10 reformas urgentes a la ley de datos personales — Newsletter 63º

La privacidad es mucho más que datos personales, pero en un mundo conectado a internet los datos personales son una puerta a nuestra vida más íntima.

• ¿Qué buscamos en internet? ¿Qué dicen de nosotros las películas que vemos en línea? ¿Cuántas horas pasamos navegando en Facebook? ¿Qué videos nos gustaron en TikTok? ¿Con quiénes chateamos en WhatsApp?

La ley de protección de datos personales en México no ha tenido reformas desde que fue creada en 2010. Son 12 años que en la era digital deben leerse como eras geológicas.

Cada año hago una lista acumulativa de las reformas que me parecen más urgentes, sin dejar de reconocer que el marco jurídico sostiene todavía con firmeza un edificio cada vez más sofisticado. (2021 y 2022)

Aquí va la lista para 2023:

1. Publicidad de las sanciones

Este es un tema crucial para robustecer el régimen de datos personales. Las sanciones de las agencias deben seguir una metodología jurídica, que implica que se agoten todos los medios de defensa por parte de las personas sancionadas, pero esta secrecía reduce el impacto reputacional contra los infractores y diluye el poder sancionador en una materia que involucra derechos humanos.

2. Sanciones a los servidores públicos

Cualquier infracción sancionada por la agencia federal en contra de servidores públicos se atora en un vórtice gestionado por la Secretaría de la Función Pública, responsable de cumplir con las resoluciones del Inai. Pero la ruta lleva a un pozo sin fondo, donde la Secretaría no ejecuta y el Inai se queda sin herramientas para exigir el cumplimiento. El Inai necesita autonomía para imponer directamente las sanciones.

3. Notificación de privados en caso de vulneración

Las compañías privadas no tienen la obligación de notificar a la agencia federal cuando han sufrido una vulneración a la seguridad de los datos personales. A diferencia de las instituciones de gobierno, obligadas a informar cuando fueron víctimas de hackeo. El Convenio 108+ de protección de datos con la Unión Europea obliga a notificar. Hay que hacerlo realidad en la ley.

4. Reconocimiento facial

Urge una normativa para el uso de las tecnologías de reconocimiento facial. 2022 fue el año de su masificación en espacios públicos y privados. El caso del Fan ID de la liga de futbol profesional y los esfuerzos de autoridades en Jalisco nos demostraron que las narrativas de seguridad y el poder económico y político se impondrán sobre los derechos ciudadanos o, por lo menos, debilitarán su plena defensa.

5. Burós de crédito

Todavía no hay jurisprudencia, pero ya existe una decisión de la Suprema Corte que obliga a las sociedades de información crediticia (los burós de crédito) a entregar datos personales. Los burós de crédito quedaron al margen de la ley de 2010, un triunfo en su momento de las corporaciones financieras. Es hora de revertirlo.

6. Fortalecer la denuncia como medio de defensa

La denuncia en materia de protección de datos es una herramienta con nula promoción de las agencias de privacidad. La arquitectura está creada para incentivar los procedimientos de protección de derechos, verificación e imposición de sanciones. ¿Pero qué le queda a un ciudadano cuando tiene la certeza de que sus datos personales fueron filtrados por hackeo, descuido o negligencia?

7. Notificación de uso de datos por el gobierno

Los ciudadanos carecemos de un mecanismo de notificación para cuando nuestra información personal fue solicitada por alguna agencia de gobierno. Entiendo que debe existir secrecía en determinados momentos del procedimiento, pero todo tiene un límite y el gobierno debe informar sobre solicitudes de acceso a nuestros datos personales. En la Unión Europea está vigente desde 2014.

8. Ampliación del alcance de la portabilidad

La portabilidad tiene un alcance limitado a datos tradicionales, a los datos típicos que un proveedor registra de sus consumidores. Pero la sofisticación de los servicios y la realidad algorítmica están complejizando el tipo de información personal en tratamiento. ¿Qué pasa si dejamos Spotify para irnos a Amazon Music? ¿Nuestros datos se limitan a nuestro nombre y formas de pago o también deben incluir los perfiles creados por la compañía sobre nosotros o nuestras listas de reproducción?

9. Cumplimiento de las leyes en México

Urge que la ley sea explícita de la jurisdicción del Inai sobre los responsables del tratamiento con domicilio fuera de México. Se trata de que las organizaciones en el extranjero sepan que serán sancionadas por una autoridad mexicana si vulneran la protección de datos personales de ciudadanos en México. El Inai ha ido construyendo paso a paso y algunas decisiones judiciales han ayudado en el asunto, pero un articulado legal explícito lo haría todo más fácil.

10. Protección especial al contenido periodístico

De una vez por todas debe quedar explícito en la ley que los datos personales contenidos en las informaciones periodísticas no son susceptibles de cumplir con los derechos ARCO. Debe quedar claro que los titulares de datos tienen otros medios de defensa, como el derecho de réplica o las vías civil y penal, pero no el régimen de protección de datos personales. Esto dejará las cosas claras respecto al llamado derecho al olvido, dará un respiro a la libertad de expresión y el derecho a la información y reducirá la carga de trabajo del Inai.

Comentarios