Lectura 4:00 min
Reformas urgentes a la ley de datos personales
La protección de los datos personales de los ciudadanos en México necesita ser mejorada. Las entidades que tratan datos personales son cada vez un blanco más frecuente de ataques cibernéticos o de brechas de seguridad provocadas por sus propios equipos técnicos que en ambos casos tienen como consecuencia la divulgación no consentida de información personal en internet. El mayor afectado es el ciudadano, que puede ser víctima de un mal uso de sus datos con graves consecuencias a su patrimonio moral y económico.
La ley de protección de datos personales se publicó en 2010. En tiempos de innovación digital, un decenio puede parecer medio siglo. Facebook y Twitter apenas comenzaban a popularizarse en México, no existían ni TikTok ni Instagram; WhatsApp era un servicio emergente. La ley de datos personales para privados se diseñó con una arquitectura robusta que, en una economía cada vez más tendiente a la explotación comercial de los datos personales, ha podido adaptarse a las circunstancias y resiste las nuevas circunstancias, pero necesita mejoras, mantenimiento.
Sólo en 2020, por ejemplo, conocimos distintos incidentes de seguridad de la información provocados por hackers o por malas configuraciones de los equipos de desarrollo de las entidades que tratan información. Algunos casos mexicanos: Bitso, iVoy, Clip, CI Banco, YoTePresto y Gentera. ¿Pero cuántos más ocurrieron y no lo sabemos?
Sobre la mesa de discusión del Senado se encuentran algunas propuestas de reforma de la ley de protección de datos personales en posesión de particulares, las primeras en sus 10 años de vigencia. Las impulsa el senador Alberto Galarza Villaseñor, de Movimiento Ciudadano, y expresidente de la Federación de Estudiantes Universitarios (FEU) de Guadalajara. El plan es incorporar algunas mejoras para adaptar parte del régimen a los estándares internacionales, homologar algunas obligaciones previstas en la ley para entidades públicas, publicada en 2017, y dar cumplimiento a criterios jurisprudenciales.
Galarza Villaseñor afirma en una de sus iniciativas que cuenta con el acompañamiento de la comisionada presidenta del Inai, Blanca Lilia Ibarra Cadena, y de la Secretaría de Protección de Datos Personales del Inai. En detalle, son tres puntos:
1. Obligar a los particulares a notificar al Inai sobre incidentes de seguridad de la información que pongan en riesgo los datos personales a los que dan tratamiento.
Los particulares no tienen la obligación de informar al Inai sobre incidentes que pongan en riesgo la información personal que manejan, lo que limita la capacidad de protección de los ciudadanos afectados y, sobre todo, su posibilidad de actuar en consecuencia. Esta obligación existe en la ley para el sector público y en el llamado Convenio 108+, un documento internacional ratificado por México en 2018.
2. Reformar el artículo 56, para que el único medio de defensa contra las resoluciones del Inai sea el juicio de amparo.
A partir de octubre de 2020, una jurisprudencia de la Suprema Corte puso fin a la doble vía de defensa contra las resoluciones del Inai en materia de datos personales. La ley y su reglamento permitían combatir las resoluciones por la vía del juicio contencioso administrativo; después de la jurisprudencia, los ciudadanos y las personas morales inconformes con las resoluciones del instituto pueden continuar su defensa sólo a través del juicio de amparo
3. Obligar a entidades extranjeras que tratan datos personales de ciudadanos en México a cumplir con la ley mexicana.
Las características de internet han permitido gozar y hacer un uso intensivo de servicios digitales ofrecidos por compañías establecidas fuera de la jurisdicción mexicana. En años recientes se han producido sentencias judiciales que confirman la vigencia de las leyes mexicanas sobre actores con residencia fuera del país. Hay bastantes casos de vulneraciones de empresas extranjeras con afectaciones para ciudadanos mexicanos. Es necesario documentar legalmente esta vigencia, para dotar al Inai de mejores capacidades de vigilancia y control.
Son tres cambios urgentes. Faltan más, pero con algo hay que empezar.