Por Joel Salas Suárez* / Twitter: @joelsas
Para evitar el tratamiento indebido de datos se deben adoptar buenas prácticas que aseguren su protección, es necesario que las organizaciones informen claramente las finalidades del tratamiento al titular de los datos antes de obtenerlos, mediante el aviso de privacidad.
A principios de este mes tuve la oportunidad de impartir una conferencia sobre protección de datos personales. Este tema es percibido por algunos como algo técnico y lejano. Sin embargo, los datos personales tienen un gran impacto en la vida cotidiana de las personas. El INAI ha analizado casos que muestran como un tratamiento indebido de datos personales puede afectar la privacidad de la gente. Por ejemplo, una mujer acudió a una sucursal bancaria para abrir una cuenta de ahorro. Le proporcionó al ejecutivo de cuenta su número de teléfono celular, entre otros datos. El ejecutivo, en su momento, puso a disposición el aviso de privacidad y obtuvo el consentimiento para tratar los datos patrimoniales. No obstante, después intentó contactarla para fines personales a través de mensajes de texto que envió al número de teléfono que ella le había proporcionado. En otra ocasión, una persona denunció que su vecina difundió la foto de contacto de su WhatsApp en el edificio en que las dos viven, con información de un adeudo que ella no había podido pagarle. Si los datos personales hubieran sido reguardados adecuadamente, esas dos situaciones no hubieran ocurrido.
¿Qué son exactamente los datos personales? Son la información sobre una persona que la hace identificable: su nombre, sexo, domicilio, trabajo, número de seguridad social, imagen, etc. Algunos de estos, como las creencias religiosas y la orientación sexual, se refieren a los aspectos más íntimos de una persona. En otras palabras, son toda aquella información que nos describe, nos da identidad y diferencia de otros individuos. El derecho a la protección de estos datos se encuentra garantizado en la Constitución. Las personas pueden decidir de manera libre sobre el uso y manejo de su propia información. De esto se desprenden los derechos ARCO: el derecho de acceder a los datos personales, rectificarlos, cancelarlos y de oponerse al tratamiento de los mismos.
El tratamiento consiste en “la obtención, uso, divulgación o almacenamiento de datos personales” y debe seguir ocho principios rectores: licitud, lealtad, información, consentimiento, finalidad, proporcionalidad, calidad, y responsabilidad. No obstante, estos no siempre se siguen adecuadamente. De julio de 2011 a octubre de 2017, el INAI recibió 2 mil 394 denuncias por indebido tratamiento de datos personales. Asimismo, entre enero 2012 y octubre 2017, recibió un total de 890 solicitudes de protección de derechos ARCO. En 238 casos, el INAI inició procedimientos de imposición de sanciones. La mayoría de éstas corresponden a la violación de los principios de licitud, responsabilidad e información. Hasta ahora, las multas ascienden a 334 millones 573 mil 314 pesos y la mayor parte se concentra en el sector de servicios financieros y de seguros.
Para evitar el tratamiento indebido de datos se deben adoptar buenas prácticas que aseguren su protección. Es necesario que las organizaciones informen claramente las finalidades del tratamiento al titular de los datos antes de obtenerlos, mediante el aviso de privacidad. Estos tienen que ser revisados y actualizados constantemente. Además, quienes manejen datos personales deben obtener el consentimiento expreso cuando se trate de información patrimonial y sensible, identificar posibles riesgos de fuga de la información a terceras personas y no recabar más datos de los necesarios. Si se transfieren datos, se debe verificar que el tercero cumpla con los mismos principios de protección. Asimismo, el personal que trata datos personales tiene que estar calificado para esta labor. Finalmente, la información que ya cumplió su finalidad debe ser eliminada.
Las estadísticas y casos anteriores nos proporcionan una visión del estado actual de la protección de datos personales en el país y permiten elaborar una hoja de ruta para subsanar las áreas que pueden mejorarse. Todos los mexicanos tienen derecho a que cuando proporcionan sus datos, estos sean usados con responsabilidad. Fortalecer las capacidades de las instituciones para proteger los datos personales significa respetar a la privacidad de los ciudadanos.
*Joel Salas Suárez
Comisionado del INAI y coordinador de la Comisión de gobierno abierto y transparencia.
Twitter: @joelsas