Situación actual en México:

1. LA PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE PARTICULARES Y LAS IMPLICACIONES EN EL COMERCIO, LA ECONOMÍA Y LA COMPETITIVIDAD. Juan S. Mijares OrtegaDirector Jurídico y de Asuntos Corporativos Microsoft México

2. Situación actual en México: • Contamos con un marco legal razonablemente sólido en cuanto al manejo de datos personales en posesión del Estado (Ley de Transparencia, Lineamientos de Protección de Datos Personales, etc.). • Hay una regulación aceptable respecto del uso de datos personales en posesión de burós de crédito. • Sin embargo, falta un marco legal que regule el manejo de datos personales en posesión de particulares (sean individuos o empresas).

3. Diferencia esencial entre la regulación de los datospersonales en poder del Estado y los queobtengan los particulares • La diferenciaes simple: el sector públicotienedatospersonales de susciudadanospara que el Estado pueda cumplir con sus propios fines y con base en leyes que permitan esa recopilación de datos (contribuyentes, derechohabientes del IMSS, ISSSTE, votantes, usuarios de servicios públicos, etc.). • En cambio, los particularestienendatospersonales de susclientes o consumidores, reales o potenciales;esdecir, obtienen y usanesosdatos con un fin esencialmentecomercial, que puede incluir, válidamente, servicios de apoyo y/o soporte al usuario o consumidor.

4. Actualmente, los ciudadanos NO carecemos de una vulnerabilidad legislativa absoluta respecto del uso, por particulares, de nuestros datos personales. • Efectivamente, no estamos partiendo "de cero". • Ya se han promulgado algunas leyes (o adiciones a las mismas) que limitan, por ejemplo, el uso por parte de proveedores en una relación comercial, de los datos personales de sus consumidores para fines diferentes a los necesarios en el contexto de su relación comercial. • Pero se necesita hacer más.

5. ¿Quéfalta? ¿Qué protección debe darse desde el punto de vista legislativo, a los datos personales que tienen de nosotros los particulares? • Para este fin, hay dos premisasfundamentales: • 1. Es aceptable que los particulares tengan y usen información de nosotros en el contexto de la relación comercial que tengamos con tales particulares. • 2. Si dichos particulares piensan usar esa información personal para un fin distinto; o transmitirla a terceros, deben avisarnos y, en ciertos casos, necesariamente requieren obtener nuestro consentimiento previo.

6. Necesidad de unalegislacióndiferenciada entre los datospersonales en poder del Estado de los quelleguen a obtener los particulares. • La diferencia parte del bienjurídicoque en uno y en otrocaso se debetutelar: los datos en poder del Estado, permitenqueésterealicesusfuncionescomotal, mientrasque los querecaban los particularesdeben tender a permitirlastransaccionescomerciales, al tiempoqueguardar la privacidad e intimidad de los individuos. • El principio regulatorioquerige a la protección de datospersonales en posesión del Estado, porsunaturalezaespreponderantemente RESTRICTIVO: • Los datospersonales de los ciudadanossólopuedenusarsepara los fines públicospor el que el Estado los recibió. • Sóloporexcepción, debidamentecontemplada en lasleyesrespectivas, pueden ser usados para fines distintos o transmitidos a terceros.

7. Principioregulatorio que rige a la protección de datos personalesen posesión de los particulares. • El principio regulatorio que rige a la protección de datos personales que recaban los particulares, es preponderantemente FACULTATIVO: • Por regla general, los datos personales de los clientes, usuarios o consumidores de los particulares, pueden usarse en el contexto de una o más transacciones comerciales. • Sólo por excepción y cuando la naturaleza de la información sea especialmente delicada o sensible, su uso secundario o transmisión a terceros debe obtenerse, el consentimiento previo.

8. Justificación de la diferencia entre los principiosregulatoriosquerigen a uno y otro sector. • El principio regulatorio es inverso: lo que es regla general en uno, es decir, con los particulares, es la excepción en el otro. • Esta diferencia radica en el uso: en el sector público los datos personales se obtienen para cumplir fines públicos. • Entre los particulares, los datos personales se recaban para potenciar la economía: es decir, para que más personas puedan acceder a bienes y servicios. • Fundamentalmente, esto deriva de nuestras garantías individuales y del principio de Derecho y de la Democracia, relativo a que el Estado sólo puede realizar lo que le está expresamente permitido, mientras que los particulares pueden hacer todas aquéllas actividades que no les están prohibidas.

9. Unalegislaciónadecuadaimpactapositivamente en el comercioelectrónico, en el fomento a la economía y en la competitividad de México. • No hay duda de queunabuenalegislación en la materia de protección de datosrecabadosporparticularesbeneficia no sólo al comercioelectrónico, sinotambién al comercio en general. Facilita la realización de mayoresactividadeseconómicas y, por lo tanto, incide en una mayor la generación de empleos. • Por el contrario, una legislación con un enfoque que no atienda a este principio de eficiencia económica, desde luego impactaría negativamente al comercio y los empleos y a la competitividad nacional.

10. Principiosinternacionalesreconocidos. • Destacan los de la OCDE (1980 OECD Guidelines) y la APEC (Privacy Framework). Para simplificar, me referiré al "ICC Privacy Toolkit", de la Cámara Internacional de Comercio (ICC, con sede en París), que resume a las mejores prácticas de regulación en materia de privacidad de datos con base en los principios de OCDE y APEC. • De acuerdo con el ICC Privacy Toolkit, las funciones básicas de la protección de datos personales son: • Identificar los diferentes tipos de datos personales. • Educar a los usuarios y consumidores sobre la forma de proteger su información, de una forma co-responsable. • Implementar los mecanismos legales de protección de datos personales, mediante regulación (y permitir la auto-regulación). • Ejecutar las disposiciones legales.

11. ICC Privacy Toolkit-Principios • A) Lawful and Fair Collection (Obtención Legal y Transparente). La obtención de datos personales debe hacerse de forma clara y transparente. • B) Data Quality (Tipo de Datos). Los datos personales que obtienen los particulares deben ser los necesarios para su actividad comercial, ni más ni menos, y deben mantenerlos íntegros y actualizados. • C) Purpose Specification (Descripción del Uso). Los particulares deben avisar a los titulares de la información personal, para qué será usada dicha información, incluyendo si puede usarse para otros propósitos.

12. ICC Privacy Toolkit-Principios • D) Use Limitation (Limitaciones a su Uso). Si existe una limitación legal para usar la información para otros propósitos, los particulares no deben usarla o enajenarla (esto es aplicable particularmente para el caso de información sensible). • E) Security (Seguridad). Los particulares deben tener mecanismos razonables de protección y seguridad técnica sobre sus bases de datos, que permita preservar su integridad y uso adecuado (y confidencialidad, en su caso). • F) Openness (Transparencia). Los particulares deben tener y ejecutar una política clara y transparente respecto de la privacidad de los datos personales que obtienen de terceros.

13. ICC Privacy Toolkit-Principios • G) Right of Access (Acceso). Las personas cuya información personal está en poder de otros particulares, deben tener derecho a acceder a ella y hacer correcciones, en su caso. • H) Accountability (Responsabilidad Exigible).- Todo particular que tenga información personal de terceros tiene que ser responsable por el cumplimiento de los principios indicados, según consten en la legislación que le aplique.

14. Algunasrecomendaciones de ICC • Para el sector privado: Promover esquemas de autorregulación, tales como Códigos de Conducta y/o Códigos de Mejores Prácticas Corporativas. • Para los gobiernos: Adoptar un marco legislativo de protección de datos personales en cumplimiento estricto a las 1980 OECD Guidelines, a los lineamientos de APEC y, evidentemente, de ICC. • Evitar leyes, disposiciones y prácticas que obstaculicen el flujo transfronterizo de datos. • Evitar instancias burocráticas que limiten, controlen y quiten eficiencia a las actividades vinculadas con el comercio electrónico y el uso legal de datos personales. Esos procedimientos incluyen registros, restricciones innecesarios a la transmisión de datos no sensibles datos. • Promover programas de educación de corresponsabilidad de protección de la información personal.

15. En síntesis: • La protección de datos personales debe ser suficiente, pero no excesiva, de tal forma que se cumplan con los requisitos establecidos por nuestros principales socios comerciales: los del TLCAN y, también, aunque tienen una perspectiva diferente, los de la Unión Europea. • No es con burocracia y/o trámites como se resuelve la protección de datos personales en poder de privados. • Hay unos principios comúnmente aceptados, que nuestra legislación debe permitir y proteger: • La protección de datos es una materia local, de cada país; • El flujo de datos es global; y • Las obligaciones de protección y el honrar esas obligaciones es universal.

16. Gracias.