CRÉDITOS
CRÉDITOS
DIRECCIÓN Manuel Asensi Pérez (Catedrático de Teoría de la literatura y de la Literatura C València)
DIRECTOR COORDINACIÓN Peláez Malagón JulioJosé CésarEnrique Vázquez-Mellado García (Profesor de Teoría de la literatura y de la Literatura C València) MESA DE REDACCIÓN AYUDANTE DE LA COORDINACIÓN: Carlos Báez Silva Miguel Bonilla LópezCrespo Bernardo N. Llobell David Cienfuegos Salgado Edgar Corzo Sosa Y CONTACTO INTERCAMBIOS Estrada Michel J. Rafael Enrique Peláez Malagón Roxana Peñaflor Sánchez jose.pelaez@uv.es Carlos Ríos Espinosa
EDITORES EDITA
TIRANT LO BLANCH MÉXICO Río Tiber 66, PH Colonia Cuauhtémoc Delegación Cuauhtémoc CP 06500 MÉXICO D.F. Telf.: (55) 65502317 infomex@tirant.com http://www.tirant.com/mex/ Editorial Tirant lo Blanch http://www.tirantonline.com.mx www.tirant.es biblioteca.tirant.com.mx 46010 Valencia Tirant lo Blanch libros ISSN: 2387-0044
Artes gráficas 14, Bajo dcha. Tels. 0034-963610048/50 Las opiniones vertidas en los artículos son responsabilidad única y exclusiva de sus autores. Fax. 0034-963694151
Universit departam lenguajes Facultat d Comunica Av. Blasc 46010 Va
JUEZ. Cuadernos de investigación Nº 3 2015 CONSEJO EDITORIAL Alicia Azzolini Bincaz (Argentina) Michelangelo Bovero (Italia) Carlos María Cárcova (Argentina) José Antonio Caballero Juárez (México) José Luis Caballero Ochoa (México) José Ramón Cossío (México) Javier Ezquiaga (España) Eduardo Ferrer MacGregor (México) Héctor Fix Fierro (México) Marina Gascón (España) Riccardo Guastini (Italia) Mario Jori (Italia) Luis López Guerra (España) Javier de Lucas (España) Juan José Olvera López (México) Sergio Pallares (México) Anna Pintore (Italia) Pedro Salazar Ugarte (México) Miguel Sarre (México) Boaventura de Sousa Santos (Portugal) Tomás S. Vives Antón (España) Raúl Zaffaroni (Argentina) Elisur Arteaga (México) Elena Azaola (México) Jorge Cerdio (México) Alejandro González (México) Pablo González (México) Luis González Placencia (México) Juan Abelardo Hernández Franco (México) Benito Nacif (México) Loretta Ortiz Ahlf (México) Miguel Pérez López (México) Rodolfo Vázquez (México)
INVITACIÓN Se convoca a funcionarios judiciales, académicos y demás interesados, a presentar trabajos para la integración de los números 3, de la revista Juez. Cuadernos de Investigación, correspondiente al primer semestre (Verano) de 2016, acorde con los normas editoriales que a continuación se expresan. La fecha límite de envío de colaboraciones es el 30 de enero de 2016. NORMAS EDITORIALES 1. Juez. Cuadernos de investigación recibe permanentemente colaboraciones de jueces, profesores e investigadores, de todo el mundo, vinculados a la investigación académica en torno a las características, funcionamiento, normas, procedimientos, fuentes y consecuencias del quehacer judicial. Admite trabajos originales, inéditos en español, inglés, francés, portugués o italiano, que no hayan sido propuestos simultáneamente a otras revistas. Se otorga preferencia a artículos de investigación y reflexiones que impliquen aportes novedosos para las disciplinas vinculadas con el discurso y la práctica judicial, pero admite también reseñas bibliográficas, traducciones, entrevistas y notas críticas que coadyuven a la divulgación de los temas concernientes al desempeño judicial. 2. El original debe entregarse por escrito en un procesador de palabras compatibles con Word para Windows, en tamaño carta y a doble espacio. De preferencia se ruega usar Arial de 11 puntos, o similares, y no utilizar formato para el texto. 3. Los artículos de investigación deberán tener un máximo de cuarenta cuartillas, incluidos cuadros, gráficas y la bibliografía. Sólo excepcionalmente, y mediante una decisión expresa de la Mesa de Redacción, se publicarán trabajos de extensión mayor. Deberán también contener un resumen en español no mayor de 250 palabras inclusive y de ser posible, otro de las mismas características en inglés. El trabajo deberá de enunciar 3 o 4 descriptores (palabras clave) que informen sobre el área del contenido del trabajo. 4. Los cuadros podrán intercalarse en el texto, pero las gráficas deberán anexarse por separado, indicando en el cuerpo del texto el lugar exacto en el que deberán imprimirse. De preferencia, se ruega envíen las gráficas en Excel para Windows; de no ser así será necesario especificar el archivo utilizado, y su impresión quedará supeditada a la disponibilidad de acceso a los archivos correspondientes. 5. Las traducciones deberán serlo de artículos de investigación o, en todo caso, de textos que por su relevancia científica ameriten su divulgación en la comunidad de investigadores del poder judicial de habla hispana. En todo caso, se harán acompañar de la autorización expresa del autor y/o de la editorial que publicó la versión en lengua original.
6. Las notas críticas y las entrevistas deberán tener una extensión máxima de 10 cuartillas y las reseñas bibliográficas un máximo de cinco. Éstas últimas deben discutir textos de reciente aparición que puedan ser de interés en el área de especialidad de la revista y deben contener referencia bibliográfica completa del texto con el formato: Autor (año). Título. Lugar: Casa Editorial, número de páginas. 7. Los autores podrán utilizar el sistema de referencias dominante en el área de su especialidad, pero indefectiblemente deberán incluir una bibliografía completa, en estricto orden alfabético al final del texto. 8. Los autores deberán anexar una breve reseña curricular, incluyendo nombre, dirección postal y electrónica, cargo e institución en la que trabajan. 9. La aprobación de los artículos correrá a cargo del Comité Editorial y tendrá como sustento el dictamen de reconocidos especialistas mexicanos y extranjeros, con el objeto de garantizar la calidad de la revista. 10. Los dictámenes son anónimos, rigurosos e inapelables. Cada artículo es dictaminado por dos árbitros especialistas y, en caso de existir controversia, se somete a un tercero cuya decisión se considera definitiva. Cuando un artículo haya merecido un dictamen aprobatorio, pero no esté presentado conforme a las reglas editoriales, podrá ser regresado a su autor para que lo adecúe, supeditando su publicación a la entrega del original modificado. 11. La Mesa de Redacción enviará al autor acuse de recibo del artículo en el plazo de un mes posterior al momento de su recepción, así como el resultado del dictamen en un plazo no mayor de tres meses desde la misma fecha. En casos excepcionales, este plazo podrá extenderse, a juicio del Comité Editorial.La Mesa de Redacción no devolverá los originales que no le sean solicitados. 12. El envío de materiales puede hacerse por vía e-mailrevista.juez@gmail.com o bien entregarse en versión impresa, incluyendo el archivo electrónico del artículo en CD o en una memoria USB, en la dirección: Revista Juez Mesa de Redacción Arquitectura 41-4 Col. Copilco Universidad 04360, Coyoacán Distrito Federal, México
ESTUDIOS
ESTÁNDARES Y RECOMENDACIONES PARA LA PROTECCIÓN DE DATOS PERSONALES EN EL CÓMPUTO EN LA NUBE. SU APLICACIÓN AL CASO DEL REGISTRO NACIONAL DE VÍCTIMAS EN MÉXICO1 María Solange Maqueo Ramírez2 Jimena Moreno González3 Miguel Recio Gayo4
Sumario: I. Introducción. II. El Registro Nacional de Víctimas (RENAVI). 1. Funciones y objetivos del RENAVI. 2. Fuentes y contenido de la información proporcionada al RENAVI. 3. La CEAV como responsable de datos personales. III. Información a los titulares de los datos personales. 1. Previsiones normativas y otras referencias sobre la leyenda informativa o el aviso de privacidad. 2. Requisitos y contenido de la leyenda o aviso de privacidad. 3. Modelo de leyenda o aviso de privacidad para la CEAV. IV. El cómputo en la nube y recomendaciones prácticas. 1. Ventajas y riesgos del cómputo en la nube. 2. Requisitos generales en las relaciones con los encargados
1
Este artículo es una versión revisada y modificada sustantivamente del Proyecto de Investigación “Elaboración de un modelo contractual, leyendas y otras recomendaciones jurídicas dirigidas a los responsables y encargados del tratamiento de datos personales en el cómputo en la nube”, realizado por el Centro de Investigación y Docencia Económicas, A.C. para la Comisión Ejecutiva de Atención a Víctimas (CEAV), en el marco del Convenio FSGJ/137/2014, celebrado el 3 de noviembre de dos mil catorce. 2 Abogada por la Escuela Libre de Derecho en México. Maestra y Doctora en Derecho por la Universidad de Salamanca, España. Profesora Investigadora Titular de la División de Estudios Jurídicos del Centro de Investigación y Docencia Económicas (CIDE). Correo electrónico: maria.maqueo@cide.edu 3 Abogada por la Universidad Nacional Autónoma de México. Maestra en Derecho por el Instituto Tecnológico Autónomo de México. Coordinadora de la Licenciatura en Derecho de la División de Estudios Jurídicos del Centro de Investigación y Docencia Económicas (CIDE). Correo electrónico: jimena.moreno@cide.edu 4 Licenciado en Derecho por la Facultad de Derecho de la Universidad Carlos III de Madrid en España. Maestro en Protección de Datos, Transparencia y Acceso a la Información por la Universidad CEU-San Pablo, España, y DEA (LLM) en Derecho de la Propiedad Intelectual por la George Washington University Law School en los EE.UU. Abogado en ejercicio del Ilustre Colegio de Abogados de Madrid. Correo electrónico: mrecio@globaldpc.com
María Solange Maqueo Ramírez / Jimena Moreno González / Miguel Recio Gayo
del tratamiento. 3. Recomendaciones prácticas para el cómputo en la nube. A) Personal capacitado y conocimientos suficientes. B) Normas de calidad. C) Control de acceso. V. Conclusiones generales. Referencias.
Juez 2015 Nº 3
I. INTRODUCCIÓN Actualmente el derecho fundamental a la protección de datos personales en México está atravesando por importantes cambios derivados, fundamentalmente, de la reforma a los artículos 6o. y 73, fracc. XXIX-S, entre otros, de la Constitución Política de los Estados Unidos Mexicanos, publicada en el Diario Oficial de la Federación el 7 de febrero de 2014. Esta reforma ha supuesto la búsqueda de estándares homogéneos de protección mediante el establecimiento de principios, bases y procedimientos comunes, no sólo entre los distintos órdenes de gobierno (sea federal, estatal o municipal), sino también entre los distintos poderes y órganos constitucionales autónomos. De tal manera que con dicha reforma se pretende que no existan diferencias importantes en los niveles de protección de los individuos respecto de sus datos personales, con independencia del lugar en el que se encuentre la información dentro del territorio nacional o del responsable del tratamiento de carácter público de los datos personales. Así pues, el análisis que se efectúa en el presente artículo si bien está dirigido a un caso específico como es el Registro Nacional de Víctimas, administrado por un organismo de la Administración Pública Federal (esto es, la Comisión Ejecutiva de Atención a Víctimas), podría ser de interés para otras entidades u órganos gubernamentales, incluyendo a los órganos jurisdiccionales, especialmente si éstos manejan bases de datos personales sensibles y requieren de compartir la información con otras instancias para el desempeño de sus funciones. En concreto se abordan dos cuestiones relacionadas con el tratamiento de datos personales en el Registro Nacional de Víctimas. La primera de ellas hace referencia al cumplimiento del principio de información en la protección de datos personales. Para tales efectos se elabora una propuesta de leyenda o aviso de privacidad que cumpla con los requisitos establecidos por la normatividad federal en la materia, así como con otras prácticas dirigidas a reconocer el carácter sensible de la información contenida en dicho Registro. La segunda, por su parte, establece ciertos estándares y recomendaciones que permitan adoptar, en su caso, el cómputo en la nube a fin de participar de las ventajas 12
Estándares y recomendaciones para la protección de datos personales en el cómputo en la nube…
que ello supone, pero sin desconocer sus riesgos, en particular, respecto de la confidencialidad de los datos. Cabe advertir que el término confidencialidad se adopta en este artículo en un sentido amplio, por lo que comprende tanto la seguridad como la protección de datos personales.
II. EL REGISTRO NACIONAL DE VÍCTIMAS (RENAVI)
En México, de conformidad con la reciente Ley General de Víctimas (en adelante, LGV), publicada en el Diario Oficial de la Federación de 9 de enero de 2013 y modificada el 3 de mayo de ese mismo año, se crea la Comisión Ejecutiva de Atención a Víctimas (en lo sucesivo, CEAV), como un organismo descentralizado de la Administración Pública Federal, no sectorizado, con personalidad jurídica y patrimonio propio. Entre sus funciones se encuentra la creación y gestión de un Registro Nacional de Víctimas (RENAVI), concebido como un “apoyo administrativo y técnico que soporte todo el proceso de ingreso y registro de las víctimas del delito y de violaciones a los derechos humanos” (Peralta-Varela, p. 145). De esta forma, el RENAVI tiene por objeto integrar, desarrollar y consolidar la información sobre las víctimas a nivel nacional que permita orientar políticas, programas, planes, entre otros, así como permitir a las víctimas un acceso efectivo a sus derechos, entre los que se comprenden servicios jurídicos, de salud y, en general, de atención y asistencia, prestados por diversas instancias en todo el territorio mexicano (artículos 44 y 88, fracción XXVI de la LGV)5.
5
En palabras de Hernán Garza (2015, p. 2), “[t]he National Registry of Victims is a fundamental component of CEAV´s mandate. It is a mechanism that serves two core purposes: First, to ensure that victims have timely and effective access to guarantees foreseen in the law; and second, to serve as a platform to integrate, develop and consolidate information on victims in order to guide policies, plans and other initiatives in their favor and for the prevention of crimes and human rights violations”. [Lo que puede traducirse como “[e]l Registro Nacional de Víctimas es un componente fundamental del mandato de la CEAV. Es un mecanismo que sirve a dos finalidades esenciales. Primero, para asegurar que las víctimas tienen un acceso en tiempo y efectivo a las garantías previstas en la ley; y segundo, para servir como una plataforma para integrar, desarrollar y consolidar la información sobre las víctimas para orientar políticas públicas, planes y otras iniciativas en su favor y para la prevención de delitos y violaciones a los derechos humanos”]. 13
Juez 2015 Nº 3
1. Funciones y objetivos del RENAVI
María Solange Maqueo Ramírez / Jimena Moreno González / Miguel Recio Gayo
Juez 2015 Nº 3
En ese sentido, el RENAVI concentra información de las víctimas a nivel nacional y, con ello, facilita su intercambio entre los distintos actores que participan tanto en la planeación y conformación de políticas públicas de atención a las víctimas, como en la prestación de los servicios a que se refiere la citada Ley. En consecuencia, este Registro tiene un componente público importante —relativo a la información en términos agregados que permiten la toma de decisiones a un nivel macro, sin necesidad de identificar a personas concretas6— y un componente privado —que permite individualizar a las víctimas con el objeto de darles seguimiento y revisión a sus casos—. De igual forma, el RENAVI cumple una función relevante en cuanto a la necesaria coordinación entre la CEAV y los demás actores gubernamentales involucrados en la atención de las víctimas en los tres niveles de gobierno, entre los que podrían considerarse tanto a los miembros del Sistema Nacional de Seguridad Pública, entre los que se encuentran representantes de los poderes ejecutivo, legislativo y judicial (artículo 82 de la LGV), como a los integrantes del Sistema Nacional de Atención a Víctimas propiamente dicho, como es el caso de las comisiones ejecutivas locales. Así, el intercambio de información de manera ágil se constituye en un pilar necesario para la operación eficiente del Sistema y el cumplimiento efectivo de las funciones que cada uno de estos actores tiene encomendadas. A todo lo anterior se añaden las ventajas que supone la disponibilidad de la información confiable y actualizada entre las distintas autoridades, a efectos de evitar duplicidades tanto administrativas en la prestación de servicios, como en el acceso por parte de las víctimas a los recursos del Fondo de Ayuda, Asistencia y Reparación Integral7. De hecho, cabe decir que para poder acceder a estos recursos, las víctimas requieren de estar inscritas en el RENAVI.
6
Ciertamente, al constituirse en una base de datos abiertos, también presenta la ventaja de brindar información a la sociedad en general y, con ello, participa del elemento democratizador de la transparencia y el acceso a la información. 7 El Fondo de Ayuda, Asistencia y Reparación Integral se crea con el objeto de poder compensar a las víctimas de delitos del orden federal y de violaciones a los derechos humanos cometidas por autoridades federales. No obstante, cada entidad federativa crea sus propios fondos para delitos del orden común y violaciones a los derechos humanos cometidas por autoridades locales. Al respecto véase el Acuerdo del Pleno por el que se emiten los Lineamientos para el funcionamiento del Fondo de Ayuda, Asistencia y Reparación Integral (2015). Cabe aclarar que además de la compensación, este Fondo pretende cubrir los problemas o necesidades que son secuelas del hecho de haber sido victimizado (p. 172). 14
Estándares y recomendaciones para la protección de datos personales en el cómputo en la nube…
Entonces, de acuerdo con lo anterior, la disponibilidad y compartición de información confiable y actualizada se constituye en un activo muy importante para lograr una efectiva atención de las víctimas.
2. Fuentes y contenido de la información proporcionada al RENAVI
En consecuencia, el RENAVI se integra con (a) información proveniente de las víctimas, sus representantes, familiares o personas de su confianza, al momento de solicitar el ingreso al Registro Federal o a los registros locales de víctimas; (b) información que proporcionen otras autoridades que también tramitan la solicitud de ingreso (como la Comisión Nacional de Derechos Humanos) o proporcionan medidas de ayuda y apoyo a las víctimas (entre las que se podría mencionar a las dependencias y entidades en materia de seguridad pública, salud, desarrollo social, educación, etc.), e (c) información ya existente al momento de entrada en vigor de la Ley (artículo 97 LGV). De tal forma que hay una multiplicidad de actores que participan en recabar y canalizar la información sobre las víctimas de delitos o de violaciones a los derechos humanos. En términos generales, esta información consiste en los datos de identificación de las víctimas (tales como su nombre, firma y huella dactilar), sus datos de contacto, la narración detallada de los hechos victimizantes (esto es, las circunstancias de modo, tiempo y lugar previas, durante y posteriores a la ocurrencia de tales hechos), algunas características que agravan su condición de vulnerabilidad (por ejemplo, si el menor de edad, tiene alguna discapacidad, es migrante o refugiado, entre otras), así como las medidas de ayuda, atención y reparación a las que hayan sido acreedoras (artículos 99, 100, fracción VI y 15
Juez 2015 Nº 3
De acuerdo con el sistema federal mexicano y el carácter concurrente de la atención a las víctimas en los distintos órdenes de gobierno —federal, estatal y municipal—, el RENAVI se conforma por la suma de los registros existentes hasta el momento de su constitución, el Registro Federal de Víctimas —operado y administrado por la CEAV respecto de las víctimas de delitos federales o violaciones cometidas por las autoridades del mismo orden— y, finalmente, los registros que se lleven en cada una de las entidades federativas —operados y administrados por las comisiones ejecutivas locales en relación con las víctimas de delitos del fuero local o de violaciones cometidas por autoridades del mismo orden— (artículo 6, fracción XIV de la LGV).
María Solange Maqueo Ramírez / Jimena Moreno González / Miguel Recio Gayo
104 de la LGV). A todo lo cual cabe añadir que por sí sola su inscripción en el padrón ya supone la categorización de la persona como víctima de un delito8. En este sentido, el RENAVI se compone de información sumamente delicada, cuya vulneración, sea en su confidencialidad o en las medidas de seguridad que se adopten para su resguardo, podría poner en peligro a las víctimas e, incluso, provocar situaciones de revictimización. De ahí la importancia de adoptar altos estándares de protección de los datos personales que contiene el RENAVI9.
Juez 2015 Nº 3
De hecho, la relevancia que se le concede a la protección de la información personal de las víctimas (visto como una categoría de titulares de datos personales) es tal, que la propia Constitución Política de los Estados Unidos Mexicanos hace alusión a la misma en algunos supuestos: Artículo 20. […] C. De los derechos de la víctima o del ofendido: […] V. Al resguardo de su identidad y otros datos personales en los siguientes casos: cuando sean menores de edad; o se trate de delitos de violación, trata de personas, secuestro o delincuencia organizada; y cuando a juicio del juzgador sea necesario para su protección, salvaguardando en todo caso los derechos de la defensa.
Si bien el precepto que antecede hace referencia a las víctimas de ciertos delitos específicos, ello no significa que el derecho a la protección de sus datos personales sólo proceda en estos casos, sino que puntualiza que estos delitos revisten un carácter especialmente grave, por lo que el resguardo de su identidad en estos supuestos adquiere un carácter preponderante10. 8
La solicitud de ingreso de víctimas al Registro Federal se realiza a través del Formato Único de Declaración (FUD), disponible en línea en la página web: http://www.ceav.gob.mx/wpcontent/uploads/2014/03/FUD-Ver-Final.pdf 9 La propia LGV establece, en el marco del RENAVI, que la CEAV al momento de emitir los lineamientos para la transmisión de información entre los integrantes del Sistema Nacional de Seguridad Pública, deberá cuidar “la confidencialidad de la información pero permitiendo que pueda hacer un seguimiento y revisión de los casos que lo lleguen a requerir” (artículo 88, fracción XII). 10 Sobre el particular véase la tesis jurisprudencial XIX. 1º P.T.4 P, emitida por el Primer Tribunal Colegiado en Materias Penal y de Trabajo del Décimo Noveno Circuito, a través de la cual se sustenta que el derecho al resguardo de la identidad y otros datos personales no sólo es inherente a las víctimas de los delitos que establece el artículo 20 constitucional. Esta interpretación es consistente con los artículos 6º y 16 de la misma Constitución que reconocen el derecho a la protección de datos personales como un derecho humano. 16
Estándares y recomendaciones para la protección de datos personales en el cómputo en la nube…
3. La CEAV como responsable de datos personales
No obstante que la CEAV es responsable del tratamiento de los datos personales comprendidos en el RENAVI no debemos olvidar que estos datos provienen de muy diversas fuentes que también suponen la existencia de otros responsables de carácter público o, incluso, privado. Ciertamente, ello no significa que exista un “control plural o en conjunto” de la información11, a pesar de que exista coincidencia en la información y la persecución de un objetivo común consistente en garantizar el acceso a cualquier persona víctima de la comisión de un delito o de la violación de sus derechos humanos a los beneficios que otorga la LGV. Pero sí implica la transferencia de datos para el desempeño de funciones relacionadas con las víctimas en los distintos niveles de gobierno y en atención a las diferencias de organización dentro del Sistema Nacional de Víctimas. De tal forma que si bien es necesario contar con mecanismos que permitan abrir canales de comunicación entre los distintos actores del Sistema y generar estándares comunes de protección, también conviene precisar la responsabilidad
11
“[…] el mero hecho de que diferentes partes cooperen en el tratamiento de datos personales, por ejemplo en cadena, no implica que sean conjuntamente responsables del tratamiento en todos los casos, puesto que un intercambio de datos entre dos partes que no compartan fines y medios para un conjunto de operaciones comunes podría considerarse solamente como una transferencia de datos entre responsables del tratamiento que actúan por separado”. (Grupo del Artículo 29, Dictamen 1/2010, p. 21). 17
Juez 2015 Nº 3
En principio, dado que a la CEAV le corresponde la creación y gestión del RENAVI (artículo 44 de la LGV), ésta efectúa el tratamiento de datos personales y, con ello, adquiere la condición de responsable del tratamiento de los mismos. Esto implica que está sujeta a los principios y deberes que establece la normatividad aplicable en la materia, así como a las responsabilidades que en su caso se deriven de una mala gestión de la información. Además, tal como se formulan los derechos de los Titulares de datos a la información, al acceso, rectificación, cancelación u oposición, éstos suponen la creación de sus correlativas obligaciones a cargo del responsable. “Esto significa que el papel primero y primordial del concepto de responsable del tratamiento es determinar quién debe asumir la responsabilidad del cumplimiento de las normas sobre protección de datos y de qué manera los interesados pueden ejercer sus derechos en la práctica.” (Grupo del Artículo 29, Dictamen 1/2010, p. 4).
María Solange Maqueo Ramírez / Jimena Moreno González / Miguel Recio Gayo
de la CEAV como garante de la información contenida en el RENAVI. En ambos casos nos enfrentamos a dos problemas específicos: el primero consiste en determinar los estándares de protección de datos personales que debe cumplir la CEAV conforme a la legislación mexicana —para lo cual nos centraremos en el principio de información— y, el segundo, en especificar cómo se pueden generar mecanismos que permitan garantizar el acceso de la población a los derechos comprendidos en la LGV en todo el territorio nacional de la manera más eficiente y eficaz posible.
Juez 2015 Nº 3
III. INFORMACIÓN A LOS TITULARES DE LOS DATOS PERSONALES De acuerdo con el sistema jurídico mexicano vigente los ordenamientos jurídicos aplicables en materia de protección de datos personales, tomando en consideración que la CEAV es un órgano de la Administración Pública Federal, son: la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (LFTAIPG), su Reglamento y los Lineamientos de Protección de Datos Personales emitidos por el entonces llamado Instituto Federal de Acceso a la Información y Protección de Datos Personales, ahora Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI)12. Como veremos en su oportunidad, estas disposiciones establecen estándares mínimos para la protección de datos personales que, si bien deben servir de guía para la CEAV, también es necesario reforzar la protección a través de otros instrumentos jurídicos, como es el caso de las cláusulas contractuales que se lleguen a celebrar con quien participe en el tratamiento de los datos. Esto se hará patente en lo relativo a la contratación de la prestación de servicios de cómputo en la nube.
12
Con la publicación de la nueva Ley General de Transparencia y Acceso a la Información Pública, en el Diario Oficial de la Federación del 4 de mayo de 2015, el Instituto Federal de Acceso a la Información Pública (IFAI) cambia su denominación a “Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales” (INAI). Al momento aún se encuentra pendiente de aprobación, promulgación y publicación la Ley General de Datos Personales, por lo que la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental sigue vigente por lo que se refiere a la protección de datos personales en posesión del sector público.
18
Estándares y recomendaciones para la protección de datos personales en el cómputo en la nube…
En el desarrollo de las atribuciones que la CEAV tiene encomendadas, trata datos personales, lo que determina que, conforme a la LFTAIPG y, en particular, los Lineamientos de Protección de Datos Personales, tenga que cumplir con el principio de información, lo cual en la práctica se concreta y materializa a través de la correspondiente leyenda informativa o aviso de privacidad. Cabe señalar que el principio de información es fundamental para la protección de los datos personales, ya que permite al titular de los datos saber quién, cómo y para qué trata sus datos personales, además de permitir saber a quién dirigirse para poder ejercitar sus derechos.
En relación a su cuestionamiento relativo al aviso de privacidad, es conveniente señalar que esta figura está prevista en la fracción I del artículo 3 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en lo sucesivo “LFPDPPP”) como el documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales. Dicho aviso solamente es obligatorio para los particulares. En el sector público, en específico para la Administración Pública Federal, y de conformidad con la normatividad vigente, el documento que se tiene que poner a disposición de los titulares para darles a conocer las finalidades del tratamiento de los datos personales, el nombre del responsable, entre otros datos, es la “leyenda de privacidad”.
Por lo tanto, sin perjuicio de otros principios que también legitiman el tratamiento de los datos personales por la CEAV, a continuación se atiende a este principio de información, dada su especial relevancia, para lo cual se toman en consideración los requisitos necesarios para la elaboración de un modelo o leyenda de privacidad.
1. Previsiones normativas y otras referencias sobre la leyenda informativa o el aviso de privacidad De conformidad con el Lineamiento Decimoséptimo de los Lineamientos de Protección de Datos: 19
Juez 2015 Nº 3
Al respecto, es importante considerar que en opinión del INAI (entonces IFAI), mediante una respuesta dada a la consulta realizada por el titular de la Unidad de Enlace de la Secretaría de Salud, de referencia en el Oficio IFAI/ SAI-DGCV/1876/13, de fecha 27 de septiembre de 2013, se indica que:
María Solange Maqueo Ramírez / Jimena Moreno González / Miguel Recio Gayo
“En el momento en que se recaben los datos personales, la dependencia o entidad deberá hacer del conocimiento al Titular de los datos en los formatos físicos como en los electrónicos utilizados para ese fin, lo siguiente: a) La mención de que los datos recabados serán protegidos en los términos de lo dispuesto por la Ley; b) El fundamento legal para ello, y c) La finalidad del sistema de datos personales.”
En concreto, el Decimoctavo de los Lineamientos de Protección de Datos Personales facilita un modelo que es el que se incluye a continuación:
Juez 2015 Nº 3
Modelo de leyenda para informar al Titular de los datos […] Los datos personales recabados serán protegidos y serán incorporados y tratados en el Sistema de datos personales (indicar nombre), con fundamento en (indicar) y cuya finalidad es (describirla), el cual fue registrado en el Listado de sistemas de datos personales ante el Instituto Federal de Acceso a la Información Pública (www.ifai.org.mx), y podrán ser transmitidos a (indicar), con la finalidad de (indicar), además de otras transmisiones previstas en la Ley. La Unidad Administrativa responsable del Sistema de datos personales es (indicarlo), y la dirección donde el interesado podrá ejercer los derechos de acceso y corrección ante la misma es (indicarla). Lo anterior se informa en cumplimiento del Decimoséptimo de los Lineamientos de Protección de Datos Personales, publicados en el Diario Oficial de la Federación (incluir fecha).
En relación con este modelo de leyenda para informar al titular de los datos personales, es importante destacar que el citado Lineamiento Decimoctavo comienza indicando que “sin perjuicio de que las dependencias y entidades elaboren sus propios formatos para informar al Titular de los datos”, lo que significa que la CEAV puede utilizar directamente dicho formato13, basarse en el mismo o también desarrollar su propio formato, siempre y cuando el formato que resulte finalmente cumpla con los requisitos de información exigidos por la normatividad aplicable en materia de protección de datos personales así como aquélla otra que fuese de aplicación a la CEAV y establecerse algún requisito específico o adicional de información.
13
Debiendo adecuarlo, en su caso, a las necesidades específicas que se planteen, además de actualizar la referencia al IFAI por la del INAI.
20
Estándares y recomendaciones para la protección de datos personales en el cómputo en la nube…
Es decir, el formato que propone el Lineamiento Decimoctavo es un modelo que puede seguirse por las dependencias y entidades o bien, desarrollar uno diferente, teniendo que cumplir en cualquier caso con los requisitos exigidos por la normatividad. También es importante tener en consideración el Lineamiento Vigésimo quinto, que, por lo que hace a los informes sobre la transmisión de la información, establece lo siguiente: Las transmisiones totales o parciales del sistemas de datos personales que realicen las dependencias y entidades en el ejercicio de sus atribuciones, deberán ser notificadas por el Responsable al Instituto en los términos establecidos por el Cuadragésimo de los presentes Lineamientos.
Los Responsables deberán registrar e informar al Instituto dentro de los primeros diez días hábiles de enero y julio de cada año, lo siguiente: a) Los sistemas de datos personales: b) Cualquier modificación sustancial o cancelación de dichos sistemas, y c) Cualquier transmisión de sistemas de datos personales de conformidad con lo dispuesto por los Lineamientos Vigésimo quinto y Vigésimo sexto de los presentes Lineamientos.
En consecuencia, la CEAV tendría que asegurarse de cumplir con la obligación de registrar el sistema o sistemas de datos personales correspondientes a que dé lugar el RENAVI, así como informar al INAI, dentro de los plazos establecidos, las modificaciones sustanciales o cancelaciones de sistemas y las
14
En concreto, el Lineamiento Vigésimo sexto indica: “Requisitos del Informe. Vigésimo sexto. El informe a que hace referencia el Lineamiento anterior deberá contener al menos, lo siguiente: I. Identificación del Sistema de datos personales, del transmisor y del destinatario de los datos; II. Finalidad de la transmisión, así como del tipo de datos que son objeto de la transmisión; III. Las medidas de seguridad y custodia que adoptaron o fueron adoptadas por el transmisor y destinatario; IV. Plazo por el que conservará el destinatario los datos que le hayan sido transmitidos, el cual podrá ser ampliado mediante aviso al Instituto, y V. Señalar si una vez concluidos los propósitos de la transmisión, los datos personales deberán ser destruidos o devueltos al transmisor, al igual que cualquier soporte o documento en que conste algún dato de carácter personal objeto de la transmisión”. 21
Juez 2015 Nº 3
El Lineamiento Vigésimo sexto se refiere a los requisitos del informe citado en el Lineamiento previo14 y, por su parte, el Lineamiento Cuadragésimo, relativo al Sistema Persona, indica que:
María Solange Maqueo Ramírez / Jimena Moreno González / Miguel Recio Gayo
transmisiones parciales o totales realizadas por la CEAV en el ejercicio de sus funciones. De conformidad con la respuesta a la consulta planteada por la Secretaría de Salud en el citado Oficio IFAI/SAI-DGCV/1876/13, a que se ha hecho mención anteriormente, el INAI señala en el apartado IV que: Como se aprecia, la leyenda de información esté ligada a un sistema de datos personales que trate el responsable para una finalidad determinada, mismo que tiene [sic] ha de registrarse en el Sistema Persona. Dicho Sistema tiene como propósito ser una herramienta informática en ambiente Web que permita a las dependencias y entidades de la Administración Pública Federal cumplir con la obligación que marca el artículo 23 de la LFTAIPG, respecto de hacer del conocimiento del IFAI los sistemas de datos personales que manejan.
Y añade que:
Juez 2015 Nº 3
En este sentido y en virtud del principio de información que opera en la materia, los titulares de los datos personales tienen derecho a conocer el o los sistemas de datos personales en donde han de obrar, […], sus datos personales, es que independientemente de que cada uno de los Responsables que recaben los datos personales cumpla con poner a disposición la leyenda de información, también ha de observarse que, en caso de que durante el tratamiento se desarrolle una transmisión de datos, esto ha de hacerse del conocimiento del titular de los datos personales. En relación con lo anterior, es de mencionar que de conformidad con lo dispuesto en el Vigésimo segundo de los Lineamientos, las dependencias y entidades podrán transmitir datos personales sin el consentimiento del Titular de los datos en los casos previstos en el artículo 22 de la Ley15. Con independencia de lo anterior, tal posibilidad [esto es la transmisión de datos personales] ha de hacerse del conocimiento de los titulares de los datos personales en la leyenda de información.
15
El artículo 22 de la LFTAIPG dispone que: “No se requerirá el consentimiento de los individuos para proporcionar los datos personales en los siguientes casos: I. […]. II. Los necesarios por razones estadísticas, científicas o de interés general previstas en la ley, previo procedimiento por el cual no puedan asociarse los datos personales con el individuo a quien se refieran; III. Cuando se transmitan entre sujetos obligados o entre dependencias y entidades, siempre y cuando los datos se utilicen para el ejercicio de facultades propias de los mismos; IV. Cuando exista una orden judicial; V. A terceros cuando se contrate la prestación de un servicio que requiera el tratamiento de datos personales. Dichos terceros no podrán utilizar los datos personales para propósitos distintos a aquéllos para los cuales se les hubieren transmitido, y VI. En los demás casos que establezcan las leyes”.
22
Estándares y recomendaciones para la protección de datos personales en el cómputo en la nube…
Y concluye señalando en dicha respuesta dirigida a la Secretaría de Salud que: Sin perjuicio de lo anterior, se sugiere observar lo previsto en el Vigésimo quinto de los Lineamientos, en donde se señala que las transmisiones totales o parciales deberán ser notificadas por los Responsables al Instituto.
2. Requisitos y contenido de la leyenda o aviso de privacidad Entonces, de conformidad con el apartado anterior relativo a las previsiones normativas en el orden federal para dar cumplimiento al principio de información a través de la leyenda de privacidad, los requisitos exigibles son: (a) la mención de que los datos recabados serán protegidos en los términos de lo dispuesto por la Ley; (b) el fundamento legal para ello, y (c) la finalidad del Sistema de datos personales. Además, derivado del modelo de leyenda de los Lineamientos de Protección de Datos para informar al Titular de los datos personales, la leyenda o aviso de privacidad deberá hacer referencia también a los siguientes aspectos: (d) La denominación del responsable; (e) La finalidad o finalidades del tratamiento; (f) Las transferencias de datos personales y las finalidades concretas u otras previstas en la Ley;
23
Juez 2015 Nº 3
Dado que el artículo 22 de la LFTAIPG establece la excepción de requerir el consentimiento del titular de los datos personales para que se efectúe la transmisión de los datos entre sujetos obligados en el cumplimiento de sus funciones, en principio la CEAV no requerirá de dicho consentimiento cuando esta información sea compartida entre las distintas instituciones y órganos públicos que componen el Sistema Nacional de Víctimas con las finalidades que atienden al cumplimiento de la Ley General de Víctimas. Todo lo cual no obsta para que haga constar esta posibilidad de transferencia en la leyenda de privacidad que ponga a disposición de los titulares de los datos.
María Solange Maqueo Ramírez / Jimena Moreno González / Miguel Recio Gayo
(g) La posibilidad de ejercer los derechos de acceso y rectificación; (h) La dirección donde el Titular de los datos puede ejercer los derechos de acceso y rectificación, y (i) La referencia a que la información se proporciona en cumplimiento del Decimoséptimo de los Lineamientos de Protección de Datos Personales. Asimismo, como una buena práctica, dada la naturaleza sensible de los datos personales que conforman el Registro Nacional de Víctimas, es conveniente que se agreguen los siguientes aspectos: (j) La identificación de los datos personales que sean sensibles; (k) Los medios a través de los cuales el responsable comunicará a los titulares los cambios a la leyenda o aviso de privacidad.
Juez 2015 Nº 3
3. Modelo de leyenda o aviso de privacidad para la CEAV En atención a los requisitos para elaborar un aviso de privacidad y la información que contiene la solicitud de ingreso de víctimas al RENAVI, es posible entonces elaborar un modelo de leyenda. Al respecto, se propone el siguiente: Aviso de Privacidad del Registro Nacional de Víctimas La Comisión Ejecutiva de Atención a Víctimas, conforme a la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, los Lineamientos de Protección de Datos Personales y demás normatividad aplicable, le informa de que sus datos personales serán protegidos y tratados en cumplimiento de las mismas, de manera que no serán difundidos, salvo en lo previsto por la normatividad aplicable, distribuidos o comercializados. Esta información se proporciona en cumplimiento a lo dispuesto por el artículo 20, fracción III de la LFTAIPG y el Decimoséptimo de los Lineamientos de Protección de Datos Personales. ¿Qué datos personales tratarán y para qué fines? Sus datos personales (de identificación, relato de los hechos, descripción del daño sufrido, lugar y fecha en donde se produjeron los hechos, así como identificación y descripción de las medidas de ayuda, reparación y/o protección), que serán considerados como sensibles y que nos proporciona a través del Formato Único de Declaración o que nos han sido o sean proporcionados a través del registro o representante correspondiente, serán protegidos, incorporados y tratados, conforme 24