Consideraciones en torno al principio del consentimiento en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares

En primer término, propongo introducir una distinción que parte del uso de una misma expresión, que a mi juicio, puede comunicar distintos significados. Me refiero a la expresión “derecho a la protección de datos personales” y a la forma en que servidores públicos, académicos y legisladores, entre otros, hacen uso de la misma en distintos espacios y foros en México.

Para comprender la distinción, quizá sea suficiente (al menos para efectos de esta aportación) tener en cuenta que en un primer uso, el derecho a la protección de datos personales es equiparable con el “derecho a la autodeterminación informativa”, que podría ser concebido grosso modo, como un poder de disposición y control que faculta a una persona para decidir libremente, y de manera específica e informada sobre el uso de sus datos personales[1] (decidir qué información se comparte con otras personas y para qué finalidades, entre otros). Así entendido, el “derecho a la protección de datos personales” denotaría una facultad que un ordenamiento jurídico determinado atribuye a las personas físicas[2] (lo que suele denominarse comúnmente en el argot jurídico como un derecho subjetivo «a right»).

Por otra parte, la expresión “derecho a la protección de datos personales” también es empleada a menudo, aunque sea de forma inconsciente, para denotar al ordenamiento jurídico de protección de datos personales en sí mismo, conformado por el conjunto de normas jurídicas que prevén principios, deberes, procedimientos, entre otros, que establecen las condiciones que hacen posible la dinámica y operatividad práctica del derecho (en este sentido, el “derecho a la protección de datos personales” sería equivalente con lo que suele llamarse derecho objetivo «the law»).

Ambas concepciones son dependientes y no se entienden una sin la otra. Ahora bien, los ordenamientos de protección de datos establecen una serie de directrices o principios que delimitan la actuación de los responsables (personas físicas o jurídicas, de carácter público o privado que deciden sobre la finalidad y medios de un tratamiento[3] de datos personales) y que confieren derechos subjetivos a los titulares (personas físicas a quienes conciernen los datos personales). Entre estas directrices o principios que orientan la actuación de los responsables, existe el principio del consentimiento, el cual ocupa un lugar esencial en el derecho a la protección de datos personales, pues se traduce en la facultad mediante la cual el titular autoriza o manifiesta su acuerdo respecto al tratamiento de la información que le concierne, y en última instancia, en un elemento que le permite “mantener el control” respecto a su información personal.

Cabe señalar que en México, el derecho a la protección de datos personales está reconocido como derecho fundamental en la Constitución Política[4]. Específicamente, el artículo 16, segundo párrafo de la Carta magna, reconoce el derecho que tiene toda persona a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición al tratamiento en los términos que fije la ley, la cual establecerá supuestos de excepción a los principios que rigen el tratamiento de datos personales por cuestiones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para la protección de derechos de terceros.

En esta ocasión, me permito realizar una breve reflexión acerca del estatus que la Ley Federal de Protección de Datos Personales en Posesión de los Particulares[5] (en lo sucesivo, Ley Federal), asigna al consentimiento de los titulares como base jurídica preponderante (regla general) que habilita cualquier tratamiento de datos personales, según lo disponen los artículos 8 de la Ley Federal y 11 de su Reglamento[6], entre otros. Viene al caso señalar que la Ley Federal tiene por objeto la protección de los datos personales en posesión de las personas físicas y morales de carácter privado (responsables) y desarrolla las bases, principios y derechos a que hace referencia el artículo 16 constitucional en materia de protección de datos, en el ámbito privado.

  • El consentimiento como regla general para el tratamiento de datos personales en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares

El artículo 3, fracción IV de la Ley Federal, define al consentimiento como la “manifestación de la voluntad del titular de los datos mediante la cual se efectúa el tratamiento de los mismos”. Así, el consentimiento permite al titular[7], al menos idealmente, decidir de forma libre, específica e informada sobre un determinado tratamiento de datos personales (artículo 3, fracción VIII del Reglamento). Sobre este punto, los artículos 8 de la Ley Federal y 11 de su Reglamento establecen lo siguiente:

Artículo 8.- Todo tratamiento de datos personales estará sujeto al consentimiento de su titular, salvo las excepciones previstas por la presente Ley.

[…]”

Principio de consentimiento

Artículo 11. El responsable deberá obtener el consentimiento para el tratamiento de los datos personales, a menos que no sea exigible con arreglo a lo previsto en el artículo 10 de la Ley. La solicitud del consentimiento deberá ir referida a una finalidad o finalidades determinadas, previstas en el aviso de privacidad.

Cuando los datos personales se obtengan personalmente o de manera directa de su titular, el consentimiento deberá ser previo al tratamiento.”

A partir de lo dispuesto en los artículos anteriores, se advierte que la Ley Federal establece específicamente, que para todo tratamiento de datos personales hay una regla general (el consentimiento del titular) y hay supuestos de excepción a la regla (distintos al consentimiento del titular). Con el propósito de aportar mayor contexto, es pertinente tener en cuenta lo dispuesto por el artículo 10 de la Ley Federal respecto a cuándo no es necesario obtener el consentimiento para el tratamiento de los datos personales:

“Artículo 10.- No será necesario el consentimiento para el tratamiento de los datos personales cuando:

I. Esté previsto en una Ley;

II. Los datos figuren en fuentes de acceso público;

III. Los datos personales se sometan a un procedimiento previo de disociación;

IV. Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable;

V. Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes;

VI. Sean indispensables para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la Ley General de Salud y demás disposiciones jurídicas aplicables y que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente, o

VII.   Se dicte resolución de autoridad competente.”

El problema implícito en estos preceptos, es que en la práctica son muchos los casos en los que el consentimiento de los titulares no es requerido por los responsables para efectuar el tratamiento[8], evidenciando por tanto que las excepciones a que refiere el artículo 10 de la Ley Federal son de facto, fundamentos o bases jurídicas adicionales (con un rango jerárquico similar) para el tratamiento de datos personales.

Para entender la relevancia en el cambio de perspectiva, es indispensable tener en cuenta que el término “regla” denota un patrón de regularidad y aquello que ha de cumplirse en una gran mayoría de casos. En este sentido, si el consentimiento fuese la regla para el tratamiento, tal como lo dispone la Ley Federal, su no exigibilidad en la práctica tendría que ser en supuestos muy particulares y escasos (carácter excepcional de la regla). Sin embargo, son numerosos los casos en que el tratamiento de datos está habilitado porque es necesario para dar cumplimiento a un contrato, para la prestación de un servicio concreto en favor del titular, con motivo del cumplimiento de una disposición jurídica que autoriza una transferencia de datos personales, entre otros.

Sin profundizar demasiado en los supuestos de excepción a la obtención del consentimiento, previstos en el artículo 10 de la Ley Federal, parece razonable que el tratamiento de datos personales para el cumplimiento de un contrato u obligación jurídica; una transferencia de información personal por cuestiones de interés público, salud pública, intereses legítimos del responsable del tratamiento, o un tratamiento de datos personales para la protección vital del titular (por ejemplo, para brindarle atención médica cuando no se encuentre en posibilidad de manifestar su consentimiento), se encontraría justificado sin requerir el consentimiento de la persona. De ser el caso, sobrevendría una disminución fáctica y previsible en la injerencia de la voluntad del titular, y su influencia “real” para decidir sobre un tratamiento específico.

Para exponer nuestro punto con mayor claridad, es útil recurrir textualmente a lo dispuesto por el artículo 6 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016[9] (en adelante, Reglamento general de protección de datos), que bajo el rubro de “licitud del tratamiento” dispone:

“Artículo 6

Licitud del tratamiento

  1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

[…]”

Puede advertirse que el contenido del artículo 6 del Reglamento general de protección de datos guarda una importante similitud con los artículos 8 y 10 de la Ley Federal, con la diferencia de que el consentimiento del titular (interesado) para uno o varios fines específicos, es sólo un fundamento entre varios. Asimismo, puede constatarse por analogía, que algunas de las prescripciones que en la Ley Federal fueron incluidas como excepciones, en el artículo 6 del Reglamento general de protección de datos personales aparecen con el carácter de fundamentos jurídicos adicionales.

A partir de lo anterior, puede inferirse que la interpretación de que el consentimiento no es el único fundamento jurídico, ni el más importante o adecuado en todos los casos, es una cuestión que está claramente establecida en el marco comunitario europeo de protección de datos personales, a diferencia del marco jurídico mexicano. Sobre este punto, resulta de gran utilidad citar lo dispuesto por el Grupo de Trabajo del Artículo 29[10], que versa sobre el ámbito de aplicación de la Directiva Europea 95/46/CE sobre Protección de Datos Personales[11]:

“El consentimiento es uno de los fundamentos jurídicos del tratamiento de datos personales. Es un elemento importante que no excluye, según el contexto, la posibilidad de otros fundamentos jurídicos tal vez más adecuados desde el punto de vista del responsable del tratamiento y el interesado. Si se utiliza correctamente, el consentimiento es un instrumento que permite al interesado controlar el tratamiento de sus datos. Si se utiliza de forma incorrecta, el control por el interesado resulta ilusorio y el consentimiento deja de ser una base adecuada del tratamiento.”[12]

Muy importante a resaltar en la cita anterior, es la posibilidad de que en un tratamiento de datos personales concurran varios fundamentos jurídicos que le den sustento. Asimismo, el Grupo de Trabajo del Artículo 29 es enfático al plantear la posibilidad de que los responsables utilicen o soliciten el consentimiento del titular de modo inadecuado, provocando incluso su anulación, y volviéndolo inoperante en la práctica. De aquí la importancia de que los responsables del tratamiento distingan con claridad cuándo el consentimiento debe ser reconocido como base idónea para habilitar un tratamiento de datos personales, y cuándo se requiere fundamentar el tratamiento en bases jurídicas adicionales o diferentes.

Igualmente, habría que tener en cuenta que el requerimiento del consentimiento debe ir acompañado de su carácter inequívoco (el procedimiento de su obtención y otorgamiento no tiene que dejar ninguna duda sobre la intención del titular al dar su consentimiento); libre (que el titular cuente con opciones reales de elección sobre el uso de sus datos, y no medie ningún vicio de la voluntad); específico (que el tratamiento se efectúe conforme a finalidades concretas, determinadas y legítimas) e informado (con conocimiento suficiente acerca de las consecuencias que se derivarían a partir de su otorgamiento). Estas características permiten que pueda hablarse de un “consentimiento válido”.

El hecho de que la Ley Federal reconozca que el consentimiento del titular es la regla general para todo tratamiento de datos personales, podría generar falsas expectativas en los titulares, respecto a qué esperar en determinados tratamientos de datos, por ejemplo, haciéndoles creer que en todos o la mayoría de las relaciones que surgen con los responsables, pueden disponer libremente de su información personal, decidir sobre la autorización de las finalidades del tratamiento, o en general, que es su voluntad la que está legitimando el tratamiento de los datos. En efecto, habrá espacios y finalidades sobre los cuales los titulares puedan tener una injerencia libre y un control directo, pero habrá otros casos en que el tratamiento y sus condiciones estarán autorizados con fundamento en bases jurídicas distintas al consentimiento (que para efectos de la Ley Federal son denominadas “excepciones”).

Entonces, sin restar importancia al papel que tiene el consentimiento del titular en el tratamiento de datos personales en el sistema jurídico mexicano, es útil tener en cuenta que el consentimiento no siempre es la única base jurídica o la más pertinente para justificar un tratamiento de datos personales, ni es en todos los casos el fundamento que subyace en un determinado tratamiento. De esta forma, sostengo que la Ley Federal, con un carácter similar a la Directiva Europea 95/46/CE y al Reglamento general de protección de datos que la sustituyó, debió haber adoptado de una manera más adecuada y sistemática las condiciones de licitud del tratamiento (en la terminología adoptada en estos ordenamientos), y no establecer dichos supuestos como excepciones, lo cual constituye una distorsión a las bases jurídicas que pueden legitimar cualquier tratamiento de datos personales.

Únicamente a modo de referencia, por no ser objeto de esta contribución, cabe destacar que en un sentido similar fue adoptada la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados[13] (Ley General), que en su artículo 20 establece que cuando no se actualicen algunas de las causales de excepción previstas en el artículo 22 de este ordenamiento, el responsable deberá contar con el consentimiento previo del titular para el tratamiento de los datos personales. Al respecto es posible apuntar (aunque quizá de forma apresurada) que la base jurídica que habilita un tratamiento de datos personales efectuado por responsables del sector público, es la Ley y los supuestos previstos en el referido artículo 22, los cuales aparecen igualmente con el carácter de excepciones, quedando el consentimiento como una base que tiene una función más limitada y específica.

No cabe duda de que los responsables del sector público, con la entrada en vigor de la Ley General tendrán una labor importante para identificar las bases y fundamentos jurídicos que les permitan justificar y efectuar de un modo razonable, responsable y suficiente, el tratamiento de datos personales de los titulares. El consentimiento ciertamente podrá requerirse en determinados contextos y para ciertas finalidades; no obstante, deberán identificarse y evaluarse detenidamente los casos en que pudieran concurrir fundamentos o supuestos adicionales, más pertinentes o idóneos para legitimar el tratamiento de los datos, lo cual ciertamente ocurrirá como he venido señalando, en un gran número de supuestos.

Finalmente, es importante reiterar que el consentimiento de los titulares debería poder interactuar simultáneamente y ser compatible con otras bases jurídicas que están destinadas a justificar el tratamiento de una manera integral y suficiente (no son excluyentes necesariamente). Por otra parte, también considero indispensable afirmar que el hecho de que el consentimiento de las personas no sea requerido para habilitar un tratamiento específico, no significa que los responsables se encuentren exentos de cumplir con los demás principios del tratamiento, deberes y derechos (acceso, rectificación, cancelación y oposición). Lo anterior supondría, sin duda, una afectación grave en el derecho de las personas físicas respecto al tratamiento de sus datos personales.

[1] Los Estándares Internacionales sobre Protección de Datos Personales y Privacidad (Resolución de Madrid) definen la figura de “dato de carácter personal” como “cualquier información concerniente a una persona física identificada o que pueda ser identificada a través de medios que puedan ser razonablemente utilizados”. Los Estándares pueden consultarse en el vínculo: http://www.oas.org/es/sla/ddi/docs/proteccion_datos_personales_conferencias_estrasburgo_res_madrid_2013.pdf
[2] Es posible identificar algunas legislaciones de datos personales que extienden la protección no sólo a la información de personas físicas, sino también a la concerniente a personas morales o jurídicas. Es el caso de Argentina, que en el artículo 1º de la Ley 25.326 de Protección de Datos Personales, establece que las disposiciones de este ordenamiento también son aplicables, en cuanto resulte pertinente, a los datos relativos a personas de existencia ideal (personas jurídicas o morales). El ordenamiento de referencia puede consultarse en: http://www.protecciondedatos.com.ar/ley25326.htm
[3] El término “tratamiento” es un concepto amplio, y comprende cualquier uso de datos personales (en general), y acciones como la obtención, acceso, divulgación, almacenamiento, manejo, aprovechamiento, transferencia o disposición de datos personales (en particular), entre otras.
[4] Constitución Política de los Estados Unidos Mexicanos. Última reforma publicada en el diario oficial de la federación el 24 de febrero de 2017. Disponible en el vínculo electrónico: http://www.ordenjuridico.gob.mx/Documentos/Federal/wo14166.doc
[5] Ley Federal de Protección de Datos Personales en Posesión de los Particulares, publicada en el Diario Oficial de la Federación el 5 de julio de 2010. Disponible en: http://dof.gob.mx/nota_detalle.php?codigo=5150631&fecha=05/07/2010
[6] Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, publicado en el Diario Oficial de la Federación el 21 de diciembre de 2011. Disponible en: http://www.dof.gob.mx/nota_detalle.php?codigo=5226005&fecha=21/12/2011
[7] La Ley Federal define en el artículo 3, fracción XVII, la figura del “titular”, como “la persona física a quien corresponden los datos personales”.
[8] La Ley Federal define en el artículo 3, fracción XIV, la figura del “responsable” (del tratamiento), como la “persona física o moral de carácter privado que decide sobre el tratamiento de datos personales”.
[9] Disponible en el vínculo electrónico: http://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32016R0679
[10] Este Grupo se creó en virtud del artículo 29 de la Directiva 95/46/CE. Se trata de un organismo europeo, con carácter consultivo e independiente, para la protección de datos y el derecho a la intimidad. Sus funciones se describen en el artículo 30 de la Directiva 95/46/CE y en el artículo 15 de la Directiva 2002/58/CE. http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083
[11] La Directiva 95/46/CE fue derogada con motivo de la entrada en vigor del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, publicado en el Diario Oficial de la Unión Europea el 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
[12] Para comprender con mayor amplitud el papel que tiene el consentimiento en el tratamiento de los datos personales en el marco de la Directiva 95/46/CE, véase el Dictamen 15/2011 sobre la definición del consentimiento, adoptado el 13 de julio de 2011, p. 2. Disponible en el vínculo electrónico: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp187_es.pdf
[13] La Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, tiene por objeto establecer las bases, principios y procedimientos para garantizar el derecho que tiene toda persona a la protección de sus datos personales, en posesión de cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos, en el ámbito federal, estatal y municipal, denominados responsables del tratamiento para efectos de este ordenamiento. La Ley General fue publicada en el Diario Oficial de la Federación el 26 de enero de 2017 y se encuentra disponible en el vínculo siguiente: http://www.dof.gob.mx/nota_detalle.php?codigo=5469949&fecha=26/01/2017

Candado © alfonsobeneyas bajo licencia Creative Commons CC-BY 2.0

One Comment

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *