LA AUTONOMÍA CONSTITUCIONAL DEL INPRODAP

Luego de este breve repaso general, conviene pasar a analizar las razones que justifican la autonomía constitucional del órgano propuesto, el INPRODAP.

194 Guillermo A. Tenorio Cueto (Coordinador)

secundarias, pueden ser de orden jurisdiccional o no jurisdiccional, dependiendo de su naturaleza y la del órgano encargado de ejercerlos. En el caso de las no juris- diccionales, las ejercen autoridades de naturaleza administrativa que, finalmente, son instituciones que complementan el sistema de garantías mediante mecanismos administrativos de protección de derechos.

El INPRODAP es propuesto como un órgano de garantía secundaria del de- recho humano o fundamental que es el derecho de protección de datos personales.

Considero que debe tratarse de una autoridad administrativa, como lo es actual- mente el inai, que encuentre su fundamento constitucional en el Artículo 6o. de la Carta Magna, el cual establece, en su fracción VIII que:

La Federación contará con un organismo autónomo, especializado, impar- cial, colegiado, con personalidad jurídica y patrimonio propio, con plena autonomía técnica, de gestión, capacidad para decidir sobre el ejercicio de su presupuesto y determinar su organización interna, responsable de garan- tizar el cumplimiento del derecho… A la protección de datos personales en posesión de los sujetos obligados en los términos que establezca la ley.

Este imperativo constituye el sustento constitucional para la existencia del INPRODAP. La autonomía institucional propuesta surge por la necesidad de brin- dar garantías efectivas a los derechos fundamentales a la protección de datos per- sonales ya que, actualmente, el actual inai no ha demostrado contar con la capaci- dad fáctica necesaria para dotar de garantías efectivas al derecho humano que nos atañe en este trabajo.

El derecho a la protección de los datos personales se encuentra en una etapa de maduración que demanda un fortalecimiento de la institución de garantía en- cargada de brindarle protección. Desde mi punto de vista, el actual inai, dada su articulación dual en cuanto a sus ámbitos de competencia²⁰⁴, no ha resultado sufi- ciente para garantizar el desempeño que ese Instituto está destinado a realizar. Así las cosas, considero que el INPRODAP requiere de la misma naturaleza jurídica del

inai para poder realizar sus funciones en el contexto ante el cual nos enfrentamos.

204 Acceso a la Información, por un lado, y protección de datos personales, por el otro.

La autonomía constitucional es una condición necesaria para garantizar que la función que encomendada al INPRODAP se realice con independencia e impar- cialidad políticas, dado que un órgano de control y garantía como este requiere de un ámbito de decisión y operación propios para poder realizar su labor frente al gobierno. Es decir, resulta indispensable que se garantice la capacidad efectiva de control frente a los otros poderes estatales y, en general, ante cualquier autoridad, entidad, órgano y organismo, así como también ante poderes y entes privados.

Esta situación hace menester una naturaleza constitucional de este tipo, debido a que la tarea de hacer valer este derecho fundamental debe estar caracterizada por la imparcialidad, la independencia y la especialización.

Así, la autonomía constitucional propuesta supone una garantía, tanto del derecho humano a la protección de los datos personales, como de la institucio- nalidad estatal de dicho órgano. Considero que la labor del INPRODAP no debe prestarse a interpretaciones de índole política o partidistas. De esta manera, las decisiones tomadas en esta materia seguirán siendo responsabilidad exclusiva de los directivos del INPRODAP (actualmente llamados “Comisionados”, en el caso del inai) sin que esta pueda ser atribuida a otros poderes públicos.

Siendo esto, se propone en el presente trabajo que la promoción, protección y garantía del derecho a la protección de los datos personales corresponda consti- tucionalmente al INPRODAP, no obstante que constituya una obligación a cumplir por todos los órganos del Estado mexicano.

Conviene recordar el derecho a la protección de los datos personales es un de- recho fundamental de la persona cuya protección se asigna, en la presente propuesta, al INPRODAP. En el caso de la protección de datos personales la relación jurídica primaria se da entre privados: el titular del dato y el responsable del tratamiento de los datos. El INPRODAP se colocaría, como sucede actualmente con el inai, como un tercero que resuelve, mediante un procedimiento administrativo seguido en forma de juicio, aunque sin tener carácter jurisdiccional, sobre las posibles afectaciones de los datos personales de una persona.

Que el INPRODAP, como órgano administrativo, sea el encargado de resol- ver sobre los procedimientos de protección de datos personales implica la asigna-

196 Guillermo A. Tenorio Cueto (Coordinador)

ción de una función relevante a su cargo, que si bien comprende el ámbito pri- vado en que se desenvuelven dichos derechos, considera que los mismos tienen también una función de orden público. Este panorama envuelve el bien jurídico tutelado en una doble dimensión: la de ser un derecho de la persona y en la cual hay un ámbito de disponibilidad y, a la vez, un ámbito de orden público que debe ser protegido más allá del interés de los titulares de los datos. Dicho ámbito de orden público debe advertir, a la vez, la dimensión de actuación del INPRODAP, como es la posibilidad de actuar de oficio en los procesos de verificación y de im- posición de sanciones con la que cuenta el inai. En cuanto a los procedimientos ARCO, tanto la estructura del modelo actual del inai como instancia administra- tiva de primer nivel, como sus procedimientos y los medios de defensa contra sus resoluciones, no se verían afectadas en el modelo del INPRODAP.

La reforma constitucional del 20 de julio de 2007 al Artículo 6o. constitu- cional significó un enriquecimiento jurídico del diseño constitucional del órgano garante de los derechos consagrados en dicho artículo. En específico, conviene ob- servar el precepto en su fracción VIII, la cual establece:

La Federación contará con un organismo autónomo, especializado, impar- cial, colegiado, con personalidad jurídica y patrimonio propio, con plena au- tonomía técnica, de gestión, capacidad para decidir sobre el ejercicio de su presupuesto y determinar su organización interna, responsable de garantizar el cumplimiento de… la protección de datos personales en posesión de los sujetos obligados en los términos que establezca la ley...

La fracción anterior se refiere a ciertas características asignadas al órgano garante. La primera de ellas que podemos comentar es la especialización, que sig- nifica que el órgano tenga como única función, en el caso del INPRODAP, la mate- ria de la protección de datos personales. Otra característica relevante es la autono- mía, que busca impedir la subordinación jurídica, orgánica y/o política a cualquier otra autoridad en el ámbito de su competencia.

Asimismo, la reforma a los Artículos 16 y 73, fracción XXIX-O constituciona- les, los cuales reconocen el derecho a la protección de los datos personales como un derecho fundamental de todos los mexicanos, en concordancia con la expedición

de la LFPDPPP, por parte del Poder Legislativo el 5 de julio de 2010 en el DOF, fungen como base para el marco competencial del INPRODAP. De acuerdo con la LFPDPPP corresponde al actual inai ser la autoridad de control, supervisión y garantía del derecho que nos concierne. En esta misma línea, en el Artículo 39, en sus fracciones II, IV y X, se establece que el inai tiene entre sus atribuciones: interpretar en el ámbito administrativo la referida Ley; emitir criterios y recomendaciones para su funcionamiento y operación; así como desarrollar, promover y publicar análisis, estudios e investigaciones en materia de protección de datos personales en po- sesión de los particulares. En la propuesta actual, se propone que el INPRODAP conserve estas mismas atribuciones del inai.

Dicho lo anterior, la propuesta del INPRODAP como un órgano con autono- mía constitucional parece adecuada, de modo que se constituya como un organis- mo especializado e imparcial, con autonomía operativa, de gestión y decisión, con plena autonomía presupuestaria, que como hemos visto es una característica pro- pia de los órganos constitucionales autónomos, que haga valer de manera efectiva el derecho a la protección de los datos personales.

En este punto, se tomarán en cuenta las funciones que le han sido atribuidas al

inai por la LFPDPPP, con la idea en mente de que el INPRODAP ejerza dichas fun- ciones en materia de protección de datos personales. En este sentido, específicamen- te, los Artículos 38 y 39 de la Ley versan sobre las atribuciones del órgano garante:

Artículo 38. El Instituto, para efectos de esta Ley, tendrá por objeto difundir el conocimiento del derecho a la protección de datos personales en la sociedad mexicana, promover su ejercicio y vigilar por la debida observancia de las disposiciones previstas en la presente Ley y que deriven de la misma; en par- ticular aquellas relacionadas con el cumplimiento de obligaciones por parte de los sujetos regulados por este ordenamiento.

Artículo 39. El Instituto tiene las siguientes atribuciones:

I. Vigilar y verificar el cumplimiento de las disposiciones contenidas en esta Ley, en el ámbito de su competencia, con las excepciones previstas por la le- gislación;

II. Interpretar en el ámbito administrativo la presente Ley;

198 Guillermo A. Tenorio Cueto (Coordinador)

III. Proporcionar apoyo técnico a los responsables que lo soliciten, para el cumplimiento de las obligaciones establecidas en la presente Ley;

IV. Emitir los criterios y recomendaciones, de conformidad con las disposi- ciones aplicables de esta Ley, para efectos de su funcionamiento y operación;

V. Divulgar estándares y mejores prácticas internacionales en materia de segu- ridad de la información, en atención a la naturaleza de los datos; las finalidades del tratamiento, y las capacidades técnicas y económicas del responsable;

VI. Conocer y resolver los procedimientos de protección de derechos y de ve- rificación señalados en esta Ley e imponer las sanciones según corresponda;

VII. Cooperar con otras autoridades de supervisión y organismos nacionales e internacionales, a efecto de coadyuvar en materia de protección de datos;

VIII. Rendir al Congreso de la Unión un informe anual de sus actividades;

IX. Acudir a foros internacionales en el ámbito de la presente Ley;

X. Elaborar estudios de impacto sobre la privacidad previos a la puesta en práctica de una nueva modalidad de tratamiento de datos personales o a la realización de modificaciones sustanciales en tratamientos ya existentes;

XI. Desarrollar, fomentar y difundir análisis, estudios e investigaciones en materia de protección de datos personales en Posesión de los Particulares y brindar capacitación a los sujetos obligados, y

XII. Las demás que le confieran esta Ley y demás ordenamientos aplicables.

Partiendo de un análisis de los fragmentos normativos antes expuestos, po- demos dividir las funciones del órgano garante en cuatro clasificaciones o tipos:

a) funciones resolutivas y reguladoras, b) funciones de supervisión y vigilancia, c) funciones de promoción y difusión y, por último, d) funciones operativas y admi- nistrativas. Hablando de las primeras, cabe decir que las funciones resolutivas y re- guladoras son pieza fundamental para garantizar el derecho la protección de datos personales, ya que son clave para lograr aterrizar los esfuerzos hacia la protección del bien jurídico, mediante las resoluciones emitidas para los casos concretos, así como la expedición de lineamientos, recomendaciones, parámetros, etc. El órgano garante crea constantemente normas jurídicas individualizadas que establecen de- rechos y obligaciones a favor o a cargo de personas concretas (por ejemplo, entre el titular y el responsable de los datos personales), para los casos específicos en

que sea necesario hacer valer la tutela de la protección de los datos personales.

Asimismo, como hace actualmente el inai, el INPRODAP tendrá la capacidad de emitir normas jurídicas generalizadas y especializadas en materia de protección de datos personales, en específico para quienes se encuadren en los supuestos de las mismas²⁰⁵.

La función de supervisión y vigilancia es esencial para impulsar avances en el cumplimiento efectivo de la normativa en materia de protección de datos per- sonales. Se prevé que el INPRODAP sea la autoridad responsable de vigilar por el cumplimiento de las normas aplicables, por lo que es necesaria esta función para poder revisar, inspeccionar y vigilar a los responsables de los datos personales de los titulares, ya sea bien por iniciativa propia, o siguiendo los procedimientos ini- ciados por los mismos titulares.

La función de promoción resulta también esencial, en este caso para fomen- tar y difundir los beneficios del derecho a la protección de los datos personales, e impulsar una cultura donde, por un lado, los responsables conozcan y respeten sus obligaciones en la materia, evitando prácticas al interior de las organizaciones que mermen el derecho de los titulares. Por el otro lado, importa que se fomente una cultura en los titulares de los datos personales, donde conozcan los derechos con los que cuentan en este sentido, y los medios para hacer valer dichos dere- chos en cualquier momento. Este punto incluye la difusión del derecho protegido, capacitaciones, proporcionar apoyo técnico en el tema a quien lo solicite, elaborar investigaciones para ampliar el conocimiento del derecho a la protección de los datos personales, colaborar internacionalmente con organismos dedicados al tema, etc. Parece muy importante esta función, dado que tal parece que la efectividad con que se protege un derecho, tiene que ver con la internalización y el conocimiento de tal derecho por parte de los titulares que demandan y reclaman la observancia del mismo.

205 Un ejemplo de esta normativa especializada, emitida por el ^inai, son las “Recomendaciones en Materia de Seguridad de Datos Personales”, publicadas en DOF el 30 octubre 2013.

200 Guillermo A. Tenorio Cueto (Coordinador)

El cuarto tipo de funciones, aquellas que se refieren a la operación y ad- ministración, son necesarias para asegurar el correcto funcionamiento del órgano regulador, bien en lo referente al funcionamiento del mismo, como a temas mone- tarios y presupuestales. Es decir, esta función se refiere a la gestión de los recursos humanos, financieros, generales, informáticos, jurídicos y de seguridad del órgano garante para que, efectivamente, pueda cumplir con las demás funciones antes mencionadas.

Con base en lo anterior se puede concluir que México necesita contar con un órgano constitucional autónomo que garantice el cumplimiento eficaz del derecho humano de acceso a la protección de datos personales, para lo cual es necesario la creación de un nuevo órgano, denominado Instituto Nacional para la Protección de Datos Personales, pues el inai ha demostrado su ineficacia al momento de ejercer sus obligaciones de garantizar dicho derecho humano.