En un lustro de vigencia de la Ley Federal de Protección de Datos Personales en Posesión de Particulares, su instrumentación ha sido compleja para el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (Inai).

Si bien en este periodo impuso sanciones por 182 millones de pesos, sólo una multa ha sido cobrada, pues, a diferencia del ámbito de acceso a la información, donde sus resoluciones son inatacables, en éste aún deben involucrarse en prolongados procesos legales.

Aunque se ha buscado avanzar por la vía de la autorregulación de las empresas y de los convenios para apuntalar la protección de datos personales, el Inai se enfrenta al dilema de que los sectores que más violan esta legislación son el financiero (bancos, principalmente) y telecomunicaciones, lo que obliga a enfrentar los litigios legales con empresas económicamente muy sólidas y con capacidad de defensa legal.

De acuerdo con el comisionado Joel Salas, las empresas que más frecuentemente han sido sometidas a procedimientos de protección de datos personales son Google, Banamex, Bancomer, Banco Santander, Hospital Ángeles y Nextel, entre otras. La multa más elevada que ha aprobado el pleno del Inai es de 32 millones de pesos a una institución bancaria, pero en la actualidad se mantiene en litigio para que cause estado. Si bien sólo se ha cobrado una multa, no hay muchas más que estén firmes.

A pesar de ello, el ritmo de resoluciones sancionatorias del Inai ha crecido: en 2012 fueron dos multas de 2 millones de pesos; en 2013, 27 de 56.6 millones; 2014, 17 de 42.6 millones, y en 2015 van 37 de 80.9 millones de pesos. Sólo falta litigarlas ante el Tribunal Federal de Justicia Fiscal y Administrativa.

A diferencia de las disposiciones legales que rigen la transparencia y acceso a la información, donde las resoluciones del instituto son definitivas e inatacables –con la única excepción de la Consejería Jurídica de la Presidencia de la República, cuando se considere que es una decisión que afecta la seguridad nacional–, en materia de datos personales la resolución del pleno es apenas el inicio del proceso legal, por ahora, con los consorcios financieros y en telecomunicaciones.

A ello se añade que el ritmo de cambios constitucionales y legales en ambos rubros que competen al Inai son completamente diferentes. Las transformaciones que se han dado en materia de acceso a la información en estos dos años, que han permitido construir el Sistema Nacional de Transparencia, contrastan con la virtual parálisis que existe en el renglón de protección de datos personales, particularmente en lo que corresponde al sector público.

De la reforma constitucional se desprendía no sólo la obligación de aprobar una Ley General de Transparencia –y su adecuación a las 32 leyes estatales–, lo cual avanza en plazos, sino también un proceso similar para regular la protección de datos personales en el sector público. El plazo fijado fue febrero de 2015 y aún no hay nada.

Por eso, en esta materia sólo hay una legislación federal para regular a particulares, por lo que en el caso del sector público su regulación depende del artículo 20 de la Ley Federal de Transparencia todavía vigente, que señala:

‘‘ Los sujetos obligados serán responsables de los datos personales y, en relación con éstos, deberán adoptar los procedimientos adecuados para recibir y responder las solicitudes de acceso y corrección de datos, así como capacitar a los servidores públicos y dar a conocer información sobre sus políticas en relación con la protección de tales datos, de conformidad con los lineamientos que al respecto establezca el instituto’’.

También ‘‘tratar datos personales sólo cuando éstos sean adecuados, pertinentes y no excesivos en relación con los propósitos para los cuales se hayan obtenido.’’

Las instituciones públicas que han recibido más solicitudes relativas a datos personales son los institutos Mexicano del Seguro Social, de Seguridad y Servicios Sociales de los Trabajadores del estado, las secretarías de Educación Pública, de Salud y de Hacienda. Por ahora, en el registro histórico, el Inai ha procesado 9 mil 582 recursos de protección de datos personales, en su mayoría relacionados con el sector público.

En el plano estatal, sólo 11 entidades cuentan con una legislación expresa en materia de protección de datos personales; en el resto se opera a partir de la garantía constitucional.