Vulneraciones de datos personales y responsabilidad de los encargados bajo la Ley mexicana (primera parte)

brechas_seguridad

Por Héctor E. Guzmán Rodríguez

El escenario

Como resulta evidente, el escenario de nuestro análisis es uno del todo indeseable que, sin embargo, ocurre con una frecuencia mayor a la que todos los involucrados desearían.

El trasfondo del mismo proviene del actual marco organizativo de las empresas y de las decisiones de negocios que adoptan para ahorrar recursos y mejorar la eficiencia de sus actividades; en concreto, la externalización de servicios dentro o fuera de su territorio.

Nuestro interés se centra en los denominados “encargados”: aquellas personas físicas o morales, públicas o privadas, que para la prestación de un servicio deben tratar datos personales por cuenta y bajo las instrucciones de un responsable; personas que la normativa mexicana, puntualiza y aclara, son ajenas a la organización del responsable (art. 49 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares a la fecha vigente – en adelante, el “Reglamento de la LFPD”).

Y en particular, queremos abordar una cuestión que la experiencia reciente ha demostrado no estar resuelta satisfactoriamente ni para los responsables ni para los encargados sujetos a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares en vigor (en adelante, la “LFPD”):

¿Qué medidas debe adoptar y cuáles son las obligaciones de un encargado que ha sufrido una vulneración de seguridad?

Los protagonistas

En el escenario de una vulneración de seguridad que involucra datos personales, identificaremos a dos actores principales que en otras jurisdicciones ya han sido ampliamente analizados:

  • El Responsable que ha contratado un servicio para sí que conlleva necesariamente el tratamiento de datos personales que se encuentran en su posesión y,
  • El Encargado que por cuenta del responsable necesariamente trata tales datos personales para la prestación del servicio contratado.

Cabe señalar que en el supuesto que analizamos también podríamos encontrarnos con un “actor secundario”, identificado por la normativa mexicana como el “Subcontratado”. Esta persona (física o moral, y que en supuestos de mayor complejidad podrían ser varias personas) aparece en escena cuando, para la prestación del servicio contratado, el encargado debe llevar a cabo la subcontratación de determinados servicios; siempre con autorización del responsable (art. 54 del Reglamento de la LFPD.

En todo caso, y a efectos de las recomendaciones que aquí desarrollaremos, debemos tener presente que

el Subcontratado asume las mismas obligaciones que la normativa aplicable establece para el encargado.

Ha ocurrido una vulneración de seguridad

De forma taxativa, el art. 63 del Reglamento de la LFPD enumera las vulneraciones de seguridad de datos personales que pueden ocurrir “en cualquier fase del tratamiento”.

Ante una vulneración de seguridad, el art. 64 del Reglamento establece que tras haber “confirmado” su existencia y determinado que ésta afecta “de forma significativa” a los “derechos patrimoniales o morales” de los titulares y una vez haya tomado “las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación”, el Responsable deberá informar “al titular” (sic) sobre la ocurrencia de la vulneración de seguridad (como mínimo trasladar la información que se enumera en el art. 65) y, además, deberá “analizar las causas por las cuales se presentó e implementar las acciones correctivas, preventivas y de mejora para adecuar las medidas de seguridad correspondientes, a efecto de evitar que la vulneración se repita.” (art. 66 del Reglamento de la LFPD).  Para ampliar consideraciones relativas a la interpretación de las disposiciones de la normativa mexicana sobre vulneraciones de seguridad, recomendamos ampliamente la consulta de la siguiente entrada: “Todo lo que querías saber sobre la notificación de vulneraciones de datos personales en la nueva legislación mexicana” (1ra parte) y 2da parte.

Frente a una vulneración de seguridad, un Encargado comprobará que la legislación mexicana no le menciona, ni prevé obligaciones a su cargo, de forma expresa.

Supongamos que el servicio contratado por el responsable ya se encuentra en marcha y los datos personales se hallan en los sistemas de información (“SSII”) del Encargado. Pues bien, ante una vulneración de seguridad en sus SSII, dicho Encargado no encontrará ninguna disposición al respecto que le mencione expresamente, ni directrices de actuación, ni obligaciones “claras” a su cargo, puesto que los artículos 63 a 66 del Reglamento de la LFPD, a los que nos hemos referido, únicamente hacen referencia al Responsable.

¿Lagunas?

Conforme a nuestra experiencia, podemos comentar que la primera reacción de un encargado que sufre una vulneración de seguridad de datos personales es la de afirmar que, sobre este aspecto, la legislación vigente no le resulta aplicable. Acto seguido, tras escuchar alguna opinión legal, concede que, en todo caso, la normativa de protección de datos adolece de lagunas sobre la forma en que debe actuar y responder frente al Responsable (¿y los Titulares?). Las propuestas y recomendaciones para actuar en el marco legal existente y, sobre todo, para evitar posibles sanciones, le parecen, según el caso, demasiado generales, imprecisas… o excesivas.

La normativa vigente genera inseguridad jurídica respecto de la forma en que un encargado debe actuar al verse inmerso en una vulneración de seguridad.

Por otro lado, si atendemos a la tradición jurídica mexicana (profundamente arraigada, por cierto), que demanda de las leyes e instrumentos legales enumeraciones excesivas y en muchos casos innecesarias, podemos llegar a entender que actualmente exista inseguridad jurídica respecto de la forma en que un encargado debe actuar al verse inmerso en una vulneración de seguridad, pues todo parece indicar que la Ley “nada” establece al respecto.

Pero en todo caso, y si en efecto un encargado ha confirmado la ocurrencia de una vulneración de seguridad como las que enumera el art. 63 del Reglamento de la LFPD, y éste es consciente de la existencia de una relación jurídica que le vincula con el responsable y, además, conoce la existencia de otras disposiciones en las que claramente se definen sus obligaciones (e.g. art. 50 del Reglamento de la LFPD), al día de hoy persisten ciertas interrogantes importantes: ¿Qué debe hacer este encargado?, ¿cómo debe actuar?, ¿existen obligaciones de éste frente al Responsable?

Al día de hoy persisten ciertas interrogantes importantes: ¿Qué debe hacer el Encargado?, ¿Cómo debe actuar? ¿Existen obligaciones de éste frente al Responsable?

En la segunda parte de esta entrada, y bajo el espectro del objeto de la normativa de protección de datos personales, intentaremos dar respuesta a las cuestiones anteriores, planteando además algunas recomendaciones esenciales para encargados y responsables.

Este artículo fue originalmente publicado en el blog “Information Security Breaches & The Law” el 14 de enero de 2014. Photo by Jens Schott Knudsen, shot on July 18, 2013. Creative Commons Attribution – Non-Commercial License. Available at Flickr; photostream.