instituto nacional de transparencia, acceso a la información y...

Instituto Nacional de Transparencia, Acceso a la Información y Protección

de Datos Personales

Estudio de viabilidad técnica del marco jurídico mexicano en materia de

protección de datos personales, para que México sea reconocido como un país con un nivel de protección adecuado conforme el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016,

relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por

el que se deroga la Directiva 95/46/CE para el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales

con inclusión de recomendaciones

Entregable 4

Elaborado por Davara Abogados

Diciembre 2019

ELABORADO POR:

Dra. Isabel Davara F. de Marcos (Coordinadora)

Prof. José Luis Rodríguez Álvarez Mtro. Gregorio Barco Vega

Mtro. Alexis Cervantes Padilla Dra. Pamela Rodríguez Padilla

Contenido

1. Abreviaturas .......................................................................................................................... 1

2. Introducción .......................................................................................................................... 3

3. Sobre la reserva de Ley en el ordenamiento jurídico mexicano ....................................... 3

4. Recomendaciones para la atención de las asimetrías identificadas en la normatividad de protección de datos personales (WP 254) ............................................................................. 5

5. Recomendaciones en relación con la adecuación del régimen de acceso y utilización por las autoridades públicas de los datos personales (WP 237) ............................................ 15

5.1. Investigación criminal ............................................................................................................ 15

5.2. Seguridad nacional ............................................................................................................... 18

5.3. Sobre las obligaciones de concesionarios, autorizados y proveedores. ............................... 19

6. Consideraciones generales sobre el procedimiento de adecuación. ............................ 20

6.1. Las transferencias internacionales de datos personales desde la perspectiva de la UE ...... 21

6.2. El marco estructural de las transferencias de datos personales a terceros países y organizaciones internacionales en el RGPD. ................................................................................ 24

7. Recapitulación sobre los componentes del Estudio Técnico . ....................................... 44

7.1. Entregable 1. Análisis de la normatividad aplicable al sector privado ................................... 44

7.2. Entregable 2. Análisis de la normatividad aplicable al sector público ................................... 45

7.3. Entregable 3. Señalamiento puntual de las asimetrías identificadas en la normatividad aplicable. ....................................................................................................................................... 45

7.4. Entregable 4. Recomendaciones para la atención de las asimetrías identificadas en la normatividad aplicable. .................................................................................................................. 46

1

1. Abreviaturas

Abreviaturas Terminología Definición

C108

Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal del 28 de enero

de 1981

C108+ Convenio modernizado para la protección de las personas con respecto al procesamiento

de datos personales

CDFUE Carta de Derechos Fundamentales de la

Unión Europea CE Comisión Europea

CEPD Comité Europeo de Protección de Datos CNPP Código Nacional de Procedimientos Penales

CPEUM Constitución Política de los Estados Unidos

Mexicanos

Derechos ARCO Derechos de Acceso, Rectificación, Cancelación y Oposición

Directiva 95/46/CE

Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995,

relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos

datos

EPDP Estándares de Protección de Datos

Personales para los Estados Iberoamericanos

Estudio Técnico o Estudio

Estudio de viabilidad técnica del marco jurídico mexicano en materia de protección de

datos personales, para que México sea reconocido como un país con un nivel de

protección adecuado conforme el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que

respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE para el

Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos

Personales

GT29 Grupo de Trabajo sobre Protección de Datos del Artículo 29

2

INAI Instituto Nacional de Transparencia, Acceso a

la Información y Protección de Datos Personales

LAP Lineamientos del Aviso de Privacidad

LCMSJ Lineamientos de Colaboración en Materia de

Seguridad y Justicia

LFPDPPP Ley Federal de Protección de Datos

Personales en Posesión de los Particulares

LFTAIP Ley Federal de Transparencia y Acceso a la

Información Pública

LFTR Ley Federal de Telecomunicaciones y

Radiodifusión. LGN Ley de la Guardia Nacional

LGPDPPSO Ley General de Protección de Datos Personales en Posesión de Sujetos

Obligados

LGSNSP Ley General del Sistema Nacional de Seguridad Pública

LSN Ley de Seguridad Nacional PJF Poder Judicial de la Federación

RGPD Reglamento General de Protección de Datos

RLFPDPPP Reglamento de la Ley Federal de Protección

de Datos Personales en Posesión de los Particulares

SCJN Suprema Corte de Justicia de la Nación SE Secretaría de Economía

TFJA Tribunal Federal de Justicia Administrativa TJUE Tribunal de Justicia de la Unión Europea

TMEC Tratado entre México, Estados Unidos y Canadá

UE Unión Europea

WP 237

Documento de Trabajo 1/2016 sobre la justificación de las interferencias a los

derechos fundamentales de privacidad y protección de datos a través de medidas de

vigilancia en la transferencia de datos personales (Garantías Europeas Esenciales) adoptado por el Grupo de Trabajo del Artículo

29 el 13 de abril de 2016

WP 254

Referencias sobre adecuación del Grupo de Trabajo sobre Protección de Datos del Artículo 29, revisadas por última vez y

aprobadas el 6 de febrero de 2018

3

2. Introducción El presente documento representa la conclusión del Estudio Técnico encomendado por el INAI a Davara Abogados y se divide en dos secciones primordiales y que se encuentran claramente diferenciadas. En la primera parte de este documento (“Entregable 4” de conformidad con la propuesta técnica elaborada por el INAI) se realiza un estudio breve sobre la recepción del principio de reserva de ley en el ordenamiento jurídico mexicano con la intención de soportar las recomendaciones emitidas en el numeral 4 respecto de cómo deberían subsanarse las asimetrías identificadas en el “Entregable 3” en la normatividad aplicable a la protección de datos personales en los sectores privado y público. En el numeral 4 de este documento se enuncian las asimetrías normativas identificadas en la normatividad vigente en México con respecto a los elementos de valoración previstos en el RGPD y concretados en el WP 254, el WP 237 y el y se emiten las recomendaciones legales que, de forma concreta, podrían servir para su mitigación. La segunda parte de este documento se conforma de una serie de reflexiones finales sobre el régimen legal de las transferencias internacionales de datos en el RGPD y las características inherentes al proceso de adecuación para sentar las bases teóricas y jurídicas con base en las cuales habrá de conducirse el proceso de adecuación legal. Finalmente, se aportan una serie de reflexiones sobre el contenido de los distintos componentes del Estudio Técnico (Entregable 1, Entregable 2, Entregable 3 y Entregable 4).

3. Sobre la reserva de Ley en el ordenamiento jurídico mexicano El principio de legalidad o de reserva de Ley consagrado en los artículos 14 y 16 de la CPEUM establece en su acepción general que todo acto de los poderes públicos se realice de conformidad con la Ley. Es decir, se alude a la conformidad con la Ley y el respeto a la jerarquía normativa aceptada en el ordenamiento jurídico mexicano (vid artículo 133 constitucional). 1 El principio de legalidad se manifiesta de dos formas concretas. En primer lugar, en la relación entre los actos de ejecución material y las normas individuales –decisión administrativa y sentencia- o, en la relación entre estos actos de aplicación y las normas legales y reglamentarias; y en segundo lugar en las relaciones entre el reglamento y la ley, así� como entre la ley y la CPEUM. Con base en este principio, todo acto emanado del Estado que pueda incidir en los derechos subjetivos de los individuos debe estar previsto en una ley formal y materialmente válida. Es decir,

1 Artículo 133. Esta Constitución, las leyes del Congreso de la Unión que emanen de ella y todos los tratados que estén de acuerdo con la misma, celebrados y que se celebren por el Presidente de la República, con aprobación del Senado, serán la Ley Suprema de toda la Unión. Los jueces de cada entidad federativa se arreglarán a dicha Constitución, leyes y tratados, a pesar de las disposiciones en contrario que pueda haber en las Constituciones o leyes de las entidades federativas.

4

una ley vigente aprobada por el Poder Legislativo y promulgada y publicada por el titular del Ejecutivo.2 Retomando la explicación anterior, se puede señalar que el principio de legalidad3 entraña dos vertientes principales según lo señala la SCJN:

Reserva de Ley. De acuerdo con la SCJN este principio se presenta cuando una norma constitucional reserva expresamente a la ley la regulación de una determinada materia, por lo que excluye la posibilidad de que los aspectos de esa reserva sean regulados por disposiciones de naturaleza distinta a la ley, esto es, por un lado, el legislador ordinario ha de establecer por sí mismo la regulación de la materia determinada y, por el otro, la materia reservada no puede regularse por otras normas secundarias, en especial el reglamento.

Subordinación jerárquica. Este principio consiste en que el ejercicio de la facultad reglamentaria no puede modificar o alterar el contenido de una ley, es decir, los reglamentos tienen como límite natural los alcances de las disposiciones que dan cuerpo y materia a la ley que reglamentan, detallando sus hipótesis y supuestos normativos de aplicación, sin que pueda contener mayores posibilidades o imponga distintas limitantes a las de la propia ley que va a reglamentar.

Dado que todo tratamiento de datos personales comporta una incidencia en el ámbito protegido por el derecho fundamental, la regulación del régimen general de los tratamientos y de todos sus elementos esenciales ha de llevarse a cabo por una norma con rango de ley. En consecuencia, cualquier modificación de las leyes vigentes en materia de protección de datos personales (LFPDPPPP y LGPDPPSO) debe ser realizada por el Congreso Federal. Asimismo, es pertinente señalar que, si bien el INAI tiene una facultad de expedir lineamientos, ya sea de forma individual o en conjunción con la SE (aplicable para el sector privado), dicha atribución no puede considerarse como una base válida para regular aspectos específicamente previstos tanto en la LFPDPPP y la LGPDPPSO. En particular, debe considerarse que esta atribución no es equiparable a la facultad reguladora que tienen otros órganos constitucionales autónomos (Instituto Federal de Telecomunicaciones) que fungen también como reguladores, pero para los que dicha potestad emana del propio texto constitucional.4 2 FACULTAD REGLAMENTARIA DEL PODER EJECUTIVO FEDERAL. SUS PRINCIPIOS Y LIMITACIONES. Tesis 1001296. 55. Pleno. Novena Época. Apéndice 1917-Septiembre 2011. Tomo I. Constitucional 2. Relaciones entre Poderes Primera Parte - SCJN Primera Sección - Relaciones entre Poderes y órganos federales, Pág. 468. 3 Tesis 1001299. 58. Pleno. Novena Época. Apéndice 1917-Septiembre 2011. Tomo I. Constitucional 2. Relaciones entre Poderes Primera Parte - SCJN Primera Sección - Relaciones entre Poderes y órganos federales, Pág. 472. 4 Al respecto la SCJN ha señalado que el arttículo 28, párrafo vigésimo, fracción IV, de la Constitución Federal establece que el IFT podrá emitir disposiciones administrativas de carácter general exclusivamente para el cumplimiento de su función regulatoria en el sector de su competencia, debe reconocer a este órgano constitucional que tiene la facultad cuasi legislativa necesaria para su fin institucional, denominada facultad regulatoria, cuyos límites en relación con las facultades de producción normativa de los otros Poderes, por ejemplo del Legislativo, deben determinarse caso por caso, buscando siempre un balance. Vid Tesis 2010672. P./J. 45/2015 (10a.). Pleno. Décima Época. Gaceta del Semanario Judicial de la Federación. Libro 25, Diciembre de 2015, Pág. 38.

5

En consecuencia, la inclusión de disposiciones que limiten el ejercicio de prerrogativas o incluso contravengan lo establecido por el Congreso Federal, constituiría una extralimitación de las facultades de interpretación (artículo 39, fracción II LFPDPPP y artículo 89, fracción II LGPDPPSO) y reglamentaria del INAI en los términos de la fracción I del artículo 89 constitucional como facultad reglamentaria y posteriormente establecida en su Estatuto Orgánico (artículos 12, fracción XXX; 16, fracción XXI; 23 fracción VI; 29, fracción VII del EO-INAI, entre otros). Asimismo, la concreción de aspectos no previstos en Ley puede constituir un agravio a los principios procesales de seguridad y certeza jurídicas. Por ello, consideramos que las asimetrías identificadas en el Estudio deben ser atendidas, a priori, y salvo casos muy concretos que iremos señalando, por el legislador federal mediante el procedimiento establecido en la CPEUM. No obstante, no se descarta la posibilidad de que, en conjunción con las disposiciones previstas en la LFPDPPP y su Reglamento y la LGPDPPSO, derivado de su facultad de emitir lineamientos, el INAI pudiera regular aspectos concretos, específicos y técnicos previstos en la normatividad. Sin embargo, dada la naturaleza de dichas disposiciones consideramos que estas deberían considerarse como una última ratio, ya que su emisión y aceptación general podría resultar cuestionable respecto de su carácter vinculante y fuerza ejecutiva, al no tratarse de disposiciones contenidas en una ley formal y materialmente válida. Además, dado que la mayoría de estas asimetrías requerirían una reforma legal, lo más prudente sería ya incluir en dicha reforma la totalidad de las mismas, salvo reglamentaciones muy técnicas o descriptivas, para evitar conflictos posteriores.

4. Recomendaciones para la atención de las asimetrías identificadas en la normatividad de protección de datos personales (WP 254)

En este apartado se enuncian las asimetrías señaladas en el Entregable 3 del Estudio Técnico y se describen las distintas recomendaciones legales, derivado de la naturaleza de las asimetrías identificadas en la normatividad vigente, para efectos de su valoración y consideración, con el propósito de adecuar el marco jurídico vigente en materia de protección de datos personales, para los sectores privado y público, a los requerimientos del RGPD, el WP 254 y el WP 237 como elementos sujetos a la apreciación de la CE y del CEPD, para en su caso, conceder a México el reconocimiento de un nivel adecuado de protección.

4.1. Recomendaciones para la atención de las asimetrías identificadas en la normatividad de protección de datos personales para el sector privado

La siguiente tabla identifica las asimetrías detectadas en la normatividad aplicable al sector privado y, una somera descripción de las recomendaciones que se consideran pertinentes para efectos de atender las discrepancias existentes entre el marco jurídico analizado y los distintos elementos que valoran el CEPD y la CE, para reconocer a un tercer país con un nivel adecuado de protección.

6

Asimetrías relacionadas con el contenido del WP 254

Asimetría identificada Recomendaciones Tipo de

procedimiento legal requerido

Ámbito de aplicación de la

legislación

Exclusión del ámbito de

aplicación de la LFPDPPP a las

SIC

Se considera necesario modificar la fracción II del artículo II de la LFPDPPP con el objeto de que las SIC queden sujetas a la normatividad de protección de datos personales.

Se considera necesario regular en la LFPDPPP o en la Ley de Sociedad de Información Crediticia el régimen especial de los tratamientos realizados por estas entidades, para lo cual se pude tomar como referencia el régimen establecido en España por el artículo 20 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.5

Reforma a la LFPDPPP y reforma a la

LSIC

5 Artículo 20. Sistemas de información crediticia. 1. Salvo prueba en contrario, se presumirá lícito el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia cuando se cumplan los siguientes requisitos: a) Que los datos hayan sido facilitados por el acreedor o por quien actúe por su cuenta o interés. b) Que los datos se refieran a deudas ciertas, vencidas y exigibles, cuya existencia o cuantía no hubiese sido objeto de reclamación administrativa o judicial por el deudor o mediante un procedimiento alternativo de resolución de disputas vinculante entre las partes. c) Que el acreedor haya informado al afectado en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas, con indicación de aquéllos en los que participe. La entidad que mantenga el sistema de información crediticia con datos relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito deberá notificar al afectado la inclusión de tales datos y le informará sobre la posibilidad de ejercitar los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 dentro de los treinta días siguientes a la notificación de la deuda al sistema, permaneciendo bloqueados los datos durante ese plazo. d) Que los datos únicamente se mantengan en el sistema mientras persista el incumplimiento, con el límite máximo de cinco años desde la fecha de vencimiento de la obligación dineraria, financiera o de crédito. e) Que los datos referidos a un deudor determinado solamente puedan ser consultados cuando quien consulte el sistema mantuviese una relación contractual con el afectado que implique el abono de una cuantía pecuniaria o este le hubiera solicitado la celebración de un contrato que suponga financiación, pago aplazado o facturación periódica, como sucede, entre otros supuestos, en los previstos en la legislación de contratos de crédito al consumo y de contratos de crédito inmobiliario. Cuando se hubiera ejercitado ante el sistema el derecho a la limitación del tratamiento de los datos impugnando su exactitud conforme a lo previsto en el artículo 18.1.a) del Reglamento (UE) 2016/679, el sistema informará a quienes pudieran consultarlo con arreglo al párrafo anterior acerca de la mera existencia de dicha circunstancia, sin facilitar los datos concretos respecto de los que se hubiera ejercitado el derecho, en tanto se resuelve sobre la solicitud del afectado. f) Que, en el caso de que se denegase la solicitud de celebración del contrato, o éste no llegara a celebrarse, como consecuencia de la consulta efectuada, quien haya consultado el sistema informe al afectado del resultado de dicha consulta. 2. Las entidades que mantengan el sistema y las acreedoras, respecto del tratamiento de los datos referidos a sus deudores, tendrán la condición de corresponsables del tratamiento de los datos, siendo de aplicación lo establecido por el artículo 26 del Reglamento (UE) 2016/679. Corresponderá al acreedor garantizar que concurren los requisitos exigidos para la inclusión en el sistema de la deuda, respondiendo de su inexistencia o inexactitud. 3. La presunción a la que se refiere el apartado 1 de este artículo no ampara los supuestos en que la información crediticia fuese asociada por la entidad que mantuviera el sistema a informaciones adicionales a las contempladas en dicho apartado, relacionadas con el deudor y obtenidas de otras fuentes, a fin de llevar a cabo un perfilado del mismo, en particular mediante la aplicación de técnicas de calificación crediticia.

7




A. Principios relativos al contenido

1. Conceptos

Concepto de tratamiento

Se recomienda reformar la definición de tratamiento contenida en la fracción XVIII del artículo 3 de la LFPDPPP para que sea más consistente con el contenido de la definición de tratamiento prevista en el RGPD.

Reforma a la LFPDPPP

Concepto de destinatario

Se recomienda reformar la LFPDPPP para incluir la definición de destinatario en un sentido equivalente al previsto en el RGPD.


Concepto de datos

personales sensibles

Se considera necesario reformar la definición de datos personales sensibles prevista en la fracción VI del artículo 3 de la LFPDPPP para que esta sea consistente y garantice un nivel de protección equivalente al previsto con el RGPD y bajo dicha categoría se incluyan específicamente los datos biométricos, datos genéticos y los datos relativos a condenas e infracciones penales o medidas de seguridad conexas, pues si bien, podría considerarse que la definición de la LFPDPPP guarda un importante grado de correspondencia con el RGPD no garantiza una protección suficiente o equivalente en términos de la normatividad europea.


2. Fundamentos del tratamiento lícito y

leal para fines legítimos

Consentimiento tácito como base para legitimación del tratamiento

Se considera necesario reformar el artículo 8 de la LFPDPPP y las disposiciones correlativas del RLFPDPPP (artículos 13 y 14) relativas al consentimiento tácito con el propósito de que este no funja como una base para la legitimación de tratamiento de datos personales ya que no se garantiza un nivel adecuado de protección en términos del RGPD.

Reforma a la LFPDPPP y el RLFPDPPP

Excepción al consentimiento por

previsión de Ley

Se recomienda reformar la fracción I del artículo 10 de la LFPDPPP para precisar su alcance ya que la posibilidad de amparar el tratamiento de datos en una Ley, sin más condición, deja total libertad al legislador y no garantiza la plena compatibilidad con el RGPD conforme al cual, para que un tratamiento pueda considerarse legítimo no basta con una mera habilitación legal, sino que tendrá que ser “necesario para el cumplimiento de una obligación legal aplicable al responsable” o “necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes conferidos al responsable ”.


Excepción al consentimiento por fuentes de acceso

público

Se recomienda reformar la fracción II del artículo 10 de la LFPDPPP relativa a la excepción del consentimiento cuando los datos provienen de fuentes de acceso público, pues en términos del RGPD la procedencia de datos


8




de una fuente de acceso público no se considera, sin más, como una base para el tratamiento lícito de datos personales.

Excepción al consentimiento

para transferencia de datos a

empresas del grupo

Se considera necesario reformar el contenido de la fracción III del artículo 37 de la LFPDPPP puesto que conforme al RGPD no se puede establecer una habilitación general para las transferencias a empresas de un mismo grupo. Tienen la consideración de terceros y por lo tanto la cesión de datos requiere una base de legitimación propia. Sólo se admite la base del “interés legítimo” para la transmisión de datos personales dentro de un grupo empresarial “para fines administrativos, incluido el tratamiento de datos personales de clientes o empleados”.


6. Principio de seguridad y

confidencialidad

Mecanismos para cumplir con el principio de seguridad

Se considera necesario reformar el contenido del artículo 20 de la LFPDPPP y los artículos 64 y 65 del RLFPDPPP para establecer la obligatoriedad de notificar las vulneraciones de seguridad al INAI así como los requisitos que dicha notificación debería contener.


Se recomienda reformar la LFPDPPP y su Reglamento para que se establezca que el INAI pueda exigir al responsable que notifique una vulneración de seguridad a los titulares cuando esta entrañe un alto riesgo para los derechos y libertades fundamentales de los titulares.


Se considera necesario reformar el artículo 50 del RLFPDPPP para que se establezca como obligación del encargado la de notificar al responsable la existencia de una vulneración de seguridad.

Reforma al RLFPDPPP

Para cumplir con la adopción del enfoque de riesgo requerido en el RGPD se recomienda que el INAI emita lineamientos específicos para la elaboración de análisis de riesgos.

Emisión de lineamientos por

parte del INAI

Para cumplir con la adopción del enfoque de riesgo requerido en el RGPD se recomienda que el INAI emita lineamientos específicos para la elaboración de las Evaluaciones de Impacto en la Protección de Datos (EIPD) en sintonía con los requerimientos aceptados por el RGPD.

Emisión de lineamientos por

parte del INAI

7. Principio de transparencia

Información que debe comunicarse

al titular

Se recomienda reformar la LFPDPPP y su Reglamento para prever como elementos informativos del aviso de privacidad los siguientes:

o Base jurídica del tratamiento; o La información sobre las garantías

ofrecidas por el responsable en caso de


9




que se realicen transferencias internacionales de datos personales;

o El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;

o Las consecuencias que podría tener para el titular no facilitar sus datos personales para una comunicación de datos cuando se trate de un requisito legal o contractual, o un requisito necesario para suscribir un contrato;

o La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y, al menos en tales casos, la información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el titular.

8. Derecho de acceso,

rectificación, supresión y oposición

Derecho de supresión

Se recomienda reformar la LFPDPPP y su Reglamento para dotar al derecho de cancelación un alcance más amplio y, que responda a las reglas del RGPD. Para cumplir con lo anterior, es importante prever que, cuando el responsable haya hecho públicos los datos personales y esté obligado a suprimirlos, deberá adoptar medidas razonables, incluidas medidas técnicas para informar a los responsables que estén tratando los datos personales de la solicitud del titular respecto de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos teniendo en cuenta la tecnología disponible y el coste de su aplicación. Además, es recomendable que en la propuesta de reforma, se establezcan como excepciones para la concesión del derecho de supresión el ejercicio del derecho a la libertad de expresión e información, fines de archivo, fines en interés público, fines de investigación científica o histórica o fines estadísticos en la medida en que el derecho de supresión pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos del tratamiento.


Derecho de oposición

Se recomienda reformar la LFPDPPP y su Reglamento, para establecer el alcance del derecho de oposición para fines de mercadotecnia directa.


Derecho a la limitación del tratamiento

Se recomienda reformar la LFPDPPP y su Reglamento, para establecer el derecho de limitación del tratamiento en condiciones equivalentes a aquellas previstas en RGPD.


10




Derecho a no ser objeto de una

decisión individual automatizada

Se considera necesario reformar la LFPDPPP y su Reglamento, para establecer el derecho del titular a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles.


9. Restricciones a transferencias

ulteriores

Garantías adecuadas en

términos del RGPD

Se recomienda reformar la LFPDPPP y su Reglamento, para establecer garantías adecuadas para las transferencias internacionales de datos personales y que resulten equivalentes a las previstas en los artículos 44, 45, 46, 47, 48, 49 y 50 del RGPD.

Se considera necesario reformar el artículo 37 de la LFPDPPP ya que la habilitación general de las transferencias de datos a empresas del grupo (fracción III) no resultan compatibles con el RGPD.

Se recomienda reformar la previsión de la fracción I del artículo 37 de la LFPDPPP ya que la transferencia por previsión legal sin más garantías no resulta adecuada al RGPD.

Se recomienda prestar especial atención a las previsiones del TMEC y, en su caso, proporcionar garantías adecuadas a la Comisión Europea en relación con las transferencias que se realicen en virtud del mismo.


B. Ejemplos de principios de contenido adicionales que deben aplicarse a tipos específicos de tratamiento

1. Categorías especiales de datos

Salvaguardas para el tratamiento de datos personales

sensibles

Se considera necesario reformar la LFPDPPP para incluir a los datos biométricos como datos sensibles.

Se considera necesario reformar la LFPDPPP y su Reglamento para incluir previsiones específicas para regular el tratamiento de datos relativos a condenas e infracciones penales.


2. Mercadotecnia directa

Derecho de oposición para

fines de mercadotecnia

Se considera necesario reformar la LFPDPPP y su Reglamento para establecer el alcance del derecho de oposición para fines de mercadotecnia directa.


3. Decisiones automatizadas

Derecho a no ser objeto de una

decisión individual automatizada

Se considera necesario reformar la LFPDPPP y su Reglamento para establecer el derecho del titular a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles.


C. Mecanismos relativos al procedimiento y la ejecución

3. Responsabilidad proactiva

Elaboración de EIPD

Se considera necesario reformar la LFPDPPP y su Reglamento con el propósito de establecer la obligatoriedad de realizar una EIPD en tratamientos de altos de riesgo.

Se recomienda que el INAI establezca lineamientos en los que se describan los elementos para la elaboración de una EIPD.

Reforma a la LFPDPPP y el RLFPDPPP Emisión de

lineamientos por parte del INAI

Privacidad por Es necesario reformar la LFPDPPP para Reforma a la

11




diseño establecer como obligación la observancia del principio de privacidad por diseño.

LFPDPPP

Privacidad por defecto

Se recomienda reformar la LFPDPPP para establecer como obligación relacionada con el principio de responsabilidad la observancia del principio de privacidad por defecto.


Registro de actividades de

tratamiento

Se considera necesario reformar el RLFPDPPP para establecer en la fracción I del artículo 61 la obligación de elaborar un registro de actividades del tratamiento tanto para responsables como encargados.

Se recomienda que el INAI emita lineamientos específicos para determinar los requisitos que deberá contener el registro de actividades del tratamiento para responsables y encargados de acuerdo con la metodología requerida por el RGPD.

Reforma al RLFPDPPP

Emisión de

lineamientos por parte del INAI

Notificación de vulneraciones de

seguridad

Se considera necesario reformar el contenido del artículo 20 de la LFPDPPP y los artículos 64 y 65 del RLFPDPPP para establecer la obligatoriedad de notificar las vulneraciones de seguridad al INAI así como los requisitos que dicha notificación debería contener.


Se recomienda reformar la LFPDPPP y su Reglamento para efectos de que se establezca que el INAI pueda exigir al responsable que notifique una vulneración de seguridad a los titulares cuando esta entrañe un alto riesgo para los derechos y libertades fundamentales de los titulares.


Se considera necesario reformar el artículo 50 del RLFPDPPP, para que se establezca como obligación del encargado la de notificar al responsable la existencia de una vulneración de seguridad.

Reforma al RLFPDPPP

Delegado de Protección de

Datos

Se recomienda modificar la LFPDPPP y su Reglamento para establecer criterios sobre la posición, funciones, características y actividades del Delegado de Protección de Datos en condiciones equivalentes a las previstas por el RGPD.


12

4.2. Recomendaciones para la atención de las asimetrías identificadas en la normatividad de protección de datos personales para el sector público

La siguiente tabla identifica las asimetrías detectadas en la normatividad aplicable al sector público y, una descripción de las recomendaciones que se consideran pertinentes para efectos de atender las discrepancias existentes entre el marco jurídico vigente en México, con el propósito de que la normatividad aplicable pueda facilitar un nivel adecuado de protección a los datos personales.




A. Principios relativos al contenido

1. Conceptos

Concepto de tratamiento

Se considera necesario reformar la definición de tratamiento contenida en la fracción XXXIII del artículo 3 de la LGPDPPSO para que sea más consistente con el RGPD, pues la definición actual podría dejar fuera actividades típicas de tratamiento en el ordenamiento europeo como pueden ser la supresión o la destrucción.

Reforma a la LGPDPPSO

Concepto de destinatario

Se recomienda reformar la LGPDPPSO para incluir la definición de destinatario en un sentido equivalente al previsto en el RGPD.


Concepto de datos personales sensibles

Se considera necesario reformar la definición de datos personales sensibles prevista en la fracción X del artículo 3 de la LGPDPPSO para que esta sea consistente con el RGPD y bajo dicha categoría se comprendan los datos biométricos y datos relativos a condenas e infracciones penales.


2. Fundamentos del tratamiento lícito y leal para fines legítimos

Consentimiento tácito como base para legitimación del tratamiento

Se considera necesario reformar el artículo 21 de la LGPDPPSO y las disposiciones correlativas de los LGPDPSP (artículos 14 y 15) relativas al consentimiento tácito con el propósito de que este no funja como una base para la legitimación de tratamiento de datos personales ya que no se garantiza un nivel adecuado de protección en términos del RGPD.

Reforma a la LGPDPPSO y

modificación de los LGPDPSP

Excepción al consentimiento por

previsión de Ley

Se recomienda reformar la fracción I del artículo 22 de la LGPDPPSO para precisar su alcance ya que la posibilidad de amparar el tratamiento de datos en una Ley, sin más condición, deja total libertad al legislador y no garantiza la plena compatibilidad con el RGPD conforme al cual, para que un tratamiento pueda considerarse legítimo no basta con una mera habilitación legal, sino que tendrá que ser “necesario para el cumplimiento de una obligación legal aplicable al responsable” o “necesario para el cumplimiento



13

de una misión realizada en interés público o en el ejercicio de poderes conferidos al responsable ”.

Excepción al consentimiento por fuentes de acceso público

Se recomienda reformar la fracción VIII del artículo 22 de la LGPDPPSO, relativa a la excepción del consentimiento cuando los datos provienen de fuentes de acceso público, pues en términos del RGPD la procedencia de datos de una fuente de acceso público no se considera, sin más, como una base para el tratamiento lícito de datos personales.


6. Principio de seguridad y confidencialidad

Mecanismos para cumplir con el principio de seguridad

Se recomienda reformar la LGPDPPSO y los LGPDPSP, para que se establezca que el INAI pueda exigir al responsable que notifique una vulneración de seguridad a los titulares cuando esta entrañe un alto riesgo para los derechos y libertades fundamentales de los titulares.



7. Principio de transparencia

Información que debe comunicarse al titular

Se recomienda reformar la LGPDPPSO y modificar los LGPDPSP para prever como elementos informativos del aviso de privacidad los siguientes:

o Base jurídica del tratamiento; o La información sobre las garantías

ofrecidas por el responsable en caso de que se realicen transferencias internacionales de datos personales;

o El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;

o Las consecuencias que podría tener para el titular no facilitar sus datos personales para una comunicación de datos cuando se trate de un requisito legal o contractual, o un requisito necesario para suscribir un contrato;

La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el titular.

Reforma a la LGPDPPSO y modificación de los LGPDPSP

8. Derecho de acceso, rectificación, supresión y oposición

Derecho de supresión

Se recomienda reformar la LGPDPPSO y modificar los LGPDPSP para dotar al derecho de cancelación de un alcance más amplio y que responda a las reglas del RGPD.


Derecho de oposición

Se recomienda reformar la LGPDPPSO y los LGPDPSP, para establecer el alcance del derecho de oposición para fines de mercadotecnia directa.


14

Derecho a la limitación del tratamiento

Se recomienda reformar la LGPDPPSO y su Reglamento, para establecer el derecho de limitación del tratamiento en condiciones equivalentes a aquellas previstas en RGPD.


9. Restricciones a transferencias ulteriores

Garantías adecuadas en términos del RGPD

Se recomienda reformar la LGPDPPSO y modificar los LGPDPSP para establecer garantías adecuadas para las transferencias internacionales de datos personales y que resulten equivalentes a las previstas en los artículos 44, 45, 46, 47, 48, 49 y 50 del RGPD.

Se recomienda reformar la fracción I del artículo 66 de la LGPDPPSO ya que la transferencia por previsión legal sin más garantías no resulta adecuada al RGPD.


B. Ejemplos de principios de contenido adicionales que deben aplicarse a tipos específicos de tratamiento

1. Categorías especiales de

datos

Salvaguardas para el tratamiento de datos personales

sensibles

Se considera necesario reformar la LGPDPPSO para incluir a los datos biométricos como datos sensibles.

Se considera necesario reformar la LGPDPPSO y modificar los LGPDPSP, para incluir previsiones específicas para regular el tratamiento de datos relativos a condenas e infracciones penales.



2. Mercadotecnia directa

Derecho de oposición para

fines de mercadotecnia

Se considera necesario reformar la LGPDPPSO y modificar los LGPDPSP para establecer el alcance del derecho de oposición para fines de mercadotecnia directa.



C. Mecanismos relativos al procedimiento y la ejecución

3. Responsabilidad proactiva

Registro de actividades de

tratamiento

Se considera necesario reformar la LGPDPPSO para establecer en la fracción III del artículo 33 la obligación de elaborar un registro de actividades del tratamiento tanto para responsables como encargados. 6

Se recomienda que el INAI emita lineamientos específicos, para determinar los requisitos que deberá contener el registro de actividades del tratamiento para responsables y encargados de acuerdo con la metodología requerida por el RGPD.



Emisión de lineamientos específicos

Notificación de vulneraciones por

solicitud de la autoridad

Se recomienda reformar la LGPDPPSO y los LGPDPSP, para que se establezca que el INAI pueda exigir al responsable que notifique una vulneración de seguridad a los titulares cuando esta entrañe un alto riesgo para los derechos y libertades fundamentales de los titulares.



6 El registro (o inventario) de actividades de tratamiento es el documento base de todo el sistema de cumplimiento normativo establecido por el RGPD. A partir de él, se realizan las evaluaciones de riesgo (o las EIPD, en su caso) y se determinan las medidas técnicas y organizativas necesarias. Es también el documento de partida para la fiscalización del cumplimiento por las autoridades de control. De ahí que sea una obligación que se impone tanto a los responsables como a los encargados. La LGPDPPSO lo exige sólo a los responsables, por lo que para alcanzar equivalencia debería exigirse también a encargados. Junto a ello, se aconseja establecer un mayor grado de equivalencia en su contenido necesario.

15

5. Recomendaciones en relación con la adecuación del régimen de acceso y utilización por las autoridades públicas de los datos personales (WP 237)

5.1. Investigación criminal

5.1.1. El tratamiento debe basarse en normas claras, precisas y accesibles (base jurídica)

El ordenamiento mexicano da un desarrollo detallado de dos medidas destinadas a obtener datos personales en el marco de una investigación criminal: la intervención de las comunicaciones privadas y la geolocalización. En ambos casos, el CNPP respondería a los requisitos exigidos por el WP 237 y el WP 254, así como la jurisprudencia, pues prevé todos los hitos que deben ser regulados con normas claras, precisas y accesibles: la naturaleza de los hechos que motivan la intervención; los grupos de personas cuyas comunicaciones pueden ser intervenidas; un límite a la duración de la intervención; el procedimiento que ha de seguirse en el examen, uso y conservación de los datos obtenidos; y las circunstancias en la que los datos deben ser cancelados y destruidos. No obstante, sería necesario precisar qué tipos de hechos o delitos justifican este tipo de medida; no es suficiente una habilitación general. Con la regulación actual parece deducirse que cualquier tipo de delito, grave o bagatela, permite una intervención de las comunicaciones. Asimismo, debería establecerse un régimen preciso sobre las trasmisiones de datos que pueden hacer los investigadores antes de la destrucción de los registros. Con las reglas vigentes, se ignora si es factible esa transmisión a otras administraciones mexicanas o extranjeras y de serlo, no se conoce su régimen jurídico. Además, se recomienda la regulación de un régimen general de obtención de datos en materia de investigación criminal. El CNPP regula exclusivamente dos medidas (intervención de comunicaciones y geolocalización). Por tanto, se desconoce si las administraciones pueden utilizar otras medidas (por ejemplo, la videovigilancia, el registro de memorias o el registro remoto de computadoras) y, en su caso, bajo qué condiciones. Se recomienda la introducción de un régimen general siguiendo las reglas que el CNPP dispone para las comunicaciones privadas y, luego, un régimen especial para aquellas técnicas que según el legislador merezca la pena tipificar con algunas singularidades. Para efectos de simplificación de la explicación posterior se presenta la siguiente tabla comparativa:


Asimetría identificada Recomendaciones Tipo de procedimiento

legal requerido

1) Investigación criminal

1) El tratamiento debe basarse en normas claras, precisas y accesibles (base

jurídica)

Se recomienda la regulación de un régimen general de obtención de

datos en materia de investigación criminal.

Se recomienda la introducción de un

régimen general siguiendo

Reforma al CNPP

16

las reglas que el CNPP dispone para las

comunicaciones privadas y, luego, un régimen

especial para aquellas técnicas que según el

legislador merezca la pena tipificar con algunas

singularidades. 2) Se deben demostrar la

necesidad y la proporcionalidad

respecto a los objetivos legítimos perseguidos

NA NA

3) El tratamiento debe estar sujeto a una

supervisión independiente

NA NA

4) Las personas deben disponer de vías de

acción efectivas

Se recomienda reformar el CNPP y demás

ordenamientos aplicables para prever el deber de

informar a la persona que ha sido investigada, sin

que la indagación llegase a tomar cuerpo en un

proceso penal.

Reforma al CNPP

2) Seguridad nacional


jurídica)

Se recomienda la regulación de un régimen general de obtención de

datos en materia de investigación criminal en la

LSN. Se recomienda la introducción de un

régimen general siguiendo las reglas que la LSN

dispone para las comunicaciones privadas

y, luego, un régimen especial para aquellas técnicas que según el

legislador merezca la pena tipificar con algunas

singularidades.

Reforma a la LSN

2) Se deben demostrar la necesidad y la

proporcionalidad respecto a los objetivos legítimos perseguidos

NA NA

3) El tratamiento debe estar sujeto a una

supervisión independiente

Se recomienda potenciar la figura del juez, dándole potestades más intensas comparables a las que

tienen en el ámbito de la investigación criminal.

Reforma a la LSN

17


acción efectivas

Se recomienda reformar la LSN y demás

ordenamientos aplicables para prever el deber de

informar a la persona que ha sido investigada, sin

que la indagación llegase a tomar cuerpo en un

proceso penal.

Reforma a la LSN

3) Sobre las obligaciones de concesionarios, autorizados

y proveedores


jurídica)

Se recomienda una revisión general y reforma de los artículos 189 y 190 de la LFTR así como de

los LCMSJ que en su conjunto establecen las

obligaciones de los prestadores de los

servicios de telecomunicaciones y del acceso a los datos que

pueden tener las autoridades públicas.

En este punto es importante tomar en

cuenta que la modificación de la LFTR y los LCMSJ

implican la necesaria intervención y consulta del

Instituto Federal de Telecomunicaciones (IFT) como autoridad reguladora principal así como opinión

de los propios concesionarios y

autoridades involucradas.

Reforma a la LFTR y los LCMSJ

2) Se deben demostrar la necesidad y la

proporcionalidad respecto a los objetivos legítimos perseguidos 3) El tratamiento debe

estar sujeto a una supervisión

independiente


acción efectivas

5.1.2. Se deben demostrar la necesidad y la proporcionalidad respecto a los objetivos legítimos perseguidos

Los artículos 292 y 293 del CNPP regulan con suficiente claridad y precisión el contenido de la solicitud de autorización judicial y de la propia solicitud. No existe, en este sentido, necesidad de recomendaciones.

5.1.3. El tratamiento debe estar sujeto a una supervisión independiente El CNPP otorga al órgano judicial la potestad para autorizar la intervención, pero también un control pleno sobre la misma de acuerdo con el artículo 294. No es necesario emitir ninguna recomendación en este punto.

18

5.1.4. Las personas deben disponer de vías de acción efectivas Más allá de los mecanismos que dispone el proceso penal mexicano para la proscripción de pruebas obtenidas ilegítimamente, así como la persecución de actividades policiales sin fundamento legal o judicial, se debe reflexionar sobre otros tipos de remedios que responden a diversas hipótesis. En primer lugar, se recomienda prever el deber de informar a la persona que ha sido investigada, sin que la indagación llegase a tomar cuerpo en un proceso penal. Dada esta información, el investigado no encausado tiene posibilidades de reaccionar frente a una investigación arbitraria; pero, sobre todo, en lo que ahora interesa, esa información debe abrir al investigado la posibilidad de ejercer sus derechos relacionados con la protección de datos: qué datos tiene la administración que ha desarrollado la investigación, a qué otras administraciones los ha entregado y, por supuesto, su cancelación.

5.2. Seguridad nacional

5.2.1. El tratamiento debe basarse en normas claras, precisas y accesibles (base jurídica).

En el ámbito de la seguridad nacional, el legislador mexicano ha apostado por fijar con claridad en el artículo 5 las circunstancias que habilitan la intervención de las comunicaciones privadas, marcando un camino que debería inspirar las modificaciones del CNPP. Sin embargo, la LSN ha sido menos incisiva a la hora de establecer las condiciones para realizar la intervención: no se regula el procedimiento que ha de seguirse en el examen, uso y conservación de los datos obtenidos; tampoco se dispone nada sobre las precauciones a adoptar en la transferencia de datos a otras autoridades; y se obvian las circunstancias en la que los datos deben ser cancelados y destruidos. Estos aspectos deben ser regulados, tal y como se ha hecho en el ámbito de la investigación criminal. Por lo demás, se ha de repetir la recomendación realizada para el ámbito de la investigación criminal en relación con la necesidad de establecer una regulación general que cubra toda medida de seguridad nacional destinada a la obtención de datos o basada en ellos.

5.2.2. Se deben demostrar la necesidad y la proporcionalidad respecto a los objetivos legítimos perseguidos.

Los artículos 38 y 40 de la LSN requieren un contenido a la solicitud de autorización y a la propia autorización que es precisa y clara, y en una aplicación normal ha de dar lugar a una decisión necesaria y proporcionada. No se considera necesario proponer modificaciones.

5.2.3. El tratamiento debe estar sujeto a una supervisión independiente. Como ya se ha señalado, no existe en la LSN una previsión relativa a la destrucción de los datos una vez que ha desaparecido la finalidad que llevó a su obtención. Podría deducirse que existe una

19

voluntad de conservar de manera permanente los datos. Estas circunstancias refuerzan la recomendación del punto anterior sobre la necesidad de establecer un procedimiento para la cancelación de los datos. En este sentido, resulta importante destacar la necesidad de contar con un control por parte de una autoridad judicial, pues al día de hoy el artículo 41 de la LSN atribuye el control al propio Centro de Investigación y Seguridad Nacional que ejecuta las medidas, habilitando al juez autorizante la solicitud de informes periódicos. En virtud de lo anterior, se recomienda dotar de mayores facultades a la figura del juez estableciendo potestades más sólidas comparables a las que tienen en el ámbito de la investigación criminal y que se prevén en el CNPP.

5.2.4. Las personas deben disponer de vías de acción efectivas. En este punto, debe reiterarse la recomendación expuesta en el ámbito de la investigación criminal, que subraya la necesidad de informar al investigado una vez que se hayan disipado las razones que justificarían el secreto de la investigación. Solo así, es factible que el investigado pueda conocer los criterios que se han seguido en la indagación, así como ejercer el conjunto de derechos que le asisten frente a la conservación de datos. En definitiva, ni siquiera en el ámbito de la seguridad es admisible una conservación indefinida de los datos.

5.3. Sobre las obligaciones de concesionarios, autorizados y proveedores. La LFTR impone a los prestadores de los servicios de telecomunicación diversas obligaciones, entre las que ahora destacamos la de colaborar en la localización geográfica, conservar un registro y control de las comunicaciones, conservar las comunicaciones durante veinticuatro meses y entregar los datos a las autoridades. Este modelo de conservación generalizada y sin finalidad específica pone en crisis el conjunto de las condiciones que la UE exige para el tratamiento de datos (véase como ejemplo para un caso similar la Sentencia del TJUE de 21 de diciembre de 2016, Tele2 Sverige AB, C-203/15, ECLI:EU:C:2016:970). Quedaría a salvo de esta crítica los supuestos en que los datos conservados por los prestadores de telecomunicaciones son utilizados en el curso de investigaciones criminales o de seguridad nacional en los términos que expone la legislación específica. Por tanto, se recomienda una revisión general de la normatividad que ordena las obligaciones de los prestadores de los servicios de telecomunicaciones y del acceso a los datos que pueden tener las autoridades públicas.

5.3.1. El tratamiento debe basarse en normas claras, precisas y accesibles (base jurídica).

El artículo 189 de la LFTR no contiene norma alguna sobre las exigencias impuestas por los Documentos WP 237 y WP 254 y la jurisprudencia europea, a saber, la naturaleza de los hechos que motivan el acceso a los datos; los grupos de personas cuyos datos pueden ser tratados; un

20

límite a la duración del tratamiento; el procedimiento que ha de seguirse en el examen, uso y conservación de los datos obtenidos; y las circunstancias en la que los datos deben ser cancelados y destruidos.

5.3.2. Se deben demostrar la necesidad y la proporcionalidad respecto a los objetivos legítimos perseguidos.

El hecho de que el artículo 189 de la LFTR no disponga el régimen del tratamiento de datos, conlleva necesariamente una quiebra de los principios de necesidad y proporcionalidad, pues tanto la empresa que conserva los datos como la autoridad que pretende acceder a ellos ignora los criterios que han de guiar la motivación de su decisión. No hay patrón que separe las conductas arbitrarias de las razonables.

5.3.3. El tratamiento debe estar sujeto a una supervisión independiente. Al ignorarse la causa o fin que motiva la conservación de los datos por parte de las empresas de telecomunicación, se produce una incertidumbre sobre la disposición de los mismos. En principio, si se usan para una investigación criminal o de seguridad nacional, la legislación específica requiere la autorización judicial. Pero el artículo 189 ordena a los prestadores del servicio atender al mandamiento de toda “autoridad competente”. Se abre así un ingente espacio de inseguridad, que no es aceptable a la luz de los requisitos de la Unión Europea. ¿De qué autoridad se trata? ¿Son independientes o dependen del Ejecutivo? Es imprescindible determinar la autoridad competente, que ha de ser independiente, según la finalidad de tratamiento.

5.3.4. Las personas deben disponer de vías de acción efectivas. Es obvio que la conservación generalizada de todo dato de cualquier persona supone en definitiva una quiebra de las vías de protección efectiva, sobre todo cuando se ignoran las circunstancias que pueden motivar el acceso a los datos y qué autoridades pueden acceder. Se recomienda establecer prever el deber de informar a la persona que ha sido investigada, sin que la indagación llegase a tomar cuerpo en un proceso penal.

6. Consideraciones generales sobre el procedimiento de adecuación. Con la intención de concluir de forma coherente el Estudio Técnico se considera pertinente dedicar una serie de notas explicativas relativas a los aspectos normativos, jurisprudenciales y documentales conforme a los cuales se conduciría el procedimiento de adecuación en términos del RGPD y las distintas orientaciones emitidas por los órganos de consulta de la UE, pues de ello dependerá no sólo, la concreción final del Estudio sino la posibilidad de que puedan conocerse las etapas posteriores para el desarrollo del proceso de adecuación.

21

En este sentido, se considera fundamental que el INAI pueda identificar con claridad los distintos elementos jurídicos bajo los cuales se sustenta el proceso de adecuación, sus etapas, características y distintas manifestaciones prácticas. Lo anterior, sin dejar de lado la explicación sobre el régimen de transferencias internacionales en el RGPD como andamiaje del diseño institucional del proceso de adecuación. Dicho sustento teórico-jurídico concluye y soporta las distintas precisiones y posturas jurídicas sostenidas en el Estudio Técnico. Finalmente, se aporta un resumen de los 4 componentes fundamentales del Estudio Técnico y con base en los cuales se sostiene la necesidad de modificar la normatividad actual para atender los requerimientos de la CE para que México pueda ser acreedor al reconocimiento como país con un nivel adecuado de protección.

6.1. Las transferencias internacionales de datos personales desde la perspectiva de la UE

La circulación internacional de los datos personales tiene una relevancia cada vez mayor en el contexto económico y político actual, determinado por la globalización y la creciente digitalización de los bienes y servicios. Los flujos transfronterizos de datos son imprescindibles para los intercambios comerciales e institucionales y se han convertido en una necesidad práctica cotidiana. Sin embargo, no se puede desconocer que las transferencias internacionales de datos de carácter personal comportan notables riesgos para los derechos fundamentales de los individuos si no se garantiza un nivel adecuado de protección. Esta exigencia, se considera irrenunciable en la UE habida cuenta de que el derecho a la protección de los datos de carácter personal está reconocido y garantizado como un derecho fundamental y se ha dotado de un elevado estándar de salvaguardas con la aprobación del RGPD. A resultas de ello, las trasferencias de datos desde la UE a terceros países o a organizaciones internacionales plantean el crucial desafío de asegurar el nivel de protección exigido en su territorio cuando los datos personales salen de la jurisdicción de sus Estados miembros.7

7 En este sentido, resulta plenamente elocuente el considerando 101 del RGPD: “Los flujos transfronterizos de datos personales a, y desde, países no pertenecientes a la Unión y organizaciones internacionales son necesarios para la expansión del comercio y la cooperación internacionales. El aumento de estos flujos plantea nuevos retos e inquietudes en lo que respecta a la protección de los datos de carácter personal. No obstante, si los datos personales se transfieren de la Unión a responsables, encargados u otros destinatarios en terceros países o a organizaciones internacionales, esto no debe menoscabar el nivel de protección de las personas físicas garantizado en la Unión por el presente Reglamento, ni siquiera en las transferencias ulteriores de datos personales desde el tercer país u organización internacional a responsables y encargados en el mismo u otro tercer país u organización internacional. En todo caso, las transferencias a terceros países y organizaciones internacionales solo pueden llevarse a cabo de plena conformidad con el presente Reglamento. Una transferencia solo podría tener lugar si, a reserva de las demás disposiciones del presente Reglamento, el responsable o encargado cumple las disposiciones del presente Reglamento relativas a la transferencia de datos personales a terceros países u organizaciones internacionales.”

22

El punto de partida obligado, desde el que abordar cualquier solución jurídica a la cuestión planteada, lo proporciona la, CDFUE que, en sus artículos 7 8 y 8, 9 reconoce y garantiza expresamente tanto el derecho al respeto de la vida privada y familiar como el derecho a la protección de datos de carácter personal. En la medida en que, una transferencia de datos personales a terceros Estados u organizaciones internacionales, puede afectar a la protección otorgada por estos derechos, el legislador europeo está obligado a establecer un régimen de garantías adecuado para preservar el nivel de protección y, de este modo, evitar que se produzcan eventuales lesiones de los derechos y libertades fundamentales como consecuencia de los tratamientos ulteriores de los datos en el país de destino u en otros a los que pudieran ser reenviados. Así lo ha exigido el TJUE, que ha derivado del artículo 8.1 CDFUE un deber de salvaguardar el grado de protección que proporciona el derecho europeo, tanto en la regulación del régimen de las transferencias internacionales como en su aplicación práctica. Con anterioridad a la aprobación del RGPD, la Directiva 95/46/CE (hoy derogada), ya abordaba en su artículo 25 la cuestión de las transferencias a terceros países, estipulando que el Estado receptor de los datos debía de garantizar “un nivel de protección adecuado”. La imprecisión de esta noción generó algunas dudas interpretativas que acabaría resolviendo el TJUE extrayendo precisamente de la Carta los principios básicos que han de regir la transferencia de datos a terceros países y organizaciones internacionales. En la Sentencia de 6 de octubre de 2015, Schrems,10 -recaída aún bajo la vigencia de la Directiva 95/46/CE, pero cuando ya estaba muy avanzado el proceso de elaboración del RGPD-, el TJUE afrontó la cuestión suscitada por un ciudadano que ponía en duda la licitud de la transferencia de sus datos personales a los Estados Unidos, puesto que entendía que este país no ofrecía una protección suficiente. Al resolver la controversia específica, el Tribunal recuerda y subraya la clara conexión que existe entre el artículo 8 de la CDFUE y las garantías exigidas en relación con las transferencias internacionales. En concreto, al examinar el contenido del artículo 25 de la Directiva 95/46/CE en el que se regulaba el régimen de reconocimiento de que un país garantizaba un “nivel de protección adecuado”, habilitante para realizar transferencias al mismo.11 Tras lo cual, entra a trazar el contorno del concepto de “nivel de protección adecuado”, en los términos que más adelante se examinarán en detalle. Junto a esta relevante sentencia, hay que

8 Artículo 7. Respeto de la vida privada y familiar Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de sus comunicaciones. 9 Artículo 8. Protección de datos de carácter personal 1. Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan. 2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que le conciernan y a obtener su rectificación. 3. El respeto de estas normas estará sujeto al control de una autoridad independiente. 10 Sentencia de 6 de octubre de 2015, Schrems, C-362/14, ECLI:EU:C:2018:37 11 72. De esa forma, el artículo 25, apartado 6, de la Directiva 95/46 da cumplimiento a la obligación expresa de protección de los datos personales, prevista en el artículo 8, apartado 1, de la Carta, y pretende asegurar la continuidad del elevado nivel de protección en caso de transferencia de datos personales a un tercer país, como ha señalado el Abogado General en el punto 139 de sus conclusiones.

23

tener en cuenta también otra resolución del TJUE de gran importancia para perfilar el régimen jurídico de las transferencias de datos a terceros Estados y organizaciones internacionales en concordancia con las exigencias de los artículos 7 y 8 CDFUE. Se trata del Dictamen 1/1512 del TJUE, en el que se sometió a control previo el proyecto de Acuerdo entre Canadá y la UE sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros (PNR). En esta resolución, se remachó el mandato derivado de la Carta de garantizar en las transferencias internacionales de datos la continuidad del nivel elevado de protección de los derechos y libertades fundamentales dispensado por el derecho europeo y se fijaron algunas condiciones adicionales que había de regular esas transferencias:

“134 Este derecho a la protección de los datos de carácter personal exige, en concreto, que en caso de transferencia de tales datos desde la Unión a un país tercero, quede garantizada la continuidad del elevado nivel de protección de los derechos y libertades fundamentales conferido por el Derecho de la Unión. Aunque los medios encaminados a garantizar tal nivel de protección puedan ser diferentes de los aplicados en la Unión para garantizar el cumplimiento de las exigencias derivadas del Derecho de la Unión, tales medios deben ser eficaces en la práctica para asegurar una protección sustancialmente equivalente a la garantizada en la Unión (véase, por analogía, la sentencia de 6 de octubre de 2015, Schrems, C 362/14, EU:C:2015:650, apartados 72 a 74). […] 140 En cuanto a la observancia del principio de proporcionalidad, la protección del derecho fundamental al respeto de la vida privada en el ámbito de la Unión exige, con arreglo a la jurisprudencia reiterada del Tribunal de Justicia, que las excepciones a la protección de los datos personales y las limitaciones de esa protección no excedan de lo estrictamente necesario (sentencias de 16 de diciembre de 2008, Satakunnan Markkinapörssi y Satamedia, C 73/07, EU:C:2008:727, apartado 56; de 8 de abril de 2014, Digital Rights Ireland y otros, C 293/12 y C 594/12, EU:C:2014:238, apartados 51 y 52; de 6 de octubre de 2015, Schrems, C 362/14, EU:C:2015:650, apartado 92, y de 21 de diciembre de 2016, Tele2 Sverige y Watson y otros, C 203/15 y C 698/15, EU:C:2016:970, apartados 96 y 103). 141 Para cumplir este requisito, la normativa controvertida que conlleve la injerencia debe establecer reglas claras y precisas que regulen el alcance y la aplicación de la medida en cuestión e impongan unas exigencias mínimas, de modo que las personas cuyos datos se hayan transferido dispongan de garantías suficientes que permitan proteger de manera eficaz sus datos de carácter personal contra los riesgos de abuso. En particular, dicha normativa deberá indicar en qué circunstancias y con arreglo a qué requisitos puede adoptarse una medida que contemple el tratamiento de tales datos, garantizando así que la injerencia se limite a lo estrictamente necesario. La necesidad de disponer de tales garantías reviste especial importancia cuando los datos personales se someten a un tratamiento automatizado. Estas consideraciones son aplicables en particular cuando está en juego la protección de esa categoría particular de datos personales que son los datos sensibles (véanse, en este sentido, las sentencias de 8 de abril de 2014, Digital Rights Ireland y otros, C 293/12 y C 594/12, EU:C:2014:238, apartados 54 y 55, y de 21 de diciembre de 2016, Tele2 Sverige y Watson y otros, C 203/15 y C 698/15, EU:C:2016:970, apartados 109 y 117; véase, en este sentido, TEDH, sentencia de 4 de diciembre de 2008, S. y Marper c. Reino Unido, ECLI:CE:ECHR:2008:1204JUD003056204, § 103).

12 Dictamen del Tribunal de Justicia, 1/15 de 26 de julio de 2017, ECLI:EU:C:2016:656,

24

A la luz de esta jurisprudencia, es patente que la UE ha de condicionar las transferencias internacionales de datos personales a la garantía del mantenimiento de un nivel de protección equiparable al que tienen en su territorio, condicionalidad en la que también subyace cierta vocación de fijar un estándar universal en la materia. Para comprender esta ambiciosa vocación conviene recordar los hitos del proceso de integración europea. En sus inicios fue esencialmente una organización internacional encaminada a eliminar las barreras proteccionistas y construir un mercado único. Sin embargo, con el transcurrir del tiempo se alcanzó la conclusión de que era imposible construir un mercado interior al margen de los derechos fundamentales, categoría constitucional sobre la que se habían reconstruido los ordenamientos de los Estados miembros tras la Segunda Guerra Mundial. Así, significativamente desde el Tratado de Maastricht, se entiende que la UE, además de una organización con fines económicos, es una comunidad de valores, tal y como expresa hoy el artículo 2 del Tratado de la Unión Europea.13

Esa concepción de la Unión como comunidad de valores se proyecta no solamente ad intra, en la relación con los Estados miembros, sino también ad extra, en el contexto de la actuación exterior de la Unión, hasta el punto de que los derechos fundamentales se imponen frente al derecho internacional, incluidas las normas de ius cogens 14. En esta defensa de los derechos fundamentales en las relaciones exteriores no solo late una búsqueda de la universalización de valores, sino que también implica una posición de defensa frente al dumping social, para evitar así la huida de sectores económicos que busquen una reducción de los costes que conllevaría una protección de datos más liviana. La vocación de universalizar un estándar de protección de los datos, es a su vez un esfuerzo por garantizar una competencia económica equitativa.

6.2. El marco estructural de las transferencias de datos personales a terceros países y organizaciones internacionales en el RGPD.

El RGPD acoge plenamente la exigencia, derivada de la CDFUE y expresada en la jurisprudencia del TJUE, relativa a la necesidad de garantizar un nivel adecuado de protección de los derechos y libertades fundamentales de las personas físicas con ocasión de las exportaciones de sus datos. Dedica todo el Capítulo V a regular el régimen jurídico de las transferencias internacionales, estableciendo los requisitos y las salvaguardas dirigidas a asegurar que las comunicaciones de datos a terceros países y organizaciones internacionales no menoscaben el nivel de protección garantizado por el propio Reglamento. En esta línea, en el artículo 44, que abre el Capítulo V, se establece el “Principio general de las transferencias”, conforme al cual se determina que solo se realizarán transferencias de datos 13 Artículo 2 La Unión se fundamenta en los valores de respeto de la dignidad humana, libertad, democracia, igualdad, Estado de Derecho y respeto de los derechos humanos, incluidos los derechos de las personas pertenecientes a minorías. Estos valores son comunes a los Estados miembros en una sociedad caracterizada por el pluralismo, la no discriminación, la tolerancia, la justicia, la solidaridad y la igualdad entre mujeres y hombres. 14 Tribunal de Justicia de 3 de septiembre de 2008, Kadi, C-402/05 P, ECLI:EU:C:2008:461, ap. 326-327); Sentencia del Tribunal de Justicia de 27 de febrero de 2018, Western Sahara Campaign UK, C-266/16, ECLI:EU:C:2018:118, ap. 46)

25

personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado.” Como puede apreciarse, el principio general que preside todo el régimen de transferencias internacionales estipulado por el RGPD descansa en la exigencia de cumplir las “condiciones establecidas” en el citado Reglamento. De no darse este presupuesto, está prohibida cualquier exportación de datos personales a terceros países u organizaciones internacionales. En consecuencia, sólo se considerarán lícitas las transferencias internacionales cuando el exportador (sea un responsable o un encargado) esté habilitado para ello porque haya observado los presupuestos y requisitos exigidos por el RGPD. Todo ello, con la finalidad de asegurar que el nivel de protección de los derechos de las personas garantizado por el Reglamento no resulte menoscabado a resultas de la exportación de los datos, como expresamente se proclama en el último inciso del artículo 44, de cuyo enunciado se deriva también que el objetivo de evitar el menoscabo del nivel de protección garantizado por el RGPD opera, a su vez, como un principio jurídico orientador de la aplicación e interpretación de las condiciones que habilitan las transferencias a terceros países y organizaciones internacionales. Por otra parte, es preciso tener en cuenta que el artículo 44 RGPD exige también que los datos que van a ser transferidos y que se encuentran en un Estado miembro de la Unión, deben haber sido tratados conforme al conjunto de reglas dispuestas en el RGPD. Es por ello que el artículo 44 establece que “solo se realizarán transferencias […] si, a reserva de las demás disposiciones del presente Reglamento…”. Por tanto, no hay cabida a un tratamiento de inferior garantías al RGPD por la única razón de que su finalidad principal sea la exportación a países terceros, sin circulación en la Unión. En consecuencia, el responsable o el encargado que quiera transferir internacionalmente datos desde la UE, deberá primero cumplir con todas las condiciones exigidas con carácter general por el RGPD para que los tratamientos que realice en el territorio europeo sean lícitos y, a continuación, satisfacer un segundo grupo de exigencias, que son las recogidas en los artículos 45 y siguientes. En definitiva, quien pretenda exportar datos fuera de la Unión deberá observar el régimen general y, además, el especial de transferencias a terceros países y organizaciones internacionales.

6.2.1. La noción de “transferencia”. Resulta llamativo que el RGPD, ni en el artículo 4 -destinado a las definiciones-, ni en ningún otro precepto concrete el significado de la noción de “transferencia”. Existe no obstante un alto grado de consenso acerca de que, al igual que sucedía bajo la Directiva 95/46/CE, la noción ha de ser interpretada con arreglo a un criterio teleológico: atendiendo a que la finalidad de la regulación es evitar que el nivel de protección garantizado en la UE se vea menoscabado por la comunicación de

26

los datos a “responsables, encargados u otros destinatarios en terceros países u organizaciones internacionales”, tal y como indica el Considerando 101. En consecuencia, la noción de “transferencia” se ha de entender en un sentido amplio, comprendiendo cualquier actividad por la que un destinatario situado fuera del territorio de la UE tenga acceso a los datos personales.15 Y, a estos efectos, destinatario no es sólo un “tercero” en el sentido específico de la normativa de protección de datos (artículo 4.10 RGPD), sino cualquier “persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales” tal y como se define en el artículo 4.9. Lo cual supone que dentro de la noción de transferencia se incluyen también las comunicaciones de responsable a encargado (o viceversa), de encargado a (sub)encargado, y las realizadas en el seno de empresas o grupos empresariales. Con todo, es preciso tener presente que el Tribunal de Justicia ha excluido expresamente del concepto de transferencias internacionales la información puesta a conocimiento de terceros a través de una página web, de lo que parece deducirse que el Tribunal, para identificar una transferencia internacional, exige una mínima voluntad de entrega a un destinatario específico. Concretamente ha declarado en la Sentencia Lindqvist:

“69. Si el artículo 25 de la Directiva 95/46 se interpreta en el sentido de que existe una «transferencia a un país tercero de datos» cada vez que se publican datos personales en una página web, dicha transferencia será forzosamente una transferencia a todos los países terceros en los que existen los medios técnicos necesarios para acceder a Internet. El régimen especial que prevé el capítulo IV de la citada Directiva se convertiría entonces necesariamente, por lo que se refiere a las operaciones en Internet, en un régimen de aplicación general. En efecto, en cuanto la Comisión detectara, con arreglo al artículo 25, apartado 4, de la Directiva 95/46, que un solo país tercero no garantiza un nivel de protección adecuado, los Estados miembros estarían obligados a impedir cualquier difusión de los datos personales en Internet.”

Establecidos los rasgos principales del concepto de transferencia, la dimensión internacional nos remite a la teoría general del derecho internacional, que nos da los elementos para distinguir cuándo estamos en un Estado miembro de la UE o un Estado que no pertenece a ella. Por otra parte, el artículo 4 RGPD, en su numeral 26, ofrece la siguiente definición de organización internacional: “una organización internacional y sus entes subordinados de Derecho internacional público o cualquier otro organismo creado mediante un acuerdo entre dos o más países o en virtud de tal acuerdo”. Es importante UE que, en virtud del concepto de transferencia antes expuesto, la condición de Estado ajeno a la UE no se altera en aquello supuestos, esencialmente mercantiles, en los que una sucursal situada en un tercer Estado tiene su matriz en otro de la UE. El envío recíproco de datos es una transferencia internacional sometida a las condiciones de los artículos 44 y siguientes, sin que la unidad de acción empresarial modifique la naturaleza trasnacional del movimiento de datos. 15 En rigor, fuera del Espacio Económico Europeo (EEE), dado que el RGPD se aplica también en Noruega, Islandia y Liechtenstein, una vez que fue incorporado al Acuerdo EEE por la DECISIÓN DEL COMITÉ MIXTO DEL EEE Nº 154/2018 de 6 de julio de 2018. No obstante, en el estudio se hará referencia, como es habitual, al territorio de la UE, debiendo entenderse que, a estos efectos, abarca también los tres países mencionados.

27

Por último, hay que tener presente que artículo 44 del RGPD pretende garantizar lo que la doctrina viene identificando como la “protección perpetua” del derecho fundamental de protección de datos, pues extiende el ámbito de aplicación “a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional”. La inclusión de las transferencias ulteriores bajo el mandato de garantía equivalente o suficiente, implica que a la hora de evaluar el nivel de protección de un tercer Estado, se hace preciso un análisis específico, no solo de su régimen general, sino también de su regulación interna de las transferencias a terceros países.

6.2.2. Tipos de transferencias internacionales habilitadas por el RGPD. El RGPD establece una pluralidad de instrumentos que habilitan las transferencias internacionales de datos personales. A ellos dedica los artículos 45 a 49. Las principales modalidades son las siguientes:

a) Transferencias basadas en una decisión de adecuación (artículo 45 RGPD)

Estas transferencias se realizan bajo el amparo de un acto ejecutivo de la CE, emanado tras evaluar el nivel de protección del Estado o la organización internacional (artículo 45.3). Dado que constituyen el objeto principal de este informe, se analizan en detalle a continuación. Ahora basta con señalar que su consecuencia principal es que el acto ejecutivo vincula a todos los Estados miembros y, en su virtud, no se exige ninguna autorización particular para las transferencias.

b) Transferencias en las que no existe decisión de adecuación, pero el responsable ofrece garantías adecuadas (artículo 46 RGPD)

El RGPD permite en su artículo 46 que se realicen transferencias internacionales a terceros países u organizaciones internacionales que no cuenten con una decisión de adecuación a condición de que el exportador (sea el responsable o el encargado) ofrezca garantías adecuadas de que los interesados cuentan con derechos exigibles y acciones legales efectivas. Dependiendo de que tales garantías hayan sido aprobadas o no por las autoridades de control, se admiten distintos instrumentos para otorgarlas. Si existe autorización de la autoridad de control competente pueden otorgarse mediante: “a) cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional, o b) disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados”. En cambio, si no existe “autorización expresa” de la autoridad de control, las garantías adecuadas deberán aportarse mediante alguna de las siguientes fórmulas: “a) un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos; b) normas corporativas vinculantes de conformidad con el artículo 47; c) cláusulas tipo de protección de datos adoptadas por la Comisión […]; d) cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión […]; e) un código de conducta aprobado con arreglo al artículo 40, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer

28

país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados, o f) un mecanismo de certificación aprobado con arreglo al artículo 42, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados”.

c) Transferencias justificadas por motivos específicos, entre ellos el consentimiento (artículo 49)

Finalmente, el RGPD admite las transferencias que, sin encajar en los dos anteriores supuestos, cumplen alguna de las condiciones que recoge el artículo 49: consentimiento informado del interesado, transferencia necesaria para la ejecución de un contrato entre interesado o responsable, para la celebración o ejecución de un contrato por parte del responsable en interés del interesado, por razones importantes de interés público, en el marco de reclamaciones, para proteger intereses vitales si el interesado no puede manifestar su consentimiento, y si la transferencia se realiza desde un registro público abierto a la consulta general. Dentro de este contexto de excepciones, el último párrafo del apartado 1 del artículo 49 prevé un tipo de transferencia adicional que “solo se podrá llevar a cabo si no es repetitiva, afecta solo a un número limitado de interesados, es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y el responsable del tratamiento evaluó todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofreció garantías apropiadas con respecto a la protección de datos personales”. Además, el responsable informará a la autoridad de control y al interesado.

6.2.2.1. Transferencias basadas en una decisión de adecuación.

El RGPD regula en el artículo 45 el régimen de las “Transferencias basadas en una decisión de adecuación”, como reza su título. En su apartado primero dispone lo siguiente:

“Podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica.”

En este breve apartado se perfilan ya los elementos esenciales de las “decisiones de adecuación”. Como puede apreciarse, a diferencia de lo que sucedía bajo la Directiva 95/46/CE, la competencia para valorar y determinar la existencia de un nivel adecuado de protección se confiere en exclusiva a la CE. Se ha suprimido por tanto la posibilidad de que la decisión la adopte un Estado Miembro o incluso un responsable que, al menos formalmente, cabían bajo la anterior regulación.

En lo que respecta a su ámbito, se reconoce expresamente que, aunque la decisión de adecuación normalmente se referirá al conjunto de un Estado, no tiene que ser necesariamente así. Se admite de manera expresa la posibilidad de decisiones de adecuación parcial, circunscritas a determinados territorios o a sectores específicos de un país, siempre que se puedan delimitar con arreglo a

29

criterios objetivos. De hecho, a día de hoy, existen ya tres destacados ejemplos de decisiones de adecuación parcial. En el caso de Canadá, la Decisión solo cubre las transferencias a los receptores sometidos a la Personal Information Protection and Electronic Documents Act.16 En el de los Estados Unidos de América, el reconocimiento únicamente se extiende a las entidades certificadas en el marco del Escudo de Privacidad UE-EE.UU.17 Y, en lo que concierne a Japón, la única decisión adoptada tras la entrada en vigor del RGPD, circunscribe su alcance a los datos transferidos a las entidades privadas que entran dentro del ámbito de aplicación de la Ley sobre la protección de información personal.18

Junto a ello, se determinan inequívocamente cuáles son los efectos de este tipo de actos de la CE: una vez adoptada la decisión de adecuación, las trasferencias de datos personales desde la UE a destinatarios incluidos en su ámbito de aplicación “no requerirán ninguna autorización específica” por parte de ninguna autoridad de los Estados. En virtud de la primacía del derecho de la UE, todos los órganos de los Estados miembros –y, entre ellos, sus autoridades de protección de datos- están vinculados por la decisión de la CE y no podrán desconocerla o inaplicarla. En caso de considerar que en el tercer estado concernido no se garantiza una protección adecuada de los datos personales, la única posibilidad de la que disponen es impugnar la decisión ante los tribunales nacionales al objeto de que planteen una cuestión prejudicial ante el TJUE con el fin de que se pronuncie sobre su validez, tal y como el propio TJUE dejó claro en su Sentencia sobre el asunto Schrems.

Finalmente, del apartado primero del artículo 45 se deriva que el presupuesto para adoptar una decisión de esta naturaleza es que el tercer país (en su conjunto o en relación con un territorio o uno o varios sectores específicos del mismo), o la organización internacional, garanticen “un nivel de protección adecuado”. En consecuencia, corresponde a la CE evaluar si el nivel de protección de los datos de carácter personal en el país de destino es el exigido.

6.2.2.2. El alcance de la exigencia de un “nivel de protección adecuado”.

A estos efectos, en el apartado segundo del artículo 45 se indican una serie de elementos que la CE deberá tener en cuenta al evaluar si el nivel de protección es o no el adecuado. Sin embargo, nada se dice en el articulado del RGPD sobre la cuestión crucial del contenido sustantivo de la exigencia de un “nivel adecuado de protección”, esto es, sobre cuál es la intensidad de la protección que se considera adecuada. La respuesta a este interrogante figura en el Considerando 104 del RGPD en el

16 Decisión de la Comisión de 20 de diciembre de 2001 con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección de los datos personales conferida por la ley canadiense Personal Information and Electronic Documents Act 17 Decisión de ejecución (UE) 2016/1250 de la Comisión de 12 de julio de 2016 con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU. 18 Decisión de Ejecución (UE) 2019/419 de la Comisión de 23 de enero de 2019 con arreglo al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativa a la adecuación de la protección de los datos personales por parte de Japón en virtud de la Ley sobre la protección de la información personal

30

que se indica que “El tercer país debe ofrecer un nivel de garantías que aseguren un nivel adecuado de protección equivalente en lo esencial al ofrecido en la Unión”. En este pasaje fue incorporado en la fase final del procedimiento legislativo (“trílogo”) con el fin de recoger la doctrina establecida por el TJUE en la transcendental Sentencia Schrems, de 6 de octubre de 2015 ya mencionada. En esta resolución, el Tribunal se vio obligado a afrontar la falta de definición del término “adecuado” en el artículo 25 de la Directiva 95/46 CE y fijó un criterio interpretativo que es plenamente válido para el RGPD y, como decimos, fue acogido a última hora en sus considerandos.

El TJUE parte de la propia literalidad del precepto para descartar una exigencia de identidad en el nivel de protección pero, al mismo tiempo, rechaza algunas interpretaciones laxas de la noción de adecuación que se habían defendido al manifestar con rotundidad que por “nivel de protección adecuado” debe entenderse “un nivel de protección de las libertades y derechos fundamentales sustancialmente equivalente al garantizado en la Unión”, pues de no ser así se frustraría el objetivo de dar cumplimiento a la protección de los datos personales exigida por el artículo 8 de la CDFUE.

73 Es verdad que el término «adecuado» que figura en el artículo 25, apartado 6, de la Directiva 95/46 significa que no cabe exigir que un tercer país garantice un nivel de protección idéntico al garantizado en el ordenamiento jurídico de la Unión. Sin embargo, como ha manifestado el Abogado General en el punto 141 de sus conclusiones, debe entenderse la expresión «nivel de protección adecuado» en el sentido de que exige que ese tercer país garantice efectivamente, por su legislación interna o sus compromisos internacionales, un nivel de protección de las libertades y derechos fundamentales sustancialmente equivalente al garantizado en la Unión por la Directiva 95/46, entendida a la luz de la Carta. En efecto, a falta de esa exigencia el objetivo mencionado en el anterior apartado de la presente sentencia se frustraría. Además, el elevado nivel de protección garantizado por la Directiva 95/46 entendida a la luz de la Carta se podría eludir fácilmente con transferencias de datos personales desde la Unión a terceros países para su tratamiento en éstos.19

En la medida en que se requiere una equivalencia sustancial, que no identidad, el tercer Estado dispone de un margen de libertad de medios para lograr esa protección efectiva, pero ello obliga a la CE a constatar no solo la normativa sino también la práctica:

74. De la redacción misma del artículo 25, apartado 6, de la Directiva 95/46 resulta que es el ordenamiento jurídico del tercer país al que se refiere la decisión de la Comisión el que debe garantizar un nivel de protección adecuado. Aunque los medios de los que se sirva ese tercer país para garantizar ese nivel de protección pueden ser diferentes de los aplicados en la Unión para garantizar el cumplimiento de las exigencias derivadas de esa Directiva entendida a la luz de la Carta, deben ser eficaces en la práctica para garantizar una protección sustancialmente equivalente a la garantizada en la Unión.

19 En el apartado anterior al que alude se decía: “De esa forma, el artículo 25, apartado 6, de la Directiva 95/46 da cumplimiento a la obligación expresa de protección de los datos personales, prevista en el artículo 8, apartado 1, de la Carta, y pretende asegurar la continuidad del elevado nivel de protección en caso de transferencia de datos personales a un tercer país, como ha señalado el Abogado General en el punto 139 de sus conclusiones.”

31

75. Siendo así, al valorar el nivel de protección ofrecido por un tercer país la Comisión está obligada a apreciar el contenido de las reglas aplicables en ese país, derivadas de la legislación interna o de los compromisos internacionales de éste, así como la práctica seguida para asegurar el cumplimiento de esas reglas, debiendo atender esa institución a todas las circunstancias relacionadas con una transferencia de datos personales a un tercer país, conforme al artículo 25, apartado 2, de la Directiva 95/46.

Y, en todo caso, la comprobación ha de ser periódica para verificar que se mantiene el nivel de protección exigido por la normatividad:

76. De igual modo, dado que el nivel de protección garantizado por un tercer país puede evolucionar, incumbe a la Comisión, tras adoptar una decisión en virtud del artículo 25, apartado 6, de la Directiva 95/46, comprobar periódicamente si sigue siendo fundada en Derecho y de hecho la constatación sobre el nivel de protección adecuado garantizado por el tercer país en cuestión. En cualquier caso esa comprobación es obligada cuando hay indicios que generan una duda en ese sentido.

En definitiva, el TJUE exige que el tercer país o la organización internacional que aspira a obtener un reconocimiento de adecuación proporcione, en su conjunto, considerando tanto su regulación como su práctica, un nivel de protección de los derechos y libertades fundamentales y, en particular, del derecho a la protección de los datos de carácter personal “sustancialmente equivalente” o “equivalente en lo esencial” (“essentially equivalent”) al existente en la UE. No se exige identidad, pero sí equivalencia en el resultado. Siendo el resultado equivalente, los medios por los que se alcanza pueden ser diferentes a los aplicados en la UE pero deben garantizar un nivel de protección equiparable con los estándares europeos, por lo que, la ausencia de medidas específicamente previstas en el RGPD puede traducirse en una imposibilidad material de que el tercer país obtenga un resultado favorable durante el proceso de reconocimiento del nivel de adecuación.

Esta doctrina del TJUE se ha consolidado como el parámetro de la intensidad del control de adecuación. Como ya se ha indicado, fue incorporada in extremis en el considerando 104 RGPD, está recogida en las Referencias de adecuación del GT 29 y fue aplicada por la propia CE con motivo del reconocimiento de la adecuación de Japón como puede leerse en el apartado 3 de su Decisión20:

Tal como se especifica en el artículo 45, apartado 2, del Reglamento (UE) 2016/679, la adopción de una decisión de adecuación ha de basarse en un análisis exhaustivo del ordenamiento jurídico del tercer país, por lo que se refiere tanto a las normas aplicables a los importadores de datos como a las limitaciones y salvaguardas en lo que respecta al acceso a los datos personales por parte de las autoridades públicas. La evaluación debe determinar si el tercer país en cuestión garantiza un nivel de protección «equivalente en lo esencial» al ofrecido en la Unión Europea [considerando 104 del Reglamento (UE) 2016/679]. Tal como ha precisado el Tribunal de Justicia de la Unión Europea, no se exige un nivel de protección idéntico. En particular, los medios de que se sirve el tercer país en cuestión pueden ser diferentes de los aplicados en la Unión Europea, siempre que, en la práctica,

20 Decisión de Ejecución (UE) 2019/419 de la Comisión de 23 de enero de 2019 con arreglo al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativa a la adecuación de la protección de los datos personales por parte de Japón en virtud de la Ley sobre la protección de la información personal

32

sean eficaces para garantizar un nivel de protección adecuado. Por consiguiente, el nivel de adecuación no exige que se reproduzcan al pie de la letra las normas de la Unión. Se trata más bien de determinar si el sistema extranjero ofrece, en su conjunto y por la esencia de los derechos de privacidad y su aplicación, fuerza ejecutiva y supervisión efectivas, el nivel de protección exigido.

6.2.2.3. La naturaleza de la evaluación.

La evaluación prescrita en el artículo 45 RGPD consiste en una verificación funcional caracterizada por tres aspectos. El primero tiene que ver con el objeto del control, que no es la legislación o la normatividad en sentido estricto, al uso del juicio que emiten los tribunales. La verificación ha de ir más allá de las normas y debe llegar hasta las prácticas para constatar la efectiva protección conferida a los datos personales en el Estado candidato al reconocimiento de adecuación. En segundo lugar, es un análisis global, de manera que los déficits en un punto no llevan necesariamente a una conclusión negativa, aunque existen ciertos criterios sin los cuales la valoración positiva se hace muy difícil o imposible. Y, en tercer lugar, la evaluación se desarrolla como un trabajo en progreso, como un análisis que sirve también para dirigir o encaminar la actuación del Estado sometido a estudio. A todo ello hay que añadir que se trata de una actividad cuyo resultado está sujeto al control jurisdiccional del TJUE, por lo que el margen de apreciación del que dispone la CE es limitado.

6.2.2.3.1. Los presupuestos materiales de la letra a).

En la letra a) se relacionan de una manera bastante asistemática una serie de presupuestos materiales que han de ser objeto de evaluación que cabría ordenar en tres grupos. El primero tiene que ver con las características esenciales de todo Estado constitucional democrático (el principio de Estado de Derecho y el respeto a los derechos humanos y libertades fundamentales). El segundo estaría ya referido al régimen general de la protección de los datos personales, abarcando tanto la legislación general como la sectorial (incluida la relativa a áreas sensibles como la seguridad pública, la defensa, la seguridad nacional y la legislación penal), así como la aplicación práctica de dicha legislación. Y el tercero, versa sobre el problema especial de la protección de datos personales en el ámbito de la investigación criminal y la seguridad nacional, incluida la cuestión del acceso de las autoridades públicas a los datos personales con esos fines.

6.2.2.3.1.1. El Estado de Derecho y el respeto de los derechos humanos y las libertades fundamentales.

En la práctica, la evaluación se centra principalmente en los grupos segundo y tercero, en el bien entendido de que la falta de cumplimiento del primero supone ya una falla esencial que hace imposible evaluar la adecuación. No obstante, hay que tener en cuenta que la UE tiene una larga experiencia en el análisis del Estado de derecho y el respeto de los derechos fundamentales, porque el artículo 49 del Tratado de la UE exige a los Estados candidatos la observancia de los valores

33

recogidos en el artículo 2, entre los que se encuentran los derechos humanos y las libertades públicas, valores que se han de garantizar asimismo durante la pertenencia a la UE, de acuerdo con el artículo 7 del Tratado de la Unión. A este respecto, existen documentos oficiales que ofrecen elementos trasladables sin dificultad al contexto de la letra a). Es el caso, por ejemplo del Anexo a la Comunicación de la CE al Parlamento Europeo y al Consejo “Un nuevo marco de la UE para reforzar el Estado de Derecho”21, en el que se concreta el respeto al Estado de derecho en los siguientes elementos: el principio de legalidad “que en términos sustanciales implica la existencia de un proceso legislativo transparente, responsable, pluralista y democrático”; la seguridad jurídica “que requiere, entre otras cosas, que las normas sean claras y previsibles y no puedan modificarse retroactivamente”; la prohibición de la arbitrariedad de los poderes ejecutivos; la tutela judicial efectiva e independiente, incluido el respeto de los derechos fundamentales; y la igualdad ante la ley.

6.2.2.3.1.2. La legislación y la práctica de protección de datos personales.

El segundo grupo tiene un contenido muy amplio y abarca toda la legislación relacionada con la protección de los datos de carácter personal, así como la práctica administrativa y judicial en este ámbito. A efectos prácticos, su contenido ha sido precisado por el GT29 en el Documento “Referencias sobre la adecuación” (WP 254), que posteriormente fue asumido por el CEPD.22 Se trata de un documento que, tal y como indica en su introducción, persigue ofrecer una orientación, basada en las previsiones del RGPD, tanto a la CE como al propio GT29 (ahora CEPD) para llevar a cabo la evaluación del nivel de protección de los datos personales en los países u organizaciones candidatos al reconocimiento de adecuación, “estableciendo los principios básicos sobre protección de datos que deben estar presentes” en su marco jurídico “a fin de garantizar una equivalencia esencial con el marco de la UE”. Junto a ello, se presenta también como una orientación a “terceros países y organizaciones internacionales interesadas en obtener adecuación”.

El Documento WP 254, junto con el WP 237 al que más adelante se hará referencia, proporcionan hoy en día la guía más fiable para interpretar las previsiones del RGPD relativas a la evaluación del nivel de protección exigido para obtener el reconocimiento de adecuación. Los parámetros que establecen incorporan los criterios del art. 45 RGPD, especificando su contenido y alcance a la luz de la jurisprudencia del TJUE. Su relevancia práctica ha quedado de manifiesto en el proceso de adecuación de Japón, el único habido tras la entrada en vigor del RGPD, tanto en el Informe del CEPD23 como en la motivación de la propia Decisión de la CE. De ahí que en este estudio se hayan tomado también como referencia para evaluar los elementos relevantes del ordenamiento y la práctica de México en materia de protección de datos personales.

21 COM (2014) 158 final 22 WP 254, rev.1: “Referencias sobre adecuación”, aprobado el 28 de noviembre de 2017, revisado por última vez y aprobado el 6 de febrero de 2018. Adapta el previo WP 12 elaborado bajo la Directiva 95/46 al nuevo régimen del RGPD. Fue avalado por el CEPD en su primera sesión plenaria de 25 de mayo de 2018. 23 Opinion 28/2018 regarding the European Commission Draft Implementing Decision on the adequate protection of personal data in Japan, adoptada el 5 de diciembre de 2018.

34

6.2.2.3.1.3. El acceso por autoridades públicas a los datos personales y las “garantías esenciales”

El tercer grupo de elementos a evaluar conforme a la letra a) del artículo 45 RGPD no es tan evidente en su literalidad. Sin embargo, ha adquirido gran relevancia en la práctica como consecuencia del desarrollo de los acontecimientos y de la jurisprudencia del TJUE. Es el relativo al tratamiento de datos en el ámbito de la investigación criminal y la seguridad nacional y al acceso de las autoridades públicas a los datos personales con dichos fines. En este ámbito se ha producido una extensión de los elementos a valorar por el impacto de la jurisprudencia del TJUE que en sus decisiones Schrems, Tele2 Sverige AB y en el Dictamen 1/15, ha fijado unos criterios determinantes sobre el particular.

En la Sentencia Schrems el TJUE, aparte de precisar el sentido del “nivel adecuado de protección” en los términos que hemos visto, especificó algunos elementos que deben ser respetados para acreditar una equivalencia sustancial en la protección. El primero lo formula en los apartados 93 y 94, y conlleva la proscripción de regulaciones que autoricen de modo generalizado la conservación datos personales y de aquellas que no establezcan criterios objetivos que limiten el acceso de las autoridades públicas a los datos y su uso posterior. Su tenor es muy contundente, dice expresamente:

93 Pues bien, no se limita a lo estrictamente necesario una normativa que autoriza de forma generalizada la conservación de la totalidad de los datos personales de todas las personas cuyos datos se hayan transferido desde la Unión a Estados Unidos, sin establecer ninguna diferenciación, limitación o excepción en función del objetivo perseguido y sin prever ningún criterio objetivo que permita circunscribir el acceso de las autoridades públicas a los datos y su utilización posterior a fines específicos, estrictamente limitados y propios para justificar la injerencia que constituyen tanto el acceso a esos datos como su utilización [véase en ese sentido, acerca de la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE (DO L 105, p. 54), la sentencia Digital Rights Ireland y otros, C 293/12 y C 594/12, EU:C:2014:238, apartados 57 a 61].

94 En particular, se debe considerar que una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas lesiona el contenido esencial del derecho fundamental al respeto de la vida privada garantizado por el artículo 7 de la Carta (véase, en ese sentido, la sentencia Digital Rights Ireland y otros, C 293/12 y C 594/12, EU:C:2014:238, apartado 39).

Y con el segundo parámetro impone como requisito imprescindible la necesidad de garantizar la tutela judicial en el ejercicio de los derechos típicamente ligados a la protección de datos (acceso, rectificación y supresión):

95 De igual manera, una normativa que no prevé posibilidad alguna de que el justiciable ejerza acciones en Derecho para acceder a los datos personales que le conciernen o para obtener su rectificación o supresión no respeta el contenido esencial del derecho fundamental a la tutela judicial efectiva que reconoce el artículo 47 de la Carta. En efecto, el artículo 47, párrafo primero, de ésta establece que toda persona cuyos derechos y libertades garantizados por el Derecho de la Unión hayan sido violados tiene derecho a la tutela judicial efectiva, respetando las condiciones

35

establecidas en dicho artículo. En ese sentido, la existencia misma de un control jurisdiccional efectivo para garantizar el cumplimiento de las disposiciones del Derecho de la Unión es inherente a la existencia de un Estado de Derecho (véanse, en ese sentido, las sentencias Les Verts/Parlamento, 294/83, EU:C:1986:166, apartado 23; Johnston, 222/84, EU:C:1986:206, apartados 18 y 19; Heylens y otros, 222/86, EU:C:1987:442, apartado 14, y UGT Rioja y otros, C 428/06 a C 434/06, EU:C:2008:488, apartado 80).

Los pronunciamientos del TJUE en esta sentencia no pudieron ser plenamente acogidos en el texto del RGPD dado que en el momento en que se emitió la sentencia respectiva el RGPD estaba ya en una fase muy avanzada. Sin embargo, si fue incluida de forma parcial la letra a) del artículo 45.2, con una redacción precipitada acordada en el “trílogo”. Por otra parte, a raíz de la Sentencia Schrems, el GT29 decidió elaborar el Documento de trabajo para valorar las consecuencias generales de esa decisión e identificar unas garantías esenciales que recogiesen los elementos derivados de la jurisprudencia del Tribunal de Justicia de la Unión Europea, y también del Tribunal Europeo de Derechos Humanos. Su resultado fue el Documento de Trabajo 23724 (referido como WP 237) que contiene las llamadas “Garantías esenciales europeas”. Estas garantías, como el propio GT29 advierte en el documento van más allá de los procesos de reconocimiento de adecuación, son aplicadas para realizar una valoración sobre si una interferencia en los derechos fundamentales está justificada y, por lo tanto, dichas garantías son de aplicación general a las operaciones de tratamiento de datos, incluidas las transferencias a terceros países, sea cual sea su base (adecuación u otra).25

Las garantías esenciales individualizadas por el GT29 en el WP 237 son cuatro:

1. El tratamiento se ha de basar en reglas claras, precisas y accesibles. En este punto, el WP 237 se centra sobre todo en las investigaciones secretas. Requiere en ellas que la norma sea clara, precisa y accesible debe prever las circunstancias que motivan la indagación, las personas que pueden estar sometidas a ella, la duración de la medida, el procedimiento de examen, uso y conservación de los datos, y las condiciones de comunicación a terceros, así como el acceso de las autoridades competentes.

2. Se debe acreditar la necesidad y proporcionalidad del tratamiento conforme a unos objetivos legítimos. Queda en consecuencia proscrita una intervención general y masiva sobre los datos personales. La limitación de fines y la minimización se convierten en eje estructural de la protección.

3. Debe existir un mecanismo independiente de supervisión. La supervisión independiente debe proyectarse tanto sobre el momento en el que se ordena la intervención, como cuando se lleva a cabo y al terminar. La supervisión independiente no necesariamente ha de estar

24 Working Document 01/2016 on the justification of interferences with the fundamental rights to privacy and data protection through surveillance measures when transferring personal data (European Essential Guarantees) 25 “Essentially equivalent is the bar set by the CJEU to obtain an adequacy decision as foreseen in article 25(6) of the European data protection Directive, whereas the European Essential Guarantees provide guidance when assessing if an interference with a fundamental right can be justified and apply to all data processing operations, including transfers on the basis of Articles 25 and 26 of the Directive” (pág.3)

36

atribuida en un órgano judicial, pero existe preferencia por este tipo de autoridad cuando se trata de una investigación criminal.

4. El particular debe disponer con remedios efectivos. Debe existir una autoridad con poderes suficientes para asegurar la garantía y un remedio efectivo frente a vulneraciones concretas e individuales. Ese órgano debe tener un conocimiento pleno de los hechos y debe estar compuesto por personas expertas. En el caso del Derecho de la UE, se exige que los derechos sean ventilados ante un órgano judicial, a diferencia de la Convención Europea de Derecho Humanos, pues para el Tribunal Europeo de Derechos Humanos basta con que sea un órgano independiente.

Las condiciones de retención de los datos personales y los requisitos de acceso de las autoridades públicas fueron adicionalmente precisadas por el TJUE en la Sentecia Tele2 Sverige AB,26 en la que evaluó la licitud de un régimen general e indiferenciado de conservación retención de datos y afirmó lo siguiente:

109 Para cumplir los requisitos enumerados en el apartado anterior de la presente sentencia, dicha normativa nacional debe establecer, en primer lugar, normas claras y precisas que regulen el alcance y la aplicación de una medida de conservación de datos de este tipo y que establezcan unas exigencias mínimas de modo que las personas cuyos datos se hayan conservado dispongan de garantías suficientes que permitan proteger de manera eficaz sus datos personales frente a los riesgos de abuso. Debe indicar, en particular, en qué circunstancias y con arreglo a qué requisitos puede adoptarse, con carácter preventivo, una medida de conservación de datos, garantizando que tal medida se limite a lo estrictamente necesario (véase, por analogía, respecto a la Directiva 2006/24, la sentencia Digital Rights, apartado 54 y jurisprudencia citada).

[…]119 De este modo, y puesto que un acceso general a todos los datos conservados, con independencia de la existencia de una relación, por lo menos indirecta, con el fin perseguido, no puede considerarse limitado a lo estrictamente necesario, la normativa nacional de que se trate debe basarse en criterios objetivos para definir las circunstancias y los requisitos conforme a los cuales debe concederse a las autoridades nacionales competentes el acceso a los datos de los abonados o usuarios registrados. A este respecto, en principio sólo podrá concederse un acceso en relación con el objetivo de la lucha contra la delincuencia a los datos de personas de las que se sospeche que planean, van a cometer o han cometido un delito grave o que puedan estar implicadas de un modo u otro en un delito grave (véase, por analogía, TEDH, 4 de diciembre de 2015, Zakharov c. Rusia, CE:ECHR:2015:1204JUD004714306, § 260). No obstante, en situaciones particulares, como aquellas en las que intereses vitales de la seguridad nacional, la defensa o la seguridad pública están amenazados por actividades terroristas, podría igualmente concederse el acceso a los datos de otras personas cuando existan elementos objetivos que permitan considerar que esos datos podrían, en un caso concreto, contribuir de modo efectivo a la lucha contra dichas actividades.

120 Para garantizar en la práctica el pleno cumplimiento de estos requisitos, es esencial que el acceso de las autoridades nacionales competentes a los datos conservados esté sujeto, en principio, salvo en casos de urgencia debidamente justificados, a un control previo de un órgano jurisdiccional o de una entidad administrativa independiente, y que la decisión de este órgano jurisdiccional o de esta entidad se produzca a raíz de una solicitud motivada de esas autoridades,

26 STJUE de 21 de diciembre de 2016, Tele2 Sverige AB, C- 203/15 y C-698/15, ECLI:EU:C:2016:970,

37

presentada, en particular, en el marco de procedimientos de prevención, descubrimiento o acciones penales (véase, por analogía, respecto a la Directiva 2006/24, la sentencia Digital Rights, apartado 62; véanse igualmente, por analogía, en relación con el artículo 8 del CEDH, TEDH, 12 de enero de 2016, Szabó y Vissy c. Hungría, CE:ECHR:2016:0112JUD003713814, §§ 77 y 80).

Como se ha indicado, el GT29 sostiene en el WP 237 que las garantías europeas esenciales también se han de aplicar a las transferencias a terceros países con independencia de la base en la que se sustenten. El TJUE ha acogido este criterio en su Dictamen 1/15, en el que observa una surte de conflación entre el requisito de la equivalencia esencial delimitado en la Sentencia Schrems y la garantías europeas esenciales del WP 237.

El Dictamen 1/15 no enjuicia la sustancial equivalencia que ofrece un tercer Estado a raíz del control de la decisión de autorización del antiguo artículo 25 de la Directiva, hoy 45 del RGPD. Se evalúa la conformidad con la CDFUE, de un Tratado celebrado entre la Unión y el Canadá, es decir, el objeto de control es una fuente de Derecho de la UE, cuyo fin es articular la transferencia de datos personales a un tercer Estado. En este sentido, la lectura completa del Dictamen 1/15 muestra de qué modo el control de la transferencia de datos a terceros países termina abarcando los elementos de las garantías europeas esenciales. En el Dictamen 1/15 el TJUE se detiene en enjuiciar el carácter preciso y claro de las reglas relativas a los datos susceptibles de una transferencia (ap. 155 y sigs.), en especial los datos perspnales sensibles (ap. 164), siempre bajo la perspectiva de la necesidad de su tratamiento (proporcionalidad). Analiza igualmente las características del tratamiento automatizado de tales datos (ap. 168); la naturaleza de las autoridades que van a garantizar la protección de datos en el tercer Estado (ap. 182), en especial su independencia (ap. 228 y sigs); las transferencias ulteriores (ap. 212 y sigs.); los derechos de información, acceso y rectificación (ap. 221 y sigs.); y el derecho a interponer un recurso judicial que incluya el derecho de de indemnización (ap. 226).

Por otra parte, en el WP 254 se ha incorporado un capítulo 4 con el expresivo título “Garantías esenciales en terceros países para el acceso a los datos por parte de los cuerpos policiales y de seguridad nacional a fin de limitar las injerencias en los derechos fundamentales” el que se viene a integrar el contenido del WP 237 dentro de los parámetros de evaluación del nivel de protección de los candidatos a la adecuación, si bien, precisando su alcance en los siguientes términos:

El GT29 ha identificado en el dictamen WP237, adoptado el 13 de 2016, garantías esenciales que reflejan la jurisprudencia del TJUE y el CEDH en el ámbito de la vigilancia. Aunque las recomendaciones incluidas en el documento WP237 siguen siendo válidas y deben tenerse en cuenta al evaluar la adecuación de un tercer país en el ámbito de la vigilancia, la aplicación de estas garantías puede diferir en los ámbitos del acceso a los datos por parte de los cuerpos policiales y de seguridad nacional. En todo caso, para ser consideradas adecuadas, los terceros países deben respetar estas cuatro garantías para acceder a los datos, tanto para fines de seguridad nacional como para fines de cumplimiento de la ley. 1) El tratamiento debe basarse en normas claras, precisas y accesibles (base jurídica) 2) Se deben demostrar la necesidad y la proporcionalidad respecto a los objetivos legítimos perseguidos 3) El tratamiento debe estar sujeto a una supervisión independiente 4) Las personas deben disponer de vías de acción efectivas

38

En consecuencia estas garantías constituyen un marco general que debe ser considerado de manera integral y en conjunción con los elementos del WP 254 para determinar si un país garantiza un nivel adecuado de protección.

6.2.2.3.2. La exigencia institucional de la letra b): la existencia de una autoridad independiente

La protección de datos ha hecho suyas algunas de las novedades más importantes auspiciadas por la teoría general de los derechos fundamentales durante la segunda mitad del siglo xx. Sin duda, la más destacada es la garantía mediante procedimientos e instituciones específicas ante la insuficiencia de una protección fundada exclusivamente en la intervención judicial, que reclama la necesidad de establecer mecanismos más adecuados para un aseguramiento real y efectivo.

El requisito institucional de la existencia de autoridades de control independientes está hoy plenamente consagrado en el artículo 16 TFUE y en el artículo 8 CDFUE como un elemento integrante del derecho fundamental a la protección de datos de carácter personal. El TJUE ha destacado el carácter inexorable del requisito de la independencia de la autoridad en la Sentencia27 Comisión c. SEPD en los siguientes términos:

41 El Tribunal de Justicia ya ha declarado, en la sentencia Comisión/Alemania, antes citada, apartado 30, que los términos «con total independencia» del artículo 28, apartado 1, párrafo segundo, de la Directiva 95/46 deben interpretarse en el sentido de que las autoridades de control en materia de protección de datos personales han de disfrutar de una independencia que les permita ejercer sus funciones sin influencia externa. El Tribunal de Justicia precisó en esa misma sentencia que dichas autoridades deben estar a resguardo de toda influencia externa, ejercida directa o indirectamente, que pueda orientar sus decisiones (véase, en este sentido, la sentencia Comisión/Alemania, antes citada, apartados 19, 25, 30 y 50).

42 Ciertamente, el hecho de que la DSK disfrute de una independencia funcional, en la medida en que, conforme al artículo 37, apartado 1, de la DSG 2000, sus miembros «serán independientes y no estarán sujetos a instrucción alguna en el ejercicio de sus funciones», es un requisito necesario para que dicha autoridad pueda ajustarse al criterio de independencia en el sentido del artículo 28, apartado 1, párrafo segundo, de la Directiva 95/46. No obstante, en contra de lo que afirma la República de Austria, tal independencia funcional no basta por sí sola para preservar a dicha autoridad de control de toda influencia externa.

43 En efecto, la independencia exigida en virtud del artículo 28, apartado 1, párrafo segundo, de la Directiva 95/46 tiene por objeto excluir no sólo la influencia directa, en forma de instrucciones, sino también, como se ha recordado en el apartado 41 de la presente sentencia, toda forma de influencia indirecta que pueda orientar las decisiones de la autoridad de control.

27 Sentencia del Tribunal de Justicia de 16 de octubre de 2012, Comisión c. SEPD, C-614/10, ECLI:EU:C:2012:631:

39

44 Pues bien, los diversos elementos de la normativa austriaca a los que se refieren las tres alegaciones contenidas en el recurso de la Comisión se oponen a que pueda considerarse que la DSK ejerce sus funciones a resguardo de toda influencia indirecta.

Un segundo elemento crucial son las funciones que ha de desempeñar esa autoridad independiente. El RGPD ha incrementado significativamente las funciones y los poderes las de las autoridades de supervisión y control de los Estados miembros. El artículo 45 del RGPD y el WP 254 inciden en esta cuestión. Se ha de esperar que las autoridades independientes tengan poderes suficientes para asegurar el cumplimiento de las normas de protección de datos, pero también para acometer una labor más amplia, de sensibilización, información y educación.

Como se ha visto, el artículo 45 del RGPD requiere: “la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes” con unos poderes que se determinan en términos generales de modo finalista (“con la responsabilidad de garantizar y hacer cumplir las normas en materia de protección de datos), pero exige algunos específicos: “poderes de ejecución adecuados” y “poderes de asistir y asesorar a los interesados en el ejercicio de sus derechos”, además del de “cooperar con las autoridades de control de la UE y de los Estados miembros”. El WP 254 especifica algunos más, pero la clave radica en que la autoridad disponga de un poder directo y coercitivo para supervisar los tratamientos y garantizar el cumplimiento de las normas de protección de datos.

6.2.2.3.3. Los compromisos internacionales, según lo dispuesto en la letra c).

Este elemento de valoración establecido en la letra c) del artículo 45.1 RGPD responde a una exigencia obvia en el contexto de las transferencias internacionales ya que los compromisos internacionales pueden afectar significativamente al nivel de protección en el país de destino.

De ahí que se imponga el deber de extender la verificación más allá del ordenamiento interno del tercer Estado o de la organización internacional, hasta alcanzar los diversos vínculos que tenga con otros sujetos de derecho internacional. El RGPD se refiere no sólo a las obligaciones derivadas de los acuerdos o instrumentos jurídicamente vinculantes, sino que alude genéricamente a los “compromisos internacionales” que abarcaría no solo las obligaciones derivadas de las fuentes de derecho internacional, sino también de todas aquellas medidas de soft law, que pueden influir en la protección de los datos personales.

La atención a los compromisos internacionales puede tener un doble sentido. Si se trata de medidas que refuerzan la protección, acercando al tercer Estado a los estándares universales, estas serán un activo favorable respecto a la adecuación del nivel de protección. Sin embargo, puede ocurrir que se trate de compromisos que devalúan la protección interna del tercer Estado, de manera que, aunque este cumpla en los demás aspectos de modo equivalente con el nivel fijado en el RGPD, existe el peligro de que esos compromisos sean utilizados como una puerta trasera para descargar al tercer Estado u organización internacional de un nivel de protección tan alto como el de la Unión.

40

El RGPD estipula que también se tenga en cuenta la “participación en sistemas multilaterales o regionales, en particular en relación con la protección de los datos personales”. Este elemento está desarrollado en el considerando 105 en el que se menciona en particular la adhesión al Convenio 108 del Consejo de Europa.28

6.2.3. El procedimiento de adecuación.

El RGPD contiene una regulación muy parca del procedimiento para obtener una decisión de adecuación, limitándose prácticamente a ordenar dos elementos: la necesidad de una evaluación por parte de la CE del estado u organización aspirante y el deber de consultar al CEPD que emitirá un dictamen al respecto.

La iniciativa para poner en marcha el proceso puede adoptarla el Estado interesado o incluso la propia CE como ha dejado claro en su Comunicación al Parlamento y al Consejo de 2017 (COM 2017 7)29 en la que informa sobre sus las líneas de actuación en este ámbito y anuncia que los criterios a tener en cuenta para determinar los países con los que entablar un diálogo sobre adecuación son los siguientes:

1. El alcance de las relaciones comerciales (efectivas o posibles) de la UE con un determinado tercer país, incluida la existencia de un acuerdo de libre comercio o de negociaciones en curso;

2. La magnitud de los flujos de datos personales con origen en la UE, que reflejan lazos geográficos o culturales;

3. Si el tercer país es pionero en el ámbito de la protección de datos y la privacidad y puede servir de modelo para otros países de su región y

4. La relación política global con el tercer país en cuestión, en particular por lo que respecta al fomento de valores comunes y objetivos compartidos a escala internacional.

Por lo demás, aunque el TJUE ha subrayado que se trata de un acto unilateral de la CE que no es el fruto de una negociación con el Estado aspirante, la práctica pone de manifiesto que las decisiones se han adoptado tras un proceso de “diálogo” con los candidatos, expresión que la propia CE emplea en la Comunicación citada, en la que, además manifiesta cuáles son sus planes para los próximos años.30

28 C. 105 RGPD: “Aparte de los compromisos internacionales adquiridos por el tercer país u organización internacional, la Comisión debe tener en cuenta las obligaciones resultantes de la participación del tercer país u organización internacional en sistemas multilaterales o regionales, en particular en relación con la protección de los datos personales, y el cumplimiento de esas obligaciones. En particular, debe tenerse en cuenta la adhesión del país al Convenio del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal y su Protocolo adicional. La Comisión debe consultar al Comité al evaluar el nivel de protección existente en terceros países u organizaciones internacionales.” 29 Comunicación de la Comisión al Parlamento Europeo y al Consejo, “Intercambio y protección de los datos personales en un mundo globalizado”, COM 2017 (7) 30 “Sobre la base de estas consideraciones, la Comisión colaborará activamente con los principales socios comerciales de Asia Oriental y Sudoriental, empezando por Japón y Corea, durante 2017, y, dependiendo de los progresos que estos logren en la modernización de sus leyes de protección de datos, con la India, aunque también con países de América Latina, sobre todo los pertenecientes al Mercosur, y de la vecindad europea

41

Como exhorta el Considerando 105 RGPD, la CE debe consultar al CEPD al evaluar el nivel de protección existente en terceros países u organizaciones internacionales. Y el CEPD, de conformidad con lo establecido en la letra s) del apartado 1 del artículo 70 facilitará a la CE un dictamen para evaluar la adecuación del nivel de protección en un tercer país u organización internacional, en particular para evaluar si un tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o una organización internacional, ya no garantizan un nivel de protección adecuado. A tal fin, la CE facilitará al CEPD toda la documentación necesaria, incluida la correspondencia con el gobierno del tercer país, que se refiera a dicho tercer país, territorio o específico o a dicha organización internacional.

Recordemos que el CEPD es un organismo de la UE, independiente y dotado de personalidad jurídica propia, “compuesto por el director de una autoridad de control de cada Estado miembro y por el Supervisor Europeo de Protección de Datos o sus representantes respectivos”. Su predecesor, el llamado Article 29 Working Party (GT29) elaboró los Documentos WP 237 y 254, que como ya hemos subrayado son fundamentales para determinar el parámetro de la evaluación de adecuación. Aunque el Dictamen del CEPD no es vinculante para la CE, su influencia en la práctica es muy grande. Buen ejemplo es el Dictamen 28/2018, relativo a la evaluación del nivel de adecuación de Japón31, en el que realiza un análisis exhaustivo del régimen de protección de datos en el país candidato, complementario al de la CE, entrando en diálogo con ella y propiciando modificaciones de calado que finalmente fueron acogidas en la Decisión de adecuación. En el WP 254 se declara sin ambages que el Comité realiza “su propia evaluación sobre el nivel de protección de datos en el tercer país”, identificando insuficiencias y proponiendo alternativas o modificaciones.

Por último, ha de tenerse presente que, al tratarse de un acto ejecutivo, la decisión de adecuación está sometida a las condiciones de producción establecidas en el artículo 5 del Reglamento (UE) nº 182/2011 del Parlamento europeo y del Consejo de 16 de febrero de 2011 por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la CE Ello supone, dicho en breve síntesis, que la CE habrá de recibir “la luz verde” (informe favorable o ausencia de informe) de un CEPD compuesto por representantes de los Estados miembros.

que hayan manifestado interés por obtener una constatación de adecuación. Asimismo, la Comisión acoge favorablemente las manifestaciones de interés de otros terceros países que estén dispuestos a colaborar en relación con estas cuestiones. Los debates sobre posibles constataciones de adecuación se celebran en forma de diálogos bilaterales en los que se aportan todas las aclaraciones necesarias acerca de la normativa de la UE sobre protección de datos y se estudian maneras de incrementar la convergencia de las leyes y prácticas de los terceros países interesados.” 31 Opinion 28/2018 regarding the European Commission Draft Implementing Decision on the adequate protection of personal data in Japan, adoptada el 5 de diciembre de 2018.

42

6.2.3.1. El contenido del acto de reconocimiento de la adecuación y su eficacia jurídica.

De conformidad con el artículo 45 el acto ejecutivo que decide sobre la adecuación ha de tener un contenido necesario, concretamente ha de especificar el ámbito de aplicación de la autorización, señalando si es para todo el Estado, una parte o un sector; el mecanismo de revisión periódica a aplicar al menos cada cuatro años; y la autoridad de control de referencia en el tercer Estado. En la práctica, estos elementos los hallamos en la parte dispositiva del acto ejecutivo, que viene precedida de una larga exposición que motiva la existencia de un nivel adecuado de protección. Además, en ocasiones, el acto ejecutivo cuenta con anexos que incorporan información adicional.

En la práctica, el acto ejecutivo de la CE en el que se materializa el reconocimiento del nivel adecuado de protección, en coherencia con el art.ículo 288 del Tratado de Funcionamiento de la Unión (y en cierta medida con la ambigua literalidad del 45), adopta la forma de decisión, esto es, una fuente del derecho que es “obligatoria en todos sus elementos”. El propio artículo. 45 del RGPD prevé su principal consecuencia jurídica: las transferencias bajo el ámbito de aplicación de la decisión no requerirán autorización específica. En consecuencia, con la decisión se crea un espacio de libre circulación de datos personales entre los Estados miembros de la UE y el tercer Estado u organización internacional (circunscrito, en el caso de que sea un reconocimiento de adecuación parcial al ámbito correspondiente).

La decisión se publica en el Diario Oficial de la Unión Europea. Además, conforme a lo establecido en el art. 45.8 RGPD la CE deberá publicar en dicho Diario y en su página web una lista de los países, (o territorios o sectores específicos de un país) y organizaciones internacionales respecto de las cuales haya decidido que garantizan un nivel adecuado de protección, así como de aquellos en los que haya decidido que ya no ofrecen tal garantía.

Como ya se ha indicado, la decisión es vinculante para todas las autoridades de los Estados miembros. Pero eso no significa que la decisión, una vez que ha sido adoptada quede jurídicamente blindada. Por un lado, las autoridades de protección de datos nacionales conservan su capacidad de examen independiente para velar por la protección de los datos personales en su ámbito de competencias, por lo que pueden fiscalizar las garantías de las transferencias a terceros estados aun cuando exista una decisión de adecuación. Lo que sucede es que no pueden adoptar ninguna medida contraria a la decisión de la CE. En caso de considerar que el país de destino garantiza la protección necesaria y, por tanto, la decisión de adecuación es contraria al RGPD, a la CDFUE o a los Tratados deberán ponerlo en conocimiento de los órganos judiciales nacionales para que planteen una cuestión ante el TJUE. Por otro lado, puede ocurrir que una persona física ejerza el correspondiente derecho ante la jurisdicción ordinaria, que en su caso valorará también si la decisión vulnera el RGPD o los Tratados fundacionales, formulando si lo estima necesaria la correspondiente cuestión prejudicial ante el TJUE, el cual se reserva una potestad de control pleno de la decisión, como ha dejado claro en el caso Schrems.

43

6.2.3.2. El seguimiento de la efectiva aplicación Decisión de adecuación

La decisión que estime que un tercer Estado o una organización internacional posee un nivel adecuado de protección, debe contener, como ya hemos visto, un mecanismo de revisión periódica. Al margen de este procedimiento formalizado, el apartado 4 del artículo 45 ordena a la CE una supervisión continua de la efectiva aplicación del acto ejecutivo.32

La propia CE ha expresado su punto de vista al respecto en la Comunicación 2017 (7) en la que señala que la adopción de una decisión de adecuación conlleva el establecimiento de un diálogo específico y una estrecha cooperación con el tercer país interesado. Estas decisiones son documentos «vivos» que han de ser supervisados de cerca por la CE y adaptados en caso de que se produzcan acontecimientos que afecten al nivel de protección garantizado por el tercer país en cuestión.

Dentro de los “acontecimientos” que abrirían ese “diálogo de supervisión” sin duda se encuentra cualquier cambio normativo que afecte a la protección de datos, sea de la normativa que directamente regula esta cuestión o de otra que incida indirectamente, como puede ocurrir, por ejemplo, con un acuerdo comercial, una resolución jurisprudencial, un cambio de tendencia en la aplicación de la norma, etc. Tampoco puede desecharse que meros acontecimientos políticos, sobre todo aquellos que perturban el funcionamiento ordinario de las instituciones constitucionales, sean motivo para revisar la efectiva aplicación de la decisión. Ahora bien, de la literalidad del apartado 4 del art. 45 RGPD, es necesario deducir que los acontecimientos han de tener una mínima repercusión sobre el nivel de protección de los datos personales; no pueden utilizarse la revisión periódica o la supervisión continua para presionar frente a otro tipo de circunstancias. Por lo demás, tanto el mecanismo de revisión como la supervisión continua serían aplicables a los actos ejecutivos que no fuesen favorables al tercer Estado, de suerte, que nuevos acontecimientos podrían levantar las objeciones iniciales.

Los mecanismos de revisión y la supervisión continua están esencialmente encaminados a reaccionar frente a menoscabos del nivel de protección, tal y como dispone el apartado 5 del artículo 45 del RGPD.33

La respuesta admite grados de intensidad que van desde la derogación hasta la suspensión, pasando por la modificación, siempre sin efectos retroactivos. Y se ha de entender que tanto la

32 4.La Comisión supervisará de manera continuada los acontecimientos en países terceros y organizaciones internacionales que puedan afectar a la efectiva aplicación de las decisiones adoptadas con arreglo al apartado 3 del presente artículo y de las decisiones adoptadas sobre la base del artículo 25, apartado 6, de la Directiva 95/46/CE. 33 5.Cuando la información disponible, en particular tras la revisión a que se refiere el apartado 3 del presente artículo, muestre que un tercer país, un territorio o un sector específico de ese tercer país, o una organización internacional ya no garantiza un nivel de protección adecuado a tenor del apartado 2 del presente artículo, la Comisión, mediante actos de ejecución, derogará, modificará o suspenderá, en la medida necesaria y sin efecto retroactivo, la decisión a que se refiere el apartado 3 del presente artículo. Dichos actos de ejecución se adoptarán de acuerdo con el procedimiento de examen a que se refiere el artículo 93, apartado 2.

44

derogación como la suspensión pueden ser parciales. Estas medidas han de articularse, a su vez, mediante una Decisión ejecutiva.

7. Recapitulación sobre los componentes del Estudio Técnico . Una vez presentado el andamiaje teórico y jurídico sobre la naturaleza, alcance y necesidad del Estudio Técnico asignado por el INAI para la viabilidad de la consecución de la declaración de país adecuado a México, a continuación se describen los componentes del Estudio Técnico y se aportan una serie de reflexiones finales cobsre su contenido y resultados. El Estudió Técnico incorpora 4 documentos definidos que guardan una ineludible secuencia y coherencia entre sí: 1. Análisis de la normatividad aplicable al sector privado al tenero de los requerimientos que la CE

evalúa para reconocer a un país como “país con nivel adecuado de protección”. 2. Análisis de la normatividad aplicable al sector público al tenero de los requerimientos que la CE

evalúa para reconocer a un país como “país con nivel adecuado de protección”. 3. Identificación puntual de las asimetrías identificadas en la normatividad de protección de datos

personales vigente en México para el reconcomiento como país con nivel adecuado de protección.

4. Recomendaciones para la atención y mitigación de las asimetrías identificadas en el Entregable 3.

Con base en lo anterior, es posible sustentar una posición clara respecto de la pertinencia y viabilidad legal, conforme a la normatividad vigente y analizada, de que México pueda ser candidato al reconocimiento por parte de la CE, como un país con un nivel adecuado de protección.

7.1. Entregable 1. Análisis de la normatividad aplicable al sector privado Un paso fundamental para identificar el nivel adecuado de protección que podría concederse a la normatividad mexicana en materia de protección de datos personales es el análisis armónico y comprehensivo de su contenido de acuerdo con los requerimientos valorados por la CE. Por esta razón, el equipo de Davara Abogados junto con el profesor Rodríguez Álvarez procedió a realizar un exhaustivo análisis de la normatividad vigente. Por ello, el primer documento que conforma el Estudio Técnico incorporó un análisis sistemático de las distintas disposiciones legales que regulan el derecho humano a la protección de datos personales en el ámbito de actividades realizadas por particulares. A partir de este análisis se determinó que, en la LFPDPPP, su Reglamento y demás normatividad aplicable existen notables diferencias respecto del contenido del RGPD y los requerimientos previstos en tanto en el WP 254 como en el WP 237.

45

Aunque la normatividad aplicable a la protección de datos personales es ejemplar en la región y bastante detallada, no logra tener un grado de compatibilidad equiparable al de las disposiciones del RGPD. Para arribar a las conclusiones anteriores, el equipo legal elaboró tablas especiales de análisis de normatividad y señaló, respecto de cada disposición la equivalencia o diferencias identificadas. La ejecución de este análisis fue capital para la identificación de divergencias entre el contenido de la normatividad nacional, el contenido del RGPD, los requerimientos de los documentos WP 237 y WP 254 y que pasarían a ser explicadas de forma detallada y sintética en el Entregable 3.

7.2. Entregable 2. Análisis de la normatividad aplicable al sector público Con la intención de respetar la independencia normativa y concreción jurídica existente en México se realizó, un análisis independiente sobre el contenido de las disposiciones vigentes en México para regular el derecho a la protección de datos personales en el sector público. Para dicho fin se observó la misma metodología observada en el entregable 1 y que como mencionábamos, estuvo apoyada en un análisis comparativo y sistemático de las disposiciones vigentes a la luz del RGPD y los requerimientos del WP 254 y el WP 237. El Entregable 2 del Estudio Técnico incorporó un análisis integral de las distintas disposiciones legales del sector público y partir de este se determinó que, la normatividad vigente, aunque tiene discrepancias, posee un mayor grado de correspondencia con las disposiciones del RGPD y demás elementos sujetos a la valoración de la CE para reconocer a México como país con un nivel adecuado de protección. Dicho análisis fue fundamental para realizar un señalamiento puntual de las asimetrías identificadas en la normatividad y que conforman el Entregable 3.

7.3. Entregable 3. Señalamiento puntual de las asimetrías identificadas en la normatividad aplicable.

El Entregable 3 tuvo como propósito principal identificar las asimetrías existentes en la normatividad nacional en materia de protección de datos personales (en los sectores público y privado) con respecto a la normatividad europea en protección de datos personales (RGPD) y los distintos requerimientos sujetos a la valoración de la CE para reconocer a México como país con un nivel adecuado de protección. Derivado de esto, el análisis concluye con una manifestación concreta en sentido negativo sobre la viabilidad de que México sea reconocido como un país con nivel adecuado de protección.

46

7.4. Entregable 4. Recomendaciones para la atención de las asimetrías identificadas en la normatividad aplicable.

El Entregable 4 cierra el ciclo de los documentos que conforman el Estudio Técnico y aporta una serie de recomendaciones prácticas con el propósito de atender las asimetrías identificadas en el Entregable 3 según las disposiciones del RGPD y las directrices de los documentos WP 254 y WP 237. En este último documento las recomendaciones concuerdan en la necesidad de reformar las leyes respectivas (LFPDPPP y LGPDPPSO) y sus ordenamientos de desarrollo para que su contenido sea acorde con el RGPD.