Tratamiento de Datos Personales en las Tecnologías de la Información

Las tecnologías de la información y comunicación han dado lugar a la concepción de una sociedad más informada, una sociedad que se vislumbraba que utilizaría estas tecnologías para mejorar su calidad de vida, esto es, la sociedad de la información.

Lo anterior ha sido consecuencia de la interconexión de dispositivos y objetos, lo cual, desde un principio ha hecho notoria la necesidad de regular las actividades que se realizan con estas tecnologías. Siendo así, la protección de la vida privada de las personas uno de los puntos medulares que dieron origen al derecho a la protección de datos personales que, en un sentido más amplio, es un derecho que busca proteger la integridad física de las personas, así como su patrimonio, honor, reputación y la propia imagen.

Así entonces, desde los años 70s se crearon las primeras leyes, en Alemania, Suecia y Estados Unidos, leyes que fueron retomadas como modelos en otros países. No obstante, este derecho sigue siendo vulnerado por el uso desproporcionado de las tecnologías de la información, lo que ha hecho necesario la adecuación de las leyes para que, ante el uso de las tecnologías en busca del desarrollo de la economía y el libre flujo de los datos, se protejan los derechos de las personas, evitando el menoscabo de su patrimonio y la salvaguarda de su integridad física.

Es por ello que, resulta de interés analizar el Reglamento General de Protección de Datos de la Comisión Europea y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, así como los avisos de privacidad de algunas empresas, para poder encontrar las debilidades de las empresas en cuanto a los principios que rigen el tratamiento de datos personales.

Encontrando que la legislación mexicana y europea, son muy similares en contenido, no así, en cuanto a los órganos de control, pues en el caso de Europa existe mayor autonomía, lo que deriva también en un mayor cumplimiento de la ley en cuento a la coerción que estos órganos realizan ante los responsables del tratamiento de los datos personales

En México, el INAI parece que no tiene la autonomía suficiente como para poder proteger este derecho, pues se le encargó la aplicación de la ley en materia de protección de datos personales, cuando en su creación había sido un órgano encargado de proteger el derecho de acceso a la información pública, de acuerdo a la ley vigente en ese momento. Siendo una adición la encomienda de la protección de datos personales en posesión de los particulares, lo que deja en duda la eficiencia de la protección de este derecho a la luz de los principios que rigen el tratamiento de los mismos.

Por tanto, los avisos de privacidad de las empresas carecen de información en relación a las practicas que realizan respecto al tratamiento que hacen de la información, las tecnologías de recolección suelen permitir obtener más información de la necesaria para el cumplimiento de las finalidades, lo que resulta violatorio no solo del principio de proporcionalidad, sino también, del principio de información, lealtad, consentimiento y finalidad.


El derecho a la protección de datos personales

El derecho a la protección de datos personales, es la respuesta a la proliferación de las tecnologías de la información y comunicación, a partir de que las computadoras comenzaron a tomar importancia para las empresas por las capacidades para la recolección y procesamiento de información, y más aún con la llegada del Internet en el año 1969, pues esta nueva tecnología permitiría que todas las personas que tuvieran acceso a una computadora, podrían transferir información a cualquier parte del mundo. Sin embargo, también podrían vulnerar los derechos que se habían plasmado en la Declaración Universal de los Derechos Humanos de 1948 (ONU, 1948).

Lo anterior, dejó ver que estábamos ante una tecnología que si bien, incrementaría el desarrollo económico al permitir hacer negocios con empresas de otras naciones, gracias a la nueva forma de comunicación a distancia, además de permitir concebir una sociedad mejor informada, también vislumbra un agujero negro respecto a donde puede llegar a parar la información de las personas al ser transmitida, lo cual, sin duda puede ser riesgoso para la salvaguarda de la seguridad e integridad física de las mismas.

Respondiendo a este nuevo reto, el estado de Land de Hesse en la República Federal de Alemania, se creó la primera ley sobre protección de datos personales, misma que daría la pauta para la creación de las próximas leyes que habrían de replicarse con sus respectivas adecuaciones a lo largo y ancho del planeta, con sus excepciones, claro está. Así, varios años más tarde México se suma a los países que cuentan con leyes sobre protección de datos personales, bajo los principios generales que regulan su protección en el mundo, con el objetivo de garantizar la protección de la privacidad ante el uso de las tecnologías de la información y comunicación en la sociedad de la información.

En México, el reconocimiento constitucional del derecho a la protección de datos personales como un derecho humano, se vislumbra desde la reforma al artículo 6° en julio de 2007. Sin embargo, aún está regulado dentro del derecho de acceso a la información pública, pues en este momento la única ley a la que se refiere la fracción II del mencionado artículo constitucional, es la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (DOF, 2002), por lo que aún no se puede considerar el derecho a la protección de datos personales como un derecho autónomo.

Es importante mencionar que, aunque en México hay algunas entidades federativas como Colima, Guanajuato, Oaxaca y México, D.F., que antes de que existieran, la ley federal y general sobre protección de datos personales, ya contaban con una ley específica para la protección de los datos personales.

Sin embargo, a nivel federal, no es sino hasta junio del año 2009 que el derecho a la protección de datos personales alcanza su reconocimiento constitucional como un derecho humano autónomo, adicionando en esta reforma al artículo 16° el texto que a continuación se presenta:

 

Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros (CPEUM, Reformada en 01 de junio de 2019, Art. 16°).

 

A partir de esta reforma, ya con un reconocimiento constitucional, se puede decir entonces que las personas cuentan con un nuevo derecho que les permite tener el control de sus datos personales, y que este nuevo derecho otorga la libertad para autodeterminarse, es decir, la libertad de decidir a quién le proporcionan sus datos personales una vez le hayan sido informados los términos y condiciones de su tratamiento, lo cual supone la previa información por parte del responsable respecto al tratamiento de los mismos, las finalidades y la seguridad con la que cuentan, de tal manera que el titular tenga los elementos suficientes para que, de manera consiente, decida a quien y para qué proporciona sus datos.

Así entonces, la protección de datos personales supone una sana convivencia entre la tecnología, el comercio y la protección de la privacidad e intimidad de las personas, marcando límites, deberes y obligaciones en el tratamiento de datos personales que, bajo libre consentimiento y aceptación debidamente informado, los titulares, hayan proporcionado como requisito para realizar alguna transacción comercial. A esta facultad para decidir sobre los datos personales, se le ha denominado autodeterminación informativa.

Gracias a ello, las personas pueden disponer de la información que de su persona exista en los registros de bases de datos; ello, a fin de que dicha información sea veraz, íntegra, actualizada, no intrusiva y con las garantías de seguridad pertinentes conforme a la finalidad para la cual hayan sido recolectados.

Por otra parte, el derecho a la protección de datos personales garantiza que, aquellas promesas en cuanto al tratamiento de datos personales, se cumplan conforme a lo convenido en el aviso de privacidad. Además de que, da las facultades al titular para poder acceder a sus datos; rectificarlos en caso de ser necesario, cancelarlos cuando así lo permita la relación contractual entre el particular y el titular, así como la posibilidad de oponerse al tratamiento de los datos personales en los términos establecidos por la Ley.

De tal suerte que, el derecho a la protección de datos personales es un derecho autónomo y abarca los derechos de acceso, rectificación, cancelación y oposición, (Derechos ARCO). Así como también la autodeterminación informativa, que en conjunto permiten al individuo tener el control de sus datos personales y por ende, garantizar el respeto a su privacidad e intimidad. En resumen, el derecho a la protección de datos personales se lee de la siguiente manera:

 

Es la facultad que otorga la Ley para que tú, como dueño de los datos personales, decidas a quién proporcionas tu información, cómo y para qué; este derecho te permite acceder, rectificar, cancelar y oponerte al tratamiento de tu información personal. Por sus iniciales, son conocidos comúnmente como derechos ARCO (INAI, s.f.).


También puedes visitar el Blog sobre Protección de Datos Personales en el Sector Público y Privado haciendo clic AQUÍ 


Principios que rigen el tratamiento de datos personales

Los principios planteados en la Ley tienen como objetivo que los responsables tengan una guía sobre los parámetros que deberán cumplir en el proceso del tratamiento de los datos personales, con ello se garantiza el respeto del derecho la protección de los datos personales, a la intimidad e integridad física de las personas.

1. Principio de licitud: El artículo 6 de la LFPDPPP, obliga al responsable a que el tratamiento de los datos personales se haga conforme a los principios, con apego a la legislación mexicana y al derecho internacional, así como respetando los convenios, tratados o directivas en materia de protección de datos personales de los que México sea parte, garantizando de esta manera el respeto al derecho a la protección de datos personales.

2. Principio de lealtad: Fundamentado en el artículo 7 de la LFPDPPP, este principio está vinculado con el de licitud o principio de lealtad y legalidad que obliga al responsable a que los datos recolectados se usen para finalidades lícitas y legales, que no atenten contra su titular ni contra terceros. Este principio supone la expectativa razonable de que los datos recolectados serán tratados de manera lícita, conforme a lo acordado y bajo los términos establecidos en el aviso de privacidad, así como a no recabar datos personales con dolo, mala fe o para beneficios personales. Esto dará a los titulares la confianza para depositar sus datos personales con el responsable.

3. Principio de consentimiento: Este principio encuentra su fundamento en los artículos 8, 9 y 10 de la ya mencionada ley y tiene como finalidad que el responsable no trate datos personales sin el consentimiento expreso o tácito del titular y aun cuando se haya obtenido dicho consentimiento, el titular podrá revocarlo mediante el ejercicio de los derechos ARCO, siempre y cuando no exista relación jurídica contractual que lo impida.

Cabe señalar que el consentimiento podrá ser recolectado en cualquiera de las tres formas que la ley permite y según el tipo de datos de que se trate. Siendo requisito el consentimiento tácito para el tratamiento de cualquier tipo de dato personal, con excepción de los datos patrimoniales, financieros y sensibles.

El consentimiento expreso se divide en expreso, y expreso y por escrito, siendo requisito el consentimiento expreso que puede ser de manera verbal, escrita o mediante cualquier otro símbolo que haga suponer la aceptación de los términos del tratamiento por el titular, para el tratamiento de datos financieros o patrimoniales.

Sin embargo, para el tratamiento de datos sensibles es requisito recolectar el consentimiento expreso y por escrito manifestando la aceptación mediante firma, huella dactilar o cualquier símbolo inequívoco que autentifique al titular, ya que el tratamiento de los datos sensibles conlleva una responsabilidad mucho más amplia por las consecuencias que el mal uso de los mismos podría ocasionar al titular.

4. Principio de calidad: Su fundamento se encuentra en el artículo 11 de la LFPDPPP y hace referencia a que los datos que el responsable conserva sobre el titular deben ser correctos, exactos y completos y estar actualizados según sea necesario con respecto a los fines para los cuales se hayan recopilado. El responsable también se obliga a cancelar los datos cuando estos hayan dejado de ser necesarios, así como a eliminar información relativa al incumplimiento de relaciones contractuales que propicien el menoscabo del honor, la honra o la reputación del titular.

5. Principio de finalidad: Se fundamenta en el artículo 12 de la LFPDPPP y tiene como finalidad la manifestación esencial de la protección de la privacidad en relación con el tratamiento de los datos personales, proporciona los elementos necesarios al titular para que decida libremente si proporciona o no sus datos personales al responsable, según las finalidades primaria y secundaria para la cual serán recolectados, así como las medidas de seguridad implementadas para garantizar la confidencialidad y seguridad de los datos.

6. Principio de proporcionalidad: En el artículo 13 de la LFPDPPP, refiere que los datos personales que se recolectan, deben ser proporcionales según lo exija la relación con el titular y no deberán recolectarse más datos de los que resulten adecuados y relevantes, en relación con las finalidades previstas en el aviso de privacidad, de igual manera, supone el esfuerzo razonable del responsable por limitar el uso de los datos sensibles al periodo mínimo indispensable para el cumplimiento de la finalidad para la cual sean recolectados.

7. Principio de responsabilidad: En el artículo 14 de la LFPDPPP especifica que el responsable del tratamiento de los datos personales deberá asegurar el cumplimiento de los principios, debiendo adoptar las medidas pertinentes para su aplicación. Cuando el responsable haya nombrado algún encargado para que a su nombre realice el tratamiento de los datos, seguirá siendo responsable de velar por el cumplimiento de los principios y de la ley en general, pues las sanciones derivadas del mal uso de los datos personales seguirán siendo aplicables al responsable y no al encargado.

8. Principio de información: Los artículos 15, 16, 17 y 18 de la mencionada ley, son el fundamento del principio que obliga al responsable de los datos personales a poner a disposición del titular el aviso de privacidad mediante el cual se le informa, entre otros aspectos, qué datos personales se recolectan, con qué finalidades, con quien los comparte y con qué medidas de seguridad contarán dichos datos. Así el titular estará en condiciones para ejercer su derecho a la autodeterminación informativa; decidiendo de manera informada si proporciona sus datos personales al responsable.

De los mismos principios se derivan deberes y obligaciones que permiten dar cumplimiento a dichos principios de la protección de datos personales, ligando los derechos con los principios, deberes y las obligaciones que la ley establece como acciones mínimas necesarias para garantizar el derecho a la protección de datos personales. Así entonces, el responsable tiene el deber re garantizar la seguridad de los datos mediante la aplicación de medidas de seguridad, así como mantener la confidencialidad, evitando que dichos datos sean del conocimiento de personas no autorizadas.

Así entonces, los principios delimitan la responsabilidad derivada del tratamiento de los datos personales para la efectiva protección de la privacidad e intimidad de las personas que han entregado los datos personales, establece la necesidad de adoptad medidas de seguridad administrativas, técnicas y físicas para garantizar la privacidad, integridad y seguridad de los datos personales y supone las sanciones pertinentes en caso de que el responsable no cumpla con lo informado en el aviso de privacidad, los deberes y obligaciones que el tratamiento de datos personales deriva.

 

Obligaciones

El responsable se obliga a cumplir con las obligaciones que responden al cumplimiento de todos los principios mencionados, además de obligar vía el artículo 19 a que el responsable adopte “medidas de seguridad administrativas, técnicas y físicas […], [así como las medidas de seguridad pertinentes para garantizar la confidencialidad, integridad de los datos de los titulares] contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado” (DOF, 2010, p. 6).

Consecuentemente, el responsable se obliga a actuar de manera lícita, ética y a tratar los datos solo para cumplir con la relación jurídica que exista entre el titular y el responsable y no deberá utilizar dicha información para beneficio propio, ni para finalidades secundarias que no se hayan dado a conocer al titular de los datos personales mediante el aviso de privacidad.

Así, la finalidad de las obligaciones relacionadas a cada uno de los principios, es que el titular cuente con la información necesaria para poder decidir sobre su información y a quien se la proporciona, con pleno conocimiento de las finalidades para la que su información es recolectada y con la garantía de que sus datos no serán utilizados en detrimento de su patrimonio, honor, dignidad, reputación o su propia imagen.

 

Deberes

Los responsables del tratamiento de los datos personales, al recolectar información de los titulares deben implementar acciones que permitan garantizar el respeto del derecho a la protección de datos personales. Por lo que, además de cumplir con cada uno de los principios de la protección de datos personales, es necesario que se cumpla con los deberes de confidencialidad y de seguridad de los mismos.

 

Deber de confidencialidad de los datos personales

El responsable de los datos personales tiene el deber de garantizar que los datos personales permanecen en secrecía para terceras personas que no son parte del proceso en el que son tratados los datos personales; este deber se puede relacionar con el secreto profesional, ya que son datos personales que se obtienen para cumplir con una finalidad concreta y todo uso fuera de esa finalidad supone una sanción para el responsable.

Por otro lado, el acceso a los sistemas informáticos pone en riesgo toda la información que en ellos se encuentre almacenada, sin distinguir entre información actualizada, información cancelada (oculta) o datos sensibles. De tal manera que el deber de confidencialidad, obliga al responsable a vigilar la seguridad de los sistemas informáticos para garantizar la confidencialidad, aun cuando ya no exista relación jurídica entre el titular y el responsable.

En caso de que el responsable haya contratado a un tercero como encargado de los datos personales, debe de cerciorarse de que los datos personales cuentan con las medidas tecnológicas necesarias para garantizar su seguridad, impidiendo que sean tratados por terceros ajenos al responsable o a quienes éste haya designado.

Este deber tiene como fundamento el artículo 21 y su objetivo es evitar daños al titular de los datos personales, ya que, de no ser así, cualquier persona podría tener acceso a los datos personales y una vez teniendo el conocimiento de donde localizar a una persona, poder realizar algún acto delictivo en su contra. “[…] A tal fin, es conveniente que el responsable adopte e implemente tanto una política de confidencialidad como otras medidas, tales como contratos o cláusulas contractuales a firmar con quienes intervengan en el tratamiento de datos personales” […] (INAI, 2015, pág. 65).

También es necesario hacerse las siguientes preguntas para verificar la efectividad de la protección de los datos personales:

 

¿Tiene implementadas medidas para garantizar la confidencialidad de los datos personales que trata; ¿Se asegura de que sus empleados, encargados o terceros guarden confidencialidad respecto de los datos personales a los que tienen acceso? y ¿Prevé sanciones en caso de incumplimiento del deber de confidencialidad? (INAI, 2016, p. 69).

 

Deber de seguridad de los datos personales

En el artículo 19 y 20 se establece el deber de confidencialidad, que hace necesaria la implementación de medidas de seguridad, así como el deber de informar a los titulares de los datos personales cuando exista alguna vulneración que pueda poner en riesgo los derechos patrimoniales o morales de la persona, pues el responsable del tratamiento de los datos personales, mediante este deber, está obligado a implementar mecanismos de seguridad para mantener en secrecía la información, dichas medidas de seguridad deberán responder a las necesidades del análisis de riesgo de los datos, para que el costo de su protección, no resulte más costosa que los bienes a proteger.

Además, en relación a la seguridad de los datos personales, las empresas – los responsables – tienen el deber de dar aviso a los titulares cuando los sistemas electrónicos, es decir, donde se almacenan los datos personales, hayan sido vulnerados, con la intención de que el titular pueda tomar precauciones que puedan afectar su patrimonio o su seguridad (Mendoza Enríquez, 2018, pág. 286)

 

La protección de datos personales en el Reglamento General de Protección de Datos de la Comisión de Europa

Es de interés resaltar que el reglamento toma como referencia el artículo 16, apartado 2 del Tratado de Funcionamiento de la Unión Europea, que encomienda al parlamento y al consejo, establecer normas de protección y a la libre circulación de los datos de carácter personal. De tal manera que se ha visto la importancia del flujo de la información para el desarrollo económico y solo se busca la protección de los derechos de la personalidad, sin limitar el flujo de información de manera controlada e informada (DOUE, 2016, pág. 3).

En el citado documento se establece que “[…] El Derecho de la Unión o de los Estados miembros debe establecer medidas específicas y adecuadas para proteger los derechos fundamentales y los datos personales de las personas físicas” (DOUE, 2016, pág. 11), lo que quiere decir que en el caso de México, al ser uno de los países firmantes del convenio 108, debe observar también el reglamento en materia de protección de datos personales del Consejo de Europa.

El mencionado reglamento en su capítulo II, relativo a los principios, establece que los datos personales deberán ser tratados bajos los principios de: a) licitud, lealtad y transparencia; b) limitación de la finalidad; c) minimización de datos; d) exactitud; e) limitación del plazo de conservación; f) integridad y confidencialidad y además el responsable deberá demostrar su capacidad para el tratamiento de los mismas bajos los principios mencionados, lo que se denominó “responsabilidad proactiva”, (DOUE, 2016, págs. 36-36).

Podemos decir que, respecto a la legislación mexicana, los principios no distan mucho unos de los otros, pues mientras que en el reglamento europeo se manejan 6 principios, en México se habla de 8 principios, de los cuales ya hablamos con anterioridad. No obstante, podemos observar algunas diferencias.

La primer diferencia que podemos mencionar es respecto a la transparencia, en la ley mexicana no se contempla la transparencia en relación al titular, lo que me parece que es un avance del reglamento, pues la transparencia es un elemento de suma importancia, ya que si existe un tratamiento de lícito y leal, no debe darse un tratamiento fuera de las finalidades que se hayan informado al titular, por lo tanto podría hablarse de que el tema de la transparencia no debería ser un tabú y que en todo momento el titular deberá estar informado de los sucesos importantes en relación a sus datos personales.

Por otro lado, el principio de finalidad que se relaciona con el de limitación de la finalidad del reglamento europeo, agrega los supuestos en los cuales los datos personales podrán ser tratados fuera de las finalidades para la cual hayan sido recolectados, a saber, “el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales” (DOUE, 2016, pág. 35).

De igual manera, es de interés notar las diferencias en cuanto a la los precios de limitación del plazo de conservación y la seguridad y confidencialidad, pues en la legislación mexicana no se contempla el principio del plazo de conservación, solo se entiende que, una vez cumplida la finalidad, estos deberán ser eliminados, cosa que parece que no sucede así en la práctica.

Por su parte, la seguridad y la confidencialidad son uno más de los principios, lo que los hace aplicables no como un deber u obligación, sino, deben ser parte de la cultura del tratamiento de datos personales, debe ser algo que rija la conducta de los responsables en torno al manejo de información inherente a las personas

En cuanto a la responsabilidad proactiva, el reglamento menciona que el responsable debe ser capaz de cumplir con los principios establecidos y además debe poder demostrarlo. Esto también implica que la proactividad lo mantenga en un ciclo de mejora constante en relación a la confidencialidad de los datos personales, es decir, debe buscar siempre garantizar la seguridad de los mismos para evitar que puedan ser de conocimiento o apropiado por terceros que no estén autorizados por el responsable y que, por ende, o estarían sujetos a los principios mencionados anteriormente.

En relación con la legislación mexicana y de acuerdo a los principios que regulan el tratamiento de los datos personales, parece que la legislación mexicana cumple con los mismos principios establecidos en el reglamento europeo. Donde parece que existe una disparidad es en los instrumentos, mecanismos y derechos de los titulares, así como en los órganos de control, pues en México, el INAI parece que no tiene las facultades necesarias para garantizar este derecho a la sociedad, quizá debido a que en su creación no estaba pensado para garantizar este derecho, el cual fue un agregado como resultado de la reforma al artículo 16°, cuando se reconoce como un derecho humanos la protección de los datos personales y se tenía que designar a alguna autoridad su protección.

Contrario a Europa, donde los órganos de control tienen mayor autonomía, facultades y una legislación más adecuada para la protección de los derechos humanos. Es de notar que, al hacer referencia a la sociedad de la información, resulta entendible que se dé una mayor protección de los derechos de los niños, contemplados todos los menores de 16 años, pues al ser una sociedad cada vez más conectada, los niños ya adolescentes son un sector vulnerable del cual solo se podrán tratar los datos personales mediante consentimiento de quien ejerza la patria potestad.

Cabe señalar que, no siempre se requiere el consentimiento de los titulares para poder hacer recolección de datos personales, a excepción de las limitantes que el mismo reglamento establece respecto a los niños, así como a los datos “sensibles”, pues en caso de los datos de identificación personal, menciona que el responsable podrá integrarlos a algún fichero siempre y cuando se apegue a los principios del reglamento, mientras que el artículo 9, menciona las restricciones del tratamiento de categorías especiales de datos personales, entendiendo que estos datos solo podrán ser tratados bajo consentimiento expreso de sus titulares.

 

Idoneidad de los avisos de privacidad

Bajo los principios, tanto de la ley mexicana como del reglamento europeo, podemos observar que los avisos de privacidad de las empresas, a menudo no están informando de manera adecuada sobre el tratamiento de los mismos. Además, el uso de las tecnologías como lo es el cómputo en la nube o el uso de los beacons y las cookies, puede dar lugar al tratamiento de los datos personales que, de acuerdo al reglamento, solo podrían ser tratados bajo el consentimiento tácito y por escrito de su titular.

Solo a manera de enunciar algunos de los casos en los que se estaría violando este derecho por el uso de las tecnologías de la información, son: el uso de tecnologías de “cómputo en la nube” (NIST, 2013, pág. 8), el análisis de la huella digital y el envío de información mediante correo electrónico.

En ese sentido los elementos que conforman nuestra huella digital, según la Internet Society (2014), son:

 

“[..] los rastros que dejamos al utilizar Internet. Comentarios en redes sociales, llamadas de Skype, el uso de aplicaciones, registros de correo electrónico – todo esto forma parte de nuestro historial en línea y, potencialmente, puede ser visto por otras personas o almacenado en una base de datos.

En consecuencia, la huella digital “te pinta como persona”. Si se presta atención, las huellas explícitas que se dejan cada vez que se participa en una conversación en internet, saltan a la vista. Por ejemplo, si se tuitea que se acaba de llegar a Sídney y que la puesta de sol es espectacular, ambas afirmaciones revelan de forma bastante explícita dónde se está y qué hora es (suponiendo que los tuits digan la verdad) (Mendoza y Fernández, 2016, p. 6).

 

Respecto al flujo transfronterizo de datos personales, parece que en los avisos de privacidad no se está dando a conocer dicho suceso cuando así lo supone el tratamiento de los datos, pues si bien es cierto que el reglamento europeo busca propiciar el flujo de datos para el desarrollo económico, este se debe hacer bajo los principios establecidos en dicho reglamento. No siendo necesario el consentimiento del titular cuando el Estado sea miembro de la UE o en su caso cuando haya algún convenio firmado con el país de destino.

No obstante, si se trata de un país con el cual no haya un convenio firmado, se deberá requerir el consentimiento del titular para poder realizar la transferencia de los datos, es decir que se puedan tratar datos de personas de otros países o que se puedan almacenar dato de personas en otros pises. Este es el supuesto de la contratación de servicios de cómputo en la nube con grandes empresas tecnológicas como son Google, Amazon, Salesforce, por mencionar algunas.

Pues cuando se almacena la información de los titulares en uno de los servidores de las empresas mencionadas, se supone que los datos personales están siendo almacenados en Estados Unidos, al menos es lo que se supone, aunque en la realidad no se tiene la certeza de que así sea. En cuyo caso, si se almacena en Estados Unidos, el aviso de privacidad de la empresa que se encuentra en el territorio mexicano, debería informar a los titulares sobre dicha transferencia de datos a un territorio extranjero.

Esto es inevitable debido al avance de las tecnologías de la información. Sin embargo, al hacer esto, se puede estar vulnerando el derecho a la autodeterminación informativa, al no permitir al titular decidir de manera informada sobre el paradero de sus datos personales. Es importante señalar que esto no debe ser una limitante para el desarrollo de la economía, por ello es que se ha planteado en el reglamento europeo que se deben crear las condiciones propicias para el flujo transfronterizo de datos, sean personales o no, con la intención de permitir que exista el comercio internacional mediante las tecnologías de la información, cuidando únicamente de no violar los derechos de los titulares y en todo momento apegarse a los principios que se han establecido.

De tal manera que, como ya se mencionó anteriormente, uno de los principios que rigen el tratamiento de los datos personales, es la integridad y confidencialidad, por lo que las acciones que deben emprenderse ante el uso de las tecnologías de la información, deberán velar por que los datos permanezcan almacenados de manera segura y confidencial, mientras que los otros principios deberán cumplirse para no violar el derecho a la protección de datos personales, teniendo siempre en cuenta que lo que se busca proteger, es la dignidad, honor y la vida misma de las personas físicas.

Así entonces, de acuerdo a las prácticas y a la legislación en materia de protección de datos personales, se puede decir que, en su mayoría, los avisos de privacidad que se ponen a la vista de los titulares, no cumplen a cabalidad con lo establecido en la legislación nacional e internacional, pues es de notar que los principios que más se están violando son, el principio de información, consentimiento, lealtad, proporcionalidad y finalidad.

Esto en relación a que, no se está informado de manera adecuada sobre el tratamiento de los datos personales, las transferencias internacionales de los mismos al usar tecnologías de cómputo en la nube; se están recolectando datos mediante cookies y otras tecnologías de Big Data sin el consentimiento de los titulares; no se está cumpliendo con lo que se ha informado en el aviso de privacidad; los datos que se están recolectando no son proporcionales a la finalidad para la cual se están recolectando, pues a manudo se recolectan más datos de los que se informan y se están tratando para finalidades que no han sido informadas. Tal es el caso de la creación de perfiles digitales para el envío de publicidad.

 

Reflexiones finales

A manera de conclusión, se puede decir que el derecho a la protección de datos personales en México, está garantizado constitucionalmente bajo el artículo 6°, 16° y 73° y legalmente con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. No obstante, la tecnología presenta un gran reto para la legislación, debido a que en los últimos años han surgido nuevos mecanismos de recolección y tratamiento de datos personales aplicados al sector empresarial.

Dichas tecnologías han vulnerado los derechos de la personalidad, derechos indispensables como condiciones fundamentales de su existencia y de su actividad ya que al hacer uso de la información que se genera en los dispositivos móviles, computadoras portátiles y de escritorio, así como de los historiales de navegación de Internet que se generan por las actividades diarias de los individuos en la red, se puede llegar a generar un perfil específico de las personas que vulnera la privacidad e intimidad.

Esto aunado al desconocimiento social de la existencia de este derecho, ha permitido que las grandes empresas aprovechen la tecnología para beneficios económicos, poniendo en segundo plano la privacidad de las personas.

No olvidemos que al usar la tecnología, nunca tenemos la certeza de que la información que estamos proporcionando sea almacenada en el país de residencia del titular, pues en muchas ocasiones los servicios de cómputo en la nube permite hacer uso de infraestructuras de cómputo que físicamente residen en otros países, lo que supondría la transferencia internacional de los datos personales, en cuyo caso, la Ley indica que se debe requerir el consentimiento expreso de la persona para poder transferir dicha información. Sin embargo, muchas empresas aún no están cumpliendo con este requisito y las personas por el desconocimiento, lo siguen permitiendo.

No obstante, la ley supone sanciones y penas por las omisiones de los responsables en detrimento de los derechos de los titulares. Por consiguiente, es importante que desde la academia se difunda este derecho en todas las ciencias, para que al insertarse en el campo laboral se tenga la noción general de los requerimientos que la Ley exige a los responsables y la importancia que este derecho tiene para la sociedad.

Aunado a lo anterior, la adhesión de México al Convenio 108, hace necesaria la observancia de lo que se establece en el reglamento europeo, por lo que es necesario adecuar los avisos de privacidad de las empresas, con la intención de garantizar que el tratamiento de los datos personales se hace con apego a los principios que rigen su tratamiento, y con ello, garantizar el respeto de los derechos humanos.

En general, la observación indica que las tecnologías de la información por si mismas, no son violatorias de los derechos humanos. Sin embargo, es necesario trabajar más fuertemente en la difusión e importancia de los derechos humanos, ya que parece que el problema radica más en aprovechar los beneficios de las tecnologías para el desarrollo económico, lo que se traduce en un hábito cultural de no respeto a los derechos de las personas, movido por la codicia de y la competencia desregulada en el mercado comercial.

  Licencia Creative Commons


Fuentes de Investigación

Bibliográficas

INAI. (2015). Principios y deberes en materia de Protección de Datos Personales. México: Espacio de Formación Multimodal. Obtenido de http://metabase.uaem.mx/bitstream/handle/123456789/2525/3%20Principios%20y%20deberes%20en%20materia%20de%20Proteccio%CC%81n%20de%20Datos%20Personales.pdf?sequence=1

INAI. (2016). Guía para cumplir con los principios y deberes de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. México. Obtenido de http://inicio.ifai.org.mx/Documento sdeInteres/Guia_obligaciones_ lfpdppp_junio2016.pdf

INAI. (s.f.). http://inicio.ifai.org.mx/. Obtenido de http://inicio.ifai.org.mx/SitePages/ Como-ejercer-tu-derecho-a-proteccion-de-datos.aspx?a=m1

NIST. (2013). NIST Cloud Computing Standards Roadmap. doi:http://dx.doi.org/ 10.6028/NIST.SP.500-291r2

 

Hemerográficas

Mendoza Enríquez, O. A. (enero - junio de 2018). Marco jurídico de la protección de datos personales en las empresas de servicios establecidas en México: desafíos y cumplimiento*. IUS, 12(41), 267 - 291. Obtenido de http://www.scielo.org.mx/ pdf/rius/v12n41/1870-2147-rius-12-41-267.pdf

Mendoza, J., & Fernández, C. (2016). Ciberidentidad y redes sociales. En .. Facultad de Ciencias Económicas y Sociales de la Universidad de Carabobo, Congreso internacional de investigación e innovación. Naguanagua, Venezuela. Obtenido de https://www.academia.edu/26239161/CIBERIDENTIDAD_Y_REDES_ SOCIALESSP.500-291r2.

Legislación

DOF. (01 de junio de 2009). Constitución Política de los Estados Unidos Mexicanos. Reforma. Obtenido de http://www.diputados.gob.mx/LeyesBiblio/ref/dof/ CPEUM_ref_187_01jun09.pdf

DOF. (05 de julio de 2010). Ley Federal de Protección de Datos Personales en Posesión de los Particulares. México. Obtenido de http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf

DOF. (11 de junio de 2002). Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental. Obtenido de http://www.diputados.gob.mx/LeyesBiblio/ abro/lftaipg/LFTAIPG_abro.pdf

DOUE. (27 de abril de 2016). Reglamento (UE) 216/679 del Parlamento Europeo y del Consejo. Relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales. Obtenido de https://www.boe.es/doue/2016/ 119/L00001-00088.pdf

ONU. (10 de diciembre de 1948). Declaración Universal de Derechos Humanos. Adoptada y proclamada por la Asamblea General en su resolución 217 A (III). Obtenido de https://www.ohchr.org/EN/UDHR/Documents/UDHR_Translations/ spn.pdf

  

Entradas más populares de este blog

Tratamiento Datos Personales en la Nube

El Derecho a la Información en el Ejercicio Periodístico en México: ¿Realidad o Ficción?