El mal tratamiento de datos personales se encuentra tipificado como un ilícito en la legislación mexicana y esto permite a los titulares de la información personal reclamar un resarcimiento económico por la posible afectación de su derecho, destacó la comisionada del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI)En cuanto a los principios de protección de datos, existe un consenso más o menos generalizado a nivel internacional en reconocer los siguientes:
Consentimiento;
Información;
Finalidad;
Proporcionalidad;
Calidad y
Seguridad
Legislación secundaria que prevé sanciones y medidas de apremio
En México se castiga con pena de tres meses a tres años de prisión al que, estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia. A quien, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos; se castiga con prisión de seis meses a cinco años. Mientras que cuando se traten datos personales sensibles, las penas anteriores se duplicarán, abundó la comisionada integrante de la comisión de Normatividad de Datos Personales del INAI.
Existen iniciativas con proyecto de decreto para reformar los artículos 3, 27 bis, 56, 58 y 70 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, donde se prevén medidas resarcitorias al mal tratamiento. También existe la recién aprobada Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), la cual instaura medidas de apremio (multas y amonestaciones), con las cuales el INAI podrá asegurar el cumplimiento de sus determinaciones. Las multas pueden ir de 150 a mil 500 veces el valor diario de la Unidad de Medida y Actualización (UMA), que equivale a 11 mil 323.50 pesos a 113 mil 253,235 pesos.Esta legislación otorga a los ciudadanos una protección más amplia de sus datos personales en posesión de los entes públicos y gubernamentales, lo que permitirá la consolidación de la protección y defensa de la autodeterminación informativa en el sector público de México, con los mismos estándares y procedimientos que en el sector privado.
El 4 % de las empresas evaluadas no poseen el conocimiento necesario sobre la LFPDPPP. En relación con el ejercicio de derechos ARCO, 50 % de empresas evaluadas no tiene el conocimiento necesario para su atención y, por lo tanto, podrían ser acreedoras a una sanción por el incumplimiento a las disposiciones de la LFPDPPP.
En esencia, 30 % de las empresas no conocen las acciones que han emprendido para realizar el cumplimiento de la citada ley y, del resto de empresas, 48 % han emprendido acciones de capacitación de personal dentro de su organización. Mientras 20% han contratado a una empresa legal especializada en esos temas, sólo 6% ha contratado a una persona especializada en la ley.
No obstante, 69 % de las empresas consideran una ventaja comercial informar sobre el tratamiento de los datos personales de sus clientes o usuarios. Con ello, se genera confianza y se distinguen de las demás empresas que ofrecen servicios similares. Sin embargo, 50 % de las empresas considera que el cumplimiento de la LFPDPPP genera gastos adicionales.
Es importante destacar que 74 % de empresas consideran que no se ha difundido apropiadamente el impacto de la ley en las empresas establecidas en México.
Las disposiciones en materia de protección de datos personales se encuentran señaladas principalmente en dos ordenamientos: el primero, para el sector privado (LFPDPPP) y de aplicación federal; el segundo, para el sector público (LGPDPPSO) y de aplicación en los tres órdenes de gobierno (federal, estatal y municipal). No obstante, existen excepciones sectoriales para la aplicación de estas dos leyes, atendiendo, por ejemplo, a si los datos son de carácter fiscal, financiero o clínicos.
- Artículo 6 de la Constitución Federal: La reforma al artículo 6 de la Constitución Federal plantea diversos nuevos retos a la transparencia gubernamental en nuestro país que se materializaron en siete fracciones. En las tres primeras se establecieron los principios fundamentales que dan contenido básico al derecho, mientras que en las fracciones cuarta, quinta y sexta se plantearon las bases operativas que deberán contener las leyes en la materia para hacer del derecho una realidad viable, efectiva y vigente, según señala el ya citado dictamen de la Cámara de Diputados. El reformado artículo 6, fracción II, establece como parte de los principios en materia de acceso, que la información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que fijen las leyes.
- Artículo 73 de la Constitución Federal: El mejor ejemplo de la situación previamente descrita es la Unión Europea, en la que se garantiza la libre circulación de personas, bienes y datos personales entre los países miembros, lo que desde luego no representa ningún contrasentido, considerando que los Estados miembros cuentan con regulaciones homogéneas a partir de las cuales los datos se encuentran igualmente protegidos en un país u otro de la Unión. Existen dos razones que sustentan que la ley que regule los datos personales en posesión de los particulares sea federal: por una parte, el comercio internacional, en virtud de que el Estado Mexicano hacia el exterior es uno y como tal debe contar con una legislación uniforme en sus relaciones internacionales, independientemente del área del territorio nacional donde materialmente se estén tratando los datos personales, y por la otra, que la materia de comercio es federal, de conformidad con nuestra Ley Fundamental. Respecto de los datos personales en posesión de los entes públicos estatales y municipales, corresponderá a las legislaturas estatales trazar el camino por el que encauzarán el derecho a la protección de datos personales, sobre la base constitucional que en su momento se apruebe. De concretarse estas reformas, México se ubicaría entre la élite de países que cuentan con un derecho a la protección de datos personales a nivel constitucional, con lo que se contribuye a la consolidación democrática y económica de este país desde el terreno de los derechos humanos.
Loss ejes fundamentales de una ley de protección de datos personales pueden ser los siguientes:
a) En primer lugar el objeto de la norma debería ser garantizar la protección de
los datos de carácter personal reconociendo los derechos y principios que rigen la
materia. En ese sentido, la ley debe posibilitar de manera equilibrada por una parte,
la legítima y controlada transferencia y utilización de datos genéricos con el consentimiento tácito de los titulares y cuando se trate de datos sensibles solo mediante
el consentimiento expreso e informado. Una regulación demasiado estricta sería de
difícil cumplimiento, sobre todo en una era donde la tecnología avanza con tal rapidez.
b) El ámbito de aplicación de la Ley podría abarcar tanto la regulación para aquellos
sistemas (bases) de datos personales públicos como privados, o bien sólo para éstos
últimos, dejando a las leyes de transparencia o especiales, la regulación para los públicos (en armonía con lo dispuesto por la fracción II del recién reformado artículo
6 constitucional).
c) Debieran preverse los principios de protección de datos personales reconocidos
a nivel internacional, tales como el de licitud, calidad, proporcionalidad, consentimiento, finalidad, información y seguridad. De la claridad en las definiciones y
alcances de dichos principios, dependerá la operatividad y efectividad de la ley. Tal es
el caso del consentimiento del titular de los datos, el cual se erige como la columna
vertebral de este nuevo derecho. Las reglas para otorgarlo, obtenerlo o revocarlo en
razón de la naturaleza del dato deben ser claras e incluir todos los supuestos.
d) Los Derechos de los titulares de los datos personales deben incluirse de manera
contundente y clara como lo son, el de acceso, corrección, cancelación y oposición,
así como al recurso ante una autoridad independiente que los tutele de manera eficaz.
Como todo derecho encontrará sus límites en la propia norma.
e) La existencia de una autoridad independiente y especializada que garantice la tutela del derecho a la protección de datos, con facultades para sancionar. En este punto
puede explorarse la conveniencia de que un mismo órgano se encargue de garantizar
el derecho de acceso a la información así como el de protección de datos a nivel nacional, o bien se cree una autoridad distinta e independiente.
f) Por su parte, la ley deberá prever disposiciones para el adecuado tratamiento,
confidencialidad y custodia de los datos personales sensibles por los efectos socioeconómicos negativos en el corto y mediano plazo que su liberación no controlada
puede ocasionar, por lo que la Ley deberá contemplar el tratamiento diferenciado de
datos de acuerdo con su naturaleza y grado de protección que ésta conlleva.
g) Se estima que debiera valorarse la utilidad de la existencia de un Registro de Protección de Datos, ya que con ello se dota al gobernado y a la autoridad de un instrumento general de consulta y control respecto de los datos que los sujetos obligados
poseen. Sus requisitos deben ser sencillos para permitir su operatividad.
h) Asimismo, debe preverse un apartado de transferencias internacionales de datos,
a efecto de que la protección alcance dentro y fuera del territorio nacional, sin que
con ello se vulneren las reglas del derecho internacional,35 así como mecanismos de
cooperación internacional en la materia.
PROTOCOLO ADICIONAL AL CONVENIO 108 PARA LA PROTECCIÓN DE LAS PERSONAS CON
RESPECTO AL TRATAMIENTO AUTOMATIZADO DE DATOS DE CARÁCTER PERSONAL
Artículo 1. Autoridades de Control
1. Cada Parte preverá que una o más Autoridades sean responsables de asegurar la
conformidad de las medidas oportunas que den cumplimiento en el Derecho interno
a los principios contenidos en los Capítulos II y III del Convenio y en el presente
Protocolo.
2.
a) A tal fin, las mencionadas autoridades dispondrán, en particular, de poderes de
investigación y de intervención, así como del poder de iniciar procedimientos legales o de dirigirse a las autoridades judiciales correspondientes en relación con violaciones del
derecho interno, dando así cumplimiento a los principios mencionados en el párrafo 1
del Artículo 1 del presente Protocolo.
b) Cada Autoridad de Control conocerá de las reclamaciones presentadas por parte
de cualquier persona relativas a sus derechos y libertades fundamentales con respecto
al tratamiento de datos personales y dentro de sus respectivas competencias.
3. Las Autoridades de Control ejercerán sus funciones con completa independencia.
4. Las Decisiones de las Autoridades de Control que den lugar a reclamaciones, pueden
ser recurridas judicialmente.
5. De conformidad con las disposiciones del Capítulo IV, y sin perjuicio de las disposiciones del Artículo 13 del Convenio, las Autoridades de Control cooperarán mutuamente en la medida necesaria para el cumplimiento de sus obligaciones, y en particular
a través del intercambio de cualquier información que resulte de utilidad.
Artículo 2. Transferencia de datos personales a destinatarios no sometidos a la competencia
de las Partes del Convenio.
1. Cada Parte preverá que la transferencia de datos personales a un destinatario sometido a la competencia de un Estado u organización que no es Parte del Convenio se lleve
a cabo únicamente si dicho Estado u organización asegura un adecuado nivel de protección.
2. No será de aplicación el párrafo 1 del Artículo 2 del presente Protocolo, pudiendo las
Partes autorizar la transferencia de datos personales:
a) Si el derecho interno así lo establece a causa de:
Intereses concretos del afectado, o
Intereses legítimos, especialmente los de carácter público, o
b) si se prevén las suficientes garantías, que pueden resultar, en particular, de cláusulas contractuales, por parte del responsable del tratamiento responsable de la transferencia y dichas garantías se estiman adecuadas por las autoridades competentes de
conformidad con el derecho interno.
Artículo 3. Disposiciones finales
1. Las disposiciones de los Artículos 1 y 2 del presente Protocolo serán contempladas
por las Partes como artículos adicionales al Convenio, y en consecuencia todas las disposiciones del Convenio serán de aplicación.
2. El presente Protocolo se encuentra abierto a la firma de los Estados Signatarios del
Convenio. Una vez adheridos al Convenio de conformidad con las condiciones establecidas en el mismo, las Comunidades Europeas podrán firmar este Protocolo. El presente
Protocolo se encuentra sujeto a su ratificación, aceptación o aprobación. Un Signatario
del presente Protocolo no podrá ratificar o aprobar el mismo salvo que haya ratificado
o aprobado con carácter previo o simultáneo al Convenio o se haya adherido al mismo.
Los Instrumentos de ratificación y aprobación del presente Protocolo se depositarán en
la Secretaría General del Consejo de Europa.
3.
a) El presente Protocolo entrará en vigor el primer día del mes siguiente al término
de un período de tres meses una vez que cinco de sus Signatarios hayan expresado su
consentimiento para quedar vinculados al mismo, de conformidad con las disposiciones del párrafo 2 del Artículo
3.
b) En relación con los Signatarios del presente Protocolo que expresen su consentimiento para quedar vinculado al mismo, el Protocolo entrará en vigor el primer día
del mes siguiente al término del período de tres meses tras la fecha de depósito del
Instrumento de Ratificación o aprobación.
4.
a) Tras la entrada en vigor del presente Protocolo, cualquier Estado que haya suscrito
el Convenio puede así mismo suscribir el Protocolo.
b) La adhesión será efectiva a través del depósito por parte del Secretario General
del Consejo de Europa de un Instrumento de Adhesión, que surtirá efectos el primer
día del mes siguiente al término del período de tres meses después de la fecha de su
depósito.
5.
a) Cualquier Parte podrá en cualquier momento denunciar el presente Protocolo
mediante notificación dirigida al Secretario General del Consejo de Europa.
b) Tal denuncia será efectiva el primer día del mes siguiente al término del período
de tres meses después de la fecha de recepción del tal notificación por parte del Secretario General.
6. El Secretario General del Consejo de Europa notificará a los Estados miembros del
Consejo de Europa, las Comunidades Europeas y cualquier otro Estado signatario del
presente Protocolo acerca de:
a) Cualquier firma;
b) Depósito de cualquier Instrumento de Ratificación o Aprobación;
c) Fecha de entrada en vigor del presente Protocolo de conformidad con el Artículo
3;
d) Cualquier otro acto, notificación o comunicación relativo/a el presente Protocolo
Estrategias Legales
Después de buscar el punto medio entre su debida protección y un bajo impacto en los costos de cumplimiento para los sujetos regulados por la LFPDPPP, se publicó el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, con fecha 21 de diciembre de 2011. Esto con el fin de completar la estructura jurídica relacionada con la protección de datos personales.
En su capítulo 1, este reglamento clarifica el ámbito de aplicación, territorial y objetivo, de la norma y establece supuestos en los cuales la norma es aplicable. El reglamento, asimismo, define los derechos ARCO y también conceptos relacionados con los nuevos entornos generados por las tecnologías de la información y la comunicación.
En el capítulo 2 del reglamento se señala el alcance de los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, los cuales deberán ser observados por los responsables de datos personales. Su capítulo 3 engloba una serie de pautas para el sujeto obligado respecto a la seguridad de la información. Asimismo, establece los factores aplicables a los datos personales que se deberán tener en cuenta para determinar las medidas de seguridad. Respecto a las transferencias de datos personales, se encuentran sujetas al consentimiento de su titular, salvo las excepciones enmarcadas por el artículo 37 de la LFPDPPP.
Considerando el avance de los sistemas automatizados de tratamiento de datos, el reglamento contiene, en su artículo 112, la obligación del responsable de informar al titular el tratamiento de sus datos personales, sin la intervención o valoración humana. Este artículo resulta aplicable si los datos son tratados por los sistemas automatizados de los particulares que radican en el territorio nacional, o que, encontrándose fuera del territorio, hayan sido terceros receptores de datos. Por tanto, quedarían sujetos a lo enmarcado por el artículo 36 de la LFPDPPP: asumirán las mismas obligaciones correspondientes al responsable que transfirió los datos.
El artículo 112 del reglamento, sin embargo, carece de fuerza ante la recolección de datos que hacen en internet las empresas privadas con establecimientos en otros países. Es así como, frente al avance de las nuevas tecnologías y de las nuevas maneras de procesar, analizar, almacenar y utilizar los datos personales.
Los criterios de seguridad de la información que debe cumplir el proveedor en los
que se incluyen integridad, confidencialidad, autenticación, control de accesos, no repudio, disponibilidad, auditoría y monitoreo, y
El destino final de los datos obtenidos como parte del proceso de enrolamiento, en el
cual se establece que son propiedad de Instituto, y el proveedor es responsable de brindar
el servicio de generación y entrega del documento de acreditación, así como la inserción
del registro a la base de datos.
Garantías relativas a la asistencia facilitada por las autoridades designadas
1. Una autoridad designada por una Parte que haya recibido información de una autoridad designada por otra Parte, bien en apoyo de una petición de asistencia bien como
respuesta a una petición de asistencia que haya formulado ella misma, no podrá hacer
uso de dicha información para otros fines que no sean los especificados en la petición
de asistencia.
2. Cada parte cuidará de que las personas pertenecientes a la autoridad designada o
que actúen en nombre de la misma estén vinculadas por obligaciones convenientes de
secreto o de confidencialidad con respecto a dicha información.
3. En ningún caso estará autorizada una autoridad designada para presentar, con arreglo
a los términos del artículo 14, párrafo 2, una petición de asistencia en nombre de una
persona concernida residente en el extranjero, por su propia iniciativa y sin el consentimiento expreso de dicha persona.
Es importante considerar los siguientes principios para poder utilizarlos como base para regular nuestros datos y utilizarlos como estrategias de defensa.
1. Principio de legalidad y lealtad La información relativa a las personas no debe ser recogida o procesada por métodos desleales o ilegales, ni debe ser utilizada para fines contrarios a los fines y principios de la Carta de Naciones Unidas.
2. Principio de exactitud Las personas responsables de la compilación de archivos, o aquellas responsables de mantenerlos, tienen la obligación de llevar a cabo comprobaciones periódicas acerca de la exactitud y pertinencia de los datos registrados y garantizar que los mismos se mantengan de la forma más completa posible, con el fin de evitar errores de omisión, asó como de actualizarlos periódicamente o cuando se use la información contenida en un archivo, mientras están siendo procesados.
3. Principio de especificación de la finalidad La finalidad a la que vaya a servir un archivo y su utilización en términos de dicha finalidad debe ser especificada, legítima y, una vez establecida, recibir una determinada
cantidad de publicidad o ser puesta en conocimiento de la persona interesada, con el fin de que posteriormente sea posible garantizar que:
a) Todos los datos personales recogidos y registrados sigan siendo pertinentes y adecuados para los fines especificados;
b) Ninguno de los referidos datos personales sea utilizado o revelado, salvo con el consentimiento de la persona afectada, para fines incompatibles con aquellos especificados;
c) El período durante el que se guarden los datos personales no supere aquel que permita la consecución de los fines especificados.
4. Principio de acceso de la persona interesada Cualquiera que ofrezca prueba de su identidad tiene derecho a saber si está siendo procesada información que le concierna y a obtenerla de forma inteligible, sin costes o retrasos indebidos; y a conseguir que se realicen las rectificaciones o supresiones procedentes en caso de anotaciones ilegales, innecesarias o inexactas, y, cuando sea comunicada, a ser informado de sus destinatarios. Debe preverse un recurso, en caso necesario, ante la autoridad supervisora especificada más abajo en el principio 8. El coste de cualquier rectificación será soportado por la persona responsable del archivo. Es conveniente que las disposiciones relacionadas con este principio se apliquen a todas las personas, sea cual sea su nacionalidad o lugar de residencia.
5. Principio de no discriminación Sin perjuicio de los casos susceptibles de excepción restrictivamente contemplados en el principio 6, no deben ser recogidos datos que puedan dar origen a una discriminación ilegal o arbitraria, incluida la información relativa a origen racial o étnico, color, vida sexual, opiniones políticas, religiosas, filosóficas y otras creencias, así como la circunstancia de ser miembro de una asociación o sindicato.
6. Facultad para hacer excepciones
Las excepciones a los principios 1 a 4 solamente pueden ser autorizadas en caso de que
sean necesarias para proteger la seguridad nacional, el orden público, la salud pública o la
moralidad, así como, entre otras cosas, los derechos y libertades de otros, especialmente
de personas que estén perseguidas (cláusula humanitaria), siempre que tales excepciones
estén especificadas de forma explícita en una ley o norma equivalente promulgada de
acuerdo con el sistema jurídico interno, que expresamente establezca sus límites y prevea
las salvaguardas adecuadas. Las excepciones al principio 5, relativo a la prohibición de la discriminación, además
de estar sujetas a las mismas salvaguardas que las prescritas para las excepciones a los
principios 1 a 4, solamente podrán autorizarse dentro de los límites establecidos en la
Carta Internacional de Derechos Humanos y en el resto de instrumentos aplicables en el
campo de la protección de los derechos humanos y la prevención de la discriminación.
7. Principio de seguridad Deben adoptarse medidas adecuadas para proteger los archivos tanto contra peligros naturales, como la pérdida o destrucción accidental, como humanos, como el acceso no autorizado, el uso fraudulento de los datos o la contaminación mediante virus informáticos.
8. Supervisión y sanciones El derecho de cada país designará a la autoridad que, de acuerdo con su sistema jurídico interno, vaya a ser responsable de supervisar la observancia de los principios arriba establecidos. Esta autoridad ofrecerá garantías de imparcialidad, independencia frente a las personas o agencias responsables de procesar y establecer los datos, y competencia técnica. En caso de violación de lo dispuesto en la ley nacional que lleve a la práctica los principios anteriormente mencionados, deben contemplarse condenas penales u otras sanciones, junto con los recursos individuales adecuados.
9. Flujo transfronterizo de datos Cuando la legislación de dos o más países afectados por un flujo transfronterizo de datos ofrezca salvaguardas similares para la protección de la intimidad, la información debe poder circular tan libremente como dentro de cada uno de los territorios afectados. En caso de que no existan salvaguardas recíprocas, no deberán imponerse limitaciones indebidas a tal circulación, sino solamente en la medida en que lo exija la protección de la intimidad.
10. Campo de aplicación Los presentes principios deben hacerse aplicables, en primer lugar, a todos los archivos informatizados públicos y privados, así como, mediante extensión optativa y sujeta a los ajustes correspondientes, a los archivos manuales. Pueden dictarse disposiciones especiales, también optativas, para hacer aplicable la totalidad o parte de los principios a los archivos relativos a personas jurídicas, especialmente cuando contengan alguna información relativa a individuos.
Los Estados miembros dispondrán que el responsable del tratamiento o su representante deberán comunicar a la persona de quien se recaben los datos que le conciernan, por lo menos la información que se enumera a continuación, salvo si la persona ya hubiera sido informada de ello:
a) la identidad del responsable del tratamiento y, en su caso, de su representante;
b) los fines del tratamiento de que van a ser objeto los datos;
c) cualquier otra información tal como:
- los destinatarios o las categorías de destinatarios de los datos,
- el carácter obligatorio o no de la respuesta y las consecuencias que tendría para la persona interesada una negativa a responder,
- la existencia de derechos de acceso y rectificación de los datos que la conciernen, en la medida en que, habida cuenta de las circunstancias específicas en que se obtengan los datos, dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado.
1. Los Estados miembros establecerán la obligación del responsable del tratamiento de aplicar las medidas técnicas y de organización adecuadas, para la protección de los datos personales contra la destrucción, accidental o ilícita, la pérdida accidental y contra la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otro tratamiento ilícito de datos personales. Dichas medidas deberán garantizar, habida cuenta de los conocimientos técnicos existentes y del coste de su aplicación, un nivel de seguridad apropiado en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse.
2. Los Estados miembros establecerán que el responsable del tratamiento, en caso de tratamiento por cuenta del mismo, deberá elegir un encargado del tratamiento que reúna garantías suficientes en relación con las medidas de seguridad técnica y de organización de los tratamientos que deban efectuarse, y se asegure de que se cumplen dichas medidas.
3. La realización de tratamientos por encargo deberá estar regulada por un contrato u otro acto jurídico que vincule al encargado del tratamiento con el responsable del tratamiento, y que disponga, en particular: que el encargado del tratamiento sólo actúa siguiendo instrucciones del responsable del tratamiento; que las obligaciones del apartado 1, tal como las define la legislación del Estado miembro en el que esté establecido el encargado, incumben también a éste.
4. A efectos de conservación de la prueba, las partes del contrato o del acto jurídico relativas a la protección de datos y a los requisitos relativos a las medidas a que hace referencia el apartado 1 constarán por escrito o en otra forma equivalente.
Autoridad de control
Es importante considerar los siguientes principios para poder utilizarlos como base para regular nuestros datos y utilizarlos como estrategias de defensa.
Principios relativos a las garantías mínimas
que deben prever las legislaciones nacionales
1. Principio de legalidad y lealtad La información relativa a las personas no debe ser recogida o procesada por métodos desleales o ilegales, ni debe ser utilizada para fines contrarios a los fines y principios de la Carta de Naciones Unidas.
2. Principio de exactitud Las personas responsables de la compilación de archivos, o aquellas responsables de mantenerlos, tienen la obligación de llevar a cabo comprobaciones periódicas acerca de la exactitud y pertinencia de los datos registrados y garantizar que los mismos se mantengan de la forma más completa posible, con el fin de evitar errores de omisión, asó como de actualizarlos periódicamente o cuando se use la información contenida en un archivo, mientras están siendo procesados.
3. Principio de especificación de la finalidad La finalidad a la que vaya a servir un archivo y su utilización en términos de dicha finalidad debe ser especificada, legítima y, una vez establecida, recibir una determinada
cantidad de publicidad o ser puesta en conocimiento de la persona interesada, con el fin de que posteriormente sea posible garantizar que:
a) Todos los datos personales recogidos y registrados sigan siendo pertinentes y adecuados para los fines especificados;
b) Ninguno de los referidos datos personales sea utilizado o revelado, salvo con el consentimiento de la persona afectada, para fines incompatibles con aquellos especificados;
c) El período durante el que se guarden los datos personales no supere aquel que permita la consecución de los fines especificados.
4. Principio de acceso de la persona interesada Cualquiera que ofrezca prueba de su identidad tiene derecho a saber si está siendo procesada información que le concierna y a obtenerla de forma inteligible, sin costes o retrasos indebidos; y a conseguir que se realicen las rectificaciones o supresiones procedentes en caso de anotaciones ilegales, innecesarias o inexactas, y, cuando sea comunicada, a ser informado de sus destinatarios. Debe preverse un recurso, en caso necesario, ante la autoridad supervisora especificada más abajo en el principio 8. El coste de cualquier rectificación será soportado por la persona responsable del archivo. Es conveniente que las disposiciones relacionadas con este principio se apliquen a todas las personas, sea cual sea su nacionalidad o lugar de residencia.
5. Principio de no discriminación Sin perjuicio de los casos susceptibles de excepción restrictivamente contemplados en el principio 6, no deben ser recogidos datos que puedan dar origen a una discriminación ilegal o arbitraria, incluida la información relativa a origen racial o étnico, color, vida sexual, opiniones políticas, religiosas, filosóficas y otras creencias, así como la circunstancia de ser miembro de una asociación o sindicato.
7. Principio de seguridad Deben adoptarse medidas adecuadas para proteger los archivos tanto contra peligros naturales, como la pérdida o destrucción accidental, como humanos, como el acceso no autorizado, el uso fraudulento de los datos o la contaminación mediante virus informáticos.
8. Supervisión y sanciones El derecho de cada país designará a la autoridad que, de acuerdo con su sistema jurídico interno, vaya a ser responsable de supervisar la observancia de los principios arriba establecidos. Esta autoridad ofrecerá garantías de imparcialidad, independencia frente a las personas o agencias responsables de procesar y establecer los datos, y competencia técnica. En caso de violación de lo dispuesto en la ley nacional que lleve a la práctica los principios anteriormente mencionados, deben contemplarse condenas penales u otras sanciones, junto con los recursos individuales adecuados.
9. Flujo transfronterizo de datos Cuando la legislación de dos o más países afectados por un flujo transfronterizo de datos ofrezca salvaguardas similares para la protección de la intimidad, la información debe poder circular tan libremente como dentro de cada uno de los territorios afectados. En caso de que no existan salvaguardas recíprocas, no deberán imponerse limitaciones indebidas a tal circulación, sino solamente en la medida en que lo exija la protección de la intimidad.
10. Campo de aplicación Los presentes principios deben hacerse aplicables, en primer lugar, a todos los archivos informatizados públicos y privados, así como, mediante extensión optativa y sujeta a los ajustes correspondientes, a los archivos manuales. Pueden dictarse disposiciones especiales, también optativas, para hacer aplicable la totalidad o parte de los principios a los archivos relativos a personas jurídicas, especialmente cuando contengan alguna información relativa a individuos.
Los Estados miembros dispondrán que el responsable del tratamiento o su representante deberán comunicar a la persona de quien se recaben los datos que le conciernan, por lo menos la información que se enumera a continuación, salvo si la persona ya hubiera sido informada de ello:
a) la identidad del responsable del tratamiento y, en su caso, de su representante;
b) los fines del tratamiento de que van a ser objeto los datos;
c) cualquier otra información tal como:
- los destinatarios o las categorías de destinatarios de los datos,
- el carácter obligatorio o no de la respuesta y las consecuencias que tendría para la persona interesada una negativa a responder,
- la existencia de derechos de acceso y rectificación de los datos que la conciernen, en la medida en que, habida cuenta de las circunstancias específicas en que se obtengan los datos, dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado.
Estrategias serían establecer la seguridad del tratamiento de los datos
1. Los Estados miembros establecerán la obligación del responsable del tratamiento de aplicar las medidas técnicas y de organización adecuadas, para la protección de los datos personales contra la destrucción, accidental o ilícita, la pérdida accidental y contra la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otro tratamiento ilícito de datos personales. Dichas medidas deberán garantizar, habida cuenta de los conocimientos técnicos existentes y del coste de su aplicación, un nivel de seguridad apropiado en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse.
2. Los Estados miembros establecerán que el responsable del tratamiento, en caso de tratamiento por cuenta del mismo, deberá elegir un encargado del tratamiento que reúna garantías suficientes en relación con las medidas de seguridad técnica y de organización de los tratamientos que deban efectuarse, y se asegure de que se cumplen dichas medidas.
3. La realización de tratamientos por encargo deberá estar regulada por un contrato u otro acto jurídico que vincule al encargado del tratamiento con el responsable del tratamiento, y que disponga, en particular: que el encargado del tratamiento sólo actúa siguiendo instrucciones del responsable del tratamiento; que las obligaciones del apartado 1, tal como las define la legislación del Estado miembro en el que esté establecido el encargado, incumben también a éste.
4. A efectos de conservación de la prueba, las partes del contrato o del acto jurídico relativas a la protección de datos y a los requisitos relativos a las medidas a que hace referencia el apartado 1 constarán por escrito o en otra forma equivalente.
Autoridad de control
1. Los Estados miembros dispondrán que una o más autoridades públicas se encarguen de vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación de la presente Directiva. Estas autoridades ejercerán las funciones que les son atribuidas con total independencia.
2. Los Estados miembros dispondrán que se consulte a las autoridades de control en el momento de la elaboración de las medidas reglamentarias o administrativas relativas a la protección de los derechos y libertades de las personas en lo que se refiere al tratamiento de datos de carácter personal.
3. La autoridad de control dispondrá, en particular, de: -poderes de investigación, como el derecho de acceder a los datos que sean objeto de un tratamiento y el de recabar toda la información necesaria para el cumplimiento de su misión de control; poderes efectivos de intervención, como, por ejemplo, el de formular dictámenes antes de realizar los tratamientos, con arreglo al artículo 20, y garantizar una publicación adecuada de dichos dictámenes, o el de ordenar el bloqueo, la supresión o la destrucción de datos, o incluso prohibir provisional o definitivamente un tratamiento, o el de dirigir una advertencia o amonestación al responsable del tratamiento o el de someter la cuestión a los parlamentos u otras instituciones políticas nacionales;capacidad procesal en caso de infracciones a las disposiciones nacionales adoptadas en aplicación de la presente Directiva o de poner dichas infracciones en conocimiento de la autoridad judicial.Las decisiones de la autoridad de control lesivas de derechos podrán ser objeto de recurso jurisdiccional.
4. Toda autoridad de control entenderá de las solicitudes que cualquier persona, o cualquier asociación que la represente, le presente en relación con la protección de sus derechos y libertades respecto del tratamiento de datos personales. Esa persona será informada del curso dado a su solicitud. Toda autoridad de control entenderá, en particular, de las solicitudes de verificación de la licitud de un tratamiento que le presente cualquier persona cuando sean de aplicación las disposiciones nacionales tomadas en virtud del artículo 13 de la presente Directiva. Dicha persona será informada en todos los casos de que ha tenido lugar una verificación.
5. Toda autoridad de control presentará periódicamente un informe sobre sus actividades. Dicho informe será publicado.
6. Toda autoridad de control será competente, sean cuales sean las disposiciones de Derecho nacional aplicables al tratamiento de que se trate, para ejercer en el territorio de su propio Estado miembro los poderes que se le atribuyen en virtud del apartado 3 del presente artículo. Dicha autoridad podrá ser instada a ejercer sus poderes por una autoridad de otro Estado miembro. Las autoridades de control cooperarán entre sí en la medida necesaria para el cumplimiento de sus funciones, en particular mediante el intercambio de información que estimen útil.
7. Los Estados miembros dispondrán que los miembros y agentes de las autoridades de control estarán sujetos, incluso después de haber cesado en sus funciones, al deber de secreto profesional sobre informaciones confidenciales a las que hayan tenido acceso.
Grupo de protección de las personas en lo que respecta al tratamiento de datos personales.
Grupo de protección de las personas en lo que respecta al tratamiento de datos personales.
1. Se crea un grupo de protección de las personas en lo que respecta al tratamiento de datos personales, en lo sucesivo denominado Grupo. Dicho Grupo tendrá carácter consultivo e independiente.
2. El Grupo estará compuesto por un representante de la autoridad o de las autoridades de control designadas por cada Estado miembro, por un representante de la autoridad o autoridades creadas por las instituciones y organismos comunitarios, y por un representante de la Comisión. Cada miembro del Grupo será designado por la institución, autoridad o autoridades a que represente. Cuando un Estado miembro haya designado varias autoridades de control, éstas nombrarán a un representante común. Lo mismo harán las autoridades creadas por las instituciones y organismos comunitarios.
3. El Grupo tomará sus decisiones por mayoría simple de los representantes de las autoridades de control.
4. El Grupo elegirá a su presidente. El mandato del presidente tendrá una duración de dos años. El mandato será renovable.
5. La Comisión desempeñará las funciones de secretaría del Grupo.
6. El Grupo aprobará su reglamento interno.
7. El Grupo examinará los asuntos incluidos en el orden del día por su presidente, bien por iniciativa de éste, bien previa solicitud de un representante de las autoridades de control, bien a solicitud de la Comisión.
Artículo 30
1. El Grupo tendrá por cometido:
a) estudiar toda cuestión relativa a la aplicación de las disposiciones nacionales tomadas para la aplicación de la presente Directiva con vistas a contribuir a su aplicación homogénea;
b) emitir un dictamen destinado a la Comisión sobre el nivel de protección existente dentro de la Comunidad y en los países terceros;
c) asesorar a la Comisión sobre cualquier proyecto de modificación de la presente Directiva, cualquier proyecto de medidas adicionales o específicas que deban adoptarse para salvaguardar los derechos y libertades de las personas físicas en lo que respecta al tratamiento de datos personales, así como sobre cualquier otro proyecto de medidas comunitarias que afecte a dichos derechos y libertades;
d) emitir un dictamen sobre los códigos de conducta elaborados a escala comunitaria.
2. Si el Grupo comprobare la existencia de divergencias entre la legislación y la práctica de los Estados miembros que pudieren afectar a la equivalencia de la protección de las personas en lo que se refiere al tratamiento de datos personales en la Comunidad, informará de ello a la Comisión.
3. El Grupo podrá, por iniciativa propia, formular recomendaciones sobre cualquier asunto relacionado con la protección de las personas en lo que respecta al tratamiento de datos personales en la Comunidad.
4. Los dictámenes y recomendaciones del Grupo se transmitirán a la Comisión y al Comité contemplado en el artículo 31.
5. La Comisión informará al Grupo del curso que haya dado a los dictámenes y recomendaciones. A tal efecto, elaborará un informe, que será transmitido asimismo al Parlamento Europeo y al Consejo. Dicho informe será publicado.6. El Grupo elaborará un informe anual sobre la situación de la protección de las personas físicas en lo que respecta al tratamiento de datos personales en la Comunidad y en los países terceros, y lo transmitirá al Parlamento Europeo, al Consejo y a la Comisión.
Referencias:
Referencias:
Ibarra, B.
(2018). Protección de Datos Personales en la era digital. Marzo 30, 2019, de La Silla Rota Sitio web: https://lasillarota.com/opinion/columnas/proteccion-de-datos-personales-en-la-era-digital/240189
Paiva, L. (2015). Protección de datos personales Marzo 30, 2019, de Espacio de Formación Multimodal Sitio web: http://metabase.uaem.mx/bitstream/handle/123456789/2528/6%20Proteccio%CC%81n%20de%20datos%20personales%20de%20nin%CC%83os%2C%20nin%CC%83as%20y%20adolescentes.pdf?sequence=1&isAllowed=y
No hay comentarios.:
Publicar un comentario