Artículos doctrinales

 

El efecto horizontal del derecho a la protección de datos personales en México

 

The horizontal effect of personal data right in Mexico

 

Rogelio López Sánchez*

 

* Investigador del área de Filosofía del Derecho del Centro de Investigación de Tecnología Jurídica y Criminológica de la Universidad Autónoma de Nuevo León.

 

Fecha de recepción: 23 de abril de 2012.
Fecha de dictamen: 5 de junio de 2012.

 

Resumen

Este trabajo explora el derecho a la protección de datos personales en posesión de particulares en México, a raíz de la nueva legislación denominada: Ley federal de protección de Datos personales en posesión de particulares (LFPD), a partir de la doctrina comparada y el derecho internacional de los Derechos Humanos. México es uno de los países donde la protección de datos es una de las asignaturas pendientes con mayor demanda de parte de la ciudadanía. Esto ha sido motivo de un debate nacional prolongado y una dura crítica de parte de organismos internacionales que habían denunciado la ausencia en nuestro país de recursos efectivos, sencillos e idóneos para tutelar el derecho a la intimidad ante las vulneraciones de particulares (Drittwirkung). En este sentido, lo que buscamos es demostrar que los motivos inspiradores de la LFPD, tuvieron como objetivo la máxima protección en favor de la persona (pro homine), el derecho a la intimidad y privacidad, de acuerdo a los principios del derecho internacional de los derechos humanos.

Palabras clave: datos personales, derechos humanos, derecho a la intimidad, particulares, pro homine.

 

Abstract

This paper deals the protection of personal data as fundamental right in possession of private persons in Mexico, according to the new legislation named: "Ley Federal de protección de Datos personales en posesión de particulares (LFPD)" from the doctrine and international law of human rights. Mexico is one of the countries wherein the protection of personal data is one of the most several pending signatures for the citizens. It has been subject of a long national discussion and severe criticism of international organism that had been denounce the lack of effectives, simples and suitable judicial remedies to protect the intimacy right against private persons (Drittwirkung) in Mexico. In this sense, we are trying to demonstrate the principal reasons of the LFPD had the aim of maximum protection following pro homine principle and intimacy right, according to principles of international law of human rights.

Keywords: personal data, human rights, intimacy right, private persons, pro homine.

 

I. Introducción

En los últimos años en nuestro país ha tomado especial relevancia la protección efectiva de los derechos fundamentales. La gran reforma constitucional de 2007 en materia de derecho de acceso a la información pública gubernamental conforme a criterios de derecho internacional, marco un hito importante en el campo del derecho informático.¹ Otro de los puntos de inflexión importantes fue la reforma relativa a la consagración del derecho a la intimidad y protección de datos en 2009.²

Actualmente, la realidad ha desafiado por mucho la capacidad gubernamental para lograr una protección efectiva del sistema de protección de datos personales. En el presente estudio analizamos una de las cuestiones más controvertidas en los últimos años en esta materia. Se trata de la protección de los datos personales en posesión de particulares. Desde el punto de vista de la teoría de los derechos fundamentales, esto significa dotar de eficacia a los derechos fundamentales ante las violaciones que cometen los particulares, en este caso, la autoridad se encuentra en posibilidad de imponer sanciones a los mismos, cuando éstos incurren en la difusión de datos sin la autorización de aquéllos.

México es uno de los países donde la protección de datos es una de las asignaturas pendientes con mayor demanda de parte de la ciudadanía, incluso, ha sido motivo de un debate nacional prolongado y una dura crítica de parte de otras naciones y organismos internacionales que habían denunciado la ausencia en nuestro país de recursos efectivos, sencillos e idóneos para tutelar el derecho a la intimidad ante las vulneraciones de particulares. En este sentido, lo que buscamos es demostrar que los motivos inspiradores de la Ley Federal de protección de Datos personales en posesión de particulares (en adelante LFPD), tuvieron como objetivo la máxima protección en favor de la persona (pro Homine), el derecho a la intimidad y la protección de datos, de acuerdo a los principios del derecho internacional de los derechos humanos.

De esta forma, lo que pretendemos en un primer término, es demostrar la eficacia que tiene el derecho fundamental a la intimidad y la tutela de otros derechos específicos como la protección de datos personales, ante la difusión de datos por grandes compañías como Redes Sociales o Corporativos financieros que directa o indirectamente, tratan a diario los datos de millones de mexicanos. Conforme al estado de la cuestión descrito con antelación, el objeto de este trabajo es también vislumbrar los grandes desafíos que lanza a la autoridad la entrada en vigor de la LFPD, ya que ésta contempla garantías para hacer efectivos los derechos de acceso, rectificación, corrección y oposición de datos de los particulares ante las instancias privadas, así como sus correspondientes recursos ante el mismo IFAI y el Tribunal Federal de Justicia Fiscal y Administrativa.

En este sentido, lo que proponemos es un adecuado empleo del principio de proporcionalidad como herramienta o instrumento de la argumentación de quien interpreta y aplica la legislación relativa a la protección de datos personales aquí analizada, ya sea autoridad pública, o bien, el mismo particular que justifica el tratamiento de datos. Lo anterior, encuentra su fundamento en la misma consagración de principios en la referida Ley, especialmente en su artículo 6o., cuando se refiere al principio de proporcionalidad, íntimamente ligado al de finalidad, en el sentido de que el particular responsable únicamente puede tratar datos proporcionales para la finalidad que se obtuvieron. De ahí la necesidad de emplear los otros dos subprincipios pertenecientes a la teoría de la proporcionalidad (adecuación y necesidad), relativos a que los datos sólo deberán ser los adecuados y necesarios para la finalidad que justifica el tratamiento, disponiendo de la mínima cantidad de información necesaria para conseguir la finalidad perseguida.

 

II. El derecho fundamental a la protección de datos personales y la eficacia de los derechos frente a particulares

La evolución del derecho a la privacidad ha sido asombrosa en las últimas décadas. Desde su concepción originaria a finales del siglo XIX por los abogados D. Warren y Louis D. Brandeis como el derecho a la privacidad (the right to be alone),³ hasta el reconocimiento como un derecho fundamental de la protección de datos personales a principios de los años ochenta por la jurisprudencia alemana, se ha transformado la visión reduccionista del derecho a la privacidad y a la intimidad.

La dignidad humana y el libre desarrollo de la personalidad han sido dos de los principios fundamentales que han servido para cimentar el orden constitucional y se han erigido como valores superiores del ordenamiento jurídico.⁴ La jurisprudencia comparada es fecunda en la creación de precedentes que han servido para extender el significado de estos dos principios, construyendo nuevos derechos fundamentales como la intimidad y privacidad, así como un derecho más específico, la protección de datos personales. La doctrina alemana ha reconocido tres esferas de protección de la intimidad: la intimsphäre (esfera íntima), ésta es la que normalmente se quiere ocultar a la curiosidad ajena y es lo más secreto del individuo; la Privatsphäre (lo privado o íntimo) similar a la privacy del derecho norteamericano y puede contener las relaciones tanto familiares como personales; y finalmente, la Individualsphäre (esfera individual) relativo a aquellos asuntos concernientes con la intimidad pero que se encuentran dentro de ella, como el honor o la propia imagen.⁵ Asimismo, el Tribunal Constitucional Federal Alemán ha dictado precedentes emblemáticos, en torno a los datos de sus habitantes y varios litigios que ha cimentado un respeto inefable hacia la protección constitucional de estos derechos, principalmente a raíz de las atrocidades cometidas durante el régimen nacionalsocialista.⁶

Dicha protección o tutela reforzada de este derecho fundamental a la protección de datos personales, ha merecido especial pronunciamiento de parte del Tribunal germano. El primer precedente en torno a ello, se dictó en el caso de la "Ley Censo", el cual sirvió para dictar las principales directrices que incluso hasta hoy, prevalecen para interpretar de manera favorable este derecho, derivados de la interpretación extensiva de principios como la dignidad humana y el libre desarrollo de la personalidad. Al respecto, el mencionado órgano sostuvo que el libre desarrollo de la personalidad presuponía las modernas condiciones para el procesamiento de datos, la protección de los individuos, ante la ilimitada recolección, archivo, empleo y retransmisión de sus datos personales; por este motivo, "para obligar a una persona a proporcionar datos personales era necesario que el legislador haya determinado con claridad, en forma precisa y adecuada su finalidad, y que las informaciones sean adecuadas y necesarias para el logro de dicha finalidad (subprincipio de adecuación y necesidad)".⁷

El sistema jurídico constitucional español es también paradigmático en la creación de protecciones jurídicas a los derechos de intimidad, privacidad y datos personales. En este sentido, destacan resoluciones donde se invoca el reconocimiento de la dignidad de la persona humana como fundamento de la protección de este último derecho. Cuando se abordó la temática sobre la Ley Orgánica de regulación del tratamiento automatizado de los datos de carácter personal, se determinó que: "el derecho al honor e intimidad constituían un elemento esencial de la dignidad humana y libre desarrollo de la personalidad, por lo cual, el uso de la informática constituía uno de los mayores riesgos para la intimidad individual y familiar, para el ejercicio legítimo de los derechos del ciudadano". De igual manera, se determinó la existencia de datos sensibles, tales como los relativos al origen racial, la vida sexual y la salud.⁸

En la actualidad, el manejo de datos personales ha dado un viraje asombroso, dada la revolución informática⁹ y el procesamiento de datos sofisticado y complejo que ha venido a desembocar en una especie de transparencia hacia aquellos agentes que tradicionalmente se habían considerado como parte de una esfera privada, pero que dadas las condiciones de esta "revolución informática", los ha traspasado y colocado en el umbral del escrutinio público, ejemplo de ello resultan ser las redes sociales y los buscadores digitales. Este nuevo contexto ha venido a transformar nuestras formas de existencia, costumbres y formas de relacionarnos de manera cotidiana con el resto de las personas.

Pero más allá del asombroso fenómeno de desustancialización de la vida en esta era del vacío y del morbo social generado por la publicidad de nuestras vidas,¹⁰ nos avocaremos a analizar la relación que tiene la vulneración al derecho a la intimidad, principalmente los datos personales en el acontecer diario, a través de la publicidad de nuestros datos por grandes corporativos tanto nacionales como internacionales cuyo objeto comercial es el procesamiento de datos. Esto ha significado una ruptura de un paradigma: el que los derechos fundamentales también sean sujetos de protección en contra de violaciones cometidas por particulares.

En este sentido, la relación entre el derecho privado y el derecho constitucional fue vislumbrada desde hace años por la jurisprudencia y la doctrina alemana de derecho constitucional,¹¹ principalmente lo que la jurisprudencia alemana ha definido como Drittwirkung der Grundrechte (Eficacia Horizontal de los derechos fundamentales o frente a particulares)¹², teniendo como inspiración principal, la teoría de la eficacia inmediata de los derechos fundamentales, explicada en términos simples como aquella que busca la eficacia inmediata de los derechos en cualquier sistema jurídico, independientemente si se encuentra en situaciones de derecho público o privado.

En este sentido, al ser la Constitución el orden jurídico fundamental sobre el cual reposa el sistema jurídico, la mayor parte de los institutos jurídico-privados, como los contratos celebrados entre particulares, buscan lograr el principio de la autonomía de la voluntad, y en ese camino, conducen a necesarias e ineludibles restricciones a la autonomía individual de los derechos, los cuales deben ser sujetos de la tutela y protección de esa libertad que se pregona en el derecho civil.¹³ Es decir, al momento de celebrar una relación contractual ante cualquier Corporativo o Empresa (financiera, relaciones públicas, contratación, etcétera) éstas adquieren de manera ineludible el compromiso de no afectar los derechos fundamentales de sus consumidores o prestadores de servicios.

Precisamente, éste es el punto donde deseamos hacer énfasis, ya que el desarrollo de la institución de la eficacia de los derechos fundamentales frente a particulares (Drittwirkung),¹⁴ plantea en esencia, saber si las normas constitucionales que consagran derechos y libertades son aplicables en las relaciones jurídicas privadas, en qué medida y en que extensión. Existen dos teorías sobre la eficacia de los derechos fundamentales para apoyar la tesis de la Drittwirkung en las que se encuentran:¹⁵

La teoría de la eficacia inmediata (directa). Dicha postura mantiene una subordinación directa del derecho privado al derecho constitucional. Desde la perspectiva de algunos autores, principalmente de derecho privado, se acaba con la autonomía privada y se subordina esta rama frente al derecho constitucional. Asimismo, los derechos fundamentales podrían ser usados exclusivamente para conseguir la nulidad de las disposiciones convencionales, y de esta manera, dejar sin valor contratos pactados con el cumplimiento de las formalidades legales, de donde se derivaría la inseguridad jurídica en el tráfico entre particulares.

La otra postura, se denomina: teoría de una eficacia mediata (indirecta). Su principal defensor es el distinguido constitucionalista Dürig, quien explica que "este precepto impone un deber de protección y de tutela frente a los valores que los derechos fundamentales y el concepto normativo de la dignidad humana colocan en la base del ordenamiento".¹⁶

De esta forma, podemos observar que a raíz de las transformaciones y cambios tecnológicos, el reconocimiento progresivo del derecho a la privacidad ha aumentado su umbral de protección hasta crear nuevos derechos y garantías como la protección de datos personales. Nos resulta muy interesante la protección original que se dio al derecho a la privacidad; en primer término, por la jurisprudencia de Tribunales de Nueva York, y posteriormente, por un restatement¹⁷ en donde se reconoció el derecho a la privacidad a partir de un conflicto entre particulares.¹⁸ El reconocimiento y consagración en posteriores Declaraciones a nivel internacional como de Organismos Comunitarios vino a crear todo un abanico de protección integral, al respecto, destacan el artículo 12, de la Declaración Universal de los Derechos del Hombre, el artículo 8, del Convenio Europeo sobre Derechos y Libertades Fundamentales, la Convención de Estrasburgo sobre el procesamiento automático de datos; así como la creación de organismos de entre los que destacan la Red Iberoamericana de protección de Datos (RIPD), la Agencia Española de Protección de Datos, la Oficina Intergubernamental para la Informática (IBI), el Electronic privacy Information Center, la Asociación Francófona de Autoridades de protección de Datos personales, el Electronic privacy Information Center, y por su parte, el IFAI en México.

Hoy, podemos observar que las principales resoluciones de organismos tanto nacionales, regionales o internacionales, se encuentran dirigidas hacia los particulares, por violar la privacidad e intimidad de las personas, especialmente cuando se trata de datos personales. En Alemania, Francia, Bélgica y otras naciones europeas, por ejemplo, se ha sancionado a la empresa Google por la captación y almacenamiento de datos personales de miles de usuarios a través de su herramienta "Street View", ya que sus vehículos empleados para este fin, captaban los datos de las redes inalámbricas instaladas tanto en lugares públicos como en los domicilios de miles de personas.¹⁹ En México se han realizado también reclamos de parte del IFAI, en contra de grandes Corporativos como Sony de México S. A. de C. V., que recientemente sufrió un ataque cibernético en abril de 2011, donde fueron sustraídos diversos datos personales, entre ellos: nombre, dirección (ciudad, estado, código postal, país), dirección de correo electrónico, sexo, fecha de nacimiento, número de teléfono, nombre de usuario y contraseñas, y posible información crediticia.²⁰

Asimismo, en nuestro país es común la venta y distribución comercial de bases de datos en el mercado negro, situación alarmante que fue motivo de debate precisamente en la elaboración de la LFPD.²¹ De este modo, no negamos que la irrefrenable revolución informática ha llegado para quedarse, no obstante, la regulación normativa debe estar conforme a las circunstancias y necesidades actuales de los ciudadanos. Es decir, los principios y directivas tanto internacionales como regionales en materia de protección de datos personales, vinieron a incorporarse a la legislación mexicana, situación que será objeto de estudio en líneas sucesivas.

 

III. Garantías frente a particulares rara la protección de datos en el derecho informático mexicano

En este apartado analizaremos la creación de la Ley Federal de protección de Datos personales en posesión de particulares. Para este propósito, no nos limitaremos a realizar una exposición descriptiva sobre los enunciados normativos que la componen, sino que explicaremos los principios o directrices que sirvieron de inspiración al legislador para la creación de dicha ley, y que además, son piedra angular de la protección de los datos personales. Asimismo, para crear un debate enriquecedor con el lector, nos avocaremos a realizar un análisis legislativo y jurisprudencial comparado, con el objeto de analizar la asimilación que hace la legislación mexicana con otros sistemas jurídicos de protección de datos personales.

Una de las situaciones que más llamó la atención a un servidor al momento de analizar la Ley en comento, fue la motivación que dio el legislador desde la presentación de las iniciativas. Al respecto, podemos citar que al momento de elaborar esta normativa existió plena conciencia sobre la extensión del derecho a la privacidad (especialmente el de la protección de datos personales).²² Asimismo, destacan los principios básicos sobre los que está inspirada dicha legislación, que enunciaremos de manera breve según la misma exposición de motivos.²³

Información: obligación de una persona física o moral de informar a los individuos de los propósitos para los que se recolecta información personal.

Elección: asegurar que los individuos sobre los que un tercero posea información, puedan ejercer sus derechos sobre la misma.

Transferencia: garantiza la capacidad de asegurar que la información no es transmitida fuera del control del responsable, sin salvaguardar sus derechos y manteniendo el mismo nivel de protección establecido cuando se recolectó.

Seguridad: asegura que las entidades que tratan los datos personales de los individuos, utilizan medidas razonables de seguridad de carácter físico, técnico y organizacional para salvaguardar la integridad de los datos.

Integridad: asegurar que su información, que obre en posesión de un tercero, es precisa, completa y actual, teniendo el derecho de rectificarla.

Acceso: otorga a los individuos el derecho a conocer su información personal que obre en posesión de un tercero.

Cumplimiento: busca que las personas que tratan datos personales cuenten con las estructuras necesarias para dar cumplimiento con la ley.

Consentimiento: el derecho de una persona de permitir el uso de sus datos personales que obren en bases de datos de un tercero, así como poder solicitar su cancelación en dichas bas^es.

La Ley que ahora es objeto de estudio, tiene influencia del derecho y la jurisprudencia comparada. Uno de los principios fundamentales sobre el cual se erige dicha normativa es la "expectativa razonable de privacidad", entendida como la confianza que deposita cualquier persona en otra con respecto que los datos personales proporcionados entre ellos, serán tratados conforme a lo que acordaron las partes en los términos establecidos en las leyes.²⁴ Dicha acepción proviene del derecho anglosajón (reasonable expectation of privacy), específicamente de la jurisprudencia norteamericana. Su utilidad es común por los jueces en aquel país, y se emplea con la finalidad de determinar si ha existido alguna violación a la privacidad.

De acuerdo con la jurisprudencia americana, la expectativa razonable de privacidad es un test por medio del cual se define el alcance a la protección de la privacidad protegida por la Cuarta Enmienda. Para este efecto, existen dos expectativas: la objetiva y la subjetiva. La primera se refiere a expectativa razonable o legítima de privacidad generalmente reconocida por la sociedad; la segunda (subjetiva), se refiere a la opinión que una persona tiene sobre una cierta localización o situación que se considera privada, la cual varía según la persona. Las reglas que son utilizadas para interpretar la extensión y límites del test referido han versado principalmente sobre casos criminales, donde los oficiales han lesionado el derecho a la privacidad, ya sea a través de la recolección de pruebas en lugares, que a primera vista, eran considerados públicos.²⁵

Otro de los términos que nos llaman la atención, aunque admitimos es objeto de análisis y desarrollo en el Reglamento de esta Ley, es el establecido en la fracción II, en su artículo 10, cuando se refiere a que no se requerirá consentimiento cuando: "los datos figuren en fuentes de acceso público", refiriendo al respecto que se trata de "aquellas bases de datos cuya consulta pueda ser realizada por cualquier persona, sin más requisito que, en su caso, el pago de una contraprestación".²⁶ El conflicto surge cuando no se define de manera certera qué debe entenderse por "fuentes de acceso público", ya que, inicialmente la información pudo haberse otorgado para ciertos fines y posteriormente estos datos pudieron haberse desvirtuado para su propósito original.

Procesos como el referido en el párrafo precedente han sucedido en otras latitudes como España. Al respecto, destaca el procedimiento sancionador identificado con la clave: PS/00285/2009,²⁷ que fue instruido por la Agencia Española de protección de Datos, en contra de la empresa Oferdata S.L. El problema en este caso versó esencialmente en el envío de propaganda comercial de otra empresa (Eurolínea Hogar) en la que aparecían la dirección y apellidos de la demandante, informando a éste que dichos datos habían sido brindados por la empresa Oferdata S. L., la cual a su vez, los había obtenido de diversos registros como páginas amarillas, directorios de servicios de telecomunicaciones, entre otros. La demandante negó haber proporcionado sus datos (domicilio y nombre completo), por lo que la Agencia Española condenó a Oferdata a una multa, por no demostrar que se contaba con el consentimiento para que se le enviara información a la afectada.

Regresando a la Ley en estudio, el capítulo X se refiere a las infracciones y sanciones que podrán ser impuestas a quien viole los contenidos del citado dispositivo. La categoría de "datos sensibles" provoca que se agrave la multa que sea impuesta por la autoridad, incluso recurriendo a criterios jurisprudenciales del derecho alemán y español, al definir estos datos como: aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual. No obstante lo anterior, esta ley no especifica el procedimiento de reparación del daño en contra de las personas que resulten afectadas con la utilización indebida de sus datos personales, situación que suponemos, sería mediante un proceso civil.

Por último, haremos mención sobre uno de los principios que desde nuestra perspectiva, es la piedra angular de futuras interpretaciones sobre los alcances y restricciones al derecho fundamental de protección de datos. Nos referimos a la consagración del principio de proporcionalidad. Al respecto, es menester remitirnos a los preceptos 12 y 13, de la ley en estudio.

Artículo 12. El tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas en el aviso de privacidad. Si el responsable pretende tratar los datos para un fin distinto que no resulte compatible o análogo a los fines establecidos en aviso de privacidad, se requerirá obtener nuevamente el consentimiento del titular.

Artículo 13. El tratamiento de datos de carácter personal será el que resulte necesario, adecuado y relevante en relación con las finalidades previstas en el Aviso de privacidad. En particular para datos personales sensibles, el responsable deberá realizar esfuerzos razonables para limitar el periodo de tratamiento de los mismos a efecto de que sea el mínimo indispensable.

Aunque no se dice nada al respecto sobre el principio de proporcionalidad de manera expresa en los artículos citados, en el Dictamen realizado por la Comisión de Gobernación, se advierte la vinculación que el legislador hizo entre el principio de finalidad y el de proporcionalidad. Sobre este punto, puede leerse en los comentarios realizados a los numerales enunciados lo siguiente.²⁸

Pasando ahora al principio de proporcionalidad, es menester mencionar que se encuentra directamente relacionado con el de finalidad. La exigencia al responsable de únicamente tratar datos proporcionales para la finalidad para la que se obtuvieron ha sido analizada por los distintos derechos regionales o nacionales desde dos perspectivas distintas, aunque complementarias: por una parte, los datos sólo deberían ser los adecuados o necesarios para la finalidad que justifica el tratamiento (principio de proporcionalidad en sentido estricto); por otra, quien procede al tratamiento de los datos deberá analizar las finalidades que justifican el tratamiento, de modo que sólo debería tratar la mínima cantidad de información necesaria para conseguir la finalidad perseguida (principio de minimización).

De acuerdo con lo anterior, la resolución de conflictos futuros entre el procesamiento, posesión y manejo de datos personales, y el derecho a la privacidad (protección de datos), podría ser resuelta conforme a criterios o test que hemos enunciado en este apartado. Es decir, mediante un sencillo examen que nos brinda el derecho y la jurisprudencia comparados (y que han sido recogidos por el legislador en esta ley) analizando la expectativa razonable de privacidad que se tiene sobre la información brindada por un particular hacia otra persona, precisando además la finalidad para la cual fue proporcionada dicha información desde un principio, y determinando hasta donde resulten adecuados y necesarios los datos suministrados para el fin que se persigue (principio de proporcionalidad). El análisis detallado sobre esta institución en el campo de la teoría de los derechos fundamentales, así como la resolución de los posibles conflictos entre derechos, serán analizados en el siguiente apartado.

 

IV. Restricciones al derecho fundamental de protección de datos personales: técnicas para su resolución

Esta sección tiene la finalidad de brindar técnicas para la resolución de conflictos entre derechos fundamentales, en este caso, la colisión que se presenta entre el derecho a la privacidad (datos personales) frente al derecho a la libertad de expresión (derecho a informar). En primer lugar, para saber qué es lo que podemos someter al principio de proporcionalidad debemos de precisar cuál es la extensión que el legislador ha decidido darle a este derecho a la protección de datos personales. Éstos pueden ser definidos como aquella información concerniente a una persona física, identificada o identificable.

En este sentido, la protección que otorga la ley a este derecho se ha conocido como ARCO, por las siglas de cada específico derecho que tiene la persona: el acceso, rectificación, cancelación y oposición por parte de los titulares de cada derecho, ante aquellas empresas que los tengan en sus bases de datos.²⁹ El problema se torna aún más complejo cuando los datos tienen la característica de sensibles, o bien, le han dado un mal uso a las bases de datos que tiene en su poder. por ejemplo, aquellas que afectan el derecho a la intimidad de una manera más intensa que los demás datos personales, o aquellos relacionados con el origen racial, étnico, el estado de salud, la información genética, las creencias religiosas, filosóficas y morales, la afiliación sindical, las opiniones políticas y las preferencias sexuales. Dicho esto, creemos que el contenido esencial del derecho a la protección de datos personales contenido en esta ley,³⁰ queda compuesto por la posibilidad de accesar, rectificar, cancelar y oponerse hacia aquéllas bases de datos (en posesión de particulares), cuyo propósito fue desvirtuado de la finalidad inicial que perseguía el acuerdo entre las partes, a través de un uso innecesario o desproporcional de esa información.

En términos generales, el principio de proporcionalidad tuvo su desarrollo y amplitud inicialmente en la jurisprudencia constitucional alemana, y actualmente se ha vuelto un instrumento indispensable para justificar las decisiones judiciales relacionadas con la limitación o restricción a los derechos fundamentales.³¹ Es decir, con este mecanismo se trata de descifrar la intensidad con la que se afecta en este caso el derecho a la protección de datos personales. Para ello, debemos remontarnos a la relación que habíamos descrito en un principio sobre los fines que tuviera la información, concerniente a los artículos 12 y 13 de la citada Ley. Al respecto, el primer precepto citado se refiere a que el tratamiento de datos debe limitarse únicamente al cumplimiento de las finalidades previstas en el aviso de privacidad.

Dicho esto, creemos que para analizar dicho requisito, debemos hacer uso de la expectativa razonable, principalmente tomar en cuenta las experiencias comparadas de tribunales y organismos de otros países que han ayudado a precisar los alcances de este derecho a la privacidad, lo cual nos ayudará a determinar si la finalidad persigue una finalidad constitucionalmente legítima, ya que es aquí donde podemos identificar el subprincipio de idoneidad que ha desarrollado la jurisprudencia germana.³²

Una vez que hemos determinado que la información relativa persigue una finalidad constitucionalmente legítima, se debe realizar un análisis acerca del tratamiento de datos, en relación con la necesidad, adecuación y relevancia de las finalidades previstas inicialmente en el aviso de privacidad. Sobre este punto, la jurisprudencia alemana ha señalado que este principio refiere que toda finalidad que persiga limitar un derecho debe ser la más benigna o la menos dañina con el derecho que se pretende lesionar o restringir, para este propósito, deben buscarse otras alternativas que puedan conseguir la misma finalidad o el objetivo propuesto. En este caso, la necesidad la determinará el aviso de privacidad que hace previamente quienes convienen sobre el tratamiento de datos, y que en caso de modificar el fin original, además de dar aviso al titular de dicha información, deberá respetar la proporcionalidad y relevancia de la información tratada.

Este último paso quizá sea el más complejo, pues se trata de justificar o motivar la importancia de la intervención al derecho fundamental restringido. Dicho en otras palabras, significa que la intervención a un derecho fundamental debe estar justificada por la importancia de la realización del fin perseguido por el aviso de privacidad. Esto significa que las ventajas que se obtienen con dicha intervención del particular deben compensar los sacrificios que ésta implica para sus titulares. para este propósito, se debe determinar la magnitud de lo que se va a ponderar, es decir, cuando se trata de datos personales sensibles, el peso de la información de quien resulte afectado será visiblemente superior al derecho de quien pretende difundir la información. Tratándose de otras situaciones, se deberá de valorar la relevancia de lo informado conforme a los principios de información, elección, transferencia, seguridad, integridad, acceso, cumplimiento y consentimiento, los cuales se encuentran implícitos en la normatividad en estudio.

Otro de los puntos controversiales que ya hemos señalado y donde se puede hacer uso del principio de proporcionalidad, es el contenido en el artículo 10 de la referida ley, específicamente en su fracción III, concerniente a que los datos contenidos en las "fuentes de acceso público" no requerirán del consentimiento de los afectados, entendiéndose como aquéllas "cuya consulta pueda ser realizada por cualquier persona, sin más requisito que, en su caso, el pago de una contraprestación".³³ Desde nuestra perspectiva, aún en este caso, los sujetos obligados por la ley (o en dado caso la autoridad revisora), deben ponderar las circunstancias y características de la información con las "fuentes de acceso público", es decir, medir la afectación que se produce con el tratamiento de datos que se realiza en contra del titular de la información, ya que los derechos del particular se encuentran salvaguardados (con independencia de si existe o no una fuente de acceso público), siendo el motivo principal de esto, el hecho de la afectación material, real y concreta que se produce al derecho a la privacidad e intimidad de la persona titular de la información.

La práctica de esta legislación en enero de 2012 (fecha para que los particulares puedan iniciar a solicitar la protección de sus datos personales) ha iniciado una nueva era para el derecho informático y el tratamiento automatizado de datos de millones de ciudadanos mexicanos, es urgente la difusión para el mejor ejercicio de estos derechos por parte de la población, así como para que las empresas asuman su responsabilidad en el manejo adecuado y necesario de datos conforme a los estándares de derecho a la privacidad.

 

V. Conclusiones

La nueva Ley Federal de protección de Datos personales en posesión de particulares viene a colmar una laguna jurídica que por largas décadas había permanecido en el sistema jurídico mexicano. Sin duda alguna, los dos principios como la dignidad humana y el libre desarrollo de la personalidad han sido piedras angulares a partir de las cuales el legislador mexicano se ha inspirado para reconocer y consagrar la tutela específica del derecho a la protección de los datos personales.

Si bien es cierto que la tutela a este derecho fundamental no es reforzada como pudiera ser con otros derechos de libertad o de seguridad jurídica (por medio del ejercicio directo del juicio de amparo o instrumentos que se emplean en otras latitudes como el habeas data), dicha legislación se ha preocupado por establecer procedimientos sencillos, efectivos e idóneos, que permitan al titular de la información ejercer su derecho de acceso, rectificación, cancelación y oposición en contra de aquellas bases de datos que se encuentren en posesión de particulares.

Sobre este punto, nos gustaría señalar que no nos convence mucho el hecho de que después de la posible negativa de parte del sujeto obligado, ante la solicitud realizada por el titular de la información sobre alguno de los derechos enunciados previamente, se tenga que acudir ante dos instancias revisoras de dicha actuación; es decir, en primera instancia ante el IFAI, y posteriormente (en caso de ser recurrida aquella resolución), ante el Tribunal Federal de Justicia Fiscal y Administrativa. Finalmente, y en caso de ser necesario, la posibilidad de tener que acudir a la justicia federal, por medio de juicio de amparo.

Creemos que debió haber sido más conveniente la revisión (en caso de la negativa del sujeto obligado) de un organismo especializado y capacitado como el IFAI (que incluso, recientemente ha creado un organismo especializado como la Secretaría de protección de Datos personales),³⁴ y posteriormente, en caso de no quedar colmada la pretensión de las partes, pasar directamente al Juicio de Amparo, ya que el Tribunal Federal de Justicia Fiscal y Administrativa, aparte de tener una carga laboral enorme, tiene otras facultades totalmente ajenas a la protección de datos personales; por este motivo, esta decisión de parte del legislador, puede provocar la pérdida de sencillez del instrumento de protección del derecho fundamental que se pretende salvaguardar.

De igual forma, queremos destacar la experiencia que se puede obtener del derecho y la jurisprudencia comparados, la expectativa razonable de privacidad de la jurisprudencia americana, en relación con el aviso de privacidad, así como la extensión del contenido esencial del derecho a la protección de datos a partir del principio de proporcionalidad y la solución de posibles conflictos, mediante la aplicación de subprincipios como el de necesidad, adecuación y relevancia del tratamiento de la información, ya que el principal desafío tanto para los particulares obligados a cumplir con esta ley, como para las autoridades (guardianes de su cumplimiento), consiste en la legitimación por medio de la motivación suficiente de razones y argumentos que doten de peso las resoluciones que emitan.

En este sentido, uno de los desafíos más complejos que ha lanzado esta normatividad tanto a los particulares y a las autoridades públicas, es precisamente la conciliación de intereses entre particulares (libertad de expresión-derecho a informar-libertad de comercio, vs. derecho a la privacidad). Este objetivo únicamente será posible mediante el empleo de las mejores técnicas de argumentación y razonamiento como el principio de proporcionalidad, que han dejado de ser exclusivas de juristas o de especialistas, y deberán pasar a formar parte del conocimiento de la ciudadanía, que animosamente participa en el ejercicio consciente y activo de uno de sus derechos fundamentales vitales que tiene conexión directa con su dignidad humana y su libre desarrollo como persona. La protección de datos personales ya es una realidad en el derecho informático mexicano, una asignatura pendiente que esperemos, sea acogida de buena forma por las autoridades públicas y logre fortalecer la cultura de los derechos entre la ciudadanía.

 

Notas

¹ El 20 de julio de 2007, se publicó en el Diario Oficial de la Federación la reforma constitucional en materia de derecho a la información.

² El precepto referido establece: Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros. Véase "Reforma al artículo 16 de la Constitución política de los Estados Unidos Mexicanos". Diario Oficial de la Federación, 1o. de junio de 2009.         [ Links ]

³ Warren, Samuel D. y Brandeis, Louis D., "The right to privacy", Harvard Law Review, vol. IV, núm. 5, diciembre de 1890, p. 193.         [ Links ]

⁴ En primer término, uno de los precedentes más emblemáticos dictados para el reconocimiento de los principios fundamentales fue el fallo Lüth, resuelto por el Tribunal Constitucional Federal Alemán en 1958. Véase de la sentencia del Tribunal Constitucional Federal Alemán, especialmente párrafos 1 y 27, (BVerfGE 7, 198). Henne, Thomas, Das Lüth-Urteil aus (rechts-)historischer Sicht. Die Konflikte um Veit Harlan und die Grundrechtsjudikatur des Bundesverfassungsgerichts, Berlín, Berliner Wissenschafts-Verlag, 2005.         [ Links ]

⁵ Hubmann, Heinrich, Das Persónlichkeitsrecht, (2a ed.), Kõln, Bõhlau Verlag, 1967, pp. 174 y ss.         [ Links ]; Soehring, Claas-Hendrik, Vorverurteilung durch die Presse-Der publizistische Verstofi gegen die Unschuldsvermutung, Hamburg, Nomos Verlagsgesellschaft, 1999, p. 22.         [ Links ] Véase, igualmente, la jurisprudencia alemana: BVerfGE 54, 148, 153, párr. 7; BVerfGE 54, 208, 217, párr. 19; BVerfGE 65, 1, 41, párr. 104.

⁶ Durante el régimen de Adolf Hitler, la Corporación IBM en Alemania, con su personal y equipo, diseñó un sofisticado sistema de identificación, consulta y confrontación de datos de miles de judíos, rastreando de esta forma sus orígenes, empresas y demás propiedades. El desenlace de esta flagrante violación al derecho a la intimidad la conocemos todos: el holocausto para miles de judíos en la Alemania nazi. Black, Edwin, IBM and the Holocaust: The Strategic Alliance Between Nazi Germany and America's Most Powerful Corporation, Washington, D. C., Dialog press, 2001, p. 400 y ss.         [ Links ]

⁷ BverfGE 65, 1, párrafos 20 y ss. Respecto al fondo de la cuestión el Tribunal germano resolvió que: "... la información utilizada para recabar datos en el Censo de población perseguía una finalidad constitucionalmente legítima, pues se trataba del ejercicio de una función pública de gran relevancia. Sin embargo, aún en la recolección de datos con fines estadísticos, debe cuidarse el carácter y la clase de información que se proporciona [...] asimismo, con la finalidad de proteger en mayor medida los datos personales, era necesario que los datos individuales recogidos con fines estadísticos se mantuvieran en secreto e ir acompañado de medidas que impidan levantar el anonimato de dicha información".

⁸ Recurso de inconstitucionalidad 290/2000. El fondo del asunto se centró en determinar cuáles eran las medidas adecuadas, necesarias y proporcionales en el tratamiento automatizado de datos personales.

⁹ Se trata de una revolución interdisciplinaria que involucra a la sociedad y el fenómeno tecnológico. La interrelación informática-derecho ha dado lugar a denominaciones como iuscibernética, la cual sostiene que la cibernética aplicada al derecho no sólo ayuda a la depuración cuantitativa de éste, sino también a la cualitativa". Téllez Valdés, Julio, Derecho informático, México, Mac-Graw Hill, 1996, p. 26.         [ Links ]

¹⁰ Desde ésta perspectiva, la vida, y en mejores términos, el cuerpo humano, se conciben como un producto más del mercado, un bien comercializable sujeto a las leyes económicas mercantiles capitalistas (neoliberales). Los mass media como la industria cultural adorniana producen una ilusión de hacer creer que el mundo exterior, el mundo que se percibe fuera de nosotros, es la prolongación (o extensión) de lo que se conoce en los mass media (como la radio, la televisión, el cine, y últimamente, el ciberespacio). Véase, Horkheimer M. y Adorno T., Dialéctica de la Ilustración. Fragmentos filosóficos, trad. de Juan José Sánchez, Madrid, Trotta, 1998, p. 171.         [ Links ]

¹¹ Los principales autores que se han ocupado de esta temática en el Derecho Constitucional alemán son: G. Durig, "Grundrechte und Zivilrechtsprechung" en Festschrift zum 75.         [ Links ] Geburstag von Hans Nawiasky, München, Isar Verlag, 1956, pp. 157-190.         [ Links ] Hesse, Konrad, Verfassungs und Privacht Recht, Heidelberg, C.F. Müller Juristischer Verlag, 1988.         [ Links ] Bleckmann, Albert, "Neue Aspekte der Drittwirkung der Grundrechte", en DVBl, 1988, pp. 938-946. Canaris, Claus-Wilhelm, Grundrechte und Privatrecht, Berlin, Walter de Gruyter, 1999.         [ Links ] Classen, Claus Dieter, "Die Drittwirkung der Grundrechte in der Recht-sprechung des Bundesverfassungsgerichts", en: AõR 122(1997), pp. 65-107.         [ Links ]

¹² Schwabe, Jürgen, "Bundesverfassungsgericht und Drittwirkung der Grundrechte", en AöR 100(1975), pp. 442-470. VON MÜNCH, Ingo, Zur Drittwirkung der Grundrechte, Diss., 1998.         [ Links ]

¹³ Hesse, Konrad, Verfassungs und Privacht Recht, op. cit., p. 75.

¹⁴ Cabe especificar que fue por vía jurisprudencial y fundamentados en la doctrina como el Tribunal Federal Constitucional Alemán comenzó a emplear la Drittwirkung der Grundrechte, los orígenes nos remontan a la época de Weimar, sin embargo el verdadero desarrollo se logra posterior a la segunda posguerra. por otra parte, la Jurisprudencia Española siguió la línea germana con el fallo de la sentencia 78 de 1982 y en la sentencia 55 de 1983 del Tribunal Constitucional Español.

¹⁵ Eschenbach, Jürgen/ Niebaum, Frank, "Von der mittelbaren Drittwirkung unmittelbar zur staatlichen Bevormundung", en: NVwZ, 1994, pp. 1079-1082.         [ Links ]

¹⁶ Durig, G., "Grundrechte und Zivilrechtsprechung", Festschriftzum 75..., op. cit., p. 178.

¹⁷ First Restatement of Torts.60 Section 867 of the First Restatement. Según la Jurisprudencia de los Estados Unidos de Norteamérica, los Restatements of the Law (creados en 1923) son un conjunto de criterios que pueden versar sobre algún tópico legal y que buscan informar a los jueces y abogados sobre los principios generales del Common Law, los cuales son publicados por el Instituto Americano del Derecho.

¹⁸ Como se lee a continuación del criterio referido, el conflicto versaba sobre la colisión del derecho a la libertad de expresión y la vulneración del derecho a la privacidad. "[a] person who unreasonably and seriously interferes with another's interest in not having his affairs known to others or his likeness exhibited to the public is liable to the other. " Los jueces Warren y Brandeis habían sugerido que el lenguaje en el derecho a la privacidad no era suficiente para cubrir acciones tomadas por la prensa, y que además, éstos no se encontraban protegidos por la primera enmienda.

¹⁹ "Google 'roba' datos y se retracta" en: http://www.cnnexpansion.com/tecnologia/2010/05/14/google-informacion-wifi-web-cnnexpansion

http://www.dw-world.de/dw/article/0,,5588862,00.html

http://www.cnnexpansion.com/tecnologia/2010/06/17/francia-reclama-a-google-por-privacidad

"Vie privée : Google Street View dans le viseur de la justice belge" http://www.lemonde.fr/web/recherche_resultats/1,13-0,10,0.html?query=google&query2=&booleen=et&num_page=4&auteur=&dans=dansarticle&periode=365&ordre=pertinence&G_NBARCHIVES=1120836&nbpages=92&artparpage=10&nb_art=913

²⁰ http://www.ifai.org.mx/Publicaciones/comunicados.

²¹ Ahora sí que para muestra basta un click, de la búsqueda en internet que realizamos, detectamos algunas "compañías" que se dedican a la venta de bases de datos:

http://www.tbfmexico.com

http://www.entelsa.com.mx/sitio/basesdedatos.cfm?gclid=CNHXq6HRw6QCFQWAgwodkAmVEA

http://www.basesdedatos.com.mx/telemarketing.htm

http://www.toofaztco.com/bases-de-datos-para-marketing.htm, entre otros.

²² En el primer párrafo de la Exposición de Motivos establece: El derecho a la privacidad es uno de los derechos humanos esenciales que dan contenido y substancia a la dignidad humana. Nuestra cultura actual reconoce que existe un ámbito de la vida de cada persona que solamente concierne a ésta y que queda reservado para los demás. Este ámbito es la consecuencia de la individualidad, de la autonomía y de la libertad que se admite como propias de todo ser humano, es allí de donde se desprende el derecho de todo hombre de mantener secretas e inviolables ciertas manifestaciones de su vida. sin su expreso consentimiento nadie puede inmiscuirse dentro de este ámbito. Versión Estenográfica. Exposición de Motivos. Iniciativa de Diputado (Grupo Parlamentario del PRD)

²³ Versión estenográfica. Exposición de Motivos. 6 de septiembre de 2001.

²⁴ Artículo 32 de la Ley Federal de protección de Datos personales en posesión de los particulares (LFPDppp). "

²⁵ people vs. Camacho, 23 Cal. 4th. 824-835 (2000). United States vs. Knotts, 460 U.S. 276 - 281 (1983).

²⁶ Fracción X, del artículo 3 de la LFPDPPP.

²⁷ La resolución de la Agencia Española de protección de Datos es pública y puede consultarse en línea en el siguiente link: https://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2009/common/pdfs/PS-00285-2009_Resolucion-de-fecha-20-10-2009_Art-ii-culo-6-LOPD.pdf.

²⁸ DICTAMEN DE LA COMISIÓN DE GOBERNACIÓN, CON PROYECTO DE DECRETO POR EL QUE SE EXPIDE LA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES; Y SE REFORMAN LOS ARTÍCULOS 3, FRACCIONES II Y VII, Y 33, ASÍ COMO LA DENOMINACIÓN DEL CAPÍTULO II DEL TÍTULO SEGUNDO DE LA LEY FEDERAL DE TRANSPARENCIA Y ACCESO A LA INFORMACIÓN PÚBLICA GUBERNAMENTAL. Gaceta parlamentaria, núm. 2987-VI. México, D. F. martes 13 de abril de 2010.

²⁹ En este sentido, la legislación mexicana recoge principios del derecho fundamental a la protección de Datos, elaborados por la teoría contemporánea. Rebollo Delgado, Lucrecio y Serrano Pérez, Ma. Mercedes, Introducción a la Protección de Datos, Madrid, Dykinson, 2008.         [ Links ] Conde Ortiz, C., La protección de datos personales, Madrid, Dykinson, 2005.         [ Links ] Garriga Domínguez, A., Tratamiento de datos personales y derechos fundamentales, Madrid, Dykinson, 2004.         [ Links ]

³⁰ El contenido esencial de un derecho puede ser definido como "aquellas facultades o posibilidades de actuación necesarias para que el derecho sea recognoscible como pertinente al tipo descrito, el cual puede determinarse complementariamente a partir de lo que se denomina intereses jurídicamente protegidos, de modo que se rebasa o se desconoce el contenido esencial cuando el derecho queda sometido a limitaciones que lo hacen impracticables lo dificultan más allá de lo razonable o lo despojan de la necesaria protección". Häberle, Peter, La garantía del contenido esencial de los derechos fundamentales en la Ley fundamental de Bonn. Una contribución a la concepción institucional de los derechos fundamentales y a la teoría de la reserva de la ley, trad. de Joaquín Brage Camazano), Madrid, Dykinson, 2003, p. 46.         [ Links ]

³¹ En la jurisprudencia mexicana, su consagración ha sido definitiva, a través de la siguiente tesis: Garantías individuales. El desarrollo de sus límites y la regulación de sus posibles conflictos por parte del legislador debe respetar los principios de razonabilidad y proporcionalidad jurídica. De los criterios emitidos por la Suprema Corte de Justicia de la Nación se advierte que el cumplimiento de los principios de razonabilidad y proporcionalidad implica que al fijar el alcance de una garantía individual por parte del legislador debe: a) perseguir una finalidad constitucionalmente legítima; b) ser adecuada, idónea, apta y susceptible de alcanzar el fin perseguido; c) ser necesaria, es decir, suficiente para lograr dicha finalidad, de tal forma que no implique una carga desmedida, excesiva o injustificada para el gobernado; y, d) estar justificada en razones constitucionales. Lo anterior conforme al principio de legalidad, de acuerdo con el cual el legislador no puede actuar en exceso de poder ni arbitrariamente en perjuicio de los gobernados.

³² Bernal pulido, El principio de proporcionalidad y los derechos fundamentales, Madrid, Centro de Estudios políticos y Constitucionales, 2007, pp. 693 y ss.         [ Links ]

³³ Fracción X, del artículo 3 de la LFPDPPP.

³⁴ El 29 de abril de 2011 se publicó en el Diario Oficial de la Federación la reforma al Reglamento Interior del Instituto Federal de Acceso a la Información pública (IFAI) (artículo 24 Bis), por medio del cual se crea una Secretaría de protección de Datos personales y catorce Direcciones Generales, las cuales serán las encargadas de administrar los distintos temas, materias y obligaciones que regula la Ley Federal de protección de Datos personales en posesión de particulares y su Reglamento.