Antecedentes del derecho a la

protección de los datos personales

Introducción

En la sociedad el manejo e intercambio de datos se ha convertido en una práctica habitual

para las empresas de servicios. El uso de las tecnologías de la información y comunicación
están presentes en casi todos los procesos, lo cual ha optimizado sus recursos. Sin embargo,
también han propiciado una serie de desafíos en torno a la seguridad de la información, la
protección de los datos personales y el cumplimiento de la regulación en la materia.

Los datos personales constituyen información, por lo que cuentan con un valor económico,
equiparable a ciertos beneficios intangibles, se debe decir que el valor otorgado a la
información de las personas no radica en el dato por sí mismo, sino en el tratamiento,
asociación con otros datos y utilidad que se les dé. Esto permite obtener un lucro, a través de
la explotación comercial de aspectos privados, orientados al consumo, que incluso se
interesan en predecir conductas y patrones de comportamiento.

México buscó una consonancia, a través de la aprobación y publicación de la Ley Federal de

Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y la Ley General
de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO) para
reunir estándares en la materia.

Importancia de la protección de los datos personales

Los datos personales son cualquier información relacionada con nosotros que pueda
identificarnos, y que por cuestiones de seguridad debe garantizarse su protección, toda vez,
que revelan mucho de quiénes somos, nuestros gustos, economía, salud, preferencias,
etcétera, de lo contrario, podrían generarse afectaciones graves como el robo de identidad, el
chantaje o la extorsión que ponen en peligro nuestra integridad y tranquilidad.

En el año 2000, con la proclamación de la Carta de los Derechos Fundamentales de la Unión

Europea, se concibió la protección de datos personales como un derecho fundamental,
autónomo e independiente del derecho a la vida privada y familiar.

El derecho de protección de los datos personales es la facultad que nos otorga la Ley para
que, como únicas personas dueñas de nuestros datos, decidamos a quién, cómo y para qué
los proporcionamos, además nos permite acceder, rectificar, cancelar y oponernos al
tratamiento de nuestra información personal. Por sus iniciales, son conocidos comúnmente
como derechos ARCO.

Actualmente proporcionamos nuestros datos a personas físicas o morales ya sea mediante la

contratación de servicios o a través de otras actividades cotidianas.

Este derecho reconoce que el tratamiento de los datos es necesario para realizar actividades
lícitas y legítimas, de interés general o particular. Es por ello, que no se opone al tratamiento
informático sino al abuso de este, es decir, que el éxito de este derecho depende del uso
responsable, legal y ético de la información por parte de las Tecnologías de la Información y
Comunicación (TIC).

Marco constitucional mexicano

El derecho a la protección de los datos personales se encuentra reconocido en los artículos 6,

inciso A), fracción II, y 16, segundo párrafo de la Constitución Política de los Estados Unidos
Mexicanos (CPEUM), en los siguientes términos:

La información que se refiere a la vida privada y los datos personales será protegida
en los términos y con las excepciones que fijen las leyes.

Toda persona tiene derecho a la protección de sus datos personales, al acceso,

rectificación y cancelación de los mismos, así como a manifestar su oposición, en los
términos que fije la ley, la cual establecerá los supuestos de excepción a los
principios que rijan el tratamiento de datos, por razones de seguridad nacional,
disposiciones de orden público, seguridad y salud públicas o para proteger los
derechos de terceros.

El 10 de junio de 2011, se publicó en el Diario Oficial de la Federación (DOF), la reforma

constitucional en materia de derechos humanos, mediante la cual se reconocen a ese nivel del
ordenamiento jurídico mexicano, los derechos humanos establecidos en la propia CPEUM y
en los tratados internacionales de los que el Estado mexicano sea parte, así como las
garantías para su protección.

Cabe señalar que en dicha reforma se establece la “interpretación conforme” y el

“principio pro persona”, como herramientas hermenéuticas para el cumplimiento de las
obligaciones del Estado mexicano en materia de derechos humanos.

En este contexto, el Estado mexicano está obligado a garantizar el derecho de protección de

datos personales, por lo que aquellos tratamientos de datos personales que tengan como
efecto la violación a los derechos humanos podría ser considerados inconstitucionales o
inconvencionales.

Antecedentes Nacionales

El reconocimiento del derecho de protección de los datos personales en México se dio en

2002, con la Ley Federal de Acceso a la Información Pública Gubernamental, que fue el
primer ordenamiento en reconocer este derecho en el sector público.

En 2009, las reformas a los artículos 16 y 73 constitucionales otorgaron el reconocimiento

pleno a la protección de datos personales como un derecho fundamental y autónomo.
Asimismo, estas reformas dotaron de facultades al Congreso de la Unión para legislar en la
materia.

No obstante, se advertían dos grandes problemas:

 • la legislación en materia de protección de datos personales en el sector público no
garantizaba la totalidad de los derechos de acceso, rectificación, cancelación y
oposición, y
• la falta de normativa que aplicaría a la protección de datos personales en el sector
privado.

En este sentido, fue en 2010 cuando por primera vez se contó con disposiciones expresas
que las empresas observarían para el tratamiento de datos personales en el sector privado, a
través de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Finalmente, en 2017, se emitió la LGPDPPSO, con la cual, México terminó de armonizar la

norma en la materia. Así, se tienen dos legislaciones específicas que dictan obligaciones,
deberes, procedimientos, sanciones y recursos en la materia, tanto para el sector público
como privado.

Legislación nacional en materia de protección de datos personales

Ø A nivel federal

El Estado mexicano cuenta con las siguientes disposiciones legales en materia de

protección de datos personales:

Sector público:

LGPDPPSO, publicada en el DOF, el 26 de enero de 2017.

Lineamientos Generales de Protección de Datos Personales para el Sector Público,

publicados en el DOF, el 26 de enero de 2018.1

Sector privado:

LFPDPPP, publicada en el DOF, el 5 de julio de 2010.

Ø A nivel estatal

Las leyes estatales en materia de protección de datos personales, de cada una de las
entidades federativas.

Antecedentes Internacionales

El antecedente internacional más importante de este derecho surge después de la Segunda

Guerra Mundial, a partir de que diversos instrumentos jurídicos internacionales, que,
invocando la dignidad humana, reconocen el derecho a la no injerencia en la vida privada de
las personas, como un derecho humano.

1
Adicionados mediante el acuerdo ACT-PUB/11/11/2020.05, del Pleno del Instituto Nacional de Transparencia,
Acceso a la Información y Protección de Datos Personales, aprobado el 11 de noviembre 2020.
En estos primeros esquemas de protección, se reconocía el derecho a la vida privada y
familiar como un derecho inherente a la persona, así como el respeto y la no injerencia en el
domicilio y correspondencia.

Como parte de los instrumentos jurídicos internacionales referidos se encuentran:

• La Declaración Universal de los Derechos Humanos, de 10 de diciembre de 1948;

• La Convención Americana de Derechos Humanos (Pacto de San José de Costa Rica)
de 1966;
• El Pacto Internacional de Derechos Civiles y Políticos de 19 de diciembre, del mismo
año, 1966;
• El Convenio Europeo de Derechos Humanos de 4 de noviembre de 1950;
• La Carta de los Derechos Fundamentales de la Unión Europea suscrita en Niza el 7 de
diciembre de 2000.

Si bien no existe un reconocimiento expreso del derecho a la protección de datos personales

en los instrumentos internacionales antes mencionados, sí podemos afirmar que, en el
desarrollo de los derechos humanos, esta figura encuentra su antecedente más importante.

Es necesario precisar que cada país ha optado por configurar este derecho a la no injerencia
en la vida privada de las personas, a través de distintas figuras jurídicas. En el caso de
México, consiste en un reconocimiento constitucional del derecho de protección de datos
personales, desarrollado en el marco de los postulados de la doctrina europea y los esquemas
de autorregulación y sectorización del sistema anglosajón.
La protección de los datos personales
en instrumentos internacionales
Para dimensionar la importancia que ha cobrado el derecho a la protección de datos
personales, es necesario conocer los instrumentos internacionales más relevantes que
han ejercido una gran influencia en las legislaciones de todos los países del mundo.

Instrumentos internacionales más relevantes.

• 1980 - OCDE. Directrices sobre protección de la privacidad y flujos transfronterizos

de datos personales;

• 1981 - Consejo de Europa. Convenio del Consejo de Europa para la protección de

las personas con respecto al tratamiento automatizado de carácter personal;

• 1990 - ONU. Directrices para la regulación de los ficheros computarizados de

datos personales (Resolución 45/95 de la Asamblea General);

• 1995 - Unión Europea. Directiva 95/46/CE del Parlamento Europeo y del Consejo
relativa a la protección de las personas físicas en lo que respecta al tratamiento de
datos personales y la libre circulación de los mismos;

• 2005 - APEC. Marco de privacidad del Foro de Cooperación Económica Asia-Pacífico;

• 2009 - Coordinación de la Agencia Española de Protección de Datos. Conferencia

de Autoridades de Privacidad. Resolución de Madrid, y

• 2017 - Red Iberoamericana de Protección de Datos Personales. Estándares de

protección de datos personales para los estados iberoamericanos.

Ø Las Directrices sobre protección de la privacidad y flujos transfronterizos de

datos personales

Estas Directrices que fueron adoptadas inicialmente en 1980 y actualizadas en 2013, suponen la
unanimidad internacional sobre las guías generales para el tratamiento de información personal.

Se aplican a datos personales del sector público o privado que, debido a la forma en que
se procesan, a su naturaleza o al contexto en que se usan, suponen un peligro para la
privacidad y las libertades individuales.

Ø El Convenio para la protección de las personas con respecto al tratamiento

automatizado de carácter personal

El 12 de junio de 2018, se publicó en el Diario Oficial de la Federación el decreto por el cual se

aprobó el Convenio para la protección de las personas con respecto al tratamiento automatizado
de datos de carácter personal y su Protocolo Adicional relativo a las autoridades de control y a los
flujos fronterizos de datos, hechos en Estrasburgo, Francia el 28 de enero de 1981, y el 8 de
noviembre de 2001, respectivamente.

El objetivo principal del Convenio (108) es garantizar a cualquier persona física, sea cual fuera
su nacionalidad o residencia, el respeto de sus derechos y libertades fundamentales,
concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los
datos de carácter personal.

Lo anterior, a través de un equilibrio entre la protección de la información personal y la

necesidad de mantener el libre flujo de datos personales entre países, de tal manera que los
flujos internacionales de datos personales no representen un freno al comercio internacional.

En dicho Convenio se establecen parámetros para la protección de datos personales, reglas

en torno a la transferencia de datos personales entre Estados miembros, así como
disposiciones que facilitan la cooperación internacional.

Ø Las Directrices para la regulación de los ficheros computarizados de datos

personales (Resolución 45/95 de la Asamblea General)

El 14 de diciembre de 1990, en el ámbito de la Organización de las Naciones Unidas (ONU),

se llevó a cabo el 45° periodo de sesiones de su Asamblea General, mediante la cual aprobó
la Resolución
45/95, por la que se aprueban los principios rectores sobre la reglamentación de los
ficheros computadorizados de datos personales.

Los principios rectores establecidos en la Resolución 45/95, son:

• Legalidad y lealtad
• Exactitud
• Especificación de la finalidad
• Acceso de la persona interesada
• No discriminación
• Facultad para hacer excepciones
• Seguridad
• Supervisión y sanciones
• Flujo Transfronterizo de datos
• Campo de aplicación

Las directrices se aplican a los archivos de datos personales que mantengan las
organizaciones internacionales gubernamentales, sujetas a cualquier ajuste que sea preciso
para tener en cuenta cualquier diferencia que pueda existir entre archivos para fines internos,
como aquellos que conciernen a la gestión de personal, y archivos para fines externos,
relativos a terceros que tengan relaciones con la organización.

En 2013, la Asamblea General de la ONU aprobó la resolución 68/167 presentada por Brasil
y Alemania respecto al Derecho de la Privacidad en la Era Digital, donde se exhorta a los
Estados a garantizar la protección de los datos de las personas también en Internet, incluido el
derecho a la privacidad.
En diciembre de 2014, la Asamblea General de la ONU aprobó la resolución 69/166, mediante
la cual solicita al Consejo de Derechos Humanos crear un procedimiento especial que determine
y aclare los principios, normas y mejores prácticas sobre la promoción y protección del derecho
de la privacidad.

El 25 de marzo de 2015, el Consejo de Derechos Humanos de la ONU autorizó la designación

de un relator especial sobre el derecho a la privacidad, solicitándole incluir en su primer
informe las consideraciones al respecto en la era digital.

Ø La Directiva 95/46/CE del Parlamento Europeo y del Consejo relativa a la

protección de las personas físicas en lo que respecta al tratamiento de datos
personales y la libre circulación de los mismos.

La Directiva 95/46/CE tenia por objeto que los Estados miembros garantizarán la protección
de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del
derecho a la intimidad, en lo que respecta al tratamiento de los datos personales.

El 27 de abril de 2016 se adoptó el Reglamento General de Protección de Datos que

substituye a la Directiva 95/46/CE, con una misma linea y una aplicación directa para evitar
divergencias entre los Estados miembros de la Unión Europea.

El objetivo principal del Reglamento es dar control a los ciudadanos y residentes sobre sus
datos personales y simplificar el entorno regulador de los negocios internacionales unificando
la regulación dentro de la Unión Europea.

Si bien, el Reglamento fue adoptado en 2016, adquirió la calidad de ejecutivo a partir del 25 de
mayo de 2018 tras una transición de dos años y, a diferencia de una directiva, no obliga a los
gobiernos nacionales a aprobar ninguna legislación habilitante, por lo que es directamente
vinculante y aplicable.

Ø El Marco de privacidad del Foro de Cooperación Económica Asia-Pacífico

El Foro de Cooperación Económica Asia-Pacífico (APEC, por sus siglas en inglés) se

estableció en 1989 con el fin de facilitar el crecimiento económico de dicha región.

En 2004, los ministros de los 21 estados miembros de APEC avalaron el marco de Privacidad
de APEC, el cual establece principios de protección de datos personales, y promueve la
creación de instrumentos internacionales que protejan la privacidad de los individuos al mismo
tiempo que faciliten el intercambio de información entre las economías.

Entre estos instrumentos destaca el Sistema de Reglas de Privacidad Transfronteriza

desarrollado por el Subgrupo de Privacidad de APEC.

Este sistema facilita a los responsables ubicados en distintas economías de Asia Pacífico
transferir datos personales entre ellos, siempre y cuando las transferencias sean seguras de
conformidad con el Marco de Privacidad de APEC.

Las organizaciones que deseen participar en este sistema deben someter a la validación de
terceros certificadores sus reglas y políticas de protección de datos personales, a fin de
garantizar que los datos personales estarán protegidos. Los terceros certificadores también
se encuentran validados por el sistema.

Ø Conferencia de Autoridades de Privacidad. Resolución de Madrid

La Agencia Española de Protección de Datos (AEPD) organizó un foro dedicado a la

privacidad a nivel mundial que sirvió como punto de encuentro entre autoridades de protección
de datos y garantes de la privacidad de varios países, así como de representantes de
entidades públicas y privadas y de la sociedad civil.

El objetivo prioritario de la Conferencia fue avanzar hacia la creación de un instrumento legal,

universal y vinculante en materia de privacidad, que contribuyera a una mayor protección de
los derechos y libertades individuales en un mundo globalizado y que contara con el más
amplio consenso institucional y social.

Mediante la “Propuesta conjunta para la Redacción de Estándares Internacionales para la

Protección de la Privacidad en relación con Tratamiento de Datos de Carácter Personal”, se
busco definir un conjunto de principios y derechos que garantizara la efectiva y uniforme
protección de la privacidad a nivel internacional, en relación con el tratamiento de los datos de
carácter personal, y facilitar los flujos internacionales de datos.

La propuesta se configura no sólo como la base para la futura elaboración de un Convenio

universal vinculante, sino como una herramienta de indudable utilidad para el desarrollo
normativo e institucional en aquellos países en los que la protección de datos no se encuentre
todavía convenientemente implementada.

Ø Red Iberoamericana de Protección de Datos Personales. Estándares de

protección de datos personales para los estados iberoamericanos

El 20 de junio de 2017, la Red Iberoamericana de Protección de Datos aprobó los Estándares

de Protección de Datos para los Estados Iberoamericanos los cuales se constituyen en un
conjunto de directrices orientadoras que contribuyen a la emisión de iniciativas
regulatorias de
protección de datos personales en la región iberoamericana de aquellos países que aún
no cuentan con estos ordenamientos, o en su caso, sirvan como referente para la
modernización y actualización de las legislaciones existentes.

El objetivo principal de los Estándares es establecer un marco común de principios y derechos

de protección de datos que sirvan como base para las diferentes legislaciones nacionales de
los estados iberoamericanos de forma que se garantice una tutela homogénea del derecho a
la protección de datos personales en todos los Estados Iberoamericanos y se facilite el flujo de
los datos personales entre los mismos y más allá de sus fronteras.

Los Estándares constituyen un modelo normativo flexible que responde a las necesidades y
exigencias nacionales e internacionales en la materia y que garantizan un nivel adecuado de
protección de los datos personales sin establecer barreras a la libre circulación y a las
actividades comerciales en la región.
Instrumentos jurídicos aprobados por el
INE en materia de protección de datos
personales
El Instituto Nacional Electoral (otrora Instituto Federal Electoral) ha mantenido un compromiso
permanente con la protección de los datos personales, a través de la aprobación de diversos
instrumentos jurídicos que le han permitido garantizar este derecho, entre los cuales se
encuentran:

Instrumentos jurídicos del Consejo General

Ø IFE

Acuerdo Normativa aprobada Aprobación Vigente

CG553/2008 Lineamientos para el Acceso, NO
Entrega y Corrección de 22-12-2008 (Abrogados/Acuerdo
datos personales en posesión del CG734/2012
Registro Federal de Electores aprobado el
21-11-2012).
CG734/2012 Lineamientos para el acceso, NO
rectificación, cancelación, 21-11- 2012 (Abrogados/Acuerdo
oposición y validación de datos INE/CG649/2018
personales en posesión de la aprobado el
Dirección Ejecutiva del Registro 18-07-2018).
Federal de Electores.

Ø INE (Anterior a la entrada en vigor de la LGPDPPSO)

Acuerdo Normativa aprobada Aprobación Vigente

INE/CG172/2016 Lineamientos para la SI
verificación de los padrones de 30-03-2016 (Artículo segundo
afiliados de los partidos transitorio, párrafo 1,
políticos nacionales para la Acuerdo
conservación de su registro y su INE/CG557/2017
publicidad, así como para el aprobado el
ejercicio de los derechos de 22-11-2017,
acceso, rectificación, se derogan los
cancelación y oposición de los lineamientos: décimo
datos personales en posesión octavo, décimo
del Instituto Nacional Electoral. noveno, vigésimo,
vigésimo primero,
vigésimo segundo y
vigésimo tercero)
INE/CG312/2016 Principios, criterios, plazos y NO
procedimientos para garantizar la 4-05-2016 (Abrogados/Acuerdo
protección de datos personales INE/CG557/2017
en posesión del Instituto Nacional aprobado el
Electoral y Partidos Políticos 22-11-2017).
 INE/CG314/2016 Lineamientos para el acceso, SI
verificación y entrega de los 4-05-2016 (Ratificados/Acuerdo
datos personales en posesión INE/CG/424/2018
del Registro Federal de Electores aprobado el
por los integrantes de los 25-04- 2018)
consejos general, locales y
distritales, las comisiones de
vigilancia del Registro Federal de
Electores y los organismos
públicos locales
(Lineamientos AVE).
INE/CG851/2016 Lineamientos para la SI
verificación de los padrones de 14-12-2016 (Conforme al
afiliados de los partidos artículo segundo
políticos locales para la transitorio, párrafo 1,
conservación de su registro y su Acuerdo
publicidad, así como criterios INE/CG557/2017 se
generales para el ejercicio de derogan los
los derechos de acceso, lineamientos: décimo
rectificación, cancelación y octavo, décimo
oposición de los datos noveno, vigésimo,
personales en posesión de los vigésimo primero,
sujetos obligados. vigésimo segundo,
vigésimo tercero,
vigésimo cuarto y
vigésimo quinto)

Ø INE (Posterior a la entrada en vigor de la LGPDPPSO).

Acuerdo Normativa aprobada Aprobación Vigente

INE/CG557/2017 Reglamento del Instituto SI
Nacional Electoral en Materia 22-11-2017
de Protección de Datos
Personales.
INE/CG424/2018 Lineamientos AVE. SI
25-04-2018 (Modificados/Acuerdo
INE/CG285/2020
aprobado el
07-09-2020)
INE/CG649/2018 Lineamientos del Instituto Si
Nacional Electoral para el acceso, 18-07-2018 (Modificados/Acuerdo
rectificación, cancelación y INE/CG177/2020
oposición de datos personales aprobado el
que forman parte del Padrón 30-07- 2020)
Electoral (Lineamientos ARCO).
INE-CT-ACG-PDP- Programa para la Protección de SI
004-2018 Datos Personales del Instituto 8-11-2018
Nacional Electoral
(Aprobado por el CT)
Estrategia para el Cumplimiento
de los Deberes de Seguridad y 8-11-2018
Confidencialidad para la
 Protección de Datos Personales
2018-2020.
Estrategia para el cumplimiento
de los Principios de Protección de 28-03-2019
Datos Personales 2019-2021

INE/CG177/2020 Modificaciones a los 30-07-2020 SI

Lineamientos ARCO.
INE/CG285/2020 Modificaciones a los 07-09-2020 SI
Lineamientos AVE.