En México, desde hace meses, no podías contratar un paquete en Telcel sin registrar tus datos biométricos y, con las nuevas leyes, esta medida se vuelve obligatoria para todos los que compren una tarjeta SIM de cualquier compañía. Una vez compartida la información, sus usos no pueden ser controlados por los titulares, lo que legitima un modelo en el que se violan derechos de forma masiva y ante el cual todos somos vulnerables.

¿Qué son los datos personales y por qué deben protegerse? 

Cualquier información que identifique o pueda identificar a las personas (nombre, teléfono INE, ADN, iris, video y muchas otras) es un dato personal. Los datos que contienen circunstancias o información relacionada con la esfera más íntima de las personas —ideología, afiliaciones sindicales, religión o creencias, origen racial, salud, vida sexual, datos biométricos (como la huella digital o la voz) y genéticos— deben protegerse de forma reforzada, más en una realidad en la que la informática se relaciona con nuevas ciencias, como la minería de datos y con nuevas técnicas de Inteligencia Artificial. Y es que existen algoritmos que, desde un celular, pueden analizar y conocer cuestiones de salud antes de que las mismas personas sean conscientes. 

Tales informaciones podrían, por ejemplo, discriminar a la hora de cerrar un contrato de trabajo o, en un extremo nocivo, ser utilizadas por gobiernos y partidos políticos para controlar o manipular electoralmente a amplios sectores sociales, al conocer los patrones de comportamiento (o las preferencias) de las personas. El caso de Facebook y Google Análitica en 2018 demostró cómo a partir de algunos datos individuales, se puede acceder a mucha información de otras personas. Por ejemplo, al compartir una localización o muestras de ADN, se entrega información de personas, conocidas o desconocidas (que se encuentran en el mismo lugar), presentes o futuras (en el caso de familiares). En este contexto, la privacidad es colectiva y los efectos de la falta de ésta impactan en toda la sociedad. 

¿Qué está pasando en México?

La creación del Padrón Nacional de Usuarios de Telefonía Móvil (aprobado el pasado 13 de abril y en vigor desde el sábado siguiente), así como el debate pendiente en el Senado sobre la implementación de la Cédula Única de Identificación Digital (CUID), son acciones muy peligrosas. La facilidad de vender, robar o filtrar información personal y privada de forma masiva en la red quedó demostrada tras lo ocurrido con la base de datos del Registro Nacional de Usuarios de Telecomunicaciones (RENAUT) en 2011. 

A pesar de que la actual Fiscalía General de la República ha sido señalada por contratar programas para el ciberespionaje masivo de teléfonos móviles con la misma empresa que estuvo involucrada en el escándalo del software Pegasus (destapado en junio de 2017), los argumentos que defienden las costosas medidas impulsadas por el gobierno hablan de la lucha contra el crimen organizado y otros delitos (como la extorsión) y promueven la necesidad de adaptarse a las nuevas tecnologías y contribuir con el medio ambiente. 

Sin embargo, una cosa es agilizar los trámites a partir de tecnología y otra, muy distinta, concentrar toda la información que debe estar especialmente protegida, facilitando la vigilancia del Estado, en un país en el que la confianza en las instituciones se resquebraja, día tras día, sexenio tras sexenio. 

¿Cómo se protegen en otros lugares?

En Europa, las discusiones en torno a la intersección entre privacidad y tecnología derivaron en la creación del Reglamento General de Protección de Datos, en el que se incrementaron las obligaciones específicas, tanto para los Estados como para las empresas y organizaciones, sobre la recogida, el almacenamiento y la gestión de datos personales. 

Además de reforzar garantías ya existentes (como el derecho de acceso, la rectificación y la oposición), se crearon nuevos derechos como la supresión, el olvido o la portabilidad de los datos; se pusieron límites a su tratamiento (debe ser lícito, leal y transparente) y se enfatizó en la calidad de los datos (exigiendo su exactitud y actualización). Esto implica que sólo pueden almacenarse para finalidades concretas y conservarse por un plazo determinado; no se pueden solicitar más datos de los necesarios para el fin específico, y se debe garantizar la integridad, la confidencialidad y la seguridad. Estos son los principales principios de protección: 

1. Consentimiento: los gobiernos deben impulsar formas de participación que contemplen la opinión de las personas y les permitan decidir sobre el tratamiento de sus datos personales.
2. Mayor transparencia: los titulares de los datos deben recibir información sobre tratamientos que incluyan toma de decisiones automatizadas o elaboración de perfiles (que asocian datos sobre la personalidad o hábitos), y pueden oponerse a este tratamiento o exigir intervención humana.
3. Interés legítimo del responsable del tratamiento: sin que sea sinónimo de finalidad y sin que afecte otros derechos especialmente protegidos (en el caso de niñas y niños, por ejemplo). 

Entre las obligaciones que se imponen a las entidades y organizaciones que realizan tratamiento de datos destaca la designación de Delegados de Protección de Datos (Data Protection Officer, DPO) y la realización preventiva de evaluaciones de impacto en protección de datos (Privacy Impact Assessment). Para determinar el nivel de riesgo que puede implicar cierto tratamiento para los derechos y libertades de las personas, y evaluar su viabilidad a partir del establecimiento de las medidas de control más adecuadas para reducir los peligros (por ejemplo, la seudonimización y el cifrado de los datos personales). Además, se detalla el procedimiento para gestionar brechas de seguridad (por la destrucción, pérdida o alteración accidental o ilícita de datos personales) y dar aviso a las autoridades en un plazo máximo de 72 horas, dado el alto riesgo de lesiones a otros derechos. 

#NoalPadrón

La tecnología debe servir para impulsar medidas (técnicas y organizativas) que eviten la vulneración de derechos y libertades. Contar con bases de datos biométricas centralizadas implica exponer a las personas a una vigilancia masiva, que violenta los requisitos de necesidad, proporcionalidad o autorización judicial. Lejos de reforzar la protección, las dificultades para almacenar información sensible de forma segura y la facilidad de que los datos sean usados con fines perniciosos, hace que las medidas adoptadas en México      pongan en jaque la democracia del país. En un momento en el que la separación de poderes es puesta en duda, se cuenta con 30 días naturales (desde el sábado 17 de abril) para que se presenten acciones de inconstitucionalidad. El Pleno del INAI manifestó unanimidad, el pasado 27 de abril, para interponerla ante la Suprema Corte de Justicia, pero también pueden hacerlo el 33 % de Diputados y/o Senadores o la CNDH, entre otros). Además, la ley contempla  30 o 15 días hábiles para que se presenten amparos por cualquier persona perjudicada, y ya están trabajando en ello, pro bono, reconocidos despachos de abogados, en favor de los derechos de la sociedad. EP

Este País se fundó en 1991 con el propósito de analizar la realidad política, económica, social y cultural de México, desde un punto de vista plural e independiente. Entonces el país se abría a la democracia y a la libertad en los medios.

Con el inicio de la pandemia, Este País se volvió un medio 100% digital: todos nuestros contenidos se volvieron libres y abiertos.

Actualmente, México enfrenta retos urgentes que necesitan abordarse en un marco de libertades y respeto. Por ello, te pedimos apoyar nuestro trabajo para seguir abriendo espacios que fomenten el análisis y la crítica. Tu aportación nos permitirá seguir compartiendo contenido independiente y de calidad.