Código de Protección de Datos Personales México
Preparado por:
PIÑAR MAÑAS & ASOCIADOS Y GLOBAL DATA PROTECTION CONSULTING Prólogo de Jennifer Stoddart, Comisionada de Privacidad de Canadá
México D.F., 2013
Copyright ® 2013 Todos los derechos reservados. Ni la totalidad ni parte de este libro puede reproducirse o transmitirse por ningún procedimiento electrónico o mecánico, incluyendo fotocopia, grabación magnética, o cualquier almacenamiento de información y sistema de recuperación sin permiso escrito de los autores y del editor. En caso de erratas y actualizaciones, la Editorial Tirant lo Blanch México publicará la pertinente corrección en la página web www.tirant.com (http://www.tirant.com) incorporada a la ficha del libro. En www.tirant. com dispondrá de un servicio con los textos legales básicos y sectoriales actualizados como complemento de su libro. Los textos jurídicos que aparecen se ofrecen con una finalidad informativa o divulgativa. Tirant lo Blanch intentará cuidar por la actualidad, exactitud y veracidad de los mismos, si bien advierte que no son los textos oficiales y declina toda responsabilidad por los daños que puedan causarse debido a las inexactitudes o incorrecciones de los mismos. Los únicos textos considerados legalmente válidos son los que aparecen en las publicaciones oficiales de los correspondientes organismos estatales o federales.
© Piñar Mañas & Asociados y Global Data Protection Consulting
© TIRANT LO BLANCH MÉXICO EDITA: TIRANT LO BLANCH MÉXICO Avda. General Mariano Escobedo, 568 y Herschel, 12 Colonia Nueva Anzures Delegación Miguel Hidalgo CP 11590 MÉXICO D.F. Telf.: (55) 5000 5000 Email:tlb@tirant.com http://www.tirant.com Librería virtual: http://www.tirant.es I.S.B.N.: 978-84-9033-715-8 MAQUETA: PMc Media Si tiene alguna queja o sugerencia envíenos un mail a: atencioncliente@tirant.com. En caso de no ser atendida su sugerencia por favor lea en www.tirant.net/index.php/empresa/politicas-deempresa nuestro Procedimiento de quejas.
ÍNDICE ABREVIATURAS............................................................................................... 9 PRÓLOGO....................................................................................................... 11 §1. Normativa nacional.................................................................................... 15 §1.1. Constitución Política de los Estados Unidos Mexicanos..................... 17 §1.2. Ley de Protección de Datos Personales en Posesión de los Particulares................................................................................................. 21 §1.3. Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares........................................................... 51 §1.4. Criterios Generales para la instrumentación de medidas compensatorias sin la autorización expresa del Instituto Federal de Acceso a la Información y Protección de Datos............................................... 105 §1.5. Ley de Protección al Consumidor (artículos 16 a 18 bis y 76 bis)....... 117 §1.6. Ley de Protección y Defensa al Usuario de Servicios Financieros (artículos 8, 13 y 94, fracción XII)...................................................... 121 §1.7. Ley para Regular las Sociedades de Información Crediticia................ 123 §1.8. Ley General de Salud (art. 103 Bis).................................................... 179 §1.9. Norma Oficial Mexicana NOM-024-SSA3-2010, Que establece los objetivos funcionales y funcionalidades que deberán observar los productos de Sistemas de Expediente Clínico Electrónico para garantizar la interoperabilidad, procesamiento, interpretación, confidencialidad, seguridad y uso de estándares y catálogos de la información de los registros electrónicos en salud......................... 181 §1.10. Norma Oficial Mexicana NOM-168-SSA1-1998, del Expediente Clínico.......................................................................................... 199 §1.11. Ley de Transparencia y Acceso a la Información Pública Gubernamental [extracto]........................................................................... 219 §1.12. Lineamientos de Protección de Datos Personales............................. 233 §1.13. Guía para la elaboración de un Documento de seguridad................ 251 §2. Normativa internacional............................................................................. 277 §2.1. Marco de Privacidad del Foro de Cooperación Económica Asia-Pacífico (APEC), 2005.......................................................................... 279 §2.2. Directrices relativas a la protección de la intimidad y de la circulación transfronteriza de datos personales........................................ 307 §2.3. Convenio Nº 108 del Consejo de Europa, de 28 de Enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal...................................... 323 §2.4. Protocolo Adicional del Convenio Nº 108 del Consejo de Europa, de 28 de Enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, Estrasburgo, a 8 de noviembre de 2001......................................... 335 §2.5. Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas
8
Índice
en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.............................................................. 339 §2.6. Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), Diario Oficial nº L 201, de 31 de Julio de 2002; modificada por la Directiva 2006/24/CE y Directiva 2009/136/CE. 375 §2.7. Estándares internacionales para la protección de la privacidad en relación con el tratamiento de datos de carácter personal (Resolución de Madrid), 5 de Noviembre de 2009.................................... 401 §2.8. Resolución 45/95 de la Organización de las Naciones Unidas, de 14 de Diciembre de 1990, sobre los principios rectores sobre la reglamentación de los ficheros computadorizados de datos personales. 417 §3. Índice en orden cronológico de normativa.................................................. 421 §4. Índice analítico........................................................................................... 429
ABREVIATURAS § Sección Art(s) Artículo(s) CE
Comisión Europea
CONDUSEF Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros DOF
Diario Oficial de la Federación
ECE
Expediente Clínico Electrónico
IFAI
Instituto Federal de Acceso a la Información y Protección de Datos
LFPDPPP
Ley Federal de Protección de Datos Personales en Posesión de los Particulares
NOM
Norma Oficial Mexicana
PROFECO
Procuraduría Federal del Consumidor
REUS
Registro Público de Usuarios que no deseen información publicitaria de Productos y Servicios Financieros
TIC
Tecnologías de la Información y las Comunicaciones
UDIS
Unidades de Inversión
PRÓLOGO La protección de la persona física en lo que se refiere al tratamiento de sus datos personales por el sector privado en México ha sido, durante varios años, una cuestión pendiente para el legislador federal. Si bien en el caso del sector público a nivel federal se promulgó en 2002 la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, publicada en el Diario Oficial de la Federación de 11 de junio de 2002, que contiene disposiciones que vinculan a los sujetos obligados, las dependencias y entidades federales, en materia de protección de datos personales, no ocurría lo mismo en el sector privado, pese a algunas referencias parciales y/o específicas en determinadas normatividades sectoriales. Unido a lo anterior, la posición geográfica de México y su papel relevante en el comercio mundial nos llevan a afirmar que se encuentra en el epicentro de la evolución que se está produciendo en cuanto a las diferentes aproximaciones que siguen diversos países y economías alrededor del mundo en materia de protección de datos personales. Al respecto, cabe señalar que México es parte, junto a Canadá y Estados Unidos, del Tratado de Libre Comercio de América del Norte (en inglés NAFTA, North American Free Trade Agreement), que entró en vigor el 1 de enero de 1994; es una de las economías del Foro de Cooperación Económica Asia-Pacífico (APEC, Asia-Pacific Economic Cooperation), es uno de los países que forman parte de la Organización para la Cooperación y el Desarrollo Económicos (OCDE), y es también uno de los principales socios comerciales de la Unión Europea en virtud del Acuerdo de Asociación Económica, Concentración Política y Cooperación, firmado el 8 de diciembre de 1997 y que entró en vigor el 1 de octubre de 2000, constituyendo el primer Tratado de Libre Comercio transatlántico para la Unión Europea. Es así que México tenía una difícil tarea por delante ya que se encontraba en un cruce de caminos dadas las diferentes aproximaciones en cuanto a la regulación de la protección de datos personales y al libre flujo de los mismos. Además, había asumido varios compromisos internacionales, como por ejemplo, ante la OCDE, APEC o la Unión Europea, de adoptar una normatividad en materia de protección de datos personales para el sector privado. Buena muestra de lo anterior fue el hecho de que entre el año 2001 y el 2008 se presentaran hasta nueve iniciativas legislativas diferentes. La necesidad de conjugar los principios de protección de datos personales contenidos en diferentes instrumentos internacionales y el libre flujo nacional e internacional de los datos personales necesario para el desarrollo del comercio, electrónico o no, hizo que el legislador tuviera que realizar una ardua labor que dio como resultado la primera Ley que se publicaba después de que se adoptaran los Estándares Internacionales sobre Protección de Datos Personales y Privacidad (Resolución de Madrid), de 5 de noviembre de 2009. Y como ejemplo de lo anterior, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares ha incluido en su articulado cuestiones como
12
Prólogo
la expectativa razonable de privacidad, las medidas proactivas de cumplimiento, el principio de responsabilidad (en inglés, “accountability”), la posibilidad de que el titular de los datos y el responsable sometan a conciliación las diferencias que tengan en materia de derechos de acceso, rectificación, cancelación y oposición, además de haber apostado claramente por los esquemas de autorregulación. Fueron también necesarias varias reformas constitucionales torales. La primera de ellas, la del artículo 73 constitucional, publicada en el Diario Oficial de la Federación de 30 de abril de 2009 y en virtud de la que se adicionó la fracción XXIX-O que otorgaba al Congreso la facultad exclusiva para legislar en materia de protección de datos personales en posesión de los particulares. Esto supuso que quedaran sin efecto las leyes que ya habían publicado en la materia los Estados de Colima, Jalisco, Querétaro y Tlaxcala. Y la segunda reforma fue la del segundo párrafo del artículo 16, publicada en el Diario Oficial de la Federación de 1 de junio de 2009, en virtud de la que se reconocía expresamente el derecho fundamental a la protección de datos personales, indicando lo siguiente: “Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.” Finalmente, el 5 de julio de 2010 se publicó en el Diario Oficial de la Federación la Ley Federal de Protección de Datos Personales en Posesión de los Particulares a la que seguiría su Reglamento, publicado en el Diario Oficial de la Federación de 21 de diciembre de 2011. La publicación de estas normas significa que México cuente ya con una normatividad general sobre el derecho fundamental a la protección de datos personales en el sector privado, elevada a la categoría de derecho humano en virtud de la reforma de la modificación del Capítulo I del Título Primero de la Constitución Política de los Estados Unidos Mexicanos, publicada en el Diario Oficial de la Federación de 10 de junio de 2011. Dicha normatividad general se ve complementada, en su caso, por otra normatividad específica que también es necesario tener en consideración y que se debe interpretar y aplicar de conformidad con aquélla. En este sentido, cabe destacar, por ejemplo, la Ley General de Salud, que regula algunos aspectos relativos a protección de datos personales sobre el genoma humano en su artículo 103 bis, publicada en el Diario Oficial de la Federación de 7 de febrero de 1984; la Ley de Protección al Consumidor, que se refiere específicamente a la protección de datos personales de los consumidores en sus artículos 16 a 18 bis y 76 bis; publicada en el Diario Oficial de la Federación de 24 de diciembre de 1992; la Ley de Protección y Defensa al Usuario de Servicios Financieros, que dedica a esta materia sus artículos 8, 13 y 94, fracción XII, y que fue publicada en el Diario Oficial de la Federación de 18 de Enero de 1999; así como la Ley para Regular las Sociedades de Información Crediticia, publicada en el Diario Oficial de la Federación de 15 de enero de 2002. Por tanto, nos encontramos ya ante una pluralidad de normas que amerita la elaboración de un
Prólogo
13
Código que sirva como herramienta de trabajo o referencia para los profesionistas del Derecho que se dedican o que están interesados en esta materia. No obstante, todavía quedan pendientes acontecimientos y regulaciones relevantes, como por ejemplo el hecho de que la Comisión Europea pueda reconocer el nivel adecuado de protección de datos personales a México, la publicación de los parámetros necesarios para el correcto desarrollo de los mecanismos y medidas de autorregulación previstos en la fracción V, del artículo 43 de la Ley, o la aproximación que, en su caso, se siga en áreas como telecomunicaciones y comunicaciones electrónicas, datos relativos a la salud, etc. La elaboración de un Código, como el presente, no podía olvidar la realidad que afrontó México en la elaboración y promulgación de su Ley de Protección de Datos Personales en Posesión de los Particulares y es por ello que se han incluido también las principales normas e instrumentos jurídicos internacionales en materia de protección de datos de carácter personal. En concreto, el Código incluye, entre otras, el Marco de Privacidad del Foro de Cooperación Económica Asia-Pacífico (APEC); el Convenio Nº 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal; la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, publicada en el Diario Oficial nº L 281, de 23 de noviembre de 1995; los Estándares internacionales para la protección de la privacidad en relación con el tratamiento de datos de carácter personal (Resolución de Madrid), adoptada el 5 de noviembre de 2009, y la Resolución 45/95 de la Organización de las Naciones Unidas, de 14 de Diciembre de 1990, sobre los principios rectores sobre la reglamentación de los ficheros computadorizados de datos personales. El Código de Protección de Datos Personales, fruto de la colaboración de dos despachos de abogados especializados en la materia, Piñas Mañas & Asociados y Global Data Protection Consulting, no se limita a reproducir el texto de las normatividades nacionales e internacionales en protección de datos personales, sino que busca que quienes lo vayan a utilizar puedan contar con una obra de gran utilidad. Es por ello que el articulado de las normas que se han seleccionado incluyen referencias, ya sean interrelaciones entre los diferentes artículos y normatividades que se presentan, así como anotaciones y comentarios que resultan necesarias para analizar cuestiones específicas o conocer la regulación relevante en la materia, tanto nacional como internacional. El Código incluye también dos índices que facilitarán su consulta y utilización. Por un lado, un índice cronológico de la normatividad publicada en México en materia de protección de datos personales o relacionada con la misma y cuya referencia resulta necesaria. Y, por otro lado, un índice analítico que presenta los conceptos clave de manera que quien haga uso del mismo pueda localizarlos rápidamente a lo largo del articulado de cada una de las normas. En definitiva, esperamos que el Código de Protección de Datos Personales sea de gran utilidad, cumpliendo así los objetivos que se fijaron sus autores, y que irá
14
Prólogo
actualizándose conforme al desarrollo normativo que se produzca tanto en México como a nivel internacional en materia de regulación del derecho fundamental a la protección de datos personales. Miguel Recio Gayo Global Data Protection Consulting
José Luis Piñar Mañas Piñar Mañas & Asociados México, D.F., Diciembre de 2012
ยง1. Normativa nacional
§1.1. Constitución Política de los Estados Unidos Mexicanos (artículos 1, 6, 16 y 73, fracción XIX-O) TÍTULO PRIMERO CAPÍTULO I. De los Derechos Humanos y sus Garantías Artículo 1º. En los Estados Unidos Mexicanos todas las personas gozarán de los derechos humanos reconocidos en esta Constitución y en los tratados internacionales de los que el Estado Mexicano sea parte, así como de las garantías para su protección, cuyo ejercicio no podrá restringirse ni suspenderse, salvo en los casos y bajo las condiciones que esta Constitución establece. Las normas relativas a los derechos humanos se interpretarán de conformidad con esta Constitución y con los tratados internacionales de la materia favoreciendo en todo tiempo a las personas la protección más amplia. Todas las autoridades, en el ámbito de sus competencias, tienen la obligación de promover, respetar, proteger y garantizar los derechos humanos de conformidad con los principios de universalidad, interdependencia, indivisibilidad y progresividad. En consecuencia, el Estado deberá prevenir, investigar, sancionar y reparar las violaciones a los derechos humanos, en los términos que establezca la ley. (…) Queda prohibida toda discriminación motivada por origen étnico o nacional, el género, la edad, las discapacidades, la condición social, las condiciones de salud, la religión, las opiniones, las preferencias sexuales, el estado civil o cualquier otra que atente contra la dignidad humana y tenga por objeto anular o menoscabar los derechos y libertades de las personas. ➮ Véase el Decreto por el que se modifica la denominación del Capítulo I del Título Primero y reforma diversos artículos de la Constitución Política de los Estados Unidos Mexicanos, publicado en el Diario Oficial de la Federación de 10 de Junio de 2011.
[…] Artículo 6º. La manifestación de las ideas no será objeto de ninguna inquisición judicial o administrativa, sino en el caso de que ataque a la moral, los derechos de tercero, provoque algún delito, o perturbe el orden público; el derecho de réplica será ejercido en los términos dispuestos por la ley. El derecho a la información será garantizado por el Estado. Para el ejercicio del derecho de acceso a la información, la Federación, los Estados y el Distrito Federal, en el ámbito de sus respectivas competencias, se regirán por los siguientes principios y bases:
18
§1.1. Constitución Política de los Estados Unidos Mexicanos
I. Toda la información en posesión de cualquier autoridad, entidad, órgano y organismo federal, estatal y municipal, es pública y sólo podrá ser reservada temporalmente por razones de interés público en los términos que fijen las leyes. En la interpretación de este derecho deberá prevalecer el principio de máxima publicidad. II. La información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que fijen las leyes. III. Toda persona, sin necesidad de acreditar interés alguno o justificar su utilización, tendrá acceso gratuito a la información pública, a sus datos personales o a la rectificación de éstos. IV. Se establecerán mecanismos de acceso a la información y procedimientos de revisión expeditos. Estos procedimientos se sustanciarán ante órganos u organismos especializados e imparciales, y con autonomía operativa, de gestión y de decisión. V. Los sujetos obligados deberán preservar sus documentos en archivos administrativos actualizados y publicarán a través de los medios electrónicos disponibles, la información completa y actualizada sobre sus indicadores de gestión y el ejercicio de los recursos públicos. VI. Las leyes determinarán la manera en que los sujetos obligados deberán hacer pública la información relativa a los recursos públicos que entreguen a personas físicas o morales. VII. La inobservancia a las disposiciones en materia de acceso a la información pública será sancionada en los términos que dispongan las leyes. ➮ Véase el Decreto por el que se adiciona un segundo párrafo con siete fracciones al artículo 6º de la Constitución Política de los Estados Unidos Mexicanos, publicado en el Diario Oficial de la Federación de 20 de Julio de 2007.
[…] Artículo 16. Nadie puede ser molestado en su persona, familia, domicilio, papeles o posesiones, sino en virtud de mandamiento escrito de la autoridad competente, que funde y motive la causa legal del procedimiento. Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros. ➮ Véase el Decreto por el que se adiciona un segundo párrafo, recorriéndose los subsecuentes en su orden, al artículo 16 de la Constitución Política de los Estados Unidos Mexicanos, publicado en el Diario Oficial de la Federación de 1 de Junio de 2009.
[…] Artículo 73. El Congreso tiene facultad:
§1.1. Constitución Política de los Estados Unidos Mexicanos
19
[…] XXIX-O. Para legislar en materia de protección de datos personales en posesión de particulares. ➮ Véase el Decreto por el que se adiciona la fracción XXIX-O al artículo 73 de la Constitución Política de los Estados Unidos Mexicanos, publicado en el Diario Oficial de la Federación de 30 de Abril de 2009.
§1.2. Ley de Protección de Datos Personales en Posesión de los Particulares (Diario Oficial de la Federación de 5 de Julio de 2010) DECRETO “EL CONGRESO GENERAL DE LOS ESTADOS UNIDOS MEXICANOS, DECRETA: SE EXPIDE LA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES Y SE REFORMAN LOS ARTÍCULOS 3, FRACCIONES II Y VII, Y 33, ASÍ COMO LA DENOMINACIÓN DEL CAPÍTULO II, DEL TÍTULO SEGUNDO, DE LA LEY FEDERAL DE TRANSPARENCIA Y ACCESO A LA INFORMACIÓN PÚBLICA GUBERNAMENTAL. ARTÍCULO PRIMERO. Se expide la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES CAPÍTULO I. Disposiciones Generales Artículo 1.– La presente Ley es de orden público y de observancia general en toda la República y tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. ➮ Véanse los artículo 1 y 16 de la Constitución en la §1.1 de este Código. ➮ Véase el artículo 6 de la Ley. ➮ Véanse el ámbito objetivo de aplicación (art. 3); el ámbito territorial de aplicación (art. 4) y la información de personas físicas con actividad comercial y datos de representación y contacto (art. 6) del Reglamento en la §1.3 de este Código. ➮ Véase el artículo 9 del Reglamento en la §1.3 de este Código. ➮ Para el sector público, véase la Ley de Transparencia y Acceso a la Información Pública Gubernamental, publicada en el Diario Oficial de la Federación de 11 de Junio de 2002, en la §1.11 de este Código; así como los Lineamientos de Protección de Datos Personales, publicados en el Diario Oficial de la Federación de 30 de Septiembre de 2005, en la §1.12 de este Código.
Artículo 2.– Son sujetos regulados por esta Ley, los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, con excepción de: I. Las sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables, y
22
§1.2. Ley de Protección de Datos Personales en Posesión de los Particulares
➮ Véase la Ley para Regular las Sociedades de Información Crediticia, Diario Oficial de la Federación de 15 de Enero de 2002, en la §1.7 de este Código.
II. Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial. ➮ Véase el artículo 6 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (el Reglamento), en la §1.3 de este Código.
Artículo 3.– Para los efectos de esta Ley, se entenderá por: I. Aviso de Privacidad: Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley. ➮ Véase el artículo 15 de la Ley. ➮ Véanse las características del aviso de privacidad en el artículo 24 del Reglamento. §1.3 de este Código. ➮ Véase la Guía Práctica para Generar el Aviso de Privacidad. Instituto Federal de Acceso a la Información Pública y Secretaría de Economía. Junio de 2011. Disponible en http://www.ifai.org.mx
II. Bases de datos: El conjunto ordenado de datos personales referentes a una persona identificada o identificable. ➮ Véanse la definición de persona física identificable en el artículo 2, fracción VIII y el artículo 3, párrafos primero y segundo del Reglamento en la §1.3 de este Código. ➮ Véase la definición de base de datos en el apartado 3.6 de la Norma Oficial Mexicana NOM-024-SSA3-2010, Que establece los objetivos funcionales y funcionalidades que deberán observar los productos de Sistemas de Expediente Clínico Electrónico para garantizar la interoperabilidad, procesamiento, interpretación, confidencialidad, seguridad y uso de estándares y catálogos de la información de los registros electrónicos en salud, publicada en el Diario Oficial de la Federación de 8 de Septiembre de 2010, en la §1.9 de este Código.
III. Bloqueo: La identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de éstas. Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a su cancelación en la base de datos que corresponde. ➮ Véase la definición de supresión en el artículo 2, fracción XII y los artículos 37, 38, 107 y 108 del Reglamento en la §1.3 de este Código.
IV. Consentimiento: Manifestación de la voluntad del titular de los datos mediante la cual se efectúa el tratamiento de los mismos. ➮ Véanse las características del consentimiento en el artículo 12 del Reglamento. §1.3 de este Código.
§1.2. Ley de Protección de Datos Personales en Posesión de los Particulares
23
V. Datos personales: Cualquier información concerniente a una persona física identificada o identificable. ➮ Véase el último párrafo del artículo 3, del Reglamento, que indica: “En términos del artículo 3, fracción V de la Ley, los datos personales podrán estar expresados en forma numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, concerniente a una persona física identificada o persona física identificable.” §1.3 de este Código. ➮ Véase la definición de datos personales en el apartado 3.11 de la Norma Oficial Mexicana NOM-024-SSA3-2010, Que establece los objetivos funcionales y funcionalidades que deberán observar los productos de Sistemas de Expediente Clínico Electrónico para garantizar la interoperabilidad, procesamiento, interpretación, confidencialidad, seguridad y uso de estándares y catálogos de la información de los registros electrónicos en salud, publicada en el Diario Oficial de la Federación de 8 de Septiembre de 2010, en la §1.9 de este Código.
VI. Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual. ➮ Véase el artículo 1 de la Constitución en la §1.1 de este Código. ➮ Véase el artículo 9, párrafo segundo de la Ley. ➮ Véase el artículo 56, Supuestos para la creación de bases de datos personales sensibles, del Reglamento en la §1.3 de este Código.
VII. Días: Días hábiles. VIII. Disociación: El procedimiento mediante el cual los datos personales no pueden asociarse al titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo. IX. Encargado: La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable. ➮ Véanse los artículos 8 y 49 del Reglamento en la §1.3 de este Código.
X. Fuente de acceso público: Aquellas bases de datos cuya consulta puede ser realizada por cualquier persona, sin más requisito que, en su caso, el pago de una contraprestación, de conformidad con lo señalado por el Reglamento de esta Ley. ➮ Véase el artículo 7 del Reglamento en la §1.3 de este Código.
XI. Instituto: Instituto Federal de Acceso a la Información y Protección de Datos, a que hace referencia la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental. ➮ Véase el Capítulo II, artículos 33 a 39, de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, Diario Oficial de la Federación de 11 de Junio de 2002 en la §1.11 de este Código. ➮ Véase más información sobre el IFAI en http://www.ifai.org.mx
24
§1.2. Ley de Protección de Datos Personales en Posesión de los Particulares
XII. Ley: Ley Federal de Protección de Datos Personales en Posesión de los Particulares. XIII. Reglamento: El Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. ➮ Véase el Reglamento en la §1.3 de este Código.
XIV. Responsable: Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales. ➮ Véase el artículo 8 del Reglamento en la §1.3 de este Código.
XV. Secretaría: Secretaría de Economía. ➮ Véanse los artículos 41 a 43 de la Ley. ➮ Véase más información sobre la Secretaría de Economía en http://www.economia. gob.mx
XVI. Tercero: La persona física o moral, nacional o extranjera, distinta del titular o del responsable de los datos. XVII. Titular: La persona física a quien corresponden los datos personales. ➮ Véase la definición de persona física identificable en la fracción VIII, del artículo 2, del Reglamento en la §1.3 de este Código.
XVIII. Tratamiento: La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales. XIX. Transferencia: Toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento. ➮ Véase la definición de remisión en la fracción XII, del artículo 2, del Reglamento en la §1.3 de este Código. ➮ Véanse las definiciones en el artículo 2 del Reglamento en la §1.3 de este Código.
Artículo 4.– Los principios y derechos previstos en esta Ley, tendrán como límite en cuanto a su observancia y ejercicio, la protección de la seguridad nacional, el orden, la seguridad y la salud públicos, así como los derechos de terceros. ➮ Véase el párrafo segundo, del artículo 16, de la Constitución en la §1.1 de este Código. ➮ Véase el artículo 56, fracción II del Reglamento en la §1.3 de este Código. ➮ Véase la Ley de Seguridad Nacional, publicada en el Diario Oficial de la Federación de 31 de Enero de 2005; última reforma publicada en el Diario Oficial de la Federación de 26 de Diciembre de 2005. ➮ Véase la Ley General de Salud, publicada en el Diario Oficial de la Federación de 7 de Febrero de 1984; última reforma publicada en el Diario Oficial de la Federación de 30 de Enero de 2012.
Artículo 5.– A falta de disposición expresa en esta Ley, se aplicarán de manera supletoria las disposiciones del Código Federal de Procedimientos Civiles y de la Ley Federal de Procedimiento Administrativo.
§1.2. Ley de Protección de Datos Personales en Posesión de los Particulares
25
Para la substanciación de los procedimientos de protección de derechos, de verificación e imposición de sanciones se observarán las disposiciones contenidas en la Ley Federal de Procedimiento Administrativo. ➮ Véanse en la Ley los artículos 45 a 58 sobre el procedimiento de protección de derechos, los artículos 59 y 60 sobre el procedimiento de verificación y los artículos 61 y 62 sobre el procedimiento de imposición de sanciones. ➮ Véanse en el Reglamento, en la §1.3 de este Código, los artículos 113 a 127 sobre el procedimiento de protección de derechos, los artículos 128 a 139 sobre el procedimiento de verificación y los artículos 140 a 144 sobre el procedimiento de imposición de sanciones. ➮ Véanse el Código Federal de Procedimientos Civiles, publicado en el Diario Oficial de la Federación de 24 de Febrero de 1943, última reforma publicada en el Diario Oficial de la Federación de 16 de Enero de 2012, y la Ley Federal de Procedimiento Administrativo, publicada en el Diario Oficial de la Federación de 4 de Agosto de 1994, última reforma publicada en el Diario Oficial de la Federación de 15 de Diciembre de 2011.
CAPÍTULO II. De los Principios de Protección de Datos Personales ➮ Véase el Capítulo II, artículos 9 a 56, del Reglamento en la §1.3 de este Código.
Artículo 6.– Los responsables en el tratamiento de datos personales, deberán observar los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, previstos en la Ley. ➮ Véanse los artículos 9 y 47 del Reglamento en la §1.3 de este Código.
Artículo 7.– Los datos personales deberán recabarse y tratarse de manera lícita conforme a las disposiciones establecidas por esta Ley y demás normatividad aplicable. La obtención de datos personales no debe hacerse a través de medios engañosos o fraudulentos. ➮ Véanse el último párrafo del artículo 7 y el artículo 44 del Reglamento en la §1.3 de este Código.
En todo tratamiento de datos personales, se presume que existe la expectativa razonable de privacidad, entendida como la confianza que deposita cualquier persona en otra, respecto de que los datos personales proporcionados entre ellos serán tratados conforme a lo que acordaron las partes en los términos establecidos por esta Ley. Artículo 8.– Todo tratamiento de datos personales estará sujeto al consentimiento de su titular, salvo las excepciones previstas por la presente Ley. ➮ Véanse los artículos 10 y 37 de la Ley. ➮ Véase el artículo 11 del Reglamento en la §1.3 de este Código.
El consentimiento será expreso cuando la voluntad se manifieste verbalmente, por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos.
26
§1.2. Ley de Protección de Datos Personales en Posesión de los Particulares
➮ Véase los artículos 12, 15, 16, 18 y 19 del Reglamento en la §1.3 de este Código.
Se entenderá que el titular consiente tácitamente el tratamiento de sus datos, cuando habiéndose puesto a su disposición el aviso de privacidad, no manifieste su oposición. ➮ Véanse los artículos 13, 14 y 17, segundo párrafo del Reglamento en la §1.3 de este Código.
Los datos financieros o patrimoniales requerirán el consentimiento expreso de su titular, salvo las excepciones a que se refieren los artículos 10 y 37 de la presente Ley. ➮ Véanse los artículos 10 y 37 de la Ley. ➮ Véase el artículo 15, fracción segunda, del Reglamento en la §1.3 de este Código.
El consentimiento podrá ser revocado en cualquier momento sin que se le atribuyan efectos retroactivos. Para revocar el consentimiento, el responsable deberá, en el aviso de privacidad, establecer los mecanismos y procedimientos para ello. ➮ Véase el artículo 21 del Reglamento en la §1.3 de este Código. ➮ Véase el artículo 26 del Reglamento en la §1.3 de este Código.
Artículo 9.– Tratándose de datos personales sensibles, el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca. ➮ Véase la definición de datos personales sensibles en la fracción VI, del artículo 3, de la Ley. ➮ En relación con la firma electrónica, véanse los artículos 89 a 99 del Código de Comercio y la Ley de Firma Electrónica Avanzada, publicada en el Diario Oficial de la Federación de 11 de Enero de 2012.
No podrán crearse bases de datos que contengan datos personales sensibles, sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el sujeto regulado. ➮ Véase el artículo 56 del Reglamento en la §1.3 de este Código.
Artículo 10.– No será necesario el consentimiento para el tratamiento de los datos personales cuando: I. Esté previsto en una Ley; II. Los datos figuren en fuentes de acceso público; ➮ Véase la definición de fuentes de acceso público en el artículo 3, fracción X de la Ley. ➮ Véase el artículo 7 del Reglamento en la §1.3 de este Código.