Situación actual en México:

Microsoft Confidential

LA PROTECCIÓN DE DATOS PERSONALES LA PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE PARTICULARES Y LAS EN POSESIÓN DE PARTICULARES Y LAS IMPLICACIONES EN EL COMERCIO, LA IMPLICACIONES EN EL COMERCIO, LA ECONOMÍA Y LA COMPETITIVIDAD. ECONOMÍA Y LA COMPETITIVIDAD.

Juan S. Mijares OrtegaJuan S. Mijares OrtegaDirector Jurídico y de Asuntos Corporativos Director Jurídico y de Asuntos Corporativos Microsoft MéxicoMicrosoft México

1


SituaciónSituación actual en México: actual en México:Contamos con un marco legal razonablemente

sólido en cuanto al manejo de datos personales en posesión del Estado (Ley de Transparencia, Lineamientos de Protección de Datos Personales, etc.).

Hay una regulación aceptable respecto del uso de datos personales en posesión de burós de crédito.

Sin embargo, falta un marco legal que regule el manejo de datos personales en posesión de particulares (sean individuos o empresas).

2


Diferencia esencial entre la regulación de los datos Diferencia esencial entre la regulación de los datos personales en poder del Estado y los que obtengan los personales en poder del Estado y los que obtengan los

particularesparticulares

La diferencia es simple: el sector público tiene datos personales de sus ciudadanos para que el Estado pueda cumplir con sus propios fines y con base en leyes que permitan esa recopilación de datos (contribuyentes, derechohabientes del IMSS, ISSSTE, votantes, usuarios de servicios públicos, etc.).

En cambio, los particulares tienen datos personales de sus clientes o consumidores, reales o potenciales; es decir, obtienen y usan esos datos con un fin esencialmente comercial, que puede incluir, válidamente, servicios de apoyo y/o soporte al usuario o consumidor.

3


Actualmente, los ciudadanos NO carecemos de una Actualmente, los ciudadanos NO carecemos de una vulnerabilidad legislativa absoluta respecto del uso, vulnerabilidad legislativa absoluta respecto del uso,

por particulares, de nuestros datos personales.por particulares, de nuestros datos personales.

Efectivamente, no estamos partiendo "de cero". Ya se han promulgado algunas leyes (o adiciones

a las mismas) que limitan, por ejemplo, el uso por parte de proveedores en una relación comercial, de los datos personales de sus consumidores para fines diferentes a los necesarios en el contexto de su relación comercial.

Pero se necesita hacer más.4


¿Qué falta? ¿Qué protección debe darse desde el ¿Qué falta? ¿Qué protección debe darse desde el punto de vista legislativo, a los datos personales punto de vista legislativo, a los datos personales

que tienen de nosotros los particulares?que tienen de nosotros los particulares?

Para este fin, hay dos premisas fundamentales:

1. Es aceptable que los particulares tengan y usen información de nosotros en el contexto de la relación comercial que tengamos con tales particulares.

2. Si dichos particulares piensan usar esa información personal para un fin distinto; o transmitirla a terceros, deben avisarnos y, en ciertos casos, necesariamente requieren obtener nuestro consentimiento previo.

5


Necesidad de una legislación diferenciada entre los datos Necesidad de una legislación diferenciada entre los datos personales en poder del Estado de los que lleguen a personales en poder del Estado de los que lleguen a

obtener los particulares. obtener los particulares. La diferencia parte del bien jurídico que en uno y en otro caso se debe

tutelar: los datos en poder del Estado, permiten que éste realice sus funciones como tal, mientras que los que recaban los particulares deben tender a permitir las transacciones comerciales, al tiempo que guardar la privacidad e intimidad de los individuos.

El principio regulatorio que rige a la protección de datos personales en posesión del Estado, por su naturaleza es preponderantemente RESTRICTIVO:

Los datos personales de los ciudadanos sólo pueden usarse para los fines públicos por el que el Estado los recibió.

Sólo por excepción, debidamente contemplada en las leyes respectivas, pueden ser usados para fines distintos o transmitidos a terceros.

6


Principio regulatorio que rige a la protección de Principio regulatorio que rige a la protección de datos personales datos personales en posesión de los particularesen posesión de los particulares..

El principio regulatorio que rige a la protección de datos personales que recaban los particulares, es preponderantemente FACULTATIVO:

Por regla general, los datos personales de los clientes, usuarios o consumidores de los particulares, pueden usarse en el contexto de una o más transacciones comerciales.

Sólo por excepción y cuando la naturaleza de la información sea especialmente delicada o sensible, su uso secundario o transmisión a terceros debe obtenerse, el consentimiento previo.

7


Justificación de la diferencia entre los principios Justificación de la diferencia entre los principios regulatorios que rigen a uno y otro sector.regulatorios que rigen a uno y otro sector.

El principio regulatorio es inverso: lo que es regla general en uno, es decir, con los particulares, es la excepción en el otro.

Esta diferencia radica en el uso: en el sector público los datos personales se obtienen para cumplir fines públicos.

Entre los particulares, los datos personales se recaban para potenciar la economía: es decir, para que más personas puedan acceder a bienes y servicios.

Fundamentalmente, esto deriva de nuestras garantías individuales y del principio de Derecho y de la Democracia, relativo a que el Estado sólo puede realizar lo que le está expresamente permitido, mientras que los particulares pueden hacer todas aquéllas actividades que no les están prohibidas.

8


Una legislación adecuada impacta positivamente en el Una legislación adecuada impacta positivamente en el comercio electrónico, en el fomento a la economía y en la comercio electrónico, en el fomento a la economía y en la

competitividad de México.competitividad de México.

No hay duda de que una buena legislación en la materia de protección de datos recabados por particulares beneficia no sólo al comercio electrónico, sino también al comercio en general. Facilita la realización de mayores actividades económicas y, por lo tanto, incide en una mayor la generación de empleos.

Por el contrario, una legislación con un enfoque que no atienda a este principio de eficiencia económica, desde luego impactaría negativamente al comercio y los empleos y a la competitividad nacional.

9


Principios internacionales reconocidos.Principios internacionales reconocidos.

Destacan los de la OCDE (1980 OECD Guidelines) y la APEC (Privacy Framework). Para simplificar, me referiré al "ICC Privacy Toolkit", de la Cámara Internacional de Comercio (ICC, con sede en París), que resume a las mejores prácticas de regulación en materia de privacidad de datos con base en los principios de OCDE y APEC.

De acuerdo con el ICC Privacy Toolkit, las funciones básicas de la protección de datos personales son:

Identificar los diferentes tipos de datos personales. Educar a los usuarios y consumidores sobre la forma de proteger su

información, de una forma co-responsable. Implementar los mecanismos legales de protección de datos

personales, mediante regulación (y permitir la auto-regulación). Ejecutar las disposiciones legales.

10


ICC Privacy Toolkit-PrincipiosICC Privacy Toolkit-PrincipiosA) Lawful and Fair Collection (Obtención Legal y

Transparente). La obtención de datos personales debe hacerse de forma clara y transparente.

B) Data Quality (Tipo de Datos). Los datos personales que obtienen los particulares deben ser los necesarios para su actividad comercial, ni más ni menos, y deben mantenerlos íntegros y actualizados.

C) Purpose Specification (Descripción del Uso). Los particulares deben avisar a los titulares de la información personal, para qué será usada dicha información, incluyendo si puede usarse para otros propósitos.

11


ICC Privacy Toolkit-PrincipiosICC Privacy Toolkit-PrincipiosD) Use Limitation (Limitaciones a su Uso). Si existe una

limitación legal para usar la información para otros propósitos, los particulares no deben usarla o enajenarla (esto es aplicable particularmente para el caso de información sensible).

E) Security (Seguridad). Los particulares deben tener mecanismos razonables de protección y seguridad técnica sobre sus bases de datos, que permita preservar su integridad y uso adecuado (y confidencialidad, en su caso).

F) Openness (Transparencia). Los particulares deben tener y ejecutar una política clara y transparente respecto de la privacidad de los datos personales que obtienen de terceros.

12


ICC Privacy Toolkit-PrincipiosICC Privacy Toolkit-Principios

G) Right of Access (Acceso). Las personas cuya información personal está en poder de otros particulares, deben tener derecho a acceder a ella y hacer correcciones, en su caso.

H) Accountability (Responsabilidad Exigible).- Todo particular que tenga información personal de terceros tiene que ser responsable por el cumplimiento de los principios indicados, según consten en la legislación que le aplique.

13


Algunas recomendaciones de ICCAlgunas recomendaciones de ICC Para el sector privado: Promover esquemas de autorregulación, tales

como Códigos de Conducta y/o Códigos de Mejores Prácticas Corporativas.

Para los gobiernos: Adoptar un marco legislativo de protección de datos personales en cumplimiento estricto a las 1980 OECD Guidelines, a los lineamientos de APEC y, evidentemente, de ICC.

Evitar leyes, disposiciones y prácticas que obstaculicen el flujo transfronterizo de datos.

Evitar instancias burocráticas que limiten, controlen y quiten eficiencia a las actividades vinculadas con el comercio electrónico y el uso legal de datos personales. Esos procedimientos incluyen registros, restricciones innecesarios a la transmisión de datos no sensibles datos.

Promover programas de educación de corresponsabilidad de protección de la información personal.

14


En síntesis:En síntesis:La protección de datos personales debe ser suficiente,

pero no excesiva, de tal forma que se cumplan con los requisitos establecidos por nuestros principales socios comerciales: los del TLCAN y, también, aunque tienen una perspectiva diferente, los de la Unión Europea.

No es con burocracia y/o trámites como se resuelve la protección de datos personales en poder de privados.

Hay unos principios comúnmente aceptados, que nuestra legislación debe permitir y proteger:

La protección de datos es una materia local, de cada país; El flujo de datos es global; y Las obligaciones de protección y el honrar esas obligaciones

es universal.

15


© 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after

the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

16

Gracias.

Situación actual en México:

Documents

Transcript of Situación actual en México: