La Suprema Corte de Justicia de la Nación (SCJN), en sesión del Tribunal Pleno, reitera el criterio establecido en una acción de inconstitucionalidad vinculada al Estado de Michoacán, al validar los artículos de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados de Sinaloa, donde se prevén casos en los cuales, por razones de seguridad nacional, se limita el derecho a la protección de datos personales, al no requerir el consentimiento del titular de estos, para que las instituciones públicas del Estado puedan transferirlos.
Lo anterior al determinar que la sola referencia que hacen los artículos impugnados a la seguridad nacional no puede considerarse como una regulación de ésta, ni que por sí, restrinjan el derecho de protección de los datos personales, además que las razones de seguridad nacional se encuentran establecidas en la Ley de Seguridad Nacional, a la cual remiten las normas controvertidas.
La SCJN también validó la parte de esta ley donde se establece que el ejercicio de los derechos ARCO –derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos personales– no será procedente cuando los datos personales sean parte de la información que las entidades sujetas a la regulación y supervisión financiera del sujeto obligado hayan proporcionado a éste, en cumplimiento a requerimientos de dicha información sobre sus operaciones, organización y actividades.
En este sentido el Pleno consideró que el congreso local de Sinaloa, al expedir las normas controvertidas, no legisló sobre las materias financiera o económica, que se encuentran reservadas al Congreso de la Unión, sino que para cumplir con el objetivo de unificar las condiciones para garantizar el ejercicio de los derechos de acceso a la información y protección de datos personales, solo reprodujo las bases previstas en la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
Además, la SCJN validó el artículo 123, primer párrafo, donde se establece que toda promoción del recurso de revisión en materia de derechos ARCO, deberá́ contener la firma autógrafa o electrónica avanzada de quien la formule y sin este requisito, se tendrá́ por no presentada.
Esto al determinar que al tratarse de la protección de datos personales, es indispensable identificar al promovente.
No obstante, también en relación con dicho recurso, la SCJN invalidó el artículo 138, fracción II de ley analizada, donde se establecía que el titular de los datos personales debería acompañar a su escrito “La copia de la solicitud a través de la cual ejerció́ sus derechos ARCO o de portabilidad de los datos personales y que fue presentada ante el responsable y los documentos anexos a la misma, con su correspondiente acuse de recepción”.
Ello al considerar que se trata de un requisito adicional a los previstos en la ley general de la materia, que iba en contra de los derechos ARCO.
Finalmente, la SCJN invalidó el artículo 175, primer párrafo, en lo correspondiente al plazo que la ley local establecía respecto al proceso de verificación de datos personales, toda vez que era mayor que el señalado por la Ley General.
La Ley de Protección de Datos Personales en Posesión de Sujetos Obligados de Sinaloa no consideraba en el plazo máximo de los 50 días, la emisión de la resolución por parte de la Comisión Estatal para el Acceso a la Información Pública, lo cual resultaba contrario a lo establecido en la ley general de esta materia, respecto del procedimiento de verificación de datos personales.
Acción de inconstitucionalidad 112/2017, promovida por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, demandando la invalidez de los artículos 7, párrafo segundo, 75, fracciones XI y XII, 89, fracción IX, 123, primer párrafo, 138, fracción II y 175, primer párrafo, de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Sinaloa, publicada en el Periódico Oficial de la referida entidad el 26 de julio de 2017.