Ley Federal de Protección de Datos Personales y su Reglamento: Comentada y Correlacionada

Por Isabel Davara Fernández de Marcos , Ximena Argüelles Sacristán , Alexis Cervantes Padilla y 2 más

La finalidad del presente es realizar un estudio sistemático de la LFPDPPP, no sólo desde un punto de vista teórico, sino práctico, atendiendo el marco normativo integral, así como las hasta el momento no muy numerosas - dado también el relativamente escaso tiempo de actuación en esta materia - decisiones del IFAI, que ha emitido diversos criterios

• Idioma: Español
• Editorial: Editorial Themis
• Fecha de lanzamiento: 11 ene 2021
• ISBN: 9786076143964

Vista previa del libro

Primera edición versión electrónica, mayo 2017

Derechos reservados © conforme a la Ley por:

DAVARA ABOGADOS, S. C.

Blvd. Adolfo Ruíz Cortines 3642-1502

Col. Jardínes del Pedregal,

C.P. 01900, México, D.F.

Derechos Reservados

© Copyright

Queda prohibida la reproducción total

o parcial del texto de esta obra por

cualquier medio impreso o electrónico

Impreso en México

Printed in Mexico

Editorial Themis, S.A. de C.V.

Av. Patriotismo 889 Planta Baja, Mixcoac 03910, México, D.F.

Tel. 5482-2770 con 10 Líneas

www.themis.com.mx libreria@themis.com.mx

ISBN-978-607-614-396-4

Hoy en día el valor de los datos personales es innegable.

La persona física trasciende al ámbito virtual, en el más extenso sentido de la palabra.

Las tradicionales fronteras de espacio y tiempo se han visto superadas con el uso cotidiano de la tecnología.

Y la tecnología aplicada al tratamiento de la información personal conforma una identidad electrónica, un perfil de la persona, que ella misma desconoce, o, cuando menos, no controla.

En el mismo sentido, siempre ha habido tratamiento de datos personales. Pero, con las facilidades de tratamiento e interconexión proporcionadas por la informática, esto ha cambiado mucho. Así se ha dado lugar a un tratamiento ingente de información de la persona por medios y fuentes fuera de su control. La persona pierde poder sobre su información personal. Y la información personal es lo que acaba configurando a la persona.

No obstante, la expresión protección de datos personales, en nuestra opinión, puede conducir un poco a confusión.

El dato, en sí mismo, no necesita protección alguna. Sin embargo, cuando el dato se une a una persona, es algo distinto. Ya no protegemos, entonces, al dato, sino al titular del mismo, a la persona. Es más, cuando el dato se une a la persona se convierte en información personal.

En este mismo sentido, las normativas en protección de datos persiguen proteger al individuo frente al ilícito tratamiento de la información personal que le concierne. Es decir, el individuo es el titular del derecho. Es un derecho subjetivo, no se trata de una protección de la información per se, sino de la protección del individuo a que dicha información concierne.

El primer acontecimiento en México que abrió las puertas a la protección de datos personales y todas sus implicaciones se dio el 11 de julio de 2002, cuando fue publicada en el Diario Oficial de la Federación la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental.¹ Es en esta Ley donde se establece por primera vez que los datos personales constituyen información confidencial y requieren del consentimiento de los individuos para su difusión, distribución o comercialización. Asimismo se crean mecanismos de ejercicio sobre los derechos de acceso y corrección de los datos personales.

Posteriormente, la reforma al artículo 6o. constitucional de junio de 2007 en materia de acceso a la información, incorporó lo siguiente: "la información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que fijen las leyes".

El 1 de junio de 2009 se publicó una reforma al artículo 16 de la Constitución que incorpora un párrafo específicamente destinado a la protección de datos personales. Finalmente, el 30 de abril de 2009 se reformó el 73 de la Constitución atribuyendo al Congreso Federal el poder para legislar en materia de datos personales en posesión de los particulares. Por tanto, la Ley dejará sin efecto cualesquiera leyes estatales aprobadas en la materia.

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante LFPDPPP) pasó por un camino azaroso y tortuoso de iniciativas. Sin ir más lejos, tan sólo el Dictamen presentado en el Congreso de Diputados por la Comisión de Gobernación de dicha Cámara se basaba en el análisis de las iniciativas presentadas por los Diputados David Hernández Pérez del PRI (23 de febrero de 2006); Sheyla Fabiola Aragón Cortés del PAN (22 de marzo de 2006); Luis Gustavo Parra Noriega del PAN (4 de noviembre de 2008) y Adolfo Mota Hernández del PRI (11 de diciembre de 2008), además de citar algunas otras que se desecharon por no procedentes en cuanto a su objeto (incluían al Sector Público).

La LFPDPPP incluye los estándares internacionales en materia de protección de datos y privacidad, siendo así un instrumento normativo adecuado para responder a las necesidades de buscar el equilibrio entre la actividad comercial y el derecho fundamental a la protección de datos.

Resulta claro que la constante evolución de las Tecnologías de la Información y la Comunicación (TIC) supone un reto para el legislador y, en última instancia, para el responsable que tiene que evaluar los riesgos legales de su actividad y, en consecuencia, adoptar decisiones con rapidez que le permitan tener un control adecuado.

La normatividad en privacidad a nivel más general, es decir sin contar con las regulaciones muy específicas o concretas, en México es la siguiente:

Sector Privado:

• El artículo 6o., párrafo segundo, fracción II; el artículo 16, párrafo segundo, y el artículo 73 inciso XXIX-O, de la Constitución Política de los Estados Unidos Mexicanos.

• Ley Federal de Protección de Datos Personales en Posesión de Particulares (DOF, 5/07/2010)

• Reglamento de la LFPDPPP (DOF, 21/12/2011)

Sector Público:

• Administración Pública Federal:

• El artículo 6o., párrafo segundo, fracción II; el artículo16, párrafo segundo, de la Constitución Política de los Estados Unidos Mexicanos.

• Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (DOF, 11/6/2002).

• Reglamento de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (DOF, 11/6/2003).

• Lineamientos de Protección de Datos Personales (DOF, 3/9/2005).

• Recomendaciones de IFAI de Seguridad para la Protección de Datos Personales.

• A nivel estatal tendremos que atender a lo dispuesto por la regulación de los organismos estatales de transparencia y acceso a la información pública.

La LFPDPPP se aplica al tratamiento, automatizado o no, de datos personales, es de orden público y de observancia general en toda la República. El RLFPDPPP especifica que se aplicará al tratamiento de datos personales que obren en soportes físicos o electrónicos, que hagan posible el acceso a los datos personales con arreglo a criterios determinados, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización, salvo que el acceso requiera plazos o actividades desproporcionadas.

Los sujetos regulados por la LFPDPPP son las personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales. Asimismo la Ley exceptúa a las sociedades de información crediticia en cuanto a lo regulado por su regulación específica y las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.

Como dijimos, la LFPDPPP y su normatividad de desarrollo son de aplicación en toda la República.

La finalidad del presente es realizar un estudio sistemático de la LFPDPPP, no sólo desde un punto de vista teórico, sino práctico, atendiendo el marco normativo integral, así como las hasta el momento no muy numerosas —dado también el relativamente escaso tiempo de actuación en esta materia— decisiones del IFAI, que ha emitido diversos criterios en torno a los contenidos y alcances del derecho a la privacidad y a la protección de datos personales.

Así, hemos pretendido, como decíamos, hacer un análisis integral de la materia, a través de subsumir dentro de cada artículo de la Ley un análisis doctrinal y dinámico en materia de protección de datos personales y privacidad. Para lograrlo, y tomando como esquema el articulado de la Ley, exponemos cómo se han dado en la práctica profesional y jurídica el uso y la aplicación de la normatividad, haciendo correlaciones directas y precisas entre los artículos de la Ley con los del Reglamento, con el objeto de ayudar a la construcción de un conocimiento lo más comprehensivo posible y coherente de la normatividad y criterios interpretativos en su conjunto.

Esperamos que el presente trabajo sea de una enorme utilidad en el foro profesional y académico de México, permitiendo acceder a un estudio integral, detallado, preciso y dinámico de un tema que llegó para quedarse y en el que continuaremos atentos para realizar las adecuaciones y actualizaciones oportunas.

De antemano, le agradecemos su preferencia y confianza.

Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.—Presidencia de la República.

FELIPE DE JESÚS CALDERÓN HINOJOSA, Presidente de los Estados Unidos Mexicanos, a sus habitantes sabed:

Que el Honorable Congreso de la Unión, se ha servido dirigirme el siguiente:

DECRETO

EL CONGRESO GENERAL DE LOS ESTADOS UNIDOS MEXICANOS, DECRETA:

SE EXPIDE LA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES Y SE REFORMAN LOS ARTÍCULOS 3, FRACCIONES II Y VII, Y 33, ASÍ COMO LA DENOMINACIÓN DEL CAPÍTULO II, DEL TÍTULO SEGUNDO, DE LA LEY FEDERAL DE TRANSPARENCIA Y ACCESO A LA INFORMACIÓN PÚBLICA GUBERNAMENTAL.

ARTÍCULO PRIMERO. Se expide la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES

CAPÍTULO I

Disposiciones Generales

Artículo 1o. La presente Ley es de orden público y de observancia general en toda la República y tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

En concordancia con los artículos 6o., 16 y 73 de la CPEUM y con el artículo 1o. del RLFPDPPP.

Artículo 6o. (...)

II. La información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que fijen las leyes.

Artículo 16. Nadie puede ser molestado en su persona, familia, domicilio, papeles o posesiones, sino en virtud de mandamiento escrito de la autoridad competente, que funde y motive la causa legal del procedimiento.

Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros. (...)

Artículo 73. El Congreso tiene facultad:

(...)

XXIX-O. Para legislar en materia de protección de datos personales en posesión de particulares.

Artículo 1o. del RLFPDPPP. El presente ordenamiento tiene por objeto reglamentar las disposiciones de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Comentario a la primera parte:

En la primera parte del artículo se declara que el legislador considera a la presente Ley de orden público. Una Ley de orden público es un conjunto de normas que los órganos del Estado, encargados de crearlas, consideran que involucran intereses que deben ser protegidos bajo toda y cualquier circunstancia. Por lo tanto, al ser la Ley una norma de orden público es considerada como insustituible y predominante. Así, por ejemplo, el IFAI ha resuelto que el responsable no podrá definir en su aviso de privacidad que las obligaciones y principios del tratamiento de datos estarán sujetas a cierta legislación o jurisdicción,¹ ya que las normas en protección de datos al tener esta característica de orden público serán además irrenunciables e inmodificables.

En cuanto al ámbito territorial, éste es un punto especialmente importante. En este sentido, se reformó el artículo 73 inciso XXIX-O de la Constitución Política de los Estados Unidos Mexicanos (reforma aprobada por unanimidad por el Pleno de la Cámara de Diputados el 20 de septiembre de 2007, por el Senado el 4 de diciembre de 2008 y finalmente publicada el 30 de abril de 2009) para que el Congreso tuviera facultad para legislar en la materia. Este primer artículo de la Ley refleja la intencionalidad detrás de la iniciativa de ley expuesta por los legisladores. En él, la Comisión Dictaminadora plasma el objetivo deseado, esto es, lograr garantizar la protección de datos personales en posesión de particulares y que dicha garantía abarque todo el territorio nacional y por lo tanto, la Ley deja sin efecto cualesquiera leyes estatales aprobadas en la materia, para además evitar que exista diversas y multitud de legislaciones estatales, ya que se podría dar de facto lugar a desigualdades y mercados territoriales de información personal.

Por su parte, el artículo 1o. del RLFPDPPP declara expresamente que su objeto es reglamentar las disposiciones de la Ley.

Comentario a la segunda parte:

La segunda parte del artículo establece el objeto de la Ley. El objeto es la protección de los datos personales en posesión de los particulares con la finalidad de efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

La expresión protección de datos personales no significa que el dato, en sí mismo, necesite protección. En cambio, cuando el dato se une a una persona física, entonces adquiere su verdadero significado, ya que no protege al dato en sí, sino al titular del mismo, a la persona física. Es más, cuando el dato se une a la persona se convierte en información personal. Así, las regulaciones en protección de datos personales persiguen proteger al individuo frente al ilícito tratamiento de la información personal que le concierne. Es decir, el individuo es el titular del derecho. Es un derecho subjetivo, no se trata de una protección de la información per se, sino de la protección del individuo a quien dicha información concierne.

La protección que se busca es la de las personas en relación con el tratamiento que se le da a sus información en el desarrollo de las actividades diarias entre particulares. Debido al uso extensivo de la tecnología, ésta se ha vuelto en ocasiones una herramienta intrusiva en la privacidad de las personas, ya que permite que se pueda conocer con facilidad desde los hábitos de consumo, hasta información sensible, como es la ideología o estado de salud. Así, la Comisión Dictaminadora señaló que debía agregarse como objetivo la protección al honor, a la imagen y la vida privada mediante el adecuado tratamiento de los datos personales.

El valor de los datos personales, como decíamos, es, pues, notorio. De un lado, en términos de derecho de la personalidad del individuo, y, de otro, aunque no nos guste excesivamente el planteamiento, en claros términos económicos. Y decimos lo anterior porque, aunque preferimos plantear el derecho como un derecho subjetivo fundamental de tercera generación, no es menos cierta su relevancia en términos mercantiles.

No obstante, tampoco podemos olvidar que en muchas ocasiones es el propio titular quien ni siquiera es consciente del valor de su propia información personal. Es difícil, y hasta cuestionable, reclamar cuidado y tutela de un tercero sobre algo propio que no se cuida. Si el mismo titular no tiene diligencia sobre el cuidado de sus datos y los entrega sin ninguna cautela, incluso llegando a comerciar con ellos a cambio de meras baratijas, después no puede enfurecerse por un tratamiento posterior que incluso él ha podido propiciar y en ocasiones hasta consentir.

El concepto de protección de datos personales es relativamente joven. Así, podemos decir que el derecho a la protección de datos personales es un derecho subjetivo, fundamental, de tercera generación y colectivo. Es un derecho subjetivo en tanto en cuanto es el titular de los datos, la persona, la que ostenta dicho derecho, a la que se protege. Es un derecho que tiene su más profundo fundamento en la propia naturaleza del ser humano.

Sin embargo, ningún derecho es absoluto. El derecho a la protección de datos personales, cuya finalidad es proteger a la persona frente al tratamiento ilícito de sus datos, también tiene límites debidos a la necesidad de proteger el interés general, bien sea debido a los intereses legítimos de terceros o el interés público concretado en la seguridad del Estado u otros bienes jurídicos similares, como la seguridad nacional, el orden y la seguridad públicas o la salud pública y la investigación pertinente.

En definitiva, el objeto sobre el que recae la protección es nuevo (los datos personales, siempre unidos a la protección de la persona titular de los mismos), pero el objetivo sigue siendo la protección de la privacidad,² y especialmente bajo las circunstancias de la utilización de las tecnologías de tratamiento de la información personal, que en muchas ocasiones desgraciadamente se han utilizado para realizar graves y agresivas intromisiones en la esfera personal e íntima de las personas.

Esta intromisión, que en algunos casos no tiene por qué ser negativa, ni mucho menos ilícita, se percibe como una amenaza potencial, incluso desconocida. Y, además, recalcando la importancia del tratamiento por medios informáticos, las fronteras de tiempo y espacio, que protegían en gran manera la intimidad del individuo, han desaparecido en cierto modo, o se han modificado sustancialmente, haciendo que la información personal se pueda tratar, comunicar, conservar, manipular, etcétera, en muy distintos modos y de muy diferentes maneras.

El derecho a la intimidad es un derecho ya asentado históricamente. La intimidad es algo que el sujeto de la misma controla en grado suficiente. Cada quien define qué es íntimo para él mismo (además de los mínimos establecidos en las Leyes), y, además, cuando se vulnera puede saberlo con bastante exactitud. Sin embargo, el derecho del que estamos hablando aquí es diferente. Hablamos de la protección de este perfil que se crea utilizando estas nuevas técnicas. Este perfil que el ciudadano incluso llega a no conocer, pero, sobre todo, que no controla. El derecho a la intimidad pasa así de una concepción cerrada y estática (libertad negativa) a una abierta y dinámica (libertad positiva), que implica el reconocimiento no sólo de un derecho sino de nuevos mecanismos de protección basados en el poder de control del tratamiento de los datos personales.

El objeto del derecho a la protección de datos personales es mucho más amplio que el derecho a la intimidad. En efecto, mientras el derecho a la intimidad sólo comprende dentro de su ámbito los datos de la vida íntima, el objeto del derecho a la protección de datos abarca no sólo los llamados datos íntimos de la persona, sino también cualquier otro tipo de dato personal, sea o no íntimo, esto es, sea público o privado, cuyo conocimiento o empleo por terceros puede afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, sino los datos personales. Además, respecto al contenido de ambos derechos, puede afirmarse que el derecho a la intimidad supone conferir a la persona el poder jurídico de imponer a terceros el deber de abstenerse de toda intromisión en la esfera íntima de la persona y la prohibición de hacer uso de lo así conocido; mientras que el derecho a la protección de datos, por su parte, supone la atribución a su titular de un conjunto de facultades que no se contienen en el derecho fundamental a la intimidad, que puede ejercitar frente a todo tercero que posea datos públicos o privados suyos, y que sirven para garantizar a la persona un poder de control sobre sus datos personales. Tales facultades se materializan en lo que se conoce como los derechos de Acceso, Rectificación, Cancelación y Oposición (Derechos ARCO).

En relación con la privacidad, no se trata ya únicamente del derecho a ser dejado solo (the right to be left alone), sino del derecho a saber quién, cuándo y para qué un tercero trata los datos personales de los que el interesado es titular. La privacidad conlleva el poder de controlar la información personal y, en concreto, el flujo de la misma. Podemos afirmar, por tanto, que privacidad es un término que se utiliza para referirnos al perfil que se puede obtener de una persona con el tratamiento de sus datos personales y que el individuo tiene derecho a exigir que permanezca en su esfera interna. En este sentido, la finalidad de la normatividad de protección de datos personales es la privacidad, y así señala textualmente la Ley en su artículo primero que su objeto es la protección de datos personales a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. La privacidad constituye un conjunto, más amplio, más global, de facetas de su personalidad que, aisladamente consideradas, pueden carecer de significación intrínseca pero que, coherentemente enlazadas entre sí —especialmente por la posibilidad que actualmente ofrecen la tecnología— arrojan como precipitado un retrato de la personalidad del individuo que éste tiene derecho a mantener reservado.

Artículo 2o. Son sujetos regulados por esta Ley, los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, con excepción de:

I. Las sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables, y

II. Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.

En concordancia con los artículos 3o., 4o., 5o., 6o. y 8o. del RLFPDPPP.

Ámbito objetivo de aplicación

Artículo 3o. El presente Reglamento será de aplicación al tratamiento de datos personales que obren en soportes físicos o electrónicos, que hagan posible el acceso a los datos personales con arreglo a criterios determinados, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización.

No se aplicarán las disposiciones del presente Reglamento cuando para acceder a los datos personales, se requieran plazos o actividades desproporcionadas.

En términos del artículo 3o., fracción V de la Ley, los datos personales podrán estar expresados en forma numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, concerniente a una persona física identificada o persona física identificable.

Ámbito territorial de aplicación

Artículo 4o. El presente Reglamento será de aplicación obligatoria a todo tratamiento cuando:

I. Sea efectuado en un establecimiento del responsable ubicado en territorio mexicano;

II. Sea efectuado por un encargado con independencia de su ubicación, a nombre de un responsable establecido en territorio mexicano;

III. El responsable no esté establecido en territorio mexicano pero le resulte aplicable la legislación mexicana, derivado de la celebración de un contrato o en términos del derecho internacional, y

IV. El responsable no esté establecido en territorio mexicano y utilice medios situados en dicho territorio, salvo que tales medios se utilicen únicamente con fines de tránsito que no impliquen un tratamiento.

Para efectos de esta fracción, el responsable deberá proveer los medios que resulten necesarios para el efectivo cumplimiento de las obligaciones que impone la Ley, su Reglamento y demás disposiciones aplicables, derivado del tratamiento de datos personales. Para ello, podrá designar un representante o implementar el mecanismo que considere pertinente, siempre que a través del mismo se garantice que el responsable estará en posibilidades de cumplir de manera efectiva, en territorio mexicano, con las obligaciones que la normativa aplicable imponen a aquellas personas físicas o morales que tratan datos personales en México. Cuando el responsable no se encuentre ubicado en territorio mexicano, pero el encargado lo esté, a este último le serán aplicables las disposiciones relativas a las medidas de seguridad contenidas en el Capítulo III del presente Reglamento.

En el caso de personas físicas, el establecimiento se entenderá como el local en donde se encuentre el principal asiento de sus negocios o el que utilicen para el desempeño de sus actividades o su casa habitación.

Tratándose de personas morales, el establecimiento se entenderá como el local en donde se encuentre la administración principal del negocio; si se trata de personas morales residentes en el extranjero, el local en donde se encuentre la administración principal del negocio en territorio mexicano, o en su defecto el que designen, o cualquier instalación estable que permita el ejercicio efectivo o real de una actividad.

Información de personas físicas

con actividad comercial

y datos de representación y contacto

Artículo 5o. Las disposiciones del presente Reglamento no serán aplicables a la información siguiente:

I. La relativa a personas morales;

II. Aquélla que refiera a personas físicas en su calidad de comerciantes y profesionistas, y

III. La de personas físicas que presten sus servicios para alguna persona moral o persona física con actividades empresariales y/o prestación de servicios, consistente únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como algunos de los siguientes datos laborales: domicilio físico, dirección electrónica, teléfono y número de fax; siempre que esta información sea tratada para fines de representación del empleador o contratista.

Tratamiento derivado de una relación jurídica

Artículo 6o. Cuando el tratamiento tenga como propósito cumplir con una obligación derivada de una relación jurídica, no se considerará para uso exclusivamente personal.

Grupos sin personalidad jurídica

Artículo 8o. Las personas integrantes de un grupo que actúe sin personalidad jurídica y que trate datos personales para finalidades específicas o propias del grupo se considerarán también responsables o encargados, según sea el caso.

Comentario a la primera parte:

La primera parte del artículo 2o. de la Ley señala que los sujetos regulados por ese ordenamiento son las personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales.

La decisión acerca de quiénes serían los sujetos regulados por la Ley se tomó por la Comisión Dictaminadora a raíz de que consideraban que la protección de los particulares sobre la información que trataban debería tener un espectro mayor al que actualmente existía. Hasta ese momento existía la regulación contenida en el artículo 6o. de la Constitución, que prevé la protección de la información sobre vida privada e información personal contenida en los archivos públicos.

El legislador entendió que tenía que completar dicha esfera de regulación y extenderla al sector privado, considerando que todos los particulares que tratan datos personales deben estar sujetos a esta Ley, sólo exceptuando a las sociedades crediticias exclusivamente en lo que respecta a la actual Ley que Regula las Sociedades de Información Crediticia (es decir, no se encontrarían exentas en lo que se refiere a los demás tratamientos de datos que efectúen, como por ejemplo los relativos a sus empleados). En cuanto a la excepción para los que tratan datos con fines domésticos, hay que resaltar que tan sólo se excluye a aquellos que utilicen los datos para un fin personal y privado, de una manera muy limitativa, como podría ser una agenda de contactos y siempre y cuando se utilice exclusivamente para uso personal.

Regresando al comentario de esta primera parte, y de acuerdo con lo especificado en el artículo 4o. del Reglamento de la Ley, la normatividad mexicana en materia de protección de datos personales es aplicable a toda persona física o moral de carácter privado que se encuentre en alguno de los supuestos siguientes:

Lo anterior debe igualmente interpretarse teniendo en consideración la concepción que se tiene en México sobre el domicilio de las personas morales y su disposición explícita en el Código Civil Federal, en su artículo 33, donde se establece claramente que las personas morales tienen su domicilio en el lugar donde se halle establecida su administración. Asimismo, enuncia el propio artículo, que aquellas que ejecuten actos jurídicos dentro del Distrito Federal se considerarán domiciliadas en este lugar, en cuanto a todo lo que a esos actos se refiera, sin importar que tengan su administración fuera de dicha circunscripción.

Por otra parte, pero en el mismo sentido, las sucursales que operen en lugares distintos de donde radica la casa matriz de la persona moral, tendrán su domicilio justamente en esos lugares para cumplir las obligaciones contraídas por las propias sucursales.

En este punto, queremos hacer una correlación minuciosa respecto al artículo 8o. del Reglamento, en el cual se trata el caso particular de los grupos sin personalidad jurídica a los que les otorga la consideración de encargados o responsables en caso de que traten datos personales. Recordemos, en este sentido, que el responsable es quien decide sobre el tratamiento de los datos personales y el encargado es el que realiza una prestación de servicios sobre los datos, un tratamiento, a nombre y por cuenta del responsable. Por tanto, extrapolando estas definiciones podemos argüir que una colectividad de individuos que decidan sobre el tratamiento de información personal o que actúen por obra y cuenta de un tercero, entrarán en los supuestos de responsables o encargados para efectos de la protección de datos personales, sin importar que cuenten o no con personalidad jurídica para ello. La reglamentación busca incluir grupos y organizaciones más allá de las empresariales, como aquellas sin fines de lucro, congregaciones de todo tipo, fideicomisos, etcétera. Bastará que se compruebe la relación jurídica que los vincule (entendiendo este término en toda su amplitud) con la colectividad del grupo o las finalidades a las que se dedique preponderantemente el grupo para cumplir con su objetivo.

Comentario a la segunda parte:

En la segunda parte del artículo 2o., la Ley exceptúa a las sociedades de información crediticia, como decíamos, en cuanto a lo regulado por su regulación específica (es decir, no las exceptúa en los tratamientos que no se encuentren amparados bajo dicha normatividad, como por ejemplo, los empleados) y a las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial. Por lo tanto, las bases de datos de los famosos burós de crédito, en relación con la misión y objeto de estas empresas, están excluidas del ámbito de aplicación de la Ley. Esta exclusión es muy relevante, e incluso sorprendente a nivel internacional. Los datos incluidos en los archivos del buró de crédito suelen ser altamente importantes para sus titulares, y con importantes consecuencias en su vida diaria, por lo que suelen ser datos sobre los que las normatividades internacionales prestan especial interés.

Asimismo, como adelantábamos en el comentario a la primera parte, los tratamientos realizados por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas, al ser actividades que se inscriben en el marco de la vida privada y familiar de las personas, tratándose por lo tanto de una exclusión muy concreta, pues sólo se reduce a aquellos que utilicen los datos para un fin personal y privado, de una manera muy limitativa, como podría ser una agenda de contactos y siempre y cuando se utilice exclusivamente para uso personal. En este mismo sentido, el artículo 6o. del Reglamento incide en que a cualquier tratamiento que salga de la esfera personal del individuo, y sea utilizado para el cumplimiento de una relación jurídica entre las partes, le será aplicable toda la normatividad en materia de protección de datos personales. Por lo que, de no estar en esta excepción, aquel que hubiese tratado estos datos se posicionará como el responsable del tratamiento de los datos y asumirá las obligaciones y responsabilidades establecidos en la normatividad aplicable.

Finalmente, con la publicación del Reglamento, y en especial atendiendo a lo dispuesto en su artículo 5o., entra en juego una importante excepción. Antes de la publicación de la versión final del Reglamento la línea de división del concepto de titular³ era difusa, en especial para aquellos datos pertenecientes a las personas de contacto y representantes legales de personas morales, así como para aquellos datos de las personas físicas con actividad empresarial y/o profesional, en función de que el tratamiento al que se destinen sus datos personales atañen a su calidad de empleado, profesionista, o representante de la persona moral en cuestión y no a su carácter de persona física como tal. Es por tanto que, como es visible, solamente para el último caso mencionado se vería afectada la esfera de la privacidad del titular y, principalmente que el derecho a la protección de datos personales no es un derecho absoluto que, por ende, merece ser modulado en ciertas ocasiones específicas, como ocurriría en el entorno laboral por ejemplo, en que este derecho puede verse moderado en su amplitud derivado de la normatividad laboral y del interés del tráfico mercantil en general, entre otras cosas.

Por lo tanto, para que se actualice alguno de los supuestos del artículo 5 del Reglamento, se deberá tener en cuenta, por un lado, que los datos tratados se limiten, efectivamente, a los meramente necesarios para identificar al sujeto en la persona jurídica a la que presta sus servicios. Esto es, que el tratamiento se limite a los datos de nombre y apellidos, las funciones o puestos desempeñados, así como algunos de los siguientes datos laborales: domicilio físico, dirección electrónica, teléfono y número de fax.

Por el otro, la inclusión de los datos de la persona de contacto o representante legal deberá ser meramente incidental respecto de la verdadera finalidad perseguida por el tratamiento, consistente en identificar a la persona moral para la que el titular presta sus servicios o su representación o la actividad que realiza, mas no al titular en sí mismo. Esto es, los datos personales mencionados en el párrafo anterior deberán tratarse para fines de representación del empleador o contratista únicamente. Ya que si se recabarán más datos que aquellos necesarios para el tratamiento antes descrito sí le sería aplicable la normatividad, en virtud de que los datos no serían considerados como datos de contacto, sino como datos personales per se.

Artículo 3o. Para los efectos de esta Ley, se entenderá por:

I. Aviso de Privacidad: Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley.

II. Bases de datos: El conjunto ordenado de datos personales referentes a una persona identificada o identificable.

III. Bloqueo: La identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de éstas. Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a su cancelación en la base de datos que corresponde.

IV. Consentimiento: Manifestación de la voluntad del titular de los datos mediante la cual se efectúa el tratamiento de los mismos.

V. Datos personales: Cualquier información concerniente a una persona física identificada o identificable.

VI. Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.

VII. Días: Días hábiles.

VIII. Disociación: El procedimiento mediante el cual los datos personales no pueden asociarse al titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo.

IX. Encargado: La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable.

X. Fuente de acceso público: Aquellas bases de datos cuya consulta puede ser realizada por cualquier persona, sin más requisito que, en su caso, el pago de una contraprestación, de conformidad con lo señalado por el Reglamento de esta Ley.

XI. Instituto: Instituto Federal de Acceso a la Información y Protección de Datos, a que hace referencia la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental.

XII. Ley: Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

XIII. Reglamento: El Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

XIV.