ACCIÓN DE INCONSTITUCIONALIDAD 82/2021 Y SU ACUMULADA 86/2021. INSTITUTO NACIONAL DE TRANSPARENCIA, ACCESO A LA INFORMACIÓN Y PROTECCIÓN DE DATOS PERSONALES Y DIVERSOS SENADORES INTEGRANTES DE LA LXIV LEGISLATURA. 26 DE ABRIL DE 2022. PONENTE: NORMA
Fecha: 18-Nov-2022
Fin Constitucionalmente Válido
222. El primer aspecto que debe analizarse es si el sistema normativo que permite al Estado a través del PANAUT recopilar, administrar, conservar por tiempo indeterminado y tener acceso a la información privada y los datos personales de toda aquella persona física y/o moral que sea titular de una línea de telefonía móvil, persigue un fin constitucionalmente válido.
223. Sobre este aspecto, conviene citar nuevamente los Principios del CIJ, puesto que el principio uno, referido a las finalidades legítimas y lealtad, dispone que "Los datos personales deberían ser recopilados solamente para finalidades legítimas y por medios legales (sic) y legítimos."(90)
224. Al respecto, el referido Comité explica que el requisito de legitimidad en las finalidades para las cuales se tratan los datos personales es una norma fundamental, profundamente arraigada en valores democráticos básicos y en el Estado de derecho. Abarca el concepto de legalidad y excluye el tratamiento arbitrario y caprichoso de los datos personales, implica transparencia y una estructura jurídica a la cual pueda tener acceso la persona, cuyos datos estén recopilándose.
225. Así, el mandato general es que no deben recopilarse datos sobre las personas excepto en las situaciones y con los métodos permitidos o autorizados por la ley.
226. Es por eso que se establece que los Estados miembros deben incluir en sus legislaciones nacionales disposiciones específicas sobre las finalidades legítimas del tratamiento de datos personales, los cuales podrían incluir casos en los que: (a) el titular de los datos otorgue su consentimiento expreso para el tratamiento de sus datos personales para una o varias finalidades específicas; (b) el tratamiento sea necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales; (c) el tratamiento sea necesario para el cumplimiento de una obligación legal aplicable al responsable de datos; (d) el tratamiento sea necesario para proteger intereses vitales del titular o de otra persona; (e) el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en ejercicio de poderes públicos conferidos al responsable de datos; (f) el tratamiento sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable de datos; (g) el tratamiento sea necesario para el cumplimiento de una orden judicial, resolución o mandato fundado y motivado de autoridad pública competente; y, (h) el tratamiento sea necesario para el reconocimiento o defensa de los derechos del titular ante una autoridad pública.
227. Al respecto, el Comité señala que, en principio, la recopilación de los datos personales debe limitarse a aquellos casos en los que se cuenta con el consentimiento de la persona, salvo delimitadas excepciones.(91) Complementa esta regulación el principio dos referido a la transparencia y consentimiento, el cual establece lo siguiente:
"Antes o en el momento en que se recopilen, se deberían especificar la identidad y datos de contacto del responsable de los datos, las finalidades específicas para los cuales se tratarán los datos personales, el fundamento jurídico que legitima su tratamiento, los destinatarios o categorías de destinatarios a los cuales los datos personales les serán comunicados, así como la información a ser transmitida y los derechos del titular en relación con los datos personales a ser recopilados. Cuando el procesamiento se base en el consentimiento, los datos personales solamente deberían ser recopilados con el consentimiento previo, libre, inequívoco e informado de la persona a que se refieran."
228. Sobre este punto, expresa el Comité que por regla general las personas deben tener la posibilidad de dar su consentimiento de forma libre respecto a la recopilación de sus datos personales, por tanto, el consentimiento debe basarse en información suficiente y ser claro, es decir, no dar lugar a ninguna duda o ambigüedad con respecto a su intención. El titular debe ser capaz de efectuar una elección real y no debe correr ningún riesgo de engaño, intimidación, coacción o consecuencia negativa significativa si se niega a dar su consentimiento.
229. Sólo por excepción es posible autorizar la recopilación de datos personales sin necesidad del consentimiento de su titular, cuando el responsable cuente con fundamentos legales alternativos, establecidos en el derecho interno o en el derecho internacional. En esos casos, la parte que procure recopilar y tratar los datos debe demostrar que tiene una necesidad clara de hacerlo para proteger sus intereses legítimos o los de un tercero a quien puedan divulgarse los datos. También se debe demostrar que hay un equilibrio entre los intereses legítimos de la parte que busque la divulgación y los intereses del titular de los datos.
230. Se relata como ejemplo el contexto de la acción humanitaria, en el cual obtener el consentimiento puede ser muy difícil y, por ende, puede ser necesario y legítimo recurrir a otro fundamento jurídico, como el interés público o los intereses vitales del titular de datos. Este puede ser el caso, por ejemplo, cuando el tratamiento de datos personales es un prerrequisito para recibir asistencia, o cuando se requieran recopilar los datos de una persona desaparecida. En estos casos, las organizaciones humanitarias deberían fundamentar y motivar claramente su recopilación.
231. El parámetro es aún más contundente tratándose de datos sensibles, pues respecto a ellos el Comité señala que solamente deberían procesarse sin el consentimiento explícito de su titular, en los casos en que ello sea claramente de gran interés público (según lo que esté autorizado por ley) o responda a intereses vitales del titular de los datos (por ejemplo, en una situación de emergencia en la cual corra peligro su vida).
233. En consecuencia, sólo por excepción el tratamiento de datos personales puede darse sin necesidad de contar con el consentimiento de su titular, siempre que se sustente en causas legítimas como el cumplimiento de una misión realizada en interés público que sea razonable y compatibles con los derechos y libertades, cuando el tratamiento sea necesario para la satisfacción de intereses legítimos, o bien, cuando sea en claro beneficio del propio titular. Sin embargo, debe precisarse que, al tratarse de excepciones a la regla general, estos supuestos deben ser interpretados de forma restringida.
234. Al respecto los Principios del CIJ, concretamente el principio doce de las excepciones, establece lo siguiente:
"Cualquier excepción a alguno de estos principios debería estar prevista de manera expresa y específica en la legislación nacional, ser puesta en conocimiento del público y limitarse únicamente a motivos relacionados con la soberanía nacional, la seguridad nacional, la seguridad pública, la protección de la salud pública, el combate a la criminalidad, el cumplimiento de normativas u otras prerrogativas de orden público o el interés público."
235. El Comité Jurídico Interamericano explica sobre este punto que en algunos casos es posible que las autoridades de los Estados tengan que apartarse de estos principios o establecer restricciones; sin embargo, estos casos deben limitarse a los necesarios, adecuados y proporcionales en una sociedad democrática que permitan salvaguardar la seguridad nacional y la seguridad pública, la protección de la salud pública, la administración de justicia, el cumplimiento de la normativa u otras prerrogativas esenciales del orden público, o la protección de los derechos y libertades de otros objetivos de interés público general. Por ejemplo, al responder a las amenazas planteadas por la delincuencia internacional, el terrorismo y la corrupción, así como a ciertas violaciones graves a los derechos humanos.
236. Sin embargo, estas excepciones y desviaciones respecto a los principios deben ser la excepción y no la regla. Deben aplicarse sólo después de considerar lo más cuidadosamente posible la importancia de proteger la privacidad individual, la dignidad y el honor, respetando los derechos y las libertades fundamentales de los titulares. Debiendo haber límites sensatos en la capacidad de las autoridades nacionales para compeler a los responsables a dar a conocer datos personales, manteniendo un equilibrio entre la necesidad de los datos en circunstancias limitadas y el debido respeto al derecho de los intereses de las personas en materia de privacidad.
237. Además, se precisa que cualquier legislación que tenga como propósito restringir la aplicación de estos principios debe contener como mínimo, disposiciones relativas a la finalidad del tratamiento, las categorías de datos personales de que se trate, el alcance de las limitaciones establecidas, las garantías adecuadas para evitar accesos o transferencias ilícitas o desproporcionadas, la determinación del responsable, los plazos de conservación de los datos personales, los posibles riesgos para los derechos y libertades de los titulares, y el derecho de los titulares a ser informados sobre la limitación, salvo que resulte perjudicial o incompatible a los fines de ésta. Las autoridades nacionales deberían poner tales leyes o normas en conocimiento del público a la brevedad posible.(92) 238. Prácticamente estas mismas directrices se encuentran plasmadas en los numerales 6, 7, 11 y 17 de los Estándares Iberoamericanos.
239. Cabe precisar que estos parámetros han sido incorporados en nuestro derecho interno. El artículo 16, párrafo segundo, de la Constitución General reconoce supuestos de excepción a los principios que rigen el tratamiento de datos personales, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger derechos de terceros.
240. Por su parte, la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados es coincidente con estos lineamientos internacionales, pues en su artículo 6 se establece que el Estado deberá garantizar la privacidad de los individuos y deberá velar porque terceras personas no incurran en conductas que puedan afectarla arbitrariamente. Sin embargo, también se reconoce que el derecho a la protección de los datos personales podrá limitarse solamente por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas y para proteger los derechos de terceros.(93)
241. El artículo 18 establece que todo tratamiento de datos personales que efectúe el responsable deberá estar justificado por finalidades concretas, lícitas, explícitas y legítimas, relacionadas con las atribuciones que la normatividad aplicable les confiera.(94)
242. En ese sentido, el artículo 20 señala que, por regla general, para poder realizar el tratamiento de datos personales la autoridad responsable deberá contar con el consentimiento previo de su titular,(95) previéndose en el artículo 22 los casos de excepción a esta regla, destacando la fracción I, referida a los casos en los que la ley así lo disponga, debiendo dichos supuestos ser acordes con las bases, principios y disposiciones establecidos en la propia legislación.(96)
243. Finalmente, el artículo 80 refiere que la obtención y tratamiento de datos personales por parte de las instancias de seguridad, procuración y administración de justicia, está limitada a aquellos supuestos y categorías de datos que resulten necesarios y proporcionales para el ejercicio de funciones en materia de seguridad nacional, seguridad pública, o para la prevención o persecución de los delitos.(97)
244. Similares mandatos se encuentran previstos en los artículos 8, 9 y 10 de la Ley Federal de Protección de Datos Personales en Posesión de Particulares.
245. En esa tesitura, debe recordarse un aspecto que ya se mencionó anteriormente. La recopilación, administración, conservación y acceso a la información privada y los datos personales de los usuarios de telefonía móvil que se otorga al Estado y a particulares través del PANAUT no está basada en el consentimiento, dado que no resulta optativo para dichos usuarios proporcionar o no la información requerida, sino más bien se les impone como una condición obligatoria a fin de poder adquirir o conservar el servicio de telefonía móvil. Además, el consentimiento del usuario tampoco interviene en el uso y destino que se le dará a su información, ni tampoco sobre quién podrá acceder a ella, pues estos aspectos ya vienen predeterminados por la norma.
246. En consecuencia, lo que debe analizarse a la luz de los lineamientos y estándares anteriormente expuestos es si la finalidad que persiguió el legislador para recopilar, almacenar y administrar la información privada y los datos personales de los usuarios de telefonía móvil a través del PANAUT, aún sin su consentimiento, es legítima, esto es, si cae en alguno de los casos de excepción que justifican este tipo de tratamiento de datos.
- Resultando
- A Órgano Legislativo Congreso De La Unión Cámara De Senadores Y Cámara De Diputados
- B Órgano Ejecutivo Y Autoridades Promulgadoras Titular Del Poder Ejecutivo De La Unión
- En Segundo Lugar La Medida No Resulta Idónea Para Conseguir Su Propósito De Inhibir Delitos
- Décimo El Decreto Impugnado Contiene Una Medida Que No Supera El Test De Proporcionalidad
- Considerando
- A Legitimación Del Inai
- B Legitimación De Los Senadores Integrantes De La Lxiv Legislatura
- Ahora Bien La Demanda La Suscriben Los Siguientes Cuarenta Y Ocho Senadores
- Estudio De Fondo
- Tanto La Deliberación Parlamentaria Como Las Votaciones Deben Ser Públicas
- Ii Falta De Fundamentación Y Motivación Del Acto Legislativo
- Iii Violaciones Cometidas Al Aprobarse El Dictamen Por Las Comisiones Unidas
- Artículo
- Las Votaciones Nominales Se Realizan A Través Del Sistema Electrónico
- Séptimovulneración A Los Derechos De Privacidad Intimidad Y Protección De Datos Personales
- A Límites A Los Derechos Humanos Y Sus Condiciones De Validez
- En Estos Casos Las Gradas Que Deben Analizarse Son Las Siguientes
- I Ámbito De Protección De Los Derechos A La Privacidad Intimidad Y Protección De Datos Personales
- Es Precisamente En Este Ámbito Donde Se Inserta La Protección De Los Datos Personales
- Sobre Los Datos Personales Sensibles El Principio Nueve Del Cji Establece Lo Siguiente
- Tratamiento De Datos Personales De Carácter Sensible
- C Se Cuente Con El Consentimiento Expreso Y Por Escrito Del Titular
- Artículo Para El Ejercicio De Sus Atribuciones Corresponde Al Instituto
- Del Registro Público De Telecomunicaciones
- Del Padrón Nacional De Usuarios De Telefonía Móvil
- Iv Nacionalidad
- X Los Avisos Que Actualicen La Información A Que Se Refiere Este Artículo
- Artículo Los Concesionarios De Telecomunicaciones Y En Su Caso Los Autorizados Deberán
- A Nombre Denominación O Razón Social Y Domicilio Del Suscriptor
- G La Ubicación Digital Del Posicionamiento Geográfico De Las Líneas Telefónicas Y
- Sanciones En Materia Del Padrón Nacional De Usuarios De Telefonía Móvil
- Ii No Registrar Un Número De Línea Telefónica Móvil
- V De Dos A Tres Veces El Lucro Indebido Obtenido Para La Comprendida En La Fracción Vi
- Transitorios
- Ii Segunda Etapa Análisis De Las Distintas Gradas Que Integran La Prueba De Proporcionalidad
- A Continuación Se Emprende La Contestación A Cada Una De Estas Interrogantes
- Fin Constitucionalmente Válido
- Este Tribunal Pleno Estima Que Sí En Atención A Las Siguientes Consideraciones
- Idoneidad De La Medida
- Necesidad De La Medida
- Ley Federal De Telecomunicaciones Y Radiodifusión
- Artículo Actos De Investigación Que Requieren Autorización Previa Del Juez De Control
- Iii La Intervención De Comunicaciones Privadas Y Correspondencia
- Artículo Intervención De Las Comunicaciones Privadas
- Artículo Requisitos De La Solicitud
- Artículo Objeto De La Intervención
- Artículo Registro
- Artículo Conclusión De La Intervención
- Artículo Destrucción De Los Registros
- Artículo Colaboración Con La Autoridad
- Artículo Deber De Secrecía
- Artículo Localización Geográfica En Tiempo Real Y Solicitud De Entrega De Datos Conservados
- Artículo Los Concesionarios De Redes Públicas De Telecomunicaciones Deberán
- A Número Y Modalidad De La Línea Telefónica
- Entonces Cabe Preguntarse Para Qué Ha Servido El Renaut
- Finalmente Se Estima Que Esta Objeción Parte De Un Enfoque Equivocado
- Principio De Calidad
- C Conclusión
- Sobre Este Punto Conviene Agregar Algunos Aspectos Adicionales
- Principio Cinco Confidencialidad
- Principio Seis Seguridad De Los Datos
- Primeroes Procedente Y Fundada La Acción De Inconstitucionalidad Y Su Acumulada
- En Relación Con El Punto Resolutivo Primero
- En Relación Con El Punto Resolutivo Segundo
- En Relación Con El Punto Resolutivo Tercero
- En Relación Con El Punto Resolutivo Cuarto
- En Materia Electoral Para El Cómputo De Los Plazos Todos Los Días Son Hábiles
- Artículo La Dirección General De Asuntos Jurídicos Tendrá Las Siguientes Funciones
- Artículo Son Atribuciones Del Pleno Las Siguientes
- Artículo Corresponde Al Pleno Del Instituto
- Artículo Los Comisionados Tendrán Las Siguientes Funciones
- Xvi Suscribir Los Acuerdos Actas Resoluciones Y Demás Documentos Que Determine El Pleno
- Consultable En El Enlace Httpswwwsenadogobmxsenador
- Art El Congreso Tiene Facultad
- Toda Persona Tiene Derecho Al Respeto De Su Honra Y Al Reconocimiento De Su Dignidad
- Artículo Objeto Y Fin
- Comité De Derechos Humanos Observación General No Artículo Derecho A La Intimidad
- Artículo Categorías Particulares De Datos
- Artículo Para Los Efectos De La Presente Ley Se Entenderá Por
- Artículo Para Los Efectos De Esta Ley Se Entenderá Por
- Adoptados Mediante Resolución Cjires Xcviii De Nueve De Abril De Dos Mil Veintiuno
- Ibídem Páginas Y
- Consultable En El Siguiente Link Httpsbitiftorgmxbitwebappinformacionestadisticaxhtml
- Lgpdppso
- Véase Cidh Caso Escher Y Otros Vs Brasil Sentencia De De Julio De Párrs Y
- Principio De Seguridad
- C Los Costos De Aplicación
- I Las Vulneraciones Previas Ocurridas En El Tratamiento De Datos Personales