¿Protección de Datos Personales como cadena de custodia?

Equiparar este proceso es vital para el resguardo de la información personal

Dicha prueba se define como un procedimiento controlado de indicios de un delito que va desde la ubicación, fijación, recolección, embalaje, traslado y registro de evidencia en la escena del crimen, por lo que cualquier desviación del proceso o fallo lesionaría la integridad de los datos aportados.

La cadena de custodia es indispensable en el proceso penal y en la consecución de la verdad debería como mínimo contener las siguientes características:

  • la garantía de indemnidad de la prueba (del dato), sea respetada
  • que de ninguna forma se altere, sustituya, contamine o inclusive sea destruida, y
  • que el juez (aquí se podría incluir al Pleno del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales –INAI–), conozca que estas evidencias sean exactamente lo mismo que se encontró en la escena; en este punto podría destacarse el daño sufrido o infligido respecto a los datos personales

En opinión del Mtro. Gerardo Roberto Pigeon Solórzano, Maestro en Ciencias Jurídicas por la Universidad Panamericana y en Gestión Financiera por la Universidad Complutense de Madrid, resulta que la publicidad de la cadena de custodia, podría inferir válida y lícitamente que un ente público obligado por la Ley General de Acceso a la Información Pública (LGAIP) pueda subcontratar a despachos especializados en la generación de versiones públicas sin poner en riesgo la integridad de la información y su protección.

Es claro que las obligaciones que la norma impone a los sujetos obligados implican un esfuerzo que no está presupuestado, no se sabe con certeza, cuánto cuesta generar las versiones públicas. Esto tiende a la imposibilidad de su correcta atención o cuando menos a la inexacta respuesta derivada del “solo por cumplir”. En pocas palabras este diseño institucional ayuda a la opacidad y al incumplimiento de las obligaciones de transparencia y a la protección de datos personales.

Obligaciones

Al margen de las obligaciones de las entidades públicas, y su particular forma de darle cumplimiento a estas, los datos deben ser considerados como un todo y deberían generar una huella electrónica que permita su rastreo desde el momento en que se entregan o generan, hasta el punto de ejercer alguno de los derechos de acceso, rectificación, cancelación y oposición (ARCO), o bien que cumplan la función exclusiva para la cual fueron generados. La traza electrónica y la integridad de los datos personales es algo que debemos desarrollar a la par de los mecanismos expeditos que nos permitan proteger los mismos, incluyendo la identificación de quién fue responsable de su resguardo.

Por lo que la trazabilidad electrónica ofrece una medida preventiva contra el mal uso de los datos personales como respuesta al riesgo tecnológico en el cual nuestros datos están cada vez más presentes.

Entonces es viable proponer la protección de datos personales y el acceso a la información pública desde la perspectiva de la concesión o subcontratación de empresas especializadas en materia de generar versiones públicas, puesto que no existe prohibición por la ley. Dichas versiones deben realizarse siempre y cuando se preserve la confidencialidad de la información.

A continuación, una aproximación de cómo realizar dicho ejercicio.

¿La confidencialidad y reserva que prevé la legislación impide que un tercero, bajo el supuesto de contratación con un ente público, pueda conocer sobre la materia o dicho de otra forma se rompe la cadena de protección (custodia) al compartir los datos con una parte del mismo sistema? La respuesta es no, la indemnidad de estos y su mismidad no se afecta, siempre y cuando se cumplan determinadas condiciones para que este tercero acceda a los mismos.

Aquí es donde debería existir un procedimiento similar al de la cadena de custodia generando un rastro de trazabilidad que los integre, pero que también sume a quienes los han tenido bajo su resguardo, con fecha, hora y demás particularidades que fueran necesarias desarrollar para garantizar y asegurar el correcto manejo de dichos datos. Puede decirse que en un determinado momento los datos personales son solo una colección de ceros y unos que revelan la más alta intimidad de la persona humana.

Se puede equiparar la cadena de custodia en materia penal y la que corresponde en materia de protección de información personal; sin embargo lo que lo hace relevante, es si el dato y la prueba pueden ser equiparables en su manejo.

Soluciones

En el Auto 2197/2012, de 9 de febrero del presente año, el Tribunal Supremo español señaló que el problema de la cadena es que se garantice que desde la recolección de los vestigios relacionados con el delito hasta que llegan a concretarse como pruebas, se mantendrá la inmediación, publicidad y contradicción de las partes y el juicio de los juzgadores.

Es a través de su corrección como se satisface la garantía de la “mismidad”, en la era digital; la cadena de custodia digital podría proteger los datos sensibles que mayormente están contenidos en medios electrónicos y ultra comunicados como los que el entorno tecnológico nos ofrece.

En materia penal la presencia de esta condición implica que no son la misma cosa la prueba encontrada y la prueba presentada ante el juez y por tanto carece de utilidad y aún más de validez probatoria, pero en materia de los datos personales la mismisidad puede verse afectada, no tanto por las inconsistencias del manejo sino por su integridad.

Se debe partir de la idea de que una vez que se entregan los datos, el encargado de su recepción, manejo y resguardo cumplirá con un protocolo o pasos perfectamente delimitados por medio de los cuales se garantizará su integridad; el INAI no los tiene, ni en su operación, ni en su legislación, por lo que podría darse la hipótesis de una fractura en la cadena de aseguramiento de su integridad. Por ello, el principio de continuidad y registro debe aplicar a la protección de estos datos mientras estén bajo custodia y control de terceros.

Comentario final

Así, el titular de los datos tendría mayor certeza que al entregar una parcialidad de su derecho a una empresa o una entidad de gobierno para un fin específico y delimitado, conocerá el punto exacto donde se violentaron o se les dio un uso distinto de aquel para el cual fueron entregados. Lo anterior aparejado al principio del debido proceso, y fincamiento de responsabilidad para aquel que lesione o cause daño a la persona, haciendo a los entes obligados acreedores a una sanción derivada del incumplimiento.