Derecho de los titulares a la protección de sus datos personales

El artículo 16, segundo párrafo de la CPEUM, establece que toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de estos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.

A su vez, este derecho se desarrolla a través de dos legislaciones, a saber:

• Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Ley Federal), la cual, es de orden público y de observancia general en toda la República y tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. Son sujetos regulados por esta Ley, los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, con excepción de:

1. Las sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables, y
2. Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.

• Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (Ley General), la cual, es de orden público y de observancia general en toda la República, reglamentaria de los artículos 6o., Base A y 16, segundo párrafo, de la CPEUM, en materia de protección de datos personales en posesión de sujetos obligados. Tiene por objeto establecer las bases, principios y procedimientos para garantizar el derecho que tiene toda persona a la protección de sus datos personales, en posesión de sujetos obligados. Son sujetos obligados por esta Ley, en el ámbito federal, estatal y municipal, cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos; no obstante, todas las disposiciones de la Ley General, según corresponda, y en el ámbito de su competencia, son de aplicación y observancia directa para los sujetos obligados pertenecientes al orden federal, y, el INAI ejercerá las atribuciones y facultades que le otorga esta Ley, independientemente de las otorgadas en las demás disposiciones aplicables.

Legislaciones que resultan aplicables cuando se realice el tratamiento de datos personales, entendido éste en el ámbito de sujetos regulados como, la obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales; y, en el caso de sujetos regulados, como cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales o automatizados aplicados a los datos personales, relacionadas con la obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación, difusión, almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o disposición de datos personales.

Lo anterior, en el entendido que ambas leyes conceptualizan a los datos personales como cualquier información concerniente a una persona física identificada o identificable, asimismo, consideran titulares a las personas físicas a las que corresponden los datos personales, y responsables, en el caso de la Ley Federal, a la persona física o moral de carácter privado que decide sobre el tratamiento de datos personales, en el caso de la Ley General, a los sujetos obligados referidos previamente.

Sí. Las instituciones públicas o privadas que te otorgan servicios para el diagnóstico, atención y seguimiento ante casos de COVID-19 y que para tal situación obtienen tus datos personales, se configuran como responsables del tratamiento en términos de lo dispuesto por la normativa en materia de protección de datos personales que les resulte aplicable independiente del sector al que pertenezcan.

Las instituciones públicas o privadas que te otorguen servicios para diagnósticos, atención y seguimiento sobre COVID-19, en su calidad de responsables del tratamiento de datos personales están obligados a garantizarte como titular de los datos personales, derechos, los cuales se explican a continuación.

Derechos ARCO

Como titular de tus datos personales, tienes derecho a acceder a ellos, rectificarlos, a solicitar su cancelación, así como a oponerte a su tratamiento. A estos derechos se les conoce como, ARCO y puedes solicitarlos a todas las instituciones públicas o privadas que te otorguen servicios para diagnóstico, atención y seguimiento sobre COVID-19.

¿Cómo y quién puede ejercer estos derechos?

El derecho a la protección de datos personales es un derecho personalísimo, por lo que sólo tú, como titular de tus datos personales o, en su caso, tu representante legal, podrán solicitar el ejercicio de los derechos ARCO. Por ello, será necesario y de gran importancia que previo al ejercicio del derecho de que se trate, quede debidamente acreditada la identidad del titular de los datos personales.

Toma en cuenta que para que puedas solicitar uno de los derechos no es necesario que hayas ejercido previamente otro, ni el ejercicio de uno de ellos impide que hagas valer después uno distinto.

Lo primero que hay que señalar es que la solicitud de ejercicio de los derechos ARCO se debe presentar ante la institución pública o privada que posea o utilice tus datos personales para otorgarte algún servicio en relación con el diagnóstico, atención y seguimiento sobre COVID-19 respecto de los cuales requieras el acceso, rectificación, cancelación u oposición. Los medios para la presentación de estas solicitudes deberán estar indicados en el aviso de privacidad.

Asimismo, los requisitos podrán variar dependiendo de la naturaleza del responsable, es decir, si es del sector público o del privado, pues las leyes que regulan el derecho de protección en ambos sectores son distintos, pero en todos los casos deberá ser gratuito.

Derechos que tienes como titular que derivan del cumplimiento de obligaciones por parte de los responsables del tratamiento

El derecho a la protección de los datos personales implica el cumplimiento de ocho principios y dos deberes por parte de los responsables, los cuales se traducen en tareas que se asignan obligatoriamente a los responsables del tratamiento, y en derechos para los titulares, derivado del cumplimiento de estas obligaciones como titular de los datos personales tienes los siguientes derechos:

• Que tus datos personales se traten conforme a legislación aplicable.
• Que las autoridades solo traten tus datos personales cuando exista un fundamento legal y tengan atribuciones para ello.
• Que tu información sea tratada conforme a lo acordado con el responsable.
• Que no se recaben tus datos personales con dolo, mala fe o negligencia.
• A que no se vulnere la confianza que has dado con relación a que tus datos personales serán tratados conforme a lo acordado.
• A que se te informen todas las finalidades del tratamiento en el aviso de privacidad.
• A conocer quién utilizará tu información, para qué fines se ocupará, con quién se compartirá y cómo podrás ejercer tus derechos al respecto a través del aviso de privacidad.
• A que el aviso de privacidad esté redactado en idioma español y de una forma sencilla, clara y comprensible, y contenga la información que establece la ley.
• Que cuando sea necesario, soliciten tu consentimiento para poder dar tratamiento a tus datos personales.
• Si es necesario tu consentimiento, y se trate de datos personales sensibles, este deberá ser expreso y por escrito, es decir, con tu firma autógrafa, huella dactilar, firma electrónica o cualquier otro mecanismo autorizado que permita identificarlo plenamente.
• A que tus datos personales sólo se utilicen para las finalidades (usos o propósitos) que te fueron informadas en el aviso de privacidad.
• A que los responsables del sector público solo utilicen tus datos personales para finalidades que se relacionen con sus atribuciones.
• Que te soliciten solo aquellos datos que sean necesarios, adecuados y relevantes para el cumplimiento de las finalidades que te informaron.
• A que te soliciten datos personales sensibles solo cuando sea necesario para cumplir con una finalidad.
• A que tus datos personales se mantengan actualizados en función de los fines para los que te fueron requeridos.
• A que tus datos personales sean eliminados de las bases de datos de los responsables cuando estos ya no sean necesarios.
• A que el tratamiento de tus datos personales, así como en el uso de las bases de datos para su almacenamiento, cumpla con los principios y los deberes establecidos en la normatividad aplicable.
• A que la información personal que proporcionen a los responsables se resguarde bajo medidas de seguridad adecuadas, que eviten su pérdida, alteración, destrucción, daño o uso, acceso o tratamiento no autorizado.
• A que te informen en caso de una vulneración en contra tus datos personales, que fue lo que sucedió, cuáles fueron los datos personales comprometidos, que están haciendo las autoridades o responsables para que este tipo de supuesto no se repita y un número para dar seguimiento a tu caso.
• A que tus datos personales sean tratados con confidencialidad, es decir, a que éstos no se difundan o compartan con terceros, salvo que exista consentimiento para ello o alguna obligación normativa requiera su difusión.

Si tienes conocimiento de un tratamiento indebido de datos personales o algún responsable del sector privado o sector público a nivel federal realizó un uso indebido de tus datos personales que proporcionaste para el diagnóstico, atención y seguimiento del COVID-19, puedes acudir ante el INAI a presentar tu denuncia, por las presuntas violaciones a la normatividad que regula el derecho a la protección de datos personales.

Ahora bien, es importante definir qué se entiende por tratamiento indebido de datos personales. Al respecto, se deben considerar diversos factores, entre ellos: el uso ilícito, la divulgación no permitida o el almacenamiento excesivo y desproporcionado de los datos personales, que lleve a cabo el responsable de su protección, sea cual sea el medio físico o electrónico.
De esta manera se puede identificar que el tratamiento llevado a cabo por un responsable, es contrario a lo dispuesto por la normatividad aplicable y que está tratando datos personales indebidamente, sin respetar los principios y deberes establecidos en la legislación vigente, actualizando con ello supuestos que generalmente, se encuentran plasmados como infracciones en las legislaciones respectivas.

Para lo anterior, existe un procedimiento de investigación y verificación tanto para el sector privado, como para el público a nivel federal.

Denuncia sector privado

¿Quién puede presentar una denuncia por el indebido tratamiento de los datos personales?

Cualquier persona podrá denunciar el indebido tratamiento de datos personales o presuntas violaciones a la Ley Federal, su Reglamento y demás normatividad aplicable por parte de un responsable del sector privado.

¿Ante quién se presenta la denuncia?

Esta siempre se presentará ante el INAI. Independientemente de donde se encuentre el responsable al que vayas a denunciar, el INAI será la única instancia competente para dar trámite a este tipo de denuncias.

¿En cuánto tiempo puedes presentarlo?

Para iniciar este procedimiento no existe un plazo para la presentación de las denuncias, sin embargo, se recomienda que las denuncias se presenten tan pronto como el denunciante tenga conocimiento del presunto tratamiento indebido.

¿A través de qué medios puedes presentar una denuncia?

Los medios que pone a disposición el INAI para la presentación de las denuncias son los siguientes:

• Por correo electrónico a la dirección verificacion@inai.org.mx, o
• Mediante el sistema IFAI-PRODATOS, disponible en el sitio web https://www.datospersonales.org.mx/

Cualquier duda, orientación o asesoría sobre el ejercicio del derecho a la protección de datos personales puede ser atendida por los colaboradores del INAI, mediante el TEL INAI (800 835 4324) o vía correo electrónico, a la dirección atencion@inai.org.mx. Los horarios de atención son de lunes a jueves, de 9:00 a 18:00 horas, y los viernes, de 9:00 a 15:00 horas.

¿Qué requisitos debe contener tu denuncia?

Los requisitos de información para presentar una denuncia son:

• El nombre y domicilio del titular, o en su caso el correo electrónico al cual se le pueda enviar cualquier información respecto de su denuncia.
• La descripción de los hechos que denuncia el titular y, en su caso, los elementos con los que cuenta para probar su dicho (documentos, fotos, grabaciones, entre otros); y,
• El nombre y domicilio del responsable que considere que está vulnerando los principios y deberes que establece la ley.

Denuncia sector público

¿Quién puede presentar una denuncia por el indebido tratamiento de los datos personales?

Los titulares pueden presentar una denuncia ante el INAI cuando consideren que han sido afectados por el tratamiento indebido de datos personales llevado a cabo por un responsable del sector público federal, y que sea contrario a lo dispuesto por la Ley General y demás normatividad aplicable.

Asimismo, cualquier persona puede presentar una denuncia ante el INAI cuando considere que un responsable está tratando los datos personales de manera contraria a lo dispuesto Ley General.

¿Ante quién se presenta la denuncia?

Esta solo podrás presentarla ante el INAI cuando quieras denunciar un tratamiento indebido de datos personales por parte de un responsable del sector público federal.

¿En cuánto tiempo puedes presentarlo?

Para los responsables del sector público del ámbito federal la Ley General establece que para la presentación de una denuncia es necesario que se presente a más tardar al año siguiente de que hayan ocurrido los hechos denunciados

¿A través de qué medios puedes presentar una denuncia?

La denuncia podrá presentarse a través del correo electrónico investigayverifica@inai.org.mx.

Cualquier duda, orientación o asesoría sobre el ejercicio del derecho a la protección de datos personales puede ser atendida por los colaboradores del INAI, mediante el TEL INAI (800 835 4324) o vía correo electrónico, a la dirección atencion@inai.org.mx. Los horarios de atención son de lunes a jueves, de 9:00 a 18:00 horas, y los viernes, de 9:00 a 15:00 horas.

¿Qué requisitos debe contener tu denuncia?

La denuncia debe contener la siguiente información:

• El nombre de la persona que denuncia o, en su caso, de su representante;
• El domicilio o medio para recibir notificaciones de la persona que denuncia;
• La relación de hechos en que se basa la denuncia y los elementos con los que cuente para probar su dicho;
• El responsable denunciado y su domicilio, o en su caso, los datos para su identificación y/o ubicación;
• La firma del denunciante, o en su caso, de su representante. En caso de no saber firmar, bastará la huella digital.