En México, los ciudadanos entregan todo el tiempo, y prácticamente ‘a ciegas’, sus datos personales -incluso biométricos- a instituciones públicas o entes privados, sin que haya claridad de cuántas bases de datos se generan con ellos, para qué se usan, con quién se comparten y cómo, a partir de esa información, se crean perfiles y mercados legales e incluso ilegales, advierten especialistas.
Tanto para actividades públicas como para privadas, de manera física o digital, el intercambio de datos personales es ya una actividad cotidiana, sin que muchas veces las personas se den cuenta de eso, pues pasan por alto los avisos de privacidad o los acuerdos de consentimiento para el tratamiento de sus datos.
A pesar de la intensa recolección y tratamiento de datos personales, la autoridad en la materia, que es el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), no tiene conocimiento de cuántas bases de datos utilizan, ni siquiera, las instituciones del sector público.
Por lo tanto, menos se puede dimensionar el tamaño del conjunto de los datos personales que maneja el sector privado, el cual, en numerosas ocasiones, condiciona el acceso a un servicio a la entrega de datos de identidad de sus usuarios.
Tanto la entrega supuestamente consensuada de los datos personales de los usuarios, como las filtraciones o accesos no autorizados a bases de datos, ponen en riesgo la integridad y el patrimonio de las personas, dicen especialistas consultados por MILENIO.
“Todo el tiempo se están haciendo bases de datos porque son necesarias para la economía y para las actividades de las instituciones públicas y esto no es problema, el problema es cuando se hacen al margen de las normas”, asegura Alejandro Torres, consultor en protección de datos.
Entrega ‘a ciegas’
Para Luis Fernando García, director de la Red por la Defensa de los Derechos Digitales (R3D), la proliferación sin control de bases de datos personales es “testamento de la insuficiencia” de las leyes en la materia: la Ley Federal de Protección de Datos Personales en Posesión de Particulares, que aplica al sector privado, y la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, aplicable al sector público.
El especialista afirma que estas normas se han quedado cortas, que contienen disposiciones que quedan a la interpretación, que no dan al INAI las herramientas y atribuciones suficientes y eficientes y que las sanciones derivan en litigios que, a veces, se convierten en impunidad.
El problema más grave, dice García, que ha ocasionado la proliferación de bases de datos es el tema del consentimiento para el tratamiento de la información personal, que se da en un ambiente de desigualdad, a cambio de un servicio.
“Cuando a las personas les condicionas el acceso a un servicio a la aceptación de una política de privacidad, que es compleja, larga, difícil de entender, y las personas tienen prisa, no alcanzan a entender qué implica el darle ‘acepto’ y no es su culpa”, asegura.
Después de que la persona da ‘acepto’ a las políticas de privacidad, en una fachada que parece legal, dice, hay muchos obstáculos para luego saber qué pasa detrás.
“Si tú quieres averiguar qué pasa con esos datos, a quién se transfieren, cómo los usan a quienes los transfieren, es una cadena complejísima que es imposible, para una persona, perseguir, conocer y dimensionar de qué manera esos datos terminan siendo transferidos a otros y terminan siendo utilizados en otros sistemas que les afectan”, explica.
Y muchos de esos tratamientos podrían ser ilegales, asegura; “la cosa es que no sabemos”.
No hay protección suficiente
Otro motivo por el cual se ha dado la proliferación de bases de datos es que no existe un sistema de seguridad infalible que permita un sólido resguardo de los datos personales y evite su filtración o robo.
Por eso, dice García, antes de recolectar datos y almacenarlos, cualquier ente privado o público tiene que cuestionarse si vale la pena hacerlo, si los riesgos no son mayores que los beneficios, si verdaderamente es necesario.
Para el activista, “el dato mejor protegido es el dato no recabado”, pues hasta instituciones que dedican recursos enormes y tienen un gran expertise, como Google, Facebook o la Agencia de Seguridad Nacional de Estados Unidos, han recibido ataques informáticos y han sido vulnerados sus sistemas de seguridad”.
Un error común que se comete, explica, es el de recolectar datos masivamente y, además, ponerlos todos en un mismo lugar.
“Mientras más datos tengas, más riesgos hay, porque si se vulnera la seguridad, se comprometen los datos de más personas”, dice.
Luis Fernando García lamenta lo que pasa en México: cada banco está haciendo su propia base de datos biométrica, el gobierno quiere que el Instituto Federal de Telecomunicaciones haga una base de datos biométrica, se está proponiendo una cédula de identidad nacional que genere otra base de datos biométrica, está la de la cancillería, está la del SAT, está la del INE.
“Es decir, los datos de una sola persona podrían estar alojados en cinco, seis, siete, bases de datos biométricos al mismo tiempo y no es mejor, es peor, porque las probabilidades de que alguna de ellas se vulnere y tus datos biométricos queden comprometidos son mayores si hay siete bases de datos a si sólo hay una; una en sí mismo es preocupante, pero siete, ocho, nueve, si tienes más de un banco, más”, afirma.
Falta de capacitación
Alejandro Torres, consultor en materia de privacidad, explica que mucha de la información que poseen las instituciones públicas permite hacer un perfil de las personas “y eso es muy apetecible para algunas empresas u organizaciones, que le van a dar un tratamiento francamente ilegal”.
El problema, dice, es que esas instituciones no invierten en infraestructura tecnológica o en capacitación de su personal para proteger esas bases de datos y están expuestas a filtraciones o robos.
Puso como ejemplo el caso de la Secretaría de la Función Pública (SFP), que en 2020 dejó a la vista de cualquiera, en internet, la información de las declaraciones patrimoniales de 830 mil funcionarios públicos (el 58 por ciento de los servidores públicos en activo) del gobierno federal.
Del fraude a la explotación masiva
El uso indebido de datos personales puede generar consecuencias negativas desde la suplantación de identidad para cometer robo de cuentas bancarias o de propiedades, secuestro o extorsión.
Pero ese uso indebido de datos también puede ocasionar daños más graves, no sólo individuales sino colectivos.
Si los datos obtenidos supuestamente de manera legal se transfieren y se ponen a disposición de un sistema automatizado masivo que genere información y tome decisiones, puede ocasionar discriminación si es utilizada como insumo para determinar si una persona cumple o no con un determinado perfil para ofrecerle un producto u otorgarle un crédito bancario, un seguro o un empleo.
“Está el caso de Cambridge Analytica, en donde, al darle ‘acepto’ se entregaba información no solamente de la persona que dio ‘acepto’, sino de todos los contactos y terminaba siendo afectada toda la sociedad, porque esa información intentó ser usada para manipular una elección”, añade García.
Por ello, el director de la R3D considera que “es urgente una reforma al sistema de protección de datos personales en México que robustezca y que asuma que la protección de datos personales no es solo responsabilidad de cada persona, sino que sobre todo es responsabilidad del Estado proteger a la ciudadanía de estas tácticas depredadoras que buscan conseguir la mayor cantidad de datos, siendo lo más opacos posibles al respecto”.
INAI, sin registro de bases de datos
A pesar de ser el organismo garante de la protección de datos personales, el INAI desconoce cuántas bases de datos utilizan las instituciones públicas, pues la legislación actual ya no contempla tener esa información.
En la ley de 2002, sí se obligaba a las instituciones públicas a informar al entonces IFAI de los sistemas de datos personales que poseyeran.
“Con la publicación de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, el 26 de enero de 2017, dichas disposiciones dejaron de estar vigentes; por tal motivo, actualmente no existe un listado o sistema que permita determinar con certeza el número o la cantidad de bases de datos personales en posesión de los sujetos obligados”, informó el INAI.
Pemex y SFP, en la mira
De acuerdo con el INAI, entre 2016 y 2021, ha recibido 104 denuncias, avisos o reportes de robo o filtración de datos en instituciones públicas, pero sólo ha iniciado dos investigaciones por denuncias, una de 2018 y una de 2020, correspondientes a Petróleos Mexicanos y la SFP, respectivamente.
En el ámbito privado, el INAI identifica al sector de servicios financieros y seguros donde se han reportado más incidentes de robo o filtración de datos e informó que ha recibido seis denuncias por venta ilegal de bases de datos privadas: dos en 2018, dos en 2020 y dos en 2021.
“Falta un INAI proactivo”
Para Luis Fernando García, los ciudadanos se encuentran vulnerables ante el tratamiento de sus datos personales y no deberían culpárseles a ellos por esa situación.
“Toda la comunicación institucional del INAI, es ‘tú cuida tus datos’ y eso es muy irresponsable”, reprochó.
“La autoridad debería ser más proactiva, no ser pasiva y esperar a que vengan y me denuncien, debería estar buscando, intentando detectar y tratar de proteger al interés público, porque no nada más es proteger a ese individuo, sino evitar un ambiente propicio a vulneraciones de datos personales”, añadió.
DMZ