Lic. Carlos Alberto Vela Treviño
Gerente del Área Legal Corporativa
PwC

Lic. Jocelyn Mares Cházaro
Gerente del Área Legal Corporativa
PwC

La protección de datos personales en posesión de los particulares no es ni será una moda pasajera. Si bien es cierto que el derecho a la protección de datos constituye una de las especialidades jurídicas más recientes (las primeras legislaciones surgieron en el último tercio del siglo XX), también lo es que el avance de las legislaciones en materia de protección de datos en el plano internacional ha sido decisivo e imparable

En este artículo referimos algunas características de los tres principales modelos regulatorios que existen en esta materia y la forma en que los mismos se han ido armonizando. Asimismo, a partir de la experiencia internacional de PwC Servicios Legales en esta materia, recomendamos ocho reglas fundamentales que las organizaciones pueden seguir a fin de cumplir con la legislación.

Modelos regulatorios: La Unión Europea y la APEC
A partir de la década de 1980, dos modelos regulatorios empezaron a despuntar con claridad:

• El “Modelo general”, que se sustenta en un marco legislativo sólido, cuya finalidad es proteger a los individuos frente a las empresas.
• El “Modelo sectorial”, que parte del principio de que las empresas pueden adoptar la “autorregulación” en esta materia a fin de evitar la intervención del Estado.

El primer modelo fue desarrollado y promovido por la Unión Europea, mediante diversos conceptos y reglas contenidas en resoluciones y directivas generales aprobadas por la Unión Europea (UE), las cuales fueron incorporadas con matices propios en cada uno de los países de la UE.1 La principal aportación de este modelo fue el desarrollo de un marco conceptual compacto y robusto, que permitió el desarrollo de los principios jurídicos del tratamiento (finalidad, calidad, proporcionalidad, entre otros) y la estructuración de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), como mecanismos disponibles para que el titular haga valer su garantía constitucional frente a las empresas.
Por el contrario, el Modelo sectorial, avalado por los EE.UU., y la APEC2 —por influencia de este país— se promocionaba como un modelo que permitía a la empresa comprometerse flexiblemente con los titulares, por medio de las revelaciones de información contenidas en las políticas de privacidad y de seguridad de la empresa.
Al establecer ciertos mínimos legislativos en el sector industrial en donde el tratamiento de datos personales resultaba más sensible (v.g. en el sector salud o el financiero), el legislador no imponía costos a toda la economía y permitía que cada usuario, libre y plenamente informado mediante el aviso de privacidad, pudiera decidir si otorgaba sus datos a una empresa.
Este modelo, sin embargo, no era perfecto: en tanto que cada agencia podía emitir regulación sectorial, la empresa debía monitorear el marco regulatorio que crecía de manera dispersa.
Como resultado de estas dos visiones, cuya perspectiva se ofrecía siempre a los países que deseaban regular en esta materia como modelos contrapuestos, empezó a surgir en un tercer modelo: el “Modelo Híbrido” de regulación, del cual México es, probablemente, el más afortunado exponente. El modelo híbrido toma el sólido bagaje conceptual europeo y lo equilibra con la flexibilidad de los avisos de privacidad estadounidenses. El modelo híbrido mexicano pretende cimentarse en principios, cuyo cumplimiento no resulte costoso a las empresas y se encuentra diseñado para exigir más a quien mejor pueda proteger la información.
Afortunadamente, estos modelos se encuentran en la actualidad lejos de estar contrapunteados. Gracias al continuo diálogo de la UE y la APEC, así como a las decisivas aportaciones de la Organización para la Cooperación y el Desarrollo Económicos (OCDE) y de las autoridades nacionales de protección de datos, se ha ido sedimentando en el orden internacional un marco jurídico global genuino y armonizado en esta materia. Esta armonización suave (softlaw) permite que, en la actualidad, exista un rico aljibe de interpretaciones judiciales y regulatorias que arrojan luz respecto de cómo deben interpretarse los conceptos aparentemente ambiguos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
Quizá la mayor prueba de esta armonización suave es la Propuesta Conjunta para la Redacción de Estándares Internacionales para la protección de la Privacidad, en relación con el tratamiento de datos de carácter personal, acogida por la 31 Conferencia Internacional de Autoridades de Protección de Datos y Privacidad celebrada el 5 de noviembre de 2009 en Madrid, España, que establece una serie de principios y reglas en las que concuerdan autoridades de protección de datos de varios países y pertenecientes a diversas tradiciones.

Reglas fundamentales de cumplimiento de las obligaciones de protección de datos personales
Debido a la importancia del tema, las organizaciones que controlan y manejan información personal —en nuestra opinión—, deben contar con una política de protección de datos y asegurarse de que su personal está al tanto de sus responsabilidades, mediante cursos de entrenamiento e inducción en la materia, así como sesiones de actualización periódicas.
En nuestra experiencia como firma global, consideramos que existen ocho reglas fundamentales para la protección de datos a ser considerados por las organizaciones:3

• Obtener y tratar información de forma justa y correcta.
• Conservar la información solamente para fines legales, explícitos y específicos.
• Utilizar y divulgar la información solo en formas compatibles con aquellos fines.
• Mantener la información segura.
• Mantener la información correcta, completa y actualizada.
• Asegurarse de que la información es adecuada, relevante y no excesiva.
• Retener información por el tiempo que sea necesario para los fines.
• Proporcionar una copia de la información personal a su titular cuando así lo solicite.

Los siguientes casos identificados en Europa, son ejemplos genuinos en materia de violación de derechos relativos a la protección de datos personales:
Obtener y tratar información de forma justa y correcta

Obtención de información. Un establecimiento en Dublín, Irlanda envió mensajes de textos no solicitados a aquellos números de celular que recabó de clientes por medio de la circulación de formularios durante varias noches. La autoridad correspondiente consideró lo anterior como inseguro debido a que:

• La información fue proporcionada en un establecimiento público.
• Los clientes pueden dar información de otra persona.
• El personal puede llegar a transcribir la información de forma incorrecta.
• Los clientes pueden no encontrarse en la situación adecuada para determinar si pueden tomar una decisión informada respecto a proporcionar o no su información personal.

En este caso se sugirió que la recolección de la información podía hacerse por medio de una forma electrónica más temprano, en la noche, para obtener una mayor certeza de la información.
Tratamiento de datos. Diversos empleados de una aerolínea irlandesa presentaron sus quejas ante la autoridad correspondiente, respecto a la transferencia de sus datos personales a un tercero, por parte de dicha aerolínea sin haber obtenido previamente su consentimiento.
Bajo este evento, la autoridad solicitó confirmación de que el archivo que contenía la información personal y que había sido transferido por la aerolínea al tercero había sido destruido y que la información ahí contenida no había sido retenida en alguna base de datos propiedad del tercero.

Conservar la información para fines legales, explícitos y específicos
Un miembro de un gimnasio presentó una queja ante este establecimiento, respecto a la limpieza de sus instalaciones mediante una llamada telefónica realizada desde el cuarto de vapor del gimnasio. Posterior a ello, a esta persona le fueron presentadas imágenes captadas por el circuito cerrado de televisión de personas que fueron erróneamente acusadas de ser la quejosa, utilizando diferentes establecimientos del gimnasio al momento en que, supuestamente, esta persona hizo la llamada.
La autoridad consideró que el sistema de circuito cerrado de televisión fue explícita y legalmente utilizado por el gimnasio por razones de seguridad, pero que esto no se extendía a asuntos de salud e higiene, por lo que el gimnasio no debió utilizarlo para interrogar a la quejosa respecto de su reclamación.
Asimismo, tenemos el caso de la sanción de 60,101 impuesta a El Corte Inglés por la Agencia Española de Protección de Datos (AEPD) tras haber colocado cámaras de seguridad que captaban imágenes de las personas que transitaban por el establecimiento, así como automóviles que se encontraban estacionados en el lugar. La AEPD consideró que captar dichas imágenes no era adecuado ni proporcional o necesario para la consecución del fin y que, por lo tanto, violaban los principios de la ley aplicable en España.4

Utilizar y divulgar la información en formas compatibles con aquellos fines
Se presentó una queja respecto del uso de informes médicos por parte del antiguo empleador del quejoso, un productor global de productos farmacéuticos, los cuales fueron solicitados por el empleador en relación con una reclamación de lesiones por parte del quejoso en su contra. El antiguo empleador utilizó los informes para despedir al quejoso en la audiencia correspondiente, quien a su vez tomó un caso en su contra bajo la Ley de Despidos Improcedentes, informes que el antiguo empleador proporcionó a todos los presentes en tal audiencia.
La autoridad sostuvo que los fines para los cuales los informes fueron originalmente obtenidos no eran compatibles con aquellos para los cuales se utilizaron posteriormente, es decir, para despedir al quejoso o para ser utilizados en su defensa durante el procedimiento.

Mantener la información segura
Una computadora portátil que pertenecía a un funcionario de una dependencia gubernamental y que contenía información personal de 380,000 receptores de beneficios de previsión social, incluyendo datos bancarios personales de más de 100,000 personas, se extravió en abril de 2007, durante una auditoría.
Este incidente fue seguido de una declaración por parte de tal funcionario respecto del extravío de 16 computadoras portátiles pertenecientes a su dependencia desde 1999.
En Inglaterra, a la Sociedad de Préstamo Inmobiliario se le impuso una multa de 1.2 millones después de que una computadora portátil que contenía la información personal de 11 millones de clientes fue extraviada.

Mantener la información correcta, completa y actualizada
En 2007, una quejosa solicitó la rectificación de un informe médico llevado a cabo a solicitud de su empleador, el cual esta persona consideró como una descripción incorrecta de sus circunstancias.
El empleador rechazó tal solicitud, sin embargo, como se trataba de una evaluación médica independiente, la autoridad encontró que, a pesar de que el titular de los datos personales tiene el derecho de que la información que se posee del titular sea rectificada o eliminada, en caso de ser incorrecta, esto no implica un derecho no calificado y que dependía del caso en particular.
La autoridad sugirió que el controlador de la información hiciera la anotación de la inconformidad de la quejosa respecto de ciertos datos que ella consideraba incorrectos por cualquiera de las razones indicadas en las leyes aplicables al caso.

Asegurarse de que la información es adecuada, relevante y no excesiva
En 2006, los dueños de un lugar de eventos en Irlanda emitieron cartas a los residentes del área circunvecina, en relación con la creación de una base de datos, mediante la cual los residentes fueran considerados para el ofrecimiento de boletos de ciertos eventos. Lo anterior requirió que los residentes llenaran un formato de solicitud e incluyeran una fotografía y un recibo reciente de algún servicio. La autoridad informó a los dueños de tal lugar que los controladores de la información no deberían retener copias de la información personal, tales como recibos de servicios o pasaportes, excepto cuando esto fuera autorizado por ley.

Retener información por el tiempo que sea necesario para los fines
Se ha encontrado que existen establecimientos en Irlanda que mantienen sitios de Internet que almacenan información personal por periodos de tiempo superiores a aquellos que resultan necesarios para la consecución de los fines para los cuales dicha información personal fue recabada.

Proporcionar una copia de la información personal a su titular cuando así lo solicite
Una compañía irlandesa de la industria alimenticia fue objeto de una reclamación ante la autoridad respectiva tras no haber dado cumplimiento a una solicitud de acceso a la información personal de un exempleado, argumentando que no le era posible proporcionar el acceso dado al privilegio legal que el empleador tenía sobre el reporte interno de accidente, al cual se pretendía acceder.
La autoridad respectiva estableció que el privilegio legal no era aplicable y que solo se aplicaba a la comunicación entre el cliente y un asesor legal profesional, haciendo constar que no podía ser utilizado como un mecanismo de evasión para retener información personal de su dueño.

Referencias:

1    Convención para la Protección de las Personas con Respecto al Tratamiento Automatizado de Datos de Carácter Personal (ETS N º 108) 1981; Directivas Europeas 95/56/EC y 97/66/EC, 2002/58 EC. Una colección de estos documentos se encuentra disponible en: http://www.ifai.gob.mx/RegulacionInternacional/leyesInternacionales
2    Marco de privacidad del Foro de Cooperación Económica Asia Pacífico (APEC, 2005).
3    Landwell Solicitors. (s.f.). Data Protection. The 8 Fundamental Rules. (traducción del autor). http://www.landwellglobal.com/ie/publications/8FundamentalRules.pdf
4    (4 de abril de 2011). El Corte Inglés, sancionado por grabar a transeúntes. El País (Madrid). Recuperado el (9 de enero de 2012), de http://sociedad.elpais.com/sociedad/2011/04/04/actualidad/1301868004_850215.html
Ribas, Xavier. (1 de octubre de 2011). Checklist para revisar las cámaras corporativas de videovigilancia. [Mensaje 8]. Mensaje dirigido a http://pwcspain.typepad.com/blog_landwell/datos_personales/