A razón de las últimas reformas, que en materia de datos personales se han realizado, al diverso 6º de la Constitución Política de los Estados Unidos Mexicanos y a las labores que dentro del marco nacional de Transparencia y protección de datos personales ha llevado a cabo el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos (INAI) con la participación de los órganos autónomos locales, se observa una característica común con los cambios que están ocurriendo a nivel internacional, en específico en la Unión Europea (UE): la homogeneidad en la regulación normativa, que en el caso de México se pretende alcanzar por medio de la legislación secundaria que emana de la Constitución y del Sistema Nacional de Transparencia, mientras que en el caso de la UE, a través del Reglamento Europeo de Protección de Datos.
En el panorama internacional se encuentra, emitida por parte de la Organización de los Estados Americanos, la resolución de la Asamblea General, AG/RES. 2842 (XLIV-O/14) del "Acceso a la Información Pública y Protección de Datos Personales". En esta resolución los Estados miembros consideran la importancia de la privacidad y la protección de datos personales, así como la necesidad de proteger el flujo transfronterizo de información en las Américas, reconociendo los principios a tutelar con base en una ley modelo, que sirve de referencia para que sus miembros realicen reformas, que en el marco de soberanía, les permitirán alcanzar los mismos estándares internacionales.
Al no existir una entidad pública que tenga el reconocimiento como autoridad internacional en materia de protección de datos personales, queda en manos de cada país establecer en su normatividad la figura jurídica que se considere idónea para salvaguardar la aplicación de las normas para la tutela, custodia y en su caso sanción, en la protección de la privacidad y seguridad de los datos personales. La adopción para los Estados miembros de la EU del “Reglamento Europeo de Protección de Datos” pretende devolver a los ciudadanos el control de sus datos personales y garantizar en el territorio de la UE los estándares de protección elevados y adaptados al entorno digital; en lo que este documento se incluye entre la normativa vigente de la Unión, seguirá aplicable la Directiva de la Unión Europea de Protección de Datos (95/46/CE), adoptada desde 1995 e implementada de manera diferente por los Estados miembros de la UE en sus respectivas jurisdicciones.
La aplicación de la Directiva 95/46/CE se encuentra en la Ley Federal de Protección de Datos de Alemania llamada Bundesdatenschutzgesetz (BDSG), que establece que en cada Estado existirán leyes que protegerán a los datos personales del procesamiento y uso por parte de las autoridades públicas locales, mientras que la BDSG protegerá los datos respecto de autoridades federales y entes privados. En 2018, cuando se encuentre vigente, el Reglamento Europeo de Protección de Datos deberá reemplazar por completo la BDSG tanto como la propia Directiva 96/46/CE (DLA Piper: 2016).
En el caso de México, la Constitución Política reconoce como un derecho humano fundamental la protección de los datos personales, pues el artículo 6°, en el inciso a), fracción II, establece que, “La información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que fijen las leyes” (CPEUM: 2014). En el artículo segundo transitorio, publicado el siete de febrero de 2014, se estableció a la literalidad la necesidad de la reforma en las normas que emana de la propia Ley suprema, ordenándose la creación de la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP), así como de las correspondientes reformas para homologar los contenidos en la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (LFTAIFPG) y la Ley Federal de Datos Personales en Posesión de los Particulares (LFDPPP), todo en el plazo que no supera un año; con relación a la LGTAIP la norma se publicó en el Diario Oficial de la Federación con casi tres meses de retraso, el 4 de mayo de 2015, mientras que la LFTAIFPG se modificó el 18 de diciembre de 2015, con un retraso de nueve meses, sin embargo, con respecto a la LFDPPP, hasta la fecha no ha ocurrido ningún cambio.
Respecto de la legislación vigente, la LGTAIP establece como responsabilidad de cualquier sujeto obligado, es decir, cualquier entidad, autoridad, órgano y organismo de los poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos; así como de cualquier persona física, moral o sindicato que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito de la Federación, de las entidades federativas y los municipios (artículo 6), el adoptar los procedimientos adecuados para recibir y responder a las solicitudes de derechos ARCO, capacitar a servidores públicos y dar a conocer información sobre sus políticas en relación con la protección de los datos personales; a darle el tratamiento a los datos personales de acuerdo al consentimiento que se haya obtenido; a poner a disposición de los individuos, desde que se recaben sus datos personales, el documento en el que se establezcan los propósitos para su tratamiento; a procurar que los datos personales sean exactos y actualizados; a sustituir, rectificar o completar, de oficio, los datos personales que fueren inexactos, ya sea total o parcialmente, o incompletos, en el momento en que tengan conocimiento de esta situación, y a adoptar las medidas necesarias que garanticen la seguridad de los datos personales y eviten su alteración, pérdida, transmisión y acceso no autorizado (artículo 68). La Ley General establece la prohibición expresa de difundir, distribuir o comercializar los datos personales contenidos en los sistemas de información, a menos que exista el consentimiento expreso, por escrito o por un medio de autenticación similar, a menos que la información se encuentre en registros públicos o fuentes de acceso público; por ley tenga el carácter de pública; exista una orden judicial; por razones de seguridad nacional y salubridad general, o para proteger los derechos de terceros, se requiera su publicación, siempre y cuando se haya aplicado la prueba de interés público por parte del órgano garante competente; o cuando se transmita entre sujetos obligados y entre éstos y los sujetos de derecho internacional, en términos de los tratados y los acuerdos interinstitucionales, siempre y cuando la información se utilice para el ejercicio de facultades propias de los mismos (artículo 120).
Por su parte la ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (LFTAIPG) ha regulado lo que se debe entender por datos personales: cualquier información concerniente a una persona física identificada o identificable (artículo 3, fracción II), por sistema de datos personales; el conjunto ordenado de datos personales que estén en posesión de un sujeto obligado (artículo 3, fracción XIII). Esta norma tiene por objetivos entre otros el garantizar la protección de los datos en posesión de los sujetos obligados, que para el caso de esta norma, son todos los órganos del Estado a nivel federal (artículo 4, fracción III y artículo 3, fracción XIV). En su contenido establece que para la difusión, distribución o comercialización de datos personales se requerirá el consentimiento de los individuos (artículo 18). Reconoce los mismos principios para la protección y el tratamiento de los datos personales que la LGTAIP, sin embargo, establece que no se requiere consentimiento para proporcionarlos cuando se trate de lo necesario por razones estadísticas, científicas o de interés general previsto en la ley, ni cuando se trate de previo procedimiento por el cual no puedan asociarse los datos personales con el individuo a quién se refieran. Tampoco se requiere consentimiento cuando se transmitan entre sujetos obligados o entre dependencias y entidades, siempre y cuando se utilicen los datos para el ejercicio de facultades propias de los mismos, cuando exista una orden judicial, cuando se contrate la prestación de un servicio que requiera el tratamiento de datos personales con terceros, quienes no podrán utilizarlos para propósitos distintos a aquéllos para los cuales se les hubieren transmitido, ni en los demás casos que establezcan las leyes (artículo 22).
Esta norma indica también que los sujetos obligados que posean, por cualquier título, sistemas de datos personales, deberán hacerlo del conocimiento del INAI o de su equivalente dependiendo del tipo de sujeto obligado; todos deberán mantener un listado actualizado de los sistemas de datos personales (artículo 23). Sólo los interesados o sus representantes podrán solicitar que se les proporcionen los datos personales que obren en un sistema de datos personales. Esta información se deberá entregar en un plazo de diez días hábiles y en un formato comprensible. En caso de que ese sistema de datos personales no contiene los referidos se deberá comunicarlo al solicitante. Los datos personales deberán entregarse de forma gratuita, debiendo cubrirse sólo los gastos de envío de conformidad con las tarifas aplicables, pero si la misma persona realiza una nueva solicitud respecto del mismo sistema de datos personales en un periodo menor a 12 meses a partir de la última solicitud, los costos se determinarán de acuerdo con la propia Ley (artículo 24). La norma también regula la posibilidad y el procedimiento para la modificación de los datos personales en los sistemas públicos (artículo 25); estableciendo las reglas del Recurso de Revisión -el mecanismo jurídico de defensa de los individuos- que procede en contra de la negativa de entregar, la falta de corrección de los datos personales o la negativa de respuesta de los sujetos obligados (artículo 26, 50 al 60).
En el caso de que los datos personales se encuentren en posesión de entidades privadas, la norma jurídica que deberá aplicarse es la Ley Federal de Datos Personales en Posesión de los Particulares, cuyo objetivo es regular el tratamiento legítimo, controlado e informado de los datos, a efectos de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. Entre los elementos jurídicos que define se encuentran el aviso de privacidad, las bases de datos, el bloqueo, el consentimiento, los datos personales en lo general como aquellos que se consideran sensibles, la disociación, el encargado y el responsable del tratamiento de los datos, la fuente de acceso público, el titular de los datos, el tratamiento y la transferencia. En su contenido establece capítulos específicos para determinar los principios de protección de los datos personales; los derechos de los titulares; el procedimiento para ejercer los Derechos ARCO (acceso, rectificación, cancelación y oposición); los mecanismos para generar la transferencia nacional o internacional de datos; las facultades otorgadas al INAI y a la Secretaría de Economía; el procedimiento para iniciar una reclamación por la posible vulneración de datos personales, el procedimiento de verificación del cumplimiento de obligaciones como el procedimiento sancionador, con la clasificación de infracciones y sanciones y los posibles delitos en materia del tratamiento indebido de datos personales.
Frente a la normatividad brevemente analizada, la labor del INAI y de los miembros del propio Sistema Nacional de Transparencia no sólo implica emitir razones jurídicas que se traduzcan en la aplicación de esas leyes, más las que se deben emitir en el mismo sentido en cada uno de los Estados de este país, sino también en aplicar las sanciones administrativas, denunciar las posibles conductas penales vinculadas a esas. También implica instrumentar un entramado megasistema, con tintes de materia archivística, jurídica y tecnológica, que construya una herramienta eficiente para la transparencia, la protección de datos personales y el combate a la corrupción.
Después de conocer la propuesta de Isaac Damsky (2007) para desregular la sobrecargada normatividad administrativa en los países iuspositivistas, queda claro que en México existe mucho trabajo por realizar en la administración pública. Cuando surgió la reforma en materia de mejora regulatoria una esperanza por cambiar el paradigma en materia de normatividad administrativa parecía llegar al gobierno mexicano, sin embargo, la nueva LGTAIP retomó la tradición de la sobreregulación y puede llegar al punto de volverse excesiva. Alrededor de 24 menciones en la ley permite la emisión de criterios por el INAI, el Consejo Nacional de Transparencia (donde participan los órganos garantes de los Estados, como es el caso de la CAIP en Puebla) y el Sistema Nacional de Transparencia (donde participará INEGI, el Archivo General de la Nación y el Consejo Nacional), para dejar en claro la cantidad de temas que esta ley denota. A lo que se suman los propios Reglamentos de la LFAIPG aún pendiente y el Reglamento vigente de la LFPDPPP, más las reformas a las legislaciones en los Estados, que también incluirá más regulación, criterios y políticas. Diversos artículos de la LGTAIP indican la necesidad de homologar criterios, como el caso del artículo 52 que indica al Sistema equiparar los procesos para el uso de los sistemas por parte de los usuarios, o el artículo 61 que le indica establecer los formatos para homologar la información que se requiere colocar en los portales de transparencia; situaciones que abren la puerta a más y más políticas públicas y normatividad administrativa.
También habrá que sortear los inconvenientes que genera la propia interpretación jurídica en la situación que se plasma en el capítulo VII de la LGTAIP, que en resumen prevé que el INAI podrá a través de su facultad alzada, establecer, “criterios de interpretación en el orden administrativo” de carácter orientador para los órganos y sujetos locales. Sin embargo, el inconveniente es que no tiene su origen en la Ley sino en la propia ciencia del derecho, toda vez que se encuentra sujeto al método de interpretación del operador jurídico. Diversas tesis y jurisprudencias, tanto de la Suprema Corte de Justicia de la Nación (SCJN) como del Tribunal Federal de Justicia Fiscal y Administrativo (TFJFA), reflejan la reforma constitucional al artículo 1º con la cual se torna aún más extenuante el tema de la interpretación al incluir el principio pro persona, el cual señala que los valores, principios y derechos materializados en las normas deben ser interpretados desde el plano superior de los derechos fundamentales, siendo entre otros, el acceso a la información pública. En este sentido, los “criterios” del INAI podrían convertirse más en un candado que en una llave para los ciudadanos para acceder a la información, ya que en el mismo tenor la SCJN ha señalado que no necesariamente todas las cuestiones planteadas por los gobernados deberán ser resueltas de manera favorable a sus pretensiones; ni siquiera argumentando una interpretación más amplia que aduzca una constitución de derechos fundamentales que no se encuentren previamente plasmados en las reglas de derecho aplicables. Derivado de esto, la “interpretación administrativa” que pretende llevar el Instituto, se torna en un problema añadido, no solo al acceso a la información pública, sino al sistema jurídico mexicano, que derivado de sus lagunas legislativas, debe recurrir a criterios, tesis y jurisprudencias para completar ordenamientos inacabados y emitidos al vapor.
Idealizar a la reforma en la que transita el país sería dejar a un lado los retos que trae aparejada, sin embargo, ha motivado que más ciudadanos se interesen por conocer sobre los contenidos portales públicos de las obligaciones de oficio en materia de transparencia, en realizar solicitudes de acceso a la información ejerciendo los derechos ARCO y a conocer en qué consiste el derecho a la información, el respeto y cuidado de los datos personales. Esto nos permitirá avanzar en la construcción de la Cultura de la Transparencia, no sólo en el enfoque público, sino también en el privado y en las actividades cotidianas de cada uno de nosotros.
- El valor de los datos personales en el derecho nacional
Toda persona tiene derecho a saber por qué y cómo son tratados sus datos personales y decidir sobre la forma en que estos son tratados. Es un tema que se origina cuando los individuos reconocen que situaciones como su origen racial o étnico, el estado de su salud presente y futuro, su información genética, las creencias religiosas, filosóficas y morales, su afiliación sindical o a un partido político, así como sus preferencias sexuales, no sólo permiten identificarles plenamente, sino que también representan un bien intangible e inmaterial que puede contener un alto valor económico intrínseco para entidades privadas nacionales e internacionales.
Como ha quedado identificado, el derecho tiene la obligación de tutelar y regular el almacenamiento de estos bienes para protegerlos de eventualidades por partes de personas ajenas a ellos. Los datos personales son, en resumen, información producto de la actividad humana, susceptible de apropiación desde su origen, y por otro, pertenece originalmente a su autor, es decir, al titular de los mismos los pone a disposición, consciente o inconscientemente, para que sean tratados con diferentes fines.
El 10 de enero de 2016 el INAI presentó una aplicación web para teléfonos inteligentes que permite, entre otros, calcular el riesgo de proporcionar datos personales en las aplicaciones que usualmente se utilizan en estos dispositivos. La plataforma surgió del concurso “Reto: Valora tus datos”, permite generar la estimación económica en pesos sobre el valor de los datos personales que son tratados por los responsables y encargados en términos de la LFPDPPP. Además de realizar una estimación económica en moneda nacional, presenta al usuario un listado con los posibles daños que pudiera sufrir en caso de que le sean vulnerados, así como le provee de un conjunto de recomendaciones para mejorar la protección que les otorga a ellos.
La aplicación permite considerar nueve categorías de datos personales dividida en tres niveles, desde el medio hasta el sensible, y que incluyen datos de identificación y contacto, laborales, académicos, sobre pasatiempos y entretenimiento, sobre características físicas, migratorios, de ubicación, jurídicos, financieros, biométricos, de autenticación, bancarios, sobre la ideología, creencias religiosas, sobre la salud y la vida sexual y sobre el origen étnico; todos ellos protegidos por la normatividad nacional.
El objetivo más importante es crear conciencia sobre el valor de la información que se proporciona de manera tácita o expresa a empresas nacionales y transnacionales, a comercios, bancos, redes sociales y administradores de sitios web, entre otros. Esto confirma que la información en el mundo del big data se ha convertido en una materia prima de alto valor para las empresas que pueden llegar a transformar los datos personales en estrategias para posicionar marcas y productos, a través de recopilar información transmitida gratuitamente por los propios titulares de los datos. Lo anterior no significa que los individuos debieran lucrar con su información privada y personal, pero sí debieran ser conscientes del valor que tiene y la debe proteger tal y como se hace con los bienes tangibles.
El estudio realizado por Mediabrands Marketing Sciences llamado “Privacy vs. Relevancy The Value Exchange” (2015),indica que en el caso del Reino Unido, sus habitantes como titulares de datos personales consideran que su información, vale por lo menos £500 (GBP) por año (aproximadamente MEX$13.000) aunque sólo el 27% de un total de 1000 ciudadanos ingleses encuestados consideraron estar preparados a venderlos. Los encuestados mostraron que se encuentran cautelosos de los medios de comunicación que utilizan estrategias de acoso, de los cuales el 54% se preocupan del mal uso que en lo general pueda realizar una empresa respecto de sus datos. El 39% se preocupan de que el teléfono móvil pueda compartir públicamente su ubicación, mientras que el 28% se preocupan de espionaje a sus conversaciones por medio de televisión. Aunque la encuesta refleja que pese a estas situaciones, el 62% de las personas sí desean recibir publicidad con base en su ubicación.
Con independencia del valor económico que se pueda asignar a los datos personales, el derecho está encaminado a establecer las bases para generar seguridad en torno a la transferencia de los datos, siempre y cuando las bases de datos se encuentren administradas en el propio territorio al que se constriñe la aplicación de las normas jurídicas. La LFPDPPP en el artículo 36 indica que si el responsable pretende transferir los datos personales a un extranjero, deberá comunicar al nuevo responsable el Aviso de privacidad signado para que se sujete a las mismas finalidades, asumiendo las mismas obligaciones que el primer responsable, siempre y cuando, en el propio Aviso se haya establecido una cláusula que así lo hubiere indicado y el titular lo hubiera aceptado. En el supuesto de que estas situaciones se cumpla a la literalidad, habría dos opciones, que el propio titular no hubiera dado el consentimiento o el incumplimiento por parte del nuevo responsable extranjero; sin embargo, en la actualidad el INAI no cuenta con facultades a nivel internacional para obligar a empresas sujetas a otro orden jurídico a responder al cumplimiento del derecho mexicano, pues no es factible volver extraterritorial el cumplimiento ni de la LGTAIP, ni de la LFPDPPP. Sin embargo, el Reglamento Europeo de Protección de Datos, pretende reconocer su propia extraterritorialidad y dar el mismo trato a los países que otorguen en reciprocidad ese reconocimiento.
- Datos personales vinculados a posibles actos ilícitos tributarios
Con el objeto de combatir acciones relacionadas a movimientos financieros con recursos de procedencia presuntamente ilícita, así como fomentar el cumplimiento de obligaciones tributarias, desmotivar actos como el fraude y la evasión fiscal en cada una de las jurisdicciones –países- donde tienen incidencia las transacciones económicas por medio de integrantes de los sistemas financieros, a nivel internacional la Organización para la Cooperación y el Desarrollo Económico (OCDE), ha requerido a sus miembros formar parte de los Acuerdos de Intercambio Automático de Información Financiera (FATCA y CRS por sus siglas en inglés).
Desde febrero de 2014, el nuevo Estándar para el Intercambio Automático de Información Financiera en Materia Fiscal de la OCDE establece las medidas para que cada año los países que lo signan, remitan la información detallada con el objeto de promover “mayor transparencia, poniendo fin al secreto bancario en materia fiscal”. Tal y como lo indica la propia OCDE, este intercambio automático debe incluir entre otros: balances, intereses, dividendos y ventas de activos financieros, transmitido a los gobiernos por las instituciones financieras, cubriendo cuentas de personas físicas y morales (sin importar su régimen fiscal), incluyendo trusts (parecido al fideicomiso) y fundaciones.
Es importante recordar que la OCDE no es como tal una “autoridad” sino un organismo internacional que establece pautas para las relaciones económicas y financieras sometiendo a decisión de los propios miembros su incorporación a su regulación interna por los mecanismos jurídicos procedentes, además de que al no ser una entidad sancionadora, su intención consiste en orientar a los gobiernos y entidades financieras en la implementación de acciones que permitan prevenir situaciones riesgosas para los sistemas financieros.
Durante los últimos años se han escuchado reclamos por parte de países miembros de la OCDE, entre ellos Reino Unido y Francia, en los que se ha solicitado en las reuniones del G-8 y G-20 que se autoricen medidas de sanción a los comúnmente denominados “paraísos fiscales”, conocidos así porque entre otras situaciones, no forman parte de la OCDE, no aplican sus directrices, sus sistemas jurídicos no permiten la extradición por delitos financieros o fiscales (llamados “de cuello blanco”) cometidos en otros territorios por entidades cuyas cuentas se encuentran albergadas en sus bancos o entidades financieras. Es decir, básicamente en un paraíso fiscal aplica en un 100% el secreto financiero, bancario, fiscal y bursátil, contrario a lo que promueve la OCDE, al menos para los países que así lo reconocen al ser miembros de esta entidad internacional.
En el caso de México, con las diferentes adecuaciones que se han realizado en los últimos ejercicios fiscales, relativas al propio cumplimiento de obligaciones reguladas por el Código Fiscal de la Federación, la Ley del Impuesto Sobre la Renta, así como la normatividad secundaria que de ellos emana, se ha establecido la directriz para políticas públicas enfocadas al combate de los actos que pretende prevenir el “Acuerdo de Intercambio Automático de Información Financiera”. Ahora bien, este instrumento, que figura entre los “Tratados Internacionales y Cuestiones Relacionadas” y que, de manera oficial, difunde el SAT en su sitio oficial, no sólo forma parte de la normatividad vigente en nuestra jurisdicción, sino que debe obligar al SAT a implementar soluciones técnicas y tecnológicas para lograr la primer transmisión de información en 2017 de manera segura. Para interconectarse en una plataforma que cuenta con la información, otros 65 países que se han comprometido con la Declaración sobre el Intercambio Automático de Información en Materia Fiscal de la OCDE; entre ellos se encuentran miembros de la UE como Alemania, España, Francia, Italia y Reino Unido, más aquellos países que se sumen a esta propuesta.
Entre la información a difundir se encuentra la siguiente: nombre, domicilio, NIF, lugar y fecha de nacimiento (para personas físicas) de cada persona sujeta que sea titular de una cuenta, o en su caso estos mismos datos respecto de quien ejerza el control de la persona (empresas o entidades), el número de cuenta, el nombre y el número de identificación de la Institución financiera obligada a comunicar información, así como el saldo o valor de la cuenta. El documento es específico para señalar los datos dependiendo del tipo de cuenta, tipo de moneda, procedimientos y plazos, el cumplimiento en la entrega, pero deja entre otros temas la “confidencialidad y protección de datos” a las “… salvaguardas que pueda determinar la autoridad competente que proporciona la información conforme a su normatividad interna”. Es decir, en primer instancia será el propio SAT quien tendrá que ofrecer la protección a los datos personales que intercambiará, aunque en el remoto caso de que esa información fuera comprometida por un hacker o una simple fuga, ¿quién será el responsable de la difusión y efectos colaterales que ésta pueda causar?
La atención que generó el escándalo denominado ‘Panamá Papers’ (Papeles de Panamá), puso de manifiesto la información que se ha revelado por parte del despacho que desde ese territorio fiscal diversificaba las operaciones de diferentes personas físicas y morales, sin estar sujeto a las obligaciones del Acuerdo Internacional que hemos analizado, liberando mucha más información de la que ese documento indica, sin estar sujeto a ningún esquema jurídico de coacción y mucho menos de tutela a la privacidad de la información confidencial que resguardaba, sin requerimiento de autoridad competente, difundiendo de manera voluntaria y en espacios públicos, datos fiscales, financieros, bancarios y bursátiles que darán origen a revisiones, al menos en el caso de México el SAT anuncia públicamente que “revisará” el listado de la información, aunque la misma no cumple con la regulación internacional en materia de “revelación voluntaria”.
Será importante seguir de cerca el comportamiento administrativo y jurisdiccional en los nuevos criterios en materia de secreto fiscal, financiero, bancario y bursátil para encontrar el equilibrio entre el cumplimiento de obligaciones tributarias y la tutela del derecho de protección de datos personales.
- Los datos personales en la identidad digital de las firmas electrónicas
La era digital ha marcado la pauta para revoluciones en todos los planos del conocimiento humano, lo cual no podría quedar del todo abarcado si el derecho no se modificara para adaptarse a estos cambios. Con la posibilidad de comunicación por vía remota por medio de las tecnologías de la información, se puede crear, transmitir, modificar, revocar y extinguir todo tipo de obligación jurídica con sólo un clic, por lo tanto, se vuelve indispensable otorgar certeza jurídica de que los sujetos han manifestado su voluntad, en la manera en que así lo desearon.
Como fuente de todas las obligaciones, el derecho civil reconoce como prueba, la información digital, fiable, atribuible y accesible para consulta. Hasta este punto podríamos considerar que cualquier correo electrónico, publicación de foto en una red social como Facebook o Instagram, video en YouTube, archivos transferidos por DropBox, oferta publicada en MercadoLibre, catálogo de productos de una empresa en su página web, es, por el simple hecho de tratarse de información electrónica, fuente directa de obligaciones. El artículo 210-A del Código Federal de Procedimientos Civiles instruye que la información generada, comunicada, recibida o archivada por medios electrónicos se mantenga íntegra e inalterada a partir del momento en que se generó por primera vez, en su forma definitiva y pueda ser accesible para consulta posterior.
Por criterio de la SCJN se considera que en manos del juez quedará la posibilidad de valorar la información contenida en un simple correo electrónico –o de un documento electrónico elaborado en un dispositivo electrónico- aunque no menciona nada respecto a la comunicación en redes sociales, blogs o de los almacenados en ‘la nube’, señalando que la manera en que el juez podrá evitar los costos –y demora- generados por una pericial en informática, será por medio del uso de Firma Electrónica Avanzada. Este tipo de firma se encuentra regulada por el Código de Comercio, así como por la normatividad de la Secretaría de Economía que ha tratado de emular a la Ley Modelo de la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional sobre las Firmas Electrónicas. En lo que se refiere a la seguridad que debe caracterizarlas, y que se considera resguardada, las empresas certificadas para la emisión de estas firmas son quienes deberán ofrecer un sistema robusto que limite el acceso a hackers, crackers y phreakers.
No importa si la firma electrónica avanzada es administrada por entes públicos o privados, pues en ambos casos se debe contar con el certificado que valida la información, su almacenamiento, la disociación de datos confidenciales y personales, así como las restricciones a los accesos por medio de llaves privadas y públicas, entre otros requisitos. Esto señala la Norma Oficial Mexicana NOM-151-SCFI-2002, específica para la materia. El gobierno federal reconoce que desde el 2003 se han realizado esfuerzos en diversos rubros para que México pueda competir a nivel mundial en el comercio electrónico. Es sumamente necesaria la protección y reconocimiento de la identidad de los interesados en estas operaciones. La Asociación Mexicana de Internet (AMIPCI: 2015) concluye que de 2013 a 2014 se generó un incremento del 34% al comercio electrónico en empresas nacionales, lo que representó operaciones por $162.1 mil millones de pesos, cantidades que en su mayoría se pagaron de forma electrónica, pues el 78% se realizaron con tarjetas de crédito, débito, transferencias bancarias, pago vía Paypal, ect., mientras que el 22% con pagos no en línea, es decir, mediante depósitos en sucursales y tiendas de conveniencia. Dejando a un lado el tema de falta de liquidez presente en nuestra economía, parece contradictorio que en compras electrónicas la gente prefiera depositar en efectivo antes que realizar transferencias electrónicas. En lo particular, el criterio del poder judicial resulta poco favorable, pues si bien reconoce que las transferencias electrónicas no son documentos privados, deja en el arbitrio del juez su valoración de acuerdo con el reconocimiento que realice la institución bancaria, generando inquietud respecto de la tutela jurídica de la identidad digital.
- Conclusión
La propuesta del Reglamento Europeo de Protección de Datos tiene como prioridad otorgar mayor control a los ciudadanos sobre sus datos privados en una era digital donde el uso del internet, de las redes sociales y de los teléfonos inteligentes se ha extendido a una escala global mediante la puesta en marcha de un documento uniforme en el cual se ofrece, con mayor claridad para empresas y consumidores, las normas únicas para reforzar la confianza y seguridad jurídica e impulsar la competencia justa en el uso de los datos personales compartidos por los particulares.
El Reglamento en cuestión, enumera los derechos de los interesados y les otorga un mayor control sobre sus datos personales; establece la obligación de los responsables de ofrecer información transparente y de fácil acceso; especifica obligaciones generales de los responsables de aplicar medidas de seguridad en función de un método basado en riesgo de las operaciones realizadas por los interesados; confirma la obligación de crear una autoridad de control independiente a nivel nacional que pretende ser un Consejo Europeo de Protección de Datos con el fin de aplicar una decisión única de supervisión; reconoce el derecho de los interesados a presentar una reclamación a la autoridad de control, así como su derecho al recurso judicial, la compensación y la responsabilidad, garantizando la proximidad de los particulares en relación con las decisiones que les afecten en este rubro y disponiendo sanciones muy severas que pueden oscilar hasta los €20 millones o el 4% de su volumen de negocios total anual; incluye una directiva sobre transmisión de datos por cuestiones judiciales y policiales; y finalmente -pero no menos importante y bajo el cual México y sus órganos garantes en materia de acceso a la información y protección de datos personales deberán conciliar y redoblar sus esfuerzos para adecuar la normatividad nacional- abarca la transferencia de datos personales a terceros países u organizaciones internacionales, en la que se deberán tomar decisiones adecuadas para proteger la transferencia y garantizar de manera apropiada la protección, ya que la Comisión de Evaluación de la UE evaluará el nivel de protección que ofrece el territorio o el sector de tratamiento del país.
Este nuevo paquete internacional en materia de protección de datos personales, se presenta como una salvaguarda en materia del derecho fundamental para la protección de los mismos, al cual nuestro país, por conducto del INAI y de los citados órganos estatales, deberá considerar en la normatividad secundaria del artículo 6º Constitucional en este rubro, con el fin de introducir en este nuevo proyecto, mayores tutelas al Ciudadano para la protección de sus datos personales en una nueva era digital global.
V. Fuentes consultadas.
Acuerdo de Intercambio Automático de Información Financiera, en Anexo 25 de la Resolución Miscelánea Fiscal para 2016, Diario Oficial de la Federación, México, 12 de enero de 2016.
Código Federal de Procedimientos Civiles, Diario Oficial de la Federación, México, 09 de abril de 2012.
Constitución Política de los Estados Unidos Mexicanos, Diario Oficial de la Federación, México, 07 de febrero de 2014.
Damsky, Isaac Augusto, “Breve caracterización de las nuevas modalidades de contratación pública en Argentina”, en Fernández Ruiz, Jorge y Santiago Sánchez, Javier (coord.), 2007, Contratos Administrativos, Culturas y Sistemas Jurídicos Comparados, México, UNAM, Instituto de Investigaciones Jurídicas.
Estudio Comercio Electrónico en México, 2015, Asociación Mexicana de Internet, Recuperado de https://www.amipci.org.mx/estudios/comercio_electronico/Estudio_de_Comercio_Electronico_AMIPCI_2015_version_publica.pdf
Lucente Kate y Clark James (ed.), 2016, DLA Piper's Data Protection Laws of the World Handbook, Recuperado de https://www.dlapiperdataprotection.com/#handbook/about-section
Ley General de Transparencia y Acceso a la Información Pública, Diario Oficial de la Federación, México, 04 de mayo de 2015.
Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, Diario Oficial de la Federación, México, 18 de diciembre de 2015.
Ley Federal de Datos Personales en Posesión de los Particulares, Diario Oficial de la Federación, México, 05 de julio de 2010.
Mediabrands Marketing Sciences, 2015, Privacy vrs. Relevancy The value exchange, Recuperado de https://dl.dropboxusercontent.com/u/3503218/Flipping-Books/The-Value-Exchange/index.html
Norma Oficial Mexicana NOM-151-SCFI-2002, Prácticas comerciales-Requisitos que deben observarse para la conservación de mensajes de datos, Diario Oficial de la Federación, México, 04 de junio de 2002, así como RESOLUCION por la que se da a conocer la fecha de entrada en vigor de la Norma Oficial Mexicana, publicada en el Diario Oficial de la Federación el 19 de iembre de 2005.
Norma Estela Pimentel Méndez [1]
_____________________________________
[1]Licenciada en Derecho (UDLAP), Maestra en Derecho Empresarial y Fiscal (IBERO–Puebla), Doctora en Derecho (BUAP), Posdoctorado (UPAEP). Ha sido Titular de Transparencia del Ayuntamiento de San Pedro Cholula; actualmente es Comisionada Propietaria de la Comisión de Acceso a la Información Pública y Protección de Datos Personales del Estado de Puebla
Comments
If you want to comment on this post, you need to login.