El acceso a nuestros artículos es gratuito para nuestros Suscriptores del Newsletter. Regístate gratis y obtén acceso inmediato a miles de artículos de El Mundo del Abogado. Además recibe en tu correo un resumen semanal de las mejores notas del mes.
¿Considera que el marco legal vigente cumple con los estándares internacionales en materia de protección de datos personales?
En términos del marco legal para la protección de datos en posesión de particulares sí, porque sin duda la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) constituye una referencia fundamental, en tanto que se ajusta al entramado jurídico internacional, aunado a que recoge las experiencias de otros países y organismos garantes, lo que culminó en el diseño de esquemas claramente definidos de protección en el sector privado. Creo que cada vez más el sector privado ha venido entendiendo los riesgos de prestigio organizacional, así como de costos, si afectan al titular por no haber hecho una adecuada protección de datos.
Donde se advierte un terrible abandono y desprotección es en el sector público, pues a pesar de que se cuenta con los Lineamientos de Protección de Datos Personales, éstos datan de 2005.
Recientemente se discutió y aprobó en el Senado de la República el dictamen de Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados. ¿Qué aspectos relevantes destacaría usted de este documento?
Considero que constituye un esfuerzo importante el hecho de poner al sector público casi al mismo nivel que las obligaciones al sector privado. Sin embargo, hay cuestiones que a mí en lo particular me preocupan. Hoy el Estado mexicano recaba datos personales sensibles por distintas vías sin contar con un documento que justifique la proporcionalidad, la finalidad y la calidad, por mencionar sólo algunos de los principios de protección de datos. El INAI dio vista al órgano interno de control de la Secretaría de Comunicaciones y Transportes (SCT) por ser excesiva la recolección de datos personales para el tema de la transición de la televisión digital. Claro, ahora hay que ver si el órgano interno de control sanciona a los funcionarios que contrataron a un tercero para la recolección de esos datos personales.
En suma, me parece indispensable que las evaluaciones de impacto a la privacidad sean vinculantes y obligatorias para cualquier ente público que hace uso intensivo de tecnologías al recabar datos personales. Algunas instituciones que debiesen estar obligadas a documentar el tratamiento de datos personales son el Sistema de Administración Tributaria (SAT) —para el alta de contribuyente recolecta iris, huellas y fotografía— y la Secretaría de Relaciones Exteriores —para el pasaporte recolecta huellas, iris y fotografía—.
¿Por qué se advierte que en el desarrollo del marco jurídico en materia de protección de datos se hace una distinción entre legislación aplicable al sector público de aquella dirigida al sector privado?
Se exploró la posibilidad de generar un marco jurídico para el sector privado y otro para el sector público —que además es la práctica internacional—, puesto que la razón de fondo era no abrir una caja de pandora que ya se había logrado consolidar, cerrar y contener. Simplemente, hay que recordar que llegar a la LFPDPPP tomó muchos años: los primeros proyectos datan de 2004; estamos hablando de casi seis años en los que, cada vez que se traía a colación el tema, venían los cabilderos de la industria muy preocupados por que se exacerbara la regulación sobre el manejo que tenían sobre los datos personales.
Ante ese escenario, y no estando en el debate público la preocupación por contar con un marco solido de protección de datos personales, solamente se ajustó al sector público.
¿Cuáles son los principios rectores del derecho a la privacidad y la protección de datos personales? ¿Cree usted que en la práctica se cumple cabalmente con los mismos?
Son ocho los principios: licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad. Ahora bien, que se cumplan cabalmente, estoy convencida de que no.
Quizás para mí el caso más emblemático es que actualmente no se cumple con los principios de finalidad y proporcionalidad en relación con el tema de la cédula de identidad de menores, que está dentro del ámbito de la Secretaría de Gobernación. Esta administración ha dicho de manera oficial, al menos en tres ocasiones, que esa política pública no va a continuar. No obstante, de acuerdo con los registros, sabemos que hay casi seis millones de estudios biométricos de menores recolectados y que el INAI tiene las facultades para exigir que se dé de baja y se suprima toda esa información, y no lo ha hecho. La ley refiere que se deberá privilegiar el interés superior de la niña, el niño y el adolescente. ¿Dónde están los comisionados exigiendo a Gobernación que suprima la información de sus bases de datos? ¿Cuándo lo harán?
Recordemos que se suscitó casi lo mismo en el caso de la cédula de menores respecto del Registro Nacional de Usuarios de Telefonía Móvil (RENAUT), en el que el IFAI sí se dio a la tarea de hacer la investigación y ordenar la baja y la supresión de los datos personales recolectados para una política pública que fue trunca y que no pudo concretar la SCT. En aquella ocasión había tres millones de datos registrados que fueron borrados bajo la mirada del IFAI.
¿Qué diferencias y semejanzas resaltaría usted entre la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y la Ley General de Protección de Datos Personales?
En términos de semejanzas, básicamente establecen y alinean las mismas definiciones y los conceptos más importantes —salvo aspectos como el del cómputo en la nube—. Anteriormente, en la abrogada Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, en cuanto al sector público, se establecía que los sujetos obligados estaban compelidos a hacer una leyenda; ahora ya hablamos de un aviso de privacidad. Ya se empatan ciertos conceptos que ayudan a que se entienda mejor qué le corresponde a cada sector, público y privado.
En lo que se refiere a los procedimientos, no difieren mucho, pues en ambos cuerpos normativos se indica que primero acudes ante el responsable a ejercer tus derechos, y ante la falta o la insatisfacción de ese ejercicio de derechos arco —acceso, rectificación, cancelación u oposición—, recurres al INAI.
Donde sí creo que hay algunas diferencias es, por ejemplo, en el artículo 22 de la ley general que de manera específica contempla excepciones para solicitar el consentimiento expreso y por escrito para el tratamiento de datos personales sensibles, pero cuando ves el catálogo de supuestos, no puedes evitar tener suspicacias. Otra diferencia marcada es la que prevé el artículo 66 de la ley general en cuanto a las transferencias de datos personales, pues contempla una serie de circunstancias en las que no se requiere informar al titular de los datos sobre las transferencias nacionales o internacionales que se pueden realizar con los datos.
¿Considera que la tutela del derecho a la privacidad y la protección de datos personales debe estar en manos del INAI, tomando en cuenta que dicho instituto tiene a su cargo la tarea de garantizar el acceso a la información pública gubernamental?
Yo siempre he estado convencida —más después de haber pasado cuatro años como comisionada— de que el derecho a la tutela de los datos personales ya no debe estar en manos del INAI. Y hoy más que nunca lo sostengo.
El INAI va a pasar de tener 240 sujetos obligados a más de 800, solamente por la parte de acceso a la información y protección de datos personales del sector público. A eso se suma el universo que estima el INEGI del sector privado, que es aproximadamente de más de tres millones de empresas de todos los tamaños y que hoy hacen, en un importante porcentaje las medianas y las grandes, un uso intensivo de datos personales.
Considero que debe haber una discusión seria y profunda sobre las ventajas de separar los derechos de protección y privacidad de los de acceso a la información.
Creo que en el momento global en el que nos encontramos, en que vemos una exponenciación del uso intensivo de las tecnologías, el INAI debe especializarse en el acceso a la información y la transparencia, particularmente a nivel subnacional y municipal. Pero debe haber una entidad que vele por la protección de datos personales para públicos y privados, como sucede en Holanda, España, Francia, Alemania y Canadá, por mencionar algunas importantes referencias internacionales. Los datos personales son el oro del siglo XXI, de acuerdo con la Organización para la Cooperación y el Desarrollo Económicos (OCDE).
¿Le parece que la labor del INAI ha sido eficaz en cuanto al desarrollo de los procedimientos y los mecanismos de protección de datos personales? ¿Qué fallas advierte en su ejecución?
La principal falla que veo es que están completamente abocados en resolver temas de acceso a la información y transparencia. Quizás el momento más emblemático del actual pleno fue el caso de la Ley Federal de Telecomunicaciones, cuando por mayoría de votos se decidió no interponer una acción de inconstitucionalidad en contra de los artículos 189 y 190 de la Ley Federal de Telecomunicaciones, los cuales le dan una carta en blanco, sin que medie orden judicial, al sector de seguridad nacional y procuración de justicia para tener acceso, desde nuestra ubicación hasta todo nuestro tráfico de comunicaciones. Y, honestamente, las instancias de seguridad nacional no han tenido un muy buen récord en términos de intervención de comunicaciones.
¿Qué áreas de oportunidad consideraría que, necesariamente, deben explorarse en materia de protección de datos personales, tanto en el aspecto normativo como en prácticas cotidianas?
La principal área de oportunidad es, sin duda, que entendamos que la privacidad y la protección de nuestros datos personales empieza por nosotros mismos; ésa me parece que es una cuestión toral: que logremos transmitir a los ciudadanos la idea de que es necesario proteger su información personal.
Hace 30 años pocos hablábamos o teníamos conciencia plena de nuestros derechos humanos, o del derecho ambiental, a tener un aire de calidad, a respetar el reciclado. Sin embargo, aunque quizá no los cumplamos, la realidad es que todos sabemos que los tenemos. Y actuamos y exigimos en consecuencia a las autoridades.
Por lo tanto, el tema de la privacidad inicia con una comprensión y un autoaprendizaje, porque aquí converge el hecho de que nosotros debemos aprender a proteger nuestros datos personales en términos del uso intensivo de las tecnologías.
Ante sucesos como la reciente filtración de la lista nominal de electores del Instituto Nacional Electoral (INE), en la que la identidad de millones de mexicanos fue puesta en riesgo, ¿qué acciones deben llevar a cabo las autoridades para impedir que algo así vuelva a ocurrir?
Lo primero que deben hacer las autoridades es iniciar una investigación y denunciar a quien resulte responsable. Me parece que en el caso concreto de la filtración de la lista nominal es una tarea conjunta entre el INE y el INAI.
Creo que el INE y el INAI deben generar un debate sobre los alcances del tratamiento que se da a los datos personales recabados por el INE para ejercer nuestro derecho al voto y el uso de la credencial de elector como un instrumento de identificación, ante la falta de una cédula de identidad nacional.
A esta reflexión agreguemos el temor de ser víctimas del robo de identidad. Obviamente a todos, con el escándalo del robo de identidad, nos preocupa quién compró el listado nominal y qué va a hacer con él. ¿Puede suplantar nuestra identidad? Ojo, con la credencial del INE y la CURP —obtienes la CURP conociendo tres datos: tu cumpleaños, tu lugar de origen y tu nombre completo— puedes sacar muchísimas otras cosas. Ahí está el caso de la suplantación de identidad de la chica de Nayarit, ¡vía el SAT!
Digo, es bueno que se sienten y firmen un convenio la Asociación de Bancos de México, las instituciones del sector hacendario que manejan nuestros datos personales y el INE. Pero yo lo que quiero es que no solamente hablen de un convenio de colaboración para cruzar información, sino que hagan una campaña y eviten las lagunas que existen tanto en el Código Penal como en toda la legislación aplicable, con respecto a cómo procesar la suplantación de identidad. ¡Existe solamente como delito en seis entidades federativas! Y está pasando en todo momento.
El costo es para la industria bancaria y financiera y para las aseguradoras. Porque la realidad es que hay lagunas. El phishing, la suplantación, el hacking, el grooming... Todas estas actividades que se dan en las plataformas tecnológicas no están tipificadas. ¿Qué necesitamos para que se tipifiquen? ¿Qué más requiere la autoridad para promover su tipificación?
El INE toma acciones paliativas, bienvenidas. Patalearon los partidos políticos, porque entiendo que sacaron un acuerdo extraordinario para contener el problema. Sí, pero el INE es una institución de, al menos 10, que tienen que ver en el fenómeno. Y no veo a ninguna institución que diga: “Aquí está este proyecto de iniciativa de ley”, o por lo menos un proyecto de iniciativa de reforma. Ni la PGR, ni la Consejería Jurídica, ni los responsables hacendarios: el SAT, la CONDUSEF, la PRODECON, la CNBV... Ni el INAI.
Creo que todas estas instituciones tienen una gran responsabilidad de cerrar uno de los grandes huecos. Ya no que procesen o inicien una averiguación previa y ofrezcan los elementos para consignarla, sino, al menos, que generen los tipos penales, que no tenemos actualmente.
Creo que debemos entender la dimensión del daño y sus costos, que es la esencia del derecho a la protección de datos, y mitigar, lo más posible, el perjuicio a los titulares de datos personales. Tenemos una ley casi de primer mundo, pero con una sociedad e instituciones que no entienden cuál es el derecho que les corresponde proteger.
Sigrid Arzt Colunga estudió relaciones internacionales en la Universidad Iberoamericana. Tiene una maestría en estudios internacionales y estudios por la paz por la Universidad de Notre Dame, en Indiana, y un doctorado en estudios internacionales por la Universidad de Miami, en Florida.
Ha sido catedrática en la Universidad Iberoamericana y en el Centro de Estudios del Ejército y Fuerza Aérea, así como profesora-investigadora en la Universidad de Georgetown, bajo los auspicios del Woodrow Wilson Center. Se desempeñó como secretaria del Consejo de Seguridad Nacional en la Presidencia de la República Mexicana y como comisionada del Instituto Federal de Acceso a la Información y Protección de Datos (IFAI).
