La posibilidad de acceder a datos personales es un derecho de las personas físicas o naturales. Generalmente, este derecho se ejerce a través de la presentación de una solicitud de acceso que está destinada a obtener de una organización (responsable del tratamiento), una respuesta a preguntas como:

¿Qué información tienes sobre mi persona?

¿Qué sabes acerca de mí?

¿Qué piensas acerca de mí?

¿Qué estás haciendo con toda esa información?

En México, el derecho de acceso a los datos personales está reconocido en la Constitución Política (artículo 16, segundo párrafo) y en las legislaciones federales de protección de datos personales:

• La Ley Federal de Protección de Datos Personales en Posesión de los Particulares, aplicable al sector privado (artículos 22 y 23 de la Ley; 101 de su Reglamento), y
• La Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, aplicable al sector público (artículo 44 de la Ley).

Ambos ordenamientos prevén como parte del ejercicio del derecho de acceso, la posibilidad de que la persona titular o su representante puedan acceder a las “condiciones” y “generalidades” del tratamiento de los datos personales. Sin embargo, dichas expresiones resultan ambiguas al carecer de una definición específica en las legislaciones respectivas.

De esta manera, el acceso a las condiciones y generalidades de un determinado tratamiento de datos podría comprender:

• La información que una persona desea conocer o acceder respecto a un tratamiento de datos personales en posesión de un responsable (aparte de sus datos personales), y
• La información que un responsable del tratamiento está dispuesto o en posibilidad de entregar a la persona titular del dato, en respuesta a una solicitud de acceso.

Por tal motivo, resulta necesario poseer elementos de claridad mínimos que permitan responder a la pregunta:

¿Qué quiso decir el legislador mexicano al prescribir que una persona tiene el derecho a acceder a las condiciones y generalidades del tratamiento de sus datos personales?

De este cuestionamiento se pueden derivar distintas interrogantes:

• ¿El legislador quiso decir que la persona titular puede acceder a “condiciones generales” del tratamiento de los datos (información abstracta, amplia o no específica)?
• ¿Quiso decir que una persona puede acceder a información concreta y detallada sobre cualquier tratamiento de los datos (a recibir explicaciones o información particular sobre la lógica y las consecuencias concretas de un tratamiento)?
• ¿Quiso decir que una persona puede acceder a las condiciones “específicas” del tratamiento y además recibir “información general” sobre este?
• ¿El acceso a las condiciones y generalidades del tratamiento se reduce a poder acceder al aviso de privacidad en donde se informe los requisitos expresamente exigidos por ley?
• ¿Qué tanto debe o puede conocer una persona titular respecto al tratamiento de sus datos personales, cuando ejerce el derecho de acceso a las condiciones y generalidades del tratamiento?

La expresión “condiciones y generalidades del tratamiento” está afectada de una ambigüedad crítica en el lenguaje, que requiere claridad para determinar a qué tiene derecho una persona cuando pretende acceder a dichas condiciones y generalidades.

Un breve análisis conceptual

En primer momento, resulta necesario explicar mínimamente el significado de las expresiones correspondientes. Por una parte, resulta pertinente acudir al Diccionario de la Real Academia Española (RAE), que asigna al término “condición” distintos significados. Resultan relevantes los siguientes:

“Estado, situación especial en que se halla alguien o algo”.

“Situación o circunstancia indispensable para la existencia de otra”.

“Circunstancias que afectan a un proceso o al estado de una persona o cosa”.

Por otro lado, conforme al diccionario de la RAE, los términos “general” y “generalidad” poseen entre otras acepciones, las siguientes:

“Común, frecuente, usual”.

“Vaguedad o falta de precisión en lo que se dice o escribe”.

“Cosa que se dice o escribe con vaguedad o falta de precisión”.

De esta manera, utilizando algunos de los conceptos anteriores, se podría elaborar una definición según la cual el acceso a las condiciones y generalidades del tratamiento de los datos personales podría consistir en:

“El derecho de una persona titular de datos a acceder o conocer información respecto (1) al estado o situación en la que se encuentran sus datos personales en posesión de un responsable, (2) las circunstancias o medios indispensables (necesarios) que hacen posible su tratamiento, o bien, el derecho a acceder o conocer (3) aquellas circunstancias comunes, frecuentes o usuales que afectan a un determinado proceso de tratamiento de datos personales”.

De manera enunciativa pero no limitativa, y sin afirmar si el acceso a las condiciones del tratamiento podría abarcar toda la información que se menciona a continuación, sería ideal reflexionar acerca de la posibilidad de acceder a:

• Políticas y programas de privacidad.
• Información acerca del estado de implementación de sistema de gestión de privacidad de la información, o relativa a alguno de sus componentes, en cuyo contexto se realiza el tratamiento de los datos personales.
• Cómo el responsable cumple con los principios en un determinado tratamiento de datos personales (por ejemplo, si un tratamiento de datos tiene como base el consentimiento o alguna de las excepciones para su obtención, o bien, si el tratamiento de los datos resulta proporcional y estrictamente necesario).
• Plazos de conservación efectivamente implementados por el responsable.  
• La tecnología empleada por el responsable en el tratamiento de los datos.
• La lógica (razones de decisión y circunstancias individuales) empleada por un responsable en el tratamiento de los datos, así como las consecuencias en distintos niveles para la persona titular.
• Condiciones generales de las transferencias de datos personales.
• Medidas de seguridad efectivamente implementadas.
• Vulneraciones o brechas de seguridad ocurridas.

En relación con el listado anterior, parte del problema radica en la dificultad para determinar qué y cuánta información es suficiente o puede obtenerse de un responsable, como parte de las condiciones y generalidades del tratamiento.

Por ejemplo, ¿podría una persona o debería poder acceder a la información contenida en contratos suscritos con terceros que tengan un impacto o afecten a la persona, con motivo de un tratamiento de datos personales, por ejemplo, en caso de una transferencia internacional de datos? Lo anterior, partiendo del supuesto de que en dichos contratos se establezcan las condiciones del tratamiento de los datos personales de las personas cuyos datos se transfieren.

La respuesta a esta pregunta requeriría de un análisis mucho más amplio y caso por caso; no obstante, si se pretende ser garantistas en cuanto a su alcance, la posibilidad de acceder a las condiciones y generalidades del tratamiento tendría que apuntar (en principio) a una especie de “derecho a conocer una explicación” detrás de un determinado tratamiento de datos personales.

Así, el acceso a las condiciones y generalidades del tratamiento debería corresponderse con la obligación que tiene un responsable de emitir una respuesta amparada en la “transparencia”, la “responsabilidad” y la “explicabilidad” de un determinado tratamiento de datos, así como de las razones o la lógica involucrada en este, idealmente de manera detallada, clara, honesta y verificable.

Hoy en día, al menos en las legislaciones de protección de datos mexicanas, resulta incierto el alcance de la expresión “generalidades y condiciones del tratamiento”. Su referencia genera ruido e incertidumbre, ya que no es claro si comprende el derecho de acceder a información específica respecto a un determinado tratamiento de datos, y mucho menos parece haber sido incluida por el legislador con el propósito de servir como un “derecho a la explicación o explicabilidad suficiente”.

Existe un espacio importante para reflexionar sobre qué comprenden o deberían comprender estas condiciones y generalidades; si se trata de una figura de adorno en la legislación, o tiene una utilidad práctica, en cuyo caso, resulta necesario desarrollar los conceptos normativamente para dotarles de coherencia y significado.

---

Referencias

Ley Federal de Protección de Datos Personales en Posesión de los Particulares, 2010, México. Disponible en el vínculo electrónico: https://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf

Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, 2011, México. Disponible en el vínculo electrónico: https://www.diputados.gob.mx/LeyesBiblio/regley/Reg_LFPDPPP.pdf

Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, 2017, México. Disponible en el vínculo electrónico: https://www.diputados.gob.mx/LeyesBiblio/pdf/LGPDPPSO.pdf

Real Academia Española: Diccionario de la lengua española, 23.ª ed., [versión 23.6 en línea]. <https://dle.rae.es/>.