Tratamiento de Datos Personales en las Tecnologías de la Información
Autor: SUÁREZ-MUÑOZ, Flavio
Í N D
I C E
El derecho a
la protección de datos personales
Principios
que rigen el tratamiento de datos personales
Idoneidad de
los avisos de privacidad
Las
tecnologías de la información y comunicación han dado lugar a la concepción de
una sociedad más informada, una sociedad que se vislumbraba que utilizaría
estas tecnologías para mejorar su calidad de vida, esto es, la sociedad de
la información.
Lo
anterior ha sido consecuencia de la interconexión de dispositivos y objetos, lo
cual, desde un principio ha hecho notoria la necesidad de regular las
actividades que se realizan con estas tecnologías. Siendo así, la protección de
la vida privada de las personas uno de los puntos medulares que dieron origen
al derecho a la protección de datos personales que, en un sentido más amplio,
es un derecho que busca proteger la integridad física de las personas, así como
su patrimonio, honor, reputación y la propia imagen.
Así
entonces, desde los años 70s se crearon las primeras leyes, en Alemania, Suecia
y Estados Unidos, leyes que fueron retomadas como modelos en otros países. No
obstante, este derecho sigue siendo vulnerado por el uso desproporcionado de
las tecnologías de la información, lo que ha hecho necesario la adecuación de
las leyes para que, ante el uso de las tecnologías en busca del desarrollo de
la economía y el libre flujo de los datos, se protejan los derechos de las
personas, evitando el menoscabo de su patrimonio y la salvaguarda de su
integridad física.
Es
por ello que, resulta de interés analizar el Reglamento General de
Protección de Datos de la Comisión Europea y la Ley Federal de
Protección de Datos Personales en Posesión de los Particulares, así como
los avisos de privacidad de algunas empresas, para poder encontrar las
debilidades de las empresas en cuanto a los principios que rigen el tratamiento
de datos personales.
Encontrando
que la legislación mexicana y europea, son muy similares en contenido, no así,
en cuanto a los órganos de control, pues en el caso de Europa existe mayor
autonomía, lo que deriva también en un mayor cumplimiento de la ley en cuento a
la coerción que estos órganos realizan ante los responsables del tratamiento de
los datos personales
En
México, el INAI parece que no tiene la autonomía suficiente como para poder
proteger este derecho, pues se le encargó la aplicación de la ley en materia de
protección de datos personales, cuando en su creación había sido un órgano
encargado de proteger el derecho de acceso a la información pública, de acuerdo
a la ley vigente en ese momento. Siendo una adición la encomienda de la
protección de datos personales en posesión de los particulares, lo que deja en
duda la eficiencia de la protección de este derecho a la luz de los principios
que rigen el tratamiento de los mismos.
Por
tanto, los avisos de privacidad de las empresas carecen de información en
relación a las practicas que realizan respecto al tratamiento que hacen de la
información, las tecnologías de recolección suelen permitir obtener más
información de la necesaria para el cumplimiento de las finalidades, lo que
resulta violatorio no solo del principio de proporcionalidad, sino también, del
principio de información, lealtad, consentimiento y finalidad.
El derecho a la protección de datos personales
El
derecho a la protección de datos personales, es la respuesta a la proliferación
de las tecnologías de la información y comunicación, a partir de que las
computadoras comenzaron a tomar importancia para las empresas por las
capacidades para la recolección y procesamiento de información, y más aún con
la llegada del Internet en el año
1969, pues esta nueva tecnología permitiría que todas las personas que tuvieran
acceso a una computadora, podrían transferir información a cualquier parte del
mundo. Sin embargo, también podrían vulnerar los derechos que se habían
plasmado en la Declaración Universal de
los Derechos Humanos de 1948 (ONU,
1948).
Lo
anterior, dejó ver que estábamos ante una tecnología que si bien, incrementaría
el desarrollo económico al permitir hacer negocios con empresas de otras
naciones, gracias a la nueva forma de comunicación a distancia, además de
permitir concebir una sociedad mejor informada, también vislumbra un agujero
negro respecto a donde puede llegar a parar la información de las personas al
ser transmitida, lo cual, sin duda puede ser riesgoso para la salvaguarda de la
seguridad e integridad física de las mismas.
Respondiendo
a este nuevo reto, el estado de Land de Hesse en la República Federal de Alemania, se creó la primera ley sobre
protección de datos personales, misma que daría la pauta para la creación de
las próximas leyes que habrían de replicarse con sus respectivas adecuaciones a
lo largo y ancho del planeta, con sus excepciones, claro está. Así, varios años
más tarde México se suma a los países que cuentan con leyes sobre protección de
datos personales, bajo los principios generales que regulan su protección en el
mundo, con el objetivo de garantizar la protección de la privacidad ante el uso
de las tecnologías de la información y comunicación en la sociedad de la
información.
En México, el reconocimiento constitucional del
derecho a la protección de datos personales como un derecho humano, se
vislumbra desde la reforma al artículo 6° en julio de 2007. Sin embargo, aún
está regulado dentro del derecho de acceso a la información pública, pues en
este momento la única ley a la que se refiere la fracción II del mencionado
artículo constitucional, es la Ley Federal de Transparencia y Acceso a la
Información Pública Gubernamental (DOF, 2002), por lo que aún no se puede
considerar el derecho a la protección de datos personales como un derecho
autónomo.
Es importante mencionar que, aunque en México
hay algunas entidades federativas como Colima, Guanajuato, Oaxaca y México,
D.F., que antes de que existieran, la ley federal y general sobre protección de
datos personales, ya contaban con una ley específica para la protección de los
datos personales.
Sin embargo, a nivel federal, no es sino hasta
junio del año 2009 que el derecho a la protección de datos personales alcanza
su reconocimiento constitucional como un derecho humano autónomo, adicionando
en esta reforma al artículo 16° el texto que a continuación se presenta:
Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros (CPEUM, Reformada en 01 de junio de 2019, Art. 16°).
A
partir de esta reforma, ya con un reconocimiento constitucional, se puede decir
entonces que las personas cuentan con un nuevo derecho que les permite tener el
control de sus datos personales, y que este nuevo derecho otorga la libertad
para autodeterminarse, es decir, la libertad de decidir a quién le proporcionan
sus datos personales una vez le hayan sido informados los términos y
condiciones de su tratamiento, lo cual supone la previa información por parte
del responsable respecto al tratamiento de los mismos, las finalidades y la
seguridad con la que cuentan, de tal manera que el titular tenga los elementos
suficientes para que, de manera consiente, decida a quien y para qué
proporciona sus datos.
Así
entonces, la protección de datos personales supone una sana convivencia entre
la tecnología, el comercio y la protección de la privacidad e intimidad de las
personas, marcando límites, deberes y obligaciones en el tratamiento de datos
personales que, bajo libre consentimiento y aceptación debidamente informado,
los titulares, hayan proporcionado como requisito para realizar alguna
transacción comercial. A esta facultad para decidir sobre los datos personales,
se le ha denominado autodeterminación informativa.
Gracias
a ello, las personas pueden disponer de la información que de su persona exista
en los registros de bases de datos; ello, a fin de que dicha información sea
veraz, íntegra, actualizada, no intrusiva y con las garantías de seguridad
pertinentes conforme a la finalidad para la cual hayan sido recolectados.
Por
otra parte, el derecho a la protección de datos personales garantiza que,
aquellas promesas en cuanto al tratamiento de datos personales, se cumplan
conforme a lo convenido en el aviso de privacidad. Además de que, da las
facultades al titular para poder acceder a sus datos; rectificarlos en caso de
ser necesario, cancelarlos cuando así lo permita la relación contractual entre
el particular y el titular, así como la posibilidad de oponerse al tratamiento
de los datos personales en los términos establecidos por la Ley.
De
tal suerte que, el derecho a la protección de datos personales es un derecho
autónomo y abarca los derechos de acceso, rectificación, cancelación y
oposición, (Derechos ARCO). Así como también la autodeterminación informativa,
que en conjunto permiten al individuo tener el control de sus datos personales
y por ende, garantizar el respeto a su privacidad e intimidad. En resumen, el
derecho a la protección de datos personales se lee de la siguiente manera:
Es la facultad que otorga la Ley para que tú, como dueño de los datos personales, decidas a quién proporcionas tu información, cómo y para qué; este derecho te permite acceder, rectificar, cancelar y oponerte al tratamiento de tu información personal. Por sus iniciales, son conocidos comúnmente como derechos ARCO (INAI, s.f.).
También puedes visitar el Blog sobre Protección de Datos Personales en el Sector Público y Privado haciendo clic AQUÍ
Principios que rigen el tratamiento de datos personales
Los principios planteados en la Ley tienen como
objetivo que los responsables tengan una guía sobre los parámetros que deberán
cumplir en el proceso del tratamiento de los datos personales, con
ello se garantiza el respeto del derecho la protección de los datos personales,
a la intimidad e integridad física de las personas.
1.
Principio de licitud: El artículo 6 de la LFPDPPP, obliga al responsable a que
el tratamiento de los datos personales se haga conforme a los principios, con
apego a la legislación mexicana y al derecho internacional, así como respetando
los convenios, tratados o directivas en materia de protección de datos
personales de los que México sea parte, garantizando de esta manera el respeto
al derecho a la protección de datos personales.
2.
Principio de lealtad: Fundamentado en el artículo 7 de la LFPDPPP, este
principio está vinculado con el de licitud o principio de lealtad y legalidad
que obliga al responsable a que los datos recolectados se usen para finalidades
lícitas y legales, que no atenten
contra su titular ni contra terceros. Este principio supone la expectativa
razonable de que los datos recolectados serán tratados de manera lícita,
conforme a lo acordado y bajo los términos establecidos en el aviso de
privacidad, así como a no recabar datos personales con dolo, mala fe o para
beneficios personales. Esto dará a los titulares la confianza para depositar
sus datos personales con el responsable.
3.
Principio de consentimiento: Este principio encuentra su fundamento en los
artículos 8, 9 y 10 de la ya mencionada ley y tiene como finalidad que el
responsable no trate datos personales sin el consentimiento expreso o tácito
del titular y aun cuando se haya obtenido dicho consentimiento, el titular
podrá revocarlo mediante el ejercicio de los derechos ARCO, siempre y cuando no
exista relación jurídica contractual que lo impida.
Cabe
señalar que el consentimiento podrá ser recolectado en cualquiera de las tres
formas que la ley permite y según el tipo de datos de que se trate. Siendo
requisito el consentimiento tácito para el tratamiento de cualquier tipo de
dato personal, con excepción de los datos patrimoniales, financieros y
sensibles.
El
consentimiento expreso se divide en expreso, y expreso y por escrito, siendo
requisito el consentimiento expreso que puede ser de manera verbal, escrita o
mediante cualquier otro símbolo que haga suponer la aceptación de los términos
del tratamiento por el titular, para el tratamiento de datos financieros o
patrimoniales.
Sin
embargo, para el tratamiento de datos sensibles es requisito recolectar el
consentimiento expreso y por escrito manifestando la aceptación mediante firma,
huella dactilar o cualquier símbolo inequívoco que autentifique al titular, ya
que el tratamiento de los datos sensibles conlleva una responsabilidad mucho
más amplia por las consecuencias que el mal uso de los mismos podría ocasionar
al titular.
4.
Principio de calidad: Su fundamento se encuentra en el artículo 11 de la
LFPDPPP y hace referencia a que los datos que el responsable conserva sobre el
titular deben ser correctos, exactos y completos y estar actualizados según sea
necesario con respecto a los fines para los cuales se hayan recopilado. El
responsable también se obliga a cancelar los datos cuando estos hayan dejado de
ser necesarios, así como a eliminar información relativa al incumplimiento de
relaciones contractuales que propicien el menoscabo del honor, la honra o la
reputación del titular.
5.
Principio de finalidad: Se fundamenta en el artículo 12 de la LFPDPPP y tiene
como finalidad la manifestación esencial de la protección de la privacidad en
relación con el tratamiento de los datos personales, proporciona los elementos
necesarios al titular para que decida libremente si proporciona o no sus datos
personales al responsable, según las finalidades primaria y secundaria para la
cual serán recolectados, así como las medidas de seguridad implementadas para
garantizar la confidencialidad y seguridad de los datos.
6.
Principio de proporcionalidad: En el artículo 13 de la LFPDPPP, refiere que los
datos personales que se recolectan, deben ser proporcionales según lo exija la
relación con el titular y no deberán recolectarse más datos de los que resulten
adecuados y relevantes, en relación con las finalidades previstas en el aviso
de privacidad, de igual manera, supone el esfuerzo razonable del responsable
por limitar el uso de los datos sensibles al periodo mínimo indispensable para
el cumplimiento de la finalidad para la cual sean recolectados.
7.
Principio de responsabilidad: En el artículo 14 de la LFPDPPP especifica que el
responsable del tratamiento de los datos personales deberá asegurar el
cumplimiento de los principios, debiendo adoptar las medidas pertinentes para
su aplicación. Cuando el responsable haya nombrado algún encargado para que a
su nombre realice el tratamiento de los datos, seguirá siendo responsable de
velar por el cumplimiento de los principios y de la ley en general, pues las
sanciones derivadas del mal uso de los datos personales seguirán siendo
aplicables al responsable y no al encargado.
8.
Principio de información: Los artículos 15, 16, 17 y 18 de la mencionada ley,
son el fundamento del principio que obliga al responsable de los datos
personales a poner a disposición del titular el aviso de privacidad mediante el
cual se le informa, entre otros aspectos, qué datos personales se recolectan,
con qué finalidades, con quien los comparte y con qué medidas de seguridad
contarán dichos datos. Así el titular estará en condiciones para ejercer su derecho
a la autodeterminación informativa; decidiendo de manera informada si
proporciona sus datos personales al responsable.
De
los mismos principios se derivan deberes y obligaciones que permiten dar
cumplimiento a dichos principios de la protección de datos personales, ligando
los derechos con los principios, deberes y las obligaciones que la ley
establece como acciones mínimas necesarias para garantizar el derecho a la
protección de datos personales. Así entonces, el responsable tiene el deber re
garantizar la seguridad de los datos mediante la aplicación de medidas de
seguridad, así como mantener la confidencialidad, evitando que dichos datos
sean del conocimiento de personas no autorizadas.
Así
entonces, los principios delimitan la responsabilidad derivada del tratamiento
de los datos personales para la efectiva protección de la privacidad e
intimidad de las personas que han entregado los datos personales, establece la
necesidad de adoptad medidas de seguridad administrativas, técnicas y físicas
para garantizar la privacidad, integridad y seguridad de los datos personales y
supone las sanciones pertinentes en caso de que el responsable no cumpla con lo
informado en el aviso de privacidad, los deberes y obligaciones que el
tratamiento de datos personales deriva.
Obligaciones
El responsable se obliga a cumplir con las
obligaciones que responden al cumplimiento de todos los principios mencionados,
además de obligar vía el artículo 19 a que el responsable adopte “medidas de
seguridad administrativas, técnicas y físicas […], [así como las medidas de
seguridad pertinentes para garantizar la confidencialidad, integridad de los
datos de los titulares] contra
daño, pérdida, alteración, destrucción o el uso, acceso o
tratamiento no autorizado” (DOF, 2010, p. 6).
Consecuentemente,
el responsable se obliga a actuar de manera lícita, ética y a tratar los datos
solo para cumplir con la relación jurídica que exista entre el titular y el
responsable y no deberá utilizar dicha información para beneficio propio, ni
para finalidades secundarias que no se hayan dado a conocer al titular de los
datos personales mediante el aviso de privacidad.
Así,
la finalidad de las obligaciones relacionadas a cada uno de los principios, es
que el titular cuente con la información necesaria para poder decidir sobre su
información y a quien se la proporciona, con pleno conocimiento de las
finalidades para la que su información es recolectada y con la garantía de que
sus datos no serán utilizados en detrimento de su patrimonio, honor, dignidad,
reputación o su propia imagen.
Los
responsables del tratamiento de los datos personales, al recolectar información
de los titulares deben implementar acciones que permitan garantizar el respeto
del derecho a la protección de datos personales. Por lo que, además de cumplir
con cada uno de los principios de la protección de datos personales, es
necesario que se cumpla con los deberes de confidencialidad y de seguridad de
los mismos.
Deber de confidencialidad de los datos personales
El
responsable de los datos personales tiene el deber de garantizar que los datos
personales permanecen en secrecía para terceras personas que no son parte del
proceso en el que son tratados los datos personales; este deber se puede
relacionar con el secreto profesional, ya que son datos personales que se
obtienen para cumplir con una finalidad concreta y todo uso fuera de esa
finalidad supone una sanción para el responsable.
Por
otro lado, el acceso a los sistemas informáticos pone en riesgo toda la información
que en ellos se encuentre almacenada, sin distinguir entre información
actualizada, información cancelada (oculta) o datos sensibles. De tal manera
que el deber de confidencialidad, obliga al responsable a vigilar la seguridad
de los sistemas informáticos para garantizar la confidencialidad, aun cuando ya
no exista relación jurídica entre el titular y el responsable.
En
caso de que el responsable haya contratado a un tercero como encargado de los
datos personales, debe de cerciorarse de que los datos personales cuentan con
las medidas tecnológicas necesarias para garantizar su seguridad, impidiendo
que sean tratados por terceros ajenos al responsable o a quienes éste haya
designado.
Este
deber tiene como fundamento el artículo 21 y su objetivo es evitar daños al
titular de los datos personales, ya que, de no ser así, cualquier persona
podría tener acceso a los datos personales y una vez teniendo el conocimiento
de donde localizar a una persona, poder realizar algún acto delictivo en su
contra. “[…] A tal fin, es conveniente que el responsable adopte e implemente
tanto una política de confidencialidad como otras medidas, tales como contratos
o cláusulas contractuales a firmar con quienes intervengan en el tratamiento de
datos personales” […]
También
es necesario hacerse las siguientes preguntas para verificar la efectividad de
la protección de los datos personales:
¿Tiene implementadas
medidas para garantizar la confidencialidad de los datos personales que trata;
¿Se asegura de que sus empleados, encargados o terceros guarden
confidencialidad respecto de los datos personales a los que tienen acceso? y
¿Prevé sanciones en caso de incumplimiento del deber de confidencialidad?
(INAI, 2016, p. 69).
Deber de seguridad de los
datos personales
En el
artículo 19 y 20 se establece el deber de confidencialidad, que hace necesaria
la implementación de medidas de seguridad, así como el deber de informar a los
titulares de los datos personales cuando exista alguna vulneración que pueda
poner en riesgo los derechos patrimoniales o morales de la persona, pues el
responsable del tratamiento de los datos personales, mediante este deber, está
obligado a implementar mecanismos de seguridad para mantener en secrecía la
información, dichas medidas de seguridad deberán responder a las necesidades
del análisis de riesgo de los datos, para que el costo de su protección, no
resulte más costosa que los bienes a proteger.
Además,
en relación a la seguridad de los datos personales, las empresas – los
responsables – tienen el deber de dar aviso a los titulares cuando los sistemas
electrónicos, es decir, donde se almacenan los datos personales, hayan sido
vulnerados, con la intención de que el titular pueda tomar precauciones que
puedan afectar su patrimonio o su seguridad
La protección de datos personales en el
Reglamento General de Protección de Datos de la Comisión de Europa
En el citado documento se
establece que “[…] El Derecho de la Unión o de los Estados miembros debe
establecer medidas específicas y adecuadas para proteger los derechos
fundamentales y los datos personales de las personas físicas”
El mencionado reglamento en su capítulo II,
relativo a los principios, establece que los datos personales deberán ser
tratados bajos los principios de: a) licitud, lealtad y transparencia; b)
limitación de la finalidad; c) minimización de datos; d) exactitud; e)
limitación del plazo de conservación; f) integridad y confidencialidad y además el
responsable deberá demostrar su capacidad para el tratamiento de los mismas
bajos los principios mencionados, lo que se denominó “responsabilidad
proactiva”,
Podemos
decir que, respecto a la legislación mexicana, los principios no distan mucho
unos de los otros, pues mientras que en el reglamento europeo se manejan 6
principios, en México se habla de 8 principios, de los cuales ya hablamos con
anterioridad. No obstante, podemos observar algunas diferencias.
La
primer diferencia que podemos mencionar es respecto a la transparencia, en la
ley mexicana no se contempla la transparencia en relación al titular, lo que me
parece que es un avance del reglamento, pues la transparencia es un elemento de
suma importancia, ya que si existe un tratamiento de lícito y leal, no debe darse
un tratamiento fuera de las finalidades que se hayan informado al titular, por
lo tanto podría hablarse de que el tema de la transparencia no debería ser un
tabú y que en todo momento el titular deberá estar informado de los sucesos
importantes en relación a sus datos personales.
Por
otro lado, el principio de finalidad que se relaciona con el de limitación de
la finalidad del reglamento europeo, agrega los supuestos en los cuales los
datos personales podrán ser tratados fuera de las finalidades para la cual
hayan sido recolectados, a saber, “el tratamiento ulterior de los datos
personales con fines de archivo en interés público, fines de investigación
científica e histórica o fines estadísticos no se considerará incompatible con
los fines iniciales”
De
igual manera, es de interés notar las diferencias en cuanto a la los precios de
limitación del plazo de conservación y la seguridad y confidencialidad, pues en
la legislación mexicana no se contempla el principio del plazo de conservación,
solo se entiende que, una vez cumplida la finalidad, estos deberán ser
eliminados, cosa que parece que no sucede así en la práctica.
Por
su parte, la seguridad y la confidencialidad son uno más de los principios, lo
que los hace aplicables no como un deber u obligación, sino, deben ser parte de
la cultura del tratamiento de datos personales, debe ser algo que rija la
conducta de los responsables en torno al manejo de información inherente a las
personas
En
cuanto a la responsabilidad proactiva, el reglamento menciona que el
responsable debe ser capaz de cumplir con los principios establecidos y además
debe poder demostrarlo. Esto también implica que la proactividad lo mantenga en
un ciclo de mejora constante en relación a la confidencialidad de los datos
personales, es decir, debe buscar siempre garantizar la seguridad de los mismos
para evitar que puedan ser de conocimiento o apropiado por terceros que no
estén autorizados por el responsable y que, por ende, o estarían sujetos a los
principios mencionados anteriormente.
En
relación con la legislación mexicana y de acuerdo a los principios que regulan
el tratamiento de los datos personales, parece que la legislación mexicana
cumple con los mismos principios establecidos en el reglamento europeo. Donde
parece que existe una disparidad es en los instrumentos, mecanismos y derechos
de los titulares, así como en los órganos de control, pues en México, el INAI
parece que no tiene las facultades necesarias para garantizar este derecho a la
sociedad, quizá debido a que en su creación no estaba pensado para garantizar
este derecho, el cual fue un agregado como resultado de la reforma al artículo
16°, cuando se reconoce como un derecho humanos la protección de los datos
personales y se tenía que designar a alguna autoridad su protección.
Contrario
a Europa, donde los órganos de control tienen mayor autonomía, facultades y una
legislación más adecuada para la protección de los derechos humanos. Es de
notar que, al hacer referencia a la sociedad de la información, resulta
entendible que se dé una mayor protección de los derechos de los niños,
contemplados todos los menores de 16 años, pues al ser una sociedad cada vez
más conectada, los niños ya adolescentes son un sector vulnerable del cual solo
se podrán tratar los datos personales mediante consentimiento de quien ejerza
la patria potestad.
Cabe
señalar que, no siempre se requiere el consentimiento de los titulares para
poder hacer recolección de datos personales, a excepción de las limitantes que
el mismo reglamento establece respecto a los niños, así como a los datos
“sensibles”, pues en caso de los datos de identificación personal, menciona que
el responsable podrá integrarlos a algún fichero siempre y cuando se apegue a
los principios del reglamento, mientras que el artículo 9, menciona las
restricciones del tratamiento de categorías especiales de datos personales,
entendiendo que estos datos solo podrán ser tratados bajo consentimiento
expreso de sus titulares.
Idoneidad de los avisos de privacidad
Bajo los
principios, tanto de la ley mexicana como del reglamento europeo, podemos
observar que los avisos de privacidad de las empresas, a menudo no están
informando de manera adecuada sobre el tratamiento de los mismos. Además, el
uso de las tecnologías como lo es el cómputo en la nube o el uso de los beacons
y las cookies, puede dar lugar al tratamiento de los datos personales que, de
acuerdo al reglamento, solo podrían ser tratados bajo el consentimiento tácito
y por escrito de su titular.
Solo
a manera de enunciar algunos de los casos en los que se estaría violando este
derecho por el uso de las tecnologías de la información, son: el uso de
tecnologías de “cómputo en la nube”
En
ese sentido los elementos que conforman nuestra huella digital, según la
Internet Society (2014), son:
“[..]
los rastros que dejamos al utilizar Internet. Comentarios en redes sociales,
llamadas de Skype, el uso de aplicaciones, registros de correo electrónico –
todo esto forma parte de nuestro historial en línea y, potencialmente, puede
ser visto por otras personas o almacenado en una base de datos.
En
consecuencia, la huella digital “te pinta como persona”. Si se presta atención,
las huellas explícitas que se dejan cada vez que se participa en una
conversación en internet, saltan a la vista. Por ejemplo, si se tuitea que se
acaba de llegar a Sídney y que la puesta de sol es espectacular, ambas
afirmaciones revelan de forma bastante explícita dónde se está y qué hora es
(suponiendo que los tuits digan la verdad) (Mendoza y Fernández, 2016, p. 6).
Respecto
al flujo transfronterizo de datos personales, parece que en los avisos de
privacidad no se está dando a conocer dicho suceso cuando así lo supone el
tratamiento de los datos, pues si bien es cierto que el reglamento europeo
busca propiciar el flujo de datos para el desarrollo económico, este se debe
hacer bajo los principios establecidos en dicho reglamento. No siendo necesario
el consentimiento del titular cuando el Estado sea miembro de la UE o en su
caso cuando haya algún convenio firmado con el país de destino.
No
obstante, si se trata de un país con el cual no haya un convenio firmado, se
deberá requerir el consentimiento del titular para poder realizar la
transferencia de los datos, es decir que se puedan tratar datos de personas de
otros países o que se puedan almacenar dato de personas en otros pises. Este es
el supuesto de la contratación de servicios de cómputo en la nube con grandes
empresas tecnológicas como son Google, Amazon, Salesforce, por mencionar
algunas.
Pues
cuando se almacena la información de los titulares en uno de los servidores de
las empresas mencionadas, se supone que los datos personales están siendo
almacenados en Estados Unidos, al menos es lo que se supone, aunque en la
realidad no se tiene la certeza de que así sea. En cuyo caso, si se almacena en
Estados Unidos, el aviso de privacidad de la empresa que se encuentra en el
territorio mexicano, debería informar a los titulares sobre dicha transferencia
de datos a un territorio extranjero.
Esto
es inevitable debido al avance de las tecnologías de la información. Sin
embargo, al hacer esto, se puede estar vulnerando el derecho a la
autodeterminación informativa, al no permitir al titular decidir de manera
informada sobre el paradero de sus datos personales. Es importante señalar que
esto no debe ser una limitante para el desarrollo de la economía, por ello es
que se ha planteado en el reglamento europeo que se deben crear las condiciones
propicias para el flujo transfronterizo de datos, sean personales o no, con la
intención de permitir que exista el comercio internacional mediante las
tecnologías de la información, cuidando únicamente de no violar los derechos de
los titulares y en todo momento apegarse a los principios que se han
establecido.
De
tal manera que, como ya se mencionó anteriormente, uno de los principios que
rigen el tratamiento de los datos personales, es la integridad y
confidencialidad, por lo que las acciones que deben emprenderse ante el uso de
las tecnologías de la información, deberán velar por que los datos permanezcan
almacenados de manera segura y confidencial, mientras que los otros principios
deberán cumplirse para no violar el derecho a la protección de datos personales,
teniendo siempre en cuenta que lo que se busca proteger, es la dignidad, honor y
la vida misma de las personas físicas.
Así
entonces, de acuerdo a las prácticas y a la legislación en materia de
protección de datos personales, se puede decir que, en su mayoría, los avisos
de privacidad que se ponen a la vista de los titulares, no cumplen a cabalidad
con lo establecido en la legislación nacional e internacional, pues es de notar
que los principios que más se están violando son, el principio de información,
consentimiento, lealtad, proporcionalidad y finalidad.
Esto
en relación a que, no se está informado de manera adecuada sobre el tratamiento
de los datos personales, las transferencias internacionales de los mismos al
usar tecnologías de cómputo en la nube; se están recolectando datos mediante cookies
y otras tecnologías de Big Data sin el consentimiento de los titulares; no
se está cumpliendo con lo que se ha informado en el aviso de privacidad; los
datos que se están recolectando no son proporcionales a la finalidad para la
cual se están recolectando, pues a manudo se recolectan más datos de los que se
informan y se están tratando para finalidades que no han sido informadas. Tal
es el caso de la creación de perfiles digitales para el envío de publicidad.
Reflexiones finales
A manera de conclusión, se puede decir que el derecho a la
protección de datos personales en México, está garantizado constitucionalmente
bajo el artículo 6°, 16° y 73° y legalmente con la Ley Federal de Protección
de Datos Personales en Posesión de los Particulares. No obstante, la
tecnología presenta un gran reto para la legislación, debido a que en los
últimos años han surgido nuevos mecanismos de recolección y tratamiento de
datos personales aplicados al sector empresarial.
Dichas tecnologías han vulnerado
los derechos de la personalidad, derechos indispensables como condiciones
fundamentales de su existencia y de su actividad ya que al hacer uso de la
información que se genera en los dispositivos móviles, computadoras portátiles
y de escritorio, así como de los historiales de navegación de Internet que se generan por las
actividades diarias de los individuos en la red, se puede llegar a generar un
perfil específico de las personas que vulnera la privacidad e intimidad.
Esto aunado al desconocimiento
social de la existencia de este derecho, ha permitido que las grandes empresas
aprovechen la tecnología para beneficios económicos, poniendo en segundo plano
la privacidad de las personas.
No olvidemos que al usar la
tecnología, nunca tenemos la certeza de que la información que estamos
proporcionando sea almacenada en el país de residencia del titular, pues en
muchas ocasiones los servicios de cómputo en la nube permite hacer uso de
infraestructuras de cómputo que físicamente residen en otros países, lo que
supondría la transferencia internacional de los datos personales, en cuyo caso,
la Ley indica que se debe requerir el consentimiento expreso de la persona para
poder transferir dicha información. Sin embargo, muchas empresas aún no están
cumpliendo con este requisito y las personas por el desconocimiento, lo siguen
permitiendo.
No
obstante, la ley supone sanciones y penas por las omisiones de los responsables
en detrimento de los derechos de los titulares. Por consiguiente, es importante
que desde la academia se difunda este derecho en todas las ciencias, para que
al insertarse en el campo laboral se tenga la noción general de los
requerimientos que la Ley exige a los responsables y la importancia que este
derecho tiene para la sociedad.
Aunado a lo
anterior, la adhesión de México al Convenio 108, hace necesaria la
observancia de lo que se establece en el reglamento europeo, por lo que es
necesario adecuar los avisos de privacidad de las empresas, con la intención de
garantizar que el tratamiento de los datos personales se hace con apego a los
principios que rigen su tratamiento, y con ello, garantizar el respeto de los
derechos humanos.
En general,
la observación indica que las tecnologías de la información por si mismas, no
son violatorias de los derechos humanos. Sin embargo, es necesario trabajar más
fuertemente en la difusión e importancia de los derechos humanos, ya que parece
que el problema radica más en aprovechar los beneficios de las tecnologías para
el desarrollo económico, lo que se traduce en un hábito cultural de no respeto
a los derechos de las personas, movido por la codicia de y la competencia
desregulada en el mercado comercial.
Fuentes de
Investigación
Bibliográficas
INAI. (2015). Principios y deberes en materia
de Protección de Datos Personales. México: Espacio de Formación Multimodal.
Obtenido de
http://metabase.uaem.mx/bitstream/handle/123456789/2525/3%20Principios%20y%20deberes%20en%20materia%20de%20Proteccio%CC%81n%20de%20Datos%20Personales.pdf?sequence=1
INAI. (2016). Guía para cumplir con los
principios y deberes de la Ley Federal de Protección de Datos Personales en
Posesión de los Particulares. México. Obtenido de
http://inicio.ifai.org.mx/Documento sdeInteres/Guia_obligaciones_ lfpdppp_junio2016.pdf
INAI. (s.f.).
http://inicio.ifai.org.mx/. Obtenido de http://inicio.ifai.org.mx/SitePages/
Como-ejercer-tu-derecho-a-proteccion-de-datos.aspx?a=m1
NIST. (2013). NIST
Cloud Computing Standards Roadmap. doi:http://dx.doi.org/ 10.6028/NIST.SP.500-291r2
Hemerográficas
Mendoza Enríquez, O. A. (enero - junio de
2018). Marco jurídico de la protección de datos personales en las empresas de
servicios establecidas en México: desafíos y cumplimiento*. IUS, 12(41), 267 -
291. Obtenido de http://www.scielo.org.mx/ pdf/rius/v12n41/1870-2147-rius-12-41-267.pdf
Mendoza, J., & Fernández, C. (2016). Ciberidentidad y redes sociales. En .. Facultad de Ciencias Económicas y Sociales de la Universidad de Carabobo, Congreso internacional de investigación e innovación. Naguanagua, Venezuela. Obtenido de https://www.academia.edu/26239161/CIBERIDENTIDAD_Y_REDES_ SOCIALESSP.500-291r2.
Legislación
DOF. (01 de junio de 2009). Constitución
Política de los Estados Unidos Mexicanos. Reforma. Obtenido de
http://www.diputados.gob.mx/LeyesBiblio/ref/dof/ CPEUM_ref_187_01jun09.pdf
DOF. (05 de julio de 2010). Ley Federal de
Protección de Datos Personales en Posesión de los Particulares. México.
Obtenido de http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf
DOF. (11 de junio de 2002). Ley Federal de Transparencia
y Acceso a la Información Pública Gubernamental. Obtenido de
http://www.diputados.gob.mx/LeyesBiblio/ abro/lftaipg/LFTAIPG_abro.pdf
DOUE. (27 de abril de 2016). Reglamento (UE)
216/679 del Parlamento Europeo y del Consejo. Relativo a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales.
Obtenido de https://www.boe.es/doue/2016/ 119/L00001-00088.pdf
ONU. (10 de diciembre de 1948). Declaración
Universal de Derechos Humanos. Adoptada y proclamada por la Asamblea General en
su resolución 217 A (III). Obtenido de
https://www.ohchr.org/EN/UDHR/Documents/UDHR_Translations/ spn.pdf