En México, en línea con diversos tratados internacionales, se garantiza el respeto a los datos personales como un derecho fundamental. Según lo establecido en el segundo párrafo del artículo 16 de la Constitución Política de los Estados Unidos Mexicanos, «toda persona tiene derecho a salvaguardar sus datos personales, incluyendo acceso, corrección, eliminación, y la posibilidad de expresar objeciones, en los términos establecidos por la ley. La ley también establecerá las circunstancias excepcionales en las que se podrán limitar estos derechos, por motivos de seguridad nacional, disposiciones de orden público, seguridad y salud públicas, o para proteger los derechos de terceros.»
La importancia de los datos personales radica en su vínculo con la privacidad y el honor de las personas, lo que hace que cualquier vulneración de esta información pueda causar daños y perjuicios significativos.
La cuestión de la protección de los datos personales no es simple, ya que las leyes que la regulan involucran términos técnicos y remiten a regulaciones secundarias para su implementación. Por lo tanto, a continuación, se responden algunas preguntas fundamentales que tanto los titulares de los datos personales como los responsables de su manejo deben comprender para adentrarse en esta materia.
Conceptos Fundamentales ¿Cómo se definen los datos personales?
Se considera información referente a una persona física identificada o identificable como datos personales (artículo 3, fracción V de la LFPDPPP).
¿Qué implica un dato personal sensible?
Son datos personales que afectan la esfera íntima del titular o cuyo mal uso podría generar un riesgo significativo para esta persona. Ejemplos incluyen origen étnico o racial, historial de salud, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas y orientación sexual.
¿Qué entidad es responsable de regular este ámbito?
El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).
¿Cuáles son las regulaciones que protegen los datos personales?
Existen dos marcos legales que rigen este tema. Por un lado, está la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), que establece obligaciones para entidades gubernamentales a nivel federal, estatal y municipal, así como para otros organismos y partidos políticos en relación con la protección de datos personales recopilados de los ciudadanos.
Por otro lado, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) regula las responsabilidades que deben cumplir personas físicas y morales de carácter privado al recolectar datos personales de otros individuos. Esto abarca a profesionales como médicos, instituciones financieras, hoteles, restaurantes, tiendas, escuelas privadas, etc. Asimismo, cuenta con un reglamento (RLFPDPPP). Además, se cuentan con otros instrumentos como:
Directrices para el aviso de privacidad. Parámetros de autorregulación en materia de protección de datos personales. Criterios generales para implementar medidas compensatorias sin la autorización expresa del INAI. Directrices para el uso de hiperenlaces o hipervínculos en sitios web del INAI para difundir avisos de privacidad mediante medidas compensatorias.
En este artículo, se enfocará en la LFPDPPP.
¿La protección de datos personales aplica a entidades corporativas?
El artículo 3, fracción IV de la LFPDPPP define los datos personales como información relacionada con una persona física. Aunque el artículo 5 del RLFPDPPP especifica que sus disposiciones no aplican a información de personas morales, la Suprema Corte de Justicia de la Nación ha establecido en dos criterios que las entidades corporativas también pueden tener derecho a la protección de datos personales.
El primer criterio, registrado como «PERSONAS MORALES. TIENEN DERECHO A LA PROTECCIÓN DE LOS DATOS QUE PUEDAN EQUIPARARSE A LOS PERSONALES, AUN CUANDO DICHA INFORMACIÓN HAYA SIDO ENTREGADA A UNA AUTORIDAD» (registro digital: 2005522), determinó que la protección de datos personales puede abarcar información económica, comercial o relacionada con la identidad de las entidades corporativas, si es desconocida para terceros y su revelación podría afectar su desarrollo.
En otra tesis llamada «PERSONAS MORALES. LA TITULARIDAD DE LOS DERECHOS FUNDAMENTALES QUE LES CORRESPONDE DEPENDE DE LA NATURALEZA DEL DERECHO EN CUESTIÓN, ASÍ COMO DEL ALCANCE Y/O LÍMITES QUE EL JUZGADOR LES FIJE» (registro digital: 2005521), la Corte señaló que un juez debe decidir en cada caso si una entidad corporativa puede ejercer derechos en relación con la protección de datos personales.
En resumen, hay un reconocimiento judicial parcial sobre la protección de datos en el ámbito corporativo, pero no está del todo claro y no son criterios vinculantes. Por lo tanto, no existe una obligación legal de aplicar la LFPDPPP a estas entidades.
¿A qué sujetos no les aplica la LFPDPPP?
No aplica a:
- Agencias de información crediticia en casos contemplados por la Ley para Regular las Sociedades de Información Crediticia.
- Personas físicas que recolecten y almacenen datos personales exclusivamente para uso personal y sin fines de divulgación o uso comercial (artículo 2 de la LFPDPPP).
Actores Principales en la Protección de Datos Personales Los actores principales son:
- Titular: La persona a quien pertenecen los datos personales (artículo 3, fracción XVII de la LFPDPPP).
- Responsable: Persona física o jurídica que recopila los datos (artículo 3, fracción XIV de la LFPDPPP).
- Encargado: Persona física o jurídica que no forma parte de la organización del responsable, pero maneja los datos personales en nombre del responsable. A diferencia del responsable, el encargado no decide cómo se tratan los datos, sino que sigue las instrucciones del responsable (artículo 3, fracción IX de la LFPDPPP).
Obligaciones en el Tratamiento de Datos Personales Las obligaciones deben respetarse si los datos se recopilan en:
- Un establecimiento del responsable en México.
- Por un responsable que, aunque no esté en México, está sujeto a la legislación mexicana debido a contratos o leyes internacionales.
- Por un responsable sin presencia en México, pero que utiliza recursos en el país, excepto si estos recursos solo se usan para tránsito sin implicar tratamiento (artículo 5 del RLFPDPPP).
Estas son algunas de las principales consideraciones en torno a la protección de datos personales en México, y es esencial que tanto los titulares como los responsables de estos datos estén informados y cumplan con las regulaciones pertinentes para garantizar la privacidad y seguridad de la información personal.