En México, los derechos de acceso a la información pública y protección de datos personales cuentan con un organismo que se encarga de protegerlos. Así como la Suprema Corte de Justicia de la Nación (SCJN) protege a la Constitución, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) es el garante de que las autoridades que reciben recursos públicos rindan cuentas a los ciudadanos y de que los datos personales de todos sean utilizados de forma adecuada.
Desde la entrega de información pública hasta la protección de los datos que se confían a las instituciones bancarias, el INAI tiene una responsabilidad fundamental en el ejercicio del derecho a la información pública y la protección de los datos personales de los mexicanos. Un ejemplo de cómo funciona este organismo autónomo y su relevancia para los ciudadanos es el Amparo Directo en Revisión 2352/2021, de la ministra Ana Margarita Ríos Farjat, el cual terminó por resolver la Primera Sala de la SCJN, en mayo de 2022.
Esta historia inicia con Elba Jiménez (su nombre fue cambiado para garantizar la protección de datos), quien era tarjetahabiente de un banco cuando solicitó sus estados de cuenta a un empleado de su sucursal. Esta información le fue enviada por correo electrónico. Sin embargo, los datos de la cuenta no eran los de ella, sino que pertenecían a otra persona que ya había fallecido.
El 9 de febrero de 2017, Elba presentó una denuncia ante el INAI y el 19 de junio de mismo año, el Pleno de este instituto resolvió iniciar un procedimiento de imposición de sanciones por incumplimiento de los principios de protección de datos personales por el acto de transmitir los datos personales de una persona a otra, lo que contraviene los principios de licitud y responsabilidad.
El banco se inconformó con esta decisión y promovió un juicio de nulidad, por lo que el INAI suspendió la imposición de sanciones hasta que el Tribunal Federal de Justicia Administrativa (TFJA) resolviera si el fallo del INAI era válido. En noviembre de 2017, la Sala contenciosa de dicho tribunal reconoció la validez del inicio del procedimiento de imposición de sanciones contra el banco, razón por la que la institución bancaria promovió un amparo directo para impugnar esta decisión.
El Tribunal Colegiado en Materia Administrativa de la Ciudad de México, que analizó el asunto, le negó el amparo al banco, en mayo de 2018, y como consecuencia de esto, el INAI levantó la suspensión y continuó con el procedimiento. En enero de 2019, el instituto llegó a la conclusión de que el banco era responsable de los actos que señala el artículo 63, fracciones IV, VIII y XIV de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, así como los artículos 12 y 21 de la misma ley.
El INAI impuso una multa millonaria dividida en tres multas: 1) por contravenir el principio de licitud, 2) por transgredir el deber de confidencialidad y 3) por cambiar la finalidad originaria del tratamiento de los datos.
El banco promovió un juicio de nulidad en marzo de 2019, el cual fue resuelto por la Segunda Sala Regional Metropolitana del TFJA, un año después, en el que declaró la nulidad parcial del fallo y consideró que el banco no desacreditó las acciones por las que se le sancionó, pero también señaló que era ilegal que no se motivaran debidamente las sanciones impuestas por parte del INAI.
El banco promovió el segundo juicio de amparo e impugnó el artículo 63, fracción IV, de la Ley Federal de Protección de Datos Personales en Posesión de Particulares. La institución bancaria alegó que dicho artículo era inconstitucional al dejar un margen muy amplio para que cualquier infracción cometida se traduzca como una contravención a los principios de licitud y responsabilidad y, en consecuencia, permitía que se sancionara una misma conducta más de dos veces, así como la imposición de varias multas por una misma infracción. En síntesis, el banco argumentó que el artículo vulneraba el principio de seguridad jurídica y el principio non bis in ídem.
El Decimoctavo Tribunal Colegiado en Materia Administrativa negó el amparo al banco, pues consideró que un mismo acto puede violar el principio de licitud y también el principio de responsabilidad, lo que constituye dos tipos de infracciones diferentes. El tribunal colegiado también indicó la norma impugnada no viola el principio de seguridad jurídica, pues una cosa es el acto cometido y otra la infracción que resulta de dicho acto por ser contrario a un principio. En este caso, la acción cometida resultó en una infracción en contra de 1) el principio de licitud y 2) el principio de responsabilidad.
El 23 de abril de 2021, el banco interpuso un recurso de revisión al considerar que el tribunal colegiado no determinó que la norma carece de regularidad constitucional y señaló que el principio de no ser juzgado dos veces, en materia administrativa, prohíbe el sometimiento a dos procedimientos distintos, así como la doble sanción por una sola conducta. Este recurso fue remitido a la SCJN y fue admitió a trámite. El INAI también se sumó a esta revisión y argumentó que el banco no fue sancionado dos veces por la misma razón, sino por las otras infracciones que derivaron de la misma conducta.
La Primera Sala de la SCJN estudió los argumentos que el banco desarrolló en su amparo para determinar si el artículo impugnado era contrario al principio non bis in ídem. En primer lugar, aclaró que este principio del derecho penal también es aplicable el derecho administrativo, pero con algunos matices. La prohibición de doble juzgamiento recae en los hechos que derivan de una conducta para que no exista arbitrariedad en contra de una persona y se le juzgue o sancione dos veces por un mismo hecho.
Por otro lado, la Primera Sala señaló que la protección de datos personales está estrechamente vinculada a la protección de la privacidad de las personas, la cual puede ser vulnerada por distintos motivos. Por esta razón, se debe cumplir con el principio de licitud al tener acceso a los datos personales, como lo tiene un banco.
Con respecto al contenido del artículo 63, la Primera Sala indicó que era claro y no viola la certidumbre jurídica, pues, aunque diversas infracciones a la ley pueden resultar violatorias del principio de licitud, la norma no establece que diferentes conductas pueden sancionarse dos veces.
En esencia, el banco fue multado tres veces por un mismo hecho que provocó tres afectaciones en diferentes ámbitos, lo que para la Primera Sala de la Suprema Corte de Justicia de la Nación no significa la violación al principio non bis in ídem, razón por la que le negó el amparo a la institución bancaria.