deberes en materia de Protección de Datos Personales
correspondientes a la defensa de sus derechos.” Dicho artículo ha sido desarrollado por los artículos
63 a 66 del Reglamento de la LFPDPPP que, entre otras cuestiones, se refieren a la notificación, la
información mínima a proporcionar al titular de los datos personales así como a las medidas
correctivas.
De producirse la vulneración, como indica la Guía del INAI “el responsable, en primer lugar, debe
analizar las causas por las cuales se presentó; y en segundo lugar, a efecto de evitar que la
vulneración se repita”140.
En definitiva, conforme indica la Guía del INAI, las medidas de seguridad implican que “el
responsable tiene las siguientes obligaciones en torno al deber de seguridad:
3. Tomar en cuenta el riesgo inherente por tipo de dato personales; las posibles
consecuencias para los titulares por una vulneración; la sensibilidad de los datos personales
tratados y el desarrollo tecnológico;
4. Considerar las acciones que establece el artículo 61 del Reglamento de la LFPDPPP pata
la implementación y mantenimiento de las medidas de seguridad;
5. Actualizar las medidas de seguridad implementadas, cuando así se requiera, según los
criterios antes descritos;
140
Pág. 75.
70