Mesa de trabajo 5. Diseño institucional del Órgano Garante en materia de protección

de datos personales.

Diseño normativo del Órgano Garante en materia de protección de datos personales y

esquemas de coordinación.

Luis Gustavo Parra Noriega

Evolución normativa a nivel federal de la Protección de los Datos Personales

Ley Federal de Transparencia y

Acceso a la Información

(2002)

Reformas arts. 6 (2007) 16 y 73 (2009) CPEUM

Ley Federal de Protección de

Datos Personales en Posesión de

Particulares (2010)

Sector público

Sector privado

ANTECEDENTES LEGISLATIVOSIniciativa de Ley de Ley Federal de Transparencia y Acceso a la InformaciónIniciativa presentada por el Ejecutivo Federal en 2001.

“…Como último principio, y como parte del objeto de la Ley, se señala la protección dedatos personales. Existe una clara relación entre el derecho de acceso a la informacióny la protección de datos personales, no porque se trate forzosamente de dosrealidades contrapuestas, sino porque la regulación de ambas debe sercomplementaria. En efecto, la publicidad de la información debe respetar el derechode privacidad que corresponde a los datos personales de cualquier individuo. Paralograr la correcta armonía entre uno y otro derecho, deben especificarse lo másposible sus alcances.

Existe la conciencia de que cada uno de estos derechos es de tal magnitud, querequeriría de una ley especial que regule su objeto y establezca su diseñoinstitucional, por esta razón y mientras no se expida una ley en materia de datospersonales, la iniciativa que se presenta incluye un capítulo específico relativo a estetema, en el que se recogen los principios fundamentales al respecto y que puedeservir de base para la legislación futura…”

Fuente: Gaceta Parlamentaria de la Cámara de Diputados año V, número 892, martes 4 de diciembre de 2001.

ANTECEDENTES LEGISLATIVOS

La Ley Federal de Transparencia y Acceso a la InformaciónPública de 2002 regula la protección de datos personales enposesión de autoridades públicas.

Se impulsaron las reformas Constitucionales en 2007 y 2009a los artículos 6º, 16 y 73.

La Ley Federal de Protección de Datos Personales enPosesión de Particulares fue publicada en el Diario Oficial dela Federación el 5 de julio de 2010, entró en vigor un díadespués y tiene efecto a partir de enero del año 2012.

A nivel local, la regulación jurídica de la protección de datospersonales, se encuentra en las Leyes locales deTransparencia y en algunas entidades federativas y en el D.F.existen de forma diferenciada leyes de protección de datos.

Reformas constitucionales en materia de protección de datos personales

La reforma al Artículo 6º fracción II, estableció comoparte de los principios en materia de acceso, que lainformación que se refiere a la vida privada y los datospersonales será protegida en los términos y con lasexcepciones que fijen las leyes.

Tuvo la virtud de ser la primera disposición en la historiade nuestro país que hace un reconocimiento expreso alderecho a la protección de datos personales en la cúspidenormativa, dando continuidad a la labor iniciada por ellegislador ordinario a través de la Ley Federal deTransparencia y Acceso a la Información PúblicaGubernamental.

Reformas constitucionales en materia de protección de datos personales

Reforma al Artículo 16 CPEUM.

Antecedente: Minuta proveniente del Senado, aprobada por la Cámara deDiputados.

Objetivo: Incorporar como una nueva garantía individual la protecciónde los datos personales.

Situación: Fue publicada en el D.O.F. el 1° de junio de 2009.

Texto vigente: Art. 16. …“Toda persona tiene derecho a la protección de sus datospersonales, al acceso, rectificación y cancelación de losmismos, así como a manifestar su oposición, en los términosque fije la ley, la cual establecerá los supuestos de excepcióna los principios que rijan el tratamiento de datos, porrazones de seguridad nacional, disposiciones de ordenpúblico, seguridad y salud públicas o para proteger losderechos de terceros.”

Reformas constitucionales en materia de protección de datos personales

Reforma al Artículo 73 CPEUM.Antecedente: Iniciativa presentada por el Dip. Luis Gustavo

Parra Noriega el día 27 de marzo de 2007.Objetivo: Facultar al Congreso para legislar en materia de

protección de datos personales en posesión departiculares.

Situación: Dictaminada favorablemente por el Congreso dela Unión y fue publicada por el Ejecutivo Federalen el D.O.F. el 30 de abril de 2009.

Texto vigente: Artículo 73. El Congreso tiene facultad:I. a XXIX-N. ...XXIX-O. Para legislar en materia de protección dedatos personales en posesión de particulares.XXX. ...

¿ Por qué una Ley Federal de Protección de Datos Personales para el sector privado?

Para unificar la tutela de un derecho fundamental en todo el

país, en cuanto a derechos, principios y procedimientos de

protección, evitando de esta manera su respeto asimétrico al

expedirse tantas leyes como entidades federativas tiene la

República mexicana.

El Estado Mexicano hacia el exterior es uno y como tal debe

contar con una legislación uniforme en sus relaciones

internacionales, independientemente del área del territorio

nacional donde materialmente se estén tratando los datos

personales.

ANTECEDENTES LEGISLATIVOS Al reformar el artículo 73 de nuestra Carta Magna, la idea fue sujetar

a los particulares a un régimen de protección de datos personales entodo el territorio nacional, dado que por virtud del artículo 6º, losciudadanos ya gozan de la protección a la información sobre su vidaprivada y datos personales contenidos en los archivos públicos.

Lo anterior se hace efectivo a través de leyes especiales en lamateria o de los capítulos sobre protección de datos que se incluyanen las leyes de transparencia y acceso a la información en los tresórdenes de gobierno.

De esa forma, la asignatura pendiente era emitir una ley paracompletar la protección que ya procura el sector público ahora alprivado, y en ese sentido, se considera que todos los particularesque traten datos personales deben estar sujetos a esta ley, conexcepción de las Sociedades de Información Crediticia.

INICIATIVAS PRESENTADAS DE LA LVIII A LA LX LEGISLATURA(Por orden cronológico)

Iniciativa Diputado (a) y Grupo Parlamentario

Autoridad propuesta TurnoLey Federal de Protecciónde Datos Personales,Gaceta: 11 de diciembre de2008

Dip. Adolfo Mota Sánchez

(PRI)

Secretaría de Economía Comisión de Gobernación con opiniónde Presupuesto y Cuenta Pública.La Comisión de Gobernación elaboró y aprobó un dictamen que quedó pendiente de pasar a Pleno.

Ley Federal de Protecciónde Datos Personales,Gaceta: 7 octubre 2008

Dip. Luis Gustavo Parra Noriega

(PAN)

Comisión Nacional de Protección de Datos

Personales

Comisión de Gobernación con opiniónde Presupuesto y Cuenta Pública.La Comisión de Gobernación elaboró yaprobó un dictamen que quedópendiente de pasar a Pleno.

Ley Federal de Protección deDatos Personales, Gaceta: 22 demarzo de 2006

Dip. Sheyla Aragón Cortés (PAN)

IFAI Comisión de Gobernación C. Diputados.

Ley Federal de Protección deDatos Personales, Gaceta: 23 defebrero de 2006

Dip. David Hernández Pérez (PRI)

IFAI Comisión de Gobernación de la Cámara de Diputados.

Ley Federal de Protección deDatos Personales, Gaceta: 1º dediciembre de 2005

Dip. Jesús Martínez Álvarez (CONVERGENCIA)

Instituto Federal deProtección de DatosPersonales.

Comisión de Gobernación de la Cámara de Diputados, actualmente en proceso de dictaminación.

Ley Federal de Protección deDatos Personales, Gaceta de laCámara de Senadores: 30 de abrilde 2002

Sen. Antonio García Torres (PRI)

Instituto Federal deProtección de DatosPersonales.

La Comisión de Gobernación de laCámara de Diputados emitió dictamennegativo, el cual fue aprobado el 14 dediciembre de 2005.

Ley Federal de Protección deDatos Personales, Gaceta: 7 deseptiembre de 2001

Dip. Miguel Barbosa Huerta (PRD)

Registro Nal. deProtección de Datosintegrado al INEGI

Comisiones Unidas de Gobernación ySeguridad Pública de la Cámara deDiputados.

ANTECEDENTES LEGISLATIVOS

Con fecha 4 de noviembre de 2008, Luis Gustavo ParraNoriega, Diputado Federal integrante del GrupoParlamentario del PAN, presentó iniciativa con proyecto deDecreto, por la que se expide la Ley de Protección de DatosPersonales en Posesión de Particulares:

Se establece como autoridad administrativa en lamateria, la Comisión Nacional de Protección de DatosPersonales con la naturaleza jurídica de un organismodescentralizado de la Administración Pública Federal, nosectorizado, dotado de personalidad jurídica y patrimoniopropio; contando con plena autonomía técnica y degestión, así como para dictar sus resoluciones.

ANTECEDENTES LEGISLATIVOS El 3 de marzo de 2009, la Comisión de Presupuesto y Cuenta

Pública, emitió opinión del impacto presupuestario de lainiciativa, considerando que la misma genera un impactopresupuestario en razón de que se propone la creación de unorganismo descentralizado de la Administración Pública Federalllamado “Comisión Nacional de Protección de Datos Personales”.

En la iniciativa se contempla la creación de una estructuraorgánica integrada por cuatro comisionados, un comisionadopresidente, una secretaría ejecutiva, una secretaría técnica delpleno, una secretaría de acuerdos y el titular del órgano internode control por lo que la Comisión mencionada, con base a en lavaloración realizada por el Centro de Estudios de las FinanzasPúblicas de la Cámara de Diputados, concluye que sí implica unimpacto presupuestario aproximado para el primer año de261.8 millones de pesos.

ANTECEDENTES LEGISLATIVOS Con fecha 11 de diciembre del año 2008, el Diputado

Federal Adolfo Mota Hernández, integrante del GrupoParlamentario del Partido Revolucionario Institucional (PRI),presentó iniciativa con proyecto de Decreto, por la que seexpide la Ley Federal de Protección de Datos Personales.

La Iniciativa de Dip. Mota, desde su construcción, buscóestablecerse dentro de lo que se ha denominado el modelohíbrido de regulación de los datos personales.

La iniciativa determinó la existencia de una Autoridadcentral que sea responsable del cumplimiento de la ley yque pueda establecer sanciones en la esfera administrativa.Esta autoridad estaría particularmente enfocada alcumplimiento de las obligaciones y Derechos ARCO.

ANTECEDENTES LEGISLATIVOS También en el diseño de la autoridad, se reconoce que en los tiempos

actuales la creación de organizaciones, si bien necesarias para elcumplimiento de la ley, deben buscar minimizar los costos del Estado.Por ello se buscó establecer la responsabilidad en un ente especializado,pero dependiente de una secretaría de Estado del Ejecutivo.

La elección de la Secretaría de Economía (SE) para que de ella sedesprenda la autoridad reguladora no es fortuita. La SE tiene entre susatribuciones y órganos desconcentrados o especializados la protecciónde otros derechos como el del consumidor por medio de la ProcuraduríaFederal del Consumidor (Profeco) o el de la protección de la propiedadindustrial por medio del Instituto Mexicano de la Propiedad Industrial(IMPI).

Se ha considerado que esta vocación de la SE de asegurar los derechosde los particulares y al mismo tiempo considerar las necesidades de laactividad industrial y comercial aseguraría el balance necesario entre laprotección de los particulares y la necesidad del mercado de utilizar losdatos para su operación comercial.

DECISIÓN FINAL: IFAIRazones en Dictamen

1. Ahorro de costos adicionales.

Se evitarían gastos e inversiones importantes que sobrevendrían con lacreación de una nueva autoridad en materia de protección de datospersonales. En su lugar, con una economía importante, se destinaríanlos recursos humanos, financieros y materiales estrictamentenecesarios para adecuar la estructura del IFAI, de modo que se adaptepara ejercer nuevas atribuciones en el ámbito del sectorprivado. Cálculo de la Comisión de Presupuesto y Cuenta Pública (261.8millones de pesos).

Pero no solo por razones de costos de creación institucional resultaconveniente que el IFAI asuma la aplicación e interpretación de estanueva pieza legislativa. En México, el IFAI está a cargo de la protecciónde datos en la Administración Pública Federal. La legislación mexicanareconoce el acceso y la protección de datos personales a través dederechos y principios reconocidos internacionalmente.

PRESUPUESTO IFAI 2012

Total: $479, 382, 497.00, que se distribuyó dela siguiente forma:

Protección de datos personales: $199,381,030.00

Acceso a la información: $246,191,458.00

Servicios personales de administración yÓrgano Interno de Control: $33,810,009.00

PRESUPUESTO IFAI Por el tema de Datos Personales, hubo un incremento real de

70.8% en el presupuesto aprobado al Instituto en el 2011 y de1.7% en el 2012, por la creación de 197 plazas adicionales deestructura para apoyar las actividades relacionadas con laprotección de datos.

El presupuesto del IFAI en el ejercicio fiscal 2013, ascendió a los518 millones 979 mil pesos, monto superior en un 14.9%respecto al Proyecto de Presupuesto de Egresos de la Federación2012.

De acuerdo con el Proyecto de Presupuesto de Egresos 2014, setienen contemplados 607 millones 689 mil 543 pesos para IFAI.

Razones…IFAI2. Unicidad de criterio.

Se evitarían conflictos potenciales entre los criterios de aperturade información y la protección de datos personales. Esto esimportante para garantizar al ciudadano seguridad y certezajurídicas en cuanto al alcance de dos derechos reconocidosconstitucionalmente.

En México se podrían dar casos donde el IFAI garantice lapublicidad del nombre de personas que reciben recursos públicos,mientras que el órgano encargado de la protección de datospersonales considere que esa información es confidencial. Loanterior representaría un retroceso en el terreno hasta ahoraganado por el derecho a saber y el principio de máxima publicidaden los actos de gobierno.

Asimismo, podrían presentarse asimetrías en el grado deobservancia de los principios de protección de datos personalesexigidos a los responsables de sistemas de datos en posesión delEstado, de aquellos en posesión de los particulares. Los problemasde unicidad de criterio se reflejan en el caso francés y portugués.

Razones…IFAI3. Curva de aprendizaje.

• En el caso del IFAI se aprovecharía la acumulación deconocimiento y especialización en materia de datospersonales, incluida la implementación de regulaciónsecundaria –lineamientos y recomendaciones-, soluciónde controversias para la tutela de derechos de acceso yrectificación, así como los que sobrevendrían decancelación y oposición (derechos ARCO).

• Supervisión del cumplimiento regulatorio, verificaciones,promoción de la cultura y capacitación en la sociedad, lasrelaciones institucionales nacionales e internacionales, lamembresía de grupos de trabajo ad-hoc, organizacionesinternacionales, y la participación en forosespecializados.

Razones…IFAI4. Autonomía

• Tal y como se pretendía en ambas iniciativas, para efectos de lacreación de un nuevo organismo, el IFAI reunía las característicasde un organismo descentralizado no sectorizado de laAdministración Pública Federal con autonomía técnica y degestión, así como con personalidad jurídica y patrimonio propios.

• Es reconocido como un órgano especializado e imparcial con unaclara autonomía presupuestaria, operativa y de decisión en eserespecto; su órgano máximo de decisión está integrado demanera colegiada -lo que se recomienda en este tipo deinstituciones- y es la autoridad suprema tanto para efectossustantivos –pleno- como administrativos -órgano de gobierno-,sin injerencia de una Junta de Gobierno integrada porrepresentantes de otras instancias dependientes del EjecutivoFederal.

Razones…IFAI5. Posicionamiento del tema en el entorno político ysocial.

El IFAI y contaba con un grado de conocimiento del públicosuperior al 54% de la población en pocos años de operación.

Con respecto a la percepción ciudadana sobre la confianza y lacalificación en sus instituciones públicas, el IFAI, a pesar de sucorta vida, ocupa un lugar comparable al del IFE y superior a laCNDH y la SEP.

Adicionalmente, se destacó que en los mismos años, el IFAI logróque el grado de conocimiento de la Ley de Transparenciaavanzara de un 22% a un 66% de la población.

Finalmente, buena parte de la población percibe al IFAI como elgarante y promotor de los derechos fundamentales de acceso ala información y de protección de los datos personales en laAdministración Pública Federal –Vg. expedientes médicos-, por loque no sería problema orientar esa percepción en materia deprotección de la privacidad en los entes privados.

Estructura del IFAI para la protección de datos personales.

Secretaría de Protección de

Datos Personales

Normatividad y Estudios

AutorregulaciónSustanciación y

sanciónVerificación

Actividades desarrolladas en 2013 por el IFAI en materia de PDP.

Proceso de reestructura del Instituto ycapacitación a los servidores públicos.

Apoyo en la elaboración del Aviso dePrivacidad de las empresas.

Difusión del derecho y la cultura de protecciónde datos personales.

Sanción a Empresas y Particulares de maneramás decidida.($33, 400,000.00 pesos duranteel año pasado)

Características Órganos Autónomos

De acuerdo con la SCJN los órganos constitucionales autónomos, tienen las siguientes características:

Surgen bajo una idea de equilibrio constitucional basada en los controles de poder.

Son una evolución de la teoría tradicional de la división de poderes dejándose de concebir la organización del Estado derivada de los tres tradicionales (Ejecutivo, Legislativo y Judicial).

Son parte de la distribución de funciones o competencias, para hacer más eficaz el desarrollo de las actividades del Estado.

Características Órganos Autónomos

Se les dota de garantías de actuación e independencia en su estructura orgánica, para que alcancen los fines para los que fueron creados.

Se constituyen para ejercer una función propia del Estado que por su especialización e importancia social requería autonomía de los clásicos poderes del Estado.

Su creación no altera o destruye la teoría tradicional de la división de poderes.

Que tengan autonomía e independencia no significa que no formen parte del Estado mexicano.

Su misión principal es atender necesidades torales tanto del Estado como de la sociedad en general.

CARACTERÍSTICAS DEL ORGANO GARANTE

La especialización supone que el órgano tenga como únicafunción la materia del derecho de acceso a la información y laprotección de los datos personales.

La independencia. Es un mandato claro que busca asegurar laimparcialidad de sus decisiones e impedir la subordinación –jurídica, orgánica o política– a cualquier otra autoridad en elámbito de su competencia.

Tres autonomías: operativa, de gestión y de decisión.

Integración colegiada, porque un diseño colegiado permiteuna mejor toma de decisiones, animada por un debate entrelos integrantes, y permite resistir de manera más efectiva lasineludibles presiones políticas a las que se ven sujetos estosórganos. Cuaderno 17 , Sergio López Aylón, IFAI

FUNCIONES DE LOS ÓRGANOS GARANTES

La regulatoria, relacionada con la expedición de los criterioso lineamientos que reglamentan los diversos aspectostécnicos de su ejercicio (por ejemplo, los criterios declasificación de información o los lineamientos para elarchivo de documentos).

La de supervisar el cabal cumplimiento de las leyes deacceso a la información por parte de los sujetos obligados.

La de promoción del ejercicio del derecho de acceso a lainformación.

La de proteger y promover la protección de datospersonales.

La de sanción, cuando se les otorgan facultades parasancionar a los servidores públicos que desobedezcan la ley.

CONCLUSIONES1. La legislación en materia de protección de datos personales

en nuestro país se encuentra en una etapa de construcción,aún y cuando ya se cuenta con regulación constitucional ylegal en el tema, la aplicación de la ley no es tarea fácil parala autoridad.

2. La tarea que tiene encomendada el IFAI está llena dedesafíos, su nuevo diseño institucional y como autoridadencargada de la protección de datos, la obliga a mantener unequilibrio entre dos derechos fundamentales: el de acceso ala información y el de protección de datos.

3. Transitorio Séptimo…En tanto se determina la instanciaresponsable encargada de atender los temas en materia deprotección de datos personales en posesión de particulares,el organismo garante que establece el artículo 6o. de estaConstitución ejercerá las atribuciones correspondientes.

CONCLUSIONES Es necesario reflexionar ¿qué conviene hacer?

¿Quitar las facultades al IFAI completas? O sólo de PDP enposesión de Particulares y crear una nueva autoridad o…

Dejar esas responsabilidades completas al IFAI en el contextode los nuevos retos que tiene.

Si se quitarán las facultades al IFAI se necesitaría un perfilinstitucional similar, es decir con las características propias deun órgano garante auténtico, lo que implica un nuevo órganoautónomo constitucional ¿Dispersión del poder público?¿Signo actual de la democracia? ¿Costos?

Mientras no se consolide la nueva etapa del IFAI seríaconveniente que mantenga las facultades de protección deDatos Personales en posesión de Entes Públicos y Privadoscon mayor fortaleza y énfasis en el tema.

Diseño normativo del Órgano Garante en materia de protección de

datos personales y esquemas de coordinación.

Luis Gustavo Parra Noriega@lgparranoriega