Protección de Datos y Privacidad

21. Autoridades Reguladoras

La legislación contempla dos autoridades reguladoras para la observancia y cumplimiento de las disposiciones previstas en la Ley. Por un lado, el Artículo 38 establece las atribuciones del Instituto Federal de Acceso a la Información y Protección de Datos para difundir el conocimiento del derecho a la protección de datos personales en la sociedad mexicana, promover su ejercicio y vigilar por la debida observancia de las disposiciones previstas en la Ley y que deriven de la misma; en particular aquellas relacionadas con el cumplimiento de obligaciones por parte de los sujetos regulados por este ordenamiento. El Artículo 39 establece expresamente en doce numerales las atribuciones del Instituto.
Por otro lado, los Artículos 40 y 41 establecen las atribuciones de la Secretaria de Economía específicamente para difundir el conocimiento de las obligaciones en torno a la protección de datos personales entre la iniciativa privada nacional e internacional con actividad comercial en territorio mexicano; promover las mejores prácticas comerciales en torno a la protección de los datos personales como insumo de la economía digital, y el desarrollo económico nacional en su conjunto.
El Artículo 43 establece expresamente en diez numerales las atribuciones de la Secretaría de Economía.

22. Esquemas de Autorregulación

El Artículo 44 establece la posibilidad de convenir esquemas de autorregulación vinculantes en la materia entre personas físicas o morales o con organizaciones civiles o gubernamentales, nacionales o extranjeras que complementen lo dispuesto en la Ley. Dichos esquemas deberán contener mecanismos para medir su eficacia en la protección de los datos, consecuencias y medidas correctivas eficaces en caso de incumplimiento.

23. Procedimiento de Protección de Datos

La ley establece un capítulo completo (Arts. 45 a 58) sobre el procedimiento aplicable ante el Instituto para la protección de los datos personales cuando se hayan vulnerado derechos de los titulares conforme a la legislación Conforme al Artículo 45, el Reglamento de la ley -que deberá expedirse dentro de un ano-, establecerá en forma más especifica los términos y plazos conforme a los que se desarrollará el procedimiento de protección de derechos.
De acuerdo con el Artículo 47, el plazo máximo para dictar la resolución en el procedimiento de protección de derechos será de cincuenta días, contados a partir de la fecha de presentación de la solicitud de protección de datos. Solo cuando haya una causa justificada, el Pleno del Instituto podrá ampliar por una vez y hasta por un período igual este plazo.
Conforme al Artículo 57, todas las resoluciones del Instituto serán susceptibles de difundirse públicamente en versiones públicas, eliminando aquellas referencias al titular de los datos que lo identifiquen o lo hagan identificable.

24. Procedimiento de Verificación

Los Artículos 59 y 60 establecen el procedimiento de verificación por parte del Instituto para el cumplimiento de la Ley y de la normatividad que de ésta derive. El Reglamento de la Ley desarrollará la forma, términos y plazos en que se sustanciará el procedimiento a que se refiere el presente artículo.

25. Procedimiento de Imposición de Sanciones

El Artículo 61 establece un procedimiento de imposición de sanciones cuando por motivo del desahogo del procedimiento de protección de derechos o del procedimiento de verificación que realice el Instituto, éste tuviera conocimiento de un presunto incumplimiento de alguno de los principios o disposiciones de la Ley, a efecto de determinar la sanción que corresponda. El Reglamento de la Ley desarrollará la forma, términos y plazos en que se sustanciará dicho procedimiento, incluyendo la presentación de pruebas y alegatos, la celebración de audiencias y el cierre de instrucción.

26. Infracciones y Sanciones

El Artículo 63 establece en 19 numerales los supuestos sobre infracciones y sanciones aplicables a los responsables del tratamiento de datos personales.
El Artículo 64 establece las sanciones económicas derivadas del incumplimiento de alguno de los numerales del Artículo 63. Las multas pueden ir desde 100 hasta 320, 000 días de salario mínimo vigente en el Distrito Federal, apróximadamente el equivalente de $5,746.00 hasta $18′387,200.00 pesos mexicanos.
El párrafo IV del Artículo 63 estipula que en caso de que persistan las infracciones de manera reiterada, el Instituto podrá imponer una multa adicional que irá de 100 a 320,000 días de salario mínimo vigente en el Distrito Federal. Tratándose de infracciones cometidas en el tratamiento de datos sensibles, las sanciones podrán incrementarse hasta por dos veces, los montos establecidos.
De acuerdo con el Artículo 66, las sanciones que prevé el Capítulo X de la Ley, se impondrán sin perjuicio de la responsabilidad civil o penal que resulte.

27. Delitos en Materia del Tratamiento Indebido de Datos Personales

La legislación contiene un Capítulo específico sobre delitos derivados del tratamiento indebido de datos personales.
El Artículo 67 impone sanciones de tres meses a tres años de prisión al que estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia.
El Artículo 68 sanciona con prisión de seis meses a cinco años al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos.
Por último, el Artículo 69 establece que tratándose de datos personales sensibles, las penas contenidas en Capítulo XI podrán duplicarse.

10. Finalidad

El Artículo 12 establece que el tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas en el aviso de privacidad. Si el responsable pretende tratar los datos para un fin distinto que no resulte compatible o análogo a los fines establecidos en el aviso de privacidad, se requerirá obtener nuevamente el consentimiento del titular.

11. Proporcionalidad

El Artículo 13 señala que el tratamiento de datos personales será el que resulte necesario, adecuado y relevante en relación con las finalidades previstas en el aviso de privacidad. Tratándose de datos personales sensibles, el responsable deberá realizar esfuerzos razonables para limitar el periodo de tratamiento de los mismos a efecto de que sea el mínimo indispensable.

12. Lealtad

El Artículo 15 establece que el responsable tendrá la obligación de informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, a través del aviso de privacidad.

13. Responsabilidad

El Artículo 19 estipula que todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado, y prohibiéndoles adoptar medidas de seguridad inferiores a aquellas que mantengan para el manejo de su información, tomado en cuenta el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico.

14. Aviso de Privacidad

Los Artículos 16 y 17 establecen los requisitos mínimos que deberá contener el aviso de privacidad y la obligación de ponerlo a disposición de los titulares, a través de formatos impresos, digitales, visuales, sonoros o cualquier otra tecnología, respectivamente.

El Artículo 18 prevé que cuando los datos no hayan sido obtenidos directamente del titular, el responsable deberá darle a conocer el cambio en el aviso de privacidad, exceptuándose de este supuesto, cuando el tratamiento sea con fines históricos, estadísticos o científicos.
El párrafo tercero del Artículo 18 establece que cuando resulte imposible dar a conocer el aviso de privacidad al titular o exija esfuerzos desproporcionados, en consideración al número de titulares, o a la antigüedad de los datos, previa autorización del IFAIPD, el responsable podrá instrumentar medidas compensatorias en términos del Reglamento de la Ley.

15. Medidas de Seguridad

El Artículo 19 establece la obligación de los responsables del tratamiento de datos personales de establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado. Este artículo estipula que los responsables no adoptarán medidas de seguridad menores a aquellas que mantengan para el manejo de su información y se tomará en cuenta el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico.

El Artículo 20 establece la obligación del responsable del tratamiento de datos de informar inmediatamente al titular sobre posibles vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares, a fin de que el titular pueda tomar las medidas correspondientes para la defensa de sus derechos.

16. Confidencialidad de la Información

El Artículo 21 establece la obligación del responsable o terceros que intervengan en cualquier fase del tratamiento de datos personales de guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.

17. Derechos de los Titulares

La legislación contiene un Capítulo (Arts. 22 a 27) relacionado con los derechos de los titulares de datos personales, mejor conocidos como derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) los cuales deberán ser resguardados de tal forma, que permitan el ejercicio sin dilación de dichos derechos.

El Artículo 23 establece que los titulares tienen derecho a acceder a sus datos personales que obren en poder del responsable, así como conocer el Aviso de Privacidad al que está sujeto el tratamiento.

Los Artículos 24 y 25 señalan que el titular tendrá derecho a rectificar datos personales cuando sean inexactos o incompletos, así como el derecho a cancelarlos en todo momento, respectivamente.

El Artículo 26 establece siete excepciones a la cancelación de datos personales por parte de los responsables cuando: (i) se refiera a las partes de un contrato privado, social o administrativo y sean necesarios para su desarrollo y cumplimiento; (ii) deban ser tratados por disposición legal; (iii) obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas; (iv) sean necesarios para proteger los intereses jurídicamente tutelados del titular; (v) sean necesarios para realizar una acción en función del interés público; (vi) sean necesarios para cumplir con una obligación legalmente adquirida por el titular, y (vii) sean objeto de tratamiento para la prevención o para el diagnóstico médico o la gestión de servicios de salud, siempre que dicho tratamiento se realice por un profesional de la salud sujeto a un deber de secreto.

El Artículo 27 señala que el titular tendrá derecho en todo momento y por causa legítima a oponerse al tratamiento de sus datos. De resultar procedente, el responsable no podrá tratar los datos relativos al titular.

18. Ejercicio de los Derechos ARCO

La Ley contiene un Capítulo (Arts. 28 a 35) relacionado con el ejercicio de los derechos ARCO en donde se establecen los requisitos, condiciones y los plazos para el acceso a datos personales de los titulares y los supuestos de negación a los mismos.

El Artículo 28 establece que el titular o su representante legal podrán en cualquier momento, solicitar al responsable el acceso, rectificación, cancelación u oposición, respecto de los datos personales que le conciernen.

El Artículo 30 establece la obligación de las empresas de designar a una persona, o departamento de datos personales, quien dará trámite a las solicitudes de los titulares, para el ejercicio de los derechos a que se refiere la Ley, así como para fomentar la protección de datos personales al interior de la organización.

El Artículo 35 prevé que la entrega de los datos personales sea gratuita, debiendo cubrir el titular únicamente los gastos justificados de envío o con el costo de reproducción en copias u otros formatos y debiendo el titular acreditar su identidad ante el responsable.

19. Transferencias Nacionales e Internacionales de Datos

La legislación establece en sus Artículos 36 y 37 la forma en la que ha de llevarse a cabo la transferencia de datos personales a terceras partes ubicada en territorio nacional o en el extranjero.

El Artículo 36 establece el supuesto que cuando el responsable pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos del encargado, deberá comunicar a éstos el aviso de privacidad y las finalidades a las que el titular sujetó su tratamiento.
El tratamiento de los datos se hará conforme a lo convenido en el aviso de privacidad, el cual contendrá una cláusula en la que se indique si el titular acepta o no la transferencia de sus datos, de igual manera, el tercero receptor, asumirá las mismas obligaciones que correspondan al responsable que transfirió los datos.

20. Excepciones a las Transferencias Nacionales o Internacionales

El Artículo 37 prevé que las transferencias nacionales o internacionales de datos puedan llevarse a cabo sin el consentimiento del titular cuando se dé alguno de los siguientes siete supuestos: (i) cuando la transferencia esté prevista en una Ley o Tratado en los que México sea parte; (ii) cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios; (iii) cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas; (iv) cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero; (v) cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia; (vi) cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y (vii) cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.

El pasado lunes 5 de Julio del presente, la Secretaría de Gobernación publicó en el Diario Oficial de la Federación la tan esperada Ley Federal de Protección de Datos Personales en Posesión de los Particulares, legislación que viene a llenar un vacío legal en la materia a nivel federal en México pues anteriormente solo los estados de Jalisco, Colima y Morelos contaban con legislación para proteger los datos en posesión de los particulares. Para mayores antecedentes acerca del proceso de creación de esta legislación recomendamos visitar la siguiente entrada.

A continuación haremos un breve resumen de las disposiciones mas relevantes de esta legislación cuya reglamentación e instrumentación por parte del poder ejecutivo y las autoridades encargadas de su cumplimiento se hará dentro de un año.

1. Ámbito de Aplicación y Objeto

La Ley es de orden público y de observancia general en toda la República y tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas

2. Sujetos Regulados y Excepciones

Los sujetos regulados por la ley son los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales.
El Artículo 2 exceptúa a las sociedades de información crediticia (bancos y buros de credito) en los supuestos previstos en su propia regulación y a las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial como pudiera ser el caso de las universidades y centros de investigación.

3. Definiciones

La legislación prevé en su Articulo 3 diecinueve numerales con definiciones para proporcionar una mejor interpretación de la misma. Entre las definiciones más importantes se encuentran: aviso de privacidad, bases de datos, bloqueo, consentimiento, datos personales, datos personales sensibles, disociación, fuente de acceso público, tratamiento, transferencia, entre otras.

4. Límites de la Legislación

El Artículo 4 establece que los principios y derechos previstos en la Ley, tendrán como límite en cuanto a su observancia y ejercicio, la protección de la seguridad nacional, el orden, la seguridad y la salud públicos, así como los derechos de terceros.

5. Supletoriedad y Legislación Aplicable a Procedimientos de Protección de Datos

El Artículo 5 prevé que a falta de disposición expresa en la Ley, se aplicarán de manera supletoria las disposiciones del Código Federal de Procedimientos Civiles y de la Ley Federal de Procedimiento Administrativo; y para la substanciación de los procedimientos de protección de derechos, de verificación e imposición de sanciones se observarán las disposiciones contenidas en la Ley Federal de Procedimiento Administrativo

6. Principios de Protección de Datos Personales

La legislación contiene un capítulo relativo a los principios internacionales que los responsables del tratamiento de datos deberán observar y que son: licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad.

7. Licitud

El Artículo 7 señala que los datos personales deberán recabarse y tratarse de manera lícita conforme a las disposiciones establecidas por la Ley y la normatividad aplicable y su obtención no debe hacerse a través de medios engañosos o fraudulentos. La legislación introduce una figura de derecho anglosajón relativa a “la expectativa razonable de privacidad”, definida como “la confianza que deposita cualquier persona en otra, respecto de que los datos personales proporcionados entre ellos serán tratados conforme a lo que acordaron las partes en los términos establecidos por la Ley”. Si bien esta disposición tiene como bien jurídico tutelar la información y datos de los individuos en el tratamiento de datos, es muy probable que en la practica las autoridades reguladoras tengan que aclarar el alcance de la misma conforme a los casos que se vayan presentando.

8. Consentimiento

La ley regula el consentimiento que es uno de los requisitos esenciales en todo tratamiento de datos personales. El Artículo 8 estipula que todo tratamiento de datos personales estará sujeto al consentimiento de su titular, salvo las excepciones previstas por la Ley. Esta disposición prevé que el consentimiento será expreso cuando la voluntad se manifieste verbalmente, por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos. En cuanto al consentimiento tácito, dicha disposición señala que el titular consiente tácitamente el tratamiento de sus datos, cuando habiéndose puesto a su disposición el aviso de privacidad, no manifieste su oposición.
El Artículo 8 establece que los datos financieros o patrimoniales requerirán el consentimiento expreso de su titular, salvo las excepciones a que se refieren los artículos 10 y 37 relacionadas con diversos supuestos como cuando los datos figuren en fuentes de acceso público, situaciones de emergencia, atención y prestación de servicios médicos y transferencias nacionales e internacionales, entre otros. El consentimiento podrá ser revocado en cualquier momento sin que se le atribuyan efectos retroactivos. Para revocarlo, el responsable deberá establecer los mecanismos y procedimientos para hacerlo en el aviso de privacidad correspondiente.
El Artículo 9 establece que tratándose de datos personales sensibles (origen racial, étnico, estado de salud, información genética, creencias religiosas, afiliación sindical, preferencia sexual, et. al) el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca. Además se establece la prohibición de crear bases de datos que contengan datos personales sensibles, sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el sujeto regulado.
El Artículo 10 establece las siguientes excepciones para la obtención del consentimiento en el tratamiento de datos personales cuando: (i) se encuentre previsto en una Ley; (ii) los datos figuren en fuentes de acceso público; (iii) los datos personales se sometan a un procedimiento previo de disociación; (iv) tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable; (v) exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes; (vi) sean indispensables para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la Ley General de Salud y demás disposiciones jurídicas aplicables y que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente, o (vii) se dicte resolución de autoridad competente.

9. Calidad

El Artículo 11 establece que el responsable procurará que los datos personales contenidos en las bases de datos sean pertinentes, correctos y actualizados para los fines para los cuales fueron recabados; y deberán ser cancelados cuando los datos de carácter personal hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas por el aviso de privacidad y las disposiciones legales aplicables.
Se establece la obligación para el responsable del manejo de la base de datos de eliminar la información relativa al incumplimiento de obligaciones contractuales, una vez que transcurra un plazo de setenta y dos meses, contado a partir de la fecha calendario en que se presente el mencionado incumplimiento.

España ratificó el pasado 3 de Junio del año en curso el Convenio sobre Cibercriminalidad del Consejo de Europa, siendo de esta forma el trigésimo país en ratificar este Convenio y el décimo séptimo Estado Miembro de la Unión Europa en hacerlo. España se comprometió ante el Consejo de Europa a ponerlo en vigor en su legislación a más tardar el próximo 10 de Octubre de 2010.
Ver el cuadro de firmas y ratificaciones del Convenio sobre Cibercriminalidad del Consejo de Europa (CETS No. 185)

A partir de hoy me uno al Instituto de Investigaciones sobre Cibercrimen (Institut fuer Medienstrafrecht) en Alemania, que consiste en una red diversa de profesionales destacados en el ámbito del cibercrimen, la seguridad informática y el derecho penal internacional para llevar a cabo investigación y atraer proyectos de consultoría y asesoría jurídica en áreas relacionadas con los delitos informáticos, la ciberseguridad y delitos de carácter transfronterizo. Estaré particularmente enfocado en la ejecución de proyectos relacionados con la privacidad, seguridad y la protección de datos en el ámbito penal y administrativo, así como en áreas emergentes relacionadas con el combate a la ciberdelincuencia y la armonización de legislación, políticas e iniciativas para combatirlo. Agradezco al Director del Instituto, Dr. Marco Gercke la designación y estoy seguro que será el principio de una larga y fructífera colaboración en áreas que están siendo cada vez más importantes a nivel internacional y en las agendas legislativas nacionales.

Si existe interés en consolidar algún proyecto de investigación, consultoría o asesoría jurídica por parte de representantes de organismos internacionales y regionales, legisladores, entidades gubernamentales y de empresas que regularmente consultan este blog, favor de contactarme a la siguiente dirección: cristosv at ciberdelincuencia.org

Atentamente,

Cristos Velasco.

La Oficina Permanente de la Conferencia de la Haya sobre Derecho Internacional Privado (HCCH) ha publicado un artículo muy interesante relacionado con el flujo tranfronterizo de datos, la privacidad y su vínculo con la jurisdicción y la legislación aplicable. En esta publicación, la Haya hace un análisis muy puntual sobre la cuestión de la jurisdicción aplicable a los flujos transfronterizos de datos, la protección de la privacidad a nivel internacional así como la aplicación de los instrumentos de la Haya en relación al derecho internacional privado.

La Haya señala que los Estados han hecho pocos avances en identificar una solución generalmente aceptable para las transacciones transfronterizas de datos de carácter personal puesto que se trata de un tema muy difícil que a lo largo del tiempo ha hecho cada vez más aguda la creciente importancia del tratamiento de datos en una economía cada vez más globalizada.

La Haya ilustra en ese artículo la problemática que supone las transferencias internacionales de datos a aspectos tales como la jurisdicción internacional, la legislación aplicable, el reconocimiento y la ejecución judicial y la cooperación administrativa, dando como ejemplos el caso SWIFT de Canadá, así como otro caso acontecido en Francia relacionado con el delito de divulgación de documentos e información constitutivo de pruebas y evidencias en un procedimiento extranjero y la problemática de la cooperación judicial entre autoridades judiciales ubicados en distintos países.

El artículo hace referencia a las distintas opiniones del Grupo de Trabajo Artículo 29 y reconoce que en virtud del Artículo 4 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos no está completamente aclarado: (i) si la legislación comunitaria deba ser aplicable al tratamiento de datos de carácter personal derivado de intercambio tranfronterizo de datos; (ii) si el derecho nacional deba ser la legislación aplicable; y (iii) que legislación debe prevalecer en caso de existir establecimientos múltiples de una compañía multinacional ubicada en distintos Estados miembros de la UE.

Asimismo, se hace referencia a la actual labor del Grupo de Trabajo Artículo 29 en la elaboración de un dictamen sobre el concepto de legislación aplicable, los planes para asesorar a la Comisión Europea sobre este tema en el transcurso del presente año y su solicitud a dicho organismo para la creación de un marco internacional vinculante sobre protección de datos de carácter personal.

El artículo concluye estipulando que se han sugerido y adoptado múltiples enfoques para abordar la cuestión del flujo internacional de datos, pero ninguno de ellos ha logrado con éxito un sistema que brinde seguridad y claridad a los particulares o funcionarios de gobierno encargados de la supervisión o ejecución de la leyes de protección de datos. La Oficina Permanente señala que es un área del derecho donde la cooperación internacional y la coordinación relacionada con casos transfronterizos puede ser un camino a seguir. Finalmente, destaca la importancia de esa Oficina Permanente en seguir monitoreando y dándole seguimiento a los desarrollos y discusiones en relación al tema a nivel internacional.

El capítulo global de la Internet Society ha lanzado una encuesta sobre privacidad y protección de datos que contiene 14 preguntas. El propósito de esta encuesta es obtener información de los distintos capítulos alrededor del mundo sobre aspectos regulatorios de la privacidad y la protección de datos en distintos países, así como un panorama del estado de las iniciativas en materia de protección de datos a nivel internacional.

La encuesta estará abierta hasta el próximo 24 de Mayo de 2010 y posteriormente ISOC elaborará un reporte final que estará disponible en línea.

A continuación una breve reseña de Javier Nájera Montiel sobre un artículo de su autoría publicado en el Instituto de Investigaciones Jurídicas de la UNAM.

“En el artículo que he denominado “Los datos de carácter personal ante la Clave Única de Registro de Población” me sirvo analizar –prima facie- el carácter confidencial de los datos personales reconocidos normativamente en la ley federal de transparencia y acceso a la información pública gubernamental.

Para darle paso a la exposición del uso, composición y regulación normativa de la clave única de registro de población (clave alfanumérica de identidad en México), lo anterior en estrecha relación a las constancias oficiales emitidas por una fuente pública de acceso abierto como es el registro civil.

Se finaliza el presente trabajo de investigación con la aseveración de que la fecha de nacimiento, la edad, el sexo, la entidad federativa de nacimiento, el domicilio, el régimen conyugal y la nacionalidad son datos personales que no se encuentran bajo el cobijo y protección de las reglas de confidencialidad por hallarse en un archivo público de acceso abierto como es el registro civil.”

Finalmente después de más de 10 años, el pasado 27 de Abril, el Senado Mexicano aprobó la Ley Federal de Protección de Datos Personales en Posesión de Particulares con lo cual se cumple el plazo perentorio establecido en el Artículo Segundo Transitorio del Decreto del 30 de Abril de 2009 por el que se estableció la Reforma al Artículo 73 Constitucional .

Más adelante, cuando se publique el Decreto en el Diario Oficial de la Federación, comentaré con más detalle algunos de los aspectos más relevantes de esta ley. Mientras tanto, consideramos que la legislación representa un avance muy importante en la protección del derecho a la privacidad como parte de la protección de los derechos fundamentales del ciudadano Mexicano en una sociedad cada vez mayormente dependiente del uso de las tecnologías de la información y en donde el valor económico de los datos cada día cobra mayor importancia.

Algunas fuentes de información relevantes sobre la aprobación de la legislación en el Senado Mexicano se encuentran en:

Dictamen de la Cámara de Senadores del 27 de Abril de 2010 publicado en la Gaceta No. 127

Comunicado de prensa de la Cámara de Senadores

Blog de Firma Electrónica de Isabel Davara

Comunicados de Prensa del IFAI

La Jornada

El próximo 29 y 30 de Abril se llevará cabo en la ciudad de Madrid, la tercera Reunión del Diálogo Europeo para la Gobernanza de Internet (EuroDIG) en donde se analizarán y debatirán algunos temas de gran importancia sobre el futuro de la gobernanza de internet. En dicha reunión, habrá una sesión plenaria sobre estándares globales de privacidad para Internet en donde se hablará sobre los aspectos más relevantes de la Resolución de las Autoridades de Protección de Datos sobre Estándares Internacionales de Protección de Datos y Privacidad dada a conocer en Noviembre de 2009, así como la Declaración de la Sociedad Civil sobre Estándares Globales Privacidad que desde su concepción, ha sido recibida y endosada por un gran número de representantes de organizaciones de consumidores, de derechos humanos, académicos, investigadores y expertos de distintas partes del mundo.

Asimismo, se llevará a cabo un taller de trabajo de gran importancia en el contexto jurídico y tecnológico que estamos atravesando titulado: “Cross-border cybercrime Jurisdiction under Cloud Computing” . El panel será moderado por Cristos Velasco, Director General de Ciberdelincuencia.Org y contará con la participación de seis expertos provenientes de distintos sectores de la Unión Europea. Este workshop tiene tres objetivos principales. En primer lugar, abordar y discutir los marcos legislativos, las iniciativas de la industria, así como las mejores prácticas relacionadas con los aspectos sobre jurisdicción en materia de delito cibernético, con especial énfasis en el entorno de la nube informática (cloud computing). En segundo lugar, crear conciencia acerca de la importancia de la temática y sobre la intersección entre la delincuencia informática, la jurisdicción en Internet y la nube informática como un aspecto emergente de la gobernanza de Internet a nivel europeo. Tercero, identificar y proponer posibles soluciones para la creación de políticas futuras en este ámbito. Mayor información sobre el workshop, documentos, publicaciones y vínculos a presentaciones, seminarios e información relacionada con el tema se encuentran en el siguiente vínculo.

Estaré reportando los aspectos más importantes de la sesión plenaria sobre estándares globales de privacidad para Internet y del workshop “Cross-border cybercrime Jurisdiction under Cloud Computing”