Continuamos con algunos comentarios a la reciente Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) aprobada por el Senado el pasado 27 de abril de 2010 y pendiente de publicación.
28. En cuanto a los procedimientos, se tienen dos posibilidades “tradicionales”: el procedimiento de protección de datos personales y el procedimiento de verificación. El titular de los datos puede recurrir al Instituto por la respuesta recibida o la falta de respuesta del responsable dentro de los 15 días siguientes a la fecha en que se comunique la respuesta o a partir del día en que venza el plazo para que el responsable dé respuesta. La solicitud también podrá presentarse cuando el responsable entregue al titular los datos solicitados en un formato incomprensible, se niegue a efectuar modificaciones o correcciones a los datos, o cuando el titular no esté conforme con la información entregada por incompleta o porque no corresponda. En este procedimiento, el responsable tendrá 15 días desde el traslado de la solicitud para emitir su respuesta y manifestar lo que a su derecho convenga. El Instituto deberá resolver la solicitud en un plazo máximo de 50 días contados a partir de la presentación de la solicitud y deberá tomar en cuenta, la presentación de pruebas y alegatos y las audiencias que se lleven a cabo. Las resoluciones consecuentes de este procedimiento podrán sobreseer o desechar la solicitud, confirmar, revocar o modificar la respuesta del responsable. En caso de que la resolución sea favorable para el titular de los datos, el responsable tendrá un plazo de 10 días a partir de su notificación o bien el plazo que señale el Instituto para dar cumplimiento a la resolución. Ante las resoluciones del Instituto cabe asimismo recurso ante el Tribunal de Justicia Fiscal y Administrativa mediante la interposición de juicio de nulidad al efecto.
29. El procedimiento de verificación, a instancia o petición de parte, y que tiene por objeto comprobar el cumplimiento de la ley y la normativa que la desarrolle. La ley señala que los servidores públicos federales del IFAI tendrán acceso a la información y documentación que consideren necesarias, si bien habrá que esperar a que el procedimiento sea desarrollado reglamentariamente para ver su efectividad en la práctica.
30. Asimismo, el Instituto puede en cualquier momento intentar ejercer de autoridad de solución de conflictos, esto es, de mediadora, como una de las grandes novedades.
31. Entre las funciones del nuevo Instituto Federal de Acceso a la Información y Protección de Datos destaca la difundir el conocimiento del derecho a la protección de datos personales, promover su ejercicio y velar su cumplimiento. Para ello, entre sus facultades destacan: (i) interpretar la Ley en el ámbito administrativo; (ii) emitir criterios, recomendaciones y normas técnicas; (iii) proporcionar apoyo técnico a los responsables que lo soliciten; (iv) conocer y resolver los procedimientos de tutela de derechos; (v) vigilar y verificar el cumplimiento de la Ley, así como conocer la información necesaria para el fin anterior; (vi) elaborar estudios de impacto sobre la privacidad previos a la puesta en práctica de una nueva modalidad de tratamiento de datos personales o la realización de modificaciones sustanciales al tratamiento ya existente y; (vii) brindar capacitación a los sujetos obligados.
32. Además del Instituto, también tienen competencias otras dependencias, y, especialmente se destaca a la Secretaría de Economía, que deberá difundir el conocimiento de las obligaciones en torno a la protección de datos personales entre la iniciativa privada e internacional con actividad comercial en territorio mexicano y promover mejores prácticas comerciales en torno a la protección de datos personales como insumo de la economía digital y desarrollo económico en su conjunto. Entre sus atribuciones en la materia destacan: (1) establecer políticas públicas en materia de datos personales como insumo del comercio y la economía digital; (2) fomentar buenas prácticas comerciales; (3) emitir lineamientos relativos al contenido y alcances de los avisos de privacidad; (4) fijar parámetros para el correcto desarrollo de los mecanismos y medidas de autorregulación; (5) diseñar e instrumentar políticas y coordinar la elaboración de estudios para la modernización y operación eficiente del comercio electrónico; (6) emitir opinión sobre asuntos vinculados con la protección de datos personales y; (7) llevar registros de consumidores en materia de datos personales y verificar su funcionamiento.
33. Se alienta la creación de esquemas de autorregulación como complemento a la legislación, y con carácter vinculante entre las partes, en la forma de códigos deontológicos o de buena práctica profesional, sellos de confianza u otros mecanismos, que contendrán reglas o estándares específicos que permitan armonizar los tratamientos de datos efectuados por los adheridos y facilitar el ejercicio de los derechos de los titulares. Es importante que estos instrumentos definan claramente su mecanismo de control, de resarcimiento y de ejercicio de derechos.