Actualmente es evidente que ciertas corporaciones han tenido un crecimiento exponencial gracias a un nuevo producto, cuya importancia va aumentando día a día, los datos personales y la información en general. Hace un siglo el recurso vital era el petróleo y pese a que este sigue siendo esencial en nuestra vida cotidiana, es innegable que los gigantes comerciales que lidian con los datos son las refinerías actuales y los datos son el petróleo de la era digital.
Son pocas las personas que viven sin el buscador de Google, las compras de Amazon, la música de Spotify, los estatus sociales de Facebook, las fotos de Instagram o las sugerencias de Pinterest. Los dueños de estas adquieren cada vez mayor presencia, de acuerdo con The Economist, las ganancias de todas ellas han alcanzado más de 25 billones de dólares en el primer cuatrimestre de 2017; la mitad de los dólares que se gastan en Internet terminan en Amazon y el año pasado Facebook y Google acumularon millones por publicidad en línea.
Todo el tiempo surgen nuevas aplicaciones que tienen recepción inmediata en el mercado, pues ofrecen características peculiares atractivas para los usuarios, una de las últimas innovadoras en ello fue Snapchat. Sin embargo, aplicaciones anteriores no han recurrido a la inventiva sino al copiado para subsistir como es el caso de Instagram que con cada actualización absorbe ideas de otras aplicaciones. La competencia desleal también se hace presente en el mundo digital.
Los conocidos smartphones e Internet han hecho que los datos abunden, sea ubicuos y además mucho más valiosos. Sin importar donde se encuentre la persona, ya sea corriendo en un parque, en su casa viendo la televisión, trabajando en la oficina o sentado en un vehículo a mitad del tráfico, virtualmente todas esas actividades van generando un trazo digital y más material electrónico.
Desde relojes hasta coches, todos aquellos dispositivos que se conectan a Internet producen una gran cantidad de datos que son transmitidos cada minuto. El desarrollo de inteligencia artificial con máquinas que aprenden con base en la información obtenida de patrones de conducta humanos ha vuelto a los datos un recurso cada vez más redituable; ciertos algoritmos pueden predecir lo que ciertos clientes o usuarios desean comprar, desde sus necesidades como pasajero en un vuelo trasatlántico hasta algunas enfermedades degenerativas que pudiese padecer. A raíz de ello, muchas empresas ahora se promocionan como corporaciones digitales.
Situaciones como esta conllevan a que los datos y la información abunden y por ello las reglas de competencia se modifiquen; la tecnología siempre se ha beneficiado de los efectos del establecimiento de ciertas redes, en este caso las redes sociales como lo es Facebook, tienen ganancias mientras más usuarios se incorporan a su portal.
Empresas como las mencionadas anteriormente han ocupado prácticamente todo el mercado digital y el poseer la información es su principal herramienta, Google sabe lo que la gente busca, Facebook lo que se comparte, Amazon sus compras más recurrentes, Instagram sus fotos preferidas, Spotify su música favorita.
Corporaciones como Apple y Google tienen tiendas de aplicaciones y rentan su espacio para empresas que recién empiezan y buscan adquirir presencia para sobrevivir. Cuentan con un poder considerable con eso, ya que pueden conocer cuando un nuevo producto o servicio atrae al público, lo que les permite copiarlo o simplemente adquirirlo antes de que su precio sea mayor. Facebook lo hizo con Whatsapp e Instagram, sus intentos con Snapchat y Pinterest han resultado infructuosos pero ha logrado desplazarlos en gran medida de su mercado copiando sus propios servicios. Cuando la red social de Mark Zuckerberg adquirió Whatsapp en 2014 por poco más de 22 billones de dólares, esta solamente contaba con 60 empleados, pero fue una forma de eliminar rivales potenciales en el tema de mensajería. Para analizar el caso de Instagram vs Snapchat lo invitamos a escanear el código QR que aparece en este apartado.
La calidad de la información también se ha modificado, estas empresas ya no son meros puntos de información digital, son bases de datos con información privilegiada, pues tienen nombres y datos personales bien definidos como la edad, el sexo o el estado de cuenta bancario de las personas.
Se ha desatado un cambio, la nueva economía es más analítica, ya que en tiempo real estudia el flujo de información obtenida, como lo son las fotografías y vídeos generados publicados en redes sociales o la ubicación de individuos que están localizados en el tráfico.
Inicialmente, Facebook y Google recolectaban los datos de sus usuarios para atender la publicidad de la mejor manera, pero desde hace un par de años descubrieron que esa información es un negocio per se.
Como se señaló anteriormente, estas empresas siempre están buscando nuevos campos de oportunidad y en la obtención de información se han especializado, por ejemplo, Facebook mediante el empleo de sus algoritmos ha logrado identificar a personas en una fotografía, con un 98 % de efectividad.
Por otra parte, Uber es otra empresa que ha conseguido los reflectores mundiales, independientemente del servicio de transporte que realiza, porque como firma tiene un valor estimado de 68 billones de dólares y eso se debe a que tiene en sus arcas la mayor base datos sobre conductores y pasajeros en lo que se refiere al servicio de transporte en el mundo.
La naturaleza intrínseca de los datos hace que los remedios antimonopólicos del pasado sean poco útiles y la legislación hasta el momento no ofrece muchas soluciones al respecto. Algunas personas exigen mayor transparencia a estas compañías, para que estén forzadas a revelar qué información tienen en su poder y cuánto dinero adquieren por ello. Los gobiernos podrían tomar la batuta en esto y facilitar el acceso a ciertos datos.
La información digital es preciada a un nivel incomparable en la actualidad y ha cambiado las reglas del mercado, por ello requiere un marco regulatorio efectivo. En nuestro país tenemos dos legislaciones en la materia, una es la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) y la otra es la reciente Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO); adicionalmente al hecho de que existe el Instituto Nacional de Transparencia y Acceso a la Información (INAI).
Particulares
Las empresas y organizaciones privadas deben cambiar la forma en la que recaban los datos personales de sus clientes, socios y empleados, a fin de evitar multas millonarias que pueden imponerse si no se acata lo dispuesto en la LFPDPPP.
Esta normativa establece nuevos criterios para administrar, almacenar y compartir los datos personales de personas físicas, y su incumplimiento puede culminar en multas de hasta 40 millones de pesos o penas de prisión de hasta 10 años.
También es destacable que este ordenamiento define como datos personales, cualquier información concerniente a una persona física identificada o identificable. Por otra parte, al referir datos personales sensibles se detalla que son aquellos que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para este; en concreto, aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.
Se precisa que los responsables en el tratamiento de datos personales, deberán observar los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad.
Resalta que para el tratamiento de los datos es fundamental el consentimiento de la persona. Sin embargo, no será cuando:
- así este previsto dentro de algun ordenamiento
- los datos figuren en fuentes de acceso público
- los datos personales se sometan a un procedimiento previo de disociación
- tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable
- exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes
- sean indispensables para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la Ley General de Salud y demás disposiciones jurídicas aplicables y que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente, o
- se dicte resolución de autoridad competente
El objetivo de esta ley no es entorpecer el comercio ni poner trabas innecesarias al uso genuino de la información, de hecho las empresas podrán utilizar los datos de sus clientes siempre que cumplan con lo que ordena la norma.
La base para el ejercicio de esta es el documento conocido como Aviso de Privacidad, el cual contiene un texto que puede publicarse físicamente o por medio de sitios de Internet, y que presume el acuerdo entre quien recaba la información y aquel que proporciona sus datos.
El Aviso en sí es definido como el documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales.
Dicho documento que debe ponerse a disposición ya sea en medios impresos, digitales, visuales o sonoros, deberá contener al menos, la siguiente información:
- la identidad y domicilio del responsable que los recaba
- las finalidades del tratamiento de datos
- las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos
- los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición, de conformidad con lo dispuesto en la LFPDPPP
- en su caso, las transferencias de datos que se efectúen, y
- el procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad, de conformidad con lo previsto
En el supuesto de datos personales sensibles, el aviso de privacidad deberá señalar expresamente que se trata de este tipo de datos.
Pese a que cada compañía determina las medidas de protección, existen requerimientos específicos para la realización de un análisis de riesgo, inventario de bases de datos, políticas y procedimientos, adicionalmente a la definición de roles en la protección, entrenamiento y verificación de dichas medidas.
Por ello las empresas, independientemente de su tamaño o giro, deben conocer las responsabilidades que les asigna la LFPDPPP; debido a esto se recomienda acudir con una firma de asesoría especializada o solventar cualquier duda acudiendo de forma directa por atención con el personal del INAI.
Sujetos Obligados
En el DOF del 26 de enero de 2017 se publicó la LGPDPPSO, la cual establece las bases, principios y procedimientos para garantizar el derecho a la protección de datos personales, y señala como sujetos obligados a cualquier autoridad en el ámbito federal, estatal y municipal, entidad, órgano y organismo de los poderes ejecutivo, legislativo y judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos.
Por lo que hace a los sindicatos y a cualquier otra persona física o moral que reciba y ejerza recursos públicos o realice actos de autoridad en cualquier ámbito, serán responsables de los datos personales, de conformidad con la normatividad aplicable para la protección de datos personales en posesión de particulares. En todos los demás supuestos diferentes, las personas físicas y morales se sujetarán a lo previsto en la LFPDPPP.
Los responsables deberán mantener medidas de seguridad para proteger los datos personales que posean contra cualquier daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, así como garantizar confidencialidad, integridad y disponibilidad.
Dentro de sus objetivos está el distribuir competencias entre los organismos garantes federales y los de las entidades; establecer las bases mínimas y condiciones homogéneas que regirán el tratamiento de los datos personales y el ejercicio de los derechos de acceso, rectificación, cancelación y oposición (ARCO); regular la organización y operación del Sistema Nacional de Transparencia y Acceso a la Información y Protección de Datos Personales; garantizar la observancia de los principios de protección de datos personales; proteger aquellos en posesión de cualquier autoridad, entidad, órgano y organismo; promover, fomentar y difundir una cultura de protección de datos personales; regular los medios de impugnación y procedimientos para la interposición de acciones de inconstitucionalidad y controversias constitucionales por parte de los organismos garantes locales y federales; entre otros.
Se define a los datos personales como cualquier información relativa a una persona física identificada o identificable, considerada esta última cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información. Igualmente, se detalla que son datos sensibles los que se refieren a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para este; siendo sensibles los que puedan revelar aspectos como el origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas o morales, opiniones políticas y preferencias sexuales.
Es vital resaltar la introducción de la evaluación de impacto en la protección de datos personales, que es el documento mediante el cual los sujetos obligados que pretendan poner en operación o modificar políticas públicas, programas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento intensivo o relevante de datos personales, valoran los impactos reales respecto de determinado tratamiento de datos personales, a efecto de identificar y mitigar posibles riesgos relacionados con los principios, deberes y derechos de los titulares, incluso los deberes de los responsables y encargados.
Este ordenamiento es aplicable a cualquier tratamiento de datos personales que obren en soportes físicos o electrónicos, con independencia de la forma o modalidad de su creación, tipo de soporte, procedimiento, almacenamiento y organización.
Son consideradas fuentes de acceso público las páginas de Internet o medios remotos o locales de comunicación electrónica, óptica y de otra tecnología, siempre que el sitio donde se encuentren los datos personales esté concebido para facilitar información al público y esté abierto a la consulta general; los directorios telefónicos; los diarios, las gacetas o los boletines oficiales; los medios de comunicación social y los registros públicos.
Este ordenamiento detalla que el Estado garantizará la privacidad de los individuos y deberá velar porque terceras personas no incurran en conductas que puedan afectar arbitrariamente, siendo limitado el derecho a la protección de datos personales solamente por razones de seguridad nacional.
Aunado a lo anterior, esta ley contempla que el Sistema Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales deberá emitir el Programa Nacional de Protección de Datos Personales a más tardar el 27 de enero de 2018; los principios y deberes a cumplir; los derechos ARCO y su ejercicio; la relación responsable y encargado; las comunicaciones de datos personales; las acciones preventivas en materia de protección; las funciones de los organismos garantes como el INAI; los procedimientos de impugnación; las medidas de apremio y responsabilidades.
Finalmente, se aclara que a falta de disposición expresa se aplicarán de manera supletoria el Código Federal de Procedimientos Civiles y la Ley Federal de Procedimiento Administrativo. También se establece que la Ley Federal de Transparencia y Acceso a la Información Pública, las demás leyes federales y vigentes de las entidades federativas en materia de protección de datos personales, deberán ajustarse a las disposiciones previstas en un plazo de seis meses a partir del 27 de enero de 2017 (fecha de su vigencia).
Recurso de revisión en materia de datos personales
Recientemente se publicó en el DOF del pasado 12 de junio el acuerdo mediante el cual se aprueban los Lineamientos para la recepción, sustanciación y resolución de los recursos de revisión en materia de datos personales, interpuestos ante el INAI, que parten del contenido de la LGPDPPSO; estas reglas entraron en vigor desde el 13 de junio de 2017. Tienen por objeto establecer el procedimiento para la recepción, tramitación y resolución de dichos medios procesales.
Todo ello en términos de lo previsto en la LGPDPPSO. Los lineamientos son de observancia obligatoria para el titular, responsable de carácter federal y, en su caso, tercero interesado, así como para todas aquellas unidades administrativas del INAI que sean competentes para intervenir en el procedimiento de sustanciación de los recursos de revisión.
Fijan los tipos de notificaciones que realizará el INAI, las cuales pueden ser personales, por correo certificado, correo postal o electrónico y por estrados. Establecen las reglas generales para el ofrecimiento de pruebas.
Conforme a lo previsto en el artículo 103 de la LGPDPPSO, el titular o su representante podrán interponer el recurso de revisión ante el INAI, o bien, ante la Unidad de Transparencia del responsable que tuvo conocimiento de la solicitud para el ejercicio de los derechos ARCO, dentro de los 15 días contados a partir del siguiente a la fecha de la notificación de la respuesta del responsable.
El titular podrá acreditar su identidad a través de alguno de los siguientes medios:
- identificación oficial
- e.firma o el instrumento electrónico que lo sustituya, o
- Dentro de los requisitos del escrito de recurso de revisión están los siguientes:
- denominación del responsable ante el cual se presentó la solicitud para el ejercicio de los derechos ARCO
- nombre completo del titular y, en su caso, el de su representante, además de su domicilio o cualquier otro medio para recibir notificaciones
- nombre completo del tercero interesado, en su caso
- fecha en que le fue notificada la respuesta del responsable, o en caso de falta de respuesta de este la fecha de la presentación de la solicitud para el ejercicio de los derechos ARCO, y
- el acto que se recurre y los puntos petitorios, también las razones o motivos de su inconformidad
Los documentos que deben acompañar al escrito son:
- aquellos que acrediten su identidad y personalidad y la de su representante, en su caso respecto a este último
- copia de la respuesta del responsable que se impugna y su notificación correspondiente, de ser el supuesto, y
- las pruebas y demás elementos que considere someter a juicio del INAI
Por su parte los medios de presentación del recurso son:
- escrito libre o en el formato aprobado presentándose en el domicilio ubicado en Avenida Insurgentes Sur número 3211, Colonia Insurgentes Cuicuilco, Delegación Coyoacán, Código Postal 04530, Ciudad de México
- por medio de la Unidad de Transparencia del responsable, cuya respuesta es objeto del recurso de revisión
- por correo electrónico o la Plataforma Nacional de Transparencia, o a través de cualquier otro sistema que para tal efecto se autorice
- correo certificado con acuse de recibo, o
- cualquier otro medio que determine la autoridad competente
Una vez interpuesto el recurso, o recibido por la Unidad de Transparencia del responsable que conoció de la solicitud para el ejercicio de los derechos ARCO, el comisionado presidente del INAI deberá turnarlo al comisionado ponente que corresponda en estricto orden cronológico y por orden alfabético conforme al primer apellido de los comisionados, a más tardar al día siguiente de su recepción.
El Comisionado Ponente integrará el expediente, procederá al estudio y análisis con las pruebas y elementos manifestados y presentados y emitirá un acuerdo ya sea requiriendo al titular información adicional o admitiendo el recurso.
Igualmente es contemplada una etapa de conciliación, la cual será posible cuando el titular y el responsable acuerden someterse a este procedimiento, el cual, podrá celebrarse por cualquiera de los siguientes medios:
- presencialmente
- por medios remotos o locales de comunicación electrónica, o
- cualquier otro medio que se determine
En cualquiera de los medios señalados, el comisionado ponente deberá dejar constancia de la existencia de la conciliación para efectos de acreditación. También el acuerdo precisa los pormenores de la audiencia, el acta y acuerdo de conciliación, cumplimiento de este y sus efectos.
Es prevista una audiencia de desahogo de pruebas, donde se analizarán y valorarán las confesionales, testimoniales y periciales presentadas. Posteriormente, la resolución en la que el INAI puede resolver en los siguientes sentidos:
- sobreseer o desechar
- confirmar la respuesta del responsable
- revocar o modificar la respuesta del responsable, u
- ordenar la entrega de los datos personales, en caso de omisión del responsable
El INAI en sus resoluciones establecerá los plazos y términos para su cumplimiento y los procedimientos para asegurar su ejecución, los cuales no podrán exceder de 10 días para el acceso, rectificación, cancelación u oposición de los datos personales. Excepcionalmente, el INAI, previa fundamentación y motivación, podrá ampliar estos plazos cuando el asunto así lo requiera. Ante la falta de resolución por parte del INAI se entenderá confirmada la respuesta del responsable.
Conforme al artículo 115 de la LGPDPPSO, las resoluciones del INAI serán vinculatorias, definitivas e inatacables para el responsable. El titular podrá impugnar dichas resoluciones ante el Poder Judicial de la Federación mediante el juicio de amparo, según la normatividad aplicable en la materia.
Conclusión
En virtud de lo antes expuesto es que los datos han adquirido un valor cada vez más significativo en nuestros tiempos y de ahí que su regulación sea una prioridad para el gobierno. Es por ello importante estar al pendiente de la legislación en la materia y verificar si es realmente eficiente y eficaz en sus objetivos.
