El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) presentó al Senado de la República un decálogo con las recomendaciones que estima deberían de ser considerados en el dictamen de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, (LGPDPPSO), actualmente en proceso de discusión en dicha cámara.
La primera de las consideraciones espetadas por el INAI está en que se debe precisar que el régimen aplicable a los sindicatos, personas físicas o morales de carácter privado que reciban y ejerzan recursos públicos o realicen actos de autoridad, es el de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), toda vez que estos no son materialmente autoridades.
En segundo lugar, es imperioso definir con claridad la figura de encargado y responsable, de acuerdo con los estándares nacionales e internacionales (Directiva Europea en materia de protección de datos personales, los estándares de Madrid o el Marco de Privacidad del Foro de Cooperación Económica de Asia Pacífico, etc.).
Posteriormente, se reconoce la necesidad de precisar los siguientes principios:
- finalidad: es menester desarrollar cuáles son sus bases generales, teniendo como origen la obligación consistente en informar el uso que se dará a los datos personales
- consentimiento: la ley debe contemplar como regla general que este elemento sea el que legitime y autorice el uso de datos personales (con las excepciones procedentes)
- licitud: para evitar confusiones respecto al alcance, es recomendable sustituir la denominación del principio de legalidad por el de licitud
En cuarto lugar está el apremio por especificar los tipos de vulneraciones de seguridad en materia de protección de datos personales que se tienen identificados, además de la obligación del responsable de notificar a la autoridad garante y a los titulares, cualquier violación de seguridad ocurrida durante alguna fase del tratamiento.
Por su parte, la quinta recomendación estriba en el reconocer y desarrollar un régimen de transferencias nacionales e internacionales de datos personales y prever reglas claras para llevarlas a cabo de forma válida.
Como sexto punto está la inclusión de acciones preventivas, tales como la ejecución de evaluaciones de impacto a la privacidad; la designación de un oficial de protección de datos personales, etc.
En el séptimo lugar está el plantear la posibilidad de emitir un acuerdo de inicio de procedimiento de verificación, dentro del proceso, para blindar las actuaciones y el procedimiento que en su caso derive. Se prevé que esta medida puede impactar positivamente en la efectividad de los organismos garantes.
Dentro del octavo puesto está el enfatizar, en concordancia con el texto constitucional, que la actuación del INAI únicamente puede ser revisada por los tribunales del Poder Judicial de la Federación, por lo que una herramienta como el recurso de revisión ante el Tribunal Federal de Justicia Fiscal y Administrativa, resulta incongruente frente a tal previsión. En ese entendido, se busca que la vía para que los particulares impugnen las resoluciones del INAI sea únicamente la del juicio de amparo.
En torno a la novena recomendación, se destaca que no existe justificación para emitir un reglamento, si se considera que los objetivos de la LGPDPPSO no lo necesitan, pues su desarrollo corresponde únicamente a la propia ley, a nivel federal, y a las leyes locales.
De igual forma, es imprescindible hacer las previsiones presupuestales para el INAI, toda vez que éste tendrá competencia para conocer de los asuntos relacionados con la protección de datos personales de cualquier autoridad, entidad u órgano que formen parte de alguno de los tres poderes (ejecutivo, legislativo o judicial), incluso de los vinculados con órganos autónomos, partidos políticos, fideicomisos y fondos públicos.
Por último, el INAI recomienda incluir temas de vanguardia como lo son:
- portabilidad, entendido como un nuevo derecho que permite obtener una copia electrónica u original de los documentos personales para ser transferidos a otro sistema (pasar información personal de una red social a otra). Ésta prerrogativa debe ser estimada como un nuevo derecho ARCO
- tratamiento de datos en el ámbito laboral, con el ánimo de contar con las normas mínimas para evitar la generación de perfiles innecesarios que generen efectos discriminatorios
- suplantación de identidad, como una respuesta al aumento de éste tipo de conductas ilícitas.
