En México: retos para la adaptación a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares

lopd_mexico

Por Héctor E. Guzmán Rodríguez

1. Introducción

Desde una posición que considero privilegiada, soy testigo de la entrada en vigor en México de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPD) y asisto por vía de colaboración a los retos inherentes a la puesta en marcha de proyectos de adaptación de este ordenamiento en un Estado que hasta hace poco no contemplaba como derecho fundamental la protección de los datos personales.[1]

México se encuentra frente al gran reto de insertar a las personas físicas y jurídicas sujetas a la LFPD en el marco de cumplimiento de una normativa similar a la que hoy en día es aceptada y valorada tanto en España como en el resto de la Unión Europea.

Este reto viene acompañado de varios factores que afloran conforme los plazos transitorios de entrada en vigor de la LFPD se van sucediendo, dando origen a una mayor demanda de este tipo de servicios, a la vez que generando sorpresas en aquellos interesados que los solicitan.

Con este escrito pretendo transmitir experiencias de primera mano que a muchos de mis compañeros en España sonarán a “viejos tiempos” de la “LOPD”[2], así como dar a conocer algunos aspectos relevantes de esta nueva disposición mexicana.

2. Cultura de protección de los datos personales: El reto de la concienciación

Si, como hemos indicado anteriormente, México introdujo como derecho fundamental la protección de datos personales en junio de 2009, es fácil concluir que el país apenas comienza a transitar por un cambio de idiosincrasia en relación con los derechos que derivan a favor de los ciudadanos en esta materia y las obligaciones recíprocas que ahora deben cumplir los “particulares” que tratan dichos datos en el curso de sus actividades.

El valor intrínseco de esta protección y la percepción de que el ciudadano tiene derechos en relación con sus datos personales aún debe permear en la sociedad mexicana; esta sociedad ahora pasa a ser consciente del derecho que le asiste para exigir la protección y seguridad de sus datos frente a aquellas organizaciones que durante mucho tiempo los han tratado sin estar obligadas a informar sobre las finalidades o usos de aquéllos, ni obligadas tampoco a adoptar medidas concretas y verificables que permitan proteger los datos personales contra daños, pérdidas, alteraciones, destrucciones o el uso, acceso o tratamiento no autorizado de los mismos.

En este escenario, de sobra es conocido que la aplicación efectiva y puntual de la ley constituye un pilar esencial para impulsar el conocimiento y la conciencia sobre la importancia que reviste una legislación sobre esta materia; de la misma manera que los profesionales dedicados a ella constituyen otra base de impulso mediante la debida difusión, formación y asesoría de aquellos que ya han asumido el cumplimiento de este nuevo ordenamiento. De ahí que sea necesario asumir desde ahora que el camino no será fácil ni corto.

3. Publicación y entrada en vigor: El espejismo del Aviso de Privacidad.

La LFPD fue publicada el 5 de julio de 2010,[3] indicando el primer artículo transitorio de su Decreto de expedición que entraría en vigor al día siguiente. Se estableció además que el reglamento de la LFPD debería ser expedido dentro del año siguiente a su publicación,[4] aunque dicho plazo ha vencido y su publicación se espera a finales de 2011 o principios de 2012.

En cuanto al sub-tema de este apartado, debemos atender a que el artículo tercero transitorio de la LFPD estableció:

“Los responsables designarán a la persona o departamento de datos personales a que se refiere el artículo 30 de la Ley y expedirán sus avisos de privacidad a los titulares de datos personales de conformidad a lo dispuesto por los artículos 16 y 17 a más tardar un año después de la entrada en vigor de la presente Ley.”[5]

Esta disposición transitoria, que se refiere únicamente a dos obligaciones, ha sido el punto de partida para posponer acciones concretas de adaptación y para ceñir su alcance, de forma un tanto incomprensible, al cumplimiento de una obligación formal como la “expedición” de los denominados “Avisos de Privacidad”.

Pocos profesionales mexicanos que hayan decidido incursionar en proyectos de consultoría de adecuación a la LFPD pueden negar haber recibido alguna llamada a través de la cual el interesado solicitó la redacción de dichos avisos “para cumplir con la LFPD”. En ocasiones, los interesados se limitan a solicitar “el” aviso de privacidad. Otros clientes más ambiciosos han solicitado asesoría para cumplir con la expedición de sus avisos de privacidad y para nombrar a la persona o departamento de datos personales.

Estas llamadas han ido en aumento, pues el plazo concedido por el legislador para cumplir con esa dos obligaciones venció el pasado 6 de julio de 2011.

En todo caso, lo cierto es que los consultores en México se enfrentan a la creencia generalizada de que la implementación de “el aviso de privacidad” constituye la más importante obligación a su cargo (si no la única) como consecuencia de la entrada en vigor de la LFPD.

De ahí que ante este error de apreciación nos encontremos con el desconcierto de quienes quieren cumplir con la LFPD en el momento en que son informados de que la adopción de los avisos de privacidad no es la única obligación a cumplir, y de que una correcta adaptación de su organización debe pasar un proyecto de consultoría con vertientes jurídicas y técnicas.

El “Efecto Aviso de Privacidad” ha pasado factura: algunos interesados retiran su interés para cumplir con la LFPD o aplazan la decisión, otros optan por acudir a otros profesionales con la esperanza de escuchar que no son tantas las obligaciones a su cargo. En el mejor de los casos, el cliente se muestra dispuesto a recibir una oferta que explique las acciones que deben emprenderse para cumplir con la LFPD; pero el efecto aviso de privacidad estará presente, dado que el coste del proyecto aparecerá como desproporcionado si se le compara con las expectativas iniciales, que sólo contemplaban pedir, recibir y expedir dicho aviso.

4. El reto del conocimiento profundo del cliente

Uno de los mayores retos que atestiguamos a día de hoy (quizás el mayor), es la reticencia de los clientes a que el proyecto de adaptación se desarrolle de tal forma que permita conocer en profundidad a la organización: Se cuestiona la pertinencia o relevancia de entrevistas con los jefes de unidades organizativas de la entidad y la revisión del entorno físico; iniciativas que algunas veces son calificadas como intrusivas. Desafortunadamente, el interés de los consultores por conocer íntegramente al cliente que debe ser adaptado aún no se percibe como algo enteramente positivo.

Además del nivel básico de cultura sobre datos personales, atribuyo esta resistencia al “Efecto Aviso de Privacidad”. Como ya he indicado anteriormente, la idea de que la expedición de los avisos de privacidad constituye la obligación principal que dimana de la LFPD, predispone el concepto de los clientes sobre el objeto y alcance de un proyecto de adaptación, sorprendiéndoles en muchas ocasiones el número de acciones que se desean emprender, así como la cantidad de información y documentación solicitada y la propia duración del proyecto.

De ahí que el uso de cuestionarios constituya, en este momento, una vía alternativa para conocer de la mejor forma posible a la organización que se desea adaptar; careciendo como es obvio de la posibilidad de contacto personal y la transmisión de conocimientos hacia los entrevistados, que siempre permite “descubrir” tratamientos de datos personales ahí donde nadie pensaba que los hubiere.

Responder a los clientes si tratan datos personales, quiénes los tratan y en qué contexto, identificar los canales de entrada y salida, comprobar por ejemplo si existe un registro de visitantes o cámaras de seguridad; todo ello se vuelve una tarea que requiere del consultor un mayor grado de atención a la hora de desarrollar sus cuestionarios y dirigir cualquier requerimiento de información adicional a los “entrevistados”.

Es por ello que la experiencia y conocimientos del consultor son factores críticos en el entorno incipiente en que actualmente se prestan los servicios de adaptación a la LFPD, pues de aquéllos dependerá el correcto planteamiento de aquellas cuestiones y aspectos que deberán ser analizados antes, durante y a la conclusión del proyecto.

5. Principios de protección de datos personales

De la mano con la Directiva 95/46/CE[6] y las diversas leyes nacionales europeas que la han implementado, la ley de protección de datos mexicana ha hecho suyos diversos principios relacionados con el tratamiento de los datos personales. Ello lo corrobora el artículo 6 de la LFPD, que enumera dichos principios de la siguiente forma: “Los responsables en el tratamiento de datos personales, deberán observar los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, previstos en la Ley.»

Evaluar el entorno, las circunstancias, las finalidades, los motivos y las condiciones en que el tratamiento de datos personales se desarrolla, de cara a verificar si la entidad responsable cumple con dichos principios, constituye una tarea de elevado cuidado en el escenario a que se refiere el apartado anterior. La oportunidad (necesidad) que constituyen las entrevistas a los responsables de las diversas áreas que tratan datos personales en una organización es de sobra conocida por el tipo de conocimiento que brindan y por la economía de tiempo que representan frente a la opción del levantamiento de cuestionarios.

La falta de este contacto directo puede significar también una oportunidad perdida para transmitir a la organización la importancia de revisar y actualizar todas aquellas recomendaciones y medidas que el proyecto aporte a su conclusión, transmitir que el cumplimiento de los principios es algo cotidiano y permanente, que no se agota con la publicación de avisos de privacidad ni mediante la adopción de medidas por una vez, sino que es algo continuo y que ahora debe formar parte de la organización.

Sin embargo, ha de asumirse en este momento que el contacto directo con los responsables funcionales no será posible en todos los casos; los consultores deberán ser capaces de convencer a los clientes interesados de la necesidad de efectuar estas entrevistas en beneficio de la calidad final del proyecto, a la vez que deberán concentrar esfuerzos adicionales en aquellos casos en que éstas no puedan llevarse a cabo con el objeto de no pasar por alto cuestiones relevantes para la evaluación del grado de cumplimiento de los principios previstos por la LFPD.

 6. Sin registro de bases de datos personales (ficheros)

Si bien es cierto que actualmente se propugna en la Unión Europea por la desaparición o revisión del sistema de notificación de operaciones de tratamiento de datos personales,[7] lo cierto es que esta propuesta resulta razonable en un entorno que, a nuestro gusto, ya goza de un nivel de madurez suficiente para cuestionar el valor intrínseco de dicho sistema.

Nos encontramos frente a un trámite administrativo que en España, por ejemplo, se viene exigiendo desde los tiempo de la “LORTAD”[8] y que ya comienza a ser objeto de dudas a la vista de las consultas efectivas que se realizan al Registro General de Protección de Datos.

Sin embargo, considero que visto con perspectiva es posible concluir que uno de los efectos derivados de la existencia de este deber de registro lo constituye el “incentivo” externo que el incumplimiento de esta obligación acarrea para los responsables (infracciones leves o graves y las multas correspondientes), que se corresponde con el interés en solicitar la asesoría apropiada no sólo para registrar ficheros que tratan datos personales, sino además para que las inscripciones correspondientes sean veraces y estén actualizadas.

Este “incentivo” no existe en México, pues la LFPD no prevé la obligación de registrar las bases de datos personales en posesión de los particulares. Existen muchas razones para ponderar los beneficios e inconvenientes que hubiera conllevado la adición de una carga administrativa adicional en un país que durante mucho tiempo ha sobrecargado de trámites a personas físicas y jurídicas; sin embargo, a la vista de la necesidad que existe por interesar a los responsables en el cumplimiento de esta nueva ley durante su etapa inicial y como refuerzo a la cultura de la protección de los datos personales, nuestro punto de vista es que dicho registro hubiera sido deseable para reforzar las labores de difusión y concienciación sobre la materia.

Con ello, sólo indicar que los profesionales carecen del argumento de la “obligación de inscripción” como refuerzo para motivar el interés y la puesta en marcha de proyectos de adaptación a la LFPD, dado que no existe un incumplimiento inmediato a sus disposiciones proveniente de la falta de inscripción de las bases de datos correspondientes; y de ahí la relativización que hemos detectado hacia el valor de un inventario adecuado de las bases de datos personales que cada organización trata en el seno de sus actividades.

7. Derechos ARCO

Como contrapartida al punto anterior, a partir del 6 de enero de 2012 los titulares de datos personales en México podrán ejercer frente a los particulares los derechos ARCO[9] reconocidos por la LFPD.

Esta fecha viene establecida a través del artículo cuarto transitorio del Decreto que expidió la LFPD,  que fijó en dieciocho meses desde de su fecha publicación el momento a partir del cual los titulares de datos personales “podrán ejercer ante los responsables sus derechos de acceso, rectificación, cancelación y oposición contemplados en el Capítulo IV”. A partir de dicho momento, los titulares también podrán dar inicio, en su caso, al procedimiento de protección de derechos que la misma ley establece (Capítulo VII).

A día de hoy, sigue siendo un misterio el motivo por el cual este plazo ha sido fuente de interpretaciones que, en última instancia y en algunos casos, han comprometido la integridad de los proyectos de adecuación, puesto que algunas empresas interesadas en un proyecto de adecuación a la LFPD no han considerado indispensable abordar de inmediato el diseño y adopción de los procedimientos internos que garanticen la adecuada atención de las solicitudes de ejercicio de los derechos ARCO, ya que consideran abiertamente que si a día de los titulares no pueden ejercer estos derechos, los procedimientos internos no son inmediatamente necesarios.

Evidentemente, esta percepción se traduce en el retraso de toma de decisiones e del inicio de acciones al interior de la organización para asegurar que, precisamente el 6 de enero de 2012, los obligados estén listos para recibir solicitudes de los titulares de datos personales.

El propio Instituto Federal de Acceso a la Información y Datos Personales (IFAI) lo ha marcado así en sus “Recomendaciones para la Designación de la Persona o Departamento de Datos Personales” expresamente indica:

“La persona o departamento de datos personales deberá atender las solicitudes de derechos de acceso, rectificación, cancelación y oposición hasta enero de 2012, de conformidad con el Cuarto Transitorio de la Ley. Por lo tanto, es importante que entre el 6 de julio de 2011 y enero de 2012, se establezcan todos los procedimientos internos para la atención de solicitudes de derechos ARCO.”[10]

8. La persona o departamento de datos personales (designación de un DPO)

Un punto en extremo favorable de la nueva LFPD es la obligación establecida  para que los responsables designen a una persona o departamento de datos personales, que tendrá a su cargo la tramitación de las solicitudes de los titulares, para el ejercicio de los derechos a que se refiere dicha ley. Asimismo, se establece que esta persona o departamento deberá fomentar la protección de datos personales al interior de la organización (artículo 30 de la LFPD).

Por vía de las “Recomendaciones para la Designación de la Persona o Departamento de Datos Personales” que hemos citado, el IFAI describe un perfil y clarifica las funciones que se espera desempeñe la persona o departamento que a partir de ahora será la encargada de responder en tiempo y forma a las solicitudes de derechos ARCO o de dar a conocer al interior de su organización aquellas medidas, acciones o políticas que aseguren el cumplimiento de la ley y fomenten la protección de datos personales.

Algunas funciones destacables que el IFAI recomienda debe asumir la persona o departamento de datos personales, son:

“Establecer y administrar procedimientos para la recepción, tramitación, seguimiento y atención oportuna de las solicitudes para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, […],

Monitorear los avances o cambios legislativos en materia de privacidad y protección de datos personales que pudieran impactar en los ejes rectores y acciones desarrolladas en este tema al interior de la organización, haciendo las adecuaciones necesarias […]

Diseñar y ejecutar una política y/o prácticas de protección de datos personales al interior de la organización, o bien, adecuar y mejorar las prácticas ya existentes en el marco de la Ley;

Difundir y comunicar la política y/o prácticas de protección de datos personales implementadas al interior de la organización, así como capacitar a todo el personal sobre las mismas;

Promover la adopción de esquemas de autorregulación,

Ser el representante de la organización en materia de protección de datos personales ante otros actores.”[11]

Por otro lado, y a través de una aclaración pertinente a la vista de la novedad legislativa de que se trata, el IFAI indica que las funciones de protección de datos personales se podrán realizar a través de:

“1. El propio responsable, cuando se trate de una persona física;

2. Una persona designada por el responsable, que puede ser parte de la estructura o negocio del responsable, o bien un encargado, o

3. Un departamento de la organización.”[12]

Podemos prever dos necesidades inmediatas, que surgen a partir del artículo 30 de la LFPD: (i) formación para el personal de aquellas organizaciones que por su tamaño decidan asumir las funciones mencionadas a través de un departamento ad hoc y (ii) profesionales cualificados que, como encargados del tratamiento, asuman esta responsabilidad en nombre de aquellos responsables que decidan externalizarla (encargado).

En ambos casos, los consultores a cargo de adaptar a cualquier responsable tienen el reto de transmitir la importancia de este rol y de asistir a la organización en la definición o identificación del mejor perfil para asumirlo.

Finalmente, indicar que en la legislación española no existe una figura a fin con las responsabilidades específicas y labores de fomento que la legislación mexicana encarga a esta persona o departamento. En todo caso, es posible considerar que sus funciones encuentran reflejo – si bien en ámbitos distintos- en el “responsable de la protección de datos” a que se refiere el artículo 24 del Reglamento (CE) No 45/2001 del Parlamento Europeo y del  Consejo,[13] que constituye el cuerpo legal en materia de protección de datos de aplicación directa a las instituciones y organismos comunitarios.

 9. Medidas de seguridad

Como en los “viejos tiempos” de la LORTAD (y en cierta medida, de la LOPD),[14] la ley mexicana de protección de datos ha dispuesto que “[t]odo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado”;[15] sin que a día de hoy haya sido publicado el reglamento que establezca o defina cuáles son dichas medidas. En todo caso, justo es indicar nuevamente que la publicación de este reglamento se espera en México a finales de 2011 o principios de 2012.

La existencia de la obligación de establecer y mantener medidas de seguridad, indefinidas para la mayoría de los sujetos de la LFPD, supone un reto para la exposición concreta de este capítulo en cualquier proyecto de adecuación a la Ley: ¿Debemos explicar que dichas medidas eventualmente serán publicadas?; ¿debemos indicar que existen estándares internacionales que prevén este tipo de medidas? o ¿debemos explicar que conocemos el tipo de medidas que se exigen en otros países?

Sin refuerzo reglamentario, la tarea es complicada. Además, no podemos pasar por alto que desde un punto de vista jurídico no resulta adecuado adelantar vísperas sobre el contenido de una disposición, sin conocer su contenido definitivo en la publicación correspondiente y los plazos transitorios que pudieran establecerse.

Con independencia de que a lo largo del proyecto de adecuación se puedan transmitir conocimientos específicos sobre las medidas de seguridad necesarias para el tipo de datos personales tratados, queda por el momento indicar a los responsables que su primera referencia legal en relación con las medidas de seguridad que deben implementar las “marca” la LFPD, de la siguiente forma:

“Los responsables no adoptarán medidas de seguridad menores a aquellas que mantengan para el manejo de su información. Asimismo se tomará en cuenta el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico.”[16]

 10. Conclusiones

La introducción del derecho fundamental a la protección de los datos personales y la entrada en vigor de la LFPD marcarán un hito en la forma en que las organizaciones y los ciudadanos conciben este valor en México. Estamos frente a un cambio significativo en relación con una materia que hasta hace muy poco tiempo ni siquiera formaba parte de la esfera jurídica de dichos ciudadanos.

Como tal, es importante identificar y asumir los retos existentes y los que se avecinan. En México existen enormes condicionantes (económicas, sociales, jurídicas) que pueden dificultar tanto la labor de los profesionales dedicados a este tipo de proyectos, como de la propia autoridad que ya trabaja en labores de concienciación y difusión.

Sin embargo, estoy convencido que la experiencia internacional puede ser una referencia importante -entro otras- para encarar retos como los que en este espacio he descrito. Queda por comprobar si en los próximos años asistiremos a la vigencia plena de la cultura de la protección de datos en México. Yo soy optimista al respecto.

11. Agradecimiento.

No quiero dejar de mencionar el artículo “Claves para identificar un proyecto adecuado de consultoría para implementar la LOPD de forma integral”, publicado por la Asociación Profesional Española de Privacidad (APEP), cuya lectura y reflexión dio paso a algunas de las ideas que aquí he plasmado. En: http://www.apep.es/claves-para-identificar-un-proyecto-adecuado-de-consultora-para-implementar-la-lopd-de-forma-integral/.

Este artículo fue originalmente publicado en: «Agencia de Protección de Datos de la Comunidad de Madrid. Revista digital Datospersonales.org» [fuera de línea]. Madrid: APDCM, 11 de enero de 2012, Número 54.

Fuente de la imagen: Paco Olvera Monterd, shot on June 26, image aviable at Flickr, licensed under a Creative Commons Attribution «Attribution-ShareAlike 2.0 Generic»



[1] El “derecho a la protección de los datos personales” se integró al orden jurídico mexicano como derecho fundamental mediante el “DECRETO por el que se adiciona un segundo párrafo, recorriéndose los subsecuentes en su orden, al artículo 16 de la Constitución Política de los Estados Unidos Mexicanos”, Diario Oficial de la Federación (DOF-México) de 1 de junio de 2009.

[2] Ley Orgánica 15/1999, de 13 de diciembre, de Protección a los Datos de Carácter Personal, Boletín Oficial del Estado de 14 de diciembre de 1999.

[3] DECRETO por el que se expide la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y se reforman los artículos 3, fracciones II y VII, y 33, así como la denominación del Capítulo II, del Título Segundo, de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, DOF-México de 5 de julio de 2010.

[4] Idem, artículo segundo transitorio.

[5] Idem, artículo tercero transitorio (Las negritas son nuestras).

[6] Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, DO L 281 de 23.11.1995, p. 31/50.

[7] “COMUNICACIÓN DE LA COMISIÓN AL PARLAMENTO EUROPEO, AL CONSEJO, AL COMITÉ ECONÓMICO Y SOCIAL EUROPEO Y AL COMITÉ DE LAS REGIONES – Un enfoque global de la protección de los datos personales en la Unión Europea”, Comisión Europea, 4 de noviembre de 2010, Sección 2.2.2. p. 11, .

[8] Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, derogada por la LOPD.

[9] En México, el acrónimo derechos “ARCO” ha sido adoptado y su uso comienza a ser difundido por profesionales en la materia y por la propia administración encargada de aplicar la LFPD, lo cual resulta “normal” si tomamos en consideración el contenido del artículo 28 de la LFPD: “El titular o su representante legal podrán solicitar al responsable en cualquier momento el acceso, rectificación, cancelación u oposición, respecto de los datos personales que le conciernen.”.

[10] “Recomendaciones para la Designación de la Persona o Departamento de Datos Personales”, IFAI, Junio 2011, p. 13, . (Las negritas son nuestras).

[11] Idem, pp. 10-11.

[12] Idem, p. 8. (Las negritas son nuestras).

[13] REGLAMENTO (CE) No 45/2001 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos, DO L 8, 12.01.2001, p. 1.

[14] La LORTAD fue publicada el 31 de octubre de 1992 y el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal fue publicado el 25 de junio de 1999. Por su parte, el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal fue publicado el 19 de enero de 2008.

[15] LFPD, artículo 19.

[16] Idem.