Aunque la definición legal de «datos personales» (también conocidos como «información personal») varía de una jurisdicción a otra en el mundo,[1] como concepto los «datos personales» son generalmente entendidos como cualquier tipo de información relacionada a un individuo ya identificado o que puede llegar a serlo mediante dicha información. Son diversos los tipos de información que pueden ser considerados como datos personales, pero, en términos generales, pueden categorizarse en información sobre (i) lo que una persona tiene, (ii) lo que hace, (iii) lo que es y (iv) lo que piensa, cree y sabe.[2]
En México, el concepto de «datos personales» es definido similarmente por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares[3] («Ley de Protección de Datos») como «cualquier información concerniente a una persona física identificada o identificable».[4]
Como puede observarse, la citada definición de «datos personales» es amplia y, consecuentemente, no establece un listado específico sobre qué información debe ser considerada como tal, pues, de lo contrario, existiría el riesgo de que aquella información no indicada en el listado no esté protegida ni regulada como un dato personal, aun cuando se relacione con un individuo o que sea información personal sensible.
Por este motivo, la definición en cambio establece los siguientes cuatro elementos que deben reunirse en su totalidad para que determinada información constituya un dato personal:
Primer elemento: «Cualquier información»
La palabra información debe considerarse en sentido amplio, de modo que se considere todo tipo de información sin importar su naturaleza o formato en el que esté contenida.
Lo anterior puede abarcar información de la persona—p. ej., nombre, información de contacto, claves de identificación, intereses, creencias, entre otros—; así como información sobre o relacionada con la persona—p. ej., opiniones o declaraciones de terceros sobre la persona (incluyendo los resultados de pruebas psicométricas y calificaciones sobre el desempeño y capacidad de empleados), las personas o grupos con los que se vincule, los lugares que frecuenta, entre otros—.
El formato en el que se contenga la información no es relevante, por lo que ésta puede estar contenida en forma numérica, alfabética, acústica (audios, grabaciones),gráfica (imágenes o video), en soportes físicos, digitales o en cualquier otro medio disponible.[5]
Segundo elemento: «Que corresponda, afecte, interese o esté relacionada con»
Se requiere que entre la información y la persona exista alguna relación o vínculo. La existencia de dicha relación no siempre es evidente y su determinación dependerá de las circunstancias de cada caso—por ejemplo, la ubicación de un inmueble en sí no es un dato personal, pero podría serlo cuando sea considerada para determinar la capacidad económica de la persona propietaria o arrendataria; el número de visitas a un lugar vinculado a una persona podría revelar sus preferencias de consumo o incluso sus aficiones, creencias o pensamientos—.
Tercer elemento: «Una persona física»
En México, únicamente las personas físicas (individuos) son susceptibles de tener datos personales.[6]
Uno de los objetivos de la Ley de Protección de Datos es garantizar la privacidad de las personas.[7] Aunque no existe una definición única y globalmente aceptada del concepto de «privacidad» en el ámbito legal, la privacidad de las personas usualmente se vincula con la protección del ámbito de su vida privada (familia y relaciones interpersonales, domicilio, correspondencia) contra injerencias arbitrarias o abusivas, así como con su dignidad, honra o reputación, lo cual tiene fundamento en diversas convenciones internacionales de las que México es parte.[8]
La vida privada, la dignidad y la honra son características atribuibles a las y los individuos, razónpor la cual la Ley de Protección de Datos y su Reglamento no son aplicables a personas morales o
entidades legales como titulares de los derechos y protecciones que allí se establecen, y por tanto, no son susceptibles de que su información sea considerada como «datos personales».[9]
Lo anterior no significa que las personas morales no necesiten ni cuenten con derechos y acciones legales para proteger su información y su reputación, pero éstos no son establecidos a través de la normatividad en materia de protección de datos personales, sino a través de la normatividad mercantil, de derechos de autor y de propiedad intelectual, normatividad en materia de secreto financiero y fiduciario, así como de transparencia y acceso a la información pública.
Cuarto elemento: «Identificada o identificable»
Se refiere a aquella información que:
- identifica directamente a una persona física—por ejemplo, el nombre propio o la información biométrica (p. ej., huella digital, características faciales, la voz e incluso la postura[10]), cuya finalidad es precisamente distinguir y reconocer de manera única a una persona de otra—;
- identifica o hace posible identificar indirectamente a una persona física—por ejemplo, las claves o números de registro o identificación asociados con una persona física, como la Clave Única de Registro de Población en México, la cual aunque está constituida únicamente por caracteres alfanuméricos, hace posible conocer información sobre el nombre, fecha y lugar de nacimiento, sexo y nacionalidad de una persona—;
- se vincula a o asocia con una persona física ya identificada—p. ej., información de contacto de una persona, información financiera o patrimonial—;
- es posible asociar con una persona física combinando una información con otra—por ejemplo, en internet, las cookies[11] permiten identificar a un determinado dispositivo y registrar la actividad que realice en un sitio web y/o en sitios posteriormente visitados; esta información es combinada con otros identificadores en línea (p. ej., direcciones de protocolo de internet o IP, por sus siglas en inglés) y otra información recibida por los servidores del sitio, para después poder ser utilizada para crear perfiles de individuos e identificarlos[12]—.
Conforme a lo anterior, para determinar si cierta información de o relacionada con una persona será considerada como dato personal para efectos de la Ley de Protección de Datos, es necesario analizar si dicha información reúne los cuatro elementos de la definición referidos anteriormente—siendo recomendable documentar el proceso de análisis y determinación correspondiente para contar con elementos que faciliten acreditar el cumplimiento—.
[1] Por ejemplo:
- En la Unión Europea, el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) define a los datos personales como toda información sobre una persona física identificada o identificable.
- En EUA, la Ley de Privacidad del Consumidor de California (California Consumer Privacy Act) define a la «información personal» como aquella que identifica, se relaciona con, describe, es razonablemente capaz de ser asociada con, o podría ser razonablemente vinculada, directa o indirectamente, con un consumidor en particular u hogar.
- En Uruguay, la Ley N° 18331 (Ley de Protección de Datos Personales) define a un dato personal como la información de cualquier tipo referida a personas físicas o jurídicas determinadas o determinables.
- En Brasil, la Ley General de Protección de Datos (Lei Geral de Proteção de Dados Pessoais) define a los datos personales como información relacionada a una persona natural identificada o identificable.
[2] Falcon Doss, A. (2020). Sección I, Cap. 1 Categorías de datos y cómo son obtenidos (Categories of data, and how data is colected). En Cyber Privacy: Who has your data and why you should care (pp. 11-34). Estados Unidos de América: BenBella Books.
[3] Artículo 3, fracción V.
[4] La citada ley es aplicable para el sector privado; para el sector público, es aplicable la Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados, cuya definición de «datos personales» es idéntica a la del sector privado.
[5] Véase el artículo 3 del Reglamento de la Ley de Protección de Datos.
[6] Otros países, como Uruguay—Ley N° 18331 (Ley de Protección de Datos Personales)—y Argentina— Ley 25.326 (Ley de Protección de los Datos Personales), sí consideran que las personas morales son susceptibles de tener datos personales, considerando que éstas, en última instancia, están conformadas por personas físicas.
[7] Artículo 1 de la Ley de Protección de Datos.
[8] La privacidad es un derecho humano reconocido en la Declaración Universal de los Derechos Humanos (artículo 12), la Convención Americana de los Derechos y Deberes del Hombre (artículo V), y la Convención Americana Sobre Derechos Humanos (artículo 11) y la Convención Sobre los Derechos del Niño (artículo 16), instrumentos internacionales de los que el Estado mexicano es parte. En tales instrumentos, el derecho a la privacidad se asocia con el ámbito de la vida privada y la dignidad, honra o reputación de las personas.
[9] Véanse los artículos 3, fracción V, de la Ley de Protección de Datos; y el artículo 5, fracción I, de su Reglamento.
[10] Falcon Doss, A. (2020). Cyber Privacy: Who has your data and why you should care (pp. 20-21).
[11] Las cookies son un archivo de texto en el dispositivo de un usuario o visitante de un sitio web, que es enviado por el servidor de dicho sitio al dispositivo, y que almacena determinada información sobre el usuario o visitante para ser leída y utilizada por el sitio web con posterioridad.
El Lineamiento Tercero, fracción I, de los Lineamientos del Aviso de Privacidad emitidos por el ahora Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), define a las cookies como un «archivo de datos que se almacena en el disco duro del equipo de cómputo o del dispositivo de comunicaciones electrónicas de un usuario al navegar en un sitio de internet específico, el cual permite intercambiar información de estado entre dicho sitio y el navegador del usuario».
[12] Véase el Considerando número 30 del Reglamento General de Protección de Datos de la Unión Europea.