Revista Consultoría Suplemento Jurídicas Revista consultoria #86 Suplemento Jurídicas 2019

Reglamento Europeo prevé que los datos biométricos dirigidos a identificar de manera inequívoca una per- sona son considerados como datos con una catego- ría especial, es decir, datos personales sensibles. No obstante lo anterior, el INAI paso por alto lo seña- lado por la legislación mexicana y la regulación inter- nacional por el cual afirma que los datos biométricos deben ser consideradas como datos personales sensi- bles, toda vez que no existe ningún precepto legal (ni la Ley Federal de Protección de Datos Personales, ni su Reglamento, así como tampoco los Lineamientos del Aviso de Privacidad) que determine que las da- tos biométricos constituyen datos sensibles, e inclusive siendo contraria a la Constitución Política, pues al no establecer de manera expresa en la legislación que los datos biométricos deben ser considerados como datos sensibles, viola el principio de seguridad jurídica que permita tener certeza sobre su situación ante las leyes y sobre la interpretación de la autoridad. El análisis de INAI debe ser considerada una valora- ción contraria a la norma, comparada bajo el dere- cho anglosajón como “Regulation by Enforcment”. Este principio permite a los órganos reguladores crear nuevas reglas de cumplimiento, a través la interpreta- ción de la norma, estableciendo sanciones contra los individuos que se encuentran en incumplimiento con las normas que nunca antes se han articulado de ma- nera clara. En este sentido, aumenta la probabilidad de que los órganos reguladores sobrepasen sus límites legales de interpretación; pues articulan a su discre- ción sobre el contexto de una acción de observancia determinada, sobrepasando las limitaciones impues- tas por los estatutos y los requisitos de la ley. Cuando el INAI determinó que los datos biométricos pueden ser considerados sensibles dependiendo el caso en concreto, claramente dicho análisis es cues- tionable, puesto que las normas jurídicas con las que se miden esas constataciones no se apoyan en algún criterio establecido por otra autoridad o inclusive por alguna resolución judicial. Adicionalmente, que la au- toridad interprete que los datos biométricos de una persona constituyen datos personales sensibles, impli- ca una valoración discrecional ex post de la norma jurídica que produce fácticamente una nueva norma que se legisla y aplica simultáneamente, siendo viola- toria de derechos fundamentales. 56 REVISTA CONSULTORÍA NÚM. 86 La interpretación ex post de la norma que rea- liza el INAI, deja en total estado de indefensión a los Responsables, toda vez que el principio de seguridad jurídica consagrado en la Carta Magna es violentado, en el sentido de que el contenido esencial de dicho principio radica en "saber a qué atenerse" respecto de la regu- lación normativa prevista en la ley y a la actua- ción de la autoridad. Lo anterior implica que los Responsables deben saber no sólo cuáles son los requisitos del INAI (o pretender ser), sino también la fundamen- tación establecida para esas normas, particu- larmente cuando hay una implicación legal sustancial para el cumplimiento. Por lo que es- tablece una obligación a los Responsables de revisar dicha orientación y la comparen con la ley y las regulaciones promulgadas para ase- gurar el debido cumplimiento del supuesto requisito. Si bien considero que los datos biométricos no deben ser considerados como datos persona- les sensibles al no estar incluidos dentro del ca- tálogo de la ley y que además para obtener la información es necesario realizar un proce- dimiento técnico y especializado, es impor- tante destacar que impugnar esas normas al final puede ser difícil y arriesgado; por lo que se recomienda que los Responsables den cum- plimiento a lo establecido en la Guía para el Tratamiento de Datos Biométricos a efecto de evitar cualquier posible sanción e inclusive un gasto legal por combatir la resolución de la autoridad. Adicionalmente, en caso de que los responsables soliciten datos biométricos por la naturaleza de las actividades que realizan (e.g. registro de usuarios, base de datos, etc.) es necesario que ajusten y/o refuercen los avisos de privacidad, para indicar que se obtienen datos biométricos y la finalidad para las cuales serán tratados, evitando conservarlos por un mayor tiempo para cumplir con las finalidades descritas en dicho aviso de privacidad.

Revista Consultoría Suplemento Jurídicas Revista consultoria #86 Suplemento Jurídicas 2019 | Page 58