El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) presentó al Senado una serie de puntos principales, a manera de decálogo, que los comisionados sugieren sean considerados en el dictamen de la Ley General de Protección de Datos Personales, actualmente en proceso de discusión y análisis.
El documento que se envió destaca en primer lugar que es necesario precisar que el régimen aplicable a los sindicatos, personas físicas o morales de carácter privado, cuando reciban y ejerzan recursos públicos o realicen actos de autoridad, es la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, toda vez que no son autoridades, sujetos obligados que rija esta futura ley. Su inclusión no se considera pertinente jurídicamente.
En segunda instancia explica que es importante definir claramente las figuras de encargado y responsable de acuerdo con los estándares nacionales (Ley Federal de Protección de Datos Personales en Posesión de Particulares) e internacionales (Directiva Europea en materia de protección de datos personales, los estándares de Madrid o el Marco de Privacidad del Foro de Cooperación Económica de Asia Pacífico, entre otros). Definición de encargado y responsable compatible con legislación nacional e internacional
Como tercer punto, asegura el comunicado, es conveniente hacer precisiones a los principios de “consentimiento”, “finalidad” y “licitud”.
En cuarto lugar, es de suma importancia especificar los tipos de vulneraciones de seguridad en materia de protección de datos personales que se tienen identificados, así como la obligación del responsable de notificar a la autoridad garante y a los titulares, las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento.
En quinta instancia es imprescindible reconocer y desarrollar un régimen de transferencias nacionales e internacionales de datos personales y prever reglas claras para transferir válidamente, información personal, dentro y fuera de territorio nacional.
Como sexto punto, es necesario reconocer acciones preventivas, como la realización de evaluaciones de impacto a la privacidad, y la designación de un oficial de protección de datos personales, para evitar posibles vulneraciones
En séptimo lugar, es relevante contar con la posibilidad de emitir un Acuerdo de Inicio del Procedimiento de Verificación, a nivel procesal, con el objetivo de blindar las actuaciones y el procedimiento que en su caso derive, situación que puede impactar positivamente en el grado de efectividad de los organismos garantes.
En octava instancia, es conveniente enfatizar que la actuación del INAI, de acuerdo con la Constitución, únicamente puede ser revisada por los tribunales del Poder Judicial de la Federación, por lo que un mecanismo como el de la revisión del Tribunal Federal de Justicia Fiscal y Administrativa, podría contravenir la Carta Magna.
Como noveno punto, conforme a los objetivos de la Ley General en la materia, la emisión de un reglamento no es necesario, si se considera que su desarrollo corresponde a la Ley Federal y a las Leyes locales, que en su momento se emitan.
Y en décimo lugar, es imprescindible que se hagan las previsiones presupuestales para el INAI, ya que tendrá competencia para conocer de los asuntos relacionados con la protección de datos personales de cualquier autoridad que forme parte de alguno de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos.