Hacia una ley de Protección de Datos Personales del Estado de
Coahuila y sus municipios
Oscar Mauricio Guerra Ford
Comisionado del INAI
Marzo 2017
Regulación del derecho a la protección de datos personales en México
Impone una serie de
deberes a los
involucrados en el
tratamiento para
garantizar la protección de
la información personal
El derecho a la protección de datos personales
Derecho fundamental de
tercera generación que
busca la protección de la
persona en relación con el
tratamiento de su
información
Reconoce al ciudadano la facultad de controlar sus
datos personales y la capacidad para disponer y decidir sobre los mismos
(autodeterminación informativa)
Persona física a quien
corresponden los
datos personales
Conceptos clave
Titular
Todos los seres humanos tenemos datos personales
La primer regulación federal en materia
de datos personales fue la
Ley de Transparencia Gubernamental de 2002
Reconoció el derecho de acceso y
rectificación;
Estableció de manera genérica
principios y deberes;
Faculta al IFAI para emitir lineamientos
sobre la forma en la que habrá de
ejercerse el ejercicio del derecho de
acceso y rectificación;
Facultó al IFAI para emitir lineamientos
sobre la forma en que debían protegerse
los datos personales.
Artículo 6° CPEUM.
Derecho a la
Información y
protección de los
datos personales
como límite al acceso
(2007)
•Toda la información en posesión de
cualquier autoridad es pública y sólo
puede ser reservada temporalmente,
por razones de interés público.
•Principio de máxima publicidad.
•La información que se refiere a la
vida privada y los datos personales
será protegida en los términos y
con las excepciones que fijen las
leyes.
•Gratuidad de la información.
•Derecho a la rectificación de datos
personales.
•Sustanciación de procedimientos
ante órganos u organismos
especializados e imparciales.
•Procedimientos ágiles y expeditos.
•Instituto Federal de Acceso a la
Información Pública (IFAI)
•Órganos garantes locales
Regulación constitucional
Datos personales
en posesión del
sector público
En el artículo 16 constitucional
también se reconoce este derecho
El artículo 16 Constitucional reconoce el Derecho
a la protección de datos personales como un derecho
fundamental, independiente del derecho de acceso a la
información, con contenido propio.
1 de junio
de 2009
Toda persona tiene derecho a la protección de sus
datos personales, al acceso, rectificación y
cancelación de los mismos, así como a manifestar
su oposición, en los términos que fije la ley, la cual
establecerá los supuestos de excepción a los
principios que rijan el tratamiento de datos, por
razones de seguridad nacional, disposiciones de orden
público, seguridad y salud públicas o para proteger los
derechos de terceros.
Acceder a mis datos personales
Solicitar el Aviso de Privacidad
Requerir información relacionada con las condiciones generales del tratamiento
Corregir datos personales inexactos o incorrectos
Supresión o eliminación de los datos personales, previo bloqueo. El bloqueo es por el plazo mientras prescriben las responsabilidades derivadas del tratamiento.
Solicitar el cese en el tratamiento de los datos personales por razones legítimas y de manera justificada, o bien, para fines específicos.
En México la constitución
reconoce el derecho a ejercer 4
derechosAcceso
Oposición
Cancelación
Rectificación
El Derecho a la protección de datos personales no es absoluto
El artículo 16 constitucional establece límites a la aplicaciónde los principios que rigen el tratamiento de los datos.
• Seguridad nacional• Disposiciones de orden público• Seguridad pública• Salud pública o• Proteger los derechos de terceros.
Artículo 4 de la Ley Federal de Protección de DatosPersonales en Posesión de Particulares establece comolímites
• Protección de la seguridad nacional,• El orden• Seguridad pública• Salud pública• Derechos de terceros
Artículo 73. El Congreso tiene
facultad:
…
XXIX-O. Para legislar en materia de
protección de datos personales en
posesión de particulares.
El 30 de abril de 2009, se adicionó la fracción XXIX-
O al artículo 73 de la Constitución, para quedar
como sigue:
La Constitución específica
Que sólo el Congreso de la Unión podrá
legislar en materia de protección de datos
personales en posesión de los particulares
Desde 2010 los privados deben proteger los datos personales
5 de Julio de 2010 se emite la Ley Federal de Protecciónde Datos Personales en Posesión de Particulares
Continúa vigente
Esta ley es de orden público y de observanciageneral en toda la República y tiene porobjeto la protección de los datos personalesen posesión de los particulares, con lafinalidad de regular su tratamiento legítimo,controlado e informado, a efecto de garantizarla privacidad y el derecho a laautodeterminación informativa de laspersonas.
El 7 de febrero de 2014 se adicionó la fracción XXIX – S al artículo 73
constitucional para adicionar la facultad de
“expedir las leyes generales reglamentarias que desarrollen los principios y
bases en materia de transparencia gubernamental, acceso a la información
y protección de datos personales en posesión de las autoridades,
entidades, órganos y organismos gubernamentales de todos los niveles de
gobierno”.
4 de Mayo de 2015 se publicó en el DOF la Ley General de Transparencia y
Acceso a la Información Pública que en su transitorio tercero indica:
Tercero. En tanto no se expida la ley general en materia de datos personales en
posesión de sujetos obligados, permanecerá vigente la normatividad
federal y local en la materia, en sus respectivos ámbitos de aplicación.
Hacia una Ley General de Protección de Datos Personales
El 26 de enero de 2017 se publicó en el DOF la Ley General de Datos
Entra en vigor al día siguiente de su publicación, 27 de enero de 2017
Las entidades federativas deberán ajustarse a las disposiciones previstas
en la Ley General.
Si el 27 de julio de 2017 no hay normativa estatal compatible con la
presente Ley entra en vigor la Ley General.
Los organismos garantes tienen hasta el 27 de enero de 2018 para emitir
los lineamientos a que se refiere la Ley.
2009
Reformas a
los artículo
6, 16 y 73
Constitución
2002
Ley Federal de
Transparencia
y Acceso a la
Información
Pública
Gubernamental
El DPDP se
reguló como
una restricción
al derecho de
acceso a la
información
(Acceso y
rectificación)
2010
Ley Federal de
Protección de Datos
Personales en Posesión
de Particulares
Se reconoce el
derecho a la
protección de
datos personales
como derecho
independiente
13-dic-16
Diputados
Aprueban
Ley General
de Datos
Personales
Sujetos
Obligados
28-Abril-16
Senado
Aprueban
Ley General
de Datos
Personales
Sujetos
Obligados
Evolución del Derecho a la protección
de datos personales en México
Entra en
vigor al día
siguiente
de la
publicación
6 meses
Para
homologar
legislación
estatal
1 año
para emitir
lineamientos
al INAI
1 año
PNPDP
SNT
Lineamientos
del SNT
Sin plazo
26 de enero de 2017
Nueva etapa del derecho a la
protección de datos
personales
27 de julio
de 2017 27 de
enero de
2018
Ley Federal de Protección de
Datos Personales en Posesión
de los Particulares y su
reglamento.
Actualmente existen 11 leyes especiales para garantizar
la protección de datos personales en posesión de gobierno(Colima, Guanajuato, Oaxaca, Distrito Federal, Tlaxcala,
Campeche, Veracruz, Estado de México, Chihuahua, Durango y
Puebla).
Ámbito Federal - INAI Ámbito local
Sector privadoempresas, profesionistas …
Ley Federal de Transparencia y
Acceso a la información Pública
Gubernamental y su
Reglamento (solicitudes ARCO
presentadas antes del 27 de enero de 2017)
Gobierno FederalSecretarías, etc.
Gobierno EstatalGobierno municipal
Legislación en México(Ámbitos de competencia )
La Ley General de Protección
de Datos PersonalesEn 21 entidades federativas como Coahuila
se regula en la Ley de transparencia y
acceso a la información.
Solicitudes ARCO por entidad federativa en 2015
Entidad
Federativa
Total SIP Datos
2015
Aguascalientes 4.515 4515 0
Baja California 7.923 7923 0
Baja California
Sur 802
799 3
Campeche 24.036 2292 21744
Chiapas 3.331 3331 0
Chihuahua 5.309 5258 51
Coahuila 8.428 8428 0
Colima 22.755 22755 0
Distrito Federal 106.525 96260 10265
Durango 3.463 3450 13
Guanajuato 11.208 11208 0
Guerrero 2.689 2689 0
Hidalgo 3.061 3043 18
Jalisco 37.498 33751 3747
México 17.134 15226 1908
Michoacán 5.095 4997 98
Entidad
Federativa
Total SIP Datos
2015
Morelos 5.626 5536 90
Nayarit 2.144 2144 0
Nuevo León S/D S/D S/D
Oaxaca 5.720 4246 1474
Puebla 8.194 8162 32
Querétaro 5.286 5286 0
Quintana Roo 2.648 2614 34
San Luis Potosí 22.497 20173 2324
Sinaloa 12.299 12299 0
Sonora 8.454 8454 0
Tabasco 21.763 21763 0
Tamaulipas 2.601 2591 10
Tlaxcala 2.345 2341 4
Veracruz 8.786 8758 28
Yucatán 8.434 8434 0
Zacatecas 2.211 2211 0
TOTAL 382.780 340937 41843
Cuentan con Leyes especiales en materia de protección de datos personales
*
*
*
*
*
Es importante recordar que…
El derecho a la protección de datos personales es mucho más que una restricción al derecho de acceso a la información es un…
Derecho a la
protección
de
datos
personales
Derecho de
Acceso a la
Información
El DPDP como limitante del DAI
es sólo una pequeña parte
(esto se legisla en leyes de transparencia
Información confidencial y prueba de interés público)
DERECHO INDEPENDIENTE
VISIÓN LIMITADA
• Reconoce el derecho del titular a
controlar la información que de él se
trata.
• Establece principios a los que debe
sujetarse el tratamiento
• Impone deberes al responsable del
tratamiento no sólo para garantizar la
confidencialidad, sino para asegurar
que hay un tratamiento sujeto a
principios.
• Cuenta con medios de defensa.
A las personas
Novedades de la
Ley General de Protección
de Datos Personales
en Posesión de
Sujetos Obligados
(LGPDPPSO)
Publicada en el
DOF el
26 de enero
de 2017
Esta Ley tiene por objeto
que el derecho a la
protección de datos
personales se ejerza de
manera
efectiva y homogénea
en todas las Entidades
Federativas.
Novedades de la LGPDPPSO
La Ley General de Protección de Datos Personales en Posesión de los
Sujetos Obligados fue publicada en el Diario Oficial de la Federación el 26
de enero de 2017
Cualquier autoridad o
entidad, órgano u organismo de los
poderes Ejecutivo,
Legislativo y Judicial
Órganos autónomos
Partidos políticos
Fideicomisos y fondos
públicos.
El INAI será órgano garante en el
ámbito federal para…
Los sindicatos continuarán siendo sujetos obligados de la Ley Federal de Protección
de Datos Personales en Posesión de Particulares.
Estandarización en la denominación y definición de los sujetos en materia de datos personales.
•Titular.
•Responsable.
•Encargado.
Homogeneidad en la denominación de los medios de impugnación
•Recurso de revisión
•Recurso de inconformidad
Catálogo de responsabilidades administrativas en
materia de protección de datos personales
Novedades de la LGPDPPSO
Reconoce 4
derechos a los
particulares
Establece obligaciones a
los sujetos obligados
1. Acceso
2. Rectificación
3. Cancelación
4. Oposición
1. Licitud
2. Lealtad
3. Consentimiento
4. Finalidad
5. Proporcionalidad
6. Información
7. Calidad
8. Responsabilidad
1. Seguridad
2. Confidencialidad
8 principios 2 deberes
Novedades de la LGPDPPSO
* Además se reconoce
el derecho a la
Portabilidad de datos
Portabilidad de los datos
personales
Derecho del titular de obtener del
responsable una copia de los datos
objeto de tratamiento en formato
electrónico estructurado y comúnmente
utilizado que le permita seguir
utilizándolos.
Se reconoce un nuevo derecho
El SNT deberá emitir lineamientos para el ejercicio de este derecho
Novedades de la LGPDPPSO
Se reconoce el derecho a presentar recurso de revisión ante el INAI en
caso de estar inconforme con la respuesta a las solicitudes ARCO de los
sujetos obligados del ámbito federal.
Dentro del procedimiento del recurso de revisión se reconoce la
posibilidad de conciliar (si ambas partes están de acuerdo)
En caso de estar inconforme con una resolución emitida por el organismo
local se puede presentar recurso de inconformidad ante el INAI.
Además, el INAI puede ejercer la facultad de atracción de los recursos
que considere relevantes por su interés y trascendencia.
Establece mecanismos de defensa en caso de estar inconforme con
la respuesta del sujeto obligado.
1
2
3
4
Novedades de la LGPDPPSO
Se establecen mecanismos preventivos para garantizar la debida
protección de los datos personales
Posibilidad de realizar auditorias previas a petición de los sujetos
obligados
Evaluaciones de impacto a la privacidad
Esquemas de mejores prácticas
Regulación del régimen de transferencias
Novedades de la LGPDPPSO
Novedades de la LGPDPPSO
Si alguien considera que una instancia federal está tratando sus datos
personales en contra de las disposiciones de la Ley podrá denunciar
ante el INAI esta situación. En supuestos diferentes al recurso de
revisión,
El INAI verificará el cumplimiento de la Ley a petición
de parte
El INAI también puede hacer verificaciones de manera
oficiosa
Se reconoce el derecho a denunciar violaciones a la Ley
Resolverá si los sujetos obligados federales cumplieron o no la ley
Estar segura que sus datos personales serán utilizados y cuidadosbajo las mismas reglas mínimas en cualquier parte del país.
Denunciar ante los organismos garantes estatales o el INAI,según corresponda, el uso indebido de sus datos personales.
Defenderse cuando considere vulnerado o restringido su derecho ala protección de datos personales. (Recurso de revisión einconformidad)
Toda persona podrá:
Novedades de la LGPDPPSO
LEY DE ACCESO A LA INFORMACIÓN
PÚBLICA Y PROTECCIÓN DE DATOS
PERSONALES PARA EL ESTADO DE
COAHUILA DE ZARAGOZA
CAPÍTULO SÉPTIMO
LOS DATOS PERSONALES
SECCIÓN PRIMERA DISPOSICIONES GENERALES
SECCIÓN SEGUNDA EL TRATAMIENTO DE LOS DATOS PERSONALES
SECCIÓN TERCERA EL ACCESO, RECTIFICACIÓN, CANCELACIÓN U OPOSICIÓN RESPECTO A LOS DATOS PERSONALES
SECCIÓN CUARTA LOS SUJETOS OBLIGADOS FRENTE AL TRATAMIENTO DE LOS DATOS PERSONALES
En la Ley de Transparencia se dedica un
capítulo a la regulación del derecho a la
protección de datos personales
Artículos 74 al 111.
Aciertos de la Ley de Transparencia de Coahuila
Artículo 58. El acceso a la información pública será restringido excepcionalmente,
cuando por razones de interés público, ésta sea clasificada como reservada. Se
clasificará como información reservada:…
IV. La que pueda poner en riesgo la implementación, administración y seguridad de los
sistemas de datos personales;
Artículo 67. La información que se refiere a la vida privada y los datos personales
mantendrá el carácter de confidencial de manera indefinida y sólo podrán tener acceso a
ellas (sic) los titulares de la misma, o sus representantes legales, y los servidores
públicos que requieran conocerla para el debido ejercicio de sus funciones.
Los sujetos obligados deberán tomar las medidas pertinentes para proteger la
información que refiere a la vida privada y los datos personales de menores de edad que
obren en sus archivos.
• Se sugiere precisar que esto se hará en términos de lo que disponga la ley especial.
Artículo 70. No se considerará como información confidencial:
I. Aquella que se encuentre en registros públicos o fuentes de acceso público, en cuyo
caso se le hará saber al solicitante la fuente, el lugar y la forma en que puede consultar
esta información; y
II. La que por ley, tenga el carácter de pública.
Artículo 85. Los datos personales que hayan sido objeto de tratamiento, deberán ser
suprimidos una vez que concluya el plazo de conservación establecido en las
disposiciones aplicables. Los datos personales sólo podrán ser conservados mientras
subsista la finalidad para la que fueron obtenidos.
Sugerencias para la ley estatal de protección de datos personales
Se sugiere no retomar las siguientes disposiciones en la Ley especial de datos
personales
Es contrario a la Ley establecer que el nombre no es un dato personal. (Art. 3
fracción I). En ciertos contextos es un dato personal de carácter público cuando
se asocia, por ejemplo, a obligaciones de transparencia.
En su artículo 5 establece que “En caso de duda razonable entre la publicidad y
confidencialidad de los datos personales, el servidor público deberá resolver al
bien jurídico de mayor valor, atendiendo a razones de interés público
establecidas en la presente ley”.
En estricto sentido conforme al 1 constitucional y a los parámetros de la SCJN,
cuando hay dos derechos en tensión debe hacerse una ponderación de
derechos valorando la idoneidad, necesidad, proporcionalidad y las razones de
interés público. No hay reglas generales, la valoración es casuística.
La ley de transparencia no distingue entre consentimiento tácito y explicito, en todos los
casos se pide el consentimiento por escrito.
Esto representa un impedimento para garantizar el cumplimiento, pues implica que
ningún dato se podría tratar sin contar con el consentimiento por escrito. La Ley general
exige el consentimiento por escrito sólo para casos especiales: por ejemplo, menores
de edad, datos patrimoniales o datos sensibles.
En el resto de los casos basta con el consentimiento tácito (si ya conoce el aviso de
privacidad y proporciona los datos, se entiende que otorgó su consentimiento)
No reconoce los principios de finalidad, lealtad, proporcionalidad, transparencia en el
tratamiento de los datos y responsabilidad.
En el artículo 78 de la ley estatal, se considera el aviso de privacidad, se prevé un sólo
aviso, en lugar de uno simplificado e integral. Además en dicho aviso estatal falta
Fundamento legal;
En las finalidades no se distingue de aquellas que requieren el consentimiento
del titular.
Mecanismos, medios y procedimientos para el ejercicio de los derechos ARCO
Domicilio de la unidad de transparencia
No regula las transferencias;
No distingue entre responsable, encargado y tercero
Sugerencias para la ley estatal de protección de datos personales
La regulación actual del estado de Coahuila…
No contempla la posibilidad de hacer solicitudes de portabilidadde datos.
No prevé la posibilidad de conciliar durante el recurso derevisión.
No regula los deberes de los responsables.
No reconoce el derecho de los particulares de denunciar eltratamiento indebido de los datos personales. Esta figura esdistinta al recurso de revisión.
No reconoce la facultad del organismo garante de verificar demanera oficiosa o a petición de parte las infracciones alcumplimiento de principios y deberes de los responsables.
No prevé medidas preventivas como la manifestación deimpacto a la privacidad, ni la implementación de mejoresprácticas.
Al elaborar la ley estatal de protección de datos personales se sugiere
Tomar en consideración los siguientes aspectos.
• Retomar la Ley general, pero considerar que ésta no prevé disposicionespara la tramitación de las solicitudes ARCO, se sugiere regular en la Leyestatal.
• La Ley General no dispone cómo se sustanciará el recurso de revisión, sesugiere regular en la Ley estatal.
• Se sugiere retomar aspectos que sean complementarios a la ley general quegaranticen mayores niveles de protección de datos personales.
• Buscar mecanismos que faciliten el ejercicio del derecho a la protección dedatos personales. Medios electrónicos, mecanismo de coordinación,reducción de costos, identificación electrónica, etc.
• Incluir disposiciones que permitan implementar de manera armónica la Leyde protección de datos personales con la de transparencia y archivos. Porejemplo, considerar en las dos leyes (transparencia y datos personales) lafigura de la prueba de interés público o ponderación de derechos.
La protección de los datos personales es una tarea compartida
Gracias
Mtro. Oscar Mauricio Guerra FordComisionado del INAI
@oscarguerrafordinai.org.mx
@inaimexico