Bienvenidos | Welcome | Bem-vindos

Querid@ internauta,

Quiero aprovechar para darte la bienvenida a la página web del Observatorio Iberoamericano de Protección de Datos, una iniciativa personal sin ánimo de lucro, que vengo desarrollando de enero de 2013. Te animo a seguirla desde las principales redes sociales (Facebook, Google+, Instagram, LinkedIn, Twitter y YouTube).

La web nace como un foro de encuentro, donde poder compartir experiencias e ideas en el ámbito de la privacidad y la protección de datos, sobre las diferentes normativas iberoamericanas y su aplicación; siendo su finalidad extender la cultura de la privacidad en los distintos países, favoreciendo el conocimiento de la legislación y jurisprudencia existente al respecto, los derechos y las acciones que les asisten a sus ciudadanos, promoviendo un clima de seguridad jurídica en el tratamiento de los datos de carácter personal.

En un momento crucial, en el que se están produciendo avances normativos en el ámbito internacional de la privacidad, la protección de datos y la regulación del habeas data, los ciudadanos, entidades e instituciones deben conocer sus derechos y obligaciones para una correcta protección de los derechos fundamentales.

Las diferentes regulaciones deben ahondar en una unificación de criterios de los diferentes países iberoamericanos, y debe completarse con medios e instrumentos en aras a una defensa de los derechos, así como un sistema educativo que forme a las personas desde su mas tierna infancia hasta su senectud, las personas deben conocer el tratamiento de sus datos, los actores intervinientes y la seguridad de los medios donde los facilitan, la protección de datos debe empezar por uno mismo.

Como decía un colaborador de esta iniciativa, el Observatorio nace en el contexto de un mundo digitalizado y “gobernado” por las TIC (Tecnologías de la información y comunicación). Esta era digital en donde se intercambia y comparte información con un solo clic, logrando así conectar al mundo entero, requiere de un gran esfuerzo para resaltar la importancia de derechos fundamentales para el ser humano, como son la intimidad y la privacidad. Así, el Observatorio nos propone poder cumplir una de las máximas obligatorias que deben seguir quienes trabajan en la protección de los datos personales, esto es: pensar globalmente y actuar localmente. Lo que es lo mismo, crear una comunidad internacional de profesionales que estén trabajando en el tema, para compartir experiencias, situaciones e ideas, para luego poder aplicar lo aprendido a nivel local.

Espero que los contenidos que encuentres en la web sean de tu interés, que entre todos podamos aportar nuestro granito en la mejora y adaptación del ámbito legal a las nuevas tecnologías y a las necesidades de una sociedad que se encuentra en constante modernización, que garantice la privacidad de las personas, los derechos al honor y a la intimidad, sobre la base de unas medidas de seguridad técnicas y jurídicas, en aras a una mayor protección de las personas y sus datos.

No quisiera terminar sin enumerar una serie de agradecimientos y reconocimientos hacia las personas que me apoyan en esta aventura, me impulsan y la hacen posible. Mi primer pensamiento en la lista de agradecimientos, es para la persona que cada día con su cariño y amor me acompaña. Ella es mi inspiración y mi fuerza en los momentos difíciles, quien me da la constancia y el apoyo cada día. Por eso, el trabajo realizado en esta web va dedicado a Martha, mi gran amor.

Desde que entraste en mi vida, llenas cada minuto de mis días con tu alegría, con tu ilusión y con tu amor, no puedo entenderme sin ti. Éste, igual que otros proyectos, no tendrían sentido sin tu apoyo.

En segundo lugar mi agradecimiento es para a mis padres, hermana, familia y amigos, quienes siempre me han arropado en cada decisión y proyecto que he iniciado, mi gratitud por su apoyo incondicional.

Al Profesor Emilio Suñé Llinás, el culpable, cariñosamente hablando, de que hoy me dedique a esta rama del derecho. El supo ilusionarme con ésta disciplina jurídica, en ocasiones desconocida, guiando mis pasos académicos y compartiendo sus enseñanzas.

Quisiera agradecer, a todas aquellas personas que día a día están colaborando en la página web desde los distintos países iberoamericanos. Por sus artículos, mensajes y aportaciones, es mucho lo que aprendo de su practica y visiones jurídicas, por la ilusión con la que han acogido el proyecto, sin ellos este proyecto sería complicado de llevar a cabo.

Por último mi agradecimiento al lector, al usuario de la web, que acudes a ella, como referencia en el ámbito jurídico en materia de privacidad, protección de datos y habeas data. Por confiar en los artículos que se muestran, por los comentarios y divulgar sus contenidos.

firma_dlopcar

.

.

Daniel A. López Carballo
Madrid, 19 de enero de 2013

Se dio de baja blog que incitaba a la violencia de género: cazador legal

Por Flavia Goldcher y María Julia Giorgelli*

 

Hace pocos días, desde el Observatorio de Derechos de Internet (ODEI) y el Centro de Protección de Datos Personales (CPDP) de la Defensoría del Pueblo de la Ciudad de Buenos Aires se trabajó en la eliminación de imágenes y comentarios que incitaban a la violencia de género. Se trata del Blog https://cazadorlegal.blogspot.com, caso que fue derivado por otras áreas del Gobierno local a partir de la denuncia de alguna organización feminista. El sitio se encontraba activo desde el año 2014 y estaba creado vía blogger,  funcionaba bajo el lema “Esa que te gusta mirar en la calle, acá, la “cazo” para compartirla”, se suben imágenes y videos de colas de mujeres jóvenes que circulan en las calles de Buenos Aires, conducta que configura violencia de género digital.

La actividad desarrollada por este blog infringe varias normativas que rigen en el ámbito local y  nacional de nuestro País en materia de datos personales, derecho a la privacidad y la intimidad, ejerciéndose un tratamiento ilícito de la imagen de las mujeres, al exhibirse fotos y/o videos de mujeres determinables sin su consentimiento.

La difusión de esta clase de imágenes incumple lo establecido por el Código Civil y Comercial Nacional Argentino respecto a la inviolabilidad de la persona humana y el respeto a la dignidad humana.

En este orden de ideas, al publicarse imágenes de niñas y adolescentes (menores de edad), sin su consentimiento ni el de sus progenitores, se estaría afectando el derecho a su propia imagen, dignidad y  reputación.

Lo cierto es que estas publicaciones configuran violencia simbólica contra las mujeres cuyas partes de sus cuerpos son subidos al blog, debido a que se difunden posteos de colas de mujeres que responden a un modelo imperante de belleza que pretende imponer el mercado dominante.

El Blog “Cazador legal” fue creado vía blogger, cuya plataforma y servicio es proporcionado por Google, razón por la cual, en un primer momento se denunció el mismo ante esa plataforma. Los motivos seleccionados fueron dos: imágenes explicitas y acoso. Sin embargo en ambos casos la respuesta de la empresa fue que el blog no violaba las políticas por ellos establecidas. Por ello, desde el CPDP se envió un oficio a Google Argentina que fue notificado el 8 de octubre pasado el que aún se encuentra pendiente de respuesta. Vale destacar que  el formulario prestablecido proporcionado por la empresa no permite aportar fundamentos ni nuevas razones que motiven el pedido de baja del blog denunciado.

No obstante lo cual, contactando al responsable del blog e informándole las normativas que se encontraba infringiendo, se logró finalmente desactivar el mismo, y así cesar con esta conducta de acoso y violencia hacia las mujeres.

Vale subrayar que el CPDP en su carácter de órgano de control de la Ciudad de Buenos Aires considera que “tanto en el mundo virtual como en el real debe cumplirse la normativa vigente, porque el derecho a la intimidad también está vigente en Internet que debe funcionar como un ecosistema donde se ponderen los derechos de todos”.

El CPDP ya había intervenido en casos similares, se trataba de publicaciones sin autorización  como el de proyecto “Chicas Bondis” https://www.clarin.com/internet/Dictamen-Chicas-Bondi_0_HJi7P5tovmx.html y el de blog “Patentes y Travestis” http://travestispatentes.blogspot.com . En ambos casos se exponen imágenes de grupos desaventajados sin autorización de sus titulares y lo peor reproduciendo estigmas.

En conclusión,  es dable destacar que a partir de la intervención del Centro de Datos Personales de la Defensoría del Pueblo de la Ciudad de Buenos Aires, se logró dar la baja de este portal cuya actividad resultaba contraria a la normativa vigente en materia de protección de datos personales y constituía violencia de género digital.

* Además de las firmantes, el equipo del ODEI y CPDP está conformado por el Dr. Javier Raimo, el Dr. Ramiro de la Peña todos bajo la dirección del Lic. Luis Eduardo Peduto Pardo

Para más información consultar:

La Infanta y su derecho (o no) al olvido

Por Laura Vivet Tañà

La sentencia del caso Nóos ha avivado recientemente el debate sobre el derecho al olvido ya que, la Infanta Cristina se habría planteado recurrir al Tribunal Supremo la decisión de la Audiencia de Palma de haberla juzgado, pues finalmente ha sido absuelta de los dos delitos fiscales. Una de las principales consecuencias del recurso habría sido la posibilidad de poder ejercitar el derecho al olvido ante las publicaciones online donde aparecía sentada en el banquillo de los acusados y de este modo, tratar de limpiar su reputación.

Si bien, parece que la infanta ha cambiado de opinión por motivos personales lo cierto es que, desde un punto de vista legal y efectivo, el resultado de dicha acción muy probablemente hubiera sido infructuoso y contraproducente, pues la infanta y su marido son personajes que desempeñan un papel en la vida pública, y esta información por su actualidad y repercusión, sin duda es de interés público.

El Tribunal de Justicia de la Unión Europea (TJUE) en su icónica sentencia de 13 Mayo 2014 protagonizada por Mario Costeja y el gigante de Internet Google concluyó que, en virtud de la Directiva 95/46/CE (arts. 12 b y 14 a) y la Carta de Derechos Fundamentales de la Unión Europea (arts. 7 y 8) los usuarios tienen derecho a solicitar a los motores de búsqueda, la eliminación de enlaces a páginas web que aparecen en una lista de resultados, cuando éstos se han obtenido tras una búsqueda a partir de su nombre.

Este derecho es especialmente relevante cuando se pretenden eliminar enlaces a publicaciones lícitas de esta lista de resultados, cuyo contenido no se puede suprimir del sitio principal debido a que por ejemplo, se trata de publicaciones que obedecen a una ley, como el Boletín Oficial del Estado, o cuando se amparan en el derecho a la libertad de expresión e información, como es el caso de los rotativos.

De este modo, aunque el contenido no se haya eliminado por parte del editor de la página web de origen, ésta ya no aparecerá en la lista de resultados vinculados al nombre de una persona, cuando tecleemos su nombre en el buscador.

No obstante, el TJUE estableció expresamente ciertos límites en su interpretación del derecho al olvido, de conformidad con las excepciones que ya establece la propia Directiva. No se trata de un derecho absoluto, su ejercicio se ha de fundamentar en que se trate de información inexacta, inadecuada, no pertinente o excesiva en relación con los fines del tratamiento, o de que se conserven durante un periodo superior al necesario. Y establece que, incluso un tratamiento inicialmente lícito de datos exactos puede devenir, con el tiempo, incompatible con la Directiva, cuando estos datos ya no sean necesarios en relación con los fines para los que se recogieron o trataron, tal como ocurrió en el caso de Costeja. En este procedimiento, el Tribunal entendió que los vínculos a las dos páginas de internet del rotativo que aparecían al teclear su nombre en el buscador, relativos a un embargo por deudas a la Seguridad Social, eran de carácter sensible y debido a que su publicación inicial se remontaba 16 años atrás, no existían en la actualidad razones concretas que justificaran el interés preponderante del público en tener acceso a esta información.

Por tanto, según indica el TJUE, en cada situación será necesario buscar el justo equilibrio entre el interés público en acceder a la información y la protección de la vida privada de las personas, y este equilibrio dependerá de la naturaleza de la información, de su carácter sensible para la vida privada y del interés del público en disponer de esta información, que podrá variar justamente en función del papel que esta persona desempeñe en la vida pública.

Consecuentemente, el derecho al olvido no se aplica de la misma forma a las personas que ejercen un papel en la vida pública. Esta diferenciación también la encontramos en Ley Orgánica 1/1982, de 5 Mayo sobre el derecho al honor, a la intimidad personal y familiar y a la propia imagen, dirigida especialmente a proteger la imagen y buen nombre de una persona. Esta ley establece que el derecho a la propia imagen no impedirá su captación, reproducción o publicación por cualquier medio, cuando se trate de personas que ejerzan un cargo público o una profesión de notoriedad o proyección pública, y la imagen se capte durante un acto público o en lugares abiertos al público, ni tampoco cuando predomine un interés histórico, científico o cultural relevante.

En el caso de la infanta, la gravedad y actualidad de los hechos no puede ser más trascendente para la opinión pública teniendo en cuenta que, a pesar de quedar absuelta de los delitos fiscales, se le atribuye una participación a título lucrativo por la que ha tenido que abonar una importante suma, siendo su marido finalmente condenado a seis años y tres meses de prisión.

Incluso con el paso del tiempo, hay fuertes argumentos para no reconocer el derecho al olvido de la infanta en relación al caso Nóos y su paso por los juzgados, pues es un dato que incluso podría tener connotaciones históricas, se trata de un personaje público relevante y las imágenes fueron captadas con su conocimiento y en lugares públicos.

En este contexto, el inicio de una acción judicial en defensa del derecho al olvido, más bien podría tener un efecto Streisand, que es lo que ocurre cuando un intento de ocultamiento de cierta información no solo fracasa, sino que es incluso perjudicial, ya que acaba recibiendo mayor publicidad de la que habría tenido de no hacer nada.

Artículo publicado en La Vanguardia el Martes 28 de Marzo del 2017.

Reforma a la ley de protección de datos en Chile: un buen proyecto con un mal presagio

Por Carlos Reusser Monsálvez

Probablemente esta columna será más larga de lo habitual, pero es que el asunto a tratar no es baladí: de hecho podría constituirse en uno de los más significativos avances en derechos fundamentales de nuestra actual democracia.

El pasado 13 de marzo de 2017 la Presidente Bachelet, en un acto público realizado en el salón Montt–Varas del Palacio de la Moneda, firmó el proyecto de ley (Boletín 11.144) que reforma en su totalidad la Ley N° 19.628, llamada de protección de la vida privada (no crea que le protege de algo), generando un cúmulo de expectativas y alcances que hay que explicar.

Esta es una reforma largamente esperada, pues actualmente el Estado mantiene a su población desprotegida contra los abusos del tratamiento de datos personales, lo que repercute diariamente, entre otras cosas, en limitaciones al acceso al mercado del trabajo, al crédito, a la salud, a la educación y, en general, a todos los derechos fundamentales.

¿Por qué?. Porque gracias al tratamiento indiscriminado y abusivo de los datos “alguien”, cree saber algo de ti, y toma decisiones que te afectan en tu vida diaria. Nunca conocerás qué es lo que cree saber ni sabrás en base a qué información toma su decisión, pero tu vida se verá inexorablemente perjudicada y hoy no tienes a quien recurrir, o a veces ni siquiera contra quién recurrir.

Lo anterior, en parte muy significativa del planeta está prohibido y existen estándares internacionales mínimos para proteger a la gente, de forma que la información que circule en la sociedad sea de calidad y que existan garantías de que ella solo se difunde en las condiciones establecidas por la ley o las permitidas por la propia persona.

Ahora, el proyecto de ley en comento es, de hecho, muy bueno. ¿Y por qué lo es?. Porque recoge en parte importante el diálogo que se suscitó a comienzos del Gobierno de la Presidente Bachelet entre la banca, las compañías de seguros, las Universidades, el retail financiero, las organizaciones de la sociedad civil y los organismos de Gobierno y que concluyeron en una propuesta de proyecto de ley que aunaba los criterios a aplicar de forma tal que fuera compatible con los estándares de la Unión Europea (que estamos obligados a cumplir por el Acuerdo de Asociación Chile – Unión Europea de 2002) y con las exigencias de la OCDE (selecto club al que creemos pertenecer).

Entonces el proyecto firmado por la Presidente es un buen proyecto porque el que se hizo hace dos años y medio atrás, también lo era: ahora el Ministerio de Hacienda le ha cambiado el envase, un par de cosas y lo ha presentado a la firma de la Presidente.

Pero como en Chile la República se refunda cada vez que hay elección presidencial, lo más probable es que si no ha concluido su tramitación antes de marzo de 2018, el nuevo Gobierno que asuma lo retire o le formule indicaciones hasta hacerlo irreconocible. Como dije, es un buen proyecto, pero como lo presenta un Gobierno que se muere y tampoco le asigna ninguna urgencia, en los hechos compromete seriamente su éxito.

Ahora, sería injusto no reconocer alguno de sus méritos: como el proyecto se ha retrasado tanto (injustificadamente), han tenido tiempo de insertar algunas novedades que aparecieron en la discusión del nuevo reglamento de protección de datos de la Unión Europea que entrará a regir el 2018, lo que es bueno, pero también podrían haberlo hecho mientras se tramitaba en el Congreso.

Entonces, sin más dilación y haciendo una simplificación grosera que espero el lector sepa excusar en aras del no aburrimiento, podemos sintetizar contando…

LO BUENO

  1. Se crea una Autoridad de naturaleza administrativa, la Agencia de Protección de Datos, encargada de velar por el respeto a la protección de los datos de las personas naturales tanto en el ámbito público como en el privado, de forma tal que la gente vulnerada en sus derechos pueda acudir directamente a ella solicitando protección.
  2. Se establecen sanciones económicas fuertes e incluso una especie de prohibición de funcionar (todo graduable según la gravedad del caso, asi como la reincidencia en las malas prácticas) para quienes vulneren los principios y normas del derecho a la protección de datos personales.
  3. Se establece la obligación de informar, por parte de quien realiza el tratamiento de datos a los titulares de los mismos (o sea, a nosotros), en ciertos casos en que el primero sea víctima de actos que hayan comprometido la seguridad de los datos (data breach notification). En el fondo es algo así como “Señor X, nuestra seguridad ha sido vulnerada y han extraído los datos personales que le conciernen. Tome las providencias necesarias pues existe un alto riesgo de…”.
  4. Se fortalece enormemente lo que es la protección de los datos de los niños y adolescentes bastante en línea con el reglamento europeo.
  5. En general se ajustan todos los conceptos, principios, directrices y derechos específicos a la forma en que se entienden en la Europa de hoy, quienes son los innegables líderes en la materia, de forma tal que ya tendríamos un lenguaje común y existen grandes posibilidades de que se reconozca a Chile como un país con un nivel adecuado de protección de datos y, por ende, que los datos de ciudadanos otros países puedan ser enviados al nuestro por considerársele “seguro”.
  6. A partir de la aprobación de la ley estaremos en condiciones de generar todo un mercado de servicios relacionados con datos, como son las empresas de certificación de datos personales, auditoras y aseguradoras de datos, así como también el reforzamiento de las empresas y entidades que se ocupan de la seguridad de la información y de quienes prestan servicios de custodia de datos para terceros países, como los servicios de Cloud Computing.

LO MALO

  1. Se insiste en conservar una idea que ya era anticuada cuando se estableció la ley, esto es, que ella tiene el “propósito de asegurar el respeto y protección de los derechos y libertades de quienes son titulares de estos datos, en particular, el derecho a la vida privada”.
    Eso es falso pues, en realidad, lo que se protege es la autodeterminación informativa (el derecho de cada uno a determinar que se hace con los propios datos) o, si se quiere, el derecho a la protección de datos personales, independientemente de si afectan la vida privada o no.

Lo explico: si se difunde que en un trabajo anterior estabas afiliado al sindicato de la empresa, ¿te van a emplear en un trabajo nuevo?. Existe la probabilidad de que no, por el riesgo de que a ojos del empleador seas “conflictivo”. La afiliación a un sindicato, ¿es parte de tu vida privada?. No, la pertenencia a organizaciones de trabajadores o incluso a partidos políticos no es privada ni debe serlo, y en este caso se vulnera el derecho al trabajo, pero no el derecho a la vida privada.

¿Y si demandaste a quién te alquilaba una vivienda por la mala calidad de ésta y figura ese hecho en una base de datos disponible para los arrendadores?. Un nuevo arrendador, ¿querrá contratar contigo?. Complejo. Ahora, el hecho de demandar a alguien, ¿es un dato de la vida privada?. Para nada: desde el inicio del procedimiento hasta la sentencia es mantenida en registros abiertos al público. Y si nadie te arrienda un lugar donde vivir por lo que creen saber de tí, lo vulnerado es el derecho a la vivienda, no el derecho a la vida privada.

En conclusión, no tiene sentido insistir con lo de la vida privada si la ley no tiene una relación necesaria con ella.

  1. A la cabeza de la Agencia de Protección de Datos se ha puesto la figura de un Director, pero este en el proyecto de ley carece de la necesaria autonomía e independencia para tomar decisiones. Si al Presidente de la República no le gustan sus criterios o decisiones (o a algún Ministro), ya sea porque afecta los intereses de una repartición pública (en desmedro de los ciudadanos) o los suyos particulares o los de sus redes de contacto (en América Latina se han vuelto populares los Presidentes empresarios), sencillamente se puede defenestrar al Director de la Agencia o no renovar su nombramiento.

En ese contexto, ¿qué independencia puede tener un Director sujeto a la sensibilidad de la epidermis de la autoridad política de turno o que ve amenazada la renovación de su cargo por lo que está haciendo por los ciudadanos?. Sus opciones se reducen a hacer lo menos posible o derechamente postrarse de rodillas ante el poder político.
La inamovilidad del cargo por un periodo fijo de tiempo es un requisito fundamental para la independencia de la Agencia en la defensa de los derechos de las personas sobre sus propios datos y es un factor crítico de éxito.

  1. El proyecto contiene una asimetría grave e insoportable entre el sector público y el privado en perjuicio de la efectividad de los derechos de las personas. Ello se traduce en que si un privado vulnera tus derechos en materia de protección de datos, puedes recurrir a la Agencia para pedir que se haga cargo del asunto y restablezca tus derechos. Pero si quien vulnera los derechos de las personas es un organismo público, entonces tienes que tener el dinero suficiente para pagar a un abogado y someter el asunto a las ritualidades propias de un juicio, deduciendo un reclamo de ilegalidad ante las Cortes de Apelaciones del país, que ya tienen una carga de trabajo generosa en el día a día.

¿Razones para ello?. La verdad es que nada justifica esta asimetría y, en la práctica, es poner a los ciudadanos de clase media y a los más pobres una barrera de acceso a la protección efectiva de sus derechos: la generalidad de la gente tiene dinero para vivir, pero no el suficiente como para sobrellevar los costos de un juicio, por lo que tienden a aceptar lo que no deberían.

  1. Este proyecto versa sobre protección de derechos fundamentales; en consecuencia es una iniciativa que debería estar a cargo del Ministerio de Justicia o del Ministerio Secretaría General de Gobierno, pero no del Ministerio de Hacienda, que tiene otros roles y fines.
    Tal vez este hecho es un ejemplo de lo mal entendido que está todo este asunto, y que incide, entre otras cosas, en la reiterada obstaculización al avance del mismo basada en una visión economicista y sesgada de lo que significa el derecho fundamental a la protección de datos, lo que se traduce en ciertos errores conceptuales e incluso en materia de principios que deben corregirse.

Finalmente cabe mencionar que el proyecto fue ingresado a la Comisión de Constitución, Legislación, Justicia y Reglamento del Senado de la República, presidida por el senador Felipe Harboe, y dicha comisión aprobó refundir el proyecto del Gobierno con una moción parlamentaria presentada por el propio Harboe y otros senadores (Boletín 11.092-07), lo que no ayuda en nada al buen y pronto desenlace de esta iniciativa legislativa, sino que lo hace más inmanejable.

Por lo pronto solo cabe reiterar que el proyecto del Gobierno es un buen proyecto y que todos los interesados deberíamos apoyar su avance en el Congreso Nacional, promoviendo las correcciones necesarias y estando muy atentos a sus avances y detenciones pues, como ya les dije en el título, los tiempos para aprobar la ley son la principal debilidad del proyecto, particularmente cuando no se le ha asignado urgencia alguna, lo que abre las puertas al fracaso.

Las «Buenas prácticas» en materia de protección de datos y derecho a la propia imagen en México

Por Noé Adolfo Riande Juárez

1. Contexto

a) Colisión de Derechos

Existe una colisión de derechos fundamentales: los artículos 6° y 7° constitucionales, así como el artículo 4° de la Ley General de Transparencia y Acceso a la Información Pública, establecen condiciones que garantizan el ejercicio del derecho de toda persona a tener acceso a la información, así como a comunicar por cualquier medio sus ideas y opiniones, pero bajo la responsabilidad de proteger y respetar el ámbito de los datos personales.

Constitución Política de los Estados Unidos Mexicanos.[1]

Artículo 6o. La manifestación de las ideas no será objeto de ninguna inquisición judicial o administrativa, sino en el caso de que ataque a la moral, la vida privada o los derechos de terceros, provoque algún delito, o perturbe el orden público; el derecho de réplica será ejercido en los términos dispuestos por la ley. El derecho a la información será garantizado por el Estado.

Párrafo reformado DOF 13-11-2007, 11-06-2013

Toda persona tiene derecho al libre acceso a información plural y oportuna, así como a buscar, recibir y DIFUNDIR INFORMACIÓN e ideas de toda índole por cualquier medio de expresión.

Párrafo adicionado DOF 11-06-2013

[…]

Para efectos de lo dispuesto en el presente artículo se observará lo siguiente:

  1. Para el ejercicio del derecho de acceso a la información, la Federación y las entidades federativas, en el ámbito de sus respectivas competencias, se regirán por los siguientes principios y bases:

Párrafo reformado (para quedar como apartado A) DOF 11-06-2013. Reformado DOF 29-01-2016

  1. Toda la información en posesión de cualquier autoridad, (…) es pública y sólo podrá ser reservada temporalmente por razones de interés público y seguridad nacional, en los términos que fijen las leyes. (…).

Fracción reformada DOF 07-02-2014

  1. La información que se refiere a la VIDA PRIVADA y los DATOS PERSONALES será protegida en los términos y con las excepciones que fijen las leyes.

III.   Toda persona, sin necesidad de acreditar interés alguno o justificar su utilización, tendrá acceso gratuito a la información pública, a sus DATOS personales o a la rectificación de éstos.

[…]

Ley General de Transparencia y Acceso a la Información.[2]

Artículo 4. El derecho humano de acceso a la información comprende solicitar, investigar, difundir, buscar y recibir información.

Toda la información generada, obtenida, adquirida, transformada o en posesión de los sujetos obligados es pública y accesible a cualquier persona en los términos y condiciones que se establezcan en la presente Ley, en los tratados internacionales de los que el Estado mexicano sea parte, la Ley Federal, las leyes de las Entidades Federativas y la normatividad aplicable en sus respectivas competencias; (…).

Pero cuando la Corte Interamericana de Derechos Humanos se pronuncia diciendo que:

“… es fundamental que los periodistas… gocen de la protección y de la independencia necesarias para realizar sus funciones, ya que son ellos quienes mantienen informada a la sociedad, requisito indispensable para que ésta goce de una plena libertad”[3]

… se actualiza una permanente tensión que conduce al debate sobre la interpretación de derechos fundamentales, y al papel que juega la ponderación en la práctica de los tribunales constitucionales.

En la Suprema Corte de Justicia de la Nación (SCJN), la ponderación de los valores sostenidos por la Libertad de expresión y el Derecho a la protección de los Datos Personales, no es desconocida. Así, cuando se interpretó la Ley de Responsabilidad Civil para la Protección del Derecho a la Vida Privada, el Honor y la Propia Imagen en el Distrito Federal, se evidenció la capacidad existente para ponderar sobre la negligencia de un periodista en el manejo de información vinculada con una persona:

“(…). En consecuencia, si un periodista que difunde información íntima de una persona –que considera de interés público– instrumentó diversas medidas de diligencia para evitar que esa información pudiera vincularse con la persona, es indudable que dicho periodista no incurrió en negligencia inexcusable en la difusión de esa información. (…)”

(Libertad de expresión. Interpretación de la negligencia inexcusable de los periodistas en la Ley de responsabilidad civil para la protección del Derecho a la Vida Privada, el Honor y la Propia Imagen en el Distrito Federal. Amparo directo 3/2011. Del 30 de enero de 2013. 10a. Época; 1a. Sala; S.J.F. y su Gaceta; Libro XX, Mayo de 2013; Tomo 1; Pág. 552.) [4]

b) Hechos recientes

Sin embargo, cuando hechos recientes en la ciudad de México plantearon la facilidad con que, puede violarse la privacidad de la ciudadanía (no sólo por las autoridades sino por cualquier ciudadano que tenga acceso a tecnologías que permiten hacer públicas actividades que podrían quedar dentro de la esfera privada de sus autores):

  1. Las denuncias del Director General de Desarrollo (el “City manager”) de la Delegación Miguel Hidalgo con el concurso de la “App” (software de aplicación para Smart-phones) “Periscope”;
  2. La elaboración de un Comunicado de la Comisión de Derechos Humanos del Distrito Federal (DF), preocupada por la difusión de la imagen de personas que realizan conductas sancionables el pasado 23 de febrero de 2016;[5]
  3. La elaboración de un primer borrador por la Asamblea Legislativa del DF para regular el empleo de Periscope y de “… todas las actividades que se realizan en diversas plataformas y redes tecnológicas…”;[6]
  4. La invitación de la Delegada de Miguel Hidalgo a un Debate sobre el uso de Periscope, a toda la ciudadanía para el próximo 17 de marzo;[7] y
  5. El anuncio resultante de la sesión del pasado día 7 de marzo de la Asamblea Legislativa, informando que en un mes y medio se tendría el Protocolo que regule el uso de Periscope por parte de las 10 Delegaciones del gobierno capitalino que actualmente lo emplean para difundir sus actividades

Todo ello terminó por generar propuestas desde diversas fuentes de la ciudadanía planteándose que la posibilidad de incluir algunos otros elementos tales como solicitar el consentimiento previo; realizar las transmisiones únicamente en diferido, nunca en directo; no evidenciar datos personales del ciudadano infractor; evitar abusos de poder; que la información no fomente la discriminación de los ciudadanos infractores; que los videos sean realizados por servidores públicos plenamente identificados; que se graben únicamente actividades realizadas en espacios públicos y nunca en espacios privados; y finalmente, se propuso que no sólo se grabara a los ciudadanos cuando cometan infracciones, sino que también se les grabe –en su caso–, cuando realicen actos que enmienden sus infracciones y/o cuando paguen la sanción que les pudiera corresponder.

La reglamentación prevista nunca se dio, el Protocolo de actuación anunciado se entendió como necesario pero nunca se pronunció y el uso de Periscope por las autoridades para denunciar actividades de la ciudadanía contrarias al orden público no solo perdura sino que ha proliferado apareciendo más de una organización de la sociedad civil que denuncian y/o difunden actividades aberrantes o ejemplares con el fin de desarrollar una conciencia ciudadana; y todo a partir de comportamientos que pudiendo quedar como parte de la vida privada de sus autores, ahora son difundidas porque se considera que tal difusión es beneficio del interés público.

Evidentemente, más allá de las preocupaciones que se dieron en la Ciudad de México, en cualquier lugar del mundo, cualquier particular –desde los medios de comunicación o fuera de ellos–, está en posibilidad de lesionar la imagen y la privacidad de sus conciudadanos cuando emplea sus recursos tecnológicos para difundir hechos que él considera que deben ser conocidos por todos.

Hoy en día, las cámaras de videovigilancia (públicas o privadas), la transmisión en vivo con cualquier Tablet o Smart-phone a través de las redes sociales, el empleo de Drones con cámaras de video (con o sin conexión a internet), exigen que analicemos y nos concienticemos respecto del daño que le podemos provocar a nuestra sociedad (por no decir a nuestros semejantes) con la obtención y la difusión de la información obtenida con esos u otros recursos tecnológicos, cuando ésta comporta el tratamiento de datos personales.

En este caso, no puede regularse el empleo de las tecnologías que invaden la privacidad; a diferencia de lo que ocurre cuando se analiza la potencialidad de los diferentes tipos de Cookies, Web Beacons y Web Bugs empleados en el ámbito publicitario o para aprovechar las posibilidades del Big Data (“minería” y clasificación de Bancos de datos), no se puede pretender que el legislador pronuncie reglas que impliquen una censura previa, pero si se puede realizar una revisión del marco normativo y buenas prácticas vigentes en México y en otras latitudes del orbe, a fin de identificar que principios se podrían ser aplicables en una sociedad como la nuestra.

c) Normatividad existente

Si consideramos la normatividad existente en México y en otras latitudes:[8]

  • Constitución Política de los Estados Unidos Mexicanos (CPEUM);
  • Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP);
  • Ley General de Transparencia y Acceso a la Información (LGTAIP);
  • Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados (LGPDPPSO);
  • Ley Federal de Derechos de Autor (LFDA);
  • Ley sobre delitos de imprenta (LDI);
  • Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (RLFPDPPP);
  • Pacto Internacional de Derechos Civiles y Políticos (PIDCP);
  • Convención Americana sobre Derechos Humanos “Pacto de San José de Costa Rica” (CADH);
  • Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales (CPDHLF);
  • Guía para cumplir con los principios y deberes de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares;
  • Data protection and journalism: a guide for the media (Protección de Datos y periodismo: Guía para los medios de comunicación) de la Oficina del Comisionado para la Información del Reino Unido (DP&J);
  • Código Deontológico. Federación de Asociaciones de Periodistas de España;
  • Codice di deontologia relativo al trattamento dei dati personali nell’esercizio dell’attività giornalistica (Código deontológico relativo al tratamiento de datos personales en el ejercicio de la actividad periodística) del “Garante para la protección de datos personales” de Italia.
  • Código de Ética. El Foro del Periodismo Argentino (FOPEA);
  • Código de Ética de la Sociedad de Periodistas Profesionales de los Estados Unidos de América (EC-SPJ); y
  • Código de Ética para los Medios Mexicanos.

… se alcanzan las conclusiones que se desarrollan a continuación.

2. Realidad jurídica

El periodista (así como cualquier particular que publicite datos personales)[9] debe respetar el derecho a la intimidad y a la propia imagen teniendo en cuenta que los únicos supuestos de excepción a los principios que rigen el tratamiento de datos personales, son como lo establece el 2º. párrafo del artículo 16 constitucional:

  • razones de seguridad nacional,
  • el respeto u obediencia de disposiciones de orden público,
  • la supremacía y protección de la seguridad y salud públicas o
  • la protección de los derechos de terceros.

Estos supuestos[10] determinan lo que en México –y para el caso concreto de las violaciones a la protección de datos personales– podría denominarse de manera genérica, como el “interés público”, el “interés social” o la “utilidad pública”; mismo que todo periodista deberá ponderar para justificar las intromisiones o indagaciones sobre la vida privada de una persona sin su previo consentimiento. Así lo resolvió la Suprema Corte de Justicia de la Nación (SCJN) en el Amparo directo 3/2011. TA, 10ª época.[11]

En otras palabras, el periodista o particular que realice el tratamiento de datos personales (en forma textual, gráfica, audio, video, o de cualquier manera), y que reporta a su público, hechos que impliquen faltas o violaciones a la seguridad nacional,[12] a disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros, debe en el ejercicio de la libertad de expresión, proteger la vida privada de las personas de “intromisiones innecesarias”[13] e “instrumentar diversas medidas de diligencia” para evitar que se le acuse (como en el Amparo directo 3/2011) de dar tratamiento a los datos personales con “negligencia inexcusable”.[14]

Por lo anterior, y por lo que se observa en otras latitudes –cómo enseguida veremos–, se entiende que todo periodista –como cualquier otro particular–, de entrada, debe entregar su aviso de privacidad, solicitar el consentimiento, usarlos con finalidades específicas y de manera pertinente, conservándolos con las medidas de seguridad necesarias, MÁS SI ELLO NO FUERA POSIBLE en su totalidad, no por “negligencia inexcusable” y no para “injerencias inexcusables”, sino por la complejidad de los hechos, por falta de recursos, de tiempo o por incapacidad estructural para su cumplimiento, dado que este derecho a la protección de los datos no es absoluto sino que –con arreglo al Principio de Proporcionalidad–, debe mantener el equilibrio con otros derechos fundamentales, al periodista podemos recomendarle la observancia de aquellas “Buenas Prácticas” que ha sido posible extraer tanto en el orden internacional como en nuestro orden jurídico.

“Buenas Prácticas” que aconsejan, a manera de un control ético y racional, que pondere ambos derechos y que cumpla en la medida de sus circunstancias con lo previsto por la Ley para proteger los Datos Personales.

3. “Buenas Prácticas” recomendadas

Estas Buenas Prácticas aun cuando siempre impulsan al cumplimiento de lo previsto durante el tratamiento de los Datos Personales, hacen referencia a diversas circunstancias en las que ese cumplimiento refleja respeto a lo dispuesto tanto por la Ley Federal de Protección de Datos Personales en Posesión de Particulares (así como por la recién promulgada Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados); auxiliando en realidad, a que según sea el escenario en que se encuentre el periodista siempre quede cubierto respecto de la diligencia de su proceder con respeto a la privacidad y los derechos de la ciudadanía.

a) Durante la obtención de los datos:

  1. Recordar que tratándose de retratos se debe contar con el consentimiento de la persona que se está retratando (Art. 87 LFDA), considerando que en el caso de quienes figuran como “personajes públicos” (TA. Amparo directo 6/2009) esto no es necesario.

Esta Buena Práctica está avalada por lo dispuesto en nuestra legislación (en la Ley Federal de Derechos de Autor), [15] y por lo resuelto por la Suprema Corte de Justicia de la Nación (en su resolución al Amparo directo 6/2009). [16]  No obstante, en este sentido también se pronuncia el “Codice di deontologia relativo al trattamento dei dati personali nell’esercizio dell’attività giornalistica (Código deontológico relativo al tratamiento de datos personales en el ejercicio de la actividad periodística)” elaborado por el “Garante para la protección de datos personales” de Italia,[17] que perfecciona el criterio aplicable a los personajes “públicos” de la siguiente manera en su artículo 6, párrafo 2:

“La esfera privada de las personas que desempeñan funciones públicas o de los personajes notoriamente públicos debe ser respetada si las noticias o los hechos no tienen nada que ver con su función o su vida pública.”[18]

Por otra parte, el Código de Ética de la Sociedad de Periodistas Profesionales de los Estados Unidos de América, va más allá y puntualiza en su capítulo denominado “Minimizar el daño”:

Darse cuenta de que las personas privadas tienen un mayor derecho a controlar la información sobre sí mismos que las figuras públicas y otras personas que buscan poder, influencia o atención. Pesar las consecuencias de publicar o transmitir información personal.[19]

Finalmente, se hace notar que esta Buena Práctica recomienda privilegiar dos de los Principios que rigen la protección de datos personales: el Principio del Consentimiento (así lo requiere la LFDA) y el de Licitud (cuando se cumple con la LFDA), y asimismo, abre la posibilidad de que una vez que se cuenta con un consentimiento expresamente manifestado, también podrían satisfacerse también los Principios de Información y de Responsabilidad así como el Deber de Seguridad.[20]

  1. Cuando se graban hechos dónde es posible identificar y contactar a quienes participan, es honesto que se entregue un aviso corto con el que se advierta que se han registrado sus imágenes o voces, y que se utilizarán si se estima que la fotografía o video permite satisfacer el “interés público”. La gente debe saber si usted está recabando información acerca de ellos a menos que ello ponga en peligro su seguridad o que de otra manera se vuelva imposible el ejercicio de la función informativa

El sentido de esta Buena Práctica lo encontramos plasmado en la obra “Data protection and journalism: a guide for the media (Protección de Datos y periodismo: Guía para los medios de comunicación)” elaborado por la Oficina del Comisionado para la Información del Reino Unido, donde postula entre sus “puntos clave” para la “Obtención de información” en página 9:

“Sea abierto y honesto siempre que sea posible. La gente debe saber si usted está recogiendo información acerca de ellos en los temas en que es practico (en el sentido de posible o provechoso, u oportuno.-[NdT][21]) contárselos. Aceptamos que en general no será posible para los periodistas hacer contacto con todos aquellos sobre los que recogen información.”[22]

Asimismo, el Artículo 2, párrafo 1 del Código deontológico italiano (relativo al tratamiento de datos personales en el ejercicio de la actividad periodística) plantea:

“1. El periodista que reúne noticias para una de las operaciones mencionadas en el artículo 1, apartado 2, letra b) de la Ley núm. 675/1996 debe dar a conocer su identidad, su profesión y la finalidad del acopio a menos que ello ponga en peligro su seguridad o que de otra manera se vuelva imposible el ejercicio de la función informativa; evita artificios y evita una presión excesiva. Quedando en claro cuál es su actividad, no se requiere que el reportero proporcione los otros elementos de la información mencionados en el artículo 10, párr. 1 (Informaciones que se entregan al momento de la obtención.- [NdT]), de la Ley núm. 675/1996 (Ley sobre la Privacidad.- [NdT].”[23]

Lo que trasladado a los términos de nuestra realidad jurídica, se conoce como la entrega del Aviso de Privacidad Corto, y que implica también, satisfacer aquello que en el Reino Unido se plantea como: “hacer saber a la gente que se está recogiendo información sobre ellos”. Dándonos en ambos casos, la pauta para integrar en casi todas las Buenas Prácticas aquí propuestas, la recomendación de entregar, antes o después de la publicación –cuando sea posible–, un Aviso Corto que señale la finalidad de satisfacer el llamado “interés público”.

Finalmente, esta segunda Buena Práctica recomienda privilegiar los Principios de Licitud (dado que así lo requiere la LFPDPPP), de Lealtad (que no se recaben datos con dolo o vulnerando la confianza del titular) y de Finalidad (pues se prevé la entrega de un Aviso de Privacidad que mencione los propósitos del periodista); abriendo la posibilidad de satisfacer también, de manera consecutiva el Principio de Consentimiento, el de Responsabilidad, así como el Deber de Seguridad.

  1. Cuando se obtengan de una fuente diversa al titular, documentos o datos personales para fines informativos o periodísticos, posteriormente, ponga a disposición de los titulares un Aviso Corto donde se advierta la finalidad de dicho acopio, y señale el link al aviso de privacidad de su organización o del responsable; y de ser posible, también obtenga posteriormente el consentimiento de dichas personas.

A diferencia de la recomendación anterior, que refiere a la obtención de información, imágenes, videos y/o audios donde se contacta –como en una entrevista– con las personas involucradas y casi de inmediato se puede entregar el Aviso Corto, ahora –cuando no se obtienen de los titulares, se insiste en la necesidad de la entrega de dicho Aviso pero en un posterior momento luego que supone que los datos y/o documentos se obtienen sin que se enteren los titulares.

En este caso, también dan soporte a esta recomendación las Buenas Prácticas antes mencionadas, establecidas en la “Guía para los medios de comunicación” elaborado por la Oficina del Comisionado para la Información del Reino Unido –como un “punto clave” para la “Obtención de información”–; así como en lo señalado en el Artículo 2, párrafo 1 del Código deontológico italiano.[24]

Esta tercera Buena Práctica, como en el caso de la anterior, recomienda privilegiar los Principios de Licitud, Lealtad, Finalidad, y facilita el posterior cumplimiento de los Principios de Consentimiento, de Responsabilidad, así como el Deber de Seguridad.

  1. Que cuando la obtención de datos, documentos, audios, videos, fotografías, imágenes o información en general, se realiza de manera encubierta para evitar que las personas que participan en los hechos, se enteren y/o se opongan a su copia o registro, nada objeta el acopio legítimo de dichos materiales siempre que no se les dé ninguna difusión; pero en caso contrario, si se han identificado quienes son y sea posible localizarles, es recomendable entregar un aviso corto con el que se advierta que se han obtenido, copiado y/o registrado sus datos y que se utilizarán si se estima que permiten satisfacer “interés público” –siempre que el mismo aviso no constituya en sí, una obstrucción para la satisfacción del interés público.

De manera similar a como lo hace la Oficina del Comisionado para la Información del Reino Unido en su “Guía para los medios de comunicación”, esta Buena Práctica pretende evidenciar que no se ignora y que nada se opone a que, de ser necesario se obtenga la información –que incluya datos personales– de manera encubierta, cuando ésta conduzca a la satisfacción futura del interés público. No obstante, siendo coherente con las limitantes previstas por el artículo 16 constitucional, se reiteran las medidas planteadas en las dos recomendaciones anteriores: poner a disposición de los titulares un Aviso Corto de la organización del periodista o del responsable.

Este es el espíritu en el que se pronuncia la obra “Protección de Datos y periodismo: Guía para los medios de comunicación” del Reino Unido en págs. 9 y 10:

“No es necesario notificar a las personas si con ello se perjudica la actividad periodística. …

“Utilice métodos encubiertos sólo si está seguro de que esto se justifica por el interés público.

“(…) cuando sea posible, decir a la persona que está recogiendo la información de ella, y que la información es aproximadamente sobre… [lo que distingue la nota], lo que eres y lo que se está haciendo con su información.

“Si es necesario utilizar métodos encubiertos o intrusivos para obtener una historia, tales como la vigilancia, usted puede hacerlo si cree razonablemente que estos métodos son necesarios (en otras palabras, si no es razonablemente posible obtenerla de una manera menos intrusiva para obtener la información) y la historia es en el interés público. Para establecer si la investigación encubierta se justifica por el interés público, debe equilibrar el efecto perjudicial que tendría informar el interesado sobre la asignación periodística en contra del efecto perjudicial que el empleo de métodos encubiertos tendría sobre la privacidad de los titulares de los datos.

“(…) Incluso si la investigación encubierta puede ser justificada, aun así debe considerar si puede informar al interesado acerca de la información recopilada una vez que se hayan obtenido.” [25]

Por otra parte, cabe señalar aquí, lo que el Garante para la Protección de Datos Personales italiano sostiene en el punto 1 del Artículo 6 del Código deontológico antes citado:

“1. La divulgación de noticias de relevante interés público o social no entra en conflicto con el respeto a la privacidad cuando la información, incluso si es detallada, es indispensable en vista del hecho o de la originalidad de su descripción por las particulares formas en las que se produjo, así como por la calificación de sus protagonistas.”[26]

Es innegable que esta Buena Práctica recomienda privilegiar los Principios de Lealtad, Información, Finalidad y Responsabilidad que rigen la protección de datos personales, así como el posterior desarrollo del Deber de Seguridad.

  1. Cuando no se haya identificado o no sea posible localizar a las personas que participan en los hechos grabados o documentados (de manera abierta o encubierta), o cuando la entrega del aviso corto pueda representar una obstrucción a la satisfacción del interés público, debe ponderarse por sí mismo o con la Dirección de Redacción –o con su similar– dentro de la organización donde se trabaje, que la afectación a la privacidad nunca sea mayor al interés público existente por que se difunda esa información y, simultáneamente, redactar con claridad las razones que existen y que justifican el interés público en difundir dichos materiales, y depositar dicho escrito en un archivo específico bajo las medidas de seguridad de ley, a efecto de poder justificar –cuando se le requiera–, la excepción al debido respeto de la privacidad, y publicar junto con la nota periodística el link al Aviso de Privacidad correspondiente.

Esta Buena Práctica propone –de manera similar a como lo plantea la Oficina del Comisionado para la Información del Reino Unido (en la sección “Publicación” del Capítulo 2 “Guía rápida”, de la obra antes citada)–, consideraciones como las siguientes:

“Incluso cuando la información ha sido bien obtenida y conservada, Usted tendrá que considerar por separado que información es justo publicar. Esta pregunta significa determinar cuál es la cantidad de datos personales que es necesario publicar para propagar adecuadamente la historia, con un nivel de intrusión equilibrado en la vida de las personas afectadas, así como el daño potencial que esto pueda causar.

“Por ejemplo, si publicar una historia sería muy intrusivo o perjudicial para la persona, entonces es menos probable que sea justo publicar dichos datos personales. Este también es el caso de historias obviamente con poco interés público, o que la publicación debería haber sido retrasado para verificar los hechos.

“El interés público de la publicación debe ser ponderado por una persona con un nivel adecuado, en función de la historia. Reconocemos que para las historias del día a día no se suele necesitar del Director de Edición o de la opinión de expertos.

“La publicación es factible si, para ser justos y para cumplir con la LPD (Ley de Protección de Datos [NdT]) o para acogerse a la exención para el periodismo,[27] se puede demostrar que alguien en un nivel apropiado consideró que el interés público de la publicación sí supera la intimidad de las personas en las circunstancias del caso y puede dar buenas razones para sostener este punto de vista cuando lo desafíen.”[28]

En fin, esta quinta Buena Práctica recomienda privilegiar el Principio de Lealtad (la valoración de la pertinencia de la publicación de los datos por motivos de “interés público” significa que los datos se obtuvieron sin dolo, mala fe o negligencia); así mismo, implica atender los Principios de Proporcionalidad y Responsabilidad y abre la posibilidad para que se cumpla también con el Principio de Información (la propuesta que se hace de incluir en la “nota periodística el link al Aviso de Privacidad correspondiente”, conduciendo de igual modo al cumplimiento del Deber de Seguridad pues al generarse un escrito que habría de conservarse con las medidas de seguridad pertinentes, está implícito que dicha conservación tendría que darse cumpliendo con los estándares de seguridad que establece la normatividad vigente.

  1. Cuando se obtienen videos, fotografías o imágenes en general, de lugares donde aparecen personas como parte del contexto, nada objeta el acopio ni la difusión de dichos materiales (Art.87, párr.3°, LFDA)[29] no obstante, al publicarlos es recomendable ofrecer un Aviso Corto indicando el link del Aviso de Privacidad Integral de la organización.[30] Cuando se obtengan datos personales como parte de la información recabada con fines periodísticos, relacionados pero de personas diversas a las que son objeto de la noticia, de ser posible, se debe entregar un Aviso Corto con el que se advierta que se han obtenido, copiado y/o registrado sus datos y que se utilizarán si se estima que permiten satisfacer el interés público, ofreciendo el link del Aviso de Privacidad de la organización para la que se trabaje. Por ejemplo, el periodista deberá evitar nombrar en sus informaciones datos personales sobre los familiares y amigos de las personas que son objeto de la noticia, salvo que su mención resulte necesaria para que la información sea completa y equitativa.

Respecto del Aviso Corto que en este caso se recomienda entregar a quienes no son objeto de la noticia, es de recordar que la Ley de Derechos de Autor prevé que no siempre se tiene que informar a las personas, pero (de acuerdo a lo señalado en –página 10 de– la obra “Protección de Datos y periodismo. Guía para los medios de comunicación” del Reino Unido)[31] si se obtienen materiales dónde aparecen estos terceros, debe existir una razón y una justificación para su obtención.

Ahora, en relación con el compromiso de ceñirse con objetividad a publicar sólo datos necesarios para presentar la noticia, independientemente de que este precepto habrá de retomarse posteriormente en la octava Buena Práctica, en el Código deontológico del Garante de la Protección de Datos Personales italiano encontramos que este es un precepto para el que hay más de una recomendación, pues además de las mencionadas en la primera y cuarta Buena Práctica (artículo 6° referente a la “Esencialidad de la información”, en sus artículos del 7 al 11 (referentes a la protección de los menores, de la dignidad de las personas, de la dignidad de las personas enfermas, de la sexualidad de la persona, y del derecho a la no discriminación), se encuentran muchas más que por exceder los objetivos del presente comentario, sólo se presentan en los comentarios a la Buena Práctica número 8.

Esta recomendación privilegia los Principios de Licitud, Lealtad, Proporcionalidad, así como –cuando se llegue a entregar el aviso de privacidad–, el posterior cumplimiento de los principios de Información, Finalidad y Consentimiento que rigen la protección de datos personales.

b) Durante el tratamiento en general

  1. Cuando se dé tratamiento a cualquier tipo de datos personales de menores o de incapaces –a menos que se ignore cual sea la condición de los titulares–, es indispensable la entrega de un Aviso de Privacidad y la obtención previa del consentimiento de los padres o sus representantes legales y que el empleo de los datos correspondan con el objeto de la información que se ofrece en aras del interés público. La única excepción posible será cuando se demuestre que el acto de avisarles impida satisfacer el interés público. O cuando en las noticias sobre las víctimas de un delito, sea necesario difundir datos personales, imágenes o registros de audios que pueda contribuir a su identificación, antes de poder formular cualquier solicitud de consentimiento, se debe actuar con especial diligencia a fin de que quede claramente evidenciado el interés público, especialmente cuando se trate de delitos contra la libertad sexual, contra menores, marginados, o incapaces.

Tratándose de menores, como ya se mencionó, el Código deontológico del Garante italiano incluye un artículo que contempla lo siguiente:[32]

Art. 7. La protección de los menores

  1. Con el fin de proteger la personalidad de los menores involucrados en hechos noticiosos, el periodista no debe publicar sus nombres, ni proporcionar detalles capaces de llevar a su identificación.
  2. La protección de la personalidad del niño se extiende, considerando la calidad de las noticias y sus componentes, a todos los hechos que no son específicamente delitos.
  3. El derecho del niño a la intimidad siempre debe ser considerado como preferente respecto de los derechos de crítica y de prensa; Siempre que no obste un motivo relevante de interés público, si sujetándose a los límites legales, el periodista decide difundir noticias o imágenes de menores, debe aceptar su responsabilidad de evaluar si la publicación es realmente en el interés objetivo del niño, de acuerdo con principios y límites establecidos por la “Carta de Treviso”.

Asimismo, en la Guía para los medios de comunicación, elaborada por la Oficina del Comisionado para la Información del Reino Unido, se señala que, para que la información recabada tenga un equilibrio (en página 9), recomienda lo siguiente:[33]

“Sólo recopilar información acerca de la salud, la vida sexual de una persona o de un comportamiento criminal, si está seguro de que es relevante y el interés público en hacerlo justifica suficientemente la intrusión en su intimidad.”

En suma, esta recomendación, como puede observarse privilegia el cumplimiento de los Principios de Lealtad y de Proporcionalidad, y si se produce la entrega del Aviso de Privacidad, también lleva al cumplimiento de los Principios de Información, Finalidad y Consentimiento que rigen la protección de datos personales.

  1. En el tratamiento y publicación de los datos personales, el periodista extremará precauciones respecto de los derechos de sus titulares, evitando informaciones ajenas al objeto (o finalidad) de la información publicada u opiniones ajenas a los hechos concretos, o bien, evitando que su contenido sea eventualmente discriminatorio o susceptible de incitar a la violencia, a prácticas humanas degradantes, o simplemente con consecuencias dañinas, sin separar los hechos concretos de sus opiniones personales.

Independientemente de que se cumpla o no con otros Principios de la Protección de Datos Personales, esta Buena Práctica que recomienda tener precisión al momento de verter la información en una nota periodística (respeto al Principio de Proporcionalidad en el acopio), como ya se señaló anteriormente, se encuentra respaldada por una gran cantidad de señalamientos que en el mismo sentido se establecen en el Código deontológico de la autoridad Garante de la Protección de Datos Personales italiana, concretamente en sus artículos 7 sobre la protección de los menores, 8 sobre la protección de la dignidad de las personas, 10 sobre la protección de la dignidad de las personas enfermas, y 11 sobre la protección de la sexualidad de las personas:

“Art. 7. La protección de los menores

“1. Con el fin de proteger la personalidad de los menores involucrados en hechos noticiosos, el periodista no debe publicar sus nombres, ni proporcionar detalles capaces de llevar a su identificación.

“2. La protección de la personalidad del niño se extiende, considerando la calidad de las noticias y sus componentes, a todos los hechos que no son específicamente delitos. (…)

“Art. 8. Protección de la dignidad de las personas

“1. Una vez preservada la información esencial, el periodista no debe proporcionar noticias ni publicar imágenes o fotografías de personas involucradas en hechos noticiosos que sean perjudiciales para la dignidad de la persona, tampoco se detiene en detalles de violencia a menos que perciba alguna relevancia social de la noticia o de las imágenes.

“2. Exceptuando cuando hay motivos de un relevante interés público o finalidad judicial o policiaca comprobada, el periodista no retoma ni produce imágenes o fotos de personas bajo arresto sin consentimiento del interesado.

“3. No se puede presentar a las personas con cadenas o esposas, excepto cuando ello sea necesario para mostrar abusos.

Art. 10. La protección de la dignidad de las personas enfermas

“1. El periodista, al referirse al estado de salud de una persona en particular, identificada o identificable, debe respetar su dignidad, su derecho a la intimidad y a la dignidad personal, especialmente en casos de enfermedades graves o terminales, y debe abstenerse de publicar los datos analíticos de estricto interés clínico. (…)

Art. 11. Protección de la sexualidad de la persona

“1. El periodista debe abstenerse de la descripción de los hábitos sexuales relacionados con una persona en particular, identificada o identificable. (…)”[34]

En el Reino Unido las recomendaciones respecto de la precisión abarca la necesidad de realizar distinciones entre opiniones personales y datos concretos, (incluidas en la sección “Exactitud” del Capítulo 2 “Guía Rápida”, en pág. 13 de la obra “Protección de Datos y periodismo. Guía para los medios de comunicación”) manifestándose invariablemente en el mismo sentido:

“Tomar medidas razonables para comprobar los hechos.

“Distinguir claramente entre hechos, opiniones y especulaciones.”

“La precisión es, por supuesto, el centro mismo de la obra de un periodista profesional, y está en el corazón de los códigos de la práctica profesional.

“La LPD requiere que se registren correctamente los datos y tomar medidas razonables para poder comprobar los hechos. También debe distinguir claramente entre hechos y opiniones y si el individuo se opone a los hechos, usted debe decirlo.

“Los periodistas responsables siempre tienen cuidado de asegurarse que sus notas son exactas y no inducen a engaño, lo que significa que debe ser capaz de cumplir en la gran mayoría de los casos.”[35]

Sin duda, esta octava Buena Práctica recomienda privilegiar los Principios de Proporcionalidad, Lealtad y Calidad, independientemente de que posteriormente o de forma simultanea se cumpla con los demás Principios y Deberes que rigen la protección de datos personales.

  1. Cuando al tratar de los datos personales resulte necesario para los fines informativos hacer mención de datos sensibles, a fin de asegurar que dicha mención mantenga una relación con la noticia, el periodista debe evitar cualquier expresión despectiva, con prejuicios a la raza, color, origen social, a las preferencias políticas, ideológicas, sexuales, de religión o a la posesión de capacidades diferentes.

En este mismo sentido se pronuncia la obra “Protección de Datos y periodismo. Guía para los medios de comunicación” del Reino Unido, cuando en su página 23 advierte:

“No hay una prohibición total sobre el uso de los datos personales sensibles, pero hay más restricciones y deben ser tratados con mucho cuidado. Como el periodismo implica a menudo manejar este tipo de información, esta es un área donde puede ser necesario para los medios, invocar la exención del artículo 32 para el periodismo.”[36]

Por otra parte, ubicándola en un contexto diferente, el Código deontológico para la actividad periodística, del Garante para la protección de datos personales de Italia en su Artículo 5, señala lo siguiente:

“Art 5. Derecho a la información y la protección de datos personales

“1. En la recolección de datos personales con el fin de descubrir el origen racial o étnico, creencias religiosas, filosóficas o de otro tipo, opiniones políticas, pertenencia a partidos, sindicatos, asociaciones u organizaciones de pertenencia religiosa, filosófica, política o sindical, y los datos para descubrir el estado de salud y la esfera sexual, el periodista debe garantizar el derecho a la información sobre asuntos de interés público, respetando la información esencial, y evitando hacer referencia a familiares u otras personas que no están vinculados con los hechos. [37]

Esta recomendación que, como en el caso anterior, privilegia los Principios de Lealtad, Proporcionalidad y Calidad; y se da independientemente de que se cumpla o no con otros Principios y Deberes de la Protección de Datos Personales.

  1. En general, cuando el periodista ofrezca datos personales, debe hacerlo con conocimiento de la veracidad de su fuente, sin falsificar documentos ni omitir informaciones esenciales, así como no publicar material informativo falso, engañoso o deformado de las personas.

En este sentido se pronuncia la obra “Protección de Datos y periodismo. Guía para los medios de comunicación” en el Reino Unido en su pág. 25:

“Los datos personales deben ser exactos y, cuando sea necesario, actuales. En la práctica esto significa que debe tomar medidas razonables para asegurarse de que sus hechos son correctos y no engañosos, y si el individuo se opone a cualquier hecho se debe investigar y hacer que reflejen su punto de vista ¿Qué medidas son razonables dependerá de las circunstancias, incluyendo la urgencia de la historia en particular.”[38]

Esta recomendación privilegia los Principios de Licitud y Calidad que rigen la protección de datos personales, así como el posterior cumplimiento del Deber de Seguridad luego que la única manera que tiene para respaldar su palabra es conservar los archivos fuente de sus notas periodísticas.

c) Ejercicio de los Derechos ARCO

Existe también Buenas Prácticas para la atención de reclamaciones por supuesta falta de objetividad, veracidad, o justificación del interés público, estas son las que se señalan a continuación:

 

  1. Ante la posibilidad de reclamaciones sobre la veracidad de los datos publicados, o sobre la objetividad, o sobre la justificación del interés público, es conveniente que el periodista mantenga siempre disponible la información obtenida y/o publicada a fin de poder atender cualquier solicitud de derechos ARCO, sin que existan límites para la conservación de los registros obtenidos durante la labor periodística, por lo cual, el periodista debe revisar periódicamente la validez y vigencia de la información almacenada, especialmente cuando se han tratado datos sensibles o datos cuya inclusión sólo se justifica por el interés público.

 

Por lo que se refiere a las eventuales rectificaciones que pudieran formulársele al periodista, en el citado “Código deontológico” del Garante de la Protección de Datos Personales de Italia, se menciona:

“Art. 2. Los bancos de datos para uso editorial y la protección de los archivos personales de los periodistas

“2. Si los datos personales se recogen de los bancos de datos para uso editorial, se requieren las empresas editoriales para revelar al público, a través de anuncios, al menos dos veces al año, la existencia de archivo y el lugar en el que pueden ejercer los derechos previstos en la ley no. 675/1996. Las empresas editoriales indican también entre los datos de la placa del controlador para el que las personas interesadas pueden ponerse en contacto para ejercer los derechos previstos por la Ley nº. 675/1996.

“4. El reportero puede retener los datos recogidos durante el tiempo que sea necesario para la consecución de sus objetivos de su profesión.

“Art. 4. Rectificaciones

“1. El periodista debe corregir sin demora, los errores e imprecisiones, haciéndolo de conformidad también con la obligación de corregir en los casos y formas que establece la ley.”[39]

Por otra parte la “Guía para los medios de comunicación en el Reino Unido entre lo contemplado en la Sección “Requerimientos de solicitudes de Acceso”, del Capitulo 2° “Guía rápida”, en página 14, recomienda:

“Si se decide que no puede responder a una solicitud o sólo se puede cumplir en parte, registrar sus razones.

“Asegúrese de que existe un procedimiento de atención para las solicitudes de acceso en lugar de atenderlas usted mismo.

“Siempre considere si usted puede proporcionar la información (o parte de ella) sin poner en peligro sus actividades periodísticas.

“Si decide que no se puede responder a una solicitud o que sólo se puede complacer en parte, registre sus razones.

“Puede redactar información sobre terceros, incluyendo fuentes individuales, siempre y cuando sea razonable para hacerlo.

“Si alguien te presenta una solicitud por escrito para averiguar si posees información sobre ellos, qué información tiene, en que la tienes, lo que está haciendo con ella, o te pide ver copias, debe tener en cuenta si se puede cumplir con su petición.”[40]

Finalmente, esta Buena Práctica privilegia los Principios de Licitud, Calidad e Información que rigen la protección de datos personales, así como el Deber de Seguridad.

4. Corolario

La necesidad de una demarcación de los límites entre el derecho humano a la libertad de expresión y el derecho a determinar, quien, cuando y para qué se usan los datos personales del individuo, hace necesaria una ponderación de los preceptos previstos en nuestra Constitución, no obstante, queda pendiente una determinación respecto de quien debe velar por el “interés público”.

¿Le corresponde sólo a las instituciones del Estado o son los ciudadanos junto con estás quienes deben hacerlo? De ser válida la segunda acepción, tal como el máximo Tribunal del país se ha pronunciado (Amparo directo 3/2011. TA, 10ªepoca),[41] estas “Buenas Prácticas” pueden aplicarse a cualquiera que acceda a la red para tratar datos personales sin consentimiento del titular.

Más aún, cuando observamos la cada vez más apremiante necesidad de volver conscientes a nuestros conciudadanos del papel que todos jugamos como co-constructores del desarrollo de nuestra sociedad o como co-exterminadores de nuestra vida en sociedad.

[1] Véase http://www.diputados.gob.mx/LeyesBiblio/ref/cpeum.htm. Consultado el 30.03.2016.

[2] Véase http://www.diputados.gob.mx/LeyesBiblio/pdf/LGTAIP.pdf . Consultado el 30.03.2016.

[3] Caso Ivcher Bronstein v. Perú, párrafo 150. Disponible en http://www.corteidh.or.cr/docs/casos/articulos/Seriec_74_esp.pdf. Consultado el 12.03.2016.

[4] LIBERTAD DE EXPRESIÓN. INTERPRETACIÓN DE LA NEGLIGENCIA INEXCUSABLE DE LOS PERIODISTAS EN LA LEY DE RESPONSABILIDAD CIVIL PARA LA PROTECCIÓN DEL DERECHO A LA VIDA PRIVADA, EL HONOR Y LA PROPIA IMAGEN EN EL DISTRITO FEDERAL.

La exigencia del artículo 32 del ordenamiento en cuestión de demostrar la negligencia inexcusable del demandado debe entenderse dentro del contexto del concepto de “culpa”, al constituir una conducta derivada de la falta de cuidado para verificar si la información difundida infringía o no un derecho de la personalidad. En el caso de la prensa, el criterio subjetivo de imputación hace referencia a la diligencia exigible en el desempeño de la actividad periodística. Ahora bien, es importante destacar que el legislador tomó la decisión de imponer un estándar muy exigente para poder atribuir responsabilidad civil a un profesional del periodismo como una estrategia para evitar las restricciones indirectas a la libertad de expresión. Al requerir que se trate de una negligencia inexcusable del demandado, el legislador pretendió que no cualquier clase de negligencia en el ejercicio de la libertad de expresión pudiera servir para justificar una condena por daño moral. La falta de cuidado tiene que ser de tal magnitud que se considere inexcusable. En consecuencia, si un periodista que difunde información íntima de una persona que considera de interés público instrumentó diversas medidas de diligencia para evitar que esa información pudiera vincularse con la persona, es indudable que dicho periodista no incurrió en negligencia inexcusable en la difusión de esa información. Si bien es posible que esas medidas eventualmente no sean totalmente eficaces, entre otras razones porque el periodista no controla todos los factores que pueden llegar a conducir a la identificación de la persona a la que se refiere la información, no debe atribuirse responsabilidad al periodista porque el estándar exige que su negligencia sea de una magnitud muy considerable.

Amparo directo 3/2011. Lidia María Cacho Ribeiro y otro. 30 de enero de 2013. Cinco votos; José Ramón Cossío Díaz reservó su derecho para formular voto concurrente. Ponente: Arturo Zaldívar Lelo de Larrea. Secretario: Arturo Bárcena Zubieta.

[5] Véase en http://cdhdfbeta.cdhdf.org.mx/2016/02/cdhdf-documenta-tres-quejas-por-presunta-violacion-de-ddhh-con-utilizacion-de-periscope/. Consultado el 08.03.2016.

[6] Véase en http://104.239.237.37/articulo/metropoli/df/2016/03/7/listo-primer-borrador-para-regular-periscope. Consultado el 08.03.2016.

[7] Véase http://www.unotv.com/noticias/estados/distrito-federal/detalle/debate-sobre-el-uso-de-periscope-el-17-de-marzo-157283/ Consultado el 08.03.2016.

[8] Véase Constitución Política de los Estados Unidos Mexicanos en http://www.dof.gob.mx/constitucion/marzo_2014_constitucion.pdf;

Véase Ley Federal de Protección de Datos Personales en Posesión de los Particulares en http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf;

Véase Ley General de Transparencia y Acceso a la Información Pública en http://www.dof.gob.mx/nota_detalle.php?codigo=5391143&fecha=04/05/2015;

Véase Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados en http://www.diputados.gob.mx/LeyesBiblio/pdf/LGPDPPSO.pdf;

Véase Ley Federal de Derechos de Autor en http://www.diputados.gob.mx/LeyesBiblio/pdf/122_130116.pdf;

Véase Ley sobre delitos de imprenta en http://www.diputados.gob.mx/LeyesBiblio/pdf/40_041115.pdf;

Véase Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares en http://www.diputados.gob.mx/LeyesBiblio/regley/Reg_LFPDPPP.pdf;

Véase Pacto Internacional de Derechos Civiles y Políticos en http://www.ordenjuridico.gob.mx/TratInt/Derechos%20Humanos/D47.pdf;

Véase Convención Americana sobre Derechos Humanos “Pacto de San José de Costa Rica” en http://www.ordenjuridico.gob.mx/TratInt/Derechos%20Humanos/D1BIS.pdf;

Véase Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales en http://www.echr.coe.int/Documents/Convention_SPA.pdf;

Véase Guía para cumplir con los principios y deberes de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares en http://inicio.ifai.org.mx/DocumentosdeInteres/Guia_obligaciones_lfpdppp_julio2014.pdf;

Véase Data protection and journalism: a guide for the media. Oficina del Comisionado para la Información del Reino Unido en https://ico.org.uk/media/for-organisations/documents/1552/data-protection-and-journalism-media-guidance.pdf;

Véase Codice di deontologia relativo al trattamento dei dati personali nell’esercizio dell’attività giornalistica (Código deontológico relativo al tratamiento de datos personales en el ejercicio de la actividad periodística). Garante para la protección de datos personales” de Italia, en http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1556386 ;

Véase Código Deontológico. Federación de Asociaciones de Periodistas de España en http://fape.es/home/codigo-deontologico/;

Véase Código de Ética. El Foro de Periodismo Argentino (FOPEA)  en http://www.fopea.org/etica-y-calidad/codigo-de-etica-de-fopea/;

Véase Código de Ética de la Sociedad de Periodistas Profesionales de los Estados Unidos de América en http://www.spj.org/ethicscodeSP.asp o en  https://translate.google.com.mx/translate?hl=es&sl=en&u=https://www.spj.org/ethicscode.asp&prev=search ;

Véase Código de Ética para los Medios Mexicanos en http://raultrejo.tripod.com/Mediosensayos/Codigoetica.htm

[9] Entendiéndose en el contexto de este estudio, por “Periodista”, tanto a los profesionales de la comunicación como a los periodistas o informadores aficionados, así como todo aquel particular que realice temporalmente cualquier tratamiento de datos personales con el fin de utilizarlos para la publicación ocasional de artículos, ensayos u otras manifestaciones del pensamiento, o simplemente, para hacerlos públicos.

[10] Véase el texto del párrafo citado en http://www.diputados.gob.mx/LeyesBiblio/ref/cpeum.htm. Consultado el 30.03.2016.

[11] LIBERTAD DE EXPRESIÓN. MARGEN DE APRECIACIÓN DE LOS PERIODISTAS EN LA DETERMINACIÓN DEL INTERÉS PÚBLICO DE LA INFORMACIÓN SOBRE LA VIDA PRIVADA DE LAS PERSONAS.

Los medios de comunicación deben poder decidir con criterios periodísticos la manera en la que presentan una información o cubren una noticia y contar con un margen de apreciación que les permita, entre otras cosas, evaluar si la divulgación de información sobre la vida privada de una persona está justificada al estar en conexión evidente con un tema de interés público. No corresponde a los jueces en general, ni a esta Suprema Corte en particular, llevar a cabo el escrutinio de la prensa al punto de establecer en casos concretos si una determinada pieza de información es conveniente, indispensable o necesaria para ciertos fines. Los tribunales no deben erigirse en editores y decidir sobre aspectos netamente periodísticos, como lo sería la cuestión de si ciertos detalles de una historia son necesarios o si la información pudo trasladarse a la opinión pública de una manera menos sensacionalista, en virtud de que permitir a los tribunales un escrutinio muy estricto o intenso de estas decisiones supondría la implementación de una restricción indirecta a la libertad de expresión. No obstante, tampoco puede aceptarse que los medios de comunicación se inmiscuyan indiscriminadamente en la vida privada de las personas so pretexto de realizar un trabajo periodístico. De acuerdo con lo anterior, la publicación de información verdadera sobre la vida privada de una persona sólo estará amparada por la libertad de información cuando el periodista, actuando dentro de ese margen de apreciación, establezca una conexión patente entre la información divulgada y un tema de interés público y exista proporcionalidad entre la invasión a la intimidad producida por la divulgación de la información y el interés público de dicha información. Dicha solución constituye una posición deferente con el trabajo de periodistas y editores que tiene como finalidad evitar una excesiva interferencia en el ejercicio de la libertad de expresión mientras se protege la vida privada de las personas de intromisiones innecesarias.

Amparo directo 3/2011. Lidia María Cacho Ribeiro y otro. 30 de enero de 2013. Cinco votos; José Ramón Cossío Díaz reservó su derecho para formular voto concurrente. Ponente: Arturo Zaldívar Lelo de Larrea. Secretario: Arturo Bárcena Zubieta. ([TA] 10a. Época; 1a. Sala; S.J.F. y su Gaceta; Libro XX, Mayo de 2013; Tomo 1; Pág. 559.)

[12] Entendiéndose por Seguridad Nacional y Seguridad Pública lo siguiente:

Seguridad Nacional: a.- La integridad, estabilidad y permanencia del Estado Mexicano (defensa del territorio y unidad de la federación); b.- La gobernabilidad democrática (voto y elecciones); y c.- La seguridad interior de la federación (combate delincuencia).

Seguridad pública: Las funciones a cargo de la Federación, la Ciudad de México, los Estados y los Municipios, tendientes a preservar y resguardar la vida, la salud, la integridad y el ejercicio de los derechos de las personas, y para el mantenimiento del orden público.

[13] En el mismo sentido se pronuncia la Agencia Catalana de Protección de Datos en la Recomendación 1/2008, sobre la difusión de la información que contenga datos de carácter personal a través de Internet: «¿Los datos son idóneos y estrictamente necesarios para alcanzar la finalidad [informativa]? Hay que evitar difundir datos que no resultan idóneos o necesarios»; donde es evidente que la divulgación va permitida ahí donde el periodista se atenga a los principios de proporcionalidad y pertinencia.

[14] Véase Nota al pie núm.5.

[15] Art.87 Ley Federal de Derechos de Autor:

“El retrato de una persona sólo puede ser usado o publicado, con su consentimiento expreso, o bien con el de sus representantes o los titulares de los derechos correspondientes. La autorización de usar o publicar el retrato podrá revocarse por quien la otorgó quién, en su caso, responderá por los daños y perjuicios que pudiera ocasionar dicha revocación.

“Cuando a cambio de una remuneración, una persona se dejare retratar, se presume que ha otorgado el consentimiento a que se refiere el párrafo anterior y no tendrá derecho a revocarlo, siempre que se utilice en los términos y para los fines pactados.”

[16] DERECHOS A LA PRIVACIDAD, A LA INTIMIDAD Y AL HONOR. SU PROTECCIÓN ES MENOS EXTENSA EN PERSONAS PÚBLICAS QUE TRATÁNDOSE DE PERSONAS PRIVADAS O PARTICULARES.

Las personas públicas o notoriamente conocidas son aquellas que, por circunstancias sociales, familiares, artísticas, deportivas, o bien, porque han difundido hechos y acontecimientos de su vida privada, o cualquier otra situación análoga, tienen proyección o notoriedad en una comunidad y, por ende, se someten voluntariamente al riesgo de que sus actividades o su vida privada sean objeto de mayor difusión, así como a la opinión y crítica de terceros, incluso aquella que pueda ser molesta, incómoda o hiriente. En estas condiciones, las personas públicas deben resistir mayor nivel de injerencia en su intimidad que las personas privadas o particulares, al existir un interés legítimo por parte de la sociedad de recibir y de los medios de comunicación de difundir información sobre ese personaje público, en aras del libre debate público. De ahí que la protección a la privacidad o intimidad, e incluso al honor o reputación, es menos extensa en personas públicas que tratándose de personas privadas o particulares, porque aquéllas han aceptado voluntariamente, por el hecho de situarse en la posición que ocupan, exponerse al escrutinio público y recibir, bajo estándares más estrictos, afectación a su reputación o intimidad.

Amparo directo 6/2009. 7 de octubre de 2009. Cinco votos. Ponente: Sergio A. Valls Hernández. Secretarios: Laura García Velasco y José Álvaro Vargas Ornelas. [TA]; 9a. Época; 1a. Sala; S.J.F. y su Gaceta; Tomo XXXI, Marzo de 2010; Pág. 923. 1a. XLI/2010.

[17] Autoridad administrativa instituida por la Ley sobre la Privacidad del 31 de diciembre de 1996, núm. 675, que introduce en el orden jurídico italiano la Directiva Comunitaria 95/46/CE y que actualmente está subordinada por el Código italiano en materia de Protección de Datos Personales (Decreto-Ley del 30 de junio de 2003. Núm.196)

[18] Cuyo texto original dice así “2. La sfera privata delle persone note o che esercitano funzioni pubbliche deve essere rispettata se le notizie o i dati non hanno alcun rilievo sul loro ruolo o sulla loro vita pubblica.”

[19] Véase el texto original: “Realize that private people have a greater right to control information about themselves than public figures and others who seek power, influence or attention. Weigh the consequences of publishing or broadcasting personal information” en https://translate.google.com.mx/translate?hl=es&sl=en&u=https://www.spj.org/ethicscode.asp&prev=search

[20] En lo sucesivo para la revisión del contenido de los Principios y Deberes de la Protección de Datos Personales en México, se recomienda la lectura de la “Guía para cumplir con los principios y deberes de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares”, consultable en http://inicio.ifai.org.mx/DocumentosdeInteres/Guia_obligaciones_lfpdppp_julio2014.pdf.

[21] [NdT].- Nota del Traductor.

[22] El texto original dice así: “Be open and honest wherever possible. People should know if you are collecting information about them where it is practicable to tell them. We accept that it will not generally be practicable for journalists to make contact with everyone they collect information about

[23] El texto original dice así “1. Il giornalista che raccoglie notizie per una delle operazioni di cui all’art. 1, comma 2, lettera b), della legge n. 675/1996 rende note la propria identità, la propria professione e le finalità della raccolta salvo che ciò comporti rischi per la sua incolumità o renda altrimenti impossibile l’esercizio della funzione informativa; evita artifici e pressioni indebite. Fatta palese tale attività, il giornalista non è tenuto a fornire gli altri elementi dell’informativa di cui all’art. 10, comma 1, della legge n. 675/1996.”

[24] Transcrito en la nota 23.

[25] El texto original dice así:

“You do not need to notify individuals if this would undermine the journalistic activity. …

“Only use covert methods if you are confident that this is justified in the public interest.

“(…)…where practical, telling the person you are collecting the information from, and the person the information is about (if different), who you are, and what you are doing with their information.

“(…) If you do need to use undercover or intrusive covert methods to get a story, such as surveillance, you may do so if you reasonably believe that these methods are necessary (in other words it is not reasonably possible to use a less intrusive way to obtain the information) and the story is in the public interest. To establish whether covert investigation is justified in the public interest, you must balance the detrimental effect that informing the data subject would have on the journalistic assignment against the detrimental effect employing covert methods would have on the privacy of any data subjects.”

[26] El texto original dice así:

“1. La divulgazione di notizie di rilevante interesse pubblico o sociale non contrasta con il rispetto della sfera privata quando l’informazione, anche dettagliata, sia indispensabile in ragione dell’originalità del fatto o della relativa descrizione dei modi particolari in cui è avvenuto, nonché della qualificazione dei protagonisti.”

[27] Es de hacer notar, primero, que la exención prevista en la sección 32 de la Ley de Protección de Datos (LPD) de 1998 del Reino Unido, sólo es una entre las quince secciones de la Parte IV referida a las Exenciones que dicha Ley, establece para la aplicación de sus propias disposiciones (Véase la página http://www.legislation.gov.uk/ukpga/1998/29/contents). Y en segundo lugar, que lo previsto en esta exención (así lo contempla esta misma guía en las páginas 27 y 28), se descompone en cuatro elementos, de los cuales los tres últimos, son los más importantes a la hora justificar porque no se cumplió con lo dispuesto por la LPD: 1) los datos se procesan sólo para el periodismo, el arte o la literatura, 2) con vistas a la publicación de algún material, 3) con una creencia razonable de que la publicación es de interés público, y 4) con una creencia razonable de que el cumplimiento es incompatible con el periodismo.

[28] El texto original que plantea estas recomendaciones, dice así:

Even where information has been fairly obtained and retained, you will need to consider separately what information it is fair to publish. This question means determining how much personal data it is necessary to publish to properly report the story, balanced against the level of intrusion into the life of the data subjects, and the potential harm this may cause.

For instance, if a story would be highly intrusive or harmful then it is less likely to be fair to publish personal data. This is also the case with stories with little obvious public interest, or where publication should have been delayed to verify facts.

The public interest in publication should be considered by someone at an appropriate level depending on the story. We recognise that senior editorial or expert input will usually not be needed for day-to-day stories.

Publication is likely either to be fair and to comply with the DPA or to fall within the journalism exemption if it can be shown that someone at an appropriate level considered whether the public interest in publication outweighed individual privacy in the circumstances of the case and can give good reasons for this view when challenged.

[29] Párrafo tercero del Art.87 Ley Federal de Derechos de Autor:

“No será necesario el consentimiento a que se refiere este artículo cuando se trate del retrato de una persona que forme parte menor de un conjunto o la fotografía sea tomada en un lugar público y con fines informativos o periodísticos.”

[30] Con fundamento tanto en lo previsto en las Buenas Prácticas establecidas en la “Guía para los medios de comunicación” elaborado por la Oficina del Comisionado para la Información del Reino Unido –como un “punto clave” para la “Obtención de información”–, así como, en lo señalado en el Artículo 2, párr. 1 del Código deontológico italiano.

[31] Del texto mencionado en Nota al pie 24: “If you do need to use undercover or intrusive covert methods to get a story, such as surveillance, you may do so if you reasonably believe that these methods are necessary (in other words it is not reasonably possible to use a less intrusive way to obtain the information) and the story is in the public interest”. Esto es, “Si es necesario utilizar métodos encubiertos o intrusivos para obtener una historia, tales como la vigilancia, usted puede hacerlo si cree razonablemente que estos métodos son necesarios (en otras palabras, si no es razonablemente posible obtenerla de una manera menos intrusiva para obtener la información) y la historia es en el interés público”

[32] Art. 7. Tutela del minore

  1. Al fine di tutelarne la personalità, il giornalista non pubblica i nomi dei minori coinvolti in fatti di cronaca, nè fornisce particolari in grado di condurre alla loro identificazione.
  2. La tutela della personalità del minore si estende, tenuto conto della qualità della notizia e delle sue componenti, ai fatti che non siano specificamente reati.
  3. Il diritto del minore alla riservatezza deve essere sempre considerato come primario rispetto al diritto di critica e di cronaca; qualora, tuttavia, per motivi di rilevante interesse pubblico e fermo restando i limiti di legge, il giornalista decida di diffondere notizie o immagini riguardanti minori, dovrà farsi carico della responsabilità di valutare se la pubblicazione sia davvero nell’interesse oggettivo del minore, secondo i principi e i limiti stabiliti dalla “Carta di Treviso”.

[33] El texto original dice así: “Only collect information about someone’s health, sex life or criminal behaviour if you are confident it is relevant and the public interest in doing so sufficiently justifies the intrusion into their privacy

[34] La versión en italiano dice así:

Art. 7. Tutela del minore

1. Al fine di tutelarne la personalità, il giornalista non pubblica i nomi dei minori coinvolti in fatti di cronaca, nè fornisce particolari in grado di condurre alla loro identificazione.

2. La tutela della personalità del minore si estende, tenuto conto della qualità della notizia e delle sue componenti, ai fatti che non siano specificamente reati. (…)

Art. 8. Tutela della dignità delle persone

1. Salva l’essenzialità dell’informazione, il giornalista non fornisce notizie o pubblica immagini o fotografie di soggetti coinvolti in fatti di cronaca lesive della dignità della persona, nè si sofferma su dettagli di violenza, a meno che ravvisi la rilevanza sociale della notizia o dell’immagine.

2. Salvo rilevanti motivi di interesse pubblico o comprovati fini di giustizia e di polizia, il giornalista non riprende nè produce immagini e foto di persone in stato di detenzione senza il consenso dell’interessato.

3. Le persone non possono essere presentate con ferri o manette ai polsi, salvo che ciò sia necessario per segnalare abusi.

Art. 10. Tutela della dignità delle persone malate

1. Il giornalista, nel far riferimento allo stato di salute di una determinata persona, identificata o identificabile, ne rispetta la dignità, il diritto alla riservatezza e al decoro personale, specie nei casi di malattie gravi o terminali, e si astiene dal pubblicare dati analitici di interesse strettamente clinico. (…)

Art. 11. Tutela della sfera sessuale della persona

1. Il giornalista si astiene dalla descrizione di abitudini sessuali riferite ad una determinata persona, identificata o identificabile.

2. La pubblicazione è ammessa nell’ambito del perseguimento dell’essenzialità dell’informazione e nel rispetto della dignità della persona se questa riveste una posizione di particolare rilevanza sociale o pubblica.

[35] El texto original es el siguiente:

Take reasonable steps to check your facts.

Distinguish clearly between fact, opinion and speculation.

Accuracy is, of course, at the very core of a professional journalist’s work, and features at the heart of industry codes of practice.

The DPA requires you to record details correctly and take reasonable steps to check your facts. You should also clearly distinguish between fact and opinion and if the individual disputes the facts you should say so.

Responsible journalists will always take care to ensure reports are accurate and not misleading, which means you should be able to comply in the vast majority of cases.

[36] There is no outright ban on using sensitive personal data, but there are more restrictions and it must be treated with extra care. As journalism often involves this type of information, this is an area where the media may need to invoke the section 32 exemption for journalism.

[37] La recomendación originalmente se plantea así:

“1. Nel raccogliere dati personali atti a rivelare origine razziale ed etnica, convinzioni religiose, filosofiche o di altro genere, opinioni politiche, adesioni a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché dati atti a rivelare le condizioni di salute e la sfera sessuale, il giornalista garantisce il diritto all’informazione su fatti di interesse pubblico, nel rispetto dell’essenzialità dell’informazione, evitando riferimenti a congiunti o ad altri soggetti non interessati ai fatti.”

[38] Originalmente: “Personal data must be accurate and, where necessary, up to date. In practice this means you must take reasonable steps to ensure your facts are correct and not misleading, and if the individual disputes any facts you should investigate and reflect their view. What steps are reasonable will depend on the circumstances, including the urgency of the particular story.

[39] El texto original dice así:

Art. 2. Banche dati di uso redazionale e tutela degli archivi personali dei giornalisti

  1. Se i dati personali sono raccolti presso banche dati di uso redazionale, le imprese editoriali sono tenute a rendere noti al pubblico, mediante annunci, almeno due volte l’anno, l’esistenza dell’archivio e il luogo dove è possibile esercitare i diritti previsti dalla legge n. 675/1996. Le imprese editoriali indicano altresì fra i dati della gerenza il responsabile del trattamento al quale le persone interessate possono rivolgersi per esercitare i diritti previsti dalla legge n. 675/1996.
  2. Il giornalista può conservare i dati raccolti per tutto il tempo necessario al perseguimento delle finalità proprie della sua professione.

Art. 4. Rettifica

“1. Il giornalista corregge senza ritardo errori e inesattezze, anche in conformità al dovere di rettifica nei casi e nei modi stabiliti dalla legge.”

[40] Originalmente:

“Ensure you have a process in place for handling subject access requests.

“Always consider whether you can provide the information (or some of it) without undermining your journalistic activities.

“If you decide you cannot comply with a request or you can only comply in part, record your reasons.

“You can redact information about third parties, including individual sources, as long as it is reasonable to do so.

[41] Véase la Nota al pie número 5.

Se presenta en Argentina eBook con las Declaraciones del Observatorio

Continuar leyendo

En México, nueva Ley de Datos Personales y nuevos Sujetos Obligados

Por Héctor E. Guzmán Rodríguez

La publicación en México de la nueva “Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados” (LGPD), el pasado 26 de enero de 2017, nos invita no sólo a comentar sobre los aspectos relevantes de la misma, sino también a efectuar ciertas aclaraciones y notas previas, que consideramos necesarias para comprender el contexto en que esta última entra en vigor.

En primer lugar, aclaremos que esta nueva ley no sustituye a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPD), publicada en 2010. Esta última mantiene su vigencia y alcance, en todos sus aspectos.

En segundo lugar, téngase en cuenta que antes de la entrada en vigor de la LGPD, los denominados “sujetos obligados” que ahora son regulados por este ordenamiento, carecían esencialmente de obligaciones legales relacionadas con el tratamiento de datos personales, similares a las que desde 2010 deben cumplir las personas físicas y jurídicas “de carácter privado”. En pocas palabras, existía un régimen asimétrico de obligaciones para uno y otro tipo de responsables, a pesar de que cualquiera de ellos estuviese tratando datos personales.

Finalmente, indiquemos de forma perfectamente clara que los regímenes sancionadores previstos en la LGPD y la LFPD difieren de manera significativa. Simple y sencillamente, existe un régimen sancionador más severo para “los particulares” que para “los sujetos obligados”.

Al respecto, podemos comprobar, con ambas leyes en la mano, que la multa máxima ordinaria prevista para un “sujeto obligado” que viole alguna disposición de la LGPD sería de $113,235.00 pesos (es decir, 1,500 veces el valor diario de la Unidad de Medida y Actualización [valor 2017]), mientras que la multa máxima ordinaria prevista para un “particular” que cometa una infracción muy grave prevista en la LFPD es de $24,156,800.00 pesos (es decir, 320,000 veces el valor diario de la Unidad de Medida y Actualización [valor 2017]).

Como corolario a esta diferencia específica entre multas máximas, cabe también indicar que a diferencia de lo dispuesto por la LFPD, en la LGPD no se prevé que en tratándose de infracciones cometidas que conlleven el tratamiento de datos sensibles, las sanciones puedan incrementarse hasta por dos veces, conforme a los montos establecidos.

Los sujetos obligados

Dicho lo cual, veamos quiénes son los “sujetos obligados” que dan su nombre a este nuevo ordenamiento:

Artículo 1. […]

Son sujetos obligados por esta Ley, en el ámbito federal, estatal y municipal, cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos.

Los sindicatos y cualquier otra persona física o moral que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito federal, estatal y municipal serán responsables de los datos personales, de conformidad con la normatividad aplicable para la protección de datos personales en posesión de los particulares.

En todos los demás supuestos diferentes a los mencionados en el párrafo anterior, las personas físicas y morales se sujetarán a lo previsto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Más allá de resultar claro que la LGPD es aplicable a cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial del ámbito federal, con la entrada en vigor de esta ley se despejan incógnitas generadas cuando entró en vigor de la LFPD, ya que durante mucho tiempo se puso en duda que esta última resultase aplicable a los partidos políticos o a los sindicatos (por citar un par de ejemplos).

Ahora, bastará atender a los supuestos expresamente indicados y, en el último de los casos, realizar un ejercicio de eliminación para definir cuál es la normativa aplicable a cualquier tipo de persona o entidad que por razón de sus funciones o actividades lleve a cabo el tratamiento de datos personales.

Con lo anterior, México deberá alcanzar el nivel de cobertura global en cuanto a los sujetos (obligados o regulados) que deben respetar principios y cumplir con obligaciones dirigidos a la protección de los datos personales de los titulares (las personas físicas a quienes corresponden los datos personales).

Principios y deberes

Sin ir más lejos (y como creemos no podía ser de otra forma), los sujetos obligados deberán cumplir con los mismos principios que cumplen los “particulares”, relativos al tratamiento de datos personales (art. 16):

  • Licitud,
  • Finalidad,
  • Lealtad,
  • Consentimiento,
  • Calidad,
  • Proporcionalidad,
  • Información, y
  • Responsabilidad

En consonancia con su hermana privada, la LGPD no establece obligación alguna para que las bases de datos de las que son responsables los sujetos obligados deban inscribirse en ningún tipo de registro; en su lugar los sujetos obligados también deberán contar con “un” aviso de privacidad, a través del cual deberán informar sobre la existencia y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda tomar decisiones informadas a respecto (art. 26).

De manera un tanto diferenciada a lo que ocurre para los “particulares”, la LGPD prevé expresamente que el responsable deberá implementar mecanismos para acreditar el cumplimiento de los principios, deberes y obligaciones establecidos en esta normativa, y rendir cuentas sobre el tratamiento de datos personales en su posesión tanto al titular de los datos como al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) (art. 29).

En el artículo 30 de la LGPD, podemos encontrar algunos mecanismos que el responsable de los datos deberá adoptar para cumplir con el principio de responsabilidad (accountability), de los que resaltamos los siguientes:

  • Destinar de recursos autorizados para la elaboración e instrumentación de programas y políticas de protección de datos personales, obligatorios y exigibles al interior de la organización del responsable;
  • Poner en práctica de programas de capacitación y actualización del personal en la materia;
  • Revisare periódicamente las políticas y programas de seguridad de datos personales;
  • Establecer un sistema de supervisión y vigilancia interna y/o externa, que incluya auditorías;
  • Establecer procedimientos para recibir y responder dudas y quejas de los titulares
  • Diseñar, desarrollar e implementar sus políticas públicas, programas, servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos personales, de conformidad con las disposiciones previstas en la LGPD.

Asimismo, y de igual forma a lo que ocurre en el ámbito privado, podemos apreciar que la LGPD prevé que para el cumplimiento de sus principios, deberes y obligaciones, los responsables podrán valerse de estándares o mejores prácticas nacionales o internacionales.

En la nueva LGPD se prevé el deber de los sujetos obligados para establecer y mantener medidas de seguridad para la protección de los datos personales (art 31), y se especifica y define que estas medidas deberán ser de carácter administrativo, físico y técnico, orientadas a protegerlos contra daño, pérdida, alteración, destrucción o su uso, acceso o tratamientos no autorizados, así como a garantizar su confidencialidad, integridad y disponibilidad.

De manera particular, se indica que las acciones relacionadas con las medidas de seguridad para el tratamiento de los datos personales deberán estar documentadas y contenidas en un sistema de gestión (art. 34); y se ordena que los responsables deberán elaborar un documento de seguridad (art. 35), que contenga al menos:

  • El inventario de datos personales y de los sistemas de tratamiento;
  • Las funciones y obligaciones de las personas que traten datos personales;
  • El análisis de riesgos;
  • El análisis de brecha;
  • El plan de trabajo;
  • Los mecanismos de monitoreo y revisión de las medidas de seguridad, y
  • El programa general de capacitación.

Derechos ARCO

Tal y como ya ocurriera con la LFPD, la nueva LGPD importa de Europa el concepto de los derechos ARCO, para establecer que cualquier titular, en todo momento, podrá solicitar al responsable el acceso, rectificación, cancelación u oposición al tratamiento de los datos personales que le conciernen (art. 43).

En la LGPD, el equivalente al Departamento de Datos Personales (art. 30 LFPD) lo constituye la Unidad de Transparencia de cada responsable, en la que deberá darse trámite a las solicitudes para el ejercicio de los derechos ARCO.

Evaluaciones de Impacto en la Protección de Datos Personales

Las evaluaciones de impacto previstas en el artículo 74 de la LGPD constituyen una diferencia específica entre el régimen “publico” y el “privado” relativo a la protección de datos personales. En el primero, serán por regla general obligatorias, mientras que en el segundo son completamente voluntarias y optativas (aún).

La LGPD establece (art. 3, fracción XVI) que una Evaluación de Impacto en la Protección de Datos Personales es el “documento mediante el cual los sujetos obligados que pretendan poner en operación o modificar políticas públicas, programas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento intensivo o relevante de datos personales, valoran los impactos reales respecto de determinado tratamiento de datos personales, a efecto de identificar y mitigar posibles riesgos relacionados con los principios, deberes y derechos de los titulares, así como los deberes de los responsables y encargados, previstos en la normativa aplicable”.

Y conforme a su artículo 74, se prevé que cada evaluación de impacto deberá presentarse ante el INAI, para que este emita recomendaciones no vinculantes especializadas en la materia de protección de datos personales.

Como es previsible al respecto, el artículo 75 de la LGPD aclara qué debe considerarse como “tratamiento intensivo o relevante de datos personales”, indicando que existe tal cuando:

  • Existan riesgos inherentes a los datos personales a tratar;
  • Se traten datos personales sensibles, y
  • Se efectúen o pretendan efectuar transferencias de datos personales.

Como muchos de ustedes podrán advertir, será una prueba de fuego para todos los sujetos obligados en México, cumplir con esta disposición; o quizá no, puesto que toda esperanza puesta en la futura realización de numerosas evaluaciones de impacto, podría verse disminuida ante lo dispuesto por el artículo 79 de la LGPD (una verdadera bala en el pie, desde nuestro particular punto de vista):

Artículo 79. Cuando a juicio del sujeto obligado se puedan comprometer los efectos que se pretenden lograr con la posible puesta en operación o modificación de políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento intensivo o relevante de datos personales o se trate de situaciones de emergencia o urgencia, no será necesario realizar la Evaluación de impacto en la protección de datos personales.

Veremos si en el futuro inmediato los sujetos obligados gastan más tiempo en justificar que no es necesario realizar una evaluación de impacto en protección de datos personales, que en realizarla para cumplir de manera efectiva con el objeto y espíritu de la LGPD.

Otras consideraciones

El espacio (y la paciencia del lector) recomiendan detener nuestra presentación de la LGPD en este momento, para desarrollar otros aspectos de la misma en futuras oportunidades.

Sin embargo, y como cierre a estas líneas, dejemos dicho que la LGPD entró en vigor al día siguiente de su publicación en el Diario Oficial de la Federación de México; asimismo, que se ha dado al Congreso mexicano y a las legislaturas de cada una de las entidades federativas del país, un plazo de seis meses para que todas ellas realicen las adecuaciones necesarias para ajustar las leyes federales y locales a las disposiciones previstas en la LGPD (el art. 2, II de la LGPD establece que serán objetivos de ésta, entre otros, establecer las bases mínimas y condiciones homogéneas que regirán el tratamiento de los datos personales y el ejercicio de los derechos de acceso, rectificación, cancelación y oposición).

Finalmente, decir que será el tiempo el que nos dirá la efectividad y el grado de cumplimiento de esta nueva LGPD, y que somos optimistas al respecto, dado que la experiencia acumulada en cuanto al cumplimiento de la LFPD, nos permite prever que los sujetos obligados dirigirán su atención y recursos hacia el cumplimiento.

Los datos personales de las personas menores de edad en Costa Rica

Por Mauricio París

Ha trascendido en algunos medios de prensa una sanción de 900 euros impuesta por la Agencia de Protección de Datos española a un colegio privado en Sevilla por la utilización de fotografías de tres de sus alumnas (hermanas entre sí) en su sitio web, folletos, carteles y videos promocionales de dicho colegio sin contar con el consentimiento de sus padres. Este caso se presta para analizar el tema del tratamiento de los datos personales de las personas menores de edad en Costa Rica, de cara a las disposiciones de la Ley de Protección de Datos Personales (LPDP) y el Código Civil.

Conviene iniciar recordando que un dato personal es cualquier dato que identifica o hace identificable a una persona. Así, no sólo el nombre y el número de identificación son datos personales, sino también la fotografía, las huellas dactilares, el número de teléfono o el correo electrónico son considerados datos personales.

Establece el Art. 5 de la LPDP que la recolección y tratamiento de datos personales deberá contar con el consentimiento informado del titular de los datos, y en caso de recolección o tratamiento de datos sin dicho consentimiento, la Agencia de Protección de Datos podrá iniciar un procedimiento administrativo que podría desembocar en una multa. Precisamente, el principal reto en el caso de los menores de edad consiste en determinar quién o quiénes deben conferir dicho consentimiento al titular de la base de datos.

Ni la LPDP ni su Reglamento establecen un régimen jurídico especial para el consentimiento informado de los datos personales de las personas menores de edad, como sí establece, por ejemplo, la legislación española, que autoriza el tratamiento de datos personales de mayores de catorce años con su consentimiento, sin necesidad de contar con el de sus padres o tutores (Art. 13.1 del Reglamento a la Ley Orgánica de Protección de Datos española).

En Costa Rica, el Código Civil regula lo concerniente a la capacidad de las personas, y diferencia entre tres edades diferentes: a) Menor de 15 años, en donde se es absolutamente incapaz para obligarse por actos o contratos que se realicen personalmente; b) Mayor de 15 pero menor de 18 años, en donde los actos que se realicen son relativamente nulos y anulables a solicitud de sus representantes (padres o tutores), c) Mayor de 18 años, momento en que se adquiere la mayoría de edad, y en consecuencia capacidad jurídica plena, salvo casos en donde la persona sea declarada incapaz.

En consecuencia, al no existir un régimen jurídico especial para el consentimiento de los menores de edad en la recolección y tratamiento de los datos personales, sería de aplicación el régimen general establecido en el Código Civil en cuanto a la capacidad de las personas, con la complejidad adicional de que la patria potestad de un menor de edad la ejercen ambos padres (salvo que se ordene lo contrario o alguno de ellos haya fallecido), por lo que el consentimiento del menor debe ser otorgado por ambos progenitores o un tutor legalmente nombrado.

De hecho, en otras latitudes se han discutido casos en donde ambos padres discrepan sobre el uso de la imagen de sus hijos menores de edad. El uso de la imagen del menor por parte de uno de los padres sin el consentimiento del otro implicaría el uso de un dato personal sin consentimiento de su titular y, en consecuencia, sería objeto de tutela por parte de la Agencia de Protección de Datos. Si los padres ejercen la autoridad parental de forma conjunta, si divergen sobre el uso de la imagen del menor, tendrán que solicitar al juez de familia resolver el diferendo tomando en cuenta el interés del menor (Art. 151 Código de Familia). Estos supuestos pueden presentarse en hechos tan cotidianos como publicar una foto de los hijos en redes sociales.

¿Es necesario que se establezca un régimen especial en Costa Rica? Considero que sí, al menos para los mayores de quince años, pero menores de dieciocho, ya que, en realidad, la personalidad digital hoy día comienza a formarse mucho antes de adquirir la mayoría de edad. Por ejemplo, el mínimo de edad para abrir una cuenta en Facebook es de 14 años, y es muy común que los adolescentes cuenten con teléfonos inteligentes desde los cuales incluso realizan transacciones económicas, como la compra de aplicaciones o la suscripción a servicios digitales como Netflix, Spotify, etc. En todos estos casos, las plataformas digitales realizan tratamiento de datos personales, y requieren que el suscriptor otorgue su consentimiento, mismo que de acuerdo a nuestra legislación sería relativamente nulo entre los quince y los dieciocho años.

En el caso específico del uso de la imagen, debe recordarse que, además del régimen general de protección de datos, los artículos 47 y 48 del Código Civil contienen regulaciones sobre la materia, que en términos generales garantizan el derecho de la persona a que su imagen no sea publicada, reproducida o vendida sin su consentimiento (o el de sus padres o tutores en caso de menores), salvo casos de notoriedad, función pública o necesidades justicia o policía o sean captadas en lugares públicos, excepciones de muy limitada aplicación en caso de menores de edad.

En una sociedad en donde desde temprana edad niños y adolescentes están en contacto directo con la tecnología, es fundamental que tanto ellos como sus padres reciban formación sobre la importancia del correcto uso de sus datos personales, y también que exista un marco jurídico que regule adecuadamente la recolección y tratamiento de sus datos personales en las más tempranas etapas de la formación de la identidad digital en el mundo virtual.

Costa Rica introduce reformas a su Reglamento de Protección de Datos Personales

Por Mauricio París

El pasado 6 de diciembre de 2016 se publicó en el diario oficial La Gaceta (Alcance No. 287), la tan esperada reforma al Reglamento a la Ley de Protección de la Persona frente al tratamiento de sus Datos Personales. Decimos que es una esperada reforma no sólo por el tiempo trascurrido desde que se anunció que el Reglamento sería reformado, sino también por la importancia que dicho instrumento tiene al reglamentar una Ley que arroja más dudas que respuestas.

Las reformas introducidas son puntuales y atinadas; enfocadas en los elementos que esencialmente debían ser modificados. Alguien comentaba que esperaba más, y en mi criterio, no se puede esperar mucho más de un Reglamento que parte de una Ley deficiente que no puede contradecir ni extralimitar.

Las principales modificaciones introducidas, por su orden de importancia, son las siguientes:

  1. Delimitación a su ámbito de aplicación. Sin duda el Art. 2 de la Ley es un quebradero de cabeza en cuanto a su ámbito de aplicación, al excluirse las bases de datos de personas físicas o jurídicas “con fines exclusivamente internos, personales o domésticos”, conceptos estos jurídicamente indeterminados. El Reglamento original no aclaraba estos conceptos, error que se ha querido corregir con la reforma en comentario. Se han separado los conceptos: por un lado, las bases de datos personales o domésticas son aquella propiedad de personas físicas, y las de uso interno, son aquellas de personas jurídicas públicas o privadas, siempre y cuando su contenido no sea comercializado, distribuido o difundido. Se mantiene la definición de comercialización contenida en el Art. 2 inciso e) del Reglamento, y se reforma la de distribución y difusión contenida en el inciso j) de dicho artículo, limitándolo al fin de lucro. Esta es una definición mucho más robusta que la anterior, pese a las deficiencias del Art. 2 de la Ley.
  2. Los bancos y entidades financieras no se escapan a la Protección de Datos. Hemos sido críticos a la exclusión que las entidades bancarias procuraron hacer con la disposición del Art. 9 inciso 4 de la Ley, pero también hemos enfatizado que dicha exclusión no es total, y esta reforma va en ese sentido. Se establece que las bases de datos reguladas por la SUGEF no requieren inscripción ante la PRODHAB, pero que dicho órgano sí tiene plena competencia para regular y fiscalizar la protección de los derechos y garantías cubiertos bajo la Ley. Una reforma valiente y muy positiva para los titulares de datos personales frente a un sector que típicamente realiza tratamiento de datos personales de naturaleza sensible y que por ende debe encontrarse sometido a rigurosos controles en la materia.
  3. Consentimiento inequívoco. Si bien el Art. 5.2 de la Ley establece que el consentimiento informado puede constar en un documento físico o electrónico (lo cual en todo caso ya aplicaría en virtud del Principio de Equivalencia Funcional contenido en la Ley de Certificados y Firmas Digitales), el Reglamento en su Art. 4 d) establecía únicamente que debía ser escrito. La reforma no sólo regula la posibilidad de que sea electrónico, sino que incorpora más bien el criterio de que el mismo debe ser inequívoco, pudiendo otorgarse por cualquier medio, o mediante conductas inequívocas del titular, de forma que pueda demostrarse de manera indubitable su otorgamiento mediante una consulta posterior. Este es una reforma muy adecuada en el tanto incorpora la posibilidad de que el consentimiento se pueda otorgar, por ejemplo, mediante llamadas telefónicas, lo cual es muy frecuente en centros de servicio al cliente. Al final de cuentas, independientemente del medio que lo contenga, lo importante es que el consentimiento sea inequívoco y demostrable, y en ese sentido, la reforma es atinada al enfocarse en el fondo y no en la forma.
  4. Requisitos del consentimiento informado. Una reforma sencilla, pero de gran impacto es la del Art. 5, en el tanto exigía que el consentimiento informado fuera otorgado en un documento independiente de cualquier otro. Este requisito representaba un problema operativo para muchas empresas que manejaban un gran volumen de documentación y que debían emitir un documento adicional para el consentimiento informado. Con esta reforma, el consentimiento podrá incluirse dentro de otro documento, típicamente un contrato marco, con el requisito expreso de que, si así fuera, se regule como una cláusula específica e independiente (Art. 2 f) del Reglamento).
  5. La transferencia de datos no implica comercialización. Otra reforma significativa es la del Art. 40 del Reglamento al haber eliminado la presunción de que toda transferencia implicaba comercialización, lo que en la práctica obligaba que, para poder realizar cualquier transferencia de datos, dicha base debiera estar inscrita en PRODHAB.
  6. Muerte al Superusuario. Se derogó la figura del superusuario y todas las referencias a éste en el Reglamento. Esta figura era un requisito para la inscripción de bases de datos ante PRODHAB, en donde el responsable de la base de datos debía crearle un usuario y contraseña a PRODHAB para que pudiera ingresar a la base de datos. Pese a que el Reglamento hablaba de “Superusuario” (es decir un usuario con todos los permisos para consultar, modificar o suprimir datos), lo cierto del caso es que de la lectura del Art. 45 del Reglamento (hoy derogado) se colegía que en realidad era un usuario de consulta.
  7. El intermediario o proveedor de servicios. Este es uno de los temas en donde la reforma pudo ser mejor. Creemos que existe un error conceptual en diferenciar entre el intermediario o proveedor de servicios y el encargado, ya que en nuestro criterio juegan el mismo rol. El encargado no es la persona o el departamento que a lo interno de la empresa se encarga de los datos personales, como de la reforma del Art. 44 inciso c) parece colegirse. El encargado es un tercero a quien se le encarga el tratamiento de datos en nombre del responsable de la base de datos, sin que pueda modificar el destino de dicha base ni extralimitar su encargo (así se extrae de la definición contenida en el Art. 2 inciso k) del Reglamento y se desarrolla en los artículos 30 y 31). Lo positivo de la reforma en este punto es que se consagra expresamente en el nuevo Art. 40 que en el tanto lo que exista sea un encargo de datos, aun cuando exista tratamiento de datos, no existe transferencia.
  8. Grupos de interés económico. En la reforma del Art. 2 inciso c) se establece una norma muy práctica para las empresas multinacionales al garantizar condición de base de datos internas aquellas que sean “compartidas” entre empresas de un mismo grupo de interés económico, “ya sea local o con presencia internacional” siempre que no medie difusión o distribución a terceros, venta o comercialización de cualquier naturaleza. No obstante, preocupa que en el Art. 40 se indique pura y simplemente que no se considerará transferencia el traslado de datos personales entre empresas del mismo grupo de interés económico, sin limitarlo en los términos del Art. 2 a los casos en que no medie difusión o distribución a terceros, venta o comercialización. Se abre aquí un peligroso portillo.

La reforma al Reglamento de Protección de Datos sin duda es un paso en un camino adecuado, y afianza el buen trabajo desempeñado por la PRODHAB en los últimos tiempos. Debe reconocerse el esfuerzo de su Director, Mauricio Garro Guillén, y del equipo humano que lo acompaña. Esperamos que el siguiente paso sea una propuesta de reforma a la Ley de Protección de Datos Personales para corregir sus deficiencias.

Los avances sobre protección de datos en Iberoamérica serán analizados en el Instituto de Empresa

La aprobación del Reglamento General de Protección de Datos trae consigo importantes novedades y obligaciones para las que las empresas y organizaciones deben estar preparadas, entre las que destacan dichos tratamientos internacionales de datos personales y los procesos de regularización, aportando seguridad jurídica y transparencia a las mismas, y por tanto una mayor protección de los datos de las personas.

Adicionalmente, el proceso de internacionalización de las empresas, la apertura a nuevos mercados y el establecimiento en otros países, ponen de manifiesto la necesidad de conocer las distintas normativas en relación con el tratamiento de los datos personales, sus implicaciones, derechos y obligaciones.

Aspectos fundamentales necesarios para poder desarrollar modelos de negocio sostenibles, desde el respeto y observancia de las normas nacionales, y por tanto de los derechos de las propias personas, reduciendo riesgos, tanto desde el punto de vista de las sanciones asociadas como desde el impacto reputacional.

Iberoamérica avanza en la protección de este derecho, confluyendo países con nivel adecuado de protección conforme a la norma europea (Argentina y Uruguay), países con normativa específica en esta materia (entre otros países, Costa Rica, Colombia, República Dominicana, México, Perú, Chile y Nicaragua) y otros que cuentan con la garantía del habeas data reconocida en sus Constituciones, en un momento en que Ecuador, Honduras, Brasil y Panamá se encuentran tramitando sus proyectos de Ley y que países como Chile se encuentran modificando sus normativas.

Por ello, en esta Masterclass del Instituto de Empresa se abordarán las diferentes regulaciones en el plano internacional que afectan dicho tratamiento de los datos personales, haciendo especial hincapié en Iberoamérica y los diferentes modelos normativos.

Durante la Masterclass, que será moderada por Cristina Sirera, (Colt Data Protection Advisor y Coordinadora del Privacy, Data Protection and Security Program del propio Intituto de Empresa), se responderán a cuestiones tales como: ¿Cómo avanza Iberoamérica en la regulación y protección efectiva de los datos personales? ¿Qué retos afrontan las empresas ante el cumplimiento de las diferentes normativas? ¿Cómo afectará el Reglamento General de Protección de Datos a los diferentes marcos normativos y los países con nivel adecuado de protección?

Baja el título “Privacidad y protección de datos, una mirada desde Iberoamérica”, se analizará la realidad de la protección de datos en el ámbito internacional con profesionales que abordaran la temática desde el punto de vista institucional, legal, generación de negocio, entre otros, facilitando a los asistentes una visión práctica de esta importante cuestión.

Para abordar está temática, contaremos con la participación de Francisbel Jerez Castillo (Vicecónsul de la República Dominicana), Mauricio Garro Guillén (Director Nacional de la Agencia de Protección de los Datos de los Habitantes de Costa Rica), Sara María Fernández (Gerente de Consumo y Privacidad en Telefónica España) y Daniel López Carballo (Asociado Senior de IT, Privacy and Data Protection en ECIJA y responsable de la iniciativa del Observatorio Iberoamericano de Protección de Datos), bajo la moderación de Cristina Sirera.

Para Francisbel Jerez, “estos espacios de intercambio resultan de vital importancia a fin de lograr avances significativos en la garantía efectiva del derecho a la protección de datos y en la extensión de la cultura de la privacidad en Iberoamérica”.

En palabras de Mauricio Garro “el desarrollo trepidante de las Tecnologías de la Información, requiere de un esfuerzo conjunto, tanto local como internacional, para establecer un marco normativo uniforme de Protección de Datos Personales, que genere las garantías necesarias a los ciudadanos, independientemente de su nacionalidad y condición especifica. Solo así podremos conseguir soluciones homogéneas para sociedades diversas”.

Igualmente, para Daniel López “sólo desde un conocimiento global del ámbito normativo en los diferentes Estados, pueden adoptarse soluciones globales que puedan aportar garantías suficientes, posibilitando el avance tecnológico y empresarial, desde el respeto a los derechos de las personas, evitando riesgos, tanto de sanciones, como reputacionales, aportando valor a los propios modelos de negocio”.

Espíritu que, para Cristina Sirera, recoge la Jornada y las distintas acciones formativas que se están promoviendo en el Instituto de Empresa (como el Privacy, Data Protection and Security Program), “abordando la temática desde diferentes ópticas (autoridades de control, embajadas y consulados, empresas y profesionales de la abogacía),  desde la cooperación y el debate de ideas, puede avanzarse en el conocimiento y protección efectiva de este derecho fundamental, posibilitando el avance tecnológico y económico en la era de la economía digital”.

La Masterclass “Privacidad y protección de datos, una mirada desde Iberoamérica”, que podrá seguirse por streaming en este enlace, tendrá lugar el próximo jueves 27 de octubre a las 19,00 horas (hora de Madrid UTC/GMT + 1 h) en la sede del Instituto de Empresa en Madrid.

1.034 Millones de Pesos. Colmedica recibe multa más alta impuesta por el régimen de Proteccion de Datos en Colombia

Por Ivan Dario Marrugo Jimenez

Recientemente se ha conocido que mediante Resolución 39298 del pasado 21 de Junio de 2016, la Direccion de investigaciones de protección de datos personales de la Superintendencia de Industria y Comercio impuso a la empresa COLMEDICA MEDICINA PREPAGADA S.A., dos sanciones pecuniarias que ascienden a 1.500 salarios mínimos legales mensuales vigentes, es decir la suma de $1.034.182.500. Esta multa, es la más alta impuesta hasta la fecha por el Régimen general de protección de datos personales, creado mediante la Ley 1581 de 2012 y sus normas reglamentarias. A continuación resaltamos algunos aspectos que resultan de cardinal importancia en el proceso de administracion de datos personales. Si bien se trata de una sanción impuesta en primera instancia, frente a la cual la empresa sancionada tiene todas las acciones de defensa, analizamos dicha Resolución con el fin de promover la importancia de atender las obligaciones en materia de privacidad en Colombia.

¿Qué paso?

En el proceso de investigación se pudo establecer que Colmedica dejó en evidencia información de treinta usuarios que habían realizado consultas médicas por la página web de la empresa (atención en línea), la entidad no había tomado las medidas de seguridad adecuadas, toda vez que, una de las pacientes digitó su nombre en un motor de búsqueda www.colmedica.com – consulta best doctors  cuando le arrojó como resultado, la información que había suministrado en dicho portal para su consulta médica, en dicha búsqueda aparecían datos como: 1) nombre y apellido, 2) documento de identificación, 3)dirección de correspondencia y ciudad ,4) correo electrónico, 5)fecha de nacimiento,6) género, 7) una descripción de la consulta formulada por el usuario del servicio en la que hace relación a su estado de salud actual indicando las patologías que padece; 8) diagnósticos y reportes de exámenes médicos en general y 9) estado de la solicitud

Una vez la superintendencia recibe la queja e inicia investigación, comprobó que este hecho no solo se había presentado con la quejosa, si no con 30 personas más.

Aunque Colmedica apenas tuvo conocimiento de la queja, implementó una medida de seguridad para el ingreso a su portal utilizando usuario y contraseña, en desarrollo de la etapa preliminar, la superintendencia por medio de su laboratorio de informática forense realizo una prueba ingresando a internet (motor de búsqueda) y digitando en google el nombre de la persona que interpuso la queja, en su primer intento, efectivamente se encontró que para acceder a la información era necesario digitar usuario y contraseña, pero en su segundo intento, utilizando la opción EN CACHE del motor de búsqueda de google, encontró que tal y como había manifestado la quejosa, antes no existía una medida de control de acceso y el ingreso era directo y sin ningún tipo de restricción.

Adicionalmente, en tres casos analizados de forma aleatoria, se hacía relación a información personal de salud de menores.

Vulneración del derecho

Principios rectores en el tratamiento de datos personales

La dirección de investigación de la Delegatura de protección de datos personales, observó que del conjunto de principios rectores enunciados en el art 4 de la ley 1581 de 2012, y de conformidad con la fundamentación fáctica que dio origen a la investigación, podrían verse afectados con la conducta indagada principios de libertad, circulación restringida y seguridad.

Consideraciones de la SIC

Deberes de los responsables del tratamiento de datos personales:

En el caso se formularon cargos en contra de COLMEDICA en la medida en que las averiguaciones preliminares desarrolladas y verificados los hechos en la denuncia, se determinó que COLMEDICA efectivamente ostenta la calidad de responsable del tratamiento de los datos personales de sus usuarios, ya que es quien establece los fines y medios esenciales para el tratamiento.

DEBERES INCUMPLIDOS POR EL RESPONSABLE DE TRATAMIENTO DE LOS DATOS PERSONALES, CONSAGRADOS EN LOS ART 9 Y 17 DE LA LEY 1581.

  • Deber de obtener autorización previa para el tratamiento
  • Deber de conservar la información bajo las condiciones de seguridad
  • Deber de informar sobre la ocurrencia de incidentes de seguridad: en este punto se advierte que no se admite excepción alguna a este deber de informar a la SIC cualquier violación a las medidas de seguridad que originen riesgos en la administración de los datos personales que realicen los responsables de tratamiento.

CLASIFICACIÓN DE LOS DATOS PERSONALES: Datos sensibles: Generan una vinculación a la esfera personalísima del titular, siendo así una materialización del art 15 de la C.P, conforme a esto los responsables y encargados, deben ser más diligentes cualquier operación que involucre datos sensibles. Datos de niñas, niños y adolescentes: salvaguardar teniendo en cuenta que se trata de sujetos de especial protección (ART 44 C.P), deben prevalecer sus derechos y el interés superior de este tipo de sujetos de especial protección constitucional.

CARGOS IMPUTADOS

  • Falta del deber de Colmedica de conservar la información bajo las condiciones de seguridad que sean necesarias para impedir la divulgación no autorizada.
  • Falta del deber de colmedica de informar a la SIC cuando se presenten violaciones a los códigos de seguridad y existen riesgos de en la administración de la información, frente a esto se tuvo en cuenta:
  • Art 2.2.2 .25.3.7 del decreto único reglamentario 1074 de 2015 y su integración con la circular externa No 002 del 03 de nov de 2015.
  • Disposiciones relacionadas con la seguridad de la información y la interpretación del deber de contenido en el literal n) del artículo 17 de la ley 1581 del 2012, en específico, el concepto de violaciones a los códigos de seguridad.

Durante el lapso comprendido entre enero de 2014 y septiembre 2015, la información de la quejosa estuvo divulgada sin ninguna restricción en el portal web www.colmedica.com , especificamente en el sitio transaccional best doctors, al que se podía acceder por medio del buscador google.

Con anterioridad a septiembre de 2015, los datos personales relativos a la salud, es decir de carácter sensible de 30 personas, dentro de los que se encuentran 3 menores de edad, estuvieron divulgados sin restricciones.

La divulgación de los datos personales semiprivados, privados, de naturaleza sensible y algunos relativos a niños, niñas y adolescentes, fueron originadas por que el ingreso anónimo de sharepoint best doctors no se encontraba deshabilitado.

La divulgación indebida de datos personales, semiprivados y privados, de carácter sensible, y algunos relativos a niños, niñas y adolescentes, obedeció a un incidente de seguridad que comprometió los datos personales de los titulares poniendo en riesgo los mismos, información que debió ser informada en su momento por Colmedica a la Superintendencia.

Sanción económica

En el caso, quedo demostrado que a pesar de las explicaciones presentadas por la investigada no existe justificación válida para no haber conservado la información personal de los 30 casos y más de los 3 casos de menores de edad, bajo las medidas de seguridad que demandaban .

Colmedica no conservo las medidas que se requieren hacer parte de las categorías especiales de los datos.

No hay lugar a dudas para la entidad de la dimensión del daño que efectivamente se materializo en el caso en cuestión al divulgarse información sensible en un medio de comunicación masiva, por cuanto es evidente que los intereses tutelados por ley estatutaria de protección de datos, fueron vulnerados.

Colmedica, no informo a la Superintendencia el incidente de seguridad como deber legal, y solo se limitó a resolver este caso puntual, dejando de lado los 29 titulares.

Multa de $827.346.000 que equivalen a 1200 SMMLV por incumplimiento de lo dispuesto en el literal d) art 17 y literales f y g del art 4 de la ley 1581 del 2012

otra multa por el valor de $ 206.836.500 que equivalen a 300 SMMLV por la infracción del literal n) art 17 de la ley 1581, relacionado con el deber de informar a la autoridad de control cuando se presenten violaciones a los código de seguridad y existan riesgos en la administración de la información.

Es sin duda la tipología de información (Datos médicos) y los riesgos en su administracion la que llevan a la Superintendencia a la imposición de una multa en esta cuantía. Es claro que lo que se castiga es la falta de diligencia y la inobservancia del deber de informar al ente supervisor sobre la ocurrencia de una brecha de seguridad que expuso información sensible por internet.

Es deber de las entidades de salud tomar las medidas necesarias de seguridad, partiendo que se tratan de entidades que por su naturaleza manejan un nivel de información muy sensible; es mayor el deber de cuidado que se requiere dando aplicación a los postulados del Art. 26 y 27 del Decreto 1377 de 2013 (Hoy DU 1074 de 2015 cap. 25)

Una lección importante dejará esta sanción para las empresas Colombianas en prestar su mejor esfuerzo en la administracion de los datos. Con la reglamentación y el uso cada vez mayor de sistemas de información, el riesgo de exposición de datos privados también se ha aumentado; es por ello que las empresas y entidades deben demostrar que sus procesos y actividades respetan el derecho fundamental del Siglo XXI, el de Proteccion de datos personales.