Nuevas tendencias en datos personales

Los recientes cambios tanto a nivel nacional como internacional pueden tener un impacto generalizado por lo que hay que conocerlos.
Lic. Javier Oroz Coppel
General Counsel de AXA Seguros

En muchos foros especializados, uno de los temas del que más se habla es del aumento de la regulación en materia de datos personales y cómo las empresas han tenido que adoptar nuevos niveles de seguridad; así como medios técnicos a su alcance para asegurar la máxima confidencialidad de la información y los datos personales de sus clientes o en general de usuarios que acceden a sus plataformas y a sus negocios, con el objeto de evitar su pérdida, mal uso, alteración y acceso no autorizado, nos comenta el licenciado Javier Oroz Coppel, secretario general en AXA México, quien hizo las siguientes precisiones sobre este tema. 

Se tiene que reconocer que en el mundo actual con fuertes amenazas en materia de ciberseguridad, las medidas de seguridad impuestas sobre todo en Internet pueden ser violadas, siendo sumamente complicado garantizar que terceros no autorizados y actuando ilegítimamente, no puedan tener conocimiento de los datos personales de los usuarios.

Es importante considerar que las necesidades y el dinamismo de los mercados e industrias, se mueven con la misma dinámica que lo viene haciendo la regulación global; al mismo tiempo que se garantizan, se mantienen las actividades comerciales y se logran los niveles de madurez equivalentes a lo que la normatividad exige actualmente.

Un ejemplo muy ilustrativo, es el relativo a las aseguradoras que en el ramo de gastos médicos suelen requerir información de siniestralidad para poder adecuadamente tarificar la prima, sobre todo, en casos de pólizas colectivas.

El equilibrio entre lo que la ley ordena y la necesidad comercial, es proteger datos sensibles, estableciendo los mecanismos e instrumentos jurídicos y contractuales que autoricen el traspaso lícito de información técnica desasociada de datos sensibles.

Panorama internacional

La cronología, en materia de regulación que salvaguarda los datos personales, ha llevado a los sujetos obligados por una curva ascendente de cumplimiento. Inicialmente, por el reconocimiento de que la privacidad es un derecho humano. En este sentido, el artículo 12 de la Declaración Universal de Derechos Humanos de 1948, menciona que nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.

Posteriormente, el Pacto Internacional de Derechos Civiles y Políticos, que entró en vigor en 1976, establece en su dispositivo 17, que nadie será objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques ilegales a su honra y reputación. Toda persona tiene derecho a la protección de la ley contra esas injerencias o esos ataques.

Adicionalmente, el Convenio para la Protección de los Derechos Humanos de las Libertades Fundamentales que rige en Europa, dispone en su  numeral 8 que toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia.

Por su parte, la Convención Americana sobre Derechos Humanos de 1969, señala en su precepto 11 que nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su honra o reputación y que por lo tanto; toda persona tiene derecho a la protección de la ley contra esas injerencias o esos ataques.

Regulación local

En México, al dar seguimiento de las inercias internacionales, el 11 de julio del 2002 fue publicada la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental. En ella se contempló un capítulo de protección de datos personales, fijando los principios generales que rigen su tratamiento en posesión de los entes públicos (consentimiento, información, seguridad, calidad, etc.).

No obstante, no fue hasta el 20 de julio del 2007, que la protección de datos personales alcanzó el rango constitucional. Según el artículo 6 fracción II y III de la Constitución Política de los Estados Unidos Mexicanos (CPEUM), la información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que indiquen las leyes y que toda persona, sin necesidad de acreditar interés alguno o justificar su utilización, tendrá acceso gratuito a la información pública, a sus datos personales o a la rectificación de estos.

Posteriormente, el 5 de julio del 2010, se reguló en específico la protección de estos por primera vez en México, mediante la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) y su Reglamento de la LFPDPPP que entró en vigor el 22 de diciembre de 2011.

Adicionalmente a estos primeros intentos, el 26 de mayo del 2017 se publicó la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), la cual formaba parte de un paquete de leyes que han sido pilares del actual Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales y también del Sistema Nacional Anticorrupción.

Esta legislación, a grandes rasgos, tiene por objetivo establecer los principios y procedimientos para garantizar el derecho de toda persona a la protección de sus datos personales cuando estos se encuentran en posesión de los sujetos obligados: autoridades, entidades, órganos u organismos de los poderes ejecutivo, legislativo y judicial, en el ámbito federal, estatal y municipal; así como órganos autónomos, partidos políticos, fideicomisos y fondos públicos.

Una de las novedades es que la LGPDPPSO toca el tema sobre la portabilidad de datos y regula la relación entre los sujetos obligados, como responsables de los datos y quienes intervienen en su procesamiento como encargados.

De igual forma, contempla las transferencias de datos personales, previendo acciones proactivas y preventivas durante el proceso; los mecanismos procesales para impugnar el procesamiento ilegal de datos personales y sanciones y un procedimiento de verificación que puede iniciarse de oficio por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).

Llegada de la era GDPR

A nivel internacional, el cambio más relevante y publicitado en materia de regulación de datos personales de las últimas décadas, es el llamado General Data Protection Regulation (GDPR), que sustituyó a la Data Protection Directive de 1995, ambas emitidas por el Parlamento Europeo, cuyo objeto es armonizar la regulación en la materia, a través de toda la comunidad europea (incluyendo Inglaterra, excepto a Brexit de acuerdo con su Data Protection Act del 2018).

La GDPR fue aprobada en abril del 2016, contemplando millonarias sanciones y un desprestigio reputacional para quien la infrinja. Inició una carrera frenética para lograr los niveles de cumplimiento óptimos que requiere esta regulación antes de entrar en vigor el 25 de mayo del 2018. Ese día alcanzó muchos titulares en periódicos y demás medios y se optó por una fecha relevante en la cultura del compliance alrededor del mundo.

Precisamente, pese a que la regulación tiene una delimitación territorial dentro de la comunidad europea también llega a aplicar fuera de ella, al incidir en empresas que tengan intercambios comerciales con Europa o que recolecten, transporten o manipulen datos personales de algún “interesado” que resida en la Unión Europea.

La opinión generalizada sobre la GDPR tiene un entramado normativo denso y complejo; la dimensión de sus multas puede ser el cuatro por ciento de los ingresos anuales de una empresa. Además de la referida sanción reputacional que destruye la credibilidad de una compañía y en caso de ser pública, el casi automático desplome de sus acciones.

En México, la entrada en vigor del tsunami GDPR, no pasó de noche entre muchos de los más importantes gremios, asociaciones y corporativos. No solo la figura del Data Privacy Officer (DPO) se profesionalizó, además, se convirtió en una figura clave para asegurar el cumplimiento relevante, considerando la enorme materialidad de las sanciones.

A la fecha, muchas empresas se siguen fortaleciendo y preparando para lograr los niveles de cumplimiento. No solamente de la legislación mexicana, sino para alcanzar el alto escaño de GDPR que requiere que el gobierno corporativo manifieste un compromiso serio e intenso en su cumplimiento. Aunado a una fuerte inversión en la cultura organizacional de cumplimiento, que logre la madurez operativa y del capital humano de la organización.

Implicaciones de que México haya sido admitido al Convenio 108

El pasado 26 de abril del 2018, la cámara de senadores aprobó que México dejara su carácter de observador y se adhiera al Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal para cumplir adicionalmente su protocolo relativo a las Autoridades de Control y a los Flujos Transfronterizos de Datos firmados en Estrasburgo, Francia, el 28 de enero de 1981 y el 8 de noviembre de 2001.

Posteriormente, el 11 de junio de 2018, el presidente de la república expidió el decreto de aprobación, el cual fue publicado en el DOF al día siguiente.

El objeto del referido convenio y su protocolo adicional es garantizar a cualquier persona física el respeto a su derecho a la vida privada con respecto al tratamiento automatizado de sus datos personales, adoptando las medidas necesarias para que sean efectivos los principios básicos para su protección.

Conclusión

La adhesión a dichos instrumentos internacionales implica que México sea considerado un lugar en el cual las personas puedan tener mayor seguridad en cuanto a cómo se hará uso de sus datos personales, tanto en el país, como en todos los que forman parte del Convenio 108. Sin embargo, también pudiera implicar que se deban efectuar cambios en la normatividad para que puedan alcanzarse niveles y sanciones como los del GDPR.

Por el momento, las sanciones aplicables siguen manteniéndose dentro de los límites de los ordenamientos nacionales.6

El 28 de septiembre del 2018, fueron publicados en el DOF los decretos promulgatorios del Convenio y de su Protocolo Adicional, los cuales entraron en vigor el 1 de octubre de 2018. Se está a la expectativa del impacto que tendrá en la regulación nacional, específicamente, si está se eleva a nivel  de la GDPR. Por lo tanto, se debe permanecer atentos a esa situación.