Por: María Linda Astudillo Cruz, Jessica Cedillo Pérez, Roberto Gutiérrez Hernández, Jorge Alberto Jaramillo Tovar, Ingrid Riva Palacio Morán.
¿Qué son los datos personales y quiénes se encargan de protegerlos?
La presente entrada tiene como objetivo plantear la importancia de la privacidad y protección de datos personales en el contexto de las tecnologías emergentes que hoy día utilizamos. Para ello, se brinda un panorama a nivel nacional y global de la trascendencia que reviste la normativa jurídica, así como los actores involucrados, los casos de éxito y los conceptos fundamentales. Es vital que la ciudadanía conozca y ejerza sus derechos para proteger la información que es susceptible de tratamiento por parte de entidades públicas y privadas, en el marco del devenir tecnológico actual.
Por privacidad digital se entiende “el derecho de las personas usuarias a proteger sus datos en la red y a decidir qué información puede ser visible para el resto” (MR Informática, 2020); es a través del aviso de privacidad que el responsable tendrá la obligación de informar a los titulares de los datos la información que se recaba de ellos y con qué fines. Por otra parte, los datos personales son cualquier información concerniente a una persona física identificada o identificable; mientras que los datos personales sensibles son aquellos que afectan a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a una discriminación o conlleve a un riesgo grave para éste (Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, 2017). Ambos conceptos son de gran relevancia en la era de la información digital, la convergencia entre uno y otro es la propiedad de la información.
La legislación mexicana establece que los titulares de los datos personales son las personas usuarias, mientras que en los Estados Unidos son las empresas que recolectan la información, a menos que haya un acuerdo; siempre que no sean considerados como confidenciales, la empresa debe indicar qué hará con los datos que almacena, así como proporcionar al usuario herramientas para la protección de sus datos personales, tales como el pleno ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO) (INAI, 2021).
En ese sentido, una de las principales problemáticas es el desconocimiento de cómo ejercer esos derechos, por lo que fácilmente somos presas al aceptar condiciones de uso de algún servicio o aplicación digital. Sin leer y comprender, aceptamos las condiciones sin concebir las consecuencias a las que nos enfrentamos, regalando nuestros datos y consintiendo al registro de actividades. Entre los riesgos existentes están la suplantación de identidad, los hackeos, los rastreos de geolocalización y la venta de datos personales con fines comerciales, sin obtener remuneración alguna. El reto existente es la salvaguarda de la privacidad: el cómo lograrla, protegerla y garantizar ese derecho inalienable con los datos personales.
Por ello, el derecho a la privacidad y la garantía de la protección de los datos personales es un tema que involucra a diversos sectores, tales como el social, académico, privado y gobierno. En ellos se pueden identificar a los principales actores como son: los titulares de la información, quienes son las personas propietarias de los datos personales; las personas físicas o morales que tratan los datos personales de conformidad con la normativa aplicable, identificados como los responsables del manejo de la información, y por último los encargados, quienes tratan la información confidencial a nombre de los responsables (INAI, 2020).
En el caso de México, existen otros actores involucrados en brindar apoyo técnico a los responsables, así como de elaborar lineamientos, reglamentos y disposiciones administrativas para el cumplimiento de la normativa en materia de protección de datos, tales como el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) y el Sistema Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (SNT) (PROFECO, 2021).
En lo concerniente a los mecanismos de acción, es importante destacar que en la actualidad no existe alguna ley universal aplicable en la Internet que garantice la privacidad o protección de datos; sin embargo, la Organización para la Cooperación y el Desarrollo Económicos (OCDE) estableció directrices sobre protección de la privacidad y flujos transfronterizos de datos personales, las cuales son estándares mínimos aplicables para el sector público y privado. A nivel nacional, se establecen 8 principios básicos, tales como el principio de limitación de uso, especificación del propósito, responsabilidad, transparencia, entre otras; mientras que, a nivel internacional, se establecen los principios de restricción de libre flujo y la legitimidad. Por ello, es indispensable que los titulares de la información se involucren y conozcan las políticas de privacidad de las instituciones donde comparten sus datos (OCDE, 2002).
Algunos ejemplos sobre la protección de datos personales
El camino para la protección de datos personales ha sido largo, pero se ha demostrado que sí existen casos de éxito; por ejemplo, en el sector público, específicamente, en la información que recaba y administra el Servicio de Administración Tributaria (SAT), quien es responsable del uso, tratamiento y protección de los datos personales recabados a través de los trámites o servicios realizados por medios físicos o electrónicos. En ese sentido, la Firma Electrónica otorgada por el SAT tiene naturaleza jurídica contribuyendo a mejorar la interacción entre el gobierno y la ciudadanía, además de permitir verificar y confirmar la identidad del contribuyente, así como la autenticidad de la información que acredita los requisitos necesarios para realizar los trámites y servicios que ofrece el SAT.
Firmar un documento electrónicamente mediante la Firma Electrónica Avanzada “FIEL” es un proceso computacional criptográfico, por lo que falsificar una firma electrónica generada con la FIEL es matemáticamente imposible; su diseño se basa en estándares internacionales de infraestructura de claves públicas, en donde se utilizan dos claves o llaves para el envío y cifrado de la información, garantizando así una máxima seguridad que protege la identidad de las personas que utilizan este instrumento (SAT, 2021).
Otro ejemplo exitoso lo encontramos en la expedición del pasaporte electrónico por parte de la Secretaría de Relaciones Exteriores (SRE), el cual tiene un chip integrado en el que se almacena la fotografía, datos biométricos y la información personal del titular, incluyendo una firma digital que es única en cada pasaporte (SEGOB, 2020) teniendo con esto documentos de identidad modernos, seguros y estandarizado internacionalmente que dificulta la suplantación de identidad de las personas.
En ambos casos de éxito, la tecnología que utilizan ambas herramientas han permitido reducir los tiempos de atención, economizar recursos y han servido para realizar trámites cotidianos y, con ello, atender necesidades de interés público, sin mencionar que su obtención es gratuita y segura.
En el rubro privado, tenemos el caso de la Asociación de Bancos de México, la cual ha implementado diversos mecanismos de difusión para mostrar cómo salvaguarda la integridad, privacidad y protección de sus datos personales en apego a la legislación mexicana. Asimismo, implementó el Protocolo de seguridad en línea en donde la seguridad y la confidencialidad de los datos que los usuarios proporcionan están protegidos por un servidor seguro bajo el protocolo Secure Socket Layer (SSL), el cual sirve para brindar seguridad al visitante de su página web, a manera de decirles a sus clientes que el sitio es auténtico, real y confiable para ingresar datos personales.
Ante la inminente transformación digital es fundamental fomentar e incentivar la cultura de la protección de datos para hacer del mundo digital un lugar seguro para todas y todos, pero sobre todo que sea seguro para los grupos de mayor rezago y vulnerabilidad. Es frecuente que las organizaciones del sector público y privado realicen tratamientos de datos para aprovechar la disponibilidad de datos masivos o big data, utilizando Machine Learning, un subcampo de la inteligencia artificial, lo cual implica considerar medidas adicionales para preservar la privacidad y el derecho a la protección de datos personales.
Breve recorrido histórico de la protección de datos personales
A nivel internacional, el interés de proteger los datos ya existía desde 1919, con el derecho de autodeterminación informativa regulada por la Constitución de Weimar que reconoció a los empleados administrativos el derecho de acceder y controlar su legajo personal (Otero, 2021). Posteriormente en 1948, la Organización de las Naciones Unidas (ONU) proclamó la Declaración Universal de los Derechos Humanos que estableció el derecho a la vida privada de las personas. En 1976, el Comité de Ministros del Consejo de Europa elaboró la Convención para la Protección de los Individuos en relación con el Procesamiento Automático de Datos Personales (Convención de Estrasburgo). En 1980, la Organización para la Cooperación y el Desarrollo Económicos (OCDE, 2002) estableció las directrices sobre política internacional de protección de la privacidad y los flujos transfronterizos de datos personales. Con estas acciones a nivel internacional y de acuerdo con Peschard (2013), el derecho de protección de datos personales se convirtió en derecho subjetivo, autónomo y de tercera generación, garantizando la libertad del individuo.
En el contexto nacional, los avances normativos han sido tangibles al lograrse la publicación de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, las reformas constitucionales de los artículos 6, 16 y 73 que otorgaron un reconocimiento pleno a la protección de datos personales como un derecho fundamental y autónomo, así como la Ley Federal de Protección de Datos Personales en Posesión de Particulares que aplica para los datos que estén en poder de privados. El último esfuerzo se concretó en el 2017 con la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados y, en 2018, con el Acuerdo mediante el cual se aprueban los Lineamientos Generales de Protección de Datos Personales para el Sector Público.
En la era de la sociedad de la información y con el uso creciente de las Tecnologías de Información y Comunicación (TICs) los derechos de información, de intimidad y de autor deben ser especialmente protegidos, ya que se trata de derechos fundamentales, con lo que su vulneración o transgresión puede conllevar lesiones a la esfera más personal de un individuo. Ante este contexto, debe existir una correlación entre la privacidad y el imperativo tecnológico, ya que como señalan Camacho y colaboradores (2020) “el surgimiento de plataformas digitales ha representado un cambio disruptivo en diversos ámbitos de las relaciones humanas, de hecho, las redes sociales, los portales de entretenimiento y las aplicaciones son cada vez más populares en la vida cotidiana”.
Reflexiones hacia el futuro
La cuestión fundamental debe ser cómo garantizar a las personas el poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y el derecho de la persona afectada. La respuesta es diseñar políticas públicas que incluyan objetivos viables, principios fundamentales apegados al principio de legalidad, clasificación de los datos personales, así como mecanismos para medir la efectividad y sancionar en caso de incumplimiento.
Si bien existe un marco jurídico para proteger los datos personales en México, es necesario que la ciudadanía se involucre conociendo sus derechos y, sobre todo, ejerciéndolos; además de seguir fortaleciendo a las instituciones en la materia. La responsabilidad debe ser compartida y debe ser vista como algo esencial bajo un enfoque de corresponsabilidad. México cuenta con grandes retos en la actualidad, por lo que el uso de las tecnologías emergentes debe de plasmar innovaciones en el diseño de la privacidad y la protección de datos personales asegurando una cultura emprendedora de la ciudadanía, accesibilidad a la normativa y a las herramientas y, con ello, transparencia para la gobernanza efectiva.
Fuentes consultadas:
Camacho Rueda, M. A., Camacho Cala, P., Avellaneda Mendieta, A., & Nieves Buitrago , M. A. (2020). Desafíos y Recomendaciones para la protección de datos personales en plataformas digitales. Tesis de Maestría, 14. Bogotá, Colombia.
INAI. (2020). Conceptos Generales de la Protección de Datos Personales. Ciudad de México: INAI.
INAI. (26 de octubre de 2021). Guía para titulares de los datos personales Volumen 3. México. Obtenido de https://home.inai.org.mx/wp-content/documentos/GuiasTitulares/Guia%20Titulares-03_PDF.pdf
MR Informática (16 de diciembre de 2020). Privacidad Digital: concepto y características. Recuperado el 12 de enero de 2022, de https://mrinformatica.es/la-privacidad-digital/
Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados. (26 de enero de 2017). Diario Oficial de la Federación. México, México: Cámara de Diputados del H. Congreso de la Unión.
OCDE. (2002). Resumen Directrices de la OCDE sobre protección de la privacidad y flujos transfonterizos de datos personales. Paris. Recuperado el 13 de enero de 2022, de https://www.oecd.org/sti/ieconomy/15590267.pdf
Otero, C. M. (2021). La Ley Federal de Protección de Datos personales en Posesión de los Particulares en México. UNAM. Acervo de la Biblioteca Jurídica Virtual, UNAM.
Peschard, J. (2013). El Derecho fundamental a la protección de datos personales en México. México: Tirant Lo Blanch.
PROFECO. (2021). Programa de Protección de Datos Personales. México.
SAT. (2021). gob.mx. Recuperado el 05 de enero de 2022, de gob.mx: https://tramitesdigitales.sat.gob.mx/BuzonTributario.Presentacion/generales/aviso/avisoprivacidad.html
SEGOB. (2020). Gobierno de México. Recuperado el 05 de enero de 2022, de https://www.gob.mx/pasaporte