Protección de Datos y Privacidad

Como parte de las distintas actividades que se realizaron el pasado 28 de Enero relacionadas con el día internacional de la protección de datos en México, el IFAI, ITAM y la LXI Legislatura de la Cámara de Diputados organizaron un seminario titulado: “Retos y Perspectivas Legales en Materia de Protección de Datos Personales” que se llevó a cabo en el Salón de Legisladores de la H. Cámara de Diputados.
En esta ocasión, hubo ponentes de muy buen nivel y de distintos sectores y se analizaron en tres mesas temáticas los distintos alcances de las reformas a los artículos 16 y 73 constitucionales en materia de protección de datos personales; el diseño de la regulación de protección de datos para el ámbito privado; y aspectos jurisdiccionales y atribuciones del órgano garante.

En la primera mesa de trabajo relacionada con el alcance de la reformas de los artículos 16 y 73 constitucionales se habló sobre los antecedentes y alcance jurídicos de la reformas, los vínculos existentes entre el derecho de acceso a la información y la protección de datos, los tipos de datos existentes y algunos de los principios internacionales sobre la materia y sobre los llamados derecho ARCO. Quizás la mejor presentación de esa mesa y de todo el seminario fue la del Dr. Miguel Carbonell Sánchez del IIJ-UNAM quien destacó en forma clara y muy concisa algunas de las preocupaciones más importantes en relación a la creación de la legislación, del órgano supervisor y de las posibles problemáticas que en la practica podrían acontecer si no se cuenta con un órgano autónomo e independiente supervisor de la materia. También señaló la importancia de contar con una legislación federal específica en la materia junto con su reglamentación respectiva.
Hizo énfasis en algunos aspectos de gran relevancia, en particular que el acceso a la información y la protección de datos se caracterizan por ser dos derechos fundamentales consagrados por la constitución pero que requieren ser abordados en forma independiente, y en particular se pronunció acerca de la creación de una autoridad independiente y especializada en la materia como el órgano garante. Señaló que el IFAI no sería una opción viable y el principal motivo obedece a que se encuentra sumamente ocupada atendiendo los recursos sobre acceso a la información y por lo tanto sería muy difícil darse abasto para poder atender asuntos y litigios derivados de violación a datos personales que tendrían como sujetos obligados a empresas y no precisamente a órganos gubernamentales. Igualmente, señaló que se requeriría de mayores recursos y personal capacitado para hacerlo. En especial, me agradó mucho el hecho de que hizo un vínculo muy importante sobre la necesidad de regular urgentemente en la materia puesto que la sociedad civil y los ciudadanos así lo demandan.

Ahora bien, con respecto a la mesa sobre aspectos jurisdiccionales y atribuciones del órgano garante, igualmente hubo buenas ponencias y la temática será probablemente la más difícil de resolver puesto que existen opiniones divergentes entre representantes del sector empresarial y el IFAI. En ese tenor, me gustaría señalar abiertamente que el discurso y la presentación del Dr. Reyes Kraft -quien ha estado representando los intereses del sector financiero y de las empresas de comercio electrónico desde hace unos años- ha sido prácticamente el mismo desde el año 2000 fecha cuando se empezó a discutir el tema en el Congreso Mexicano y sus propuestas y posturas no han cambiado en absoluto. Señaló que su asociación está de acuerdo en que se legisle en la materia pero con la salvedad de que la legislación prevea mecanismos de autorregulación y que no restringa el flujo comercial de información con los socios comerciales. Considero que el discurso y las propuestas del Dr. Kraft son completamente paradójicas, ya que por que por un lado señala la importancia de una regulación sobre la materia, pero por el otro lado establece un catálogo de condiciones para hacerlo que impedirían a todas luces diseñar una regulación jurídica sobre la materia.

Me gustaría escuchar algún día del Dr. Reyes Kraft específicamente que tipo de tecnologías, aplicaciones y políticas están diseñando y utilizando las empresas que aglomera su asociación para la protección de la privacidad de la información de sus clientes y usuarios. Un concepto que se originó a mediados de los años noventa fue precisamente el diseño de tecnologías para mejorar la privacidad y seguridad de los individuos (privacy enhancing technologies PET’s), este concepto ha evolucionado a lo largo de los años y sobre todo a raíz de la explosión de la web 2.0. Inclusive, ahora el sector empresarial en algunos países, particularmente en Norteamérica, discuten un termino conocido como “Privacidad mediante diseño” (Privacy by design) que a groso modo consiste en la necesidad de incorporar la privacidad desde la propia arquitectura y diseño de las tecnologías y aplicaciones que utilizan las empresas en sus practicas empresariales con el objeto de brindar mayor confianza y seguridad a los usuarios. Este tipo de actividades son consideradas “autorregulación de última generación” y no el concepto de autorregulación que el Dr. Reyes Kraft ha venido manejando en sus discursos desde el año 2000.

También veo que se sigue discutiendo acerca de la existencia, viabilidad y conveniencia entre los modelos de regulación de protección de datos de la Unión Europea y el sectorial de los EUA. Si bien uno y otro no pueden coexistir completamente, al menos no en el contexto de la sociedad mexicana, lo cierto es que en la practica ambos tienen sus ventajas e inconvenientes. Sin embargo, lo que si es necesario y en esto coincido con algunos de los ponentes del seminario, es que la ley contenga un catálogo pormenorizado de infracciones y sanciones que establezca multas económicas fuertes y que la autoridad garante tenga legitimidad y poder coercitivo para establecerlas a las empresas, proveedores y demás sujetos obligados que hagan mal uso de los datos personales de los ciudadanos. Realmente no podrá haber una buena ley sin contar con un organismo autónomo y con poder coercitivo para aplicarla en forma rigurosa.

Durante el seminario, el senador Javier Corral, el diputado Luis Gustavo Parra Noriega, algunos comisionados del IFAI e inclusive representantes del sector académico se pronunciaron en favor de fortalecer y ampliar las facultades del IFAI para convertirlo en el órgano garante de la protección de los datos personales en manos del sector privado. El cómo y cuando lo harán no se discutió ni se precisó en esta reunión. En ese sentido, valdría la pena conocer a detalle cual sería la partida presupuestaria para dotar y convertir al IFAI en el órgano garante de la protección de datos en posesión de los particulares y sobre todo conocer la opinión y justificación de los legisladores de darle las facultades necesarias al IFAI para ser el órgano regulador de la materia.

Considero que este seminario fue bastante productivo pues sirvió como una plataforma de debate y reflexión en torno al tema entre los representantes de diversos sectores. No obstante, valdría la pena instar al H. Congreso de la Unión -ahora que ha empezado el segundo periodo ordinario de sesiones del Congreso- para que abra una consulta pública a todas las partes interesadas, incluyendo a representantes de organismos de la sociedad civil para conocer su opinión respecto al proyecto de ley que pretende regular la protección de los datos personales en manos de los particulares. Es importante que las opiniones, preocupaciones y propuestas de todos los sectores sean debidamente escuchadas ahora que ya se cuentan con los preceptos constitucionales que establecen las facultades del Congreso para legislar en la materia.

Por último, concluyo esta entrada, no sin antes señalar algunos aspectos que en lo personal me gustaría ver reflejados en el proyecto de ley sobre protección de datos personales que el Congreso pretende sacar adelante en este período de sesiones:

Primero. Establecer disposiciones para garantizar niveles adecuados de seguridad para las empresas y proveedores respecto al tratamiento y procesamiento de datos personales de los individuos.

Segundo. Incluir obligaciones de notificación y aviso a las empresas y proveedores en caso de que la información personal de los individuos haya sido comprometida por virtud de un mal manejo en el procesamiento de datos, o en caso de que los equipos, sistemas o infraestructura de las empresas que manejan y controlan datos personales hayan sido sujetas de algún fraude, robo o ataque informático.

Tercero. En el contexto tecnológico actual que estamos viviendo, la virtualizacion de los servidores y los arreglos contractuales entres distintas empresas y proveedores para prestar sus servicios o rentar su infraestructura a terceros, a través de la llamada nube informática, hacen que los datos de los individuos sean cada vez mas volátiles y que los servidores y bases de datos residan en multiplicidad de jurisdicciones. Tomando en cuento lo anterior, es importante que la legislación nacional prevea una disposición para la aplicación de la legislación nacional y para la resolución de controversias que se susciten sobre posibles conflictos de leyes de privacidad y protección de la información entre los individuos cuyos datos son sujeto de tratamiento y los proveedores y empresas ubicadas en otros países.