Vulneraciones de datos personales y responsabilidad de los encargados bajo la Ley mexicana (segunda parte)

sb_mexico

Por Héctor E. Guzmán Rodríguez

¿Lagunas?

En la primera parte de esta opinión, y frente a la ocurrencia de una vulneración de seguridad en los sistemas de información (“SSII”) de un Encargado, las siguientes preguntas quedaron abiertas:

¿Qué debe hacer un Encargado que sufre una vulneración de seguridad?, ¿cómo debe actuar?, ¿tiene obligaciones frente al Responsable?

Consideramos que una forma de resolver las interrogantes planteadas pasa por la lectura o interpretación teleológica de la normativa sobre protección de datos; en concreto y a partir del artículo 1 de la LFPD que claramente establece que ésta tiene por objeto “la protección de los datos personales en posesión de los particulares”, y que este objeto tiene como finalidad “regular su tratamiento legítimo, controlado e informado [de los datos personales], a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.”

En este sentido, hemos de entender que el conjunto de disposiciones sobre la materia se constituye primariamente sobre el resultado que se pretende obtener – la protección de los datos personales – y la finalidad que con ello se persigue. De otra forma, y tal y como demuestra laexperiencia internacional, cualquier normativa de protección de datos quedaría obsoleta y vacía de contenido en un tiempo relativamente corto, y los supuestos y medios de tratamiento que en el futuro pudieran generarse o descubrirse, rebasarían el objeto de la norma.

Dicho lo anterior, reiteramos que resulta indispensable entender la normativa de protección de datos personales bajo el espectro primario de su objeto, y en consecuencia interpretar sus disposiciones como medios para alcanzarlo.

En todo aquello que no resulte incompatible con la figura, las disposiciones de la LFPD y su Reglamento sobre medidas de seguridad que mencionan al Responsable, también resultan aplicables a los Encargados.

Es por ello que, en primer lugar, y en todo aquello que no resulte incompatible con su naturaleza o que deba ser regulado de forma específica por la misma razón, consideramos que las disposiciones de la LFPD y su Reglamento sobre medidas de seguridad que mencionan o se refieren al responsable de los datos personales, también resultan aplicables a los encargados; pues aún y cuando se trata de dos figuras bien diferenciadas, tienen en común el hecho de llevar a cabo el tratamiento de datos personales, y que para hacerlo deben utilizar sistemas de información “seguros”, es decir, sistemas que deben adoptar medidas (físicas, técnicas y administrativas) para protegerlos.

Un Encargado tiene la obligación de notificar sus vulneraciones de seguridad al Responsable para que éste actúe, también, conforme a la LFPD y su Reglamento.

En segundo lugar, y dado que la legislación no distingue en el sentido contrario – más bien, en el sentido que apuntamos – debe considerarse que todas las fases del tratamiento deben adoptar las medidas de seguridad necesarias para proteger los datos personales, con independencia de quién lleve a cabo o a cargo de quién se encuentren todas o algunas de dichas fases del tratamiento.

Finalmente, consideramos que las disposiciones de los arts. 4, fracción IV y 14 de la LFPD, así como lo establecido por el art. 47 de su Reglamento, arrojan una primera aproximación para resolver la cuestión que nos ocupa. El primero establece que:

“Cuando el responsable no se encuentre ubicado en territorio mexicano, pero el encargado lo esté, a este último le serán aplicables las disposiciones relativas a las medidas de seguridad contenidas en el Capítulo III del presente Reglamento” (el énfasis en nuestro).

en tanto que el numeral segundo dispone que:

“el responsable velará por el cumplimiento de los principios de protección de datos personales establecidos por esta Ley, debiendo adoptar las medidas necesarias para su aplicación. Lo anterior aplicará aún y cuando estos datos fueren tratados por un tercero a solicitud del responsable (el énfasis es nuestro).

Finalmente, el artículo 47 del Reglamento de la LFOD establece que:

“el responsable tiene la obligación de velar y responder por el tratamiento de los datos personales que se encuentren bajo su custodia o posesión, o por aquéllos que haya comunicado a un encargado, ya sea que este último se encuentre o no en territorio mexicano” (el énfasis es nuestro).

Bajo estas premisas, otros dos artículos resultan claves para comprender las recomendaciones y conclusiones que cerrarán estas reflexiones. Ambos dispositivos se refieren expresamente al Encargado, y aunque en el segundo de ellos consideramos que la expresión “en su caso” resulta innecesaria, su texto resulta lo suficientemente claro para concluir que un Encargado también tiene obligaciones que cumplir en caso de sufrir una vulneración de seguridad en sus SSII, y que, para el cumplimiento del objeto de la LFPD, debe comunicar dicha vulneración al Responsable.

En concreto, el art. 50, fracción III del Reglamento de la LFPD establece:

Obligaciones del encargado

Artículo 50. El encargado tendrá las siguientes obligaciones respecto del tratamiento que realice por cuenta del responsable:

[…]

III. Implementar las medidas de seguridad conforme a la Ley, el Reglamento y las demás disposiciones aplicables; […]

Y el art. 57 del mismo ordenamiento, que abre su Capítulo III (“De las Medidas de Seguridad en el Tratamiento de los Datos Personales”), dispone:

Alcance

Artículo 57. El responsable y, en su caso, el encargado deberán establecer y mantener las medidas de seguridad administrativas, físicas y, en su caso, técnicas para la protección de los datos personales, con arreglo a lo dispuesto en la Ley y el presente Capítulo, con independencia del sistema de tratamiento. Se entenderá por medidas de seguridad para los efectos del presente Capítulo, el control o grupo de controles de seguridad para proteger los datos personales.

Personalmente, entendemos que el uso de la expresión “en su caso” en el artículo 57 del Reglamento de la LFPD se refiere a aquellos casos en que el tratamiento de los datos personales por parte del Responsable, para determinadas finalidades y en relación con bases de datos específicas, se encomienda a un Encargado, quien, como establece el artículo 50, fracción III, deberá implementar las medidas de seguridad conforme a la Ley, el Reglamento y las demás disposiciones aplicables.

Con todo lo anterior en mente, sólo basta recordar o hacer notar que los artículos 63 a 66 del Reglamento de la LFPD – es decir, aquellos que regulan las vulneraciones de seguridad de datos personales – se encuentran ubicados, precisamente, en el Capítulo III de este ordenamiento; es decir, que sus disposiciones se refieren también a medidas de seguridad en el tratamiento de datos personales que el Responsable y, en su caso, el Encargado, deben establecer y mantener.

7 Recomendaciones esenciales para Encargados

Llegados a este punto, las siguientes recomendaciones y conclusiones nos parecen esenciales para que un Encargado pueda actuar con apego a la normativa de protección de datos personales, en caso de sufrir una vulneración de seguridad:

  1. Debe interpretar dicha normativa de acuerdo a su finalidad, y no de forma literal a algunas de sus disposiciones. Como Encargado, también debe velar y responder por el tratamiento de los datos personales a su cargo, en este caso y en primer lugar frente al Responsable.
  2. Asumir que su actuación como Encargado conlleva el tratamiento de datos personales, tal y como lo define el artículo 3, fracción XVIII de la LFPD – es decir, que puede obtener, usar, divulgar, almacenar, acceder, manejar, transferir o divulgar datos personales, bajo las instrucciones del Responsable; sea que participe en todas o sólo en algunas de las fases de dicho tratamiento.
  3. Para el desempeño de sus funciones como tal, un Encargado debe implementar procedimientos adecuados para hacer frente a la ocurrencia de vulneraciones de seguridad, como parte de las medidas de seguridad que debe adoptar para el tratamiento de datos personales.
  4. Habiendo identificado la actualización de los supuestos a que se refiere el artículo 64 del Reglamento de la LFPD, un Encargado debe proceder a comunicar al Responsable correspondiente, al menos, la información a que se refieren las fracciones I, II y IV de dicho numeral – la naturaleza del incidente, los datos personales comprometidos y las acciones correctivas realizadas de forma inmediata – y facilitar los medios e información indispensables para que éste pueda, en su caso y bajo su responsabilidad, entregar a los Titulares la información a que se refieren las fracciones III y V del artículo de referencia – recomendaciones acerca de las medidas para que los Titulares puedan proteger sus intereses y los medios donde pueden obtener más información al respecto.
  5. Frente a la existencia de Subcontratados y en el marco de cumplimiento del artículo 54 del Reglamento de la LFPD, establecer en las cláusulas contractuales que celebre con aquéllos la obligación de comunicar al Encargado y al Responsable la ocurrencia de una vulneración de seguridad en sus propios SSII.
  6. Encargados y Responsables deben establecer cláusulas contractuales para regular su relación jurídica y el tratamiento de los datos personales involucrados (artículo 51 del Reglamento de la LFPD).
  7. Encargados y Responsables también deben establecer las cláusulas contractuales adecuadas, que prevean la ocurrencia de una vulneración de seguridad en los SSII del Encargado y la forma en que éste debe actuar en caso de que esta ocurra, con el objeto de asegurar que la vulneración será comunicada al Responsable.

Este artículo fue originalmente publicado en el blog “Information Security Breaches & The Law” el 21 de enero de 2014. Photo by Alexander Kolosov, shot on July 18, 2013. Creative Commons “Attribution-ShareAlike 2.0 Generic (CC BY-SA 2.0) licence.