Datos personales

Igualmente, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, publicada de manera más reciente, el 5 de julio de 2010, en su Capítulo Primero, denominado “Disposiciones Generales”, define a los datos personales en los mismos términos que la Ley Federal de Transparencia ya citada.  Sin embargo, precisa en particular, los datos personales sensibles, como “Aquellos datos personales que afecten la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas y preferencia sexual”.

La primera ley antes referida, regula la protección de los datos personales respecto de los “sujetos obligados” en el ámbito federal, estatal y municipal, cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos.  Los sindicatos y cualquier otra persona física o moral que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito federal, estatal y municipal serán responsables de los datos personales, de conformidad con la normatividad aplicable para la protección de datos personales en posesión de los particulares.

De acuerdo con el mismo ordenamiento, los sujetos obligados son responsables de los datos personales para lo cual se fija un marco de protección donde destacan los siguientes puntos:

1. El Estado garantizará la privacidad de los individuos y deberá velar porque terceras personas no incurran en conductas que puedan afectarla arbitrariamente.
2. El derecho a la protección solamente se limitará por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.
3. No podrán tratarse datos personales sensibles, salvo que se cuente con el consentimiento expreso de su titular o se trate de los casos establecidos en esta Ley.
4. En el tratamiento de datos personales de menores de edad se deberá privilegiar el interés superior de la niña, el niño y el adolescente, en términos de las disposiciones legales aplicables.
5. Para la interpretación de las disposiciones de la mencionada Ley, se podrán tomar en cuenta los criterios, determinaciones y opiniones de los organismos nacionales e internacionales, en materia de protección de datos personales.
6. El responsable deberá establecer y mantener las medidas de seguridad de carácter administrativo, físico y técnico para la protección de los datos personales, que permitan protegerlos contra daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, así como garantizar su confidencialidad, integridad y disponibilidad.
7. En todo momento el titular o su representante podrán solicitar al responsable, el acceso, rectificación, cancelación u oposición al tratamiento de los datos personales que le conciernen, también llamados derechos ARCO. El ejercicio de cualquiera de estos derechos no es requisito previo, ni impide el ejercicio de otro.

Asimismo, los sujetos obligados no pueden difundir, distribuir o comercializar los datos personales contenidos en los sistemas de información, desarrollados en el ejercicio de sus funciones, salvo que haya mediado el consentimiento expreso, por escrito o por un medio de autenticación similar, de los individuos a que haga referencia la información; salvo las siguientes excepciones (en las que no se requiere consentimiento de los individuos):

1. Por razones estadísticas, científicas o de interés general previstas en ley, previo procedimiento por el cual no puedan asociarse los datos personales con el individuo a quien se refieran.
2. Cuando se transmitan entre sujetos obligados o entre dependencias y entidades, siempre y cuando los datos se utilicen para el ejercicio de facultades propias de los mismos.
3. Cuando exista una orden judicial.
4. Para el reconocimiento o defensa de derechos del titular ante autoridad competente.
5. A terceros cuando se contrate la prestación de un servicio que requiera el tratamiento de datos personales.  Dichos terceros no podrán utilizar los datos personales para propósitos distintos a aquéllos para los cuales se les hubieren transmitido.
6. Cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes.
7. Cuando los datos personales sean necesarios para efectuar un tratamiento para la prevención, diagnóstico, la prestación de asistencia sanitaria.
8. Cuando los datos personales figuren en fuentes de acceso público.
9. Cuando los datos personales se sometan a un procedimiento previo de disociación.
10. Cuando el titular de los datos personales sea una persona reportada como desaparecida en los términos de la ley en la materia

Por su parte, la Ley de Protección de Datos Personales en Posesión de los Particulares, regula el tratamiento de datos personales por parte de los particulares.

Primeramente, la ley establece que los responsables en el tratamiento de datos personales deben observar los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, previstos en la ley.

Según el citado dispositivo legal, los datos personales debe no deben obtenerse a través de medios engañosos o fraudulentos, sino que deben recabarse y tratarse de manera lícita, y que todo tratamiento de datos personales estará sujeto al consentimiento expreso o tácito de su titular, salvo las excepciones de ley.

Igualmente, establece las bases siguientes:

1. Tratándose de datos de carácter financiero, se requiere el consentimiento expreso del titular.
2. Tratándose de datos personales sensibles, el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca.
3. No podrán crearse bases de datos que contengan datos personales sensibles, sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el sujeto regulado.
4. No será necesario el consentimiento para el tratamiento de los datos personales cuando: esté previsto en una ley; cuando los datos figuren en fuentes de acceso público; cuando se sometan a un procedimiento previo de disociación; cuando se tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable; cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes; cuando sean indispensables para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la Ley General de Salud y demás disposiciones jurídicas aplicables y que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente; o cuando se dicte resolución de autoridad competente.
5. El responsable procurará que los datos personales contenidos en las bases de datos sean pertinentes, correctos y actualizados para los fines para los cuales fueron recabados.
6. Cuando los datos de carácter personal hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas por el aviso de privacidad y las disposiciones legales aplicables, deberán ser cancelados y el responsable de la base de datos estará obligado a eliminar la información relativa al incumplimiento de obligaciones contractuales, una vez que transcurra un plazo de setenta y dos meses, contado a partir de la fecha calendario en que se presente el mencionado incumplimiento.
7. El tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas en el aviso de privacidad.  Si el responsable pretende tratar los datos para un fin distinto que no resulte compatible o análogo a los fines establecidos en aviso de privacidad, se requerirá obtener nuevamente el consentimiento del titular.
8. El responsable tendrá la obligación de informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, a través del aviso de privacidad.
9. Cuando los datos no hayan sido obtenidos directamente del titular, el responsable deberá darle a conocer el cambio en el aviso de privacidad.

Ahora bien, la Constitución Mexicana, regula a los datos personales, en los siguientes preceptos:

Artículo 16: Establece en su párrafo segundo el derecho de toda persona a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.

Artículo 20: En el apartado C, inciso V, señala como un derecho de la víctima u ofendido del delito, el resguardo de su identidad y otros datos personales cuando se trate de menores de edad, de delitos de violación, trata de personas, secuestro o delincuencia organizada; y cuando a juicio del juzgador sea necesario para su protección, salvaguardando en todo caso los derechos de la defensa.

Artículo 73: En la fracción XXIX-O, establece que es facultad del Congreso, legislar en materia de protección de datos personales en posesión de particulares; y en la fracción XXIX-S, se señala la facultad del Congreso para expedir las leyes generales reglamentarias que desarrollen los principios y bases en materia de transparencia  gubernamental, acceso a la información y protección de datos personales en posesión de las autoridades, entidades, órganos y organismos gubernamentales de todos los niveles de gobierno.

Por su parte, el artículo 6º de la Constitución, establece que la Federación contará con un organismo autónomo, especializado, imparcial, colegiado, con personalidad jurídica y patrimonio propio, con plena autonomía técnica y de gestión, que será responsable de garantizar el cumplimiento del derecho de acceso a la información pública y a la protección de datos personales en posesión de los sujetos obligados en los términos que establezca la ley.