La protección de datos personales es vital. En México, de los 88 millones de usuarios de internet, 22% reportaron en 2022 haber sufrido alguna vulneración de ciberseguridad, de acuerdo con la Asociación de Internet MX (AIMX).
Prácticamente una de cada tres víctimas lo fue por suplantación de identidad y una de cada siete experimentó fuga de información sensible. Ambas situaciones, relacionadas con los datos personales.
Dos años antes, en 2020, se reportaron 98 millones de vulneraciones de datos personales, entre los cuales hubo 12 importantes hackeos de ciberseguridad, mayoritariamente en el sector público.
¿Qué son los datos personales?
Los datos personales son todos aquellos que permiten identificar de forma directa o indirecta a un individuo, independientemente del soporte en que se encuentren, ya sea físico o digital.
Lo son el nombre, domicilio, foto, número de teléfono, firma, historia laboral y académica —los cuales sirven para la identificación directa—, como también el correo electrónico, la dirección IP del dispositivo telefónico o el nombre de usuario en redes sociales o datos biométricos —que aportan la identificación indirecta—.
Toda información relacionada con una persona identificable constituye el conjunto de datos personales.
Lo que dice la ley
La protección de datos personales es un conjunto de medidas para garantizar y proteger la información concerniente a personas físicas identificadas o identificables, que la haga susceptible de tratamiento, así como a toda modalidad de uso posterior de estos datos por parte de los sectores público y privado.
México cuenta con una ley que regula el tratamiento de los datos personales en manos de particulares o empresas del sector privado desde 2010. Se trata de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), que rige el manejo de la información personal de colaboradores, clientes o proveedores, entre otros.
Esta ley establece diversas regulaciones para el tratamiento de datos personales, medidas para garantizar la privacidad de la misma, así como el derecho de los titulares para decidir que se hace con su información.
Su complemento es el Reglamento correspondiente, publicado en diciembre de 2011.
La aplicación de ambos instrumentos pretende evitar que los datos personales sean utilizados indebidamente, al tiempo que se respeten los derechos de los dueños de los datos y que se garantice una expectativa razonable de privacidad.
Una historia de más de 20 años
En la esfera del sector público, la regulación aplicable para la protección de datos personales viene de más lejos.
En 2002 se expidió la Ley Federal de Transparencia y Acceso a la Información Pública (LFTAIP), que dio lugar a la creación en 2003 del Instituto Federal de Acceso a la Información y Protección de Datos (IFAI).
En 2015, éste se transformó en el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).
Información identificable por métodos digitales
En el ámbito digital, toda la información que se pueda recopilar acerca de una persona constituye su identidad digital a partir de dos categorías: atributos digitales, como fecha de nacimiento, correo electrónico, historial médico o datos bancarios, y actividades digitales, como descargas de aplicaciones, historial de búsquedas, fotos publicadas en redes sociales, textos publicados en foros, geolocalización, compras y otras más.
La enorme cantidad de datos personales que se dejan a manera de huella, hace a un usuario identificable en el entorno digital, ya sea para acceder a diversos recursos físicos o informáticos, o bien para que esos datos sean usados con fines mercadológicos, analíticos o de investigación.
A mayor cantidad de información identificable en el mundo digital, más probabilidad de vulnerabilidades que dejan abierta la puerta para la ciberdelincuencia.
De ahí que diversas voces, tanto en los bufetes jurídicos como en las empresas tecnológicas, insisten en la necesidad de actualizar la LFPDPPP para incorporar mucho de lo que en términos digitales ha sucedido desde 2010.
Los roles en la protección de datos personales
En el articulado de la LFPDPPP se definen varios roles de quienes participan activamente en los procesos de protección de datos personales, cuyas características hay que tener bien entendidas debido a la responsabilidad jurídica que implican.
Responsable
Es la persona física o jurídica, privada o pública, que decide sobre el tratamiento de los datos, es decir, toma decisiones sobre qué hacer con los mismos, es quien se hace cargo desde que el dato entra a formar parte del sistema de información hasta la eliminación del mismo.
Encargado
Es la persona física o jurídica que trata los datos personales por cuenta del responsable del archivo, como consecuencia de la existencia de una relación jurídica (contrato de prestación de servicios) que le vincula al responsable.
El encargado de tratamiento solo puede acceder a los datos personales recogidos por el responsable del archivo, cuando ese acceso se entiende como necesario para el cumplimiento de un propósito que el responsable de los datos encomienda en virtud de contrato al encargado.
El tratamiento de los datos personales incluye su obtención, uso, divulgación y almacenamiento, en cualquier medio. El uso abarca acceso, manejo, aprovechamiento, transferencia o disposición.
Controlador
Es la persona, autoridad, dependencia u otro organismo que solo, o en conjunto, determina la finalidad y los medios para procesar los datos personales.
Procesador
Se refiere a la persona, autoridad pública, dependencia u otro organismo que procesa datos personales en nombre del controlador.
Una organización se entiende como controlador de datos si regula y es responsable de los datos personales que tiene. De otra manera, si tiene datos personales pero alguna otra organización decide y es responsable de lo que pase con ellos, estamos ante un procesador de datos.
Obligaciones y estándares
Entre las obligaciones y responsabilidades de las empresas que tratan datos personales está el brindar información suficiente a los titulares de los datos sobre el tratamiento de éstos, así como obtener su consentimiento.
Tener disponible un aviso de privacidad en el sitio web de la empresa es no sólo recomendable sino prácticamente obligado, ya que es donde se informa a los usuarios acerca de las características principales del tratamiento a que serán sometidos sus datos personales.
Además, es obligación de las empresas permitir que los titulares de los datos ejerzan sus derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO).
Por otra parte, las empresas que se hacen responsables del tratamiento de datos personales deben apegarse a la aplicación de una serie de estándares o principios básicos incluidos en la Ley de Protección de Datos. Estamos hablando de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad.
Sistemas informáticos para seguridad y confidencialidad
La seguridad informática busca preservar la confidencialidad, integridad y disponibilidad de los datos almacenados en un sistema informático.
Antivirus, firewalls, pentesting o software para prevención de pérdida de datos (DLP, por sus siglas en inglés) son algunas de las medidas de seguridad que se integran en un sistema de gestión integral que incluye también la autenticación, así como la seguridad física del hardware y de los dispositivos de almacenamiento, y la seguridad lógica de las aplicaciones de software.
En este contexto, las prácticas de seguridad de datos se enfocan en proteger la información digital contra el acceso no autorizado, la destrucción involuntaria, la corrupción/fraude o el robo a lo largo de toda la vida del dato en la empresa.
Derechos con relación a los propios datos personales
La LFPDPPP establece los derechos que cada persona tiene con relación a sus datos personales, al tratamiento del que son objeto e incluso a objetar la legalidad de algunos procesos. De tales derechos debemos estar bien informados, para ejercerlos.
Se trata del derecho de acceso, de rectificación, de oposición, de supresión o derecho al olvido, de limitación del tratamiento, de la portabilidad y de no ser objeto de decisiones individualizadas/desproporcionadas.
Pero el enfoque más importante desde la perspectiva de los usuarios es el de los derechos ARCO, ya mencionados arriba, que están reconocidos en la Constitución, en la LGPDPPP y en los Lineamientos Generales de Protección de Datos Personales para el Sector Público.
Hay preguntas que los mismos negocios se plantean en cuanto a los límites, en ocasiones imperceptibles, acerca de la legalidad en temas como hacer o no análisis de datos personales.
Responsabilidades legales por incumplimiento
Los tipos de responsabilidades legales derivadas del incumplimiento a la LFPDPPP son principalmente sanciones de tipo económico.
La legislación contempla 19 conductas en que pueden incurrir las empresas en materia de protección y tratamiento de datos personales, por las cuales pueden ser sancionadas a través de multas que van desde 100 hasta 320,000 días de salario mínimo o su equivalente en UMAS.
Para ilustrar: en 2021 el INAI aplicó multas equivalentes a poco más de $90 millones de pesos por infracciones a la LFPDPPP. En tanto que para 2022 reportó una recaudación de $60 millones de pesos por el mismo motivo.
