En la era digital nos enfrentamos al inminente avance tecnológico, que no cesa en innovar al ofrecer productos o servicios a los consumidores digitales. Formamos parte de una generación que utiliza la tecnología cotidianamente para sus actividades diarias, sobre todo las transacciones comerciales que se realizan mediante dispositivos conectados a internet. La adquisición de productos y servicios digitales ubicados en distintas latitudes del mundo son parte de nuestra realidad, y materializarla implica solamente unos cuantos clics.
En este contexto, es de suma importancia tener presentes las ventajas y desventajas del mundo virtual, pues Internet ha facilitado la vida de la humanidad a escalas impensables. Esto hace indispensable, antes de encontrarnos en una posición mucho más vulnerable, detenernos un minuto a reflexionar sobre las garantías que debemos exigir, tanto a las autoridades de protección de datos personales como a los desarrolladores tecnológicos, que cada día encuentran formas más innovadoras de facilitar la vida de las personas.
Datos personales, privacidad y su situación actual en México
Recordemos que se entiende por dato personal cualquier información concerniente a una persona física identificada o identificable, cuya identidad se puede determinar, de forma directa o indirecta, mediante cualquier información.
Por definición, la protección de datos personales es uno de los elementos que integran el concepto de privacidad. Al respecto, algunos autores consideran necesario distinguir entre los términos privacidad e intimidad: estiman que la visión norteamericana contempla la privacidad como el derecho a estar aislado y no estar sujeto a la publicidad o escrutinio (cómo lo contempla el autor David Cienfuegos Salgado en El derecho a la intimidad y lo sactos procesales de imposible reparación, publicado en México en 2003.
El derecho a la privacidad se considera como un derecho humano, en virtud de que fue reconocida por primera vez, a finales del siglo XIX, como una figura prevista por la doctrina estadounidense en los regímenes de derecho anglosajón (Common Law), con base en la obra The Right to Privacy, publicada en 1890 por Samuel Warren y Louis Brandeis. Según la obra, el enfoque adoptado parte de la protección de los individuos frente a los avances e innovaciones tecnológicas de la época, que eran, principalmente, las fotografías instantáneas, cuya difusión en periódicos había invadido "los más sagrados recintos de la vida doméstica y privada".
Posteriormente, Alan Westin retomó el concepto de privacidad e incorporó la idea de que todo individuo tiene la facultad de decidir cómo, cuándo y hasta qué punto la información que le concierne debe ser conocida por los demás. Esto lo detalló en su obra Privacy and Freedom, publicada en EE.UU. en 1967. Así, el derecho a la privacidad se puede contemplar desde dos perspectivas: el derecho a aislarse de todos, que protege al individuo de la intromisión de terceros, y el derecho a controlar la difusión de su vida privada.
Si trasladamos estos conceptos a la actualidad, «sin duda, hoy nos encontramos en una nueva crisis, en una transición crítica, de la cual parece ser responsable otra transformación radical: la revolución digital». Así lo describe el filósofo Byung-chul Han en su obra Im Schwarm Ansichten Des Digitalen, publicada en 2013.
En México, la protección de datos personales está garantizada en la Constitución Política de los Estados Unidos Mexicanos, de la que se desprenden la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPP, 2010) y la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO, 2017).
Innovación tecnológica y privacidad
Como señalamos anteriormente, el avance tecnológico y la economía digital han mostrado, en años recientes, las consecuencias que trae consigo el tratamiento de datos personales a gran escala. Lo que hoy en día conocemos como big data se ha convertido en el nuevo mercado de información, que ha permitido el crecimiento exponencial de las grandes compañías de tecnología y servicios en línea.
Estas grandes corporaciones analizan nuestra información con algoritmos que les permiten conocer nuestras preferencias de navegación y nuestra adquisición de bienes y servicios; datos con los que levantan un perfil de cada usuario, para ofrecernos la mejor experiencia en línea. Sin embargo, es precisamente al momento de entregar nuestros datos personales a estas empresas que debemos dejar en claro cuál deberá ser el uso y tratamiento de nuestra información privada.
Uno de los grandes problemas a los que nos enfrentamos, sin percatarnos de ello, es que las consecuencias que conlleva el tratamiento de nuestros datos personales existen en varios niveles. En función de la categoría a la que correspondan (generales, patrimoniales, sensibles), el consentimiento que los titulares dan al tratamiento de datos personales debe ser especial. Los usuarios dejamos distintos tipos de rastros digitales, desde nuestras cuentas bancarias (datos patrimoniales) hasta nuestro estado de salud, preferencias ideológicas, sexuales y gustos personales (datos sensibles). No debemos olvidar que, de conformidad con las recomendaciones y legislaciones vigentes a nivel internacional y regional, el responsable del tratamiento de nuestros datos personales debe cumplir con medidas de seguridad físicas, administrativas y técnicas, que deberán adaptarse al grado de protección que ameriten nuestros datos personales.
Las autoridades de protección de datos han otorgado el grado de recomendaciones específicas a algunas de las medidas implementadas, identificadas hoy en día como buenas prácticas, que han servido como guías de orientación para que los responsables del tratamiento de datos personales brinden certeza a los usuarios sobre la confidencialidad y el resguardo de su información personal.
En esta primera entrega, se aborda la implementación de medidas de seguridad lo suficientemente fuertes, que no vulneren o soliciten información adicional (proporcionalidad en la obtención) o datos biométricos para su operación. También se abordan los modelos de cumplimiento.
Medidas de autorregulación y mecanismos para su aplicación
Medidas de seguridad
Uno de los grandes retos a los que se deben enfrentar hoy en día los responsables del tratamiento de datos personales—desde el microempresario cuya profesión involucre el manejo de datos hasta los grandes innovadores tecnológicos—es, sin duda, el cumplimiento de las legislaciones y normativas locales e internacionales en materia de protección de datos y privacidad.
Se ha demostrado que las legislaciones locales en todo el mundo y las recomendaciones emitidas por autoridades en protección de datos personales (aplicables, en la mayoría de los casos, al sector privado), incluyen en su normativa la aplicación y ejecución de medidas de seguridad que deben adoptar los responsables, con la finalidad de garantizar el correcto tratamiento de los datos.
Se debe considerar que la implementación de dichas medidas de seguridad deberá seguir un estricto protocolo, basado en las mejores prácticas internacionales y en normas ISO, que brinden confianza a los titulares sobre el correcto manejo de su información personal.
Estas medidas de seguridad deberán aplicarse a cualquier sistema de datos personales (físico o automatizado) y contemplar diferentes niveles de protección, de conformidad con el tipo de tratamiento que se trate. Se utilizarán diferentes medidas para garantizar datos biométricos, patrimoniales y de identificación personal.
Como mencionamos antes, los responsables del tratamiento de datos personales establecerán medidas de seguridad técnicas, administrativas y físicas para garantizar la disponibilidad, confidencialidad e integridad de cada uno de los sistemas de protección de datos que posean; sin menoscabo de la existencia de medidas específicas sobre sistemas de cifrado, desarrollo de aplicaciones, comunicaciones y redes, entre otras.
Por ello, el responsable debe implementar distintos niveles de seguridad—desde uno básico, que fungirá como la base obligatoria de protección de sus sistemas de datos personales, hasta uno medio y uno alto, que deben corresponder a las medidas adoptadas acorde al tipo de datos personales en cuestión.
Modelos de cumplimiento
En una sociedad basada en la economía digital—donde las grandes firmas tecnológicas han expandido su alcance a partir del manejo de información a gran escala y los intercambios en línea han crecido exponencialmente en menos de dos décadas—, debido al uso necesario de Internet y de avances tecnológicos como la inteligencia artificial, nos enfrentamos a importantes retos que deben abordarse desde las perspectivas del regulador y del desarrollador, ya que se deben proteger los derechos humanos inherentes al individuo, sin menoscabo del desarrollo e innovación tecnológica.
Junto a la regulación en materia de datos personales, es importante destacar el papel que juega la firma de tratados comerciales con apartados sobre comercio digital. Tal es el caso del Tratado de Libre Comercio entre México, Estados Unidos y Canadá (T–MEC), cuyo capítulo dedicado al comercio digital aborda, entre otros temas de gran relevancia, la protección del consumidor en línea, los principios sobre el acceso a, y el uso de, Internet para el comercio digital y la ciberseguridad; y refuerza la protección de información personal.
Existen otros tratados como este, como el reciente y pionero acuerdo de economía digital firmado entre Chile, Singapur y Nueva Zelanda, que busca beneficiar a las economías más pequeñas a través de un marco de operación favorable para el ramo de compañías de tecnologías de la información. El marco contiene algunas materias específicas cruciales, como el libre flujo de datos y no discriminación de productos digitales, inteligencia artificial, identidad digital y privacidad, entre otras.
Pero los efectos de la regulación ante la economía digital no escapan a los alcances de las normativas de protección de datos. Ejemplo de ello es el Reglamento General de Protección de Datos de la Unión Europea y la Ley de Privacidad del Consumidor de California (California Consumer Privacy Act, CCPA por sus siglas en inglés), que ya incluyen algún tipo de regulación vinculada con las nuevas tecnologías y forma de hacer comercio en línea.
De lo anterior se deriva un tema recurrente: el cumplimiento de las normas de protección de datos personales. Para esto debemos tener presente, en primer lugar, la legislación local del país en cuestión, ya que ésta impondrá un primer nivel de cumplimiento, en cuanto a principios y deberes, aunado a la innovación tecnológica de desarrolladores que recaban, procesan y tratan grandes cantidades de información. Esto nos lleva directamente a reflexionar sobre el valor económico de nuestros datos personales, que, de acuerdo a su taxonomía, se convierten en modelos de información utilizados para generar valor. Se debe considerar esta nueva realidad del tratamiento para actualizar las leyes de protección de datos a nivel internacional (convergencia normativa).
Medidas de autorregulación y mecanismos para su aplicación
En su concepción más general, la autorregulación es entendida como la capacidad de los individuos u organizaciones para establecer, voluntariamente, normas que los regulen.
Al ver la autorregulación en protección de datos personales como un complemento a la normativa, se reconoce que el derecho a dicha protección se debe construir en conjunto entre el Estado y los sujetos regulados, a través de la elaboración de reglas autoimpuestas que atiendan a las necesidades particulares de cada sujeto regulado o sector al que pertenecen, no previstas por la ley, al ser ésta de aplicación general y de carácter abstracto.
Los esquemas de autorregulación son el conjunto de principios, normas y procedimientos, de adopción voluntaria y cumplimiento vinculante, que tienen como finalidad regular el comportamiento de los responsables y encargados frente a los tratamientos de datos personales que lleven a cabo ellos y las empresas u organizaciones. Al adoptar estos esquemas, las organizaciones podrán aumentar su prestigio ante los consumidores, al identificarse como prestadores de servicios comprometidos con el adecuado tratamiento de los datos personales de sus clientes, empleados u otros titulares. También obtendrán un sistema para documentar y acreditar, ante el propio titular o la autoridad, el debido cumplimiento de la normativa de protección de datos personales, entre otros beneficios.
La autorregulación vinculante permitirá elevar los estándares de protección de datos personales al adoptar mejores prácticas nacionales e internacionales, con beneficios para las empresas y organizaciones.
En la segunda entrega de este artículo se abordarán las prácticas y mecanismos para generar confianza ciudadana. Hoy en día, la innovación tecnológica y el acelerado uso de tecnologías como el reconocimiento facial han hecho necesario garantizar que, desde su diseño y concepción, éstas respeten y garanticen los derechos humanos de sus usuarios.