Despedimos el año 2021 sin las reformas urgentes a la ley de protección de datos personales. Quedaron seis propuestas en el Senado, todas pendientes de discusión, y se acumularon nuevos desafíos, como la necesaria inclusión de los burós de crédito al cumplimiento de la ley de datos tras el fallo en la Suprema Corte. Pero en el Congreso no hay prisa: el ciudadano y la protección de sus derechos humanos siempre pueden esperar.
Hay distintas velocidades: la del ciudadano, que delega en sus representantes de elección popular; la de los representantes de elección popular, y la de quienes trabajan y se benefician con los datos personales: empresas privadas y entidades públicas.
Las empresas tienen pocos incentivos para presionar por un régimen de protección de datos más robusto, pues significa mayores costos operativos y mayor carga regulatoria. Para las entidades públicas tampoco hay incentivo, pues debe apretar las tuercas de un cambio cultural que se niega a producirse, sin el aliciente de la explotación comercial de datos personales característica del capitalismo en la era digital.
Para los legisladores, reformar una ley que data de 2010 —cuando apenas se popularizaba Facebook en México, no había llegado Netflix y TikTok no se distinguía en el horizonte— significa leer y entender de temas con poco relumbrón en la opinión pública, además de técnicos jurídica y tecnológicamente. Tampoco existe incentivo político claro, a menos de que se trate de aumentar los controles y la vigilancia sobre los ciudadanos o de que se avance en igualar las condiciones entre privados y gobierno para la explotación de la información personal (recuerden la reforma al Código Fiscal que permite al SAT lucrar con nuestros datos biométricos).
Además de incluir a los burós de crédito al cumplimiento de la ley de datos personales, destaco tres reformas urgentes:
1. Sanciones ejemplares y su publicidad
A diferencia de otras jurisdicciones, como la estadounidense o la europea, en México la autoridad de protección de datos enfrenta muchos obstáculos para sancionar de manera ejemplar las vulneraciones o las violaciones a los principios jurídicos del tratamiento de los datos personales. Las sanciones suelen ser bajas y suelen ser desconocidas, lo que les resta posibilidad de ser una advertencia para otros.
No existe en el Senado ninguna propuesta en este sentido, pero es urgente considerando el riesgo que enfrentan los proveedores privados y los servicios públicos en materia de ciberseguridad en un contexto de adopción acelerada de tecnologías digitales.
Tanto la autoridad federal (el Inai) como las locales necesitan mayores atribuciones para imponer sanciones sobre situaciones irregulares y para publicitarlas, que sirvan de escarmiento para que actores públicos y privados mejoren, cuiden su reputación y, sobre todo, cuiden a ciudadanos y consumidores.
2. Notificación en caso de vulneración
Se trata de obligar a las empresas que tratan datos personales a informar a la autoridad cuando se hayan registrado incidentes de seguridad que comprometan o hayan comprometido la información personal. Las entidades públicas sí están obligadas, pero para los privados se trata de una omisión vigente desde la entrada en vigor de la ley en 2010. El llamado Convenio 108+, de cumplimiento obligatorio para México, sí lo contempla.
3. Juicio de amparo y no juicio de nulidad
Es obligadísimo adecuar la regulación a la jurisprudencia de la Segunda Sala de la Suprema Corte que determinó que contra las resoluciones del Inai en materia de protección de datos lo conducente es el juicio de amparo y no el juicio de nulidad.
Los lineamientos que diseñó el Inai se construyeron sobre el artículo 56º de la ley de protección de datos personales en posesión de los particulares, que señala que “los particulares podrán promover el juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa”. La Segunda Sala determinó, en un juicio de contradicción de tesis, que el camino correcto es el juicio de amparo, por relacionarse con la protección de derechos humanos y contra posibles violaciones a la Constitución.
Desde octubre de 2020, cuando se publicó la jurisprudencia, el Tribunal Federal ha hecho maromas para atender los juicios que se encontraban en trámite antes de la jurisprudencia y para encauzar los que fueron presentados después de la jurisprudencia.
Esperemos que con el nuevo año se acelere la máquina legislativa y se fortalezca el régimen de protección de datos personales.