La transformación digital pasa por la recopilación y tratamiento de diferentes tipos de datos, entre ellos los categorizados como personales y sensibles. Las legislaciones de los países han ido adaptándose para proteger los derechos de los ciudadanos sin ralentizar la digitalización de los procesos. En este documento analizamos la legislación de la Unión Europea y de México. En el primer caso se trata de una legislación que se ha convertido en referencia mundial, y que ha impactado en la legislación de diferentes países. En el segundo caso, se trata de una de las más grandes economías de América Latina, y que ha adoptado este tipo de legislaciones de manera más rápida que otros países de la región. Las características de estas legislaciones son elementos de interés para el despliegue de soluciones digitales en América Latina.
La legislación mundial de la protección de datos que proporcionan los países a sus ciudadanos evoluciona con los desarrollos tecnológicos. La aparición de las computadoras y el surgimiento disruptivo del internet, han marcado hitos sin precedentes que más que nunca vale la pena traer a colación cuando se trata de nuevas leyes, y del comportamiento de los humanos en relación a estas nuevas tecnologías. Es por la oferta de nuevos servicios que los usuarios deben proporcionar información personal a las empresas u organizaciones que deben recopilarla, y esta nueva relación debe ser rápidamente absorbida y trabajada por los legisladores para la prevención de posibles fraudes, de modo que se ofrezca protección adecuada. ¿Dónde queda Europa en este escenario, y dónde queda Latinoamérica? Los mecanismos de protección de datos deben ser adecuados para el estado de la técnica, deben ser seguros, y deben proporcionar garantías para que los titulares puedan exigir derechos.
GDPR: Unión Europea y la unificación de leyes precedentes
En Europa la protección de datos personales no siempre ha existido como una ley unificada que provea un marco normativo para la totalidad de países que integran el continente europeo, principalmente porque la Unión Europea, que es una comunidad de cooperación multilateral y un sistema jurídico y político unificador, fue creada recientemente, el 1 de noviembre de 1993. La transformación del potencial de proteger la información personal de los individuos en una ley fue pensada originalmente de manera independiente por cada país europeo, y el sentido de colaboración mutua para que existiera un flujo transfronterizo de datos, de manera más eficaz y accesible, no fue un problema sino hasta mediados de la década de los 90’s.
Los inicios de la legislación referentes a la protección de datos surgen cuando el Concejo Europeo establece estándares para el libre flujo de la información en 1981, debido al crecimiento del uso de computadoras, dando origen a leyes como la Data Protection Act, de 1984 en Reino Unido. Desde ahí, se establecieron más leyes en el continente europeo, cada una independiente de las otras. Con el crecimiento del flujo de datos personales, y los impedimentos que surgían a la vez, la Unión Europea vio que las legislaciones existentes no eran suficientes para cumplir con los requisitos mínimos para el libre flujo de datos personales, y creó la Directiva de Protección de Datos – DPD- en 1995, una entidad supraestatal apoyada por todos los países europeos, con la idea de surtir consejos para que cada país tomara las medidas necesarias. En 1998 Reino Unido establece una nueva Data Protection Act, Alemania y Francia también establecen leyes propias, al igual que otros países europeos. Sin embargo, a pesar de que estas leyes cumplían con los estándares del DPD, no existía la posibilidad de que la legislación local de cada estado cumpliera simultáneamente con sus propios estándares y a la vez con los de los otros países. Esto creó un clima para que la GDPR pudiera unificar la ley de toda Europa, y es así que de las leyes anteriores surgió una ley unificadora.
La GDPR es una ley de 99 artículos que apunta principalmente a dar a los individuos control sobre sus datos personales, tanto en archivos físicos como en internet, y proporcionar a las organizaciones un ambiente que permita el comercio internacional, por medio de la unificación de la regulación en todos los países miembros de la Unión Europea.
Existen dentro de la ley diferentes elementos que resulta útil resaltarlos para poder comprenderla mejor. La Information Comissioner’s Office (ICO), de Reino Unido, clasifica los 99 artículos de ley en los siguientes grupos: las definiciones, los principios, las bases legales para el procesamiento de datos, los derechos individuales, las responsabilidades, la seguridad y tres últimos de menor importancia. Antes de hablar de las medidas de protección y de prevención que ofrece la ley, es importante hablar de un elemento central de la ley, el consentimiento.
Base legal para el tratamiento de datos: el consentimiento
El consentimiento.
El consentimiento es una de las seis bases legales para el tratamiento de datos mencionadas en la GDPR. Para que el tratamiento de datos sea legal, al menos una de las seis bases debe ser puesta en práctica. Como lo explica [IC] el tratamiento de datos personales está prohibido, a menos que sea expresamente estipulado por ley, o cuando el individuo haya dado su consentimiento.
Los requisitos básicos para que un consentimiento sea legalmente adecuado están definidos en el artículo 7 y más adelante especificados en el artículo 32. El consentimiento debe ser dado libremente, ser específico, informado y carente de ambigüedades.
Para que sea dado libremente, el consentimiento no debe ser dado bajo ninguna presión o influencia, lo cual llevaría a que el consentimiento no fuera aprobado. Para ser específico e informado, el titular debe ser informado de la identidad del responsable, cuáles van a ser los datos tratados, cómo van a ser tratados y cuál va a ser el propósito del tratamiento. El titular debe ser informado de su derecho a retirarse del consentimiento en cualquier momento dado, y la posibilidad de retractarse debe ser tan fácil como otorgar el consentimiento. Para que no tenga ambigüedades, el consentimiento debe ser claro y debe ser presentado de tal forma que el titular no sobrelleve malentendidos.
El consentimiento es el elemento esencial al que deben acudir las compañías para que el tratamiento de datos sea posible legalmente. Al recolectar los datos por medio del consentimiento, las compañías pueden proceder a ofrecer sus servicios, los cuales son facilitados en algunos casos por medios no presenciales, con computadores o teléfonos móviles; pero este beneficio también representa un problema para las autoridades, debido a que los criminales obtienen los datos de los usuarios para cometer crímenes o fraudes. Estas actividades ilegales representan un riesgo para la privacidad y confidencialidad de los usuarios, quienes entregan su información personal a las compañías que les facilitan los trámites. ¿Qué medidas de seguridad ofrece la GDPR? A continuación se explica.
Seguridad
La protección de los datos personales que se recolectan en cada servicio en línea, como los datos biográficos (nombres, fecha de nacimiento, dirección, teléfono) o datos sensibles (contraseñas, datos biométricos, estado de salud) está normativizada en la GDPR. Los datos personales deben estar protegidos y debe haber una garantía para que los titulares de estos datos encuentren seguridad a la hora de facilitar sus datos a una organización, en el entorno del internet, aunque también por medios físicos.
Una sección del recital 47 [RGPD2016] reza lo siguiente: “El tratamiento de datos de carácter personal estrictamente necesario para la prevención del fraude constituye también un interés legítimo del responsable del tratamiento de que se trate.” La GDPR requiere que los responsables de los datos traten la información de los usuarios de manera segura, lo que significa que las organizaciones deben considerar cosas como el análisis de riesgo, políticas organizacionales, y medidas físicas y técnicas.
El artículo 5, en al apartado 1 f [RGPD2016] establece que los datos personales deben, en relación a la integridad y confidencialidad, ser “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas”. El anterior es el principio de seguridad, enmarcado en el concepto más amplio de seguridad de la información, en el cual se incluye la ciberseguridad. La definición anterior se traduce en que la organización que recopile los datos debe tener un nivel de seguridad adecuado para prevenir la filtración de información personal.
El principio de la seguridad debe también ser considerado junto al artículo 32 de la GDPR, que es más preciso en el sentido del tratamiento de los datos:
“Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
- la seudonimización y el cifrado de datos personales;
- la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
- la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
- un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.”
La seguridad de la información es preocupante si se consideran los posibles daños que pueden causar individuos u organizaciones criminales. Casos como el fraude de identidad, transacciones fraudulentas con tarjetas robadas, o la búsqueda de víctimas son algunas de las formas en que un criminal puede causar perjuicios a un titular de datos. Las organizaciones deben asegurarse de que los datos estén protegidos. Para esto, deben considerar que los datos sean accedidos, alterados, expuestos o eliminados únicamente por las personas autorizadas a ello.
Como se mencionaba anteriormente, los datos personales en medios informáticos también deben estar protegidos. Las medidas de ciberseguridad deben ser apropiadas para el tamaño y uso del sistema informático que se utilice, deben tener en cuenta el estado de desarrollo tecnológico existente, costos de implementación, y medidas de seguridad adaptadas a las condiciones en las que se está trabajando.
La GDPR no especifica cuáles son los métodos obligatorios bajo los cuales se debe llevar a cabo una protección adecuada a los datos personales, principalmente porque no existen medidas esenciales de las cuales se desprendan instrumentos que encajen perfectamente con las necesidades y problemas de cada organización. Sin embargo, la GDPR sí recomienda medidas que pueden ser útiles, como por ejemplo la seudonimización. Esta técnica es usada para reducir el chance de que las etiquetas que están ligadas a los datos permitan identificar al titular. Las etiquetas pueden ser varios pseudónimos que reemplacen los datos, en la forma de códigos, tokens generados al azar, o valores, para evitar la identificación del titular por parte de terceros no autorizados, y para utilizar los datos verdaderos sólo cuando sea necesario. Otra técnica que recomienda la GDPR es el cifrado, método con el cual la información es encriptada, y solo las personas autorizadas que cuenten con llaves, puedan acceder a la información.
México: La Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares
La primera ley que surgió en México respecto a la protección de datos fue la Ley Federal de Acceso a la Información Pública Gubernamental, en el 2002, que proveía una legislación específica para las organizaciones del sector público. Esta ley surge de la obligación del Estado Mexicano de comunicar y publicar toda la información relacionada al uso de dinero público. La ley expone que existe una necesidad de dar garantía a los ciudadanos de participar democráticamente al acceso de la información en los asuntos del Estado, lo cual apela al artículo 6 de la Constitución, según la cual debe haber rendición de cuentas y supervisión ciudadana. En 2009, además, se reforma la constitución y en los artículos 16 y 73 se otorga reconocimiento al derecho a la protección de datos personales.
Frente a la situación descrita, [OAME2018] reflexiona que existían dos grandes problemas: “la legislación en materia de protección de datos personales en el sector público no garantizaba la totalidad de derechos de acceso, rectificación, cancelación y oposición, y el segundo problema estaba relacionado a la falta de normativa que aplicara a la protección de datos personales en el sector privado.”
Por estos motivos, en el 2010 se publica la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, que dispone una legislación que exige a las empresas proteger los datos en el sector privado.
Después, en 2017, sale la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, con la cual se establecen principios, derechos y obligaciones de las entidades del sector público para defender a los titulares de los datos de posibles ofensas a sus datos personales.
Principio de Seguridad en la Ley General y en la Ley Federal
La Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, son leyes que regulan la protección de datos personales en posesión de terceros.
Ambas leyes son de interés para las organizaciones que busquen la prevención, la contención y la limitación de las actividades fraudulentas que vulneren la seguridad de los titulares de los datos personales, y asimismo pongan en riesgo la confianza que existe entre los usuarios y la organización que ofrece servicios para los cuales fueron recolectados los datos.
El artículo 37 de la Ley General establece que en caso de ocurrir una vulneración a la seguridad de una entidad, se deberá llevar a cabo un análisis de las causas, establecer un plan de trabajo de acciones preventivas y correctivas para mejorar las condiciones de seguridad, de forma a evitar una nueva vulneración.
El artículo 19 de la Ley Federal y el artículo 38 de la Ley General dictan que todo responsable de los datos deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado. “Los responsables no adoptarán medidas de seguridad menores a aquellas que mantengan para el manejo de su información. Asimismo se tomará en cuenta el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico”. [CD2010]
En México, según [INAI2018], los fraudes más comunes son los siguientes:
- robo de información en documentos y medios de almacenamiento desechados incorrectamente;
- empleados que acceden a datos personales sin la autorización correspondiente;
- empleados que revelan información a otras personas a través de engaños;
- robo o pérdida de equipos de cómputo, laptops, teléfonos inteligentes, tabletas, o memorias extraíbles con información personal; y
- acceso ilegal a las bases de datos personales por un externo a la organización.
La Ley General y la Ley Federal establecen que los responsables de los datos deben notificar las vulneraciones que ocurran en cualquier fase del tratamiento de los datos, cuando se afecte patrimonial o moralmente a los titulares. Se entiende derechos patrimoniales del titular por bienes muebles e inmuebles, información fiscal, historial crediticio, ingresos y egresos, cuentas bancarias, seguros, afores, finanzas, servicios contratados, o las cantidades o porcentajes relacionados con la situación económica del titular, según lo establecen los Lineamientos Generales de Protección de Datos Personales para el Sector Público [INAI2017].
Frente a la legislación mexicana surge la inquietud de si las empresas están preparadas para afrontar los retos que representan las vulneraciones y filtraciones de la información de los titulares. Con la entrada de nuevas tecnologías, como la banca virtual, y los servicios en línea que proporcionan las empresas de telecomunicaciones y el gobierno, es importante pensar la seguridad en relación a las leyes mencionadas anteriormente. ¿Se tiene en cuenta el desarrollo tecnológico? ¿Se están tomando las medidas adecuadas para contrarrestar el daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado? Para mostrar cuáles son los instrumentos que se implementan, y los que hacen falta en México, el Estudio de la Seguridad de la Información en México 2017 [PWC2017] llevó a cabo una encuesta que arroja los siguientes datos:
El 87% de las organizaciones mexicanas han sufrido vulneraciones de seguridad de la información en los anteriores 12 meses, el 44% de las fugas de información viene de ex empleados, y el 44% de los incidentes están por causa de dispositivos móviles. El 3.87% del presupuesto de Tecnologías de la Información es asignado a medidas de seguridad, cuando el promedio en Latinoamérica es de 3.89% y a nivel mundial es de 3.67%. El 47% de las empresas mexicanas monitorean los incidentes de ciberseguridad y el 25.4% planea hacerlo en los próximos 12 meses.
Frente a la implementación de métodos de autenticación avanzados, el 65% de las empresas cree que mejora la confianza del cliente, 59% cree que hay una mayor protección contra el fraude y el 52% dice que las transacciones en línea son más seguras. El método de autenticación avanzado más usado en México es el biométrico con un 71%, seguido de softokens, hardtokens y llaves criptográficas.
Conclusiones
Las legislaciones mundiales deben adaptarse a los cambios tecnológicos que surgen a medida que avanza el tiempo. Desde las bases hasta los detalles técnicos, las leyes integran las diferentes necesidades que surgen para proteger la información de los individuos. Europa y México han expedido leyes en la materia. En el caso de la GDPR, como se ha visto, el tratamiento que se le dé a los datos debe ser tal que se garantice la protección contra el uso no autorizado, contra su perdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas apropiadas. Estas medidas incluyen la capacidad de garantizar la confidencialidad, integridad y disponibilidad permanente de los sistemas que guarden la información, la capacidad de restaurar datos que se han perdido, y todo esto dentro de un esquema que verifique y evalúe que el sistema funcione correctamente con el fin de salvaguardar los datos. En el caso Mexicano, por otra parte, se establece que en caso de existir una vulneración, se deben buscar las causas que permitieron esto para delimitar un plan de trabajo que promueva acciones preventivas y correctivas. Además, la legislación mexicana estipula que se deben llevar medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos contra daño, pérdida, alteración, destrucción, o tratamiento no autorizado; éstas últimas medidas se asemejan a las de la ley europea. Por otra parte, las leyes difieren en la recomendación de medidas técnicas para la protección de datos; mientras que la GDPR recomienda la seudonimización, las leyes mexicanas no lo hacen. Las disposiciones con las que ambas leyes ofrecen un marco para proteger los datos de sus ciudadanos, tienden a buscar que las organizaciones, empresas y entidades del sector público las adopten para proveer una seguridad capaz de mitigar los riesgos que representa un mundo en el que existe un flujo de información cada vez más grande, amplio y libre.
Nicolás Spijkers
Bibliografía
[IC] Intersoft Consulting. Consent. Recuperado de https://gdpr-info.eu/issues/consent/
[ICO] Information Commissioner’s Office. Rights related to automated decision making including profiling
[RGPD2016] REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
[GTPD2017] Grupo de Trabajo sobre Protección de Datos del Artículo 29. Directrices sobre el derecho a la portabilidad de los datos. Revisadas por última vez y adoptadas el 5 de abril de 2017.
[OAME2018] Olivia Andrea Mendoza Enríquez. Marco jurídico de la protección de datos personales en las empresas de servicios establecidas en México: desafíos y cumplimiento. Revista IUS 2018.
[INAI2018] Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales. 2018. Recomendaciones para el Manejo de Incidentes de Seguridad de Datos Personales.
[CD2010] Cámara de Diputados de México. Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Año 2010.
[INAI2017] Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales. 2017. Acuerdo mediante el cual se aprueban los Lineamientos Generales de Protección de Datos Personales para el Sector Público.
[PWC2017] PwC 2017. Estudio de la Seguridad de la Información en México 2017.