El Instituto Chihuahuense para la Transparencia y Acceso a la Información Pública no es ajeno a la nueva regulación federal en materia de protección de datos personales en posesión de los particulares, y aún y cuando su observancia no es competencia del Ichitaip, sino del Instituto Federal de Acceso a la Información y Protección de Datos, sin duda alguna es un tema de interés general, que sienta las bases esenciales de la protección del derecho humano a la privacidad.
En cumplimiento de los artículos 6, 16 y 73 de la Constitución Política de los Estados Unidos Mexicanos, fue expedida la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, publicada en el Diario Oficial de la Federación el día 5 de julio del 2010, y su Reglamento el 21 de diciembre del 2011.
La ley mencionada, con el objeto de proteger los datos personales en posesión de los particulares y con la finalidad de regular su tratamiento legítimo, controlado e informado, busca garantizar la privacidad y el derecho a la autodeterminación informativa de las personas, generando una serie de obligaciones para los sujetos regulados, dentro de las cuales está la de expedir avisos de privacidad, que es el documento que, previo a realizar algún tratamiento de datos, se pone a la disposición del titular de los mismos, como dueño de la información, a fin de indicarle qué información se recaba de él y con qué fines. Otra obligación es designar a la persona ante la cual los titulares de los datos tengan la posibilidad de ejercer sus derechos de acceder a su información, rectificar o cancelar sus datos y oponerse al tratamiento de los mismos (que por sus iniciales se han denominado derechos ARCO).
Pero la serie de obligaciones y responsabilidades de las que habla la ley, ¿a quién le son aplicables? Para responder este cuestionamiento debemos comentar que son sujetos regulados todas las personas de carácter privado que lleven a cabo el tratamiento de datos personales, es decir, las que obtienen, usan, divulgan o almacenan datos personales en cualquier medio, entendiéndose por uso la acción de acceso, manejo, aprovechamiento, disposición o transferencia, nacional o internacional.
Sobre el universo de sujetos regulados es necesario recalcar los casos de excepción que la propia ley señala, que son: 1. Las sociedades de información crediticia, tales como el buró de crédito, y 2. Las personas que llevan a cabo la recolección y almacenamiento para uso exclusivamente personal y sin fines de divulgación o utilización comercial; por ejemplo, el listado de contactos y números telefónicos del celular o la libreta de direcciones.
|
|
Una vez determinado el universo de sujetos regulados, es necesario comentar que los responsables, es decir, quienes deciden sobre el tratamiento de datos personales, deben identificar sus bases de datos, entendiéndose por ellas al conjunto ordenado de información concerniente a personas físicas identificadas o identificables, para efecto de que estén en condiciones de proteger los datos que obran en las mismas, así como observar los principios de licitud (consistente en que los datos sean utilizados para el fin con el que se recabaron), de consentimiento (que implica el deber de solicitar la autorización por parte del titular para que el responsable pueda llevar a cabo tratamiento de datos, sobre todo de los datos sensibles), de información (que se refiere a la posibilidad con que cuenta el titular de saber cómo serán tratados sus datos y la necesidad del responsable de comunicarlo por medio del aviso de privacidad), de calidad y finalidad (que implican que los datos en posesión de las empresas deben de corresponder a la realidad y sólo conservarse y tratarse por el periodo de tiempo necesario), de lealtad (que se cumple con el hecho de tratar los datos personales del titular únicamente para los fines con los que se recabaron) de proporcionalidad (es decir, que los responsables sólo deben recabar los datos necesarios e indispensables para la finalidad que se persigue) y de responsabilidad (que consiste en que quienes traten datos personales deben asegurar que se cumplan los principios esenciales y puedan rendir cuentas en caso de incumplimiento).
La protección de datos personales, a través de los denominados derechos ARCO, se ejerce de manera gratuita y sólo deben cubrirse los gastos de envío y reproducción de información, en su caso.
Proteger los datos personales implica para los sujetos regulados una responsabilidad de establecer medidas de seguridad para el acceso y tratamiento de la información que obra en sus bases de datos, tales como accesos restringidos por medio de contraseñas, en el caso de fuentes de acceso electrónicos, o de alguna otra medida para inhibir la alteración o tratamiento indebido.
El incumplimiento a las disposiciones de ley genera la posibilidad de que la autoridad, en este caso el IFAI, imponga sanciones que van desde un apercibimiento hasta la imposición de multas de 320,000 días de salario mínimo vigente en el Distrito Federal, e incluso las infracciones pueden llegar a tipificar un delito con penas privativas de la libertad, que van desde tres meses hasta cinco años, todas con posibilidad de duplicarse.
Con la regulación federal en materia de protección de datos personales en posesión de los particulares se robustece la tutela del derecho humano a la privacidad, como un paso importante para nuestro país en la adecuación normativa a las convenciones internacionales.
|