La información es la materia prima de toda investigación y su tratamiento cobra relevancia en las investigaciones de compliance. En términos generales, si bien la Constitución Política de los Estados Unidos Mexicanos consagra la garantía de acceso a la información, también garantiza la privacidad y el derecho a la autodeterminación informativa de las personas, lo que supone un reto para los investigadores internos, cuando durante el proceso de recolección, uso, almacenamiento, o transferencia de información se encuentran con datos personales de particulares.  

En México, el tratamiento de datos personales por parte de particulares se encuentra regulado en la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), su Reglamento, así como en las guías y los lineamientos que emite al respecto el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), organismo federal autónomo con atribuciones, responsabilidades y facultades para proteger los datos personales de particulares, desde el primer semestre del 2010. 

La LFPDPPP define a los datos personales como “cualquier información concerniente a una persona física identificada o identificable” y a su tratamiento como “la obtención, uso, divulgación o almacenamiento por cualquier medio; en donde el uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales”; asimismo, los responsables del tratamiento están obligados a observar los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, actualizándose en caso contrario una infracción a la LFPDPPP que se sanciona con multas de 12 millones 800,000 pesos hasta 25 millones 600,000 pesos si los datos personales comprometidos se clasifican como “sensibles”, por tratarse de “aquellos datos personales que afecten la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste” tales como aquellos que revelan el origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual, entre otros. 

El legislador no era ajeno a que el derecho a la privacidad y el acceso a datos personales de particulares pudiera obstaculizar derechos de terceros, y por ello, estableció expresamente en la LFPDPPP que tanto los principios como los derechos ahí previstos, tendrían como límite, en cuanto a su observancia y ejercicio, la protección de la seguridad nacional, el orden, la seguridad y salud públicos, así como los derechos de terceros, pudiendo encuadrar en estos últimos, no solamente los derechos de personas físicas, sino también de personas morales.

Así en armonía con lo anterior, y pese a que por regla general, todo tratamiento de datos personales está sujeto al consentimiento previo de su titular, el legislador también previó que dicho consentimiento no sería necesario: (i) si otra Ley lo prevé de esa manera; (ii) si los datos personales figuran en fuentes de acceso público; (iii) si los datos personales se someten a un procedimiento previo de disociación; (iv) si se tiene el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular de los datos y el responsable del tratamiento; (v) si son necesarios para la prestación de asistencia sanitaria; (vi) si se dicta resolución de autoridad competente en ese sentido, y (vii) si existe una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes. 

No obstante lo anterior, a fin de evitar riesgos para la empresa durante el tratamiento de datos personales en el curso de una investigación interna de compliance, es recomendable contar con protocolos, políticas internas y consentimientos previamente obtenidos que permitan a la empresa documentar en su momento la legalidad de sus actividades y así mitigar los riesgos que impone el derecho de privacidad consagrado en nuestra Constitución

[email protected]

linkedin.com/in/bcgarin/