Del tratamiento de datos personales

El tratamiento de datos personales debe ser entendido como cualquier operación u operaciones realizadas con los mismos a través de procedimientos manuales o automatizados. Dichas operaciones se pueden relacionar con las siguientes acciones: (i) Obtención; (ii) Uso;

(iii) Registro; (iv) Organización; (v) Conservación; (vi) Elaboración; (vii) Utilización; (viii) Comunicación; (ix) Aprovechamiento; (x) Difusión; (xi) Almacenamiento; (xii) Posesión; (xiii) Acceso; (xiv) Manejo; (xv) Aprovechamiento; (xvi) Divulgación; (xvii) Transferencia, o (xviii) Disposición.

De lo anterior tenemos que, cualquier actividad realizada a los datos personales se considera que los mismos están siendo sometidos a tratamiento. El tratamiento de datos personales que es realizado por los sujetos obligados y en este caso por el Instituto Mexicano del Seguro Social puede realizarse bajo dos figuras, ya sea como responsable del tratamiento o como encargado del tratamiento.

El responsable del tratamiento se define como los sujetos obligados que deciden sobre el tratamiento de los datos personales, esto es, quienes disponen sobre acciones que deban ejecutarse sobre los datos personales bajo su tratamiento.

Por ejemplo, si el IMSS decide lanzar una aplicación móvil para que los ciudadanos soliciten servicios de salud a domicilio y a través de dicha aplicación se requiere que el individuo registre su nombre, teléfono, correo electrónico, número de seguridad social y domicilio. En este caso el IMSS se convierte en responsable del tratamiento, quien decide que dichos datos personales serán utilizados para realizar con ellos las siguientes acciones:

1) Obtención de datos personales de los suscriptores de la aplicación móvil.

2) Conformar un registro de suscriptores de la aplicación móvil.

3) Brindar el servicio a atención a la salud del individuo en la ubicación que indique.

4) Realizar análisis estadísticos sobre los usos que cada usuario realiza

Tratamiento: Artículo 3, fracción XXXIII LGPDPPSO.

Responsable: Art. 3, fracción XXVIII LGPDPPSO.

83 en la aplicación móvil.

5) Enviarle información publicitaria que genere el Instituto.

Por otro lado, tal y como se indicaba anteriormente, también el tratamiento de datos personales puede ser realizado bajo la figura de encargado del tratamiento, quien es definido como la persona física o moral, ya sea que pertenezca al ámbito público o privado, ajena al responsable que trata datos personales en nombre y por cuenta del responsable.

Continuando con el ejemplo de la aplicación móvil, y si el IMSS tuviera contratado el servicio de arrendamiento para el uso de un centro de datos con el Centro de Investigación e Innovación en Tecnologías de la Información y Comunicación (en adelante INFOTEC), en donde el centro de datos es administrado por dicha institución pública y es en dicho centro de datos donde se almacenarán los datos personales, INFOTEC adquiere el carácter de encargado del tratamiento, pues el centro de datos es contratado con la finalidad de hospedar, entre otra información, los datos personales obtenidos a través de la aplicación.

Es importante también tener en cuenta que el IMSS puede fungir como encargado del tratamiento, cuando otro sujeto obligado o un particular le solicita realizar el tratamiento de datos personales en su nombre. Por ejemplo, suponiendo que la aplicación a la que hemos hecho referencia fuera adoptada para proporcionar también servicio a los derechohabientes del Instituto de Seguridad y Servicios Sociales para los Trabajadores del Estado (en adelante ISSSTE) para que sea dicho Instituto el que preste los servicios de salud, pero quien sigue administrando la aplicación sea el IMSS, en ese caso, frente a los trabajadores del Estado, el responsable del tratamiento es el ISSSTE, el IMSS fungiría como encargado del tratamiento, y al tener el IMSS subcontratado el servicio de centro de datos con INFOTEC, éste se convierte en subencargado del tratamiento.

Ahora bien, durante el tratamiento de los datos personales, el IMSS, a través de cada uno de los servidores públicos que ejecutan acciones

Encargado: Art. 3, fracción XV LGPDPPSO.

84 concernientes a su tratamiento deben observar el cumplimiento de principios, deberes y obligaciones, a los que más adelante nos referiremos.

En razón de lo anterior, es importante que para cada grupo de datos personales concernientes a un titular, derivados de un procedimiento específico, se cuente con la trazabilidad de su tratamiento, pues en caso de que la operación de los datos se realice de manera contraria a lo dispuesto por la normatividad en materia de protección de datos personales, es necesario identificar el área y el servidor público que cometió dicha falta, a efecto de que, en su caso se inicien los procedimientos correspondientes y se finquen las responsabilidades que resulten aplicables, ya sean las mismas del orden administrativo, penal y/o civil.

Figura 2 Ciclo de los datos personales en posesión de sujetos obligados

Fuente: Elaboración propia con datos de flujo de datos en una dependencia o entidad.

La ilustración anterior, explica de gráficamente lo mencionado en párrafos anteriores, esto es:

1) El inicio del tratamiento de los datos personales, el cual tiene su origen en la obtención de los mismos, ya sea:

a. Porque el titular del dato hace entrega del mismo;

b. Porque se recibe el dato de otra institución de carácter público.

Pudiendo resultar que dicha comunicación puede derivar de una

85 remisión o una transferencia, o bien,

c. Porque se recibe el dato de un particular, ya sea a través de una remisión o transmisión, de la que es importante, observar lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de Particulares y la normatividad que de dicha ley deriva.

2) Una vez que el dato se encuentra en posesión del IMSS, el mismo puede ser tratado al interior de la institución por una o más unidades administrativas, y en consecuencias por uno o más servidores públicos.

Durante cada uno de los tratamientos realizados sobre el dato personal de que se trate, debe observarse el cumplimiento de principios deberes y obligaciones.

Asimismo, resulta importante el papel que adquieren el Comité de Transparencia y la Unidad de Transparencia. El primero de ellos, que de manera general es el encargado de coordinar, supervisar y realizar las acciones necesarias para garantizar el derecho a la protección de los datos personales, y la Unidad es la encargada en términos generales de fungir como enlace con los titulares de los datos personales, auxiliándolos y orientándolos en lo que los mismos requieran con relación a la protección de sus datos personales.

3) Por último, los datos personales tratados al interior del IMSS podrían ser comunicados, al igual que en su obtención, ya sea como una remisión o una transferencia, cuyo destinatario puede ser un particular de carácter privado u otra institución de carácter público.

Comité de Transparencia: Art. 84 LGPDPPSO. Unidad de Transparencia: Art. 85 LGPDPPSO.

86

3.1.5 De los principios en materia de protección de datos