Principios y deberes en materia de Protección de Datos ...

Principios y deberes en materia deProtección de Datos Personales

INAI. (2015). Principios y deberes en materia de Protección de Datos Personales

Principios y deberes en materia de Protección de Datos Personales

2

Módulo 3. Principios y deberes en materia deProtección de Datos Personales

Mtro. Miguel Recio Gayo

Contenido

3.1 Principios de la Protección de Datos Personales.......................................................................................5

3.2 Principio de la licitud....................................................................................................................................... 8

3.2.1 Concepto................................................................................................................................................... 8

3.2.2 Importancia y utilidad...............................................................................................................................9

3.3 Principio de consentimiento.........................................................................................................................13

3.3.1 Concepto................................................................................................................................................. 13

3.3.2 Importancia y utilidad.............................................................................................................................14

3.3.3 Tipos de consentimiento.......................................................................................................................15

3.3.4 Excepciones al principio de consentimiento......................................................................................17

3.3.5 Revocación del consentimiento...........................................................................................................18

3.4 Principio de información...............................................................................................................................19

3.4.1 Concepto................................................................................................................................................. 19


3.4.3 Aviso de privacidad................................................................................................................................21

3.4.3.1 Concepto de Aviso de privacidad.....................................................................................................21

3.4.3.2 Lineamientos del Aviso de privacidad.............................................................................................22

3.4.3.2.1 Elementos mínimos que debe tener el Aviso de privacidad.....................................................23

3.4.3.2.2 Puesta a disposición.......................................................................................................................25


3

3.5 Medidas compensatorias............................................................................................................................. 30

3.5.1 Concepto de medidas compensatorias..............................................................................................31

3.5.2 Instrumentación......................................................................................................................................32

3.5.3 Modalidades............................................................................................................................................33

3.5.4 Criterios generales para la instrumentación de Medidas compensatorias sin la autorizaciónexpresa del numeral........................................................................................................................................34

3.5.5 Procedimiento para la solicitud y autorización de Medidas compensatorias...............................34

3.6 Principio de calidad.......................................................................................................................................36

3.6.1 Concepto................................................................................................................................................. 36


3.6.3 Plazos de conservación de los datos personales.............................................................................39

3.6.4 Procedimiento para conservación, bloqueo y supresión de los datos personales y prueba desu cumplimiento............................................................................................................................................... 40

3.7 Principio de finalidad.....................................................................................................................................40

3.7.1 Concepto................................................................................................................................................. 40


3.7.3 Finalidad primaria...................................................................................................................................42

3.7.4 Finalidad secundaria............................................................................................................................. 42

3.7.5 Tratamiento.............................................................................................................................................43

3.8. Principio de lealtad.......................................................................................................................................44

3.8.1 Concepto................................................................................................................................................. 44


3.9. Principio de proporcionalidad.....................................................................................................................45

3.9.1 Concepto................................................................................................................................................. 45


3.10. Principio de responsabilidad................................................................................................................ 47


4

3.10.1 Concepto...............................................................................................................................................47

3.10.2 Importancia y utilidad.......................................................................................................................... 49

3.10.3 Medidas para su cumplimiento..........................................................................................................51

3.10.4 Responsable y encargado del tratamiento de datos personales.................................................56

3.11 Privacidad desde el diseño........................................................................................................................59

3.11.1 Concepto...............................................................................................................................................59


3.12 Privacidad por defecto................................................................................................................................63

3.12.1 Concepto...............................................................................................................................................63


3.13 Deberes en la protección de datos personales..................................................................................64

3.13.1 Confidencialidad en los datos personales.......................................................................................64

3.13.2 Seguridad en los datos personales...................................................................................................65


5

3.1 Principios de la Protección de Datos Personales

Los principios y los deberes en materia de protección de datos personales legitiman el tratamiento delos datos personales y deben asegurarse a lo largo de su ciclo de vida, en todas y cada una de lasfases del tratamiento de los datos personales, es decir, desde que se obtienen o recaban, ya sea delpropio interesado o no, hasta que finalmente son destruidos, eliminados o borrados.

Estos principios y deberes son los siguientes:

1. Principios:a. Licitudb. Consentimientoc. Informaciónd. Calidade. Finalidadf. Lealtadg. Proporcionalidadh. Responsabilidad

2. Deberes:a. Confidencialidadb. Seguridad

Conforme a la Guía práctica para la atención de las solicitudes de Ejercicio de los Derechos ARCO1

del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales(en adelante, INAI), las fases del tratamiento durante las que el responsable del tratamiento tiene quecumplir con estos principios y deberes son las siguientes:

“Fase 1. Al momento de recabar los datos personales, el responsable está obligado a:

1. Dar un uso a los datos personales respetando la ley, desde el momento de su obtención(principio de licitud).

2. No utilizar medios engañosos o fraudulentos para obtener los datos personales (principio delealtad).

3. Poner a disposición el aviso de privacidad, de tal manera que el titular pueda conocer de quéforma serán tratados sus datos personales y cómo podrá ejercer sus derechos ARCO(principio de información).

4. Obtener el consentimiento o autorización del titular para el tratamiento de sus datospersonales, salvo las excepciones previstas en el artículo 10 de la Ley. Cuando se recabendatos personales sensibles el consentimiento del titular deberá ser expreso y por escrito. Enel caso de datos personales de carácter patrimonial o financiero, el consentimiento deltitular deberá ser expreso únicamente. Fuera de estos dos casos, como regla general esválido el consentimiento tácito (principio de consentimiento) siempre y cuando se ponga a

1 Disponible en http://inicio.inai.org.mx/Publicaciones/02GuiaAtencionSolicitudesARCO.pdf

http://inicio.inai.org.mx/Publicaciones/02GuiaAtencionSolicitudesARCO.pdf


6

disposición de los individuos titulares de los datos, el aviso de privacidad, en el que se indiquelo que se hará con su información.

5. Evitar la creación de bases de datos de carácter sensible, salvo que se justifique plenamentela necesidad del tratamiento para la consecución de finalidades legítimas y concretasrelacionadas con las actividades estatutarias o comerciales que persigue el responsable.

6. Recabar sólo aquellos datos personales que sean necesarios para las finalidades para las quese obtienen.

Fase 2. Durante el manejo o utilización de los datos personales, el responsable está obligado a:

1. Utilizar los datos personales respetando la Ley (principio de licitud).2. Respetar la expectativa razonable de privacidad del titular, es decir, la confianza que depositó

este último en el responsable, respecto de los datos personales que serán tratados conformea lo que acordaron y en los términos establecidos por la Ley (principio de lealtad).

3. Limitar el tratamiento de la información personal al cumplimiento de las finalidadespreviamente consentidas por el titular (principio de finalidad).

4. Usar los datos personales que resulten estrictamente necesarios para cumplir con lasfinalidades para las cuales fueron recabados (principio de proporcionalidad).

5. Mantener los datos personales actualizados y correctos (principio de calidad).6. Limitar el periodo de conservación de la información personal tratada al mínimo necesario

(principio de calidad).7. Mantener la confidencialidad de los datos personales tratados (deber de confidencialidad).8. Implementar medidas de seguridad de carácter administrativo, físico y técnico que garanticen

la confidencialidad e integridad de los datos personales (deber de seguridad).9. Informar al titular, sin demora alguna, sobre las vulneraciones de seguridad ocurridas en

cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales omorales de éste, en cuanto se confirme la vulneración sucedida (deber de seguridad).

10. Adoptar las medidas necesarias para cumplir con las obligaciones establecidas en la Ley(principio de responsabilidad).

11. Rendir cuentas al titular en caso de algún incumplimiento con relación a la protección de susdatos personales (principio de responsabilidad).

12. Comunicar los datos personales a terceros nacionales o extranjeros únicamente con laautorización del titular, salvo las excepciones previstas en la Ley, y hacer del conocimiento delos receptores de los datos personales el aviso de privacidad y las finalidades a las que eltitular sujetó el tratamiento de su información personal.

Fase 3. Una vez agotadas las finalidades que justificaron el tratamiento de los datos personales, elresponsable debe:

1. Suprimir los datos personales cuando hayan concluido las finalidades que dieron origen altratamiento, previo bloqueo (principio de calidad).”

Un ejemplo concreto de cómo se han incorporado estos principios a la normativa nacional sería elcaso de México, de manera que a continuación se centra la atención en la misma, sin perjuicio de lascorrespondientes referencias a otros países iberoamericanos o, en general, a Iberoamérica.


7

En este sentido, hay varios instrumentos tanto nacionales como internacionales relevantes a los quese puede, y en su caso debe, atender para estudiar los principios y deberes en materia de protecciónde datos personales.

Entre los principales documentos e instrumentos, tanto nacionales como internacionales, a los que sehace referencia, se encuentran:

Guías del Instituto Nacional de Transparencia, Acceso a la Información y Protección de DatosPersonales (INAI):

o Guía para cumplir con los principios y deberes de la Ley Federal de Protección deDatos Personales en Posesión de los Particulares (en adelante, Guía del INAI paracumplir con los principios y deberes de la LFPDPPP)2..

o Guía El ABC del Aviso de Privacidad3.o Guía para instrumentar medidas compensatorias4.

Guía para la implementación del Principio de Responsabilidad Demostrada (Accountability) dela Delegatura colombiana para la protección de datos personales5.

Informe sobre Privacidad y Protección de Datos Personales, Comité Jurídico Interamericano(CJI) de la Organización de los Estados Americanos (OEA), de 26 de marzo de 20156.

Directrices para la armonización de la protección de datos en la Comunidad Iberoamericanade la Red Iberoamericana de Protección de Datos7.

Dictamen con proyecto de Decreto por el que se expide la Ley Federal de Protección de DatosPersonales en Posesión de los Particulares (citado como Dictamen con proyecto de Decretopor el que se expide la LFPDPPP)8.

Estándares Internacionales sobre Protección de Datos Personales y Privacidad (Resoluciónde Madrid)9.

2 Disponible en: http://inicio.inai.org.mx/DocumentosdeInteres/Guia_obligaciones_lfpdppp_julio2014.pdf

3 Disponible en: http://abcavisosprivacidad.ifai.org.mx/#seccion1_02P

4 Disponible en http://inicio.inai.org.mx/DocumentosdeInteres/Guia_para_instrumentar_medidas_compensatorias.pdf

5 Disponible en http://www.sic.gov.co/drupal/recursos_user/documentos/noticias/Guia_Accountability.pdf

6 Disponible en http://www.oas.org/es/sla/ddi/docs/CJI-doc_474-15_rev2.pdf

7 Disponible enhttp://www.redipd.es/actividades/seminarios_2007/common/directrices_armonizacion_iberoamerica_seminario_2007.pdf

8 Disponible enhttp://www3.diputados.gob.mx/camara/content/download/231031/621446/file/Version_final_ley_proteccion_datos_personales.pdf

9 Disponibles en https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Cooperation/Conference_int/09-11-05_Madrid_Int_standards_ES.pdf

http://inicio.inai.org.mx/DocumentosdeInteres/Guia_obligaciones_lfpdppp_julio2014.pdf

http://abcavisosprivacidad.ifai.org.mx/

http://inicio.inai.org.mx/DocumentosdeInteres/Guia_para_instrumentar_medidas_compensatorias.pdf

http://www.sic.gov.co/drupal/recursos_user/documentos/noticias/Guia_Accountability.pdf

http://www.oas.org/es/sla/ddi/docs/CJI-doc_474-15_rev2.pdf

http://www.redipd.es/actividades/seminarios_2007/common/directrices_armonizacion_iberoamerica_seminario_2007.pdf

http://www3.diputados.gob.mx/camara/content/download/231031/621446/file/Version_final_ley_proteccion_datos_personales.pdf

https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Cooperation/Conference_int/09-11-05_Madrid_Int_standards_ES.pdf

https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Cooperation/Conference_int/09-11-05_Madrid_Int_standards_ES.pdf


8

Informe sobre la norma ISO/IEC Nº 27.018, del 1 de agosto de 2014, perteneciente a la familiade la Serie 27.000 relativas a la seguridad de la información, Unidad Reguladora y de Controlde Datos Personales de Uruguay10.

Por tanto, se recomienda una lectura analítica del presente documento, consultando y leyendo, en sucaso, los documentos citados en la bibliografía de este módulo así como otras lecturas que puedanser de interés.

3.2 Principio de la licitud

3.2.1 Concepto

La licitud, como principio de la protección de datos, significa que el tratamiento de los datospersonales tenga que hacerse, siempre, de forma lícita y legítima o leal, con apego a la normativaaplicable y conforme lo acordado entre el responsable del tratamiento y el titular de los datospersonales, bajo los términos establecidos, de manera que se cumpla con la expectativa razonable deprivacidad11.

En relación con este principio, las Directrices para la armonización de la protección de datos en laComunidad Iberoamericana, indican que:

“los datos sólo podrán ser recabados y tratados de buena fe, con estricto respeto por la Ley y losderechos de las personas y de conformidad a lo previsto en las presentes directrices.”12

Se trata de un principio que tiene que darse en todo tratamiento de datos personales, ya que de noser así dicho tratamiento sería ilícito. En caso de que se estén tratando ya los datos personales, eltratamiento que no cumpla con dicho principio resulta ser ilícito, de forma que los datos personalestendrán que cancelarse.

10 Disponible en http://datospersonales.gub.uy/wps/wcm/connect/urcdp/1b7dd9bb-0544-4a42-a272-7b7928976001/Informe+ISO+%281%29.pdf?MOD=AJPERES&CONVERT_TO=url&CACHEID=1b7dd9bb-0544-4a42-a272-7b7928976001

11 En este sentido, la “justicia” del tratamiento sería una cuestión adicional, ya que como indica el CJI de la OEA en relacióncon este concepto “ofrezcan opciones apropiadas a las personas con respecto a la forma y el momento en que vayan aproporcionar datos personales a controladores de datos en los casos en que no sea razonable prever que puedanrecopilarse en vista de la relación de las personas con el recopilador o procesador de datos y del aviso o los avisos quehayan recibido en el momento en que se recopilaron sus datos. Las opciones que se ofrezcan a las personas no deberíaninterferir en las actividades y en la obligación de los controladores de datos de promover la seguridad externa e interna y elcumplimiento de la normativa ni impedir que empleen prácticas comúnmente aceptadas para la recopilación y utilización dedatos personales.

Al aplicar estos principios, los Estados Miembros podrían establecer un requisito de “justicia” separado del tema delengaño.”. Informe ya citado, pág. 7.

12 Ya citadas. Pág. 14.

http://datospersonales.gub.uy/wps/wcm/connect/urcdp/1b7dd9bb-0544-4a42-a272-7b7928976001/Informe+ISO+%281%29.pdf?MOD=AJPERES&CONVERT_TO=url&CACHEID=1b7dd9bb-0544-4a42-a272-7b7928976001




9

3.2.2 Importancia y utilidad

El Informe del Comité Jurídico Interamericano (CJI) de la OEA sobre Privacidad y Protección deDatos se refiere a este principio al enunciar y explicar el principio relativo a los propósitos legítimos yjustos13. En concreto, indica que dicho principio “abarca dos elementos: 1) los “fines legítimos” paralos cuales se recopilan inicialmente los datos personales y 2) los “medios justos y legales” con loscuales se efectúa la recopilación inicial.”

Con carácter general es necesario mencionar que este principio de licitud está tambiéninterrelacionado con otros principios como los de finalidad e información, ya que será necesarioproporcionar información que permita al titular de los datos personales conocer claramente para quéserán tratados sus datos personales, debiendo obviamente ser una finalidad lícita.

Es así que en cuanto al primer elemento, el relativo a que los fines sean legítimos, el referido informedel CJI de la OEA indica que este requisito o condición de legalidad para el tratamiento de los datospersonales “es una norma fundamental, profundamente arraigada en valores democráticos básicos yen el estado de derecho. En principio, la recopilación de datos personales debe ser limitada yrealizarse con el conocimiento o el consentimiento de la persona.”

También que “[e]l requisito de legalidad abarca el concepto de legitimidad y excluye la recopilaciónarbitraria y caprichosa de datos personales. Implica transparencia y una estructura jurídica a la cualpueda tener acceso la persona cuyos datos estén recopilándose.”

Y llama la atención sobre aquellos casos en los que el tratamiento de los datos personales no estéprevisto en una norma legal o regulación que la prevea, sino que dependa, por ejemplo, deltratamiento que el responsable vaya a realizar para, por ejemplo, prestar un servicio al titular de losdatos, en cuyo caso “deben indicar claramente los fines para los cuales se recopilan los datos, a finde que la persona pueda entender cómo se recopilarán, usarán o divulgarán los datos.” Al respecto, ya modo de ejemplo, el citado informe hace referencia al caso en el que “se requiere esta informaciónpara garantizar que el reembolso se envíe a la dirección correcta del reclamante.”

En cuanto al segundo componente, el relativo a que los medios para el tratamiento de los datospersonales sean justos y legales, el informe del CJI de la OEA indica, con carácter general, que “[l]osdatos personales se recopilan por medios justos y legales cuando la recopilación es compatible tantocon los requisitos jurídicos pertinentes como con las expectativas razonables de las personasbasadas en su relación con el controlador de datos o con otra entidad que recopile los datos y en elaviso o los avisos dados a las personas en el momento en que se recopilen sus datos.”14

Y lo anterior significa o implica, en la práctica, que quede prohibida “la obtención de datos personalespor medio de fraude, engaño o con pretextos falsos”. El informe también cita, a continuación, unejemplo, en el que el mencionado principio “[s]e infringiría, por ejemplo, si una organización se hicierapasar por otra en llamadas de tele marketing, avisos publicitarios impresos o mensajes por correo

13 Ya citado. Págs. 5 a 7.

14 Informe ya citado. Pág. 7.


10

electrónico a fin de engañar a los consumidores e inducirles a dar el número de su tarjeta de crédito,información sobre cuentas bancarias u otros tipos de información personal delicada.”15

A este principio se refieren también los Internacionales sobre Protección de Datos Personales yPrivacidad, ya mencionados, en su artículo 6, bajo el título principio de lealtad y legalidad, en lossiguientes términos:

1. “Los tratamientos de datos de carácter personal se deberán realizar de manera leal,respetando la legislación nacional aplicable y los derechos y libertades de las personas, deconformidad con lo previsto en el presente Documento y con los fines y principios de laDeclaración Universal de Derechos Humanos y del Pacto Internacional de Derechos Civiles yPolíticos.

2. En particular, se considerarán desleales aquellos tratamientos de datos de carácter personalque den lugar a una discriminación injusta o arbitraria contra los interesados.”

Atendiendo a ejemplos concretos de cómo se formula o articular este principio en la normatividad,cabe mencionar el caso de México, donde es relevante la explicación dada, por su claridad ytranscendencia, la versión final del Dictamen con proyecto de Decreto por el que se expide laLFPDPPP16. El citado Dictamen indica sobre este principio que:

“implica que el tratamiento de los datos personales debe llevarse a cabo de forma leal y lícita;es decir, con pleno cumplimiento de la legalidad y respeto de la buena fe y los derechos delindividuo, cuya información es sometida a tratamiento.”

Esto supone, tal y como sigue explicando el Dictamen, que en la práctica esté prohibido “cualquiertratamiento que implique recabar o conservar los datos mediante la utilización de engaño o fraude, deforma que el individuo no pueda conocer con propiedad los términos y condiciones vinculados a esetratamiento.”

Es decir, el principio de licitud queda reforzado también al hacer referencia a la “expectativarazonable de privacidad”, de manera que el tratamiento de los datos personales por el responsabledebe asegurar que “los datos personales serán tratados conforme lo acordado y bajo los términosestablecidos”17.

Se trata también de uno de los principios que legitiman el tratamiento de datos personales, y que deno cumplirse el mismo, dicho tratamiento resultaría ilícito, pudiendo ser además objeto de sancióneconómica, en la forma de multa al responsable, en su caso.

15 Véase la nota a pie de página anterior.

16 Ya citada. Pág. 29.

17 En el Dictamen ya citado se explica que: “la iniciativa del diputado Gustavo Parra añade un conceptoinnovador que refuerza el espíritu que subyace en el principio de licitud denominado como “la expectativarazonable de privacidad”, el cual se traduce en la confianza que deposita el titular en el responsable en elsentido de que los datos personales serán tratados conforme lo acordado y bajo los términos establecidos.” Pág.29.


11

Este principio tiene que darse en todas las fases del tratamiento de los datos personales,procediéndose a cancelar los datos personales si alguno de los mismos incumpliese con el mismotanto cuando se recaban u obtienen del interesado como posteriormente, cuando son objeto detratamiento o uso.

El principio de licitud requiere que el responsable del tratamiento tenga que adoptar medidas paraasegurar que el tratamiento de los datos personales se hace:

1. Con pleno cumplimiento de la legalidad;2. Respeto de la buena fe, y3. Respeto de los derechos del individuo, cuya información es sometida a tratamiento.

Y lo anterior se concreta en que el tratamiento de los datos personales se haga sin engaño o fraude ode manera que el individuo no pueda conocer con propiedad los términos y condiciones vinculados aese tratamiento, por lo que este principio está también vinculado al de información o transparencia enel tratamiento de datos personales, además de estar estrechamente interrelacionado con el principiode lealtad.

A dicho principio se ha referido también específicamente en México el INAI, que en su Guía del INAIpara cumplir con los principios y deberes de la LFPDPPP indica lo siguiente:

“Los datos personales tienen que ser tratados por el responsable de manera lícita y leal, loque supone que tiene que actuar con apego a las leyes en general y en lo particular a lanormatividad sobre protección de datos personales. En ese sentido, el responsable sólo podráhacer con los datos personales aquello que esté legalmente permitido.

De acuerdo con el principio de lealtad, la obtención de los datos personales no podrá hacersea través de medios engañosos, ni fraudulentos, lo que implica que:

No se recaben datos personales con dolo, mala fe o negligencia; No se vulnere la confianza del titular con relación a que sus datos personales serán

tratados conforme a lo acordado; y Se informen todas las finalidades del tratamiento en el aviso de privacidad.”18

Por último, si se atiende a la redacción dada en México en la LFPDPPP y su Reglamento, es posibleresumir esquemáticamente este principio de la siguiente manera19:

Aspecto Art(s). Previsión normativa

Expectativa razonablede privacidad

7, párrafotercero, de la

“Se presume que existe la expectativa razonable de privacidad,entendida como la confianza que deposita cualquier persona en otra,

18 Véase la Guía ya citada, pág. 15.

19 Recio Gayo, Miguel; Esquemas de la Ley de Protección de Datos Personales y su Reglamento, Tirant lo Blanch, México, 2013. Pág.29.


12

LFPDPPP respecto de que los datos personales proporcionados entre ellos serántratados conforme a lo que acordaron las partes en los términosestablecidos por [la] Ley”.

Prohibición de obtenerdatos personales pormedios engañosos ofraudulentos

7, párrafosegundo, dela LFPDPPP

“La obtención de datos personales no debe hacerse a través demedios engañosos o fraudulentos”

44 delReglamento

“Existe una actuación fraudulenta o engañosa cuando:

I. Exista dolo, mala fe o negligencia en la información proporcionada altitular sobre el tratamiento;

II. Se vulnere la expectativa razonable de privacidad del titular, o

III. Las finalidades no son las informadas en el aviso de privacidad.”


13

3.3 Principio de consentimiento

3.3.1 Concepto

Por consentimiento, según la definición dada en la fracción IV, del artículo 3 de la LFPDPPP, seentiende la “[m]anifestación de la voluntad del titular de los datos mediante la cual se efectúa eltratamiento de los mismos.”

Sobre el consentimiento, el informe del CJI de la OEA indica que “[p]or lo general, la persona debeser capaz de dar su consentimiento libremente respecto de la recopilación de datos personales de laforma y con los fines previstos. Por lo tanto, el consentimiento de la persona debe basarse ensuficiente información y debe ser claro, es decir, no debe dar lugar a ninguna duda o ambigüedad conrespecto a la intención de la persona.”20

Al respecto, las Directrices para la armonización de la protección de datos en la ComunidadIberoamericana indican que:

“3.1. Los datos sólo podrán ser recabados o tratados en caso de que se hubieraobtenido el consentimiento del interesado.

3.2. No obstante la Ley podrá establecer supuestos en los que no será necesario elconsentimiento del interesado para el tratamiento de sus datos personales, atendiendo a lascircunstancias que concurran en cada supuesto y, en todo caso, siempre que dicha excepciónno perjudique los derechos fundamentales del interesado. En particular, la Ley podrá permitirel tratamiento de los datos sin contar con el consentimiento del interesado cuando el mismo serealice en el marco de una relación jurídica o por una Administración en el ejercicio de laspotestades que le hayan sido atribuidas.”21

Y también que en el caso de los datos sensibles:

“3.3. Los datos que revelen la ideología, afiliación sindical, religión o creencias delafectado sólo podrán ser tratados con su consentimiento, a menos que aquél los hubierahecho manifiestamente públicos.

3.4. Los datos relacionados con la salud, el origen racial y la vida sexual del afectadoúnicamente podrán ser recogidos y tratados en los supuestos mencionados en el párrafoanterior o cuando una Ley así lo disponga.

3.5 En todo caso las presentes directrices no obstaculizarán el adecuado tratamientomédico del interesado ni la atención de una urgencia vital del mismo.”

20 Pág. 8 del informe.

21 Pág. 15.


14

El Dictamen con proyecto de Decreto por el que se expide la LFPDPPP explica el principio delconsentimiento indicando que “[d]ado que el derecho a la protección de datos consiste en el poder dedecisión y control que goza el individuo sobre el tratamiento de sus datos de carácter personal, lamayor parte de los instrumentos nacionales o internacionales reguladores de esta materia sitúan alconsentimiento del titular de los datos, como manifestación de este poder decisorio como causaprincipal legitimadora del tratamiento de los datos personales.”22

Y añade también que “[e]ste consentimiento debe caracterizarse por ser previo, libre, inequívoco,informado y por último, puede ser revocado por el individuo en cualquier momento, no pudiendoexigirse para esa revocación más requisitos que los que fueron necesarios para la previa prestacióndel consentimiento.”


En la práctica, como indica la Guía del INAI hay que considerar que “[c]omo regla general, elresponsable deberá contar con el consentimiento del titular para el tratamiento de sus datospersonales. La solicitud del consentimiento deberá ir siempre ligada a las finalidades concretas deltratamiento que se informen en el aviso de privacidad, es decir, el consentimiento se deberá solicitarpara tratar los datos personales para finalidades específicas, no en lo general.”23

El consentimiento es también, junto con los demás, uno de los principios que legitima el tratamientode los datos personales cuando el mismo es necesario.

Al respecto, los Estándares Internacionales sobre Protección de Datos Personales y Privacidadincluyen el consentimiento como parte del principio general de legitimación, indicando, en el apartado1 del artículo 12, que:

“1. Como regla general, los datos de carácter personal sólo podrán ser tratados cuandoconcurra alguno de los siguientes supuestos:

a. Previa obtención del consentimiento libre, inequívoco e informado del interesado.”

Es decir, el consentimiento no siempre es necesario para el tratamiento de los datos personales yaque puede haber finalidades que no requieran el mismo para poder tratar los datos, como por ejemplocuando el responsable tiene que cumplir una relación contractual con el titular de los datospersonales o tratarlos en virtud de una obligación legal.

Además, el consentimiento tiene que ser válido, lo que implica que tenga que cumplir con unasciertas características, como se ha indicado ya, además de solicitarlo y obtenerlo en relación confinalidades específicas. Al respecto, la Guía del INAI, ya mencionada, indica que es:

22 Págs. 20 y 30 del Dictamen.

23 Guía del INAI para cumplir con los principios y deberes de la LFPDPPP. Pág. 18.


15

“Correcto: solicitar el consentimiento para el envío de publicidad de los serviciosdeportivos que ofrece la organización.

Incorrecto: solicitar el consentimiento para el uso de los datos personales en general,para cualquier finalidad que se le ocurra al responsable en el futuro.”24

Es así que, cuando es necesario obtenerlo para el tratamiento de los datos personales, elconsentimiento tiene que ser válido ya de que no haber sido obtenido o de haberse obtenido de formano adecuada, por ejemplo, obtener un consentimiento que no sea expreso y por escrito cuando así serequiera, implica que el tratamiento de los datos personales sea ilícito, lo que podría dar lugar a laimposición de una sanción por dicha razón. Y dicho tratamiento ilícito vulnera el derecho a laprotección de datos personales de su titular.

Por último, como indica el informe del CJI de la OEA25 “[e]l método para obtener el consentimientodebe ser apropiado para la edad y la capacidad de la persona afectada (si se conocen) y para lascircunstancias particulares del caso.”

3.3.3 Tipos de consentimiento

Atendiendo a la normatividad mexicana sobre protección de datos personales y, en particular a cómolo resume la Guía del INAI, ya citada, los tipos o formas del consentimiento, cuando éste es necesariopara el tratamiento de los datos personales, son las siguientes26:

Tipo o forma del consentimiento Datos personales

Tácito Cualquier tipo de dato personal, con excepción delos datos patrimoniales, financieros y sensibles.

Expreso Datos financieros y patrimoniales.

Expreso y por escrito Datos personales sensibles

Sobre los tipos del consentimiento, el Dictamen con proyecto de Decreto por el que se expide laLFPDPPP indica que27:

24 Pág. 18.

25 Ya citado. Pág. 8.

26 Págs. 18 y 19 de la Guía para cumplir con los principios y deberes de la LFPDPPP.

27 Pág. 30.


16

“El consentimiento tácito resultará de hechos o actos que lo presupongan o queautoricen a presumirlo, excepto en los casos en que por ley o por convenio la voluntad debamanifestarse expresamente. Este tipo de consentimiento es conocido también como el opt-outy resulta nodal para el sano flujo de datos en el comercio y crecimiento económico, ya que sise requiriera acreditar de manera fehaciente que la persona ha consentido el tratamiento,tendría que hacerse por escrito estampando su firma o a través de otro medio de autenticación,lo cual podría entorpecer el dinamismo de las transacciones comerciales.

Por su parte, el consentimiento será expreso cuando se manifieste por escrito, medioselectrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos. Este tipo deconsentimiento solo se requiere en el caso del tratamiento de datos sensibles, y en aquellosen los que se ha modificado por el responsable de la base de datos de manera sustancial yantagónica, la finalidad originaria para la cual fueron recabados, con excepción del tratamientoque efectúa el sector de prospección comercial.”

Por lo que se refiere a cómo obtener cada uno de estos tipos o formas del consentimiento, siguiendocon el resumen hecho en la Guía del INAI, sería así en cada caso:

Tipo o forma delconsentimiento

Obtención del consentimiento

Tácito Se obtiene si el titular no se niega a que sus datos personales seantratados, después de haber conocido el aviso de privacidad. Es decir,no es necesario que quede registrado que el titular autorizó eltratamiento de su información personal, sino que es suficiente con queno se niegue al tratamiento.

Expreso El titular de los datos personales deberá señalar expresamente queconsiente el tratamiento de sus datos personales.

Expreso y por escrito Se deberá otorgar por escrito, mediante firma autógrafa, huella dactilar,firma electrónica del titular o cualquier otro mecanismo autorizado quepermita identificarlo plenamente.

Y como sigue indicando la Guía del INAI28, hay que considerar también que “si una ley o reglamento,en lo particular, exige el consentimiento expreso o expreso y por escrito para el tratamiento, el

28 Págs. 19 y 20.


17

responsable deberá solicitarlo de esa forma, aunque no se trate de datos financieros, patrimoniales osensibles. Por otra parte, si el responsable lo considera necesario o conveniente, o lo acuerda con eltitular, podrá solicitar el consentimiento expreso o expreso y por escrito en cualquier caso. Loimportante es que el responsable tenga claro que cuando se trate de datos patrimoniales yfinancieros tendrá que solicitar el consentimiento expreso, y de datos personales sensibles, elexpreso y por escrito”, salvo que concurra alguna excepción legalmente prevista a la obtención dedicho consentimiento.

También, hay que atender a los medios para obtener el consentimiento, en particular cuando éste esexpreso o, en su caso, expreso y por escrito, de manera que como resume la Guía del INAI “se puedeobtener a través del aviso de privacidad o de cualquier otro documento físico o electrónico quedetermine el responsable. En ese sentido, NO es necesario que el consentimiento se obtenga pormedio del aviso de privacidad. Por ejemplo, el consentimiento expreso y por escrito se podría obtenera través de un formato o contrato, y el expreso por medio de una grabación telefónica o de una casillaen formato electrónico. No obstante, hay que recordar que, en todos los casos, de manera previa sedebe dar a conocer el aviso de privacidad.

Es importante tener en cuenta, que el medio que el responsable ponga a disposición del titular paraobtener su consentimiento debe ser sencillo y gratuito.”29

3.3.4 Excepciones al principio de consentimiento

El consentimiento, con carácter general, será necesario, salvo que concurra alguna excepciónprevista en la ley. En este sentido, puede haber excepciones al consentimiento tanto por lo que serefiere tanto al momento de obtener o recabar los datos personales como al de transferir ocomunicarlos, nacional o internacionalmente, a un nuevo responsable del tratamiento.

Es así que, si por ejemplo atendemos a la normatividad mexicana sobre protección de datospersonales, en concreto a la LFPDPPP, ésta contempla las siguientes excepciones al consentimiento:

1) Para el tratamiento (obtención) de los datos personales:“Artículo 10.- No será necesario el consentimiento para el tratamiento de los datos personalescuando:

I. Esté previsto en una Ley;II. Los datos figuren en fuentes de acceso público;III. Los datos personales se sometan a un procedimiento previo de disociación;IV. Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el

titular y el responsable;V. Exista una situación de emergencia que potencialmente pueda dañar a un individuo en

su persona o en sus bienes;VI. Sean indispensables para la atención médica, la prevención, diagnóstico, la prestación

de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios,

29 Pág. 23.


18

mientras el titular no esté en condiciones de otorgar el consentimiento, en los términosque establece la Ley General de Salud y demás disposiciones jurídicas aplicables y quedicho tratamiento de datos se realice por una persona sujeta al secreto profesional uobligación equivalente, o

VII. Se dicte resolución de autoridad competente.”

1) Para su transferencia (entre dos responsables, el que los transfiere y el que recibe dichatransferencia), nacional o internacional, de los datos personales:

“Artículo 37.- Las transferencias nacionales o internacionales de datos podrán llevarse a cabosin el consentimiento del titular cuando se dé alguno de los siguientes supuestos:

I. Cuando la transferencia esté prevista en una Ley o Tratado en los que México seaparte;

II. Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico,la prestación de asistencia sanitaria, tratamiento médico o la gestión de serviciossanitarios;

III. Cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias oafiliadas bajo el control común del responsable, o a una sociedad matriz o acualquier sociedad del mismo grupo del responsable que opere bajo los mismosprocesos y políticas internas;

IV. Cuando la transferencia sea necesaria por virtud de un contrato celebrado o porcelebrar en interés del titular, por el responsable y un tercero;

V. Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda deun interés público, o para la procuración o administración de justicia;

VI. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa deun derecho en un proceso judicial, y

VII.Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de unarelación jurídica entre el responsable y el titular.”

3.3.5 Revocación del consentimiento

Como indica el informe del CJI de la OEA “[u]na persona tiene derecho a retirar el consentimientosegún la índole del consentimiento dado y los fines para los cuales se recopile la información. Engeneral, el retiro del consentimiento no afecta la validez de lo que ya se haya hecho sobre la base delconsentimiento.”30

Es decir, el consentimiento que ha sido dado por el titular de los datos personales para su tratamientopuede ser revocado, siempre y cuando no exista una obligación legal para el responsable de tratarlos.

Al respecto, como explica el Dictamen con proyecto de Decreto por el que se expide la LFPDPPP, elconsentimiento “puede ser revocado por el individuo en cualquier momento, no pudiendo exigirse

30 Pág. 9 del citado informe.


19

para esa revocación más requisitos que los que fueron necesarios para la previa prestación delconsentimiento.”31

Sobre la revocación del consentimiento, los Estándares Internacionales sobre Protección de DatosPersonales y Privacidad indican, en el apartado 2 del artículo 12, que “persona responsable deberáhabilitar procedimientos sencillos, ágiles y eficaces que permitan a los interesados revocar suconsentimiento en cualquier momento, y que no impliquen demoras o costes indebidos, ni ingresoalguno para la persona responsable.”

En la práctica, el titular de los datos personales podrá revocar su consentimiento en cualquiermomento, de manera que el responsable del tratamiento debería establecer un procedimiento paragestionar dicha revocación.

Por último, como indica el INI en su Guía práctica para la atención de las solicitudes de Ejercicio delos Derechos ARCO:

“Se deberá tener en cuenta que existen dos modalidades en las que la revocación del consentimientopuede darse; la primera, puede ser sobre la totalidad de las finalidades consentidas, esto es, que elresponsable deje de tratar por completo los datos del titular; la segunda, puede ocurrir sobretratamientos determinados, como por ejemplo para fines mercadotécnicos, publicitarios o de estudioscomerciales, entre otros. Con la segunda modalidad, la revocación parcial del consentimiento, semantienen a salvo otros fines del tratamientos que el responsable, de conformidad con su aviso deprivacidad, puede llevar a cabo y con los que el titular está de acuerdo.

Por lo anterior, será necesario que el titular al momento de hacerle llegar su solicitud de revocaciónde consentimiento al responsable, indique en ésta si la revocación que pretende realizar es total oparcial; en caso de ser del segundo tipo, se deberá indicar cuál o cuáles tratamientos son aquélloscon los que el titular no está conforme.”32

3.4 Principio de información

3.4.1 Concepto

El principio de información es otro de los fundamentales, ya que a través del mismo el responsabledel tratamiento informa al titular de los datos personales, entre otros aspectos, sobre qué datospersonales obtiene y para qué los va a tratar. Este principio está vinculado con otros principiosrelevantes, tales como los de finalidad, calidad y consentimiento.

Además, la información que el responsable proporcione al titular de los datos personales esfundamental para que éste pueda ejercer sus derechos de acceso, rectificación, cancelación uoposición (derechos ARCO), ya que podrá saber quién trata sus datos personales para dirigirse almismo.

31 Pág. 30 del Dictamen.

32 Pág. 12.


20

La información que se proporcione a titular de los datos sobre el tratamiento o los tratamientos de susdatos personales es también una cuestión de transparencia por el responsable del tratamiento y alrespecto el informe del CJI de la OEA explica que “los fines para los cuales se recopilan datospersonales deben especificarse claramente en el momento en el cual se recopilen. Además, se debeinformar a las personas sobre las prácticas y políticas de las entidades o personas que recopilen losdatos personales, a fin de que puedan tomar una decisión fundamentada con respecto al suministrode tales datos. Sin claridad, el consentimiento de la persona con respecto a la recopilación de losdatos no puede ser válido.”33

Por su parte, las Directrices para la armonización de la protección de datos en la ComunidadIberoamericana, indican que:

“4.1 El interesado del que se recaben los datos deberá ser informado al tiempo de su recogida de laidentidad del responsable del tratamiento, los fines para los que los datos vayan ser tratados y elmodo en que podrá hacer efectivos los derechos a los que se refieren los apartados 5 y 6 de estasdirectrices, así como de cualquier otra información necesaria para garantizar un tratamiento lícito delos datos. Esta obligación solamente quedará exceptuada si el interesado hubiera sido ya informadocon anterioridad de estas circunstancias.

4.2. Cuando los datos no hayan sido obtenidos del interesado deberá informarse al mismo de losextremos previstos en el párrafo anterior en un plazo prudencial de tiempo y, en todo caso, conanterioridad a que los datos sean comunicados a un tercero.”34


Como expone el Dictamen con proyecto de Decreto por el que se expide la LFPDPPP, el principio deinformación se traduce “necesariamente en el derecho, y correlativo deber para la entidad o personaresponsable, de poder conocer efectivamente la existencia misma del tratamiento y las característicasesenciales del mismo, en términos que le resulten fácilmente comprensibles.”35

Es decir, como indica a continuación, este principio “permite a la persona conocer los tratamientos desus datos personales que están siendo llevados a cabo y, lo que resulta esencial, ejercer losderechos comúnmente reconocidos en relación con esos tratamientos. Desde el punto de vista de suextensión, el principio de información ha de aplicarse a todos los tratamientos que se lleven a cabo,con independencia de si los datos proceden del titular de los datos o de otras fuentes, así como a lainformación útil relativa a cada uno de ellos. El principio de información se materializa a través de unaviso de privacidad, el cual debe darse a conocer al momento de la recolección de los datospersonales.”


34 Pág. 15.

35 Págs. 34 y 35.


21

La Guía del INAI se refiere también a este principio indicando que “los responsables se encuentranobligados a informar a los titulares de los datos personales, las características principales deltratamiento al que será sometida su información personal, lo que se materializa a través del aviso deprivacidad. En ese sentido, todo responsable que trate datos personales, sin importar la actividad querealice o si se trata de una persona física o moral, requiere elaborar y poner a disposición los avisosde privacidad que correspondan a los tratamientos que lleven a cabo.

Es importante tomar en cuenta que con independencia de que se requiera o no el consentimiento deltitular para el tratamiento de sus datos personales, el responsable está obligado a poner a sudisposición el aviso de privacidad.”36

En el caso de México, es importante destacar que el INAI ha elaborado varias herramientas y hapuesto a disposición de los sujetos obligados varios instrumentos en relación con este principio, queles servirá para poder adoptar e implementar medidas en la práctica. Dichas herramientas ydocumentos, que se encuentran disponibles en el sitio web del Instituto37, son:

1. El Generador de Avisos de Privacidad (GAP);2. La guía El ABC del Aviso de Privacidad38;3. El formato de auto-evaluación de avisos de privacidad para responsables;4. Modelo de aviso de privacidad corto para video vigilancia; y5. Modelo de aviso de privacidad simplificado en video.

Y a los mismos se hará referencia, en su caso, en los siguientes apartados como ejemplos prácticos yconcretos a la hora de adoptar e implementar medidas para cumplir con el principio de información.

3.4.3 Aviso de privacidad

El aviso de privacidad (en México), al que en otros lugares se denomina también como cláusula deprotección de datos (por ejemplo, en España), como veremos a continuación, sirve al responsable deltratamiento para facilitar al titular de los datos personales la información relativa al tratamiento de losmismos.

3.4.3.1 Concepto de Aviso de privacidad

En México, el aviso de privacidad es definido, en la fracción I, del artículo 3 de la LFPDPPP, como el“[d]ocumento físico, electrónico o en cualquier otro formato generado por el responsable que espuesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con elartículo 15 de la presente Ley.”

36 Pág. 32.

37 Véase el vínculo electrónico http://www.inai.org.mx

38 Disponible en http://abcavisosprivacidad.ifai.org.mx/PDF/El%20ABC%20del%20Aviso%20de%20Privacidad.pdf

http://www.inai.org.mx

http://abcavisosprivacidad.ifai.org.mx/PDF/El%20ABC%20del%20Aviso%20de%20Privacidad.pdf


22

A su vez, el artículo 15 de la LFPDPPP se refiere a la obligación que tiene el responsable deltratamiento “de informar a los titulares de los datos, la información que se recaba de ellos y con quéfines, a través del aviso de privacidad.”

En este sentido, la guía del INAI titulada El ABC del Aviso de Privacidad39 explica que el aviso deprivacidad “[e]s un documento físico, electrónico o en cualquier otro formato (por ejemplo sonoro), através del cual el responsable informa al titular sobre la existencia y características principales deltratamiento al que serán sometidos sus datos personales. A través del aviso de privacidad se cumpleel principio de información que establece la Ley Federal de Protección de Datos Personales enPosesión de los Particulares (en lo sucesivo la Ley) y su Reglamento.”

Por lo tanto, quien tiene que cumplir con dicha obligación es el responsable del tratamiento, conindependencia de que en la práctica tuviera un encargado del tratamiento que recabase los datospersonales, en su nombre y por su cuenta, y fuera éste quien proporcionase al titular de los datospersonales el aviso de privacidad, lo cual hará también siguiendo las instrucciones del responsabledel tratamiento.

3.4.3.2 Lineamientos del Aviso de privacidad

En el caso de México, además de la LFPDPPP y su Reglamento hay que tomar en cuenta losLineamientos del Aviso de privacidad40 que “tienen por objeto establecer el contenido y alcance de losavisos de privacidad, en términos de lo dispuesto por dicha Ley y su Reglamento”, tal y como seindica en el primer Lineamiento41.

Los Lineamientos del Aviso de privacidad fueron emitidos por la Secretaría de Economía encoadyuvancia con el INAI y determinan el contenido y alcance del aviso de privacidad, de manera que,además de cuestiones generales, los Lineamientos se refieren a:

Su puesta a disposición; Las modalidades del aviso de privacidad; Su contenido, ya sea el aviso de privacidad integral, simplificado o corto, y Buenas prácticas a considerar en relación con el aviso de privacidad en materia de:

o Identidad y domicilio del responsable;o Listado de datos personales;o Información sobre transferencias;o Tratamiento de datos personales de menores de edad y personas en estado de

interdicción o incapacidad;

39 Ya citada.

40 Publicados en el Diario Oficial de la Federación del 17 de enero de 2013 y disponibles enhttp://dof.gob.mx/nota_detalle.php?codigo=5284966&fecha=17/01/2013

41 Además, el INAI sometió a consulta pública, entre el 28 de septiembre y el 18 de octubre de 2015, varios anteproyectosde Lineamientos entre los que se encontraban los Lineamientos que los sujetos obligados deben seguir al momento degenerar información, en un lenguaje sencillo, procurando su accesibilidad y traducción a lenguas indígenas. Al respecto,puede verse el Comunicado del INAI, de 7 de octubre de 2015, disponible en el vínculo electrónicohttp://inicio.inai.org.mx/Comunicados/Comunicado%20INAI-124-15.pdf

http://dof.gob.mx/nota_detalle.php?codigo=5284966&fecha=17/01/2013

http://inicio.inai.org.mx/Comunicados/Comunicado%20INAI-124-15.pdf


23

o Obtención del consentimiento expreso y expreso y por escrito del titular;o Toma de decisiones sin intervención humana, yo Atención de quejas y denuncias.

3.4.3.2.1 Elementos mínimos que debe tener el Aviso de privacidad

En cuanto a los elementos mínimos que debe tener el aviso de privacidad, el artículo 16 de laLFPDPPP indica que:

“El aviso de privacidad deberá contener, al menos, la siguiente información:

I. La identidad y domicilio del responsable que los recaba;II. Las finalidades del tratamiento de datos;III. Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o

divulgación de los datos;IV. Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición,

de conformidad con lo dispuesto en esta Ley;V. En su caso, las transferencias de datos que se efectúen, yVI. . El procedimiento y medio por el cual el responsable comunicará a los titulares de

cambios al aviso de privacidad, de conformidad con lo previsto en esta Ley.

En el caso de datos personales sensibles, el aviso de privacidad deberá señalarexpresamente que se trata de este tipo de datos.”

Además de los elementos indicados en la LFPDPPP, hay que atender también al Reglamento de laLFPDPPP y a los Lineamientos del Aviso de privacidad, considerando la modalidad del aviso deprivacidad (integral, simplificado y corto).

En función de cada una de las modalidades del aviso de privacidad y siguiendo la Guía del INAI paracumplir con los principios y deberes de la LFPDPPP, los elementos que debe tener el aviso deprivacidad son los siguientes:

Elemento informativo Integral Simplificado Corto

I. La identidad y domicilio del responsable que trata los datospersonales;

II. Los datos personales que serán sometidos a tratamiento;

III. El señalamiento expreso de los datos personales sensibles


24


que se tratarán;

IV. Las finalidades del tratamiento;

V. Distinguir entre las finalidades que son necesarias y dieronorigen a la relación jurídica, de las que no lo son;

VI. Los mecanismos para que el titular pueda manifestar sunegativa para el tratamiento de sus datos personales paraaquellas finalidades que no son necesarias, ni hayan dadoorigen a la relación jurídica con el responsable;

VII. Las transferencias de datos personales que, en su caso, seefectúen; el tercero receptor de los datos personales, y lasfinalidades de las mismas;

VIII. La cláusula que indique si el titular acepta o no latransferencia, cuando así se requiera;

IX. Los medios y el procedimiento para ejercer los derechosARCO;

X. Los mecanismos y procedimientos para que, en su caso, eltitular pueda revocar su consentimiento al tratamiento de susdatos personales;

XI. Las opciones y medios que el responsable ofrece al titularpara limitar el uso o divulgación de los datos personales;

XII. La información sobre el uso de mecanismos en mediosremotos o locales de comunicación electrónica, óptica u otratecnología, que permitan recabar datos personales de maneraautomática y simultánea al tiempo que el titular hace contactocon los mismos, en su caso;


25


XIII. Los procedimientos y medios a través de los cuales elresponsable comunicará a los titulares los cambios al aviso deprivacidad;

XIV. Los mecanismos para que el titular conozca el textocompleto del aviso de privacidad integral.

La lista completa de los elementos que deberá tener el aviso de privacidad, conforme a la LFPDPPP,su Reglamento y los Lineamientos, puede verse en do el apéndice único de El ABC del Aviso dePrivacidad42.

3.4.3.2.2 Puesta a disposición

Con carácter general, tal y como se indica en El ABC del Aviso de Privacidad, el momento de poner adisposición del titular de los datos personales el aviso de privacidad “depende de la forma en que seobtengan los datos personales, es decir, si éstos se recaban personal, directa o indirectamente deltitular.”

Al respecto, siguiendo la citada guía del INAI “el aviso de privacidad se pone a disposición en lossiguientes momentos”:

A) Previo a la obtención de losdatos personales

Cuando los datos personales se obtienen de manera directa opersonal de su titular. En ese sentido, el responsable debeponer a disposición del titular su aviso de privacidad antes deque este último le proporcione su información personal, através del formato o medio respectivo.

B) Al primer contacto con el titular Cuando los datos personales se obtienen de manera indirectay el tratamiento para el cual serán utilizados involucra elcontacto directo o personal con el titular. Por ejemplo, si losdatos personales se obtuvieron de una fuente de accesopúblico y el responsable enviará al titular propaganda sobre losbienes o servicios que ofrece, en el primer envío deinformación que realice, deberá poner a disposición del titular

42 Disponible en http://abcavisosprivacidad.ifai.org.mx/#seccion1_08



26

el aviso de privacidad.

C) Previo al aprovechamiento delos datos personales

Cuando los datos personales se obtiene de manera indirecta,pero el tratamiento para el cual serán utilizados no requierecontacto personal o directo con el titular. Por ejemplo, si losdatos personales se obtuvieron mediante una transferencia yserán utilizados para un estudio socioeconómico que norequiere entrar en contacto con los titulares, antes de realizar elestudio, el responsable deberá poner a disposición de lostitulares el aviso de privacidad.

Los Lineamientos del Aviso de privacidad definen cada una de estas formas de obtención delos datos personales de la siguiente manera43:

Forma de obtención de losdatos personales

Definición

De forma directa Acto en el cual el propio titular proporciona los datos personales poralgún medio que permite su entrega directa al responsable, entre ellos,medios electrónicos, ópticos, sonoros, visuales o cualquier otratecnología, como correo postal, internet o vía telefónica, entre otros.

De forma indirecta Acto en el cual el responsable obtiene los datos personales sin que eltitular se los haya proporcionado de forma personal o directa, como porejemplo a través de una fuente de acceso público o una transferencia.

De forma personal de sutitular

Acto en el cual el titular proporciona los datos personales alresponsable o a la persona física designada por el responsable, con lapresencia física de ambos.

Y la forma de poner a disposición el aviso de privacidad puede ser44:

43 Fracciones III a V del Lineamiento tercero.

44 Fracción VI y VII del Lineamiento tercero.


27

Forma de poner a disposiciónel aviso de privacidad

Definición

Directa Acto en el cual se hace del conocimiento del titular el aviso deprivacidad por algún medio que permite su entrega directa, entreellos, medios electrónicos, ópticos, sonoros, visuales o cualquier otratecnología, como correo postal, internet o vía telefónica, entre otros.

Personal Acto en el cual el responsable o la persona física designada por elresponsable para tal fin entrega o hace del conocimiento del titular elaviso de privacidad, con la presencia física de ambos.

Siguiendo la Guía del INAI para cumplir con los principios y deberes de la LFPDPPP45, se puederesumir la puesta a disposición del aviso de privacidad con la siguiente tabla que considera elmomento de la puesta a disposición y la forma de obtención de los datos:

Momento de la puesta a disposición Forma de obtención de los datos

A. Previo a la obtención de losdatos personales

Personal Se entiende que los datos personales se obtienende manera personal, cuando el titular losproporciona al responsable con la presencia físicade ambos, por ejemplo en una entrevistapresencial o en las instalaciones del responsable.

Directa Por su parte, los datos personales se obtienen demanera directa cuando el propio titular losproporciona por algún medio que permite suentrega directa al responsable, entre ellos,medios electrónicos, ópticos, sonoros, visuales ocualquier otra tecnología, como correo postal,Internet o vía telefónica. Por ejemplo, el llenadode un formulario por Internet, el envío de losdatos personales por correo electrónico o laentrega de los datos personales a través de unallamada telefónica.

45 Páginas 35 a 37.


28

En todos estos casos, el aviso de privacidad se debe dar aconocer previo a la obtención de los datos personales.

B. Al primer contacto con el titular Indirecta Se entiende que los datos personales se obtienende manera indirecta cuando el responsable losobtiene sin que el titular se los hayaproporcionado de forma personal o directa, comopor ejemplo a través de una fuente de accesopúblico o una transferencia consentida por eltitular o que no requiere su consentimiento.

En estos casos en que el responsable no haya obtenido losdatos personales directamente del titular, deberá dar a conocerel aviso de privacidad al primer contacto que tenga con éste,siempre y cuando el tratamiento requiera el contacto entre elresponsable y el titular.

C. Previo al aprovechamiento de losdatos personales

Indirecta. Ver inciso B.

Ahora bien, a diferencia del caso expuesto en el inciso anterior,en este supuesto, el tratamiento de los datos personales noinvolucra el contacto con los titulares, por lo que la puesta adisposición del aviso de privacidad no puede ser al primercontacto. Por ejemplo, los datos se obtuvieron de una fuentede acceso público y se utilizarán para un estudio, en el que nose requiere entrar en contacto con los titulares.

En estos casos, el responsable deberá dar a conocer su avisode privacidad a los titulares, antes de que comience a utilizarlos datos para las finalidades para las cuales se obtuvieron,partiendo del supuesto de que tiene datos de contacto de lostitulares (para los casos en los que no se cuente con datos decontacto, ver apartado sobre medidas compensatorias de estaguía). Siguiendo el ejemplo anterior, el aviso de privacidad sedebería dar a conocer antes de iniciar la elaboración delestudio.


29

D. Previo al aprovechamiento de losdatos personales

Personal odirecta.

Ver inciso A.

Ahora bien, en este supuesto se parte del hecho de que elresponsable ya tiene los datos personales del titular, los cualesobtuvo para cierta finalidad que le fue informada al titular en sumomento, y que éste consintió, en el caso que se hayarequerido el consentimiento. Sin embargo, el responsablerequiere tratar los datos personales para nuevas finalidades.En un caso así, el responsable deberá poner a disposición deltitular el aviso de privacidad con las nuevas finalidades, previoal aprovechamiento de los datos personales, es decir, antes deque los datos sean utilizados para las nuevas finalidades.

3.4.3.2.3 Modalidades

En cuanto a las modalidades, el aviso de privacidad puede ser integral, simplificado y corto.

Como indica el decimoctavo de los Lineamientos, conforme a la LFPDPPP y su Reglamento, el avisode privacidad “se podrá poner a disposición en las siguientes modalidades”.

Modalidad Casos en los que procede

Integral Cuando los datos personales se obtengan personalmente del titular.

Integral o simplificado Cuando los datos personales se obtengan de manera directa o indirectadel titular.

Corto Cuando el espacio utilizado para la obtención de los datos personales seamínimo y limitado, de forma tal que los datos personales recabados o elespacio para la difusión o reproducción del aviso de privacidad también losean.

Sin perjuicio de lo anterior, como indica el mencionado Lineamiento, es necesario tener enconsideración que “[l]a puesta a disposición del aviso de privacidad simplificado o corto no exime alresponsable de su obligación de proveer los mecanismos para que el titular pueda conocer elcontenido del aviso de privacidad integral.”


30

Por último, en El ABC del Aviso de Privacidad pueden encontrarse modelos de aviso de privacidadintegral, simplificado y corto46.

3.5 Medidas compensatorias

Las medidas compensatorias se han incluido, específicamente, en la normatividad mexicana sobreprotección de datos personales para dar solución, por una parte, a los tratamientos de datospersonales que ya se estaban realizando con anterioridad a la entrada en vigor de la LFPDPPP y, porotra parte, también para dar solución a situaciones que requieren o exigen esfuerzosdesproporcionados a la hora de dar a conocer el aviso de privacidad47.

El titular de los datos personales tiene que ser informado siempre del tratamiento de sus datospersonales, con independencia de cómo se obtengan los datos personales, ya sea directa,indirectamente o personalmente. Es decir, incluso cuando pudiera haber una excepción a lanecesidad del consentimiento, porque el tratamiento de los datos personales sea exigido por una leyo necesario para el cumplimiento de un contrato, dichos tratamientos tendrán que ser informados, através del aviso de privacidad, al titular de los datos.

Ahora bien, puede haber situaciones en las que informar al titular de los datos personales, puederesultar complicado por varios motivos, previstos específicamente en la normatividad sobre protecciónde datos personales, y que implican que el responsable del tratamiento tenga que instrumentarmedidas compensatorias. Éstas consistente, por ejemplo, en que el responsable del tratamientoinforme a los titulares de los datos personales difundiendo el aviso de privacidad a través de supágina web, un diario de circulación nacional, carteles informativos u otros medios alternos decomunicación masiva.

Es decir, el aviso de privacidad tiene que darse siempre y sólo en casos específicos que puedenrequerir incluso que el responsable tenga que obtener la autorización del INAI, este aviso deprivacidad podrá difundirse a través de medios de comunicación masiva, como Internet, diarios uotros medios de comunicación.

En cualquier caso, el titular de los datos personales tiene que atender también al aviso de privacidadcuando se difunda de esta manera para informarse sobre el tratamiento de sus datos personales asícomo de la posibilidad de ejercitar sus derechos. Hay que tomar también en cuenta que el aviso deprivacidad es el instrumento a través del que el responsable cumple con el principio de información,que de no darse podría suponer un incumplimiento de la normatividad sobre protección de datospersonales, siendo ilícito el tratamiento.

46 Véase la citada Guía, que incluye los modelos, en http://abcavisosprivacidad.ifai.org.mx/#seccion1_08

47 A nivel internacional, por ejemplo, cabe hacer referencia en este sentido al caso de España donde el apartado 5, del artículo 5 de la LeyOrgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) incluye una excepción al principio deinformación indicando que: “No será de aplicación lo dispuesto en el apartado anterior, cuando expresamente una ley lo prevea, cuando eltratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzosdesproporcionados, a criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente, en consideración al númerode interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.” La LOPD puede consultarse enhttp://www.boe.es/buscar/act.php?id=BOE-A-1999-23750


http://www.boe.es/buscar/act.php?id=BOE-A-1999-23750


31

Al respecto, es necesario saber que la obligación que tiene el responsable del tratamiento de informarsobre el tratamiento de datos personales, incluso cuando se dan determinadas situaciones por elnúmero de personas o el momento en el que se obtuvieron los datos personales, tiene que cumplirsesiempre, pudiendo llevarse a cabo a través de medidas compensatorias. Esto implica también quecomo titulares de los datos personales, tengamos que informarnos de qué datos personales nospiden, para qué y quién los tratará. Se trata también de un ejercicio de responsabilidad que ademáses clave para, si fuera necesario, poder ejercitar los derechos ARCO ante el responsable deltratamiento.

En definitiva, el titular de los datos personales tiene que informarse del tratamiento de sus datospersonales a través del aviso de privacidad, prestando también atención a aquellos casos en los queéste sea difundido a través de medidas compensatorias. Y por lo que se refiere a las mismas, en lossiguientes apartados se explica cómo se instrumentan en atención específicamente al caso deMéxico.

3.5.1 Concepto de medidas compensatorias

Siguiendo los Criterios Generales para la instrumentación de medidas compensatorias sin laautorización expresa del Instituto Federal de Acceso a la Información y Protección de Datos48, enconcreto el criterio segundo, las medidas “son mecanismos alternos para dar a conocer a los titularesel aviso de privacidad, a través de su difusión por medios masivos de comunicación u otrosmecanismos de amplio alcance, que se instrumentan de manera excepcional cuando al responsablele resulta imposible poner a disposición de cada titular, de manera directa o personal, el aviso deprivacidad, o ello exige esfuerzos desproporcionados.”49

Es decir, cuando por determinadas razones o motivos previstos en los Criterios Generales, enparticular cuando resulte imposible o suponga realizar esfuerzos desproporcionados para dar aconocer el aviso de privacidad de forma personal o directa50, el responsable del tratamiento no puededar a conocer, de manera directa o personal, el aviso de privacidad a los titulares de los datospersonales, se puede recurrir, bajo ciertas condiciones, a darlo a conocer a través de los mediosprevistos en dichos Criterios Generales.

48 Publicados en el Diario Oficial de la Federación del 18 de abril de 2012. Pueden consultarse enhttp://dof.gob.mx/nota_detalle.php?codigo=5244229&fecha=18/04/2012

49 Cabe recordar que por el cambio de denominación, las referencias hechas al Instituto Federal de Acceso a la Información y Protecciónde Datos (IFAI), deben entenderse hechas al Instituto Nacional de Transparencia, Acceso a la Información y Protección de DatosPersonales.

50 Por esfuerzos desproporcionados para dar a conocer el aviso de privacidad de forma personal o directa, se entiende, según la definicióndada en los Criterios Generales “Cuando el número de titulares sea tal, que el hecho poner a disposición de cada uno de ellos el aviso deprivacidad, de manera personal o directa, implique al responsable un costo excesivo, al considerar su capacidad económica, así como elhecho de que se comprometa su estabilidad financiera, la realización de actividades propias de su negocio o la viabilidad de supresupuesto programado; o bien, que dicha actividad sea disruptiva, de manera significativa, de aquellas que el responsable lleva a cabocotidianamente.”

http://dof.gob.mx/nota_detalle.php?codigo=5244229&fecha=18/04/2012


32

Por tanto, como indica la Guía del INAI para Instrumentar Medidas Compensatorias51, se trata de“mecanismos alternos para dar a conocer a los titulares el aviso de privacidad, a través de su difusiónpor medios masivos de comunicación u otros mecanismos de amplio alcance, en lugar de poner adisposición el aviso a cada titular, de manera personal o directa.”52

3.5.2 Instrumentación

Con carácter previo a instrumentar medidas compensatorias, y sin perjuicio de que sea necesaria ono la autorización del INAI, tiene que cumplirse con el principio de calidad de los datos personalestratados, de manera que, como indica el quinto de los Criterios, relativo al cumplimiento del principiode calidad, “[p]revio la implementación de medidas compensatorias en el marco de los presentesCriterios Generales, el responsable”, conforme a la normatividad sobre protección de datospersonales, “deberá cancelar los datos personales que hayan dejado de ser necesarios para elcumplimiento de las finalidades que originaron su tratamiento y las obligaciones legales aplicables.”

En cuanto a los medios para comunicar el aviso de privacidad, el decimoquinto de los CriteriosGenerales, podrán ser los siguientes53:

“I. Diarios de circulación nacional;

II. Diarios locales o revistas especializadas;

III. Página de Internet del responsable;

IV. Hiperenlaces o hipervínculos situados en una página de Internet del Instituto;

V. Carteles informativos;

VI. Cápsulas informativas radiofónicas, y

VII. Otros medios alternos de comunicación masiva”

Al respecto, hay que atender también a que el decimosexto de los Criterios Generales lista algunosfactores que podrán ser tomados en cuenta por el responsable del tratamiento para elegir el mediocorrespondiente, siendo dichos factores, en lo fundamental, los siguientes:

51 Publicada en marzo de 2014 y disponible en el vínculo electrónicohttp://inicio.inai.org.mx/DocumentosdeInteres/Guia_para_instrumentar_medidas_compensatorias.pdf

52 Pág. 4.

53 Al respecto, cabe considerar que el INAI realizó una consulta pública sobre unos Lineamientos para el uso de hiperenlaces ohipervínculos en una página de internet del Instituto Nacional de Transparencia, Acceso a la Información y Protección de DatosPersonales, para dar a conocer avisos de privacidad a través de medidas compensatorias.

http://inicio.inai.org.mx/DocumentosdeInteres/Guia_para_instrumentar_medidas_compensatorias.pdf


33

En cualquier caso, el citado Criterio General concluye indicando que el responsable del tratamientodeberá prestar atención a la necesidad de conseguir:

1. El máximo alcance, y2. La máxima difusión del aviso de privacidad entre los titulares de los datos personales,

eligiendo para ello el medio y el periodo más eficiente.

Por último, el decimoséptimo de los Criterios Generales lista los criterios para la publicación del avisode privacidad en los diferentes medios en atención a los medios de difusión ya citados anteriormente(diarios de circulación nacional, diarios locales o revistas especializadas, página de Internet delresponsable, etc.

3.5.3 Modalidades

Dependiendo de que actualicen o no los supuestos y condiciones establecidos en los CriteriosGenerales, se podrán instrumentar medidas compensatorias sin la autorización previa y expresa delINAI o, por el contrario, será necesaria dicha autorización. Al respecto, el octavo de os CriteriosGenerales indica que:

“Cuando los datos personales se hayan obtenido posterior al plazo establecido por elartículo Tercero Transitorio de la Ley, así como en cualquier otro caso que no actualice lossupuestos y condiciones establecidas en los criterios sexto y séptimo, y el responsablerequiera la instrumentación de medidas compensatorias, será necesario que solicite laautorización expresa del Instituto, de conformidad con lo establecido en los artículos 32,segundo párrafo, 33, 34 y 35 del Reglamento.”

En los siguientes apartados se atiende, específicamente, a los casos en los que conforme a losCriterios Generales es posible instrumentar medidas compensatorias sin autorización del INAI comoaquéllos otros casos en los que para instrumentar dichas medidas compensatorias se requiere laautorización previa y expresa del INAI.


34

3.5.4 Criterios generales para la instrumentación de Medidas compensatorias sin laautorización expresa del numeral

Las medidas compensatorias podrán instrumentarse, según indica la Guía del INAI, cuando54:

1. Los datos personales se hayan obtenido –ya sea de manera personal o directa de lostitulares, o bien de manera indirecta-, antes del 6 de julio de 2011 (fecha en la quevencía el plazo para emitir los avisos de privacidad).

2. Exista una imposibilidad de dar a conocer a cada titular el aviso de privacidad o que lapuesta a disposición del mismo a cada uno de los titulares exija esfuerzosdesproporcionados, en los términos que se señalan en el artículo Séptimo de losCriterios Generales, antes citado.

3. La finalidad para la que se trata los datos personales en la actualidad sea igual, análogao compatible con aquélla para la cual, en su momento, se recabaron los datospersonales.

4. No se requiera el consentimiento del titular, cuando el tratamiento involucre datospersonales sensibles.

Por tanto, siempre que se cumplan los requisitos establecidos en los Criterios Generales y noactualice alguno de los casos para tener que solicitar la autorización previa y expresa del INAI parainstrumentar las medidas compensatorias, se podrán instrumentar éstas sin dicha autorización.

3.5.5 Procedimiento para la solicitud y autorización de Medidas compensatorias

Conforme al artículo 32 del Reglamento de la LFPDPPP55, la autorización expresa del INAI, quedeberá obtenerse previamente a instrumentar las medidas compensatorias, es necesaria cuando, taly como indica la Guía del INAI “no actualicen los supuestos y condiciones previstos por los CriteriosGenerales” 56, de manera que hay que atender a los siguientes:

1. Los datos personales se hayan obtenido –ya sea de manera personal o directa de lostitulares, o bien de manera indirecta-, con fecha posterior al 6 de julio de 2011, ya que a partirde dicha fecha los responsables están obligados a emitir los avisos de privacidad.

54 Guía del INAI, pág. 6.

55 Dicho artículo indica que:

“Medidas compensatorias

Artículo 32. En términos del tercer párrafo del artículo 18 de la Ley, cuando resulte imposible dar a conocer el aviso deprivacidad al titular o exija esfuerzos desproporcionados, en consideración al número de titulares o a la antigüedad de losdatos, el responsable podrá instrumentar medidas compensatorias de comunicación masiva de acuerdo con los criteriosgenerales expedidos por el Instituto, mismos que serán publicados en el Diario Oficial de la Federación, bajo los cualespodrán utilizarse los medios que se establecen en el artículo 35 del presente Reglamento.

Los casos que no actualicen los criterios generales emitidos por el Instituto requerirán la autorización expresa de éste, previo a lainstrumentación de la medida compensatoria, de conformidad con el procedimiento establecido en los artículos 33 y 34 del presenteReglamento.”

56 Ya citada. Pág. 7.


35

2. La finalidad para la que trata los datos personales en la actualidad NO sea igual, análoga ocompatible con aquélla para la cual, en su momento, se recabaron los datos personales.

3. Se requiera el consentimiento del titular, en aquellos casos en que el tratamiento involucredatos personales sensibles.

La solicitud de autorización se presentará al INAI mediante escrito libre que, conforme al artículo 33del Reglamento de la LFPDPPP y como indica la Guía del INAI, deberá contener los siguientesaspectos:

i.“Nombre, denominación o razón social del responsable que promueve la solicitud;ii. En su caso, nombre del representante del responsable;iii. Copia simple de la identificación oficial del responsable y, en su caso, de su

representante, y original para su cotejo;iv. En su caso, copia simple del documento que acredite la representación del

responsable y original para su cotejo;v. Domicilio para oír y recibir notificaciones;vi. Nombre de las personas autorizadas para recibir notificaciones;vii. Descripción del tratamiento que se efectúa con los datos personales (finalidad, tipo de

datos tratados, transferencias que se realizan, particularidades de los titulares, entreellas, edad, ubicación geográfica, nivel educativo y socioeconómico, entre otros);

viii. Causas o justificación de la imposibilidad de dar a conocer el aviso de privacidad alos titulares o el esfuerzo desproporcionado que esto exige;

ix. Número de titulares afectados;x. Antigüedad de los datos personales (por ejemplo, del 5 de mayo de 2010 al 15 de

agosto de 2012);xi. Indicar si existe o no contacto con los titulares;xii. Capacidad económica del responsable;xiii. Tipo de medida compensatoria que pretende aplicar, según los medios que prevé el

artículo 35 del RLFPDPPP;xiv. Periodo de publicación de la medida compensatoria,xv. Texto del aviso de privacidad propuesto para la medida compensatoria, yxvi. Documentos que el responsable considere necesarios presentar ante el Instituto.”

A la solicitud de autorización, como indica la Guía del INAI, se deben anexar los siguientesdocumentos57:

1. Copia de la identificación oficial que acredite la personalidad del responsable (persona física)y, en su caso, de su representante legal, así como el original para su cotejo.

2. En caso de que sea el representante legal quien realice el trámite, éste deberá presentarcopia del documento que acredite la representación del responsable, así como el originalpara su cotejo.

3. Documentos que el responsable considere necesarios presentar ante el Instituto.

57 Véase la pregunta o apartado 8, en la página 8 de la citada Guía.


36

Una vez presentada la solicitud ante el INAI, se seguirá el siguiente proceso:

1. La Dirección General de Autorregulación (DGA), que está adscrita a la Secretaría deProtección de Datos Personales del INAI:a) Evalúa la solicitud de autorización yb) Propone a la Secretaría el proyecto de resolución,

2. En caso de resultar procedente, el Secretario autoriza la implementación de las medidascompensatorias propuestas.

Gráficamente, el proceso sería de la siguiente forma:

Por lo que se refiere al plazo para resolver sobre la solicitud, como se explica en la Guía del INAI,será de “10 días hábiles siguientes a la recepción de la solicitud de medida compensatoria para emitirla resolución correspondiente. Este plazo se puede ampliar por 5 días hábiles en términos del artículo31 de la Ley Federal de Procedimiento Administrativo.”58

Durante los cuatro (4) días siguientes a la presentación de la solicitud se podrá prevenir alresponsable, en cuyo caso éste tendrá cinco (5) días hábiles, contados desde la fecha en que surtaefectos la prevención, y si no respondiera, la solicitud se desechará. La prevención suspende el plazopara que el INAI emita su determinación, reanudándose dicho plazo “a partir del día hábil siguiente aaquél en la que ésta se conteste”, como indica la Guía del INAI.

3.6 Principio de calidad

3.6.1 Concepto

La calidad de los datos personales, como principio, significa que éstos “deben ser correctos, exactosy completos y estar actualizados según sea necesario con respecto a los fines para los cuales sehayan recopilado”, tal y como indica, entre otros, el informe del CJI de la OEA59.

Al respecto, también los Estándares Internacionales sobre Protección de Datos Personales yPrivacidad indican, en el apartado 1, del artículo 9, que “los datos de carácter personal sean exactos,

58 Guía del INAI. Pág. 9.

59 Pág. 9 del informe ya citado.


37

así como que se mantengan tan completos y actualizados como sea necesario para el cumplimientode las finalidades para las que sean tratados.”

Específicamente, el Dictamen con proyecto de Decreto por el que se expide la LFPDPPP se refiere aeste principio como que “refleje realmente de forma fiel, la realidad de la información tratada.”60 Ytambién indica que este principio “ha de entenderse específicamente vinculado con la veracidad yexactitud en la que se mantienen los datos personales”

Es decir, como indica la Guía del INAI, ya mencionada, el principio de calidad implica que, “conformea la finalidad o finalidades para las que se vayan a tratar los datos personales”61, los datos personalestratados sean exactos, completos, pertinentes, actualizados y correctos. Y esto significa, a su vez,que:

“• Los datos personales son exactos cuando reflejan la realidad de la situación de su titular, esdecir, son verdaderos o fieles. Por ejemplo, un dato no sería exacto si se registra en la base dedatos que una persona cuenta con Doctorado en derecho, si el título que en realidad tiene es unaMaestría en derecho.

• Los datos personales están completos cuando no falta ninguno de los que se requiera para lasfinalidades para las cuales se obtuvieron y son tratados, de forma tal que no se cause un daño operjuicio al titular. Por ejemplo, los datos de salud del titular están completos cuando elexpediente médico contiene todos los documentos clínicos e información que debe estarintegrada al mismo.

• Los datos personales son pertinentes cuando corresponden efectivamente al titular. Por datosdel adeudo son pertinentes cuando corresponden al deudor y no a una homonimia.

• Los datos están actualizados cuando están al día y corresponden a la situación real del titular.Por ejemplo, el número telefónico que se tiene registrado en la base de datos está actualizadocuando, efectivamente, corresponde al titular con el que está vinculado.

• Los datos personales son correctos cuando cumplen con todas las características anteriores, esdecir, son exactos, completos, pertinentes y actualizados.”


El principio de calidad de los datos personales es otro de los principios fundamentales, ya que comoindica el informe del CJI de la OEA “es importante para la protección de la privacidad”, ya que si losdatos personales no respondiesen efectivamente a este principio, se vulneraría el derecho a laprotección de datos personales de su titular.

60 Ya mencionado. Pág. 31.

61 Pág. 58.


38

Como indica el Dictamen con proyecto de Decreto por el que se expide la LFPDPPP, en la práctica,este principio: “conlleva un doble esfuerzo para los particulares responsables: por un lado deberánasegurarse en el momento de la recogida de la información, sobre todo cuando la misma no procededirectamente del titular, de que aquella resulta exacta y actualizada; por otro debería, siempre queello sea posible, adoptar las medidas razonables para que la información responda a esa veracidadmientras persiste en su tratamiento.”62

Es decir, conforme a lo indicado en la Guía del INAI “[e]l responsable debe adoptar las medidas queconsidere convenientes para procurar que los datos personales cumplan con estas características, afin de que no se altere la veracidad de la información, ni que ello tenga como consecuencia que eltitular se vea afectado por dicha situación.”63

Y adoptar estas medidas implica que el responsable del tratamiento tenga que adoptar e implementarmedida para asegurar que los datos personales que trata, en cualquier fase del tratamiento y a lolargo de todo el ciclo de vida del tratamiento, reúnan las características ya señaladas (ser exactos,completos, pertinentes, actualizados y correctos). Al respecto, se debe prestar también atención almomento mismo de obtener o recabar los datos personales, distinguiendo los supuestos en los quelos datos personales sean obtenidos directa o indirectamente del titular.

Es así que, en virtud de la normatividad mexicana sobre protección de datos personales, en relacióncon el principio de calidad y considerando si se han obtenido directa o indirectamente del titular losdatos personales, es posible indicar lo siguiente:

Calidad de los datos personales

Datos personalesobtenidosdirectamente del titular

Se presume que los datos personales son exactos, completos, pertinentes,correctos y actualizados cuando los proporciona directamente el titular, yhasta en tanto éste no manifieste y acredite lo contrario, o bien, elresponsable cuente con evidencia que lo contradiga.

Datos personalesobtenidosindirectamente

En estos casos, se deben adoptar medidas razonables para que los datospersonales contenidos en las bases de datos sean exactos, completos,pertinentes, actualizados y correctos.

62 Páginas 31 y 32 del Dictamen.

63 Pág. 59.


39

3.6.3 Plazos de conservación de los datos personales

En cuanto a la conservación de los datos personales, las Directrices para la armonización de laprotección de datos en la Comunidad Iberoamericana, indican que “[l]os datos deberán sercancelados o convertidos en anónimos cuando hayan dejado de ser necesarios para el cumplimientode las finalidades que justificaron su obtención y tratamiento.”64

Los plazos de conservación de los datos personales pueden depender del consentimiento del titularde los datos personales, el cumplimiento de una obligación contractual o legal así como de que losdatos personales dejen de cumplir con el principio de calidad puestos en conexión con la finalidadpara la que son tratados o su exactitud en relación con la persona a la que se refieren.

La calidad de los datos personales implica también que el responsable tenga que adoptar medidaspara asegurar que ésta se cumple a lo largo del ciclo de vida de su tratamiento, de manera que, comohace la Guía del INAI, cabe preguntarse “¿Cuánto tiempo puedo conservar los datos personales?”,ante lo que cabe considerar que:

“El plazo de conservación de los datos personales no debe exceder el tiempo estrictamentenecesario para llevar a cabo las finalidades que justificaron el tratamiento, ni aquél que serequiera para cumplir con:

• Las disposiciones legales aplicables en la materia de que se trate;

• Los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información, y

• El periodo de bloqueo.

Entonces tenemos que:

Plazo de conservación

= Tiempo requerido para llevar a cabo las finalidades del tratamiento

+ plazos legales, administrativos, contables, fiscales, jurídicos e históricos aplicables

+ periodo de bloqueo.

En algunos casos estos tres tiempos o plazos pueden coincidir.”

Por tanto, los plazos de conservación de los datos personales requieren tomar en cuenta losdiferentes casos que pueden darse en la práctica y, esto implica que, requieren que el responsabledel tratamiento adopte medidas para asegurar el principio de calidad de los datos personales. Lo ideales que el responsable del tratamiento aplique una política de conservación de los datos, pudiendoapoyarse además en el uso de herramientas tecnológicas de control en el tratamiento de los datospersonales.

64 Pág. 14.


40

3.6.4 Procedimiento para conservación, bloqueo y supresión de los datos personales yprueba de su cumplimiento

Para garantizar la calidad de los datos personales a lo largo de su ciclo de vida, es decir, desde quese recaban hasta que se suprimen finalmente, es necesario, si la obligación está prevista en lanormativa aplicable, y conveniente, en cualquier caso, que el responsable adopte un procedimiento,documentado, para gestionar la conservación, el bloqueo y la supresión de los datos personales.

Al estar documentado, pudiendo adoptar múltiples formas, como por ejemplo la adopción eimplementación de una política u otras normas internas en materia de protección de datos personales,el responsable podrá probar que ha adoptado medidas al respecto. Y mediante la realización deauditorías u otras evaluaciones, internas o externas, se podrá probar, en su caso, cómo funciona esteprocedimiento.

En cualquier caso, se trata de asegurar, a través del correspondiente procedimiento, la protección delos datos personales, de manera que se respete así el derecho a la protección de datos personalesde su titular.

3.7 Principio de finalidad

3.7.1 Concepto

El Dictamen con proyecto de Decreto por el que se expide la LFPDPPP se refiere a este principioindicando que “[l]a manifestación esencial de la protección de la privacidad en relación con eltratamiento de los datos personales se funda en que el tratamiento únicamente sea llevado a cabo enel ámbito de finalidades determinadas, explícitas y legítimas relacionadas con la actividad delresponsable. Junto con esta regla general, se ha venido reconociendo la posibilidad de proceder aeste tratamiento para otros fines, siempre que los mismos no sean incompatibles con los quemotivaron el tratamiento inicial del dato.”

Se trata también de un principio clave en protección de datos personales, interrelacionado con otrosprincipios, especialmente los de información, consentimiento y calidad.

Al respecto, las Directrices para la armonización de la protección de datos en la ComunidadIberoamericana, indican que:

“los datos únicamente podrán ser recabados y tratados para el cumplimiento de lasfinalidades determinadas, explícitas y legítimas relacionadas con la actividad de quien los trate.


41

No podrán ser tratados para fines distintos de aquéllos que motivaron su obtención amenos que exista legitimación suficiente para ello, conforme a lo establecido en el apartado 3de estas directrices.”65

La Guía del INAI se refiere también a este principio indicando que “[s]e entiende por finalidad deltratamiento, el propósito, motivo o razón por el cual se tratan los datos personales.”66

Por tanto, la finalidad del tratamiento de los datos personales es el uso que se va a dar los mismos,pudiendo distinguir, como veremos, entre finalidades primarias y secundarias. En cualquier caso, lafinalidad tiene que estar determinada, ser explícita y legítima, lo que implica también que esteprincipio esté relacionado con los de licitud y lealtad.


Desde un punto de vista práctico, conforme a la Guía del INAI, es necesario prestar atención tanto ala finalidad del tratamiento de los datos personales, en sí misma, y también a cómo se redacta en sucaso el correspondiente aviso de privacidad. Es así que:

“La finalidad o finalidades del tratamiento de datos personales deberán ser determinadas, es decir,deberán especificar para qué objeto se tratarán los datos personales de manera clara, sin lugar aconfusión y con objetividad. Un ejemplo de una finalidad determinada es cuando una tiendadepartamental, para prestar su servicio de compra en línea, señala que las finalidades del tratamientode los datos personales que solicita son i) para verificar la identidad del cliente; ii) realizar el cobrorespectivo, y iii) enviar el pedido solicitado a la dirección que el cliente proporciona.

En ese sentido, el responsable deberá evitar que las finalidades que describa en el aviso deprivacidad sean inexactas, ambiguas o vagas, como “de manera enunciativa más no limitativa”, “entreotras finalidades”, “otros fines análogos”, “por ejemplo” o “entre otros”. Por ejemplo:

√ Correcto: Sus datos personales serán tratados con la finalidad de darle la atenciónmédica que solicita, realizarle los estudios y análisis que requiere, así como para el cobro yfacturación de los servicios médicos.

Х Incorrecto: Sus datos personales serán tratados con la finalidad de darle la atenciónmédica que solicita, realizarle los estudios y análisis que requiere, para el cobro y facturaciónde los servicios médicos, entre otros fines análogos.”67

Otra cuestión a considerar en la práctica, como apunta la Guía del INAI, es la razón o motivo dedistinguir entre ambos tipos de finalidades. Al respecto, la citada Guía, mencionando el Reglamentode la LFPDPPP, indica que “el titular de los datos personales puede negar o revocar su

65 Pág. 14.

66 Pág. 52 de la Guía, ya citada.

67 Guía del INAI, pág. 52.


42

consentimiento, así como oponerse para el tratamiento de sus datos personales para las finalidadessecundarias, sin que ello tenga como consecuencia la conclusión del tratamiento para las finalidadesprimarias.”68

3.7.3 Finalidad primaria

La Guía del INAI, siguiendo la normatividad sobre protección de datos personales en posesión de losparticulares, se refiere la finalidad primaria como “aquéllas que dan origen y son necesarias para larelación jurídica entre el titular y el responsable, a las cuales identificamos como primarias”.

La finalidad primaria puede ser desde el uso de los datos personales para cumplir con un contrato,que consista, por ejemplo, en la prestación de un servicio, hasta el cumplimiento de una obligaciónlegal.

Es, por lo tanto, la necesidad de dicho tratamiento de datos personales la que va a servir comoparámetro para determinar si una finalidad es primaria o secundaria. En el siguiente apartado seexpone qué se entiende por finalidad secundaria así como algunos ejemplos prácticos que sirvenpara diferenciar finalidades primarias y secundarias.

3.7.4 Finalidad secundaria

Si la finalidad primaria es aquella que da origen e implica la necesidad del tratamiento de datospersonales para la relación jurídica, ya sea la fuente de la obligación legal o contractual, las demásfinalidades serán secundarias. Por ejemplo, una finalidad secundaria clara es el uso de los datospersonales para el envío de publicidad.

A modo de ejemplo, la Guía del INAI indica que las siguientes son finalidades secundarias oaccesorias69:

“• Una persona proporciona sus datos personales a una universidad para que le presteun servicio educativo y, a su vez, la universidad desea utilizar estos datos para invitarlaa los eventos anuales que realiza. En este caso, la finalidad primaria es la relacionadacon la prestación del servicio educativo, en tanto que la finalidad secundaria o accesoriaes la relacionada con la invitación a los eventos anuales.

• Una persona proporciona sus datos personales a una compañía detelecomunicaciones para que le preste el servicio de telefonía local y, a su vez, lacompañía desea utilizar los datos de finalidad primaria es la relacionada con laprestación del servicio de telefonía, en tanto que la finalidad secundaria o accesoria esla relacionada con la promoción de los servicios de televisión por cable e Internet.”

68 Pág. 53.

69 Págs. 52 y 53


43

3.7.5 Tratamiento

El hecho de que los datos personales puedan utilizarse, en su caso, para finalidades primarias ysecundarias, implica que haya que considerar también al concepto de compatibilidad, el cual esexplicado por el Dictamen con proyecto de Decreto por el que se expide la LFPDPPP de la siguientemanera:

“a los efectos de la aplicación de esta ley ha de ser necesariamente indeterminado, dado que resultaimposible determinar a priori cuándo existe o no la misma. Dicho esto, una interpretación razonablepermite concluir que no sería posible restringir el principio considerando prohibida la utilización dedatos para ninguna finalidad distinta de la que motivó el tratamiento, pero tampoco sería acorde conla protección que se pretende, el conferir una interpretación extensiva que considere que toda laactividad de un responsable puede considerarse compatible con la parte de la misma que dio lugar altratamiento. En todo caso, la aplicación de esta regla impone al responsable la necesidad deencontrar legitimado el tratamiento de los datos con arreglo a los principios contenidos en la ley quese somete a consideración, en aquellos supuestos en los que no se produce tal compatibilidad.”70

Al tratamiento de los datos personales hay que atender también a las finalidades distintas, conrespecto a lo que la Guía del INAI indica que:

“Es importante que el responsable tome en consideración que no se pueden llevar a cabotratamientos para finalidades distintas que no resulten compatibles o análogas con aquéllas para lasque se hubiese recabado de origen los datos personales y que hayan sido previstas en el aviso deprivacidad, a menos que:

• Lo permita de forma explícita una ley o reglamento, o

• El responsable haya obtenido el consentimiento para el nuevo tratamiento.”

Como conclusión, y siguiendo de nuevo la Guía del INAI, cabe señalar que “el responsable tiene lassiguientes obligaciones en torno al principio de finalidad:

1. Tratar los datos personales únicamente para la finalidad o finalidades que hayan sidoinformadas al titular en el aviso de privacidad y, en su caso, consentidas por éste;

2. Informar en el aviso de privacidad todas las finalidades para las cuales se tratarán losdatos personales, y redactarlas de forma tal que sean determinadas;

3. Identificar y distinguir en el aviso de privacidad entre las finalidades primarias ysecundarias;

4. Ofrecer al titular de los datos personales un mecanismo para que pueda manifestar sunegativa al tratamiento de sus datos personales para todas o algunas de las finalidadessecundarias;

5. Cuando el aviso de privacidad se dé a conocer a través de un medio indirecto, como elcorreo postal, informar al titular que tiene cinco días hábiles para manifestar su negativapara el tratamiento de su información para finalidades secundarias;

70 Pág. 32 del Dictamen, ya citado.


44

6. No condicionar el tratamiento para finalidades primarias, a que se puedan llevar a cabolas finalidades secundarias;

7. Tratar los datos personales para finalidades distintas que no resulten compatibles oanálogas con aquéllas para las que se hubiese recabado de origen los datos personalesy que hayan sido previstas en el aviso de privacidad, al menos que lo permita una ley oreglamento, o se obtenga el consentimiento del titular de los datos.”71

3.8. Principio de lealtad

3.8.1 Concepto

El principio de lealtad está vinculado con el de licitud o principio de lealtad y legalidad.

Como indica la Guía del INAI para cumplir con los principios y deberes de la LFPDPPP72 “[l]os datospersonales tienen que ser tratados por el responsable de manera lícita y leal, lo que supone que tieneque actuar con apego a las leyes en general y en lo particular a la normatividad sobre protección dedatos personales.”

Al respecto, la versión final del Dictamen con proyecto de Decreto por el que se expide la LFPDPPP73

explica este principio indicando que “implica que el tratamiento de los datos personales debe llevarsea cabo de forma leal y lícita; es decir, con pleno cumplimiento de la legalidad y respeto de la buena fey los derechos del individuo, cuya información es sometida a tratamiento.”

Es decir, es necesario que todo tratamiento de datos personales, a lo largo del ciclo de vida de losdatos personales, en todas las fases de su tratamiento, sea lícito, cumpliendo con las condicionesaplicables. Lo contrario determinaría que el tratamiento fuese ilícito, por incumplir con los principiosy/o deberes aplicables y exigibles a quienes tratan los datos personales, lo cual podría dar lugar, ensu caso, a la exigencia de responsabilidad.


La versión final del Dictamen con proyecto de Decreto por el que se expide la LFPDPPP74 indica queel principio de licitud “se traduce en la prohibición de cualquier tratamiento que implique recabar oconservar los datos mediante la utilización de engaño o fraude, de forma que el individuo no puedaconocer con propiedad los términos y condiciones vinculados a ese tratamiento.”

Si se incumple con el principio de licitud, los datos personales tendrían que cancelarse, ya que sutratamiento sería ilícito lo que supone que se vulnere el derecho a la protección de datos personales

71 Guía ya citada, págs. 53 y 54.

72 Ya mencionada.

73 Ya citado. Pág. 29.

74 Véase la nota pie de página anterior.


45

de su titular. Y ello sin perjuicio de que fuera exigible la responsabilidad correspondiente por elincumplimiento que, en su caso, se haya producido.

En este sentido, la licitud del tratamiento implica también que tengan que cumplirse las condicionesaplicables y exigibles a todo tratamiento, lo que supone que este principio esté interrelacionado conotros principios como los de información, consentimiento, calidad, etc. Por tanto, la licitud tiene queasegurarse por quien trata los datos personales en todo momento, evitando así posiblesincumplimientos que pudieran dar lugar a la exigencia de responsabilidad por un tratamiento ilícito delos datos personales.

3.9. Principio de proporcionalidad

3.9.1 Concepto

El principio de proporcionalidad, como explica el informe del CJI de la OEA relacionándolo con lanecesidad y minimización del tratamiento de los datos personales, implica que quienes tratan datospersonales los deben usar “solamente de una forma acorde con los fines expresos de la recopilación;por ejemplo, cuando sean necesarios para proporcionar el servicio o el producto solicitado por lapersona. Asimismo, los recopiladores y procesadores de datos deben seguir un criterio de “limitación”o “minimización”, de acuerdo con el cual deben hacer un esfuerzo razonable para cerciorarse de quelos datos personales que manejen correspondan al mínimo requerido para el fin expreso.”75

En particular, el CJI menciona, a continuación, que “[e]n algunos sistemas jurídicos se usa elconcepto de “proporcionalidad” para hacer referencia al equilibrio de valores en pugna. Laproporcionalidad requiere que las instancias decisorias determinen si una medida ha ido más allá delo que se requiere para alcanzar una meta legítima y si los beneficios alegados excederán los costosprevistos.”

Los Estándares Internacionales sobre Protección de Datos Personales y Privacidad, a los que ya seha hecho referencia, incluyen, en su artículo 8, este principio de proporcionalidad, indicando que:

“1. El tratamiento de datos de carácter personal deberá circunscribirse a aquéllos queresulten adecuados, relevantes y no excesivos en relación con las finalidades previstas en elapartado anterior.

2. En particular, la persona responsable deberá realizar esfuerzos razonables para limitar losdatos de carácter personal tratados al mínimo necesario.”

Por su parte, la versión final del Dictamen con proyecto de Decreto por el que se expide la LFPDPPPindica que “se encuentra directamente relacionado con el de finalidad.”76

75 Pág. 10.

76 Página 33 del citado Dictamen.


46

Y explica también, a continuación, que “[l]a exigencia al responsable de únicamente tratar datosproporcionales para la finalidad para la que se obtuvieron ha sido analizada por los distintos derechosregionales o nacionales desde dos perspectivas distintas, aunque complementarias: Por una parte,los datos sólo deberían ser los adecuados o necesarios para la finalidad que justifica el tratamiento(principio de proporcionalidad en sentido estricto); por otra, quien procede al tratamiento de los datosdeberá analizar las finalidades que justifican el tratamiento, de modo que sólo debería tratar lamínima cantidad de información necesaria para conseguir la finalidad perseguida (principio deminimización).

Sobre este principio, las Directrices para la armonización de la protección de datos en la ComunidadIberoamericana, indican que “[s]ólo podrán ser sometidos a tratamiento los datos que resultenadecuados, pertinentes y no excesivos en relación con las finalidades a las que se refiere el puntoanterior.”77


En la práctica, según indica el CJI de la OEA, este principio implica que “[d]e acuerdo con estosprincipios, los conceptos de “necesidad” y “proporcionalidad” imponen limitaciones generales al uso,lo cual significa que los datos personales solo deben usarse para cumplir los propósitos de larecopilación excepto con el consentimiento de la persona cuyos datos personales se recopilen ocuando sea necesario para proporcionar un producto o servicio solicitado por la persona.

No obstante, en los principios se reconoce que el campo de la gestión y el procesamiento de datosestán evolucionando continuamente desde el punto de vista tecnológico. En consecuencia, debeentenderse que este principio abarca una medida razonable de flexibilidad y adaptabilidad.”

También, el Dictamen con proyecto de Decreto por el que se expide la LFPDPPP indica que “eltratamiento de los datos de forma que únicamente sean objeto de aquél los mínimos datos necesariospara la finalidad que lo justifica. La segunda consecuencia de la aplicación de este principio será quedeberá tenderse siempre que sea posible en el tratamiento de los datos a realizar el mismo de formaanonimizada o disociada.”

Es así que, como ejemplo práctico, atendiendo a la normatividad mexicana sobre protección de datospersonales, el principio de proporcionalidad puede presentarse gráficamente de la siguiente forma78:

Aspecto Art(s). Previsión normativa

Proporcionalidad de 11 de la LFPDPPP y Los datos personales deberán ser:

77 Pág. 14.

78 Recio Gayo, Miguel. Op. cit. Pág. 41.


47

los datos personales 45 del Reglamento Pertinentes para los fines para los cuales fueronrecabados;

Necesarios, adecuados y relevantes en relacióncon las finalidades para las que hayan sidoobtenidos.

Criterio deminimización

46 del Reglamento El responsable deberá esfuerzos razonables paralimitar al mínimo los datos personales que serán losque sean necesarios de acuerdo con la finalidaddel tratamiento.

3.10. Principio de responsabilidad

3.10.1 Concepto

El informe del CJI de la OEA79 incluye entre sus principios también el de responsabilidad80, sobre elque indica, con carácter general, que “[l]os controladores de datos adoptarán e implementarán lasmedidas correspondientes para el cumplimiento de estos principios”, de forma que la“responsabilidad” de quien trata los datos personales es fundamental para “[l]a protección efectiva delos derechos individuales de protección de la privacidad y de los datos”. A continuación, incide en elhecho de que este principio:

“requiere el establecimiento de metas apropiadas en lo que se refiere a la protección dela privacidad, a las cuales los controladores de datos (organizaciones y otras entidades) debenadherirse, permitiéndoles determinar las medidas más apropiadas para alcanzar esas metas yvigilar su cumplimiento.”

A nivel internacional, en cuanto a la definición de este concepto, debe hacerse referencia al Grupo deTrabajo del artículo 29 de la Directiva 95/46/CE81, que ha tratado este principio en su Dictamen

79 Ya citado.

80 Véanse las páginas 17 y 18 del citado informe.

81 Creado en virtud del citado artículo de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la librecirculación de estos datos, como un grupo consultivo e independiente que, conforme al apartado 2 de dicho artículo, “estarácompuesto por un representante de la autoridad o de las autoridades de control designadas por cada Estado miembro, por unrepresentante de la autoridad o autoridades creadas por las instituciones y organismos comunitarios, y por un representantede la Comisión.” Y el artículo 30 de la Directiva le confiere las siguientes atribuciones:

“a) estudiar toda cuestión relativa a la aplicación de las disposiciones nacionales tomadas para la aplicación de lapresente Directiva con vistas a contribuir a su aplicación homogénea;


48

3/2010 sobre el principio de responsabilidad (WP 173)82 indicando sobre este término que “provienedel mundo anglosajón donde es de uso general y donde se da una comprensión ampliamentecompartida de su significado, aunque la definición exacta de «responsabilidad» resulta compleja en lapráctica. Pero de forma general, el término apunta sobre todo al modo en que se ejercen lascompetencias y al modo en que esto puede comprobarse. Competencia y responsabilidad son doscaras de la misma moneda y sendos elementos esenciales de la gobernanza. Solo cuando laresponsabilidad funciona en la práctica puede desarrollarse la confianza suficiente.”83

Además, el Dictamen apunta que, en la práctica, se utilizan también “otras palabras para recoger elsentido de responsabilidad, como son «competencia reforzada», «garantía», «fiabilidad», fiabilidad» o,en español, «obligación de rendir cuentas», etc. Puede también sugerirse que la responsabilidad serefiere a la «aplicación de principios de protección de datos».”84

La responsabilidad se refiere, por tanto, a “las medidas que pudieran adoptarse o preverse paragarantizar la observancia en materia de protección de datos.”85

Por establecer un punto de partida en cuanto a la inclusión y reconocimiento de este principio eninstrumentos internacionales sobre protección de datos personales, el Dictamen del Grupo de Trabajodel artículo 29 de la Directiva 95/46/CE menciona que “el principio de responsabilidad no esexactamente nuevo. Su reconocimiento expreso figura en las directrices sobre privacidad adoptadasen 1980 por la Organización de Cooperación y Desarrollo Económicos (OCDE). El principio deresponsabilidad de estas reza así: «Todo responsable de datos debería ser responsable de cumplircon las medidas que hagan efectivos los principios [materiales] expuestos».”86

b) emitir un dictamen destinado a la Comisión sobre el nivel de protección existente dentro de la Comunidad y enlos países terceros;

c) asesorar a la Comisión sobre cualquier proyecto de modificación de la presente Directiva, cualquier proyecto demedidas adicionales o específicas que deban adoptarse para salvaguardar los derechos y libertades de las personasfísicas en lo que respecta al tratamiento de datos personales, así como sobre cualquier otro proyecto de medidascomunitarias que afecte a dichos derechos y libertades;

d) emitir un dictamen sobre los códigos de conducta elaborados a escala comunitaria.”

La Directiva 95/46/CE fue publicada en el Diario Oficial de la Unión Europea L 281, de 23 de noviembre de 1995. Disponible en elvínculo electrónico http://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1443980796448&uri=CELEX:31995L0046

82 Adoptado el 13 de julio de 2010 y disponible en http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2010/wp173_es.pdf

83 Apartado 21 del citado Dictamen. Pág. 8.

84 Apartado 22 del Dictamen. Pág. 8.

85 Apartado 23 del Dictamen. Pág. 8.

86 Dictamen ya citado. Pág. 7.

http://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1443980796448&uri=CELEX:31995L0046

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2010/wp173_es.pdf



49

Cabe señalar que las directrices de la OCDE fueron revisadas, publicándose una versión actualizadaen 2013, y precisamente una de las cuestiones en las que se ha centrado la revisión ha sido en esteprincipio de responsabilidad al referirse a la implementación práctica de medidas para proteger laprivacidad a través de una aproximación basada en la gestión del riesgo (en inglés riskmanagement)87.

Al respecto, la Guía para la implementación del Principio de Responsabilidad Demostrada(Accountability)88, publicada en 2015 por la Delegatura para la protección de datos personales deColombia89, indica que:

“Las guías de la OCDE recogen un principio fundamental conocido comoresponsabilidad demostrada (accountability en inglés), según el cual una entidad que recoge yhace tratamiento de datos personales debe ser responsable del cumplimiento efectivo de lasmedidas que implementen los principios de privacidad y protección de datos.

La versión de 2013 de las guías, que en lo sustancial no hizo cambios a los principiosque allí se habían incluido en 1980, sí estableció un nuevo aparte sobre implementación delprincipio de responsabilidad demostrada. En ese sentido, y según lo dispuesto por las guías,los Responsables del Tratamiento deben contar con un Programa Integral de Gestión deDatos Personales y estar preparados para demostrarle a la autoridad la implementaciónefectiva de esas medidas en la organización.”90


De nuevo, hay que mencionar el informe del CJI de la OEA que sobre las implicaciones del principiode responsabilidad, indica que los principios de la protección de datos personales “dependen de lacapacidad de quienes recopilan, procesan y retienen datos personales para tomar decisionesresponsables, éticas y disciplinadas acerca de los datos y su uso durante todo el “ciclo de vida” de losdatos. Estos “gerentes de datos” deben actuar en calidad de “buen custodio” de los datos que lesproporcionen o confíen.”

Y también indica que “[e]n los programas y procedimientos se deben tener en cuenta la índole de losdatos personales en cuestión, el tamaño y la complejidad dela organización que recopila, almacena yprocesa los datos, y el riesgo de violaciones. La protección de la privacidad depende de unaevaluación creíble de los riesgos que el uso de datos personales podría plantear para las personas yla mitigación responsable de esos riesgos.”

87 Las Directrices actualizadas, en su versión de 2013, así como una guía explicativa, pueden verse, en inglés, en el vínculo electrónicohttp://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf

88 Disponible en http://www.sic.gov.co/drupal/noticias/guia-para-la-implementacion-del-principio-de-responsabilidad-demostrada

89 Sobre la que puede verse más información en http://www.sic.gov.co/drupal/delegatura-para-la-proteccion-de-datos-personales

90 Véase la Guía en la página 5.

http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf

http://www.sic.gov.co/drupal/noticias/guia-para-la-implementacion-del-principio-de-responsabilidad-demostrada

http://www.sic.gov.co/drupal/delegatura-para-la-proteccion-de-datos-personales


50

Citando de nuevo el Dictamen del Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE, esteprincipio “requeriría expresamente que los responsables del tratamiento de datos aplicaran medidasadecuadas y eficaces para poner en práctica los principios y obligaciones de la Directiva y demostrareste extremo cuando se les solicitara. En la práctica, ello se traduciría en programas modulablestendentes a ejecutar los principios de protección vigentes (a veces llamados «programas decumplimiento»). Como complemento al principio, podrían establecerse requisitos adicionalestendentes a implantar garantías de protección de datos o a garantizar su eficacia. Un ejemplo seríauna disposición por la que se exigiera llevar a cabo una evaluación de impacto sobre la privacidadpara operaciones de tratamiento de datos de mayor riesgo.”91

Al principio de responsabilidad hacen también referencia los Estándares Internacionales sobreProtección de Datos Personales y Privacidad92 en su artículo 11, que indica:

“La persona responsable deberá:

a. adoptar las medidas necesarias para cumplir con los principios y obligacionesestablecidos en el presente Documento y en la legislación nacional aplicable, y

b. dotarse de aquellos mecanismos necesarios para evidenciar dicho cumplimiento, tantoante los interesados como ante las autoridades de supervisión en el ejercicio de suscompetencias, conforme a lo establecido en el apartado 23.”

Sobre el principio de responsabilidad, el Dictamen con proyecto de Decreto por el que se expide laLFPDPPP indica que “debe entenderse en el sentido de que corresponderá a la entidad o personaresponsable el deber de velar por el cumplimiento de los principios y rendir cuentas al titular en casode incumplimiento.”93

Y, a continuación, el citado Dictamen destaca también que este principio de responsabilidad “es laverdadera garantía para el titular de los datos quien deposita su confianza en el responsable, mismoque deberá tomar todas las previsiones para que los datos sean tratados de acuerdo con la voluntaddel dueño de la información y bajo las medidas de seguridad que se prevean por la vía contractual.”

Es así que, en la práctica, como termina indicando el Dictamen, el principio de responsabilidadimplica que “dado que existe un tráfico de datos intenso y en muchas ocasiones este se da fuera delas fronteras de nuestro país, el ciudadano tendrá la tranquilidad de que si su información hatrascendido a manos de terceros en otras latitudes, éste estará enterado de las cautelas con quedebe tratar su información.”

91 Véase el Dictamen ya citado en su párrafo 3. Pág. 4

92 Ya mencionados.

93 Dictamen ya citado, pág. 34.


51

En relación con este principio, citando, de nuevo, la Guía del INAI para cumplir con los principios ydeberes de la LFPDPPP, ésta indica que este principio “cierra el círculo con relación a los principiosque regulan la protección de los datos personales. A este principio se le conoce también como elprincipio de “rendición de cuentas”, ya que establece la obligación de los responsables de velar por elcumplimiento del resto de los principios, adoptar las medidas necesarias para su aplicación, ydemostrar ante titulares y la autoridad, que cumple con sus obligaciones en torno a la protección delos datos personales.”94

Por tanto, se trata de un principio fundamental en materia de protección de datos personales, siendobuena muestra de ello el hecho de que también la Comisión Europea lo haya incluido en la propuestade Reglamento General de Protección de Datos que se tramita actualmente95.

3.10.3 Medidas para su cumplimiento

A modo de ejemplo, en el caso de México, el artículo 48 del Reglamento de la LFPDPPP, endesarrollo del artículo 14 de la LFPDPPP96, indica que, entre otras medidas “para garantizar el debido

94 Guía y citada, pág. 65.

95 La iniciativa de la Comisión Europea, la Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a laprotección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estosdatos (Reglamento general de protección de datos), COM(2012) 11 final, de 25 de enero de 2012, introduce este principioen el artículo 22 lo que supone que dicho Reglamento “toma en consideración el debate sobre un «principio deresponsabilidad» y describe pormenorizadamente la obligación de responsabilidad del responsable del tratamiento a la horade cumplir el presente Reglamento y de demostrar su observancia, incluso mediante la adopción de políticas y mecanismosinternos que garanticen dicha conformidad.” El citado artículo, en su versión original, indica lo siguiente:

“Artículo 22 Obligaciones del responsable del tratamiento

1. El responsable del tratamiento adoptará políticas e implementará medidas apropiadas para asegurar y poder demostrarque el tratamiento de datos personales se lleva a cabo de conformidad con el presente Reglamento.

2. Las medidas previstas en el apartado 1 incluirán, en particular:

a) la conservación de la documentación con arreglo a lo dispuesto en el artículo 28;

b) la implementación de los requisitos en materia de seguridad de los datos establecidos en el artículo 30;

c) la realización de una evaluación de impacto en relación con la protección de datos con arreglo a lo dispuesto en el artículo33;

d) el cumplimiento de los requisitos en materia de autorización o consulta previas de la autoridad de control con arreglo a lodispuesto en el artículo 34, apartados 1 y 2;

e) la designación de un delegado de protección de datos con arreglo a lo dispuesto en el artículo 35, apartado 1.

3. El responsable del tratamiento implementará mecanismos para verificar la eficacia de las medidas contempladas en losapartados 1 y 2. Siempre que no sea desproporcionado, estas verificaciones serán llevadas a cabo por auditoresindependientes internos o externos.

4. La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin deespecificar cualesquiera otros criterios y requisitos aplicables a las medidas apropiadas contempladas en el apartado 1,distintas de las ya mencionadas en el apartado 2, las condiciones para los mecanismos de verificación y auditoríacontemplados en el apartado 3 y el criterio de proporcionalidad en virtud del apartado 3, y de considerar la adopción demedidas específicas para las microempresas y las pequeñas y medianas empresas.”

La versión inicial de la Propuesta de Reglamento General de Protección de Datos puede consultarse en http://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1443970930549&uri=CELEX:52012PC0011

96 Dicho artículo indica lo siguiente: “El responsable velará por el cumplimiento de los principios de protección de datos personalesestablecidos por esta Ley, debiendo adoptar las medidas necesarias para su aplicación. Lo anterior aplicará aún y cuando estos datos

http://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1443970930549&uri=CELEX:52012PC0011

http://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1443970930549&uri=CELEX:52012PC0011


52

tratamiento, privilegiando los intereses del titular y la expectativa, el responsable del tratamientopodrá adoptar las siguientes:

I. Elaborar políticas y programas de privacidad obligatorios y exigibles al interior de laorganización del responsable;

II. Poner en práctica un programa de capacitación, actualización y concientización delpersonal sobre las obligaciones en materia de protección de datos personales;

III. Establecer un sistema de supervisión y vigilancia interna, verificaciones o auditoríasexternas para comprobar el cumplimiento de las políticas de privacidad;

IV. Destinar recursos para la instrumentación de los programas y políticas de privacidad;

V. Instrumentar un procedimiento para que se atienda el riesgo para la protección de datospersonales por la implementación de nuevos productos, servicios, tecnologías y modelos denegocios, así como para mitigarlos;

VI. Revisar periódicamente las políticas y programas de seguridad para determinar lasmodificaciones que se requieran;

VII. Establecer procedimientos para recibir y responder dudas y quejas de los titulares de losdatos personales;

VIII. Disponer de mecanismos para el cumplimiento de las políticas y programas deprivacidad, así como de sanciones por su incumplimiento;

IX. Establecer medidas para el aseguramiento de los datos personales, es decir, un conjuntode acciones técnicas y administrativas que permitan garantizar al responsable elcumplimiento de los principios y obligaciones que establece la Ley y el presente Reglamento,o

X. Establecer medidas para la trazabilidad de los datos personales, es decir, acciones,medidas y procedimientos técnicos que permiten rastrear a los datos personales durante sutratamiento.”

En la práctica, son varios los instrumentos a través de los que pueden adoptarse e implementarsemedidas en virtud del principio de responsabilidad, entre los que, como indica la Guía del INAI97

siguiendo la normatividad en materia de protección de datos personales en posesión de losparticulares, se encuentran los siguientes:

fueren tratados por un tercero a solicitud del responsable. El responsable deberá tomar las medidas necesarias y suficientes para garantizarque el aviso de privacidad dado a conocer al titular, sea respetado en todo momento por él o por terceros con los que guarde algunarelación jurídica.”

97 Guía ya citada, pág. 65.


53

1. Estándares;2. Mejores prácticas internacionales;3. Políticas corporativas;4. Esquemas de autorregulación, y5. Otros mecanismos.

Al respecto, es también relevante la Guía para la implementación del Principio de ResponsabilidadDemostrada (Accountability)98 de Colombia, que para la adopción de medidas que permitan cumplircon el principio de responsabilidad explica la necesidad de que la organización, es decir, quien tratalos datos personales, implemente un Programa Integral de Gestión de Datos Personales, indicando alrespecto que99:

“Para que una organización efectivamente implemente un Programa Integral de Gestión de DatosPersonales, no es suficiente demostrar la adopción de políticas y procedimientos tendientes acumplir las normas sobre protección de datos personales. Un programa basado en este estándardebe buscar la implementación de esas políticas y procedimientos, para lo cual, como primeramedida, se requiere contar con el compromiso de los sujetos obligados, derivado de una cultura derespeto a la protección de datos personales que recoge o trata. En este sentido, la organización,atendiendo a su tamaño y estructura, así como al tipo de información personal a la que le realizatratamiento, debe comprometer recursos económicos y de personal una vez que decide emprender elcamino hacia la implementación de un Programa Integral de Gestión de Datos Personales.”

Como parte de dicho programa y para implementar prácticas responsables en materia de protecciónde datos personales, la Guía parte de la necesidad del apoyo y compromiso de la alta dirección y/o lagerencia, que debe:

1. Designar a la persona o al área que asumirá la función de protección de datos dentro de laorganización,

2. Aprobar y monitorear el Programa Integral de Gestión de Datos Personales, e3. Informar de manera periódica a los órganos directivos sobre su ejecución.

En cuanto a los controles que debe incluir el Programa Integral de Gestión de Datos Personales paraasegurar que las políticas adoptadas se implementen en la práctica, la Guía menciona los siguientes:

1. Procedimientos operacionales: Se trata de “procedimientos administrativos consistentescon las políticas generales de protección de datos y con las disposiciones legales vigentesde forma que pueda manejar adecuadamente los riesgos inherentes al tratamiento deinformación personal dentro de las actividades de gestión operacional.”100

98 Ya citada

99 Véase la Guía en las págs. 9 y siguientes.

100 Apartado 2.1 de la Guía, pág. 14.


54

2. Inventario de las bases de datos con información personal: Ya que quienes tratan datospersonales “deben conocer qué datos personales almacenan, cómo los utilizan y sirealmente los necesitan, teniendo en cuenta la finalidad para la cual los recolectan”101

3. Políticas: Son “políticas internas que dispongan obligaciones en virtud de la ley y dárselasa conocer a los empleados”, a través de las que se implementan los principios de laprotección de datos personales. Entre las reglas que deben contener dichas políticas, tal ycomo indica la Guía102 en este punto, están las relativas a:

a. La recolección, almacenamiento, uso, circulación y supresión o disposición final dela información personal, incluyendo los requisitos para obtener la autorización delos Titulares.

b. El acceso y corrección de datos personales.

c. La conservación y eliminación de información personal.

d. El uso responsable de la información, incluyendo controles de seguridadadministrativos, físicos y tecnológicos.

e. Inclusión en todos los medios contractuales de la empresa de una cláusula deconfidencialidad y de manejo de información, donde se afirme que se conoce asuficiencia la política de la empresa, se acepta, y se permite a la compañía utilizardicha información de forma responsable.

f. Presentación de quejas, denuncias y reclamos.

4. Sistema de administración de riesgos asociados al tratamiento de datos personales: Loque implica que en la práctica sea conveniente desarrollar “un sistema de administraciónde riesgos, acorde con su estructura organizacional, sus procesos y procedimientosinternos asociados al tratamiento de datos personales, la cantidad de base de datos y tiposde datos personales tratados por la empresa.” Dicho sistema “permitirá a la empresaidentificar, medir, controlar y monitorear todos aquellos hechos o situaciones que puedanincidir en la debida administración del riesgo a que están expuestos en el desarrollo delcumplimiento de las normas de protección de datos.”103 Por último, en la adopción de estesistema de administración de riesgos se deben tener en cuenta las etapas que seenumeran a continuación y que son explicadas en la Guía104:

101 Véase el apartado 2.2 de la Guía, pág. 14.

102 Apartado 2.3 de la Guía pág. 15.


104 Véase la Guía en las páginas 17 y 18.


55

5. Requisitos de formación y educación: La efectividad del programa depende, en granmedida, de “la formación y educación de todos los empleados de la organización”105 que,para el desarrollo de sus funciones, traten datos personales. Es así que, como indica laGuía, es importante que se imparta “una formación de carácter general sobre la materia y,para el personal que maneje datos personales directamente, deberá existir unacapacitación complementaria”. Además, esta formación y educación en materia deprotección de datos personales “debe ser permanente”, por lo que “es importante queexista una actualización periódica del contenido del programa.” Por último, como indica laGuía, “[d]entro de los contratos que suscriban los empleados, es importante incluiracuerdos de cumplimiento de las políticas internas adoptadas por los sujetos obligados.”

6. Protocolos de respuesta en el manejo de violaciones e incidentes: Lo que, con caráctergeneral, implica que el Programa Integral de Gestión de Datos Personales “debe involucrarun componente de gestión de riesgos, internos y externos, que le permita identificarvulnerabilidades a tiempo y enfocar sus recursos a la adopción de medidas de mitigaciónde riesgo que minimicen dicho impacto tanto para la organización como para los titularesde información.”106

7. Gestión de los encargados del tratamiento en las transmisiones internacionales de datos:Al respecto, la Guía indica que deben tenerse en cuenta, entre otros aspectos, lossiguientes107:

a. Disposiciones que incluyan requisitos para que los Encargados cumplan con lasnormas colombianas de protección de datos, en general, y las políticas detratamiento del Responsable, en particular. De la misma manera, considerarmecanismos para que el Encargado reporte al Responsable los incidentes deseguridad de la información.

b. Formación y educación en temas de protección de datos personales para losempleados del Encargado que tienen acceso a la información personal.

c. Exigencia de adherencia a las políticas de tratamiento si se utilizan subcontratistas.

d. Realización de auditorías internas y/o externas.

e. Acuerdos con los Encargados y sus empleados aceptando que cumplirán con laspolíticas y protocolos del Responsable del Tratamiento.

105 Apartado 2.5 de la Guía, págs. 18 y 19.




56

8. Comunicación externa: Se trata de “un procedimiento para informar” por el Responsable alos titulares de los datos personales tanto de sus derechos como de “los programas decontrol que han implementado”. Al respecto, como indica la Guía, es importante que lascomunicaciones sean “claras y comprensibles y no limitarse a una simple reiteración de laley.”108

Además, para asegurar la efectividad del Programa Integral de Gestión de Datos Personales, esnecesario que se realice una evaluación revisión constante. A esta cuestión le dedica una sección109

la Guía para la implementación del Principio de Responsabilidad Demostrada (Accountability), siendodos los aspectos fundamentales para “supervisar, evaluar y revisar” el programa y que consisten en:

1. Desarrollar un Plan de Supervisión y Revisión, y

2. Evaluar y revisar los controles del Programa.

Se trata, por tanto, de que a través de las medidas previstas en el Programa Integral o Sistema deGestión de Datos Personales o en cualquier instrumento adoptado e implementado por quien tratadatos personales, ya sea como responsable o encargado del tratamiento, si bien la responsabilidadúltima es del primero, se pueda demostrar el cumplimiento ante todas las partes interesadas, entrelas que quedan incluidas el titular de los datos personales, la autoridad garante en materia deprotección de datos y otras autoridades competentes, tanto administrativas como judiciales, así comoaccionistas, inversores u otros.

En definitiva, la adopción e implementación de este principio implica que “[l]a apuesta que hace unaorganización por implementar estándares elevados de protección de datos personales en suorganización, y desarrollar un Programa Integral de Gestión de Datos Personales, genera beneficiospara la organización y se traduce en una mayor protección de datos individuos.”110

3.10.4 Responsable y encargado del tratamiento de datos personales

Aunque el responsable del tratamiento es quien tiene la responsabilidad de adoptar e implementarlas medidas necesarias para asegurar el cumplimiento en materia de protección de datos personales,es necesario tener en consideración que el encargado del tratamiento también trata datos personalesy por tanto tiene obligación de actuar en este sentido.

Dicha obligación se extiende al encargado del tratamiento a través del instrumento jurídico, ya sea uncontrato, acuerdo, convenio, cláusula contractual u otro. Dicho instrumento jurídico permitirá, en sucaso, asegurar el cumplimiento a lo largo de toda la cadena de contratación que implique eltratamiento de datos personales en cualquiera de las fases del mismo o a lo largo del ciclo de vida delos datos personales.


109 Véase la sección IV de la citada Guía, págs. 22 y 23.

110 Véase la Guía, ya citada, en la página 7.


57

A nivel internacional, cabe mencionar que esta es una cuestión que se está planteando en relacióncon algunos servicios, como por ejemplo, el cómputo en la nube y a la que también está prestandoatención la propuesta de Reglamento General de Protección de Datos en la Unión Europea.

En cuanto al cómputo en la nube, puede prestarse atención, por ejemplo, al informe publicado por laUnidad Reguladora y de Control de Datos Personales111 sobre el Análisis de la Norma ISO/IEC27.018 desde la perspectiva de la Protección de Datos Personales112, en el que se hace referencia alesquema básico previsto en dicho estándar internacional113 en virtud del que el cliente de los serviciosde cómputo en la nube es considerado como responsable del tratamiento y el proveedor de dichosservicio es el encargado del tratamiento y se indica que:

“la Ley Nº 18.331 establece en su artículo 12 específicamente la consagración delprincipio de responsabilidad, por el cual el responsable de la base de datos es responsable dela violación de las disposiciones de la presente ley. Independientemente de ello, laresponsabilidad del encargado de tratamiento también es clara en la Ley Nº 18.331 en suartículo 35 que prevé la posibilidad de que el encargado de tratamiento sea sancionado aligual que el responsable por el organismo de control, y en el decreto Nº 414/009 en su artículo7º que establece la responsabilidad del encargado de tratamiento de proteger los datospersonales sometidos a tratamiento mediante las “(...) medidas técnicas y organizativas queresulten idóneas para garantizar su integridad, confidencialidad y disponibilidad”. Finalmente,el artículo 17 inciso final de la Ley Nº 18.331 reafirma lo antedicho al establecer: “Eldestinatario quedará sujeto a las mismas obligaciones legales y reglamentarias del emisor yéste responderá solidaria y conjuntamente por la observancia de las mismas ante elorganismo de control y el titular de los datos de que se trate”.”114

Es decir, al contratar servicios que impliquen acceso a datos personales, entre los que se encuentranlos de cómputo en la nube, el responsable debe considerar que:

“Si bien el principio de responsabilidad o rendición de cuentas (en inglés, ´accountability´) esexigible al responsable del tratamiento174, resulta claro que en el caso de la prestación deservicios de cómputo en la nube, esta responsabilidad o rendición de cuentas tiene tambiénimplicaciones para el proveedor de dichos servicios, aunque sea considerado como unencargado del tratamiento.

Un proveedor de servicios de cómputo en la nube que diseña sus servicios para que tanto élcomo su cliente estén en condición de cumplir con la normatividad sobre protección de datospersonales y privacidad; adopte medidas para proteger de manera efectiva los datospersonales durante la prestación de sus servicios y, además, proporcione al cliente informacióny recursos para empoderarle de manera que pueda tomar decisiones tanto en relación con la

111 Sobre la que puede verse más información en http://datospersonales.gub.uy/

112 De mayo de 2015 y disponible en http://datospersonales.gub.uy/inicio/institucional/noticias/informe+norma+iso

113 La ISO/IEC 27018 Information technology -- Security techniques -- Code of practice for protection of personally identifiableinformation (PII) in public clouds acting as PII processors, es el primer estándar internacional sobre privacidad en la nube. Sobre elmismo puede verse más información, en inglés, en http://www.iso.org/iso/catalogue_detail.htm?csnumber=61498


http://datospersonales.gub.uy/

http://datospersonales.gub.uy/inicio/institucional/noticias/informe+norma+iso

http://www.iso.org/iso/catalogue_detail.htm?csnumber=61498


58

protección de datos personales como el cumplimiento de los requisitos aplicables a su negocioy derivados de dicha normatividad, es fundamental175.

Unido a lo anterior, un proveedor de servicios de cómputo en la nube comprometido con lanormatividad sobre protección de datos personales no utilizará los datos personales que le haencomendado el cliente nada más que para la prestación del servicio, y no, por ejemplo, confines de publicidad u otras finalidades, lo cual pondría en riesgo al cliente de sus servicioscomo consecuencia del incumplimiento y que podría implicar también la pérdida de confianzapor un uso no previsto ni legítimo de los datos personales.”115

Es así que el responsable del tratamiento, cuando decide hacer uso de los servicios de un encargadodel tratamiento para que trate datos personales en su nombre, tiene que buscar a uno que le permita,concretando las garantías necesarias en el correspondiente instrumento jurídico, asegurar un buengobierno y gestión de la protección de datos personales116.

Por lo que se refiere a la propuesta de Reglamento General de Protección de Datos en la UniónEuropea, este aspecto trae causa de la Directiva 95/46/CE117 ya que en la misma, su artículo 17,indica que “el responsable del tratamiento, en caso de tratamiento por cuenta del mismo, deberáelegir un encargado del tratamiento que reúna garantías suficientes en relación con las medidas deseguridad técnica y de organización de los tratamientos que deban efectuarse, y se asegure de quese cumplen dichas medidas.”

En concreto, la versión inicial presentada por la Comisión Europea118 de la propuesta de ReglamentoGeneral de Protección de Datos en la Unión Europea explica que “El artículo 26 aclara la posición y laobligación de los encargados del tratamiento, basándose parcialmente en el artículo 17, apartado 2,de la Directiva 95/46/CE y añadiendo nuevos elementos, incluido que todo encargado que trate datosmás allá de las instrucciones del responsable del tratamiento ha de ser consideradocorresponsable.”119 Y también “El artículo 29 aclara las obligaciones del responsable y el encargado

115 Maqueo Ramírez, María Solange; Moreno González, Jimena y Recio Gayo, Miguel (2014), Lineamientos de Protección de Datos en elCómputo en la Nube: Parámetros para su elaboración, Centro de Investigación y Docencia Académicas (CIDE), México. Pág. 53.Disponible en https://cidecyd.files.wordpress.com/2014/09/white-paper-lineamientos-proteccion-datos-computo-nube-mx-18-sept-14-def.pdf

116 En este sentido, referido al cómputo en la nube aunque es aplicable también a otros servicios que impliquen un tratamiento de datospersonales por un encargado del tartamiento, el Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE, al que ya se ha hechoreferencia, en su Dictamen 5/2012 sobre computación en la nube, recomienda específicamente que: “el responsable del tratamiento debeelegir un proveedor que garantice el cumplimiento de la legislación sobre protección de datos. Debe prestarse una atención especial a lascaracterísticas de los contratos, que deberán incluir una serie de garantías de protección de datos normalizadas.” Dictamen 5/2012 sobre lacomputación en la nube, WP 196, adoptado el 1 de julio de 2012. Pág. 10. Disponible, en español, en la dirección de Internethttp://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_es.pdf117 Ya citada.

118 Ya citada.

119 En lo sustancial, dicho artículo, conforme a la propuesta de la Comisión Europea, indica que:

“Artículo 26 Encargado del tratamiento

1. Cuando una operación de tratamiento vaya a ser llevada a cabo por cuenta de un responsable del tratamiento, esteelegirá un encargado del tratamiento que ofrezca garantías suficientes para implementar medidas y procedimientos técnicos

https://cidecyd.files.wordpress.com/2014/09/white-paper-lineamientos-proteccion-datos-computo-nube-mx-18-sept-14-def.pdf

https://cidecyd.files.wordpress.com/2014/09/white-paper-lineamientos-proteccion-datos-computo-nube-mx-18-sept-14-def.pdf



59

del tratamiento de cooperar con la autoridad de control.”

3.11 Privacidad desde el diseño

3.11.1 Concepto

El principio de privacidad desde o por diseño (en inglés, “privacy by default”) ha sido reconocido anivel internacional120, aunque el mismo no se encuentra previsto específicamente en la normativa demuchos países. Este principio “tiene por objeto servir como aproximación de manera que los nuevosmodelos o prácticas de negocio, las especificaciones tecnológicas y las infraestructuras físicas

y organizativos apropiados, de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento ygarantice la protección de los derechos del interesado, en particular en lo que respecta a las medidas de seguridad técnica yorganizativas que rigen el tratamiento que vaya a efectuarse, y velará por que se cumplan dichas medidas.

2. La realización del tratamiento por un encargado se regirá por un contrato u otro acto jurídico que vincule al encargado deltratamiento con el responsable del tratamiento y que disponga, en particular, que el encargado del tratamiento:

a) actuará únicamente siguiendo instrucciones del responsable del tratamiento, en particular cuando la transferencia de losdatos personales utilizados esté prohibida;

b) empleará únicamente personal que se haya comprometido a respetar la confidencialidad o esté sujeto a una obligaciónlegal de confidencialidad;

c) tomará todas las medidas necesarias de conformidad con lo dispuesto en el artículo 30;

d) solo recurrirá a otro encargado del tratamiento con la autorización previa del responsable del tratamiento;

e) en la medida de lo posible, y teniendo en cuenta la naturaleza del tratamiento, creará, de acuerdo con el responsable deltratamiento, las condiciones técnicas y organizativas necesarias para permitir al responsable del tratamiento cumplir suobligación de dar curso a las solicitudes que le dirijan los interesados en el ejercicio de sus derechos establecidos en elcapítulo III;

f) ayudará al responsable del tratamiento a garantizar el cumplimiento de las obligaciones previstas en los artículos 30 a 34;

g) transmitirá todos los resultados al responsable del tratamiento al término de este y se abstendrá de someter los datospersonales a otros tratamientos;

h) pondrá a disposición del responsable del tratamiento y de la autoridad de control toda la información necesaria paracontrolar el cumplimiento de las obligaciones establecidas en el presente artículo.

3. El responsable y el encargado del tratamiento documentarán por escrito las instrucciones del responsable y lasobligaciones del encargado contempladas en el apartado 2.

4. Si un encargado del tratamiento trata datos personales sin seguir las instrucciones del responsable del tratamiento, elencargado será considerado responsable del tratamiento con respecto a ese tratamiento y estará sujeto a las normasaplicables a los corresponsables del tratamiento establecidas en el artículo 24.”

120 Al respecto, puede verse, por ejemplo, la Resolución sobre Privacidad por Diseño, adoptada durante la 32ª Conferencia Internacionalde Autoridades de Protección de Datos y Privacidad, celebrada en Jerusalén (Israel) del 27 al 29 de octubre de 2010. Disponible, en inglés,en el vínculo electrónico http://www.justice.gov.il/NR/rdonlyres/F8A79347-170C-4EEF-A0AD-155554558A5F/26502/ResolutiononPrivacybyDesign.pdf También el artículo 23 de la propuesta de Reglamento del Parlamento Europeoy del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulaciónde estos datos (Reglamento general de protección de datos), COM(2012) 11 final, se refiere a los principios de privacidad desde el diseñoy por defecto.

La propuesta d Reglamento general de protección de datos, presentada por la Comisión Europea el 25 de enero de 2012, puede verse en elvínculo electrónico http://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:52012PC0011&qid=1445182738440&from=ESUna versión en inglés, que incluye la tabla comparativa entre la propuesta de la Comisión Europea, la posición del Parlamento Europeo yla aproximación general adoptada por el Consejo de la Unión Europea, además de los comentarios oportunos del Supervisor Europeo deProtección de Datos puede verse enhttps://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2015/15-07-27_GDPR_Recommendations_Annex_EN.pdf

http://www.justice.gov.il/NR/rdonlyres/F8A79347-170C-4EEF-A0AD-155554558A5F/26502/ResolutiononPrivacybyDesign.pdf

http://www.justice.gov.il/NR/rdonlyres/F8A79347-170C-4EEF-A0AD-155554558A5F/26502/ResolutiononPrivacybyDesign.pdf

http://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:52012PC0011&qid=1445182738440&from=ES

https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2015/15-07-27_GDPR_Recommendations_Annex_EN.pdf

https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2015/15-07-27_GDPR_Recommendations_Annex_EN.pdf


60

incluyan principios de privacidad de manera que respeten el derecho fundamental a la protección dedatos personales.”121

Como explica la Dra. Ann Cavoukian, que desarrolló este principio en los años 90, la privacidad pordiseño “promueve la visión de que el futuro de la privacidad no puede ser garantizada sólo porcumplir con los marcos regulatorios; más bien, idealmente el aseguramiento de la privacidad debeconvertirse en el modo de operación predeterminado de una organización.”122


La privacidad desde el diseño implica incluir controles relativos a la protección de datos personalesdesde el momento mismo en el que se define la arquitectura de un sistema de información, unmodelo de negocio o las prácticas del mismo que impliquen el tratamiento de datos personales.

La privacidad desde el diseño se basa en siete principios fundamentales123, que son los siguientes:

Principios Fundamentales Explicación

1. Proactivo, no Reactivo;Preventivo no Correctivo

“El enfoque de Privacidad por Diseño (PbD por sus siglas en Inglés)está caracterizado por medidas proactivas, en vez de reactivas.Anticipa y previene eventos de invasión de privacidad antes de queestos ocurran. PbD no espera a que los riesgos se materialicen, niofrece remedios para resolver infracciones de privacidad una vezque ya ocurrieron – su finalidad es prevenir que ocurran. Enresumen, Privacidad por Diseño llega antes del suceso, nodespués.”

2. Privacidad como laConfiguración

“Todos podemos estar seguros de una cosa – ¡Lo predeterminadoes lo que manda! La Privacidad por Diseño busca entregar elmáximo grado de privacidad asegurándose de que los datos

121 Véase el estudio de GEV, Asesores Internacionales, S.C. (2013) Privacy by Design para fomentar la figura delencargado, Estudios del PROSOFT. Disponible enhttps://prosoft.economia.gob.mx/Imagenes/ImagenesMaster/Estudios%20Prosoft/FREF_23.pdf122 Ann Cavoukian, Privacy by Design, Los 7 Principios Fundamentales. Disponible enhttps://www.privacybydesign.ca/content/uploads/2009/08/7foundationalprinciples-spanish.pdf

123 Véase la nota a pie de página anterior.

https://prosoft.economia.gob.mx/Imagenes/ImagenesMaster/Estudios%20Prosoft/FREF_23.pdf

https://www.privacybydesign.ca/content/uploads/2009/08/7foundationalprinciples-spanish.pdf


61


Predeterminada personales estén protegidos automáticamente en cualquier sistemade IT dado o en cualquier práctica de negocios. Si una la personano toma una acción, aún así la privacidad se mantiene intacta. Nose requiere acción alguna de parte de la persona para proteger laprivacidad – está interconstruida en el sistema, como unaconfiguración predeterminada.”

3. Privacidad Incrustada enel Diseño

“La Privacidad por Diseño está incrustada en el diseño y laarquitectura de los sistemas de Tecnologías de Información y en lasprácticas de negocios. No está colgada como un suplemento,después del suceso. El resultado es que la privacidad se convierteen un componente esencial de la funcionalidad central que estásiendo entregada. La privacidad es parte integral del sistema, sindisminuir su funcionalidad.”

4. Funcionalidad Total –“Todos ganan”, no “Sialguien gana, otro pierde”

“Privacidad por Diseñobusca acomodar todos los intereses yobjetivos legítimos de una forma “ganar-ganar”, no a través de unmétodo anticuado de “si alguien gana, otro pierde”, donde serealizan concesiones innecesarias. Privacidad por Diseño evita lahipocresía de las falsas dualidades, tales como privacidad versusseguridad, demostrando que sí es posible tener ambas al mismotiempo.”

5. Seguridad Extremo-a-Extremo – Protección deCiclo de Vida Completo

“Habiendo sido incrustada en el sistema antes de que el primerelemento de información haya sido recolectado, la Privacidad porDiseño se extiende con seguridad a través del ciclo de vidacompleto de los datos involucrados – las medidas de seguridadrobustas son esenciales para la privacidad, de inicio a fin. Estogarantiza que todos los datos son retenidos con seguridad, y luegodestruidos con seguridad al final del proceso, sin demoras. Por lotanto, la Privacidad por Diseño garantiza una administración seguradel ciclo de vida de la información, desde la cuna hasta la tumba,desde un extremo hacia el otro.”

6. Visibilidad yTransparencia –Mantenerlo Abierto

“Privacidad por Diseño busca asegurar a todos los involucrados quecualquiera que sea la práctica de negocios o tecnología involucrada,esta en realidad esté operando de acuerdo a las promesas yobjetivos declarados, sujeta a verificación independiente. Sus partescomponentes y operaciones permanecen visibles y transparentes, a


62


usuarios y a proveedores. Recuerde, confíe pero verifique.”

7. Respeto por la Privacidadde los Usuarios –Mantener un EnfoqueCentrado en el Usuario

“Por encima de todo, la Privacidad por Diseño requiere que losarquitectos y operadores mantengan en una posición superior losintereses de las personas, ofreciendo medidas tales comopredefinidos de privacidad robustos, notificación apropiada, yfacultando opciones amigables para el usuario. Hay que manteneral usuario en el centro de las prioridades.”

En la práctica, este principio implica que “[d]esde una base de datos de clientes o recursos humanos,pasando por aplicación (en inglés, ´app´), hasta una red social, son algunos ejemplos de casos en losque la privacidad por diseño es fundamental ya que, en caso contrario, podrían darse situaciones enlas que un mal diseño o una gestión inadecuada de los datos personales dé lugar, por una parte, auna sanción en caso de que se verifique un incumplimiento de la normatividad sobre protección dedatos personales y, por otra parte, al propio fracaso del negocio ya que los controles necesarios nofueron considerados en el diseño del sistema de información, producto o servicio correspondiente.”124

Al respecto y como referente internacional, el apartado 1 del artículo 23 de la propuesta deReglamento general de protección de datos en la Unión Europea125, en la versión presentada por laComisión Europea, indica que:

“Habida cuenta de las técnicas existentes y de los costes asociados a suimplementación, el responsable del tratamiento implementará, tanto en el momento de ladeterminación de los medios de tratamiento como en el del tratamiento propiamente dicho,medidas y procedimientos técnicos y organizativos apropiados, de manera que el tratamientosea conforme con las disposiciones del presente Reglamento y garantice la protección de losderechos del interesado.”

Es así que, considerar la protección de datos personales desde el comienzo permite fomentar laconfianza de los titulares de los datos personales y, al mismo tiempo, puede dar lugar a una ventajacompetitiva ya que una tecnología que se desarrolla o un negocio que se realiza han sido diseñadosconsiderando altos estándares en protección de datos personales.

Incluso cuando el principio de privacidad desde el diseño no esté expresamente previsto en lanormativa sobre protección de datos personales, es una buena práctica que debe ser considerada porquien trata datos personales. Además, para la persona a quien se refieren los datos personales queson tratados, el principio de privacidad desde el diseño es una indicación de que quien trata los datos

124 Privacy by Design para fomentar la figura del encargado, ya citada. Pág. 17.

125 Ya citada.


63

personales ha adoptado medidas proactivas que respeten el derecho a la protección de datospersonales.

3.12 Privacidad por defecto

3.12.1 Concepto

Otro de los principios en protección de datos personales, relevantes a nivel internacional126, es el deprivacidad por defecto (en inglés, “privacy by default”) a la que se refiere la propuesta de Reglamentogeneral de protección de datos, presentada por la Comisión Europea para actualizar la Directiva95/46/CE, y que en el apartado 2 de su artículo 23 indica que:

“El responsable del tratamiento implementará mecanismos con miras a garantizar que,por defecto, solo sean objeto de tratamiento los datos personales necesarios para cada finespecífico del tratamiento y, especialmente, que no se recojan ni conserven más allá delmínimo necesario para esos fines, tanto por lo que respecta a la cantidad de los datos como ala duración de su conservación. En concreto, estos mecanismos garantizarán que, por defecto,los datos personales no sean accesibles a un número indeterminado de personas.”

Es decir, cuando el responsable del tratamiento, por ejemplo, desarrolla una aplicación (“app”), seprepara un proyecto de negocio o se plantea cualquier otra actividad que implica el tratamiento dedatos personales, debe hacerse de manera que se asegure el derecho a la protección de datospersonales a lo largo del ciclo de vida de los mismos, en todas y cada una de las fases deltratamiento. Se trata así de que la protección de datos personales sea considerada desde el principio,antes de llegar a tratar los datos personales, lo que permitirá impulsar un alto nivel de protección dedatos personales generando así la confianza necesaria.


En la práctica, si por defecto, una aplicación, un vestible (en inglés, “wearable”) o un proyecto, entreotros, ha incluido mecanismos, tales como controles, que por defecto sirvan para proteger laprotección de datos personales, se podrá asegurar mejor el derecho a la protección de datospersonales.

Aunque es un principio que no se encuentra expresamente en la normatividad sobre protección dedatos personales de países iberoamericanos, el de protección de datos por defecto se encuentraestrechamente vinculado con el de responsabilidad (“accountability”), incidiendo en la importancia deconsiderar la protección de datos personales desde el principio.

126 En concreto, véase el artículo 23 de la propuesta de Reglamento general de protección de datos en la Unión Europea, ya citada.


64

Por lo tanto, el principio de privacidad por defecto es también una muestra de compromiso con laprotección de datos personales cuando se desarrolla una aplicación, tecnología o un proyecto denegocio que implica el tratamiento de datos personales. Es así que quien trata los datos personalestendrá en consideración la protección de los datos personales, asegurando así el derecho a laprotección de datos personales desde el inicio de su actividad, y la persona a quien se refieren losdatos personales, su titular, encontrará en la práctica que este principio supone que el software,aplicación, vestible o negocio, entre otros, que va a tratar los datos personales lo hace de formarespetuosa y asegurando su derecho a la protección de datos personales.

3.13 Deberes en la protección de datos personales

3.13.1 Confidencialidad en los datos personales

La confidencialidad se refiere a guardar secreto o sigilo sobre los datos personales objeto detratamiento.

El informe del CJI de la OEA sobre Privacidad y Protección de Datos, ya mencionado, incluyetambién como principio el deber de confidencialidad y, con carácter general, indica que “[l]os datospersonales no deben divulgarse, ponerse a disposición de terceros ni emplearse para otrospropósitos que no sean aquellos para los cuales se obtuvieron, excepto con el conocimiento oconsentimiento de la persona en cuestión o bajo autoridad de la ley.”127

En relación con este principio, el informe explica que el mismo implica que el responsable deltratamiento “se cerciore de que no se proporcionen tales datos (ni se pongan a disposición por otrosmedios) a personas o entidades excepto con el conocimiento o consentimiento de la personaafectada, en consonancia con las expectativas razonables de la persona afectada o por mandato dela ley.” Y también que “los datos personales no se usen con fines que sean incompatibles con el finoriginal para el cual se recopilaron los datos. Estas responsabilidades emanan de la naturalezamisma de los datos personales y no dependen de afirmaciones de las personas afectadas.”128

Las Directrices para la armonización de la protección de datos en la Comunidad Iberoamericanaindican que “quienes intervengan en cualquier fase del tratamiento de datos personales estánobligados al secreto profesional respecto de los mismos. Tal obligación subsistirá aun después definalizada su relación con el titular del archivo de datos.”129

Al mismo se refieren también los Estándares Internacionales sobre Protección de Datos Personales yPrivacidad, que dedican su artículo 21 al mismo indicando que “[l]a persona responsable y quienesintervengan en cualquier fase del tratamiento de los datos de carácter personal deberán respetar laconfidencialidad de los mismos, obligación que subsistirá aun después de finalizar sus relaciones conel interesado o, en su caso, con la persona responsable.”

127 Véase la página 11 del citado informe.

128 Págs. 11 y 12 del informe.

129 Pág. 17.


65

Como se explica en la Guía del INAI para cumplir con los principios y deberes de la LFPDPPP130, estedeber “implica la obligación de guardar secreto respecto de los datos personales que son tratados. Laconfidencialidad debe cumplirse para evitar causar un daño a su titular. De no ser así, un tercero noautorizado podría tener acceso a los datos personales.

Es así que “cuando se tratan datos personales, el responsable tiene que adoptar medidas para evitarque quienes tengan acceso a éstos divulguen dicha información. Incluso la obligación deconfidencialidad tiene que hacerse cumplir una vez que finalice la relación contractual, laboral o deotra naturaleza, entre el responsable del tratamiento y quien tenga acceso a los datos personalespara el desarrollo de las tareas o funciones que se le hubieran encomendado.”131

La Guía del INAI también lista las siguientes obligaciones, a cumplir y hacer cumplir por elresponsable del tratamiento, en relación con el deber de confidencialidad:

“1. Guardar confidencialidad en cualquier fase del tratamiento de los datos personales,incluso después de finalizar la relación con el titular, y

2. Verificar que los encargados también guarden confidencialidad de los datos personalesque tratan a nombre y por cuenta del responsable, aun después de concluida la relacióncon éste.”132

Por tanto, el deber de confidencialidad, que implica que el responsable del tratamiento tenga queadoptar medidas al respecto, tiene que garantizarse a lo largo del ciclo de vida de los datospersonales, en todas las fases del tratamiento, e incluso una vez finalizado el tratamiento. A tal fin, esconveniente que el responsable adopte e implemente tanto una política de confidencialidad comootras medidas, tales como contratos o cláusulas contractuales a firmar con quienes intervengan en eltratamiento de datos personales, ya sean empleados de dicho responsable o encargados deltratamiento que le presten algún servicio.

3.13.2 Seguridad en los datos personales

La seguridad en el tratamiento de los datos personales es también una cuestión fundamental ya quese protege, con carácter general, contra su acceso no autorizado e incluso su pérdida. Al mismotiempo, las medidas de seguridad que se adopten van a servir, junto con los principios y demásdeberes aplicables, para asegurar el derecho a la protección de los datos personales.

En relación con la seguridad de los datos personales, las Directrices para la armonización de laprotección de datos en la Comunidad Iberoamericana indican, con carácter general, que “[d]eberánadoptarse las medidas técnicas y organizativas que resulten necesarias para proteger los datos

130 Ya citada.

131 Guía del INAI, ya mencionada, página 69.

132 Guía del INAI. Pág. 70.


66

contra su adulteración, pérdida o destrucción accidental, el acceso no autorizado o su usofraudulento.”133

Como explica, al respecto, la Guía del INAI, el deber de seguridad “se refiere a la obligación deestablecer y mantener medidas de seguridad tanto técnicas, físicas y administrativas, que permitanproteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso otratamiento no autorizado.”134

En relación con la seguridad, el Dictamen con proyecto de Decreto por el que se expide la LFPDPPP,indica que “la seguridad en el tratamiento de los datos de carácter personal es vital para garantizar deforma efectiva la privacidad de las personas, estableciendo controles o medidas que impidan elacceso indebido a la información.”135

El informe del CJI de la OEA se refiere a la seguridad como uno de los principios aplicables altratamiento de datos personales e indica, con carácter general, que “[l]os datos personales deben serprotegidos mediante salvaguardias razonables y adecuadas contra accesos no autorizados, pérdida,destrucción, uso, modificación o divulgación.”136

Dicho informe continúa explicando que:

“tienen el deber claro de tomar las medidas prácticas y técnicas que sean necesariaspara proteger los datos personales que obren en su poder o bajo su custodia (o de los cualessean responsables) y cerciorarse de que tales datos personales no sean objeto de acceso,pérdida, destrucción, uso, modificación o divulgación excepto con el conocimiento oconsentimiento de la persona o de otra autoridad legítima.

La obligación específica consiste en proporcionar “salvaguardias razonables yadecuadas”. Se basa en la consecución y el mantenimiento de un nivel apropiado de atenciónen el contexto de la situación general. Por lo tanto, hay que tener en cuenta consideracionesde proporcionalidad y necesidad.”

Y también que:

“Los datos personales deben protegerse, independientemente de la forma en que semantengan, por medio de salvaguardias razonablemente concebidas para prevenir que laspersonas sufran daños considerables como consecuencia del acceso no autorizado a losdatos o de su pérdida o destrucción. La índole de las salvaguardias podría variar según lasensibilidad de los datos en cuestión.

133 Pág. 17.

134 Guía ya citada, pág. 72.

135 Pág. 41 del Dictamen.

136 Pág. 12 del informe, ya citado.


67

Evidentemente, para los datos más sensibles se requiere un nivel más alto deprotección. Algunas de las razones para conferir mayor protección podrían ser, por ejemplo,los riesgos de usurpación de la identidad, pérdidas económicas, efectos negativos en lacalificación crediticia, daños a bienes y pérdida del empleo o de oportunidades comerciales oprofesionales.

La norma no es estática. Las amenazas a la privacidad, especialmente las amenazascibernéticas, están evolucionando constantemente y la determinación de lo que constituyesalvaguardias “razonables y adecuadas” debe responder a esa evolución. El reto consiste enproporcionar orientación válida a los controladores de datos, procurando al mismo tiempo quelas normas sigan siendo “tecnológicamente neutrales” y no se vuelvan obsoletas comoconsecuencia de los rápidos cambios tecnológicos.

En vista de la celeridad de los cambios en el entorno actual de la información, unapráctica que hace solo unos meses era permisible podría considerarse en la actualidad comouna práctica intrusiva, riesgosa o peligrosa para la privacidad individual. Análogamente, unarestricción que haya parecido razonable hace algunos meses podría ser obsoleta o injusta a laluz de los adelantos tecnológicos.

Por lo tanto, la determinación relativa a la existencia de “salvaguardias razonables yadecuadas” debe basarse en los métodos y técnicas más avanzados que estén en uso en elámbito de la seguridad de los datos en vista de la evolución de las amenazas a la privacidadpersonal. Asimismo, debe reverse y evaluarse periódicamente.”

El Dictamen con proyecto de Decreto por el que se expide la LFPDPPP explica también que “[l]asmedidas de seguridad no sólo deben referirse al funcionamiento de los sistemas de información enque se traten y almacenen datos de carácter personal -tales como la identificación y autenticación o elestablecimiento de bitácoras, también conocidos como “logs” de acceso a los datos, entre otras-, sinoque además deben necesariamente complementarse con medidas físicas y administrativas dentro dela organización que, por objeto, permitan el control de acceso físico a los centros de proceso de datoso la entrada y salida de los soportes en que puedan almacenarse datos de carácter personal y laformación de una cultura de seguridad integral.

Así, tanto la persona o entidad responsable como los encargados y terceros –estos últimos víacontractual- deben proteger los datos de carácter personal que sometan a tratamiento mediante laimplementación de medidas técnicas, físicas y organizativas que resulten idóneas para garantizar suintegridad, confidencialidad y disponibilidad.”137

137 Pág. 42.


68

Al momento de adoptar e implementar medidas de seguridad es necesario tomar en cuenta lossiguientes factores138:

Riesgo inherente al tipo de dato: Siendo relevante si se trata o no de datos sensibles oespecialmente protegidos.

Consecuencias para los titulares de una vulneración: Debiendo considerar el daño o impactopara el derecho a la protección de datos personales así como otros impactos reputacionalesy/o económicos para el titular de los datos personales.

Sensibilidad de los datos: Si son sensibles o especialmente protegidos o no. Desarrollo tecnológico: Por lo que hay que atender al avance constante de la tecnología así

como los riesgos cambiantes para los datos personales derivados de ataques informáticos.

Además de estos factores, siguiendo la normatividad mexicana en materia de protección de datos, laGuía del INAI también lista los siguientes elementos a considerar:

1. Número de titulares;2. Vulnerabilidades previas ocurridas en los sistemas de tratamiento;3. Riesgo por valor potencial cuantitativo y cualitativo por tratamiento no autorizado;4. Demás factores que pueden incidir en el riesgo que resulten de otra normativa aplicable.

En cuanto a las acciones a adoptar en materia de seguridad, el Reglamento de la LFPDPPP139 listaalgunas, correspondiendo al responsable en última instancia adoptar las necesarias en atención a losfactores y elementos ya indicados. Estas acciones son:

“I. Elaborar un inventario de datos personales y de los sistemas de tratamiento;

II. Determinar las funciones y obligaciones de las personas que traten datos personales;

III. Contar con un análisis de riesgos de datos personales que consiste en identificar peligros yestimar los riesgos a los datos personales;

IV. Establecer las medidas de seguridad aplicables a los datos personales e identificar aquéllasimplementadas de manera efectiva;

V. Realizar el análisis de brecha que consiste en la diferencia de las medidas de seguridadexistentes y aquéllas faltantes que resultan necesarias para la protección de los datospersonales;

VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes,derivadas del análisis de brecha;

VII. Llevar a cabo revisiones o auditorías;

138 La Guía del INAI hace referencia a estos factores, en virtud de la normatividad aplicable en México, en particular el Reglamento de laLFPDPPP.

139 Artículo 61.


69

VIII. Capacitar al personal que efectúe el tratamiento, y

IX. Realizar un registro de los medios de almacenamiento de los datos personales.”

Las medidas de seguridad deben revisarse o actualizarse, pudiendo utilizar como criterios al respectolos indicados por el Reglamento de la LFPDPPP en su artículo 62, que son los siguientes:

“I. Se modifiquen las medidas o procesos de seguridad para su mejora continua, derivado delas revisiones a la política de seguridad del responsable;

II. Se produzcan modificaciones sustanciales en el tratamiento que deriven en un cambio delnivel de riesgo;

III. Se vulneren los sistemas de tratamiento, de conformidad con lo dispuesto en el artículo 20de la Ley y 63 del presente Reglamento, o

IV. Exista una afectación a los datos personales distinta a las anteriores.”

Y en el caso de que los datos personales tratados sean sensibles, el citado artículo concluye indicandoque “los responsables procurarán revisar y, en su caso, actualizar las relaciones correspondientes unavez al año.”

— Violaciones o vulneraciones de seguridad

En relación con la seguridad hay que considerar también, de manera específica, las violaciones ovulneraciones de seguridad. Al respecto, el informe del CIJ de la OEA indica que:

“La incidencia creciente de intrusiones externas (“violaciones de los datos personales”),que consisten en el acceso no autorizado a datos protegidos, suscita preocupacionesrelacionadas con la privacidad y con el ámbito penal. En muchos países, entre los cuales secuentan Estados Miembros de la OEA, la notificación es obligatoria por ley en esos casos. Porconsiguiente, en caso de violación de los datos, los controladores de datos podrían tener laobligación legal de notificar a las personas cuyos datos hayan sido (o puedan haber sido)comprometidos.

Tales notificaciones permiten a las personas afectadas tomar medidas de protección yposiblemente tener acceso a los datos y pedir que se corrijan datos inexactos o el usoindebido de los datos como consecuencia de su violación. Las notificaciones también podríanofrecer incentivos a los controladores de datos para asumir la responsabilidad, examinar laspolíticas en materia de retención de datos y mejorar sus medidas de seguridad.”

En el caso de México, el artículo 20 de la LFPDPPP se refiere a las vulneraciones de seguridad,indicando que “[l]as vulneraciones de seguridad ocurridas en cualquier fase del tratamiento queafecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informadasde forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas


70

correspondientes a la defensa de sus derechos.” Dicho artículo ha sido desarrollado por los artículos63 a 66 del Reglamento de la LFPDPPP que, entre otras cuestiones, se refieren a la notificación, lainformación mínima a proporcionar al titular de los datos personales así como a las medidascorrectivas.

De producirse la vulneración, como indica la Guía del INAI “el responsable, en primer lugar, debeanalizar las causas por las cuales se presentó; y en segundo lugar, a efecto de evitar que lavulneración se repita”140.

En definitiva, conforme indica la Guía del INAI, las medidas de seguridad implican que “elresponsable tiene las siguientes obligaciones en torno al deber de seguridad:

“1. Establecer y mantener medidas de seguridad administrativas, físicas y técnicas;

2. No adoptar medidas de seguridad menores a aquéllas que mantengan para el manejo desu información;

3. Tomar en cuenta el riesgo inherente por tipo de dato personales; las posiblesconsecuencias para los titulares por una vulneración; la sensibilidad de los datos personalestratados y el desarrollo tecnológico;

4. Considerar las acciones que establece el artículo 61 del Reglamento de la LFPDPPP patala implementación y mantenimiento de las medidas de seguridad;

5. Actualizar las medidas de seguridad implementadas, cuando así se requiera, según loscriterios antes descritos;

6. Notificar a los titulares las vulneraciones de seguridad que se presenten, con lainformación y en el momento antes señalados;

7. Llevar a cabo las acciones correctivas que sean necesarias.”

140 Pág. 75.

Principios y deberes en materia de Protección de Datos ...

Documents

Transcript of Principios y deberes en materia de Protección de Datos ...