En México, si una empresa privada, como un banco, un hospital o una compañía de teléfono, pierde o le roban los datos personales de sus clientes, la ley no la obliga a notificar ante la autoridad ese incidente.
Puede hacer como que nada pasó y tampoco avisar al dueño de los datos, mientras su nombre, su número de cuenta bancaria, los resultados de sus análisis clínicos o su teléfono personal deambulan en las redes o en los mercados negros.
Ese es uno de los puntos más débiles que tiene la actual Ley Federal de Protección de Datos Personales en Posesión de Particulares, que se aplica a empresas privadas y que expertos y autoridades urgen a reformar cuanto antes.
Sobre todo, dicen, porque eso puede ocasionar afectaciones muy graves a las personas si sus datos son divulgados sin su consentimiento.
“Nada más y nada menos se trata de una vulneración a la intimidad. Imagínate que de repente tu información estuviera circulando por todos lados, información que puede ser tu domicilio o el estado de salud. Es importante darle las debidas dimensiones al derecho a la intimidad”, afirma Arístides Guerrero, coordinador de la Comisión de Protección de Datos Personales del Sistema Nacional de Transparencia (SNT).
“Si son datos patrimoniales, se pone en riesgo su patrimonio. Si son datos personales de salud, se consideran datos sensibles y pueden causar riesgos de discriminación o pueden provocar extorsiones, robo de identidad… no sabemos. La consecuencia depende de cada vulneración, del tipo de datos que esté tratando el particular”, añade Josefina Román, comisionada del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), organismo que es la autoridad en la materia.
La única referencia que hay en la ley en caso de transgresiones a las bases de datos está en el artículo 20, que dice que “las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos”.
María Solange Maqueo, académica del CIDE y especialista en protección de datos personales, explica que lo dispuesto en ese artículo es ambiguo: la referencia a una afectación "significativa" queda muy abierta, es decir, no hay claridad de cómo se determina eso, y, además, no se menciona que el incidente deba notificarse a la autoridad.
En el caso de las instituciones públicas es diferente. Tan pronto éstas conozcan de alguna vulneración a sus sistemas y de la posible filtración o robo de datos personales de los ciudadanos, están obligadas a notificar al INAI.
Así lo establece la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, que aplica a instituciones de gobierno.
- Te recomendamos A 2 años, sigue sin sanción hackeo de datos de más de un millón de empleados federales Política
Eso permite que se alerte a los ciudadanos de lo que ocurrió y se puedan tomar algunas medidas para mitigar un riesgo y reforzar la seguridad para proteger los dispositivos en los que se encuentran los datos.
La diferencia es que la ley que aplica para empresas privadas fue elaborada en 2010 y no ha tenido modificaciones, mientras que la ley para instituciones públicas es más reciente, de 2017.
Una ley antigua
El principal problema de la Ley Federal de Protección de Datos Personales en Posesión de Particulares es su antigüedad, coinciden los especialistas. Esa ley se publicó el 5 de julio de 2010, hace 12 años, en el sexenio de Felipe Calderón.
Para poder ubicarnos en el contexto en el que eso ocurrió, habría que recordar que ese año, por ejemplo, se lanzó el primer modelo de un iPad, se presentó el iPhone 4, Twitter en español cumplía un año y se estrenaba el almacenamiento de información en “la nube” para descargar información en cualquier dispositivo. Apenas se incursionaba en el mundo digital.
“Fue, en su momento, una ley de vanguardia, fue una ley que recogía muy buenas prácticas, cierta experiencia, del modelo europeo, del modelo canadiense; fue una ley, sin lugar a dudas, muy superior a lo que en ese momento se contemplaba para el sector público a nivel federal”, afirma María Solange Maqueo, académica del CIDE y especialista en protección de datos personales.
Sin embargo, ella misma agrega, la tecnología avanzó muy rápido y dicha legislación quedó desfasada.
Entre las consecuencias de la ausencia de esas notificaciones a la autoridad está la falta de estadísticas sobre cuántas vulneraciones a bases de datos ocurren en el sector privado y sólo en algunos casos, cuando se reportan voluntariamente, se tiene información.
Por ejemplo, en junio de 2021, reportes del Banco de México (Banxico) revelaron que, entre 2019 y 2021, instituciones del sector financiero registraron 16 ataques cibernéticos, con un costo de 785.4 millones de pesos.
Ante ello, el comisionado Arístides Guerrero, también presidente del Instituto de Transparencia, Acceso a la Información Pública, Protección de Datos Personales y Rendición de Cuentas de la Ciudad de México (Info CdMx), asegura que es necesario y urgente “reforzar muchísimo todo aquello que tiene que ver con la posible brecha de riesgo que pueda haber en el tratamiento de datos personales, principalmente tratándose de entornos digitales”.
Cambios urgentes
Los especialistas aseguran que la vida digital, como en la que ahora vivimos, nos hace vulnerables a un posible hackeo, aun si se adoptan medidas de seguridad.
“En este entorno tecnológico, nada puede garantizar al cien por ciento que no puedas ser vulnerado. Lo cierto es que si el sujeto obligado cumplió con sus obligaciones, hizo un adecuado análisis de riesgo, un análisis de brecha, le da seguimiento, adopta las medidas de seguridad adecuadas para proteger sus sistemas, con eso podríamos considerar que está cumpliendo… No necesariamente una vulneración tiene que derivar en una responsabilidad”, dice Maqueo.
Para Arístides Guerrero, lo mejor es incursionar en la privacidad desde el diseño: que desde el inicio se establezcan los mecanismos de seguridad, los protocolos de actuación en caso de pérdida o hackeo y la delimitación de los datos indispensables que se deben recabar.
“Que el sector privado recabe solo la información que resulte indispensable, para que, en caso de que hubiera algún ataque cibernético, se disminuya la información susceptible”, afirma.
De acuerdo con los expertos, la nueva ley tendría que obligar específicamente a las empresas a hacer las notificaciones a la autoridad cuando existan vulneraciones.
Para la comisionada Josefina Román es urgente también que se obligue a todas esas empresas internacionales que hacen tratamientos masivos de datos personales (como Meta, Google, Amazon, entre otras) aunque no tengan su domicilio en México, a cumplir con la legislación mexicana en materia de protección de datos.
Para Maqueo, la nueva legislación también debería incluir la obligación de que el sector privado elabore bitácoras de sus incidentes para transparentar las medidas que toman y los momentos en que ocurren las vulneraciones, y que se regulen los algoritmos, que son utilizados para que las personas tomen decisiones basadas en el tratamiento automatizado de datos personales.
“Que tengan la posibilidad de obtener información, de conocer las razones y la justificación de ciertas decisiones; es un tema que se alinea con el sentido de autodeterminación de la información por parte de los titulares de datos personales”, dice la experta.
Una carta de derechos
Los comisionados Román y Guerrero coincidieron en que desde el INAI y el Sistema Nacional de Transparencia existe diálogo con legisladores para impulsar una nueva ley en la materia.
En tanto eso ocurre, Guerrero adelantó que desde el SNT se impulsará una Carta de Derechos Digitales que sirva como guía de buenas prácticas para proteger los datos personales en los entornos digitales, principalmente de niños, niñas y adolescentes, y que se muestre como modelo de lo que una nueva ley debe contener.
EHR