Data Protection

La figura del oficial de protección de datos en la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados

Julio Huerta

Julio Huerta

9 min read
La figura del oficial de protección de datos en la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados
pexels-photo-530024.jpeg

En términos generales, la función principal de un “delegado” u “oficial de protección de datos personales” es asegurarse que los responsables del tratamiento lleven a cabo el procesamiento de datos personales de sus empleados, clientes, usuarios, proveedores y, en general, de cualquier individuo cuyos datos se encuentren en su posesión, conforme a las disposiciones aplicables en la materia.[1]

El oficial de protección de datos tiene la misión fundamental de informar a los empleados que llevan a cabo el tratamiento de datos personales acerca de sus obligaciones, monitorear el cumplimiento de la regulación de protección de datos, supervisar los procesos de tratamiento dentro de la organización del responsable, participar en labores de concientización y capacitación de los empleados, asesorar al personal designado en la elaboración de evaluaciones de impacto en la protección de datos personales, colaborar de manera cercana con las autoridades de control o supervisión, entre otras.

En México, desde el año 2010, el artículo 30 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares,[2] estableció para los responsables de carácter privado la obligación de designar a una persona o departamento que tuviera a su cargo fomentar la protección de datos personales al interior de la organización, así como dar trámite a las solicitudes de los titulares, para el ejercicio de los derechos previstos en este ordenamiento, en su Reglamento y demás normativa derivada.

Sin embargo, fue en el año 2017 que la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados[3] (LGPDPPSO), bajo la enorme influencia del Reglamento general de protección de datos de la Unión Europea[4] (Reglamento general), incluyó como tal la figura del oficial de protección de datos.

Viene al caso mencionar que la LGPDPPSO tiene como objeto garantizar el derecho que tiene toda persona a la protección de sus datos personales en posesión de cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos, en los ámbito federal, estatal y municipal (denominados “sujetos obligados” y considerados responsables del tratamiento en este ordenamiento[5]).

La naturaleza, requisitos y funciones del oficial de protección de datos se establecen en el artículo 85, penúltimo párrafo, de la LGPDPPSO, así como en los artículos 121 y 122 de los Lineamientos Generales de Protección de Datos Personales para el Sector Público[6] (Lineamientos), y se resumen en las siguientes:

  • Asesorar al Comité de Transparencia en materia de protección de datos personales.
  • Proponer al Comité de Transparencia políticas, programas, acciones y otras actividades que correspondan para el cumplimiento de la LGPDPPSO y los Lineamientos.
  • Implementar políticas, programas, acciones y otras actividades para el cumplimiento de la LGPDPPSO, y sus Lineamientos, previa autorización del Comité de Transparencia.
  • Fungir como un órgano que brinde asesoría permanente a las áreas adscritas al responsable en materia de protección de datos personales.
  • Las demás funciones que determine el propio responsable y la normatividad aplicable.

Si bien la inclusión de la figura del oficial de protección de datos representó un avance muy significativo para garantizar una mejor protección de las personas físicas respecto del tratamiento de su información personal en posesión de los sujetos obligados, consideramos que su regulación vigente resulta insuficiente para garantizar el cumplimiento de los objetivos específicos previstos en el artículo 2º de la LGPDPPSO.

A partir de la lectura de los artículos 85, penúltimo párrafo de la LGPDPPSO, y 121 de los Lineamientos, se advierte que la designación de un oficial de protección de datos no es de carácter obligatorio, sino optativo, y únicamente cuando el responsable en el ejercicio de sus funciones sustantivas lleve a cabo “tratamientos relevantes o intensivos de datos personales”. El artículo 85 de la LGPDPPSO, penúltimo párrafo, establece lo siguiente:

[…]

Los responsables que en el ejercicio de sus funciones sustantivas lleven a cabo tratamientos de datos personales relevantes o intensivos, podrán designar a un oficial de protección de datos personales, especializado en la materia, quien realizará las atribuciones mencionadas en este artículo y formará parte de la Unidad de Transparencia.

[…]                                                                                                              

[Énfasis añadido]

En términos de la LGPDPPSO, un tratamiento es relevante o intensivo en virtud del impacto que pudiera tener en los derechos y libertades de sus titulares, en función de diversos factores, por ejemplo, cuando (1) existan riesgos inherentes a los datos personales; (2) se traten datos personales sensibles, y (3) se efectúen o pretendan efectuar transferencias de datos personales[7]. Esta descripción es genérica y únicamente enunciativa, en la medida que pueden establecerse criterios adicionales que definan de manera más concreta cuándo se está en presencia de este tipo de tratamientos[8].

Sin embargo, no sólo se requiere de la presencia de un tratamiento intensivo o relevante, sino también de un elemento “volitivo” por parte de los responsables, ya que la expresión “podrán designar a un oficial de protección de datos personales” es abierta y no denota una obligación específica, dejando a la voluntad de los responsables como buena práctica que no en todos los casos es implementada, la decisión de designar a un oficial de protección de datos aun en los casos en que ocurran este tipo de tratamientos.

Sólo como referencia, es pertinente señalar que en la Unión Europea, la designación del oficial de protección de datos (bajo la figura del delegado de protección de datos) es obligatoria cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto en el caso de los tribunales que actúen en ejercicio de su función judicial.[9]

La decisión del legislador mexicano de reservar la designación de un oficial de protección de datos sólo en los casos de tratamientos relevantes o intensivos, resulta un tanto desafortunada si lo que se quiere es difundir e impulsar con seriedad en el interior de los sujetos obligados una cultura de la protección de datos personales. Al respecto, no debe perderse de vista que la protección de datos en el sector público mexicano aún lucha por desvincularse del derecho de acceso a la información. Esta percepción tiene sus orígenes en la forma en que el derecho a la protección de datos personales fue incluido en el artículo 6º de la Constitución Política de los Estados Unidos Mexicanos: como un límite al ejercicio del derecho de acceso a la información pública, mediante reforma de fecha 20 de julio de 2007, que adicionó siete fracciones al artículo 6º constitucional. En particular, la fracción II estableció que la información que se refiere a la vida privada y los datos personales debían ser protegidos en los términos y con las excepciones que fijen las leyes.[10]

Antes de la entrada en vigor de la LGPDPPSO, la regulación de la protección de datos personales en posesión de los sujetos obligados estaba prevista en escasos siete artículos de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental[11], expedida en el año 2002, un ordenamiento que como su nombre lo indica, estaba orientado principalmente a garantizar el ejercicio del derecho de acceso a la información pública y favorecer la rendición de cuentas a los ciudadanos. Si bien la protección de datos personales en posesión de los sujetos obligados era uno de los objetivos de este ordenamiento[12], el marco regulatorio no contemplaba todos los principios y deberes del tratamiento que actualmente contempla la LGPDPPSO, ni todos los derechos de los titulares de los datos.

Lo anterior explica en gran medida que, aun hoy en día, todavía hay quienes consideran que el derecho a la protección de datos personales en los sujetos obligados forma parte del derecho a la información pública. Y es que es innegable que actualmente los sujetos obligados se encuentran muy cargados hacia el lado de la transparencia, el acceso a la información y la rendición de cuentas.  Al respecto, no se niega la importancia de la transparencia y el acceso a la información pública, mecanismos que hacen posible examinar de mejor manera los registros y datos públicos en posesión de los órganos del Estado, y fungen como mecanismos de control de los actos de los gobernantes por los gobernados, indispensables en cualquier Estado que se dice democrático. Sin embargo, es necesario impulsar con mayor fuerza el desarrollo teórico-conceptual del derecho a la protección de datos personales en México, así como aumentar la capacitación y sensibilización de los responsables del sector público en la materia. En esta labor, el rol del oficial de protección de datos personales resulta fundamental.

La designación obligatoria de los oficiales de protección de datos personales, sin importar las características del tratamiento, habría sido un aspecto muy positivo que hubiese permitido aterrizar, interiorizar y difundir de una manera más eficiente el conocimiento y cultura de este derecho en los sujetos obligados.

Según lo dispone la LGPDPPSO, el Comité y la Unidad de Transparencia se constituyen como el órgano y área centrales para garantizar a las personas físicas el ejercicio efectivo del derecho a la protección de datos personales (el primero como autoridad máxima en datos personales, y el segundo como asesor en la materia de las diferentes áreas que componen los sujetos obligados).[13] En este sentido, el oficial de protección de datos es un poderoso aliado para difundir de manera transversal la cultura de la protección de datos personales en la organización de los responsables de carácter público.

Como se ha referido anteriormente, el artículo 122 de los Lineamientos propone una interesante lista de funciones a cargo del oficial de protección de datos. El problema es que, ante la falta de obligatoriedad para designar a esta persona, las funciones quedan establecidas en un artículo de ornato, visualmente atractivo para los defensores del papel protagónico de la regulación en materia de protección de datos personales en sector público, pero carente de efectividad en la práctica.

Si a lo anterior se suma el hecho que la atención de solicitudes de acceso a la información pública y los temas de transparencia ocupan gran parte de los recursos materiales y humanos de las Unidades de Transparencia y de los propios Comités, el resultado es previsible: una cultura deficiente del derecho a la protección de datos personales al interior de los sujetos obligados.

Urge formar especialistas en datos personales que presten sus servicios en el sector público, tanto a nivel federal como local. Es visible a partir de la revisión de las trayectorias profesionales de los expertos en datos personales, que muchos de ellos laboran en el sector privado, en empresas, despachos o consultorías independientes. Esta situación es comprensible, pero deja un gran trabajo y desafíos por delante para los sujetos obligados, quienes deben destinar recursos suficientes para la formación de personal especializado.

En distintos medios se escucha a actores políticos, académicos y funcionarios públicos decir que en México contamos con ordenamientos de protección de datos personales de vanguardia, situación que podría parecer razonable debido a que nos hemos beneficiando enormemente del derecho de protección de datos europeo. No obstante, es necesario fortalecer el conocimiento que oriente tanto el desarrollo de políticas públicas como el cumplimiento de las obligaciones establecidas en los ordenamientos de protección de datos.

Aún queda un largo camino por recorrer, la existencia de la LGPDPPSO es sólo el punto de partida para afirmar que México, en el sector público, garantiza a los ciudadanos un nivel de protección de datos personales adecuado. Sólo el tiempo pondrá en evidencia las fortalezas de una regulación moderna, así como la necesidad de generar conciencia y optimizar los recursos limitados para formar expertos en la materia en el sector público. Esto con miras a hacer justicia a la protección de datos personales como lo que es: un derecho fundamental que se toma en serio en la letra de la Ley y en la práctica.

[1] European Data Protection Supervisor, Data Protection Officer (DPO). Disponible en: https://edps.europa.eu/data-protection/data-protection/reference-library/data-protection-officer-dpo_en

[2] Publicada en el Diario Oficial de la Federación el 5 de julio de 2010. Disponible en: http://www.dof.gob.mx/nota_to_imagen_fs.php?codnota=5150631&fecha=05/07/2010&cod_diario=230522

[3] Publicada en el Diario Oficial de la Federación el 26 de enero de 2017. Disponible en: http://www.dof.gob.mx/nota_detalle.php?codigo=5469949&fecha=26/01/2017

[4] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Disponible en: https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e3782-1-1

[5] LGPDPPSO, Artículo 3º, fracción XXVIII.

[6] Acuerdo ACT -PUB/19/12/2017.1º, mediante el cual se aprueban los Lineamientos Generales de Protección de Datos Personales para el Sector Público. Disponible en el vínculo electrónico: http://inicio.inai.org.mx/AcuerdosDelPleno/ACT-PUB-19-12-2017.10.pdf

[7] LGPDPPSO, artículo 75.

[8] Es atribución del Sistema Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales al que hace referencia el Título II, Capítulo Primero, de la Ley General de Transparencia y Acceso a la Información Pública, emitir los criterios adicionales para determinar en qué casos se está en presencia de un tratamiento intensivo o relevante de datos personales (Este ordenamiento se encuentra disponible en: http://www.dof.gob.mx/nota_detalle.php?codigo=5391143&fecha=04/05/2015). Lo anterior con base en parámetros “objetivos”, según lo dispone el artículo 76 de la LGPDPPSO, precepto que prevé los factores que deben tomarse en cuenta para la elaboración de dichos criterios, que son: (1) el número de titulares, (2) el público objetivo, (3) el desarrollo de la tecnología utilizada, y (4) la relevancia del tratamiento de datos personales en atención al impacto social o, económico del mismo, o bien, del interés público que se persigue.

[9] Reglamento general de protección de datos, Artículo 37(1)(a).

[10] Congreso de la Unión (2007), Decreto mediante el cual se adiciona un segundo párrafo con siete fracciones al artículo sexto de la Constitución Política de los Estados Unidos Mexicanos. Disponible en: http://www.diputados.gob.mx/LeyesBiblio/ref/dof/CPEUM_ref_174_20jul07_ima.pdf

[11] Publicada en el Diario Oficial de la Federación el 11 de junio de 2002. Disponible en: http://www.dof.gob.mx/nota_to_imagen_fs.php?codnota=727870&fecha=11/06/2002&cod_diario=28656

[12] LFTAIPG, Artículo 4, fracción III.

[13] Las funciones del Comité y la Unidad de Transparencia están establecidas en los artículos 84 y 85 de la LGPDPPSO.

Read more

Security Management Planning as a Governance and Compliance Instrument

Introduction Security management planning is a critical organizational process that enables the structured creation, implementation, and enforcement of an information security policy. While often treated as a technical or operational concern, security management planning performs a broader governance function by establishing how organizations protect information assets, physical facilities, personnel, and

By Julio Huerta