¿Qué es el Derecho de Protección de Datos Personales? No es solo «privacidad». Se define técnicamente como Autodeterminación Informativa.
- Definición esencial: Es la facultad que tiene toda persona física para ejercer control sobre su información personal, decidiendo quién, para qué, cuándo y cómo se tratan sus datos.
- Derechos ARCO: Este poder de control se materializa a través de cuatro derechos específicos: Acceso, Rectificación, Cancelación y Oposición.
Conceptos básicos en la norma mexicana:
- Dato Personal: Cualquier información concerniente a una persona física identificada o identificable (ej. nombre, teléfono, CURP).
- Dato Personal Sensible: Aquellos que afectan la esfera más íntima de su titular o cuya utilización indebida pueda dar origen a discriminación (ej. origen racial, estado de salud, religión, opiniones políticas, preferencia sexual).
- Tratamiento: Cualquier operación que se haga con los datos: obtención, uso, divulgación, almacenamiento o eliminación.
- Responsable: La persona o empresa que decide sobre el tratamiento de los datos.
Evolución Histórica (Internacional y Nacional)
Debes visualizar esto como un «zoom» que va desde un derecho genérico a uno específico tecnológico.
A nivel Internacional:
- El Antecedente (1948): Art. 12 de la Declaración Universal de Derechos Humanos. Protegía la «vida privada» y la «no injerencia».
- La Tecnificación (Años 70-80): Con las primeras computadoras, se vio que proteger la «vida privada» no bastaba; hacía falta controlar el «dato» en sí mismo.
- La Estandarización (2016): Llega el GDPR (Reglamento Europeo). Establece la portabilidad, el derecho al olvido y multas masivas, convirtiéndose en el estándar mundial actual.
A nivel Nacional (México):
- Reforma Constitucional (2009): Se modifica el Artículo 16, párrafo segundo de la Constitución. Aquí nace el derecho autónomo a la protección de datos y los derechos ARCO en México.
- Leyes Secundarias: Posteriormente surgen la Ley Federal (para empresas/particulares en 2010) y la Ley General (para el gobierno en 2017).
Principios Rectores del Derecho
En México (y alineado al modelo europeo), todo tratamiento de datos debe cumplir con 8 principios. Si falta uno, el tratamiento es ilegal.
- Licitud: El tratamiento debe hacerse conforme a la ley, sin engaños.
- Consentimiento: El «rey» de los principios. El titular debe aceptar el tratamiento (puede ser tácito o expreso).
- Información: Se materializa a través del Aviso de Privacidad. Debes decirle al usuario qué harás con sus datos antes de usarlos.
- Calidad: Los datos deben ser exactos, completos, pertinentes y actualizados.
- Finalidad: Solo puedes usar los datos para lo que dijiste que los usarías. No puedes pedir datos para «una rifa» y luego usarlos para «vender seguros».
- Lealtad: Privilegiar los intereses del titular y la expectativa razonable de privacidad (no traicionar su confianza).
- Proporcionalidad: Pedir solo los datos estrictamente necesarios (ej. no pedir religión para vender unos zapatos).
- Responsabilidad: El que tiene los datos debe demostrar que cumple con la ley (rendición de cuentas).
Extra: Los Dos Modelos (Anglosajón vs. Continental)
Para entender la paradoja que menciona tu texto:
- Modelo Continental (Europa/México): Considera la protección de datos como un Derecho Fundamental. Es preventivo y tiene una ley general que aplica a todos (Omnibus).
- Modelo Anglosajón (EE.UU.): Lo ve más desde la óptica del Consumidor y el Mercado. No tiene una ley general federal (salvo excepciones como California), sino leyes por sectores (salud, niños, financiero). Es más reactivo (sanciona el daño una vez hecho).
*LFPDPPP: Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
Veamos un ejemplo:
La diferencia fundamental radica en quién toma las decisiones sobre los datos una vez que «salen» de la empresa original.
Imagina el siguiente escenario: Una Tienda de Ropa Online (Responsable). Tú compras una camisa ahí.
Caso 1: La Remisión (Relación de Trabajo)
Escenario: La Tienda de Ropa contrata a una empresa de paquetería (ej. DHL o FedEx) para entregarte la camisa. La Tienda le entrega tu nombre y dirección a la paquetería.
- ¿Qué es? Es una REMISIÓN.
- ¿Por qué? Porque la paquetería (el Encargado) no puede usar tu dirección para enviarte publicidad de otras cosas, ni venderla, ni decidir nada sobre ella. Solo usa el dato para cumplir la instrucción de la Tienda: entregar el paquete.
- Clave: Existe una relación de mandato. El Encargado actúa a nombre del Responsable.
- ¿Requiere consentimiento extra? Generalmente NO, basta con el Aviso de Privacidad original, porque es necesario para darte el servicio.
Caso 2: La Transferencia (Relación de Negocio/Compartida)
Escenario: La Tienda de Ropa tiene un acuerdo comercial con un Banco. La Tienda le envía tu nombre y correo electrónico al Banco para que este te ofrezca una tarjeta de crédito «co-brandeada» con descuentos exclusivos.
- ¿Qué es? Es una TRANSFERENCIA.
- ¿Por qué? Porque una vez que el Banco recibe los datos, el Banco se convierte en un nuevo Responsable. El Banco decide para qué los usa (ofrecer crédito), cómo los guarda y bajo sus propias reglas. Los datos pasan a ser un activo del Banco también.
- Clave: Los datos se mueven a un Tercero distinto para finalidades propias de ese tercero.
- ¿Requiere consentimiento extra? SÍ. En la mayoría de los casos, el Aviso de Privacidad debe decir explícitamente «Transferiremos sus datos a socios comerciales» y tú debes poder aceptar o negar esa transferencia.
Resumen Comparativo (La Regla de Oro)
| Característica | Remisión (Caso Paquetería) | Transferencia (Caso Banco) |
| ¿Quién recibe el dato? | Un Encargado (Proveedor). | Un Tercero (Otro Responsable). |
| ¿Quién decide el fin? | El que envía los datos (La Tienda). | El que recibe los datos (El Banco decide para sí mismo). |
| Relación Jurídica | Prestación de Servicios. | Comunicación o Cesión de datos. |
| Ejemplo rápido | Servicio de nube, contador externo, mensajería. | Venta de base de datos, compartir info entre empresas del mismo grupo*, autoridades. |
Compartir datos entre empresas del mismo grupo corporativo (holdings) suele considerarse transferencia, pero bajo ciertas condiciones legales no requiere consentimiento si operan bajo las mismas políticas internas.
1. Personas Físicas (Tú, yo, cualquier individuo)
En México, el alcance es TOTAL. La Ley Federal (LFPDPPP) y la Constitución protegen a la persona física por defecto.
- Alcance: Cualquier información que te identifique o te haga identificable está protegida (nombre, foto, huella, CURP, gustos, salud).
- Derechos: Tienes la titularidad plena de los derechos ARCO. Puedes pedirle a cualquier empresa que te diga qué sabe de ti y exigir que lo borren.
- Protección: Es proactiva. Las empresas deben cuidarte antes de que pase algo malo (Aviso de Privacidad).
2. Personas Morales (Empresas, ONGs, Asociaciones)
Aquí el alcance es LIMITADO y funciona diferente.
- La Regla General: Las personas morales NO son titulares de datos personales según la ley (LFPDPPP).
- Por qué: La ley define dato personal como información de una «persona física». Por tanto, una empresa no puede pedir «derechos ARCO» sobre su Razón Social o su Domicilio Fiscal, porque esos son datos públicos de comercio.
- La Excepción (El «Alcance Oculto»): Aunque no usan la ley de datos personales, la Suprema Corte (SCJN) ha determinado que las personas morales sí tienen Derecho a la Privacidad en cierta información.
- ¿Qué protegen? Sus «secretos»: información fiscal, bancaria, industrial o comercial.
- ¿Cómo se protege? No como «Dato Personal», sino como Información Confidencial.
- Ejemplo: Si una autoridad (SAT) tiene los balances financieros de tu empresa, no puede dárselos a tu competencia. Tu empresa puede demandar protección, pero alegando secreto comercial/fiscal, no protección de datos personales tradicional.
Tabla Comparativa de Alcances
| Característica | Personas Físicas | Personas Morales |
| Ley Aplicable | LFPDPPP (Particulares) / LGPDPPSO (Gobierno). | Leyes de Propiedad Industrial, Código Fiscal, Jurisprudencia. |
| ¿Qué protegen? | Intimidad, dignidad y autodeterminación. | Patrimonio, competitividad y secretos. |
| Datos Públicos | Muy pocos (cargos públicos, cédula profesional). | Muchos (Razón social, RFC, actas constitutivas). |
| ¿Tienen ARCO? | SÍ, es su herramienta principal. | NO en estricto sentido (usan amparos o demandas civiles). |
Caso Práctico para distinguir
- Situación A: Un banco publica tu sueldo y tus deudas personales en el periódico.
- Defensa: Ejerces Derechos ARCO y denuncias ante el INAI por violación a la LFPDPPP. Eres persona física.
- Situación B: Un banco publica cuánto dinero ganó la empresa «Zapatos S.A.» el año pasado.
- Defensa: «Zapatos S.A.» no puede usar la LFPDPPP. Tendrá que demandar por daño patrimonial o violación al secreto bancario.
Resumen para tu clase: El derecho de protección de datos es un escudo para la dignidad humana (físicas). Las empresas (morales) tienen escudos para su patrimonio (confidencialidad), pero son dos escudos distintos.
Para entender esto «en términos de la ley de personas» (Derecho Civil), debemos ir a la base: el Código Civil Federal. En México, la distinción jurídica se basa en los llamados Atributos de la Personalidad.
Estos atributos son las características que te dan identidad ante la ley. Aquí tienes el desglose de lo que establece la normativa vigente para cada una:
1. Persona Física
Definición: Es todo ser humano, con viabilidad (capaz de vivir), titular de derechos y obligaciones.
Inicio y Fin: Su capacidad jurídica inicia con el nacimiento (aunque se protege desde la concepción) y termina con la muerte.
Sus Atributos (Lo que la define):
- Nombre: Nombre de pila + Apellidos. Sirve para individualizarla.
- Domicilio: Lugar donde reside habitualmente (o donde tiene el principal asiento de sus negocios).
- Estado Civil: (Exclusivo de las Personas Físicas). Situación jurídica frente a la familia y la sociedad (soltero, casado, divorciado).
- Capacidad:
- De Goce: La tienes por nacer (ser titular de derechos).
- De Ejercicio: La adquieres a los 18 años (poder ejercer esos derechos tú mismo).
- Patrimonio: Conjunto de bienes, derechos y obligaciones susceptibles de valorarse en dinero.
- Nacionalidad: Vínculo jurídico con el Estado (mexicano por nacimiento o naturalización).
2. Persona Moral
Definición: Es una ficción jurídica (no tiene cuerpo físico). Es una agrupación de personas o bienes reconocidos por el Estado para cumplir un fin lícito (empresas, sindicatos, asociaciones, el propio Estado).
Inicio y Fin: Inicia con su constitución (Acta Constitutiva ante notario) y termina con su liquidación o disolución.
Sus Atributos (Lo que la define):
- Razón o Denominación Social: Equivalente al «Nombre».
- Razón Social: Incluye nombres de socios.
- Denominación: Nombre de fantasía (ej. «Patito S.A.»).
- Domicilio: Donde se halle establecida su administración.
- Capacidad: Limitada a su Objeto Social. Una empresa de zapatos tiene capacidad para vender zapatos, no para realizar cirugías médicas. Solo tienen capacidad de goce y ejercicio a través de sus representantes legales (apoderados).
- Patrimonio: Los recursos de la empresa (independientes del patrimonio personal de los socios).
- Nacionalidad: Constituidas conforme a leyes mexicanas y con domicilio en México.
- NO TIENEN Estado Civil: Una empresa no puede ser «soltera» ni tener «parientes».
Diferencias Clave
| Característica | Persona FÍSICA | Persona MORAL |
| Naturaleza | Biológica / Humana. | Jurídica / Intelectual. |
| Identificación | Nombre y Apellidos. | Razón o Denominación Social. |
| Estado Civil | SÍ tiene. | NO existe. |
| Representación | Por sí misma (al ser mayor de edad). | Siempre a través de un Representante (persona física). |
| Cuerpo | Tangible. | Intangible. |
Hablemos de los tipos de datos.
La clasificación basada en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y los criterios del INAI.
Esta distinción es vital porque el nivel de seguridad y la forma de pedir permiso (consentimiento) cambian drásticamente entre una lista y la otra.
1. Datos Personales «Generales»
Son aquellos que permiten identificarte o contactarte, pero que no revelan tu intimidad profunda. Su mal uso causa molestias, pero no necesariamente discriminación grave. Se suelen sub-clasificar así:
- Datos de Identificación:
- Nombre completo.
- Domicilio.
- Teléfono (fijo o móvil).
- Correo electrónico particular.
- CURP, RFC, Número de Seguridad Social (NSS).
- Fecha de nacimiento y edad.
- Fotografía (imagen del rostro).
- Firma autógrafa o electrónica.
- Datos Laborales:
- Puesto o cargo que desempeñas.
- Domicilio de trabajo.
- Correo electrónico institucional.
- Referencias laborales.
- Datos Académicos:
- Trayectoria educativa.
- Títulos, cédula profesional, certificados.
- Datos Patrimoniales o Financieros:(Nota: Tienen una protección especial, requieren consentimiento expreso, pero no siempre se catalogan como «sensibles» en la definición estricta, aunque se tratan con ese rigor).
- Información fiscal.
- Historial crediticio.
- Cuentas bancarias.
- Ingresos y egresos.
- Bienes muebles e inmuebles (propiedades).
2. Datos Personales Sensibles
Son los más delicados. La ley (Art. 3, Frac. VI) dice que son aquellos que afectan la esfera más íntima de su titular o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para este.
Lista taxativa (oficial):
- Origen racial o étnico.
- Estado de salud presente: (Ej. ¿Tienes diabetes?, tipo de sangre, alergias).
- Estado de salud futuro: (Ej. Predisposiciones genéticas a sufrir cáncer).
- Información genética: (ADN).
- Creencias religiosas: (Católico, Judío, Ateo, etc.).
- Creencias filosóficas y morales.
- Afiliación sindical: (Pertenecer a un sindicato revela ideología laboral).
- Opiniones políticas.
- Preferencia sexual (Vida y orientación sexual).
El caso especial de los BIOMÉTRICOS: Las huellas dactilares, iris, reconocimiento facial o de voz son datos personales. El INAI ha determinado que se vuelven sensibles cuando su uso requiere revelar información de salud o características raciales, o cuando se usan para autenticación de seguridad única (como entrar a tu cuenta de banco), ya que si te roban tu huella, el riesgo es gravísimo.
3. ¿Cuándo dejan de considerarse «Datos Personales» (y por tanto, sensibles)?
Esta es la clave técnica: Un dato sensible nunca deja de ser sensible por sí mismo (tu religión siempre será un dato íntimo). Sin embargo, deja de estar protegido por la Ley de Datos Personales bajo una condición principal:
La Disociación (Anonimización)
Cuando los datos se separan de la identidad de la persona de forma irreversible.
- Explicación: Si tienes un expediente médico que dice «Paciente con VIH», eso es un dato sensible. Pero si borras el nombre, la dirección y cualquier código que permita saber quién es ese paciente, el dato se convierte en información estadística.
- La regla: Si no se puede identificar a la persona, ya no es un dato personal, es solo un dato. Por tanto, la ley ya no aplica.
Otros escenarios de pérdida de protección:
- Fuentes de Acceso Público (con matices): Si la ley obliga a que un dato sea público, pierde la confidencialidad, pero el Responsable que lo tome debe seguir respetando principios de calidad. Ojo: Es muy raro que la ley obligue a hacer públicos datos sensibles como la salud o religión.
- Fallecimiento (Parcialmente): Tras la muerte, la persona física deja de existir legalmente. Sin embargo, en México, los derechos ARCO pueden ser ejercidos por los herederos o el albacea para proteger la memoria del fallecido. Técnicamente deja de ser un «dato personal de una persona viva», pero sigue habiendo protección jurídica post-mortem.
Resumen para recordar la regla:
Regla de Oro:
- Dato General: Consentimiento Tácito (no dices que no = sí).
- Dato Financiero: Consentimiento Expreso (verbal o click).
- Dato Sensible: Consentimiento Expreso y por Escrito (firma autógrafa o firma electrónica).