¿México protege los datos personales en la web?

El 1o. de junio de 2009, se publicó la reforma al artículo 16 constitucional que reconoce el derecho de toda persona a la protección de sus datos personales

.
 .  (Foto: iStock)

Los avances tecnológicos y el creciente uso del Internet permiten que cada vez sean más las intervenciones a la privacidad de los ciudadanos. Hoy en día mucha de la información que se guarda en los dispositivos, como los datos personales, de geolocalización, contactos, contraseñas, correos electrónicos, etc., están al alcance de otros usuarios en la web, y al tener un alto valor económico en el mercado se vuelven susceptibles de utilizarse para la comisión de un delito.

Según el informe “Fraudes cibernéticos tradicionales” de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros, al tercer trimestre de 2019, las quejas por fraudes cibernéticos crecieron un 38 % respecto de 2018.

A pesar de los esfuerzos de México para proteger esta prerrogativa, aún es incapaz de avalar la seguridad de los datos personales en el sector digital.

Si bien el 1o. de junio de 2009, se publicó la reforma al artículo 16 constitucional que reconoce el derecho de toda persona a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición y salvaguarda, no está a la par de las necesidades requeridas.

A la fecha se cuentan con dos ordenamientos, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), dirigida a personas físicas o morales de carácter privado, y Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), aplicable para cualquier autoridad de los tres niveles de gobierno, órganos autónomos, partidos políticos, fideicomisos y fondos públicos.

Por su parte, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) ha publicado en su portal de Internet, una serie de guías genéricas para el resguardo de estos datos; mismas que son las siguientes :

  • prevenir el robo de identidad
  • manejo de incidentes de seguridad de datos personales
  • recomendaciones para mantener segura tu privacidad y datos personales en el entorno digital
  • guía de herramientas de supervisión parental
  • procedimiento para ejercer los derechos ARCO
  • guía para la configuración de privacidad en redes sociales
  • test: ¿cómo te proteges en el entorno digital?
  • material para educadores sobre datos personales
  • instrumentar medidas compensatorias
  • tratamiento de datos personales en cobranza extrajudicial
  • esquemas de autorregulación para la protección de datos personales
  • criterios mínimos para la contratación de servicios de cómputo en la nube que impliquen el tratamiento de datos personales
    tratamiento de datos biométricos
  • sistema de gestión de seguridad de dato personales
  • recomendaciones para la designación del departamento o la persona responsable de los datos
    manual en materia de seguridad de datos personales para Mipymes y organizaciones pequeñas
  • manual en materia de seguridad basada en un entorno Microsoft para Mipymes y organizaciones pequeñas mexicanas, y
  • borrado seguro de datos personales

Aunque se cuenta con distintos documentos en la materia, como se observa, únicamente tres se concentran en el resguardo de la información en Internet; no obstante, solo son recomendaciones y encuestas dirigidas a los usuarios para mantener a salvo su privacidad; evidenciando con esto que aún falta un largo camino que recorrer en este sector, sobre todo si se compara con otros países donde la normatividad evoluciona de forma continua.

Ejemplo de ello es España, que en 2018 emitió la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, para adaptar su legislación con el Reglamento General de Protección de Datos (RGPD) con alcance en la Unión Europea (UE).

Dicho ordenamiento regula, entre otros, los siguientes derechos:

  • seguridad digital
  • protección de los menores en Internet
  • educación digital
  • actualización de informaciones en medios de comunicación digitales
  • olvido en búsquedas de Internet
  • servicios de redes sociales y equivalentes
  • testamento digital y
  • portabilidad en servicios de redes sociales

A la par, la Agencia Española de Protección de Datos (AEPD) en 2018 y 2019 dio a conocer varios documentos significativos para el manejo de datos personales en la red. A continuación se muestra una reseña de los mismos:

  • uso de las cookies: el término “cookies” se utiliza en la rama de la informática para nombrar a todos aquellos datos almacenados del usuario que accede a la página web del proveedor de servicios y que son utilizados posteriormente para recordar accesos (contraseñas) o conocer los hábitos de navegación de los clientes. Así, las cookies cobran gran relevancia en el marketing digital porque permite mostrar la publicidad acorde con los gustos de los consumidores.

A través de esta guía la AEPD establece una serie de políticas para recabar los datos con el consentimiento informado de las personas y para los sistemas de gestión o configuración de cookies

  • privacidad desde el diseño: integra las bases para la protección de los datos personales desde las primeras etapas del desarrollo de los productos y servicios
  • drones y protección de datos: toda vez que los drones cuentan con sistemas de rastreo y cámaras de video que permiten procesar imágenes, videos, sonido, datos biométricos, de geolocalización o de telecomunicaciones relacionados con una persona, este manual fija las reglas que se deben seguir en aquellas operaciones que ponen en riesgo el tratamiento de la información personal, como la inspección de infraestructuras, levantamientos topográficos, tratamientos en agricultura u otros servicios de fotografía y vídeo
  • análisis de riesgos en los tratamientos de datos personales sujetos al RGPD: fija las pautas para controlar la identificación y evaluación de riesgos de acceso ilegítimo, modificación no autorizada o eliminación de los datos, y las medidas para su reducción o mitigación
  • huella digital del dispositivo: se trata de una nueva forma de recoger y explotar los datos personales.

Con este método, al acceder a una página web, el navegador ejecuta en el dispositivo del usuario varios procesos para recopilar sus datos de forma tan detallada que puede singularizarlo y hacer un seguimiento de su actividad. Toda vez que no se obtiene el consentimiento de los sujetos se cuestiona su legalidad; por ese motivo la AEPD realizó un estudio en el cual describe las técnicas más utilizadas, cómo identifican el dispositivo del usuario y recomendaciones para proteger la privacidad

  • uso del hash para la seudonimización de datos personales: la palabra hash hace referencia a una función criptográfica que transforma datos en un algoritmo de caracteres, siendo de gran utilidad en la UE para cifrar información personal.

Este documento da a conocer el funcionamiento y los riesgos de la técnica hash, y

  • compra segura en Internet: es una guía que da recomendaciones de seguridad para las compras online

Pese a que no se relacionan con las tecnologías de la información, existen otros documentos relacionados con la privacidad que por su contenido se consideran novedosos:

  • guía para pacientes y usuarios de la sanidad: aborda la confidencialidad de la historia clínica de los pacientes como consecuencia de los tratamientos que se aplican en los centros de salud y hospitales, y
  • datos en el ámbito universitario: se trata de dos informes acerca del tratamiento en los centros educativos de los datos y calificaciones obtenidas por los estudiantes

Aunque el cumplimiento de estos lineamientos no son obligatorios en el país, resultan de gran utilidad porque sirven de referencia como esquemas de buenas prácticas internacionales para que los sujetos responsables las apliquen para preservar la confidencialidad de los datos.

Cabe destacar que el actualmente ante el Senado existe una iniciativa para reformar la LFPDPPP para incluir como sujetos obligados en la materia a las empresas proveedoras de servicios de Internet, redes sociales o equivalentes.

Lo anterior significa un avance; no obstante, no logra subsanar las omisiones que se presentan en la norma. Por ese motivo se espera que la legislación internacional deje un precedente para replicar las medidas en México mejorando el rezago que actualmente presenta en la protección de datos personales en el sector digital.