La exposición de motivos del comunicado hace referencia a la importancia de la adopción del Convenio de Budapest para facilitar la cooperación a nivel internacional y para la aprobación de una legislación adecuada para combatir delitos tales como los fraudes informáticos y la pornografía infantil a nivel nacional. Asimismo, el comunicado exhorta al Ejecutivo Federal para que haga las diligencias necesarias para que México se adhiera formalmente al mismo y destaca que dicho instrumento “es un mecanismo bien articulado, vasto en sus concepciones, explícito en sus medios y fines, así como respetuoso de la soberanía y los sistemas judiciales de los países adherentes, a los que concede un notable campo de acción y de esta forma México coadyuve a nivel internacional en la investigación, persecución y sanción de los delitos informáticos.”

Ver comunicado de prensa del Presidente de la Comisión Especial de Acceso Digital de la H. Cámara de Diputados.

Vale la pena señalar que este comunicado es una buena señal e intención de los legisladores mexicanos para empezar a trabajar y legislar en materia de ciberdelitos. El proceso de adherirse a una convención internacional de este tipo es largo, complejo y además deben cumplirse previamente una serie de requisitos, principalmente contar con una legislación sustantiva y procesal adecuada que tipifique los actos preparatorios y los delitos más comunes previstos en el propio Convenio de Budapest, así como aquellos delitos que están teniendo una gran incidencia como son la usurpación de identidad, los ataques sobre denegación de servicio, el acceso ilícito a sistemas privados o gubernamentales. Además, el convenio establece la obligación de contar con una red de contacto 24×7 que sea reconocida internacionalmente y que cuente con el apoyo de la iniciativa privada, de las instituciones gubernamentales y de la comunidad técnica y académica a nivel nacional que sirva para facilitar asistencia inmediata a redes de otros países relacionada con investigaciones y procedimientos penales vinculados con el uso de sistemas de cómputo y la obtención y uso de pruebas y evidencias electrónicas, así como establecer los principios relacionados con la cooperación internacional como son disposiciones sobre jurisdicción aplicable en caso de ciberdelitos cometidos en diversos territorios, aspectos relacionados con la extradición y procedimientos sobre asistencia mutua para colaborar en las investigaciones relacionadas con los ciberdelitos, entre otras disposiciones.

Esperemos que durante la reunión regional que organiza el Consejo de Seguridad Nacional de México y el Consejo de Europa a finales de Agosto se logren consensos viables para hacer una reforma general al marco jurídico nacional sustantivo y procesal en materia de ciberdelitos que consideramos tan necesaria en el contexto tecnológico actual que estamos viviendo.

Considero que iniciativas educativas de este tipo serán fundamentales en los próximos años en los sistemas educativos de cada país pues serán las herramientas mas efectivas para prevenir y educar a los adolescentes acerca de la importancia de proteger los datos personales, sobre sus derechos y obligaciones para poder evitar ser víctimas del mal uso que se le da a la información que generan y facilitan en Internet y sobre todo para concienciar a las generaciones de maestros y docentes que no están al tanto de lo que acontece en las redes sociales basadas en la red.

Hasta donde tenemos conocimiento, no existen en México ni en algún otro país latinoamericano iniciativas de este tipo en colegios públicos y considero que es un hueco que debe ser llenado en conjunto con las autoridades reguladoras de las políticas de educación, las autoridades de protección de datos y las organizaciones de la sociedad civil activas trabajando en la materia. Mayor información en El Mundo.

La neurociencia computacional trae consigo aspectos regulatorios de gran complejidad para los gobiernos puesto que por un lado, se desconoce el tipo de tecnologías que se utilizan y las repercusiones que puede tener en un individuo sin son mal utilizadas, y por otro lado, por que los gobiernos pueden tardar anos en regular aspectos de este tipo.

Una de las dudas que tengo es si actualmente existe alguna iniciativa de ley en algún país que este considerando regular la neurociencia y el adecuado uso de las tecnologías para reglamentar su uso como por ejemplo en el ámbito de la prestación de servicios médicos? Agradeceré la informacion a quien la tenga por este mismo medio.

La legislación contempla dos autoridades reguladoras para la observancia y cumplimiento de las disposiciones previstas en la Ley. Por un lado, el Artículo 38 establece las atribuciones del Instituto Federal de Acceso a la Información y Protección de Datos para difundir el conocimiento del derecho a la protección de datos personales en la sociedad mexicana, promover su ejercicio y vigilar por la debida observancia de las disposiciones previstas en la Ley y que deriven de la misma; en particular aquellas relacionadas con el cumplimiento de obligaciones por parte de los sujetos regulados por este ordenamiento. El Artículo 39 establece expresamente en doce numerales las atribuciones del Instituto.
Por otro lado, los Artículos 40 y 41 establecen las atribuciones de la Secretaria de Economía específicamente para difundir el conocimiento de las obligaciones en torno a la protección de datos personales entre la iniciativa privada nacional e internacional con actividad comercial en territorio mexicano; promover las mejores prácticas comerciales en torno a la protección de los datos personales como insumo de la economía digital, y el desarrollo económico nacional en su conjunto.
El Artículo 43 establece expresamente en diez numerales las atribuciones de la Secretaría de Economía.

22. Esquemas de Autorregulación

El Artículo 44 establece la posibilidad de convenir esquemas de autorregulación vinculantes en la materia entre personas físicas o morales o con organizaciones civiles o gubernamentales, nacionales o extranjeras que complementen lo dispuesto en la Ley. Dichos esquemas deberán contener mecanismos para medir su eficacia en la protección de los datos, consecuencias y medidas correctivas eficaces en caso de incumplimiento.

23. Procedimiento de Protección de Datos

La ley establece un capítulo completo (Arts. 45 a 58) sobre el procedimiento aplicable ante el Instituto para la protección de los datos personales cuando se hayan vulnerado derechos de los titulares conforme a la legislación Conforme al Artículo 45, el Reglamento de la ley -que deberá expedirse dentro de un ano-, establecerá en forma más especifica los términos y plazos conforme a los que se desarrollará el procedimiento de protección de derechos.
De acuerdo con el Artículo 47, el plazo máximo para dictar la resolución en el procedimiento de protección de derechos será de cincuenta días, contados a partir de la fecha de presentación de la solicitud de protección de datos. Solo cuando haya una causa justificada, el Pleno del Instituto podrá ampliar por una vez y hasta por un período igual este plazo.
Conforme al Artículo 57, todas las resoluciones del Instituto serán susceptibles de difundirse públicamente en versiones públicas, eliminando aquellas referencias al titular de los datos que lo identifiquen o lo hagan identificable.

24. Procedimiento de Verificación

Los Artículos 59 y 60 establecen el procedimiento de verificación por parte del Instituto para el cumplimiento de la Ley y de la normatividad que de ésta derive. El Reglamento de la Ley desarrollará la forma, términos y plazos en que se sustanciará el procedimiento a que se refiere el presente artículo.

25. Procedimiento de Imposición de Sanciones

El Artículo 61 establece un procedimiento de imposición de sanciones cuando por motivo del desahogo del procedimiento de protección de derechos o del procedimiento de verificación que realice el Instituto, éste tuviera conocimiento de un presunto incumplimiento de alguno de los principios o disposiciones de la Ley, a efecto de determinar la sanción que corresponda. El Reglamento de la Ley desarrollará la forma, términos y plazos en que se sustanciará dicho procedimiento, incluyendo la presentación de pruebas y alegatos, la celebración de audiencias y el cierre de instrucción.

26. Infracciones y Sanciones

El Artículo 63 establece en 19 numerales los supuestos sobre infracciones y sanciones aplicables a los responsables del tratamiento de datos personales.
El Artículo 64 establece las sanciones económicas derivadas del incumplimiento de alguno de los numerales del Artículo 63. Las multas pueden ir desde 100 hasta 320, 000 días de salario mínimo vigente en el Distrito Federal, apróximadamente el equivalente de $5,746.00 hasta $18′387,200.00 pesos mexicanos.
El párrafo IV del Artículo 63 estipula que en caso de que persistan las infracciones de manera reiterada, el Instituto podrá imponer una multa adicional que irá de 100 a 320,000 días de salario mínimo vigente en el Distrito Federal. Tratándose de infracciones cometidas en el tratamiento de datos sensibles, las sanciones podrán incrementarse hasta por dos veces, los montos establecidos.
De acuerdo con el Artículo 66, las sanciones que prevé el Capítulo X de la Ley, se impondrán sin perjuicio de la responsabilidad civil o penal que resulte.

27. Delitos en Materia del Tratamiento Indebido de Datos Personales

La legislación contiene un Capítulo específico sobre delitos derivados del tratamiento indebido de datos personales.
El Artículo 67 impone sanciones de tres meses a tres años de prisión al que estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia.
El Artículo 68 sanciona con prisión de seis meses a cinco años al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos.
Por último, el Artículo 69 establece que tratándose de datos personales sensibles, las penas contenidas en Capítulo XI podrán duplicarse.

El Artículo 12 establece que el tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas en el aviso de privacidad. Si el responsable pretende tratar los datos para un fin distinto que no resulte compatible o análogo a los fines establecidos en el aviso de privacidad, se requerirá obtener nuevamente el consentimiento del titular.

11. Proporcionalidad

El Artículo 13 señala que el tratamiento de datos personales será el que resulte necesario, adecuado y relevante en relación con las finalidades previstas en el aviso de privacidad. Tratándose de datos personales sensibles, el responsable deberá realizar esfuerzos razonables para limitar el periodo de tratamiento de los mismos a efecto de que sea el mínimo indispensable.

12. Lealtad

El Artículo 15 establece que el responsable tendrá la obligación de informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, a través del aviso de privacidad.

13. Responsabilidad

El Artículo 19 estipula que todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado, y prohibiéndoles adoptar medidas de seguridad inferiores a aquellas que mantengan para el manejo de su información, tomado en cuenta el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico.

14. Aviso de Privacidad

Los Artículos 16 y 17 establecen los requisitos mínimos que deberá contener el aviso de privacidad y la obligación de ponerlo a disposición de los titulares, a través de formatos impresos, digitales, visuales, sonoros o cualquier otra tecnología, respectivamente.

El Artículo 18 prevé que cuando los datos no hayan sido obtenidos directamente del titular, el responsable deberá darle a conocer el cambio en el aviso de privacidad, exceptuándose de este supuesto, cuando el tratamiento sea con fines históricos, estadísticos o científicos.
El párrafo tercero del Artículo 18 establece que cuando resulte imposible dar a conocer el aviso de privacidad al titular o exija esfuerzos desproporcionados, en consideración al número de titulares, o a la antigüedad de los datos, previa autorización del IFAIPD, el responsable podrá instrumentar medidas compensatorias en términos del Reglamento de la Ley.

15. Medidas de Seguridad

El Artículo 19 establece la obligación de los responsables del tratamiento de datos personales de establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado. Este artículo estipula que los responsables no adoptarán medidas de seguridad menores a aquellas que mantengan para el manejo de su información y se tomará en cuenta el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico.

El Artículo 20 establece la obligación del responsable del tratamiento de datos de informar inmediatamente al titular sobre posibles vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares, a fin de que el titular pueda tomar las medidas correspondientes para la defensa de sus derechos.

16. Confidencialidad de la Información

El Artículo 21 establece la obligación del responsable o terceros que intervengan en cualquier fase del tratamiento de datos personales de guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.

17. Derechos de los Titulares

La legislación contiene un Capítulo (Arts. 22 a 27) relacionado con los derechos de los titulares de datos personales, mejor conocidos como derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) los cuales deberán ser resguardados de tal forma, que permitan el ejercicio sin dilación de dichos derechos.

El Artículo 23 establece que los titulares tienen derecho a acceder a sus datos personales que obren en poder del responsable, así como conocer el Aviso de Privacidad al que está sujeto el tratamiento.

Los Artículos 24 y 25 señalan que el titular tendrá derecho a rectificar datos personales cuando sean inexactos o incompletos, así como el derecho a cancelarlos en todo momento, respectivamente.

El Artículo 26 establece siete excepciones a la cancelación de datos personales por parte de los responsables cuando: (i) se refiera a las partes de un contrato privado, social o administrativo y sean necesarios para su desarrollo y cumplimiento; (ii) deban ser tratados por disposición legal; (iii) obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas; (iv) sean necesarios para proteger los intereses jurídicamente tutelados del titular; (v) sean necesarios para realizar una acción en función del interés público; (vi) sean necesarios para cumplir con una obligación legalmente adquirida por el titular, y (vii) sean objeto de tratamiento para la prevención o para el diagnóstico médico o la gestión de servicios de salud, siempre que dicho tratamiento se realice por un profesional de la salud sujeto a un deber de secreto.

El Artículo 27 señala que el titular tendrá derecho en todo momento y por causa legítima a oponerse al tratamiento de sus datos. De resultar procedente, el responsable no podrá tratar los datos relativos al titular.

18. Ejercicio de los Derechos ARCO

La Ley contiene un Capítulo (Arts. 28 a 35) relacionado con el ejercicio de los derechos ARCO en donde se establecen los requisitos, condiciones y los plazos para el acceso a datos personales de los titulares y los supuestos de negación a los mismos.

El Artículo 28 establece que el titular o su representante legal podrán en cualquier momento, solicitar al responsable el acceso, rectificación, cancelación u oposición, respecto de los datos personales que le conciernen.

El Artículo 30 establece la obligación de las empresas de designar a una persona, o departamento de datos personales, quien dará trámite a las solicitudes de los titulares, para el ejercicio de los derechos a que se refiere la Ley, así como para fomentar la protección de datos personales al interior de la organización.

El Artículo 35 prevé que la entrega de los datos personales sea gratuita, debiendo cubrir el titular únicamente los gastos justificados de envío o con el costo de reproducción en copias u otros formatos y debiendo el titular acreditar su identidad ante el responsable.

19. Transferencias Nacionales e Internacionales de Datos

La legislación establece en sus Artículos 36 y 37 la forma en la que ha de llevarse a cabo la transferencia de datos personales a terceras partes ubicada en territorio nacional o en el extranjero.

El Artículo 36 establece el supuesto que cuando el responsable pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos del encargado, deberá comunicar a éstos el aviso de privacidad y las finalidades a las que el titular sujetó su tratamiento.
El tratamiento de los datos se hará conforme a lo convenido en el aviso de privacidad, el cual contendrá una cláusula en la que se indique si el titular acepta o no la transferencia de sus datos, de igual manera, el tercero receptor, asumirá las mismas obligaciones que correspondan al responsable que transfirió los datos.

20. Excepciones a las Transferencias Nacionales o Internacionales

El Artículo 37 prevé que las transferencias nacionales o internacionales de datos puedan llevarse a cabo sin el consentimiento del titular cuando se dé alguno de los siguientes siete supuestos: (i) cuando la transferencia esté prevista en una Ley o Tratado en los que México sea parte; (ii) cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios; (iii) cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas; (iv) cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero; (v) cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia; (vi) cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y (vii) cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.

A continuación haremos un breve resumen de las disposiciones mas relevantes de esta legislación cuya reglamentación e instrumentación por parte del poder ejecutivo y las autoridades encargadas de su cumplimiento se hará dentro de un año.

1. Ámbito de Aplicación y Objeto

La Ley es de orden público y de observancia general en toda la República y tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas

2. Sujetos Regulados y Excepciones

Los sujetos regulados por la ley son los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales.
El Artículo 2 exceptúa a las sociedades de información crediticia (bancos y buros de credito) en los supuestos previstos en su propia regulación y a las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial como pudiera ser el caso de las universidades y centros de investigación.

3. Definiciones

La legislación prevé en su Articulo 3 diecinueve numerales con definiciones para proporcionar una mejor interpretación de la misma. Entre las definiciones más importantes se encuentran: aviso de privacidad, bases de datos, bloqueo, consentimiento, datos personales, datos personales sensibles, disociación, fuente de acceso público, tratamiento, transferencia, entre otras.

4. Límites de la Legislación

El Artículo 4 establece que los principios y derechos previstos en la Ley, tendrán como límite en cuanto a su observancia y ejercicio, la protección de la seguridad nacional, el orden, la seguridad y la salud públicos, así como los derechos de terceros.

5. Supletoriedad y Legislación Aplicable a Procedimientos de Protección de Datos

El Artículo 5 prevé que a falta de disposición expresa en la Ley, se aplicarán de manera supletoria las disposiciones del Código Federal de Procedimientos Civiles y de la Ley Federal de Procedimiento Administrativo; y para la substanciación de los procedimientos de protección de derechos, de verificación e imposición de sanciones se observarán las disposiciones contenidas en la Ley Federal de Procedimiento Administrativo

6. Principios de Protección de Datos Personales

La legislación contiene un capítulo relativo a los principios internacionales que los responsables del tratamiento de datos deberán observar y que son: licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad.

7. Licitud

El Artículo 7 señala que los datos personales deberán recabarse y tratarse de manera lícita conforme a las disposiciones establecidas por la Ley y la normatividad aplicable y su obtención no debe hacerse a través de medios engañosos o fraudulentos. La legislación introduce una figura de derecho anglosajón relativa a “la expectativa razonable de privacidad”, definida como “la confianza que deposita cualquier persona en otra, respecto de que los datos personales proporcionados entre ellos serán tratados conforme a lo que acordaron las partes en los términos establecidos por la Ley”. Si bien esta disposición tiene como bien jurídico tutelar la información y datos de los individuos en el tratamiento de datos, es muy probable que en la practica las autoridades reguladoras tengan que aclarar el alcance de la misma conforme a los casos que se vayan presentando.

8. Consentimiento

La ley regula el consentimiento que es uno de los requisitos esenciales en todo tratamiento de datos personales. El Artículo 8 estipula que todo tratamiento de datos personales estará sujeto al consentimiento de su titular, salvo las excepciones previstas por la Ley. Esta disposición prevé que el consentimiento será expreso cuando la voluntad se manifieste verbalmente, por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos. En cuanto al consentimiento tácito, dicha disposición señala que el titular consiente tácitamente el tratamiento de sus datos, cuando habiéndose puesto a su disposición el aviso de privacidad, no manifieste su oposición.
El Artículo 8 establece que los datos financieros o patrimoniales requerirán el consentimiento expreso de su titular, salvo las excepciones a que se refieren los artículos 10 y 37 relacionadas con diversos supuestos como cuando los datos figuren en fuentes de acceso público, situaciones de emergencia, atención y prestación de servicios médicos y transferencias nacionales e internacionales, entre otros. El consentimiento podrá ser revocado en cualquier momento sin que se le atribuyan efectos retroactivos. Para revocarlo, el responsable deberá establecer los mecanismos y procedimientos para hacerlo en el aviso de privacidad correspondiente.
El Artículo 9 establece que tratándose de datos personales sensibles (origen racial, étnico, estado de salud, información genética, creencias religiosas, afiliación sindical, preferencia sexual, et. al) el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca. Además se establece la prohibición de crear bases de datos que contengan datos personales sensibles, sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el sujeto regulado.
El Artículo 10 establece las siguientes excepciones para la obtención del consentimiento en el tratamiento de datos personales cuando: (i) se encuentre previsto en una Ley; (ii) los datos figuren en fuentes de acceso público; (iii) los datos personales se sometan a un procedimiento previo de disociación; (iv) tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable; (v) exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes; (vi) sean indispensables para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la Ley General de Salud y demás disposiciones jurídicas aplicables y que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente, o (vii) se dicte resolución de autoridad competente.

9. Calidad

El Artículo 11 establece que el responsable procurará que los datos personales contenidos en las bases de datos sean pertinentes, correctos y actualizados para los fines para los cuales fueron recabados; y deberán ser cancelados cuando los datos de carácter personal hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas por el aviso de privacidad y las disposiciones legales aplicables.
Se establece la obligación para el responsable del manejo de la base de datos de eliminar la información relativa al incumplimiento de obligaciones contractuales, una vez que transcurra un plazo de setenta y dos meses, contado a partir de la fecha calendario en que se presente el mencionado incumplimiento.

Si existe interés en consolidar algún proyecto de investigación, consultoría o asesoría jurídica por parte de representantes de organismos internacionales y regionales, legisladores, entidades gubernamentales y de empresas que regularmente consultan este blog, favor de contactarme a la siguiente dirección: cristosv at ciberdelincuencia.org

Atentamente,

Cristos Velasco.

La Haya señala que los Estados han hecho pocos avances en identificar una solución generalmente aceptable para las transacciones transfronterizas de datos de carácter personal puesto que se trata de un tema muy difícil que a lo largo del tiempo ha hecho cada vez más aguda la creciente importancia del tratamiento de datos en una economía cada vez más globalizada.

La Haya ilustra en ese artículo la problemática que supone las transferencias internacionales de datos a aspectos tales como la jurisdicción internacional, la legislación aplicable, el reconocimiento y la ejecución judicial y la cooperación administrativa, dando como ejemplos el caso SWIFT de Canadá, así como otro caso acontecido en Francia relacionado con el delito de divulgación de documentos e información constitutivo de pruebas y evidencias en un procedimiento extranjero y la problemática de la cooperación judicial entre autoridades judiciales ubicados en distintos países.

El artículo hace referencia a las distintas opiniones del Grupo de Trabajo Artículo 29 y reconoce que en virtud del Artículo 4 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos no está completamente aclarado: (i) si la legislación comunitaria deba ser aplicable al tratamiento de datos de carácter personal derivado de intercambio tranfronterizo de datos; (ii) si el derecho nacional deba ser la legislación aplicable; y (iii) que legislación debe prevalecer en caso de existir establecimientos múltiples de una compañía multinacional ubicada en distintos Estados miembros de la UE.

Asimismo, se hace referencia a la actual labor del Grupo de Trabajo Artículo 29 en la elaboración de un dictamen sobre el concepto de legislación aplicable, los planes para asesorar a la Comisión Europea sobre este tema en el transcurso del presente año y su solicitud a dicho organismo para la creación de un marco internacional vinculante sobre protección de datos de carácter personal.

El artículo concluye estipulando que se han sugerido y adoptado múltiples enfoques para abordar la cuestión del flujo internacional de datos, pero ninguno de ellos ha logrado con éxito un sistema que brinde seguridad y claridad a los particulares o funcionarios de gobierno encargados de la supervisión o ejecución de la leyes de protección de datos. La Oficina Permanente señala que es un área del derecho donde la cooperación internacional y la coordinación relacionada con casos transfronterizos puede ser un camino a seguir. Finalmente, destaca la importancia de esa Oficina Permanente en seguir monitoreando y dándole seguimiento a los desarrollos y discusiones en relación al tema a nivel internacional.

La encuesta estará abierta hasta el próximo 24 de Mayo de 2010 y posteriormente ISOC elaborará un reporte final que estará disponible en línea.