El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) presentó al Senado de la República una serie de puntos principales, a manera de decálogo, que los comisionados sugieren sean considerados en el dictamen de la Ley General de Protección de Datos Personales, actualmente en proceso de discusión y análisis en esa H. Cámara de Senadores.

El documento que se envía, firmado por los integrantes del Pleno, destaca los siguientes puntos:

En primer lugar, es necesario precisar que el régimen aplicable a los sindicatos, personas físicas o morales de carácter privado, cuando reciban y ejerzan recursos públicos o realicen actos de autoridad, es la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, toda vez queno son autoridades,

sujetos obligados que rija esta futura ley. Su inclusión no se considera pertinente jurídicamente.

En seguda instancia, es importante definir claramente las figuras de encargado y responsable de acuerdo con los estándares nacionales (Ley Federal de Protección de Datos Personales en Posesión de Particulares) e internacionales (Directiva Europea en materia de protección de datos personales, los estándares de Madrid o el Marco de Privacidad del Foro de Cooperación Económica de Asia Pacífico, entre otros). Definición de encargado y responsable compatible con legislación nacional e internacional.

Como tercer punto, es conveniente hacer las siguientes precisiones a los principios de consentimiento, finalidad y licitud.

Consentimiento: la ley debe prever, como regla general, que el consentimiento será lo que legitime y autorice el uso de datos personales, con las excepciones

correspondientes.

Finalidad: se debe reconocer y desarrollar las bases generales del principio de finalidad, entendido como la obligación de informar el uso que se dará a los datos

personales.

Licitud: la iniciativa debe sustituir la denominación del principio de legalidad por el de licitud, a efecto de evitar confusiones, respecto de su alcance.

En cuarto lugar, es de suma importancia especificar los tipos de vulneraciones de seguridad en materia de protección de datos personales que se tienen identificados, así como la obligación del responsable de notificar a la autoridad garante y a los titulares, las vulneraciones de seguridad ocurridas en

cualquier fase del tratamiento. Especificación de probables vulneraciones de seguridad.

En quinta instancia, es imprescindible reconocer y desarrollar un régimen de transferencias nacionales e internacionales de datos personales y prever

reglas claras para transferir válidamente, información personal, dentro y fuera de territorio nacional. Transferencia válida de datos personales a nivel nacional e internacional.

Como sexto punto, es necesario reconocer acciones preventivas, como la realización de evaluaciones de impacto a la privacidad, y la designación

de un oficial de protección de datos personales, para evitar posibles vulneraciones relacionadas con la garantía de la protección de datos personales.

Prevenciones de vulneraciones.

En séptimo lugar, es relevante, entre otros aspectos, contar con la posibilidad de emitir un Acuerdo de Inicio del Procedimiento de Verificación, a nivel procesal, con el objetivo de blindar las actuaciones y el procedimiento que en su caso derive, situación que puede impactar positivamente en el grado de efectividad

de los organismos garantes. Acuerdo de Inicio del Procedimiento de Verificación.

En octava instancia, es conveniente enfatizar que la actuación del INAI, de acuerdo con la Constitución, únicamente puede ser revisada por los tribunales del

Poder Judicial de la Federación, por lo que un mecanismo como el de la revisión del Tribunal Federal de Justicia Fiscal y Administrativa, podría contravenir

la Carta Magna. Incompetencia del TFJFA.

Como noveno punto, conforme a los objetivos de la Ley General en la materia, la emisión de un reglamento no es necesario, si se considera que su desarrollo

corresponde a la Ley Federal y a las Leyes locales, que en su momento se emitan. No se requiere un reglamento.

En décimo lugar, es imprescindible que se hagan las previsiones presupuestales para el INAI, ya que tendrá competencia para conocer de los asuntos relacionados con la protección de datos personales de cualquier autoridad, entidad, órgano u organismo que forme parte de alguno de los Poderes Ejecutivo,

Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos.Asimismo, conocerá de los recursos que interpongan los titulares respecto de las resoluciones de los organismos autónomos especializados en los estados y el Distrito Federal. Se considera de gran relevancia dotar también a los sujetos obligados de recursos para cumplir con sus obligaciones en materia de datos personales.