Derivado de la Acción de Inconstitucionalidad 308/2020 y su acumulada 3/2021 promovida por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), la Suprema Corte de Justicia de la Nación (SCJN) invalida la porción normativa del Artículo 17-F párrafo tercero del Código Fiscal de la Federación (CFF), en su porción normativa “así como el de la verificación de identidad de los usuarios”,la cual permitía al Servicio de Administración Tributaria (SAT), dar a conocer información personal sin el consentimiento de sus titulares y sin un fin legal legítimo.
Dicho precepto legal, al ser invalidado en su párrafo tercero, queda de la siguiente forma:
Artículo 17-F. El Servicio de Administración Tributaria podrá proporcionar los siguientes servicios de certificación de firmas electrónicas avanzadas:
(…)
Los particulares que determinen el uso de la firma electrónica avanzada como medio de autenticación o firmado de documentos digitales, podrán solicitar al Servicio de Administración Tributaria que preste el servicio de verificación y autenticación de los certificados de firmas electrónicas avanzadas, así como el de la verificación de identidad de los usuarios. Los requisitos para otorgar la prestación de dicho servicio se establecerán mediante reglas de carácter general que emita dicho órgano administrativo desconcentrado.
Lo anterior, en razón de los conceptos de invalidez formulados por el INAI, en los cuales fundamentalmente se expone lo siguiente:
- Dicha porción normativa que establece la facultad del SAT de prestar servicio de verificación de identidad de usuarios viola el principio de finalidad lícita a la que debe sujetarse todo tratamiento de datos personales. (Artículos 17 y 18 de la Ley General de Protección de Datos Personales)
- Es irregular que la norma permita al SAT el servicio de verificación de identidad de usuarios, desvinculándolo de la firma electrónica avanzada.
- Es contrario al principio de finalidad lícita que el SAT otorgue el servicio de verificación de identidad a entes públicos y privados como bancos o empresas emitiendo una respuesta binaria (si/no) ante la validación de identidad biométrica requerida por el solicitante.
- El precepto legal no puede calificarse como “ley aplicable” ya que no forma parte de la legislación dirigida a reglamentar el tratamiento de datos personales, pues el CFF, no tiene por objeto reglamentar el registro de población, ni la acreditación de identidad de las personas.
Transgresión a Derechos Humanos
La SCJN concluye que el precepto legal impugnado tiene un contenido que afecta el ámbito de proyección de los derechos humanos a la Intimidad, Privacidad y de Protección de Datos Personales, ya que permite la entrega de datos personales y sensible a terceros e, incluso, sin distinguir entre particulares y órganos públicos y sin condicionar su finalidad. Además, sin la necesidad de que medie el consentimiento del usuario como un elemento relevante, ya que el SAT no debe dar vista al usuario de la petición del servicio, por lo que no interviene y no puede oponerse a la entrega de esa información.
Derecho a la privacidad
En ese sentido y toda vez que la SCJN puede fundar su declaración de invalidez en la violación de los derechos humanos consagrados en cualquier tratado internacional del México sea parte, haya sido o no invocado en el escrito inicial, el razonamiento, va en el sentido de considerar que, desde el ámbito internacional, el Derecho a la Privacidad se encuentra reconocido y protegido en diversas declaraciones y tratados de derechos humanos, tales como:
- Declaración Universal de los Derechos Humanos (Artículo 12)
- Pacto Internacional de Derechos Civiles y Políticos (Artículo 17)
- Convención Americana sobre Derechos Humanos (Artículo 11)
- Convención sobre los Derechos del Niño (Artículo 16)
- Convenio 108 del Consejo de Europa para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal
En razón de lo anterior, la SCJN señala que el Derecho a la Intimidad constituye una condición necesaria para el desarrollo del resto de los derechos humanos, por lo cual es importante considerar, las potenciales agresiones que la posesión de la información personal organizada representa para la intimidad en las sociedades modernas de la información. En ese sentido, la SCJN sostiene que la protección de datos personales tiene su núcleo en la noción de intimidad y privacidad.
Protección de Datos Personales
La perspectiva de la SCJN es que la protección de datos personales es una expresión de la autodeterminación informativa, es decir, la facultad de cada persona a decidir libremente sobre el uso y destino de sus datos personales, teniendo en todo momento el derecho de acceder, rectificar, cancelar y oponerse legítimamente a su tratamiento.
En ese sentido los datos biométricos dirigidos a identificar de manera unívoca a una persona física, son considerados datos personales sensibles y debe decirse que la protección de datos personales, es de importancia fundamental para que una persona pueda disfrutar de su derecho a la vida privada, esa necesidad es aún mayor, cuando se trata de la protección de datos personales sometidos a un tratamiento automatizado, por lo que el derecho interno, debe garantizar que los datos objeto de tratamiento sean pertinentes y no excesivos en relación con los fines para los que se almacenan.
Vigencia
Atendiendo a estos razonamientos, la SCJN ha invalidado la citada porción normativa del Artículo 17-F tercero párrafo del CFF, lo cual, surte efectos legales a partir del 31 de mayo del 2023.
Fuente: Fiscalia.com