Protección de datos personales en posesión de los entes públicos

Protección de datos personales en posesión de los entes públicos

Introducción

Los avances tecnológicos desarrollados por el ser humano de las últimas tres décadas, generan una gran cantidad de información, siendo sumamente útil para diferentes materias y temas, dentro de la clasificación de la información se encuentra la de datos personales, comprendiendo cualquier reseña, referencia, crónica, relato o generales concerniente a una persona física identificada o identificable, en los últimos dos lustros el manejo irresponsable, el abuso y la falta de seguridad por parte de ciertos poseedores de la información, han ocasionado en la vida de determinadas personas afectar  su privacidad y en algunos casos hasta la integridad del individuos, esta problemática de falta de seguridad de la información, dio como origen al derecho a la protección de los datos personales, donde se administre, garantice y asegure responsablemente la información personal por parte del sujeto poseedor.

El Poder Legislativo Federal preocupado por legislar en el tema de protección de datos personales emite en el 2010 la normatividad para que regule y garantice la protección de datos personales en posesión de sujetos particulares, para inicios del ejercicio 2017, el mismo poder expide la misma normatividad pero ahora obligando a los entes públicos que administren información personal; en concordancia con la normatividad federal en el ámbito local, el Congreso del Estado de Jalisco emite en el mismo 2017, el decreto para regular la protección de datos personales en posesión del Estado y los Municipios.

¿En qué afecta a los entes públicos la normatividad del derecho a la protección de datos personales emitida por el Legislador Federal y Estatal?

Para ello analicemos que todo ente público tiene información de particulares, tal es el caso de la base de datos de sus contribuyentes, los beneficiarios de un programa público o los actores en un procedimiento judicial, así como también se tiene la información de las personas que prestan un servicio subordinado a un gobierno (servidor público) o los datos personales de las autoridades (funcionarios públicos), entre otros supuestos, esto significa que todo ente público debe garantizar, proteger y administrar la información de un individuo de manera responsable, protegiendo la integridad y privacidad de aquellos sujetos que proporcionan información personal al Estado o a los Municipios.

El informe tiene como finalidad mostrar el resultado de la investigación realizada por el Departamento de Investigación, Análisis y Normatividad Técnica, respecto al decreto legislativo No. 26420/LXI/17 publicado en el Periódico Oficial “El Estado de Jalisco”, el miércoles 26 de julio de 2016 con la expedición de la “Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Jalisco y sus Municipios”.

Antecedentes

El 30 de abril de 2009 se publicó en el Diario Oficial de la Federación el decreto por el que se adiciona la fracción XXIX-O al artículo 73 de la Constitución Política de los Estados Unidos Mexicanos, la que otorga al Congreso Federal la facultad para legislar en materia de protección de datos personales en posesión de particulares, determinando en su Transitorio Segundo que el Congreso de la Unión deberá expedir la ley en la materia en un plazo no mayor de 12 meses.

Derivado de la reforma al artículo 73 fracción XXIX-O y en cumplimiento al Transitorio Segundo, el 5 de julio de 2010 fue publicada en el Diario Oficial de la Federación la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, la que tiene por objeto proteger los datos personales en posesión de los particulares, con la finalidad de normar y regular el uso, tratamiento, control e informar, para garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

En observancia al derecho a la protección de datos personales, al acceso, rectificación, cancelación y oposición (Derecho ARCO), dispuesto en los artículos 6º, Base A y 16, segundo párrafo de nuestra Carta Magna el 26 de enero de 2017, se publicó en el Diario Oficial de la Federación la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, la cual tiene por objeto establecer las bases, principios y procedimientos para garantizar el derecho que tienen las personas a la protección de sus datos personales, en posesión de la federación, estados y municipios, cerrando el círculo en la labor de la protección de datos personales, pero ahora en posesión del sector público.

El artículo Transitorio Segundo de la ley del párrafo precedente, establece que deberán ajustarse a las disposiciones previstas en esta norma, la Ley Federal de Transparencia y Acceso a la Información Pública, las demás leyes federales y las leyes vigentes de las Entidades Federativas en materia de protección de datos personales, en un plazo de seis meses siguientes a la entrada en vigor de la ley.

En el caso del Estado de Jalisco, con la reforma del año 2015 al artículo 9° de la Constitución Política del Estado de Jalisco, se incluyó la obligatoriedad a la protección de datos personales en posesión de sujetos obligados, faltando únicamente elaborar la ley que reglamentaría esta materia.

Derivado del artículo Transitorio Segundo de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, el 26 de julio de 2017 y en cumplimiento del artículo 9° de la Constitución del Estado, se publicó en el Periódico Oficial “El Estado de Jalisco” la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Jalisco y sus Municipios.

La nueva ley para la protección de datos personales en posesión de sujetos obligados en el Estado, trae la exigencia a toda entidad pública que maneje datos personales su observancia, implicando con ello el deber de implementar, adoptar y crear procedimientos y sistemas de seguridad de datos personales, así como promover, fomentar y difundir una cultura en el ejercicio de los derechos ARCO, entre otras obligaciones.

Generalidades

Los datos personales los define la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Jalisco y sus Municipios (LPDPPSOEJM), como cualquier información concerniente a una persona física identificada o identificable, una persona es identificable cuando su identidad puede determinarse directa o indirectamente a través de cualquier información.

De los datos personales se derivan aquellos identificados como sensibles, siendo aquellos que se refieren a la esfera más íntima de su titular, tal como origen racial o étnico, estado de salud, información genética, datos biométricos, creencias religiosas, filosóficas y morales, opiniones políticas y preferencias sexuales.

Los sujetos que reciban, recaben, posean o administran información de individuos deben observar y garantizar el derecho que tiene toda persona a la protección de sus datos personales, en el ámbito gubernamental se identifica como sujeto obligado al Estado y los Municipios, comprendiendo a cualquier autoridad, entidad, órgano y organismo del Poder Ejecutivo, Legislativo y Judicial, ayuntamiento, organismo autónomo, partido político, fideicomiso y fondos públicos, así como los sindicatos y cualquier persona física o jurídica que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito estatal o municipal.

El derecho a la protección de datos personales a observar por un sujeto obligado, se materializa dentro de un ente público en dos ejes de acciones:

  • El tratamiento de datos personales. Es cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales o automatizados aplicados a los datos personales, relacionados con la obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación, difusión, almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o disposición de datos personales.
  • El ejercicio de los derechos ARCO. Es el derecho que tiene el individuo de acceso, rectificación, cancelación y oposición al tratamiento de sus datos personales.
    • Acceso. Es acceder a sus datos personales que obren en posesión del responsable, así como conocer la información relacionada con las condiciones, particularidades y generalidades de su tratamiento;
    • Rectificación. Es solicitar al responsable la rectificación o corrección de sus datos personales cuando éstos resulten inexactos, incompletos o no se encuentren actualizados;
    • Cancelación. Es solicitar la cancelación de sus datos personales de los archivos, registros, expedientes y sistemas del responsable, a fin de que los mismos ya no estén en su posesión y dejen de ser tratados por este último; y
    • Oposición. Es oponerse al tratamiento de sus datos personales o exigir que se cese el mismo por las causas referidas en la LPDPPSOEJM.

Todo sujeto obligado para dar cumplimiento al derecho a la protección de datos personales, debe instituir dentro del ente público las bases, obligaciones, procedimientos y condiciones homogéneas que regirán el tratamiento de datos personales y el ejercicio de los derechos ARCO mediante procedimientos sencillos y expeditos; garantizar la observancia de los principios que rigen la protección de datos personales previstos en la normatividad de la materia; proteger los datos personales con la finalidad de regular su debido tratamiento; establecer los mecanismos para garantizar el cumplimiento y la efectiva aplicación de las medidas de apremio que correspondan para aquellas conductas que contravengan las disposiciones previstas en la LPDPPSOEJM; y fijar los estándares y parámetros que permitirán la implementación mantenimiento y actualización  de medidas de seguridad de carácter administrativo, técnico y físico que permitan la protección de datos personales.

Deberes del sujeto obligado en la protección de datos personales

Seguridad de Datos Personales

Con independencia del tipo de sistema en el que se encuentren los datos personales o el tipo de tratamiento que se efectúe, el responsable1 deberá establecer y mantener las medidas de seguridad de carácter administrativo, físico y técnico para la protección de datos personales, que permitan protegerlos contra daños, pérdidas, alteraciones, destrucción o su uso, acceso o tratamiento no autorizado, así como garantizar su confidencialidad, integridad y disponibilidad, para ello el responsable deberá considerar en la adopción de las medidas de seguridad:

  1. El riesgo inherente a los datos personales tratados;
  2. La sensibilidad de los datos personales;
  3. El desarrollo tecnológico;
  4. Las posibles consecuencias de una vulneración para los titulares;
  5. Las transferencias de datos personales que se realicen;
  6. El número de titulares;
  7. Las vulneraciones previas ocurridas en los sistemas de tratamiento; y
  8. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada su posesión.

Para establecer y mantener las medidas de seguridad, el responsable deberá llevar a cabo las siguientes acciones:

  1. Crear políticas internas para la gestión y tratamiento de los datos personales;
  2. Definir las funciones y obligaciones del personal involucrado en el tratamiento de datos personales;
  3. Elaborar un inventario de datos personales y de los sistemas de tratamiento;
  4. Realizar un análisis de riesgo de los datos personales;
  5. Realizar un análisis de brechas, comparando las medidas de seguridad existentes contra las faltantes en la organización;
  6. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes;
  7. Revisar de manera periódica las medidas de seguridad, así como las amenazas y vulneraciones; y
  8. Diseñar y aplicar diferentes niveles de capacitación al personal.

Sistema de Gestión y Documento de Seguridad

Las acciones relacionadas con las medidas de seguridad para el tratamiento de los datos personales deberán estar documentadas y contenidas en un sistema de gestión, que es el conjunto de elementos y actividades interrelacionadas para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de datos personales.

El responsable deberá elaborar y aprobar un documento que contenga las medidas de seguridad para observancia obligatoria para los encargados y demás personas que realizan algún tipo de tratamiento de datos personales, el cual contendrá cuando menos:

  1. El nombre de los sistemas de tratamiento o base de datos personales;
  2. El nombre, cargo y adscripción del administrador de cada sistema de tratamiento y/o base de datos personales;
  3. Las funciones y obligaciones de las personas que traten datos personales;
  4. El inventario de los datos personales tratados en cada sistema y/o base de datos;
  5. Estructura y descripción de los sistemas y/o base de datos, señalando el tipo de soporte y las características del lugar donde se resguardan;
  6. Los controles y mecanismos de seguridad para las transferencias que, en su caso, se efectúen;
  7. El resguardo de los soportes físicos y/o electrónicos de los datos personales;
  8. Las bitácoras de acceso, operación cotidianas y vulneraciones a la seguridad de los datos personales;
  9. El análisis de riesgos;
  10. El análisis de brecha;
  11. La gestión de vulneraciones;
  12. Las medidas de seguridad física aplicadas a las instalaciones;
  13. Los controles de identificación y autenticación de usuarios;
  14. Los procedimientos de respaldo y recuperación de datos personales;
  15. El plan de contingencia;
  16. Las técnicas utilizadas para la superación y borrado seguro de los datos personales;
  17. El plan de trabajo;
  18. Los mecanismos de monitoreo y revisión de las medidas de seguridad; y
  19. El programa general de capacitación.

El documento de seguridad deberá ser revisado de manera periódica o cuando ocurran modificaciones sustanciales al tratamiento de datos personales que deriven en un nivel de riesgo, así también cuando se realicen mejoras para mitigar el impacto de vulneración a la seguridad o derivado del monitoreo y revisión del sistema de gestión, además en el caso de implementación de acciones correctivas y preventivas ante una vulneración de seguridad2 ocurrida.

Bitácora y Notificación ante Vulneraciones de Seguridad Ocurridas

El responsable deberá de llevar una bitácora de las vulneraciones a la seguridad ocurridas en la que se describa la fecha en la que ocurrió, el motivo de la vulneración de seguridad y las acciones correctivas implementadas de forma inmediata y definitiva; también el responsable deberá informar, en un máximo de setenta y dos horas en cuanto se confirme, al titular y al Instituto de Transparencia, Información Pública y Protección de Datos Personales del Estado de Jalisco las vulneraciones de seguridad ocurridas, que de forma significativa afecten los derechos patrimoniales o morales del titular, a fin de que los titulares afectados puedan tomar las medidas correspondientes para la defensa de sus derechos.

Deberes de Confidencialidad

El responsable deberá establecer controles o mecanismos que tengan por objeto que todas aquellas personas que intervengan en cualquier fase del tratamiento de los datos personales guarden confidencialidad respecto de éstos, obligaciones que subsistirán aún después de finalizar sus relaciones con el sujeto obligado.

Aviso de Privacidad

El Transitorio Séptimo, determina que los sujetos responsables deben expedir un aviso de privacidad, a más tardar tres meses después de la entrada en vigor de la LPDPPSOEJM; el aviso de privacidad es el documento físico, electrónico o en cualquier formato generado por el responsable, que es puesto a disposición del titular, con el objeto de informarle los propósitos principales del tratamiento al que serán sometidos sus datos personales, a fin de que esté en posibilidad de tomar decisiones informadas sobre el uso de sus datos personales y, en consecuencia, mantener el control y disposición sobre ellos.

El aviso de privacidad deberá ser difundido por los medios electrónicos y físicos con que se cuente, tales como medios impresos, sonoros, digitales, visuales o cualquier otra tecnología; con una redacción clara y sencilla, para cumplir con el propósito de informar.

El aviso de privacidad deberá contener la siguiente información:

  • La denominación y domicilio del responsable;
  • Los datos personales que serán sometidos a tratamiento, identificando aquéllos que son sensibles;
  • Las finalidades del tratamiento para las cuales se obtienen los datos personales, distinguiendo aquéllas que requieren el consentimiento del titular;
  • Cuando se realicen transferencias de datos personales que requieran consentimiento, se deberá informar:
    • Las autoridades, poderes, entidades, órganos y organismos gubernamentales de los tres órdenes de gobierno y las personas físicas o morales a las que se transfieren los datos personales, y
    • Las finalidades de estas transferencias;
  • Los mecanismos y medios disponibles para que el titular, en su caso, pueda manifestar su negativa para el tratamiento de sus datos personales para finalidades y transferencias de datos personales que requieren el consentimiento del titular;
  • El sitio donde se podrán consultar el aviso de privacidad;
  • El fundamento legal que faculta al responsable para llevar a cabo el tratamiento;
  • Los mecanismos, medios y procedimientos disponibles para ejercer los derechos ARCO;
  • El domicilio de la Unidad de Transparencia; y
  • Los medios a través de los cuales el responsable comunicará a los titulares los cambios al aviso de privacidad.

Derechos ARCO

En todo momento el titular o su representante podrán solicitar al responsable el acceso, rectificación, cancelación u oposición al tratamiento de sus datos personales, la que podrán ejercer presentando solicitud en la Unidad de Transparencia del sujeto obligado, la que deberá contener la siguiente información:

  • El área responsable que trata los datos personales y ante el cual se presenta la solicitud, de ser posible;
  • Nombre del solicitante titular de la información, y en su caso, del representante legal, debiendo acreditar su representatividad;
  • Domicilio o cualquier otro medio para recibir notificaciones;
  • Los documentos con los que acredite su identidad;
  • La decisión del derecho ARCO que se pretende ejercer, o bien, lo que solicita el titular;
  • Descripción clara y precisa de los datos sobre los que se busca ejercer alguno de los derechos ARCO, salvo que se trate del derecho de acceso; y
  • Cualquier otro elemento o documento que facilite la localización de los datos personales, en su caso.

Portabilidad de los Datos

Cuando se traten datos personales por vía electrónica en un formato estructurado y comúnmente utilizado, el titular tendrá derecho a obtener del responsable una copia de los datos objeto de tratamiento en un formato electrónico estructurado y comúnmente utilizado que le permita seguir utilizándolos.

Cuando el titular haya facilitado los datos personales y el tratamiento se base en el consentimiento o en un contrato, tendrá derecho a transferir dichos datos personales y cualquier otra información que haya facilitado y que se conserve en un sistema de tratamiento automatizado a otro sistema en un formato electrónico comúnmente utilizado.

Comunicaciones de datos personales

Toda transferencia de datos personales sea nacional o internacional, se encuentra sujeta al consentimiento de su titular, salvo las excepciones previstas en la ley, en toda transferencia deberá formalizarse mediante la suscripción de cláusulas contractuales, convenios de colaboración o cualquier otro instrumento jurídico, permitiendo demostrar el alcance del tratamiento de los datos personales, así como las obligaciones y responsabilidades asumidas por las partes.

Responsables en materia de protección de datos personales

Comité de Transparencia

El sujeto obligado deberá tener un Comité de Transparencia, el cual tendrá la tarea de Coordinar, supervisar y realizar las acciones necesarias para garantizar el derecho a la protección de datos personales en la organización; Instituir procedimientos internos para asegurar mayor eficiencia en la gestión de las solicitudes para el ejercicio de los derechos ARCO; Confirmar, modificar o revocar las determinaciones en las que se declare la inexistencia de los datos personales, o se niegue por cualquier causa el ejercicio de alguno de los derechos ARCO; Supervisar, en coordinación con las áreas o unidades administrativas competentes, el cumplimiento de las medidas, controles y acciones previstas en el documento de seguridad; Establecer programas de capacitación y actualización para los servidores públicos en materia de protección de datos personales; Resolver las solicitudes de ejercicio de derechos ARCO que se presenten; entre otras.

Unidad de Transparencia

La unidad de transparencia del sujeto obligado es la responsable de auxiliar y orientar al titular que lo requiera respecto al ejercicio del derecho a la protección de datos personales; Gestionar las solicitudes para el ejercicio de los derechos ARCO; Establecer mecanismos para asegurar que los datos personales solo se entreguen a su titular o representante; Informar al titular o su representante el monto de los costos a cubrir por la reproducción y envió de los datos personales; Proponer al Comité de Transparencia los procedimientos internos que aseguren y fortalezcan la gestión de las solicitudes para el ejercicio de los derechos ARCO; Asesorar a las áreas adscritas al responsable  en materia de protección de datos personales; Dar atención y seguimiento a los acuerdos emitidos por el Comité de Transparencia; entre otras.

Medidas de apremio y responsabilidades

Infracciones y sanciones

Serán causas de responsabilidad y sanción por incumplimiento de las obligaciones establecidas en materia de protección de datos personales, el actuar con negligencia, dolo o mala fe en la solicitud de un derecho ARCO o portabilidad de los datos personales; incumplir o ampliar con dolo los plazos establecidos en la ley; usar, sustraer, divulgar, ocultar, alterar, mutilar, destruir o inutilizar, total o parcialmente y de manera indebida datos personales; no efectuar la rectificación, cancelación u oposición; no contar con el aviso de privacidad, o bien, omitir en el mismo algún elemento; no establecer las medidas de seguridad; obstruir los actos de verificación; entre otras.

El que cometa alguna de las infracciones establecidas en ley, será sancionado con amonestación pública, multas que van desde ciento cincuenta a mil quinientas veces el valor diario de la Unidad de Medida y Actualización o arresto administrativo.

Conclusión

El Legislativo en sus dos esferas, Federal y Estatal, desde el 2009 y hasta el 2017, construyeron dentro del ámbito de su competencia la normatividad, para establecer los cimientos que garantice el derecho a la protección de los datos personales, que reciben los particulares, la Federación, los Estados y los Municipios, así como sus organismos descentralizados y desconcentrados.

Específicamente en el Estado de Jalisco se expidió la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Jalisco y sus Municipios, obligando a observar y cumplir lo determinado por la ley a cualquier autoridad, entidad, órgano y organismo de los tres Poderes del Estado, Ayuntamientos, Órganos autónomos, Partidos Políticos, Fideicomisos y Fondos Públicos, así como a los sindicatos y cualquier otra persona física o jurídica que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito estatal y municipal.

Es de aquí, que a partir de julio de 2017 en el Estado de Jalisco toda entidad pública, se encuentra obligada al cumplimiento de las disposiciones en el tratamiento de Datos Personales de la información que les proporcionan los ciudadanos, así como en la aplicación de los Derechos ARCO. Implicando para las entidades públicas el establecimiento de un programa de implementación en las  instituciones gubernamentales, como es el modelo de seguridad, el aviso de privacidad, confidencialidad, entre otras obligaciones.

Nota al pie: 

1 El responsable es el que determina los fines, medios y alcances y demás cuestiones relacionadas con el tratamiento de datos personales. 

2 Se considera como vulneración de seguridad, cuando exista la pérdida o destrucción no autorizada de datos personales; el robo, extravío o copia no autorizada; el uso, acceso o tratamiento no autorizado; o el daño, la alteración o modificación no autorizada.
Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *