Adhesión de México al Convenio 108, un balance positivo.

14 mar

Introducción

Los derechos humanos cumplen una función muy importante en las relaciones del Estado con los ciudadanos porque controlan y rigen el ejercicio del poder, otorgan libertades a las personas y demandan que los Estados satisfagan las necesidades humanas fundamentales de aquellos que se encuentran bajo su jurisdicción.

Sin embargo, en las diferentes etapas históricas de la humanidad, el reconocimiento de estos derechos se ha caracterizado por ser claramente diferenciado; no ha sido siempre el mismo. El cambio de ritmo y a la evolución que han experimentado las relaciones humanas ha generado el reacomodo en el reconocimiento y la garantía de los derechos humanos, clasificándolos no en categorías cerradas o invariables sino más bien abiertas y versátiles, cuyo reconocimiento jurídico depende del interés en dar soluciones a las necesidades sociales históricas, frente a las distintas agresiones y amenazas existentes. Los avances tecnológicos en materia de información y comunicación no han sido la excepción, en efecto, han marcado un nuevo rumbo en la historia de la humanidad y como tal exigen la tutela de nuevas prerrogativas.

En este orden de ideas cabe puntualizar, como antecedente, que el derecho a la protección de datos personales -que deriva a su vez del derecho a la intimidad- encuentra su origen en el artículo 12 de la Declaración Universal de los Derechos Humanos de 1948 que establece: “Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques”; y dicha enunciación, se encuentra reconocida en la mayoría de las normas constitucionales.

Con el auge de la tecnología de la información en la década de los sesenta, se generó una creciente necesidad de contar con normas más detalladas para salvaguardar a las personas físicas protegiendo sus datos personales, pues se hizo evidente la entrada en escena nuevos métodos de injerencia en el ámbito privado de las personas que requerían una regulación específica.

Europa advirtió pertinentemente esta necesidad y desde finales de los sesenta, fue adoptando un marco regulatorio preciso; el Comité de Ministros del Consejo de Europa acogió diversas resoluciones en materia de protección de datos personales referidas al artículo 8 del Consejo Europeo De Derechos Humanos, sentando las bases para que el 28 de enero de 1981 se firmara el Convenio Para La Protección De Las Personas Con Respecto Al Tratamiento Automatizado De Datos De Carácter Personal (Convenio 108).

Este Convenio cobra una enorme importancia pues, junto con su Protocolo Adicional (Convenio 181) de 2001 1, fue y sigue siendo el único instrumento internacional jurídicamente vinculante en el ámbito de la protección de datos que se aplica a todo tratamiento de datos realizado por los sectores público y privado 2 y protege a las personas físicas contra los abusos que pueden llevarse a cabo en el tratamiento de sus datos personales, al tiempo que busca regular los flujos transfronterizos de éstos.

Latinoamérica por su parte, ha tenido que recurrir al modelo europeo para implementar en cada uno de sus países una protección efectiva a los datos personales de sus ciudadanos, siendo hasta hoy pocos los países que lo han logrado y, en mucho menor medida, aquellos que han reconocido expresamente a la protección de datos personales como un derecho fundamental dentro de sus constituciones.

En un hecho sin precedente, el 12 de junio de 2018, México se adhirió al Convenio 108 y a su Protocolo Adicional de 2001, mediante Decreto Publicado en el Diario Oficial de la Federación; la adhesión de nuestro país constituye una expresión de la atención que da el Estado al principio de progresividad en materia de derechos humanos, al reforzar la tutela del derecho a la protección de los datos personales.

El 10 de octubre de 2018, se firmó en Estrasburgo la nueva versión del Convenio: el Convenio 108+, que moderniza al anterior Convenio para armonizarlo con el Reglamento General de Protección de Datos de la Unión Europea en vigor desde mayo de 2018, específicamente en materia de transparencia y proporcionalidad en el tratamiento de datos, incrementando las garantías que han de adoptarse junto con adecuadas medidas de salvaguarda 3.

Cabe señalar que el Convenio 108 es vinculante para los Estados que, como México, lo han ratificado, pero no podemos dejar de observar que a pesar de la necesidad de generar estándares comunes que respondan a los riesgos provenientes del desarrollo tecnológico en un mundo global con objetivos compartidos, la evolución del derecho a la protección de datos personales, desde una perspectiva internacional, ha sido asimétrico y aún tiene un largo camino por recorrer.

Adhesión de México al convenio 108, un balance positivo

La Constitución Política de los Estados Unidos Mexicanos de 1917, establece en su artículo 16, derechos relativos a la libertad individual, de entre los que destacan la inviolabilidad de la correspondencia y el domicilio 4, el secreto a las comunicaciones privadas 5 y derecho del habeas data 6 7. Todos ellos, derechos vinculados con la intimidad, que protegen ciertas áreas o espacios relativos a todo ser humano.

El recuento de las reformas constitucionales a los artículos pilares en la materia de derecho a la vida privada y protección de datos cobra relevante importancia si se aprecia de manera cronológica que desde el año 1983, nuestra Carta Fundamental ha protegido los derechos antes mencionados; sin embargo no es sino hasta el 30 de diciembre de 2002 que entró en vigor la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental y se creó el organismo supervisor de dicha ley: el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) 8.

A partir del avance tecnológico mundial se fue volviendo más necesario dar respuesta a nuevas pretensiones individuales nacidas de la tecnología de la información y la comunicación; por esta razón, en julio de 2007 se implementaron acciones con miras a consolidar la protección de datos personales en posesión de las empresas particulares, reformándose la Constitución el 20 de julio de 2007, para adicionar una nueva sección con siete fracciones al artículo 6°, cuyo inciso segundo indica que:

“II. La información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que fijen las leyes.”

Tuvieron que transcurrir tres años más, y dos modificaciones a otros artículos de la Constitución Mexicana (16° y 73°) 9, antes de llegar a la promulgación y posterior publicación, el 5 de julio de 2010, de una ley específicamente dedicada a la materia, que consagrara la protección de los datos personales en posesión de los particulares: la Ley Federal de Protección de Datos Personales en Posesión de Particulares, publicándose su Reglamento en el Diario Oficial de la Federación, el 21 de diciembre de 2011. Esta ley, de orden público y observancia general en toda la República, es la primera ley en México que contempla la protección de los datos personales en posesión de particulares para regular su tratamiento legítimo, informado y controlado a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

A pesar de este enorme avance, a nivel del sector público, la regulación en se fue dejando en manos de las legislaturas locales, lo que ocasionó falta de regulación específica en algunas entidades federativas, disparidad, poca uniformidad e importantes asimetrías regulatorias.

El 7 de febrero de 2014 se publicó en el Diario Oficial de la Federación un decreto por el que se reformaron y adicionaron diversas disposiciones constitucionales, contemplando la creación de un organismo autónomo con atribuciones en materia de transparencia, acceso a la información pública y protección y tratamiento de datos personales en posesión de sujetos obligados; dicho decreto contempló otorgar una facultad adicional al Congreso de la Unión consistente en la posibilidad de promover leyes generales que sentaran bases y principios en materia de transparencia, acceso a la información pública y protección de datos personales en posesión de las autoridades, entidades, órganos y organismos gubernamentales de todos los niveles de gobierno, ordenando las adecuaciones correspondientes en las constituciones estatales.

El Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) se transformó en el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), tras la publicación de la Ley General de Transparencia en el año 2015.

El 26 de enero de 2017, se publicó la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.

La paulatina adecuación de nuestra legislación interna aunada a las aportaciones de la Suprema Corte de Justicia en materia de protección de datos personales y la activa participación del INAI en La Red Iberoamericana de Protección de Datos, hicieron posible que en año 201710 México recibiera la invitación formal por parte del Comité de Ministros de la Unión Europea para adherirse al Convenio 108 y a su Protocolo Adicional; el Convenio, junto con su Protocolo Adicional fueron suscritos por nuestro país el 12 de junio de 2018 con muy altas expectativas en pro de fortalecer nuestra confiabilidad frente al mundo en el ejercicio de las relaciones comerciales, educativas, científicas y humanitarias, tanto en el sector público como en el privado.

Es preciso señalar que la suscripción del Convenio 108 y de su Protocolo Adicional sientan un precedente importantísimo, pues se trata del primer instrumento internacional en materia de protección de datos personales que ratifica el Estado mexicano; ciertamente supone una serie de beneficios para el Estado en términos políticos y económicos, pero los principales beneficiados somos los individuos porque se regula uno de nuestros derechos humanos fundamentales.

Entre los beneficios de este Convenio podemos advertir que nos coloca en un plano de igualdad con los demás Estados signatarios, lo cual implica que nuestra normatividad interna se apega a los máximos estándares internacionales, así como a las buenas prácticas en la materia, posibilitando transferencias recíprocas de datos entre los Estados Parte y regulando el movimiento transfronterizo de datos hacia terceros países.

El Convenio permite ampliar el alcance territorial de la protección de datos personales haciéndolo extensivo para los usuarios a escala mundial en los Estados Parte. Además, una enorme ganancia para los mexicanos que residen en cualquiera de los Estados Parte es que pueden ejercer con libertad su derecho de protección de datos personales y, por ende, acudir ante cualquier autoridad responsable de asegurar el cumplimiento del contenido del Convenio cuando sus datos sean vulnerados.

La adhesión al Convenio también fomenta la cooperación internacional -necesaria para el equilibrio mundial- porque estipula expresamente que las Partes se obligan a prestar asistencia mutua para el cumplimiento de las obligaciones adquiridas.

Por otro lado, formar parte de este Convenio también nos obliga a disponer de autoridades independientes responsables de garantizar su cumplimiento que cuenten con las competencias necesarias para atender -particularmente- las reclamaciones formuladas por cualquier persona en relación con la protección de sus derechos y libertades fundamentales respecto de los tratamientos de datos de carácter personal. En este sentido, el INAI es el organismo autónomo que cuenta con atribuciones para cooperar con otras autoridades de supervisión y organismos nacionales e internacionales en materia de protección de datos personales para combatir conductas relacionadas con el indebido tratamiento de dicha información y fomentar una cultura de privacidad.

Como se ha referido de manera implícita en este escrito, la protección de datos personales no es, y nunca ha sido, un tema local o regional, sino que conlleva la cooperación y desarrollo de estándares y prácticas comunes a nivel internacional; por esta razón es posible afirmar que nuestra adhesión al Convenio y su Protocolo Adicional, reporta significativos avances en materia de protección de datos personales y es una clara muestra de la voluntad política de México como un Estado garante de los derechos humanos.

Sin embargo, no debemos obviar que, para lograr mayor eficacia en la aplicación de la legislación nacional e internacional en materia de protección de datos personales, es necesario contemplar algunas cuestiones como las que se proponen a continuación:

Reflexionar si, a la luz de los nuevos retos que ahora enfrenta el INAI, marcados por el creciente volumen de datos que habrá de asegurar, su diseño institucional11 resulta adecuado para hacerse cargo tanto de proteger los datos personales como de la transparencia y acceso a la información o bien, si es necesaria la creación de otro organismo independiente que tenga la capacidad de salvaguardar exclusivamente la garantía de la protección de datos personales.
Adecuar la normatividad penal federal en materia de delitos y penas específicos en caso de violación al derecho de protección de datos, armonizado con el Convenio 108; determinar un proceso judicial claro y concreto de tutela al derecho a la protección de datos personales con apego a los términos del Convenio 108 y su Protocolo Adicional;
Establecer medios y procedimientos para el cumplimiento del Convenio 108 y mecanismos de evaluación periódica que den cuenta y aseguren su cumplimiento;
Establecer y dar a conocer protocolos para el cumplimiento efectivo de la normativa de protección de datos por parte de la autoridad de control ya que esto es esencial para la aplicación práctica del Convenio;
Evitar la excesiva judicialización de los procedimientos, dotando al organismo de control (INAI), de recursos humanos, materiales y tecnológicos suficientes para velar por la seguridad de los datos;
Garantizar que los procedimientos de reclamación sean claros, conocidos y que se sustancien con éxito en forma extrajudicial, ante el organismo de control;
Dar a conocer mediante campañas masivas de comunicación, los alcances de la protección a los datos personales dentro y fuera del territorio nacional, que son posibles gracias a la adhesión de México al Convenio 108 y su Protocolo Adicional, así como la sede e identidad de la autoridad responsable de las bases de datos de tratamiento automatizado de datos personales;
Que el Estado Mexicano acompañe la legislación con políticas públicas que incluyan un conjunto de acciones y estrategias de contenido mucho más preventivo que sancionador y reparador en materia de protección de datos personales en concordancia con el Convenio 108 y su Protocolo Adicional;
Adecuación periódica de las normas de protección de datos personales conforme los dicte la evolución de la tecnología a nivel mundial 12;
Promover mecanismos de autorregulación entre agentes tanto del sector privado como del público a través de la adopción de códigos internacionales de buenas prácticas, fortaleciendo con ello la confianza entre los titulares de los datos personales.
Llevar a cabo consultas públicas y mesas redondas de expertos, para analizar y debatir los alcances y aplicación del Convenio 108 y 108+ desde la perspectiva mexicana y global, documentar las experiencias y publicar más información que sirva como fuente de consulta para todos los interesados.

Conclusión

El potencial del Convenio como norma universal, junto con su carácter abierto, es una buena base para promover la protección de datos a escala mundial. Sin embargo, extender el alcance jurisdiccional de un instrumento legislativo no viene sin riesgos y estos riesgos deben ser cuidadosamente advertidos y debatidos por los legisladores mexicanos, de manera que se prevengan y eviten conflictos con otros Estados Parte.

Para que el Convenio 108 y su Protocolo Adicional funcionen como es debido, es necesario que las autoridades cuenten con las atribuciones y recursos para poder educar a la sociedad; la sociedad civil puede y debe cumplir un rol activo que la empodere para hacer respetar su derecho.

Debemos reconocer que, en México, no es mucho el camino transitado hasta ahora en materia de protección de datos personales, su incorporación a nuestra cultura y legislación es reciente, máxime si lo comparamos con otros países donde existe una prolijidad en la jurisprudencia que hace posible una sólida salvaguarda de este derecho; sin embargo, vamos en buena dirección, contamos con una regulación acorde a los estándares internacionales y esto hace factible una rápida adopción del Convenio 108 y su Protocolo Adicional.

Aún estamos cimentando el marco de protección de datos pertinente que, de la mano de mecanismos de aplicación robustos e integrales, sea totalmente funcional y actúe como base -y no como techo- en la protección de este derecho fundamental, lo cual, en definitiva, construirá certidumbre y confianza para el uso de los datos personales de los mexicanos como ciudadanos del mundo.

Notas

1 - El 8 de noviembre de 2001, se adoptó el Protocolo Adicional relativo a las autoridades de control y a los flujos transfronterizo de datos, que complementa los objetivos establecidos en el Convenio en un primer momento.

2 - Incluidas las autoridades judiciales y los cuerpos de seguridad.

3 - Los cambios más relevantes incluidos en el Convenio 108+ se refieren a: la clarificación de las bases legales bajo las cuales se pueden tratar los datos personales; la ampliación del catálogo de datos sensibles; la obligación de notificar, al menos a las autoridades de supervisión, las brechas de seguridad que afecten a los individuos; la garantía y ampliación de los derecho de acceso y supresión; que los responsables y encargados de tratamiento tomen todas las medidas para asegurar que se cumple con la normativa de protección de datos, se instaura, el principio de responsabilidad proactiva; la facilitación de transferencias de datos, ya sea entre miembros o terceros Estados y se hace hincapié en la importancia de que las autoridades de supervisión, además de constituirse como instrumentos sancionadores, inviertan en formación y concienciación en este sector.

4 - Reforma del 3 de febrero de 1983.

5 - Reforma del 18 de junio de 2008.

6 - Reforma del 1 de junio de 2009.

7 - Lucas Murillo la define como “el control que a cada uno de nosotros nos corresponde sobre la información que nos concierne personalmente, sea íntima o no, para preservar de este modo en último extremo, la propia identidad, nuestra dignidad y libertad”

8 - En un principio, su campo de vigilancia sólo alcanzó a la Administración Pública Federal y a los organismos autónomos como el Instituto Federal Electoral, la Comisión Nacional de Derechos Humanos y el Banco de México.

9 - El 30 de abril de 2009, se emitió un decreto por el que se adicionó la fracción XXIX-O al artículo 73 Constitucional, otorgando facultad exclusiva al Congreso de la Unión para legislar en materia de protección de datos personales en posesión de particulares; teniendo como justificación el hecho de que esta materia afecta las transacciones comerciales y que la regulación del comercio es de ámbito federal, se determinó que el tratamiento de datos personales en posesión de particulares debía ser también competencia del Poder Legislativo Federal.

El 1 de junio de 2009, se publicó en el Diario Oficial de la Federación un nuevo decreto de reforma constitucional mediante el cual se adicionó un segundo párrafo al artículo 16 de la Constitución, estableciendo lo siguiente: “Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.”

10 - Según comunicado de prensa del INAI del 16 de diciembre de 2017.

11 - Hoy la autoridad divide tiempos, esfuerzos y recursos humanos y materiales, en atender y garantizar a los ciudadanos sus derechos en dos materias sustancialmente distintas.

12 - Las leyes nacionales en materia de protección de datos personales no se han modificado desde su promulgación.

Referencias

Centro de Estudios Superiores en materia de Derecho Fiscal y Administrativo. (2018). La protección de datos personales, revisión crítica de su garantía en el sistema jurídico mexicano. Recuperado el 26 de Julio de 2020, de http://cesmdfa.tfja.gob.mx/proteccion_datos/pdf/01.pdf

Esteban Ruiz, A. (12 de Noviembre de 2018). El Consejo de Europa moderniza el Convenio 108 sobre Protección de Datos: nace el Convenio 108+. Recuperado el 25 de Julio de 2020, de https://blog.cuatrecasas.com/propiedad-intelectual/convenio-108-datos/

INAI. (13 de Julio de 2018). Adhesión de México al Convenio 108 Fortalece a México con la protección de datos personales. Recuperado el 25 de Julio de 2020, de https://www.youtube.com/watch?v=HmMuwTXzHjY

INAI. (7 de Noviembre de 2018). Convenio 108+ y la adhesión de México: Una oportunidad de protección global. Recuperado el 25 de Julio de 2020, de https://www.youtube.com/watch?v=ACPO7foiokQ

Muñoz de Alba Medrano, M. (s.f.). Habeas Data. Recuperado el 25 de Julio de 2020, de https://archivos.juridicas.unam.mx/www/bjv/libros/5/2264/4.pdf

Tenorio Cueto, G. A. (2013). Los datos personales en México. Perspectivas y retos de su manejo en posesión de particulares. Revista Mexicana de Derecho Constitucional(28). Recuperado el 26 de Julio de 2020, de https://www.redalyc.org/pdf/885/88527465014.pdf

Foto de Jorge Aguilar en Unsplash

Oerre Abogados

Adhesión de México al Convenio 108, un balance positivo.

La API de notificación de exposición de COVID-19 creada por Google y Apple y el tratamiento de datos personales.

5G, políticas públicas, garantía a las libertades individuales y derechos fundamentales.