Lectura 6:00 min
Panorama de la protección de datos personales en México
Los esfuerzos por garantizar el derecho a la protección de datos personales tienen la finalidad de otorgar a los usuarios de los medios digitales mayor control sobre el uso de su información en manos de organizaciones, sujetos obligados y particulares. En la actualidad, la protección de datos en nuestro país cuenta con un marco jurídico sólido para garantizar su ejercicio.
A nivel global y particular, la protección de datos personales se ha vuelto una necesidad apremiante, debido al alcance que tiene la utilización de medios digitales para la realización de actividades cotidianas y el creciente valor económico de la información.
Asimismo, en dichos espacios los usuarios son susceptibles de vulneraciones a la protección de sus datos personales. Así, en los últimos años los delitos informáticos relacionados con esta información han sido registrados con mayor frecuencia. En consecuencia, tanto en el derecho internacional como en la normatividad nacional, se han desarrollado mecanismos jurídicos para garantizar la protección de datos.
De acuerdo con los resultados de la Encuesta Nacional sobre Disponibilidad y Uso de Tecnologías de la Información en los Hogares (ENDUTIH) 2017, en México existen más de 71.3 millones de usuarios de Internet, quienes representan 63.9% de la población mayor a seis años. De ésta, 76.6% lo ha utilizado para acceder a redes sociales, 50.2% para descargar software, 47.7% para realizar compras o pagos y 15.7% para acceder a servicios en la nube (Instituto Nacional de Estadística y Geografía (INEGI) 2018. Dado que estas actividades se sujetan a la solicitud de información que permita la identificación del usuario, más de 75% de cibernautas mexicanos han dejado algún dato personal (de identificación, sensible, patrimonial o biométrico) en los sitios virtuales.
Vulnerabilidad ante delitos informáticos
Ahora bien, el aumento de actividades que implica compartir datos personales pone a usuarios y organizaciones en una situación de vulnerabilidad ante posibles delitos informáticos. En 2016, se dio a conocer la filtración no consentida de datos de 94 millones de mexicanos que formaban parte del Padrón Electoral 2015, los cuales estaban en el servicio de nube de Amazon. Para 2017, la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF), 2017 reportó 639 mil 857 casos de fraude cibernético en el primer trimestre del año, lo cual representó un aumento de 52% con respecto del mismo periodo en 2016.
De igual modo, las vulneraciones de datos personales no han dejado de presentarse en 2018. En marzo, los medios internacionales reportaban el uso no consentido de datos de más de 50 millones de usuarios de la red social virtual Facebook, por parte de Cambridge Analítica con fines electorales. Para mayo, se perpetraron ataques cibernéticos al Sistema de Pagos Electrónicos Interbancarios (SPEI), con los que fueron afectados tres bancos, una casa de bolsa y una caja de ahorro popular.
A mediados de agosto pasado, Google fue demandada ante un tribunal federal de Estados Unidos por infringir la Ley de Invasión de Privacidad de California. Según las acusaciones, la compañía mantiene activa la ubicación de sus usuarios, aunque éstos hayan deshabilitado el servicio. Este hecho debe motivar la reflexión en México con respecto de qué tanto se regula a las empresas multinacionales que tienen información sobre aspectos tan específicos de actividades diarias, como la geolocalización.
Ante tal escenario sobre protección de datos personales, el gobierno mexicano ha fortalecido el marco jurídico correspondiente. En junio de 2009, el derecho a la protección de datos se incorporó a la Constitución en el segundo párrafo del artículo 16, con el que se establece los derechos a la protección, acceso, rectificación, cancelación y oposición al tratamiento de los datos personales, llamados derechos ARCO. Según la exposición de motivos, este precepto fue producto de la evolución de los derechos fundamentales y funge como límite al derecho de acceso a la información (Cámara de Diputados del H. Congreso de la Unión, 2008).
Reducir delitos informáticos
Para 2010, se publicó la Ley Federal de Protección de Datos Personales en Posesión de los Particulares; y, en 2017, la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados. Asimismo, existen numerosas leyes, Normas Mexicanas y Normas Oficiales Mexicanas que regulan aspectos importantes en materia de protección de datos.
Por ejemplo, la Ley de Firma Electrónica Avanzada, la NOM-024-SSA3-2010 (Diario Oficial de la Federación, 2010) –la cual establece los objetivos y criterios que debe observar el Expediente Clínico Electrónico–; la NMX-I-27018-NYCE-2016 (Diario Oficial de la Federación, 2016) –encargada de acotar prácticas de seguridad de datos para proveedores de servicios de nubes públicas. Aunado a lo anterior, en 2014, el gobierno federal instrumentó la Estrategia Nacional de Ciberseguridad con la finalidad de reducir el número de delitos informáticos. Además, la Policía Federal cuenta con el Centro Especializado en Respuesta a Incidentes Cibernéticos (CERT-MX), cuyo objetivo es atender denuncias ciudadanas relacionadas con delitos cometidos a través de Internet.
En la normativa internacional, el Estado mexicano adoptó el Convenio 108 del Consejo de Europa, aprobado por decreto el 12 de junio de 2018. Además, forma parte de la Red Iberoamericana de Protección de Datos, cuyo principal —normado en su artículo primero— es promover políticas, tecnologías y metodologías para garantizar el derecho a la protección de datos. (Red Iberoramericana de Protección de Datos, 2008).
Por último, se encuentra el Reglamento General de Protección de Datos de la Unión Europea. Aunque no ha sido adoptado por el gobierno mexicano, tiene alcance internacional al regular el flujo transfronterizo de datos personales de ciudadanos europeos (Parlamento Europeo, Consejo de la Unión Europea, 2016).
En conclusión, los esfuerzos por garantizar el derecho a la protección de datos personales tienen la finalidad de otorgar a los usuarios de los medios digitales mayor control sobre el uso de su información en manos de organizaciones, sujetos obligados y particulares. En la actualidad, la protección de datos en nuestro país cuenta con un marco jurídico sólido para garantizar su ejercicio.
Sin embargo, aún queda mucho por hacer. La rápida transformación tecnológica abre nuevas formas del tratamiento de datos. Por ello, es necesaria la reflexión constante sobre temas tan actuales como el flujo transfronterizo de datos, archivos de identificación biométrica o problemas de jurisdicciones múltiples. Sólo a través de las medidas enunciadas y de campañas de prevención, se alcanzará un ejercicio óptimo de este derecho.
Bibliografía
Comisión nacional para la protección y defensa de los usuarios de servicios Financieros (Condusef, 2017). Reclamaciones imputables a un posible fraude 2011-2017 (primer trimestre).
Instituto Nacional de Estadística y Geografía (Inegi, 2018). Encuesta Nacional sobre Disponibilidad y Uso de Tecnologías de la Información en los Hogares 2017. México: Inegi.
Parlamento Europeo, Consejo de la Unión Europea. (2016). Reglamento General de Protección de Datos. Unión Europea.
Red Iberoamericana de Protección de Datos. (2008). Reglamento de la Red Iberoamericana de Protección de Datos.
* Mario A. Gómez Sánchez es abogado especialista en nuevas tecnologías, privacidad y protección de datos personales, socio de GyE Abogados y fundador de Data Protección.