🤑 Unos billetes para indemnizar por la vulneración de datos personales — Newsletter 161°
José Soto Galindo
21 octubre, 2024Edición 161° de Economicón, la newsletter de privacidad y sociedad de la información de México. Los comentarios son de mi exclusiva responsabilidad.
Las empresas que violan el derecho de protección de datos personales en México no están obligadas a indemnizar ni a compensar a los afectados, a pesar de que se trata de una vulneración que afecta la privacidad, el honor, la seguridad física y patrimonial y la dignidad.
- Tampoco están obligadas a ofrecer medidas compensatorias a los afectados en caso de hackeos o filtración ilegal de sus datos personales.
- Y tampoco reciben un castigo en su reputación porque las sanciones en su contra generalmente no se dan a conocer.
- 😥 Vamos: ni siquiera están obligadas a ofrecer disculpas. Te vulneran tus datos y —si te descuidas— hasta será por culpa tuya.
En corto: la agencia de privacidad puede confirmar que se violaron tus datos si tu hospital hizo mal uso de tu información médica o si a tu banco le robaron tu información financiera. La agencia emitirá una sentencia a tu favor e impondrá sanciones. El hospital o el banco pagará su multa al Gobierno. Fin de la historia.
- Tú ni te vas a enterar porque la ley no prevé que seas parte del procedimiento sancionador. Gracias por participar. (Suprema Corte)
Una iniciativa de reforma de ley en 2022 planteó la posibilidad de indemnizar a los afectados por la vulneración de sus datos personales. Se archivó sin análisis ni discusión. (Rafael Ríos Nuño, IIEG)
- 🤑 La iniciativa propuso duplicar el monto de la sanción contra la empresa que viole la ley de datos y entregar la mitad del dinero a la persona afectada.
- Cito: “En todos los casos que la multa se derive originalmente de un procedimiento de protección de derechos, el monto final deberá incrementarse en un 100% que será entregado al titular afectado”. (Senador Alejandro Armenta Mier)
Suena bien, considerando que los incentivos para los titulares de datos son mínimos y que el castigo por infracciones está diseñado para minimizar los raspones a los responsables.
🤔 Pero no es tan sencillo. Determinar el resarcimiento obliga a analizar el tipo de datos personales vulnerados y tasar las afectaciones materiales e inmateriales, reales o probables, que pueden generar.
🐸 Según el sapo, la pedrada, dirán los clásicos del derecho de reparación de daños.
- La filtración de tu número de teléfono te expondrá a molestas llamadas no solicitadas y sólo si gana tu ingenuidad serás objeto de una estafa.
- La filtración de tu expediente clínico puede bloquearte oportunidades laborales o la contratación de un seguro de gastos médicos. La comunicación no autorizada de tu historial crediticio te pone en riesgo de extorsión o secuestro. (Economicón)
Luego tenemos consideraciones de orden público: ¿qué fin concreto busca la indemnización?
- La indemnización puede ser compensatoria: para resarcir daños morales o patrimoniales de la persona afectada.
- Puede ser disuasoria: para que otras empresas aprendan con el ejemplo ajeno.
- O puede ser punitiva: para castigar por prácticas negligentes o abusivas.
🩸 Que sangre, para que duela, gritará la fanaticada de los daños punitivos.
La ley de datos necesita ajustes. Uno obligadísimo es prever el resarcimiento a los titulares de datos en caso de vulneración.
La indemnización no es la única vía. Las empresas infractoras pueden conciliar u ofrecer compensaciones simbólicas.
- Ticketmaster México ofreció, motu proprio, un servicio de monitoreo de las cuentas, contraseñas y datos en internet de los clientes afectados por el hackeo de 2024 para advertirles de riesgos por su circulación ilegítima.
- Puede ser un periodo de gratuidad en el servicio otorgado (tu plan telefónico o de streaming, por ejemplo), boletos de entrada al estadio o asumir el costo por la emisión de documentos que sustituyan a los filtrados, según sea el caso.
🤗 Es una manera de decir “Me importas” y lo “Lo lamento”.
Eso funciona en una economía donde la reputación importa. No es el caso de México, donde el lobby corporativo tiene suficiente músculo para diseñar leyes, reducir el castigo por los abusos y controlar la publicidad de las sanciones. (El Economista)
Podemos corregirlo ejerciendo nuestro derecho a la protección de datos personales, denunciando vulneraciones a nuestra privacidad y exigiendo en redes sociales una práctica corporativa más responsable.
- ⚖️ Claro: también necesitamos una reforma legal que incorpore el resarcimiento. Se trata de nuestro derecho humano a la protección de datos personales.
La letra chiquita
La iniciativa de reforma de 2022 sólo contempló la indemnización en caso de que la empresa no atendiera los derechos ARCO. O sea, cuando se negara a tramitar solicitudes de acceso, rectificación, cancelación u oposición de datos personales, lo hiciera de manera deficiente o sin cumplir los principios que debe respetar.
- La indemnización por hackeos o filtraciones ilegítimas quedó fuera de la propuesta.
Una reforma bien hecha debe contemplar todas las posibilidades. Apostemos por ella.
Newsletters anteriores
- Intrusos en la Matrix
- 👧🏽 Personas como tú y como yo (y otra gente del montón)
- Permiso para vigilar tus llamadas telefónicas
- 🦸 La Súper Defensoría del Consumidor
- 📢 La publicidad del gobierno de López Obrador
Otras noticias
Datos personales y privacidad
- La mercancía más valiosa son los datos personales: Juan Villoro (El Universal)
- México: CURP Biométrico: requisitos para tramitarlo, ¿en Veracruz?, de Itzel García (Radio Fórmula)
- Nota: El CURP Biométrico o CURP con foto no ha sido aprobado.
- Data Privacy: Your Wireless Carrier Knows More Than You Think. Here’s How to Take Back Control (CNET)
En Economicón: - How to Stop Your Data From Being Used to Train AI (Wired)
- Drones, sensores de calor y láser en las fronteras españolas: los controles migratorios se sofistican (El País 🔐)
- Can You Turn Off Big Tech’s A.I. Tools? Sometimes, and Here’s How (The New York Times 🔐)
Periodismo y libertad de expresión
- México: Sheinbaum delega al Sistema Público de Radiodifusión la sección “Detector de mentiras” en noticias (Animal Político)
- México: Economía endurecerá reglas para importaciones vía e-commerce (El Economista)
Plataformas y telecomunicaciones
- México: Los famosos satélites de Tulancingo, primeros en Latinoamérica, en esto se convertirán (La Silla Rota)
- México: Así puedes registrar un contrato de arrendamiento en la CDMX (Expansión)
- México: Cofece y las barreras a la competencia en e-commerce, de Francisco Téllez (El Sol de México)
- Europa: Google construirá siete reactores nucleares para alimentar sus centros de datos de inteligencia artificial (elPeriódico)
Otras lecturas
- Geonnitus o el mundo del fracking que nadie quiere ver, de Maristella Svampa (Otra Parte)
- ¿El Supremo Tribunal de Brasil salva a la democracia o la amenaza? (The New York Times 🔐)