Es necesario mejorar la protección de los datos personales de los ciudadanos en México. Las entidades que tratan datos personales son cada vez más un blanco frecuente de ciberataques o brechas de seguridad provocadas por sus propios equipos técnicos, que en ambos casos resultan en la divulgación no consensuada de información personal en Internet. El más afectado es el ciudadano, que puede ser víctima de un mal uso de sus datos con graves consecuencias para su patrimonio moral y económico.
La ley de protección de datos personales se publicó en 2010. En tiempos de innovación digital, una década puede parecer medio siglo. Facebook y Twitter apenas comenzaban a hacerse populares en México, no existían ni TikTok ni Instagram; WhatsApp era un servicio emergente. La ley de datos personales para particulares fue diseñada con una arquitectura robusta que, en una economía cada vez más propensa a la explotación comercial de datos personales, ha sabido adaptarse a las circunstancias y soportar nuevas circunstancias, pero necesita mejoras, mantenimiento.
Solo en 2020, por ejemplo, nos enteramos de diferentes incidentes de seguridad de la información provocados por piratas informáticos o por malas configuraciones de los equipos de desarrollo de las entidades que procesan la información. Algunos casos mexicanos: Bitso, iVoy, Clip, CI Banco, YoTePresto y Gentera. Pero, ¿cuántos más ocurrieron y no lo sabemos?
En la mesa del Senado para discusión se encuentran algunas propuestas para reformar la Ley de Protección de Datos Personales en Posesión de los Particulares, la primera en sus 10 años de vigencia. Son promovidos por el senador Alberto Galarza Villaseñor, del Movimiento Ciudadano, y expresidente de la Federación de Estudiantes Universitarios (FEU) de Guadalajara. El plan es incorporar algunas mejoras para adecuar parte del régimen a los estándares internacionales, estandarizar algunas obligaciones previstas en la ley para las entidades públicas, publicada en 2017, y cumplir con criterios jurisprudenciales.
Galarza Villaseñor afirma en una de sus iniciativas que cuenta con el acompañamiento de la presidenta comisaria del Inai, Blanca Lilia Ibarra Cadena, y de la Secretaría de Protección de Datos Personales del Inai. En detalle, hay tres puntos:
1. Obligar a las personas a notificar a Inai sobre incidentes de seguridad de la información que pongan en riesgo los datos personales que tratan.
Las personas físicas no tienen la obligación de informar a Inai sobre incidentes que pongan en riesgo la información personal que manejan, lo que limita la capacidad de protección de los ciudadanos afectados y, sobre todo, su capacidad para actuar en consecuencia. Esta obligación existe en la ley del sector público y en el llamado Convenio 108+, documento internacional ratificado por México en 2018.
2. Reformar el artículo 56, para que el único medio de defensa frente a las resoluciones del INAI sea el juicio de amparo.
A partir de octubre de 2020, una jurisprudencia del Tribunal Supremo puso fin a la doble defensa frente a las resoluciones del Inai sobre datos personales. La ley y su reglamento permitieron combatir las resoluciones a través de los procedimientos contencioso-administrativo; Después de la jurisprudencia, los ciudadanos y las personas jurídicas insatisfechos con las resoluciones del instituto pueden continuar su defensa solo a través del juicio de amparo.
3. Obligar a las entidades extranjeras que procesan datos personales de ciudadanos en México a cumplir con la ley mexicana.
Las características de Internet han permitido disfrutar y hacer un uso intensivo de los servicios digitales ofrecidos por empresas establecidas fuera de la jurisdicción mexicana. En los últimos años se han producido fallos judiciales que confirman la vigencia de las leyes mexicanas sobre actores que residen fuera del país. Son muchos los casos de infracciones por parte de empresas extranjeras que afectan a los ciudadanos mexicanos. Es necesario documentar legalmente esta validez, para dotar a Inai de mejores capacidades de vigilancia y control.
Hay tres cambios urgentes. Faltan más, pero hay que empezar con algo.
Editor de El Economista online
Economicón
El periodista. Desde 2010 edita la versión digital de El Economista en la Ciudad de México. Máster en Transparencia y Protección de Datos Personales por la Universidad de Guadalajara. Se especializa en derecho de telecomunicaciones y tecnología de la información. Su blog personal es Economicón.