Ir al contenido principal

Iniciativa que reforma los artículos 3o., 27 Bis, 56, 58 y 70 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares

Se transcribe iniciativa:


Que reforma los artículos 3o., 27 Bis, 56, 58 y 70 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, a cargo del diputado Alfredo Javier Rodríguez Dávila, del Grupo Parlamentario del PAN.


Alfredo Javier Rodríguez Dávila, diputado de la LXIII Legislatura del Congreso General de los Estados Unidos Mexicanos e integrante del Grupo Parlamentario del Partido Acción Nacional, con fundamento en los artículos 71, fracción II, de la Constitución Política de los Estados Unidos Mexicanos, así como el 6, numeral 1, fracción I, y 77 del Reglamento de la Cámara de Diputados, someto a consideración de esta asamblea la iniciativa con proyecto de decreto que reforma la fracción XI del artículo 3, modifica los artículos 56 y 58, y adiciona los artículo 27 Bis y 70 a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, conforme a la siguiente

Exposición de Motivos

I. Problemática

La reforma constitucional de 2014 en materia de transparencia, acceso a la información y de protección de datos personales ha generado la necesidad de crear nuevas leyes secundarias para regular las nuevas disposiciones constitucionales. De este modo, por ejemplo, se publicó en mayo de 2015 la Ley General de Transparencia y Acceso a la Información Pública, la nueva Ley Federal de Transparencia y Acceso a la Información Pública y actualmente en el Senado está pendiente de ser discutido y, en el caso, aprobado el dictamen por el que se expide la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.

En este momento de actualización del marco jurídico nacional en esta materia resulta conveniente actualizar, asimismo, la Ley Federal de Protección de Datos Personales en Posesión de Particulares. La iniciativa que aquí presento pretende hacerlo en tres aspectos: a) reconocer el derecho de los titulares de los datos a recibir una indemnización en caso de que sus derechos hayan sido vulnerados, como se hace en otros Estados; b) eliminar la posibilidad de que los particulares recurran al juicio de nulidad ante Tribunal de Justicia Fiscal y administrativa por las sanciones determinadas por el INAI, y c) establecer como “delito en materia de tratamiento indebido de datos personales” la vulneración (física o informática) de las bases de datos en posesión de los particulares.

II. Argumentación

1. Derecho a la indemnización

La Ley Federal de Protección de Datos Personales en Posesión de Particulares es el resultado de un esfuerzo que tuvo su origen en el Congreso de la Unión. En el dictamen realizado en 2010 por la Comisión de Gobernación, los legisladores señalaron la necesidad de contar con una legislación que regulara el uso de la información en posesión de los particulares y que permitiera contar con formas de garantizar los derechos de los titulares de la información. Lo anterior permitiría, asimismo, contrarrestar el atraso que la legislación mexicana presentaba en la materia, en comparación con otros países.

En el dictamen puede encontrarse un extenso análisis acerca de diferentes instrumentos internacionales y casos de legislación extranjera, en el que se explica cómo la protección de los datos personales es en realidad una de las maneras de salvaguardar el derecho de toda persona a no ser objeto de injerencias arbitrarias o ilegales en su vida privada.

Entre los instrumentos jurídicos a los que el dictamen hace referencia, se encuentra la Directiva 95/46/CE de la Unión Europea, por medio del cual los Estados miembros homologaron su normativa nacional a efecto de permitir el libre intercambio de datos entre ellos, pero garantizando en todo momento su uso correcto y la protección de los mismos. Entonces los legisladores mexicanos advirtieron: “en América Latina, únicamente Argentina cuenta con el reconocimiento de la Unión Europea como país con nivel adecuado de protección de datos... mismo que representa para la economía argentina ingresos anuales significativos tan sólo en el terreno de las inversiones en el ámbito de la investigación médica y de ensayos clínicos”.1 De lo anterior puede entenderse que la actual Ley Federal de Protección de Datos Personales en Posesión de Particulares encontró en este documento de la Unión Europea una fuerte influencia.

Sin embargo, esa Directiva estipuló, desde 1995, “que los daños que pueden sufrir las personas a raíz de un tratamiento ilícito han de ser reparados por el responsable de tratamiento de datos”.2 Es decir, las personas cuyos derechos fueron vulnerados por los responsables del tratamiento de datos, tienen –asimismo– el derecho a obtener la reparación del daño.

De los dictámenes que dieron lugar a la ley vigente en México no puede determinarse cuáles fueron los motivos por los cuales en el catálogo de los derechos de los titulares de los datos, el de la reparación de daños no haya sido incluido, pues ni siquiera es mencionado. No obstante, si los legisladores no hicieron mención al porqué el derecho a la reparación de daños no fue establecido en la legislación, tampoco especificaron por qué no debe ser incluido.

Cabe recordar que el objeto de la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDP) es el de “la protección de los datos personales en posesión de los particulares, con la finalidad de regular sus tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas” (Artículo 1). Precisamente, una de las formas de hacer efectiva esa protección es reconociendo el derecho a la reparación del daño.

Es cierto que la ley ya determina qué conductas, por parte de los responsables del tratamiento de datos, constituyen infracciones, así como las sanciones que a éstas corresponden. De igual forma, contiene un capítulo en el que se especifican cuáles son los delitos en materia de tratamiento indebido de datos personales. Sin embargo, con el actual sistema de sanciones, el titular de la información –que es el sujeto directo de los derechos– queda prácticamente marginado. En dado caso, a lo más que puede aspirar es a que el particular responsable que comete una infracción respete los derechos del titular, después de haberlos vulnerado.

Más allá de las infracciones y las penas que ya señala la ley, debe tenerse presente que la importancia de la reparación del daño radica en que es uno de los modos con los que cualquier sistema democrático debe contar a fin de prevenir la repetición de las conductas que incurren en infracciones o delitos y, sobre todo, para hacer efectivo los derechos de los titulares de la información.

Debido a que el fin que persiguen los particulares que hacen uso de los datos personales no es otro que el del lucro, la modificación a la ley que aquí se plantea (mediante la creación de un artículo 27 Bis) propone que la reparación del daño se dé mediante el otorgamiento de una indemnización monetaria. Corresponderá al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) decidir las maneras en que se fijarán los montos de las indemnizaciones. Se considera que al facultar al INAI a fijar las indemnizaciones, y no especificarlas desde el texto de la ley, se respeta la autonomía que la Constitución le otorga al Instituto y se garantiza que se ciñan al principio constitucional de proporcionalidad, de acuerdo a cada caso particular.

Por último, la modificación propone que en la determinación de los montos de indemnizaciones se considere como agravante el manejo de datos personales sensibles,3 en el uso ilícito de información.

No omito señalar que el artículo 58 de la Ley estipula actualmente que los titulares que consideren que haya sufrido un daño en sus bienes o derechos como consecuencia del incumplimiento a lo dispuesto en la Ley por el responsable o el encargado del tratamiento de información “pueden ejercer los derechos que estimen pertinentes para efectos de la indemnización que proceda, en términos de las disposiciones legales correspondientes”.

De lo anterior deben destacarse dos aspectos: en primer lugar, si bien la legislación enuncia la posibilidad del titular de los datos a solicitar una indemnización, no la reconoce como un derecho y, por tanto, para que la indemnización pueda darse depende de la decisión y la iniciativa que el titular tenga para promover un recurso jurídico (y, en el caso, que éste proceda en un sentido favorable) y no como un acto a priori que deba darse como consecuencia de la vulneración de un derecho. En segundo lugar, el artículo 58 se limita a enunciar que el titular puede “ejercer los derechos que estimen pertinentes para efectos de la indemnización que proceda, en términos de las disposiciones legales correspondientes”; debe hacerse notar que este enunciado es por lo menos ambiguo y confuso y que, por tanto, contraviene al principio del derecho de la claridad que debe tener toda disposición jurídica. Por tal motivo, se propone la modificación de este artículo, vinculándolo con el artículo 27 Bis propuesto.

2. La incompatibilidad actual del juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa

a) La reforma constitucional de 2014 hizo del INAI un organismo con autonomía, “responsable de garantizar el cumplimiento del derecho de acceso a la información pública y a la protección de datos personales en posesión de los sujetos obligados” (fracción VIII del inciso “A”, artículo 6 de la Constitución).

Es importante señalar que la constitución establece que este organismo garante (el INAI) tiene competencia de conocer los asuntos en la materia de cualquier autoridad u organismo de los tres poderes de la unión, además de órganos autónomos, partidos políticos, fideicomisos y fondos públicos, así como de cualquier persona física, moral o sindicatos que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito federal. También le corresponde conocer de los recursos que interpongan los particulares respecto de las resoluciones de los organismos autónomos especializados de las entidades federativas.

El párrafo séptimo de ese mismo inciso señala: “las resoluciones del organismo garante son vinculatorias, definitivas e inatacables para los sujetos obligados”. De igual forma advierte que es posible interponer un recurso de revisión ante la Suprema Corte de Justicia de la Nación siempre y cuando las resoluciones “puedan poner en peligro la seguridad nacional”.

b) Ahora bien, actualmente la LFPDP señala en su artículo 56: “Contra las resoluciones del Instituto, los particulares podrán promover el juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa”.

Esta disposición buscó en su momento garantizar el derecho de todo particular a ejercer una acción jurídica contra la resolución de cualquier autoridad. Cabe mencionar que la LFPDP fue publicada en julio de 2010. Es decir, fue publicada antes de la reforma que diera lugar al INAI como organismo garante con autonomía constitucional, y cuando el organismo encargado a nivel federal de la protección de datos era el IFAI (Instituto Federal de Acceso a la Información y Protección de Datos).

El IFAI, de acuerdo a la abrogada Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, era un organismo de la Administración Pública Federal, con autonomía operativa, presupuestaria y de decisión, y por este motivo fue que la LFPDP contempló al Tribunal Federal de Justicia Fiscal y Administrativa como la instancia ante la cual los particulares pudieran acudir a promover el juicio de nulidad contra sus resoluciones.

Debe recordarse que el artículo 14 de la Ley Orgánica del Tribunal mencionado establece que éste puede conocer de los juicios que se promuevan contra las resoluciones definitivas, actos administrativos y procedimientos dictados por autoridades fiscales federales, organismos fiscales autónomos, o bien que impongan multas por infracción a las normas administrativas federales (entre otros supuestos). Asimismo, debe tenerse en cuenta que el juicio de nulidad en general, puede ser promovido también por las autoridades administrativas.

c) De lo anterior se concluye que ya no puede corresponder al Tribunal Federal de Justicia Fiscal y Administrativa el conocimiento de los juicios de nulidad que los particulares promovieran ante las resoluciones del organismo encargado de la protección de datos personales, debido a que éste posee, desde 2014, un carácter de autonomía constitucional y no uno administrativo (como sí lo tenía IFAI).

El hecho de que la LFPDP continúe permitiendo el juicio de nulidad para particulares, contraviene al artículo 6 de la Constitución que –como se ha visto– indica que “las resoluciones del organismo garante son vinculatorias, definitivas e inatacables para los sujetos obligados”. Si bien es cierto que los particulares que tratan datos personales no hacen parte de la categoría de “sujeto obligado”, no puede negarse que por sus actividades son responsables de la protección de los datos personales con los que trabajan. Por este motivo es que la presente iniciativa busca modificar el artículo 56 de la LFPDP.

Esta posible modificación no vulneraría el derecho de los particulares a recurrir una resolución de la autoridad competente pues, como en la Ley Federal de Transparencia de Acceso a la Información Pública vigente, se propone establecer que contra las resoluciones de sanción del Instituto procederá el juicio de amparo ante el Poder Judicial de la Federación.

d) Además, esta propuesta de modificación responde a una problemática en particular, dado que la posibilidad de promover el juicio de nulidad ha provocado que la facultad sancionatoria del Instituto carezca, en la práctica, de verdadera efectividad: durante los primeros cinco años de vigencia de la LFPDP, el Instituto sólo ha podido hacer efectivo el pago de una sola multa; todas las demás se encuentran en litigio ante Tribunal Federal de Justicia Fiscal y Administrativa.4

3. La necesidad de tipificar el acceso ilícito a las bases de datos de los responsables

Por último, esta iniciativa propone tipificar el acceso ilícito a las bases de datos personales en posesión de los particulares, ya que tanto en la LFPDP como en el Código Penal Federal se omite este acto como delito y, por tanto, no existen consecuencias punitivas contra el mismo. Esta omisión no es menor, pues presenta un rezago de México en la materia, ya que legislaciones como la argentina o la española tipificaron la actividad desde hace más de quince años.

En el capítulo X de la ley vigente –de las infracciones y sanciones–, únicamente se considera como infracción la vulneración de “la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable”. Pero no se hace referencia a la vulneración de las bases de datos que los responsables pudieran sufrir, de forma ilícita, por parte de terceros.

Por este motivo se hace la propuesta de agregar un artículo 70 a la LFPDP para sancionar con hasta siete años de prisión “al que por cualquier medio accediera, violando sistemas de confidencialidad y seguridad, a las bases de datos en posesión del responsable.”

Adicionalmente, se contempla que en caso de que una vulneración de este tipo ocurriera, el Instituto deberá sancionar al responsable del manejo de datos personales con una multa equivalente a la establecida en la fracción II del artículo 64 de la Ley. Lo anterior se propone, tomando en cuenta que:

1) En buena medida, la vulneración de bases de datos, por parte de terceros, puede ocurrir por negligencia de los responsables de los datos y esta modificación de ley obligaría a los responsables a priorizar los aspectos relacionados con la seguridad de sus bases de datos;

2) A este tipo de acción no puede corresponder una sanción mayor o igual a aquella que se impone cuando en la vulneración de la seguridad de bases de datos resulta “imputable el responsable” –como lo establece la fracción XI del artículo 63 de la Ley–, dado que el sujeto imputable en este supuesto sería un tercero.

Por lo anteriormente expuesto, pongo a consideración de esta asamblea la siguiente iniciativa con proyecto de

Decreto que reforma la fracción XI del artículo 3, modifica los artículos 56 y 58, y se adicionan los artículos 27 Bis y 70 a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.


Artículo Único. Se reforma la fracción XI del artículo 3, se modifican los artículos 56 y 58, y se adicionan los artículos 27 Bis y 70 a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares para quedar como sigue:


Artículo 3. Para los efectos de esta Ley, se entenderá por

I. a X. ...

XI. Instituto: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, a que hace referencia la Ley General de Transparencia y Acceso a la Información Pública .

Artículo 27 Bis. El Titular tendrá derecho a recibir la indemnización correspondiente, por parte del Responsable, cuando uno o más de los derechos reconocidos en esta ley le sean vulnerados.

La indemnización tendrá lugar cuando el Instituto determine que el responsable incurrió en una o más de las infracciones señaladas en el artículo 63 de esta Ley.

El Instituto elaborará los criterios mediante la cual se establecerán las formas de determinar los montos de las indemnizaciones, procurando la proporcionalidad entre el monto de la indemnización y la infracción cometida, y teniendo en cuenta como agravante el tratamiento de datos personales sensibles.

Artículo 56. En contra de las resoluciones derivadas del procedimiento de imposición de sanciones previsto en esta Ley, procede el juicio de amparo ante el Poder Judicial de la Federación.

Artículo 58. Los titulares que consideren que han sufrido un daño o lesión en sus bienes o derechos como consecuencia del incumplimiento a lo dispuesto en la presente Ley por el responsable o el encargado, podrán ejercer los derechos que estimen pertinentes para efectos de la indemnización que proceda, en términos del artículo 27 Bis de esta Ley .

Artículo 70. Se sancionará con una pena de uno a siete años de prisión al que por cualquier medio accediera, violando sistemas de confidencialidad y seguridad, a las bases de datos en posesión del responsable.

Cuando la autoridad judicial competente determine que se ha incurrido en el delito señalado en el párrafo anterior, el Instituto sancionará al responsable del tratamiento de datos personales conforme a la fracción II del artículo 64 de esta Ley.

Artículos Transitorios

Primero. El presente decreto entrará en vigor el día siguiente al de su publicación en el Diario Oficial de la Federación.

Segundo. El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales contará con un plazo de hasta un año, a partir de la publicación del decreto, para emitir y publicar los lineamientos en los que se establezca los criterios señalados en el artículo 27 Bis de esta Ley.

Notas

1 Comisión de Gobernación de la Cámara de Diputados, Dictamen con proyecto de decreto por el que se expide la Ley Federal de Protección de Datos Personales en posesión de los particulares..., 25 de marzo de 2010. Página 24. Disponible en internet en:

http://www3.diputados.gob.mx/camara/content/download/231 031/621446/file/Version_final_ley_proteccion_datos_personales.pdf.

2 Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, considerando 55.

3 De acuerdo con el artículo 3, fracción VI, se consideran como datos personales sensibles aquellos “que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual”.

4 Urrutia Alonso, “en 5 años, el Inai sólo ha cobrado una multa en materia de protección de datos”, La Jornada, Sec. Política, 23 de noviembre de 2015. Disponible en internet en:

http://www.jornada.unam.mx/2015/11/23/politica/004n2pol

Palacio Legislativo de San Lázaro, Ciudad de México, a 4 de octubre de 2016.

Diputado Alfredo Javier Rodríguez Dávila (rúbrica)

Fuente:

Gaceta Parlamentaria, año XIX, número 4631-V, martes 4 de octubre de 2016

Que reforma los artículos 3o., 27 Bis, 56, 58 y 70 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, a cargo del diputado Alfredo Javier Rodríguez Dávila, del Grupo Parlamentario del PAN 





Etiquetas:

Entradas populares de este blog

Iniciativa que adiciona diverso artículo a la Ley de Instituciones de Crédito en materia de notificaciones electrónicas de operaciones bancarias

@JonathanLpezTor Que adiciona el artículo 48 Bis 6 a la Ley de Instituciones de Crédito, a cargo de la diputada Ana María Boone Godoy, del Grupo Parlamentario del PRI. Con fundamento en lo dispuesto por los artículos 71, fracción II, de la Constitución Política de los Estados Unidos Mexicanos, 6, fracción I, del Reglamento de la Cámara de Diputados y demás disposiciones jurídicas aplicables, la suscrita, diputada Ana María Boone Godoy, integrante del Grupo Parlamentario del PRI de la LXIII Legislatura, somete a consideración de esta honorable soberanía la siguiente iniciativa con proyecto de decreto que crea el artículo 48 Bis 6 de la Ley de Instituciones de Crédito.                                                             Exposición de Motivos La seguridad y estabilidad del sistema bancario es una prioridad fundamental para la ciudadanía; los ahorros de la gente que representan sus sueños y el fruto de su trabajo merecen toda la protección y la certeza que
Leer más

Iniciativa en materia de delitos informáticos, evidencias digitales y medidas de cooperación internacional para combatir el ciberdelito.

@JonathanLpezTor Que reforma y adiciona diversas disposiciones de los Códigos Penal Federal, y Nacional de Procedimientos Penales, suscrita por la diputada Sofía González Torres e integrantes del Grupo Parlamentario del PVEM y el diputado Waldo Fernández González, del PRD. Quienes suscriben, diputada Sofía González Torres y diputados federales integrantes del Grupo Parlamentario del Partido Verde Ecologista de México, así como el diputado Waldo Fernández González, del Grupo Parlamentario del Partido de la Revolución Democrática de la LXIII Legislatura, con fundamento en lo dispuesto en el artículo 71, fracción II, de la Constitución Política de los Estados Unidos Mexicanos; y por los artículos 6, numeral 1, fracción I, 77 y 78, del Reglamento de la Cámara de Diputados, sometemos a consideración de esta asamblea la presente iniciativa con proyecto de decreto por el que se reforman y adicionan diversas disposiciones del Código Penal Federal y del Código Nacional de Procedimien
Leer más

Iniciativa que reforma y adiciona diversas disposiciones de la Ley de Aviación Civil, en materia de sistemas de aeronaves pilotadas a distancia (drones).

@JonathanLpezTor Que reforma y adiciona diversas disposiciones de la Ley de Aviación Civil, a cargo de la diputada Claudia Edith Anaya Mota, del Grupo Parlamentario del PRI. La suscrita, Claudia Edith Anaya Mota, integrante del Grupo Parlamentario del Partido Revolucionario Institucional en la LXIII Legislatura, con fundamento en lo dispuesto en los artículos 71, fracción II, de la Constitución Política de los Estados Unidos Mexicanos y 3, numeral 1, fracción VIII, 6, numeral 1, fracción I, 77 y 78 del Reglamento de la Cámara de Diputados, tiene a bien someter a consideración de esta soberanía iniciativa con proyecto de decreto, al tenor del siguiente Planteamiento del problema En la actualidad es cada vez más común el uso de tecnologías en las actividades cotidianas de la sociedad; principalmente en materia de comunicaciones, en las esferas productivas, el comercio, la forma en que se desempeñan algunas profesiones, el tiempo que ocupa realizarlas y el tiempo que
Leer más