Caso de altos vuelos pone a México a prueba en protección de datos

La industria aeronáutica se encuentra en un predicamento por el limitado nivel de la protección de datos personales en posesión del gobierno, obligada a partir del 1 de abril a transferir a la autoridad fiscal el Código Localizador del Registro o Passenger Name Registry (PNR).   Por Rodrigo Orenday Serratos La disparidad entre la situación de un particular frente a los gobiernos en México, y la de los gobiernos federal, estatal y municipal frente a sus gobernados, siempre ha sido patente: por ejemplo, considere cuántas dependencias gubernamentales conoce que tengan estacionamiento para sus usuarios y, por el contrario, intente usted obtener el permiso para operar un negocio sin contar con disponibilidad de estacionamiento. El caso de la protección de datos personales no es distinto: en 2002 fue promulgada la Ley para la Transparencia y Acceso a la Información Pública Gubernamental, con sólo elementales obligaciones para las instituciones del gobierno federal, y aunque por ocho años los particulares siguieron sujetos al cumplimiento de normas dispersas en múltiples disposiciones, a partir de julio del 2010 todos hemos de cumplir con extensas obligaciones al respecto, que exceden a las aplicables a las instituciones públicas. De ahí que el pasado 2 de octubre el IFAI haya presentado una iniciativa de Ley General de Protección de Datos Personales, que homologará el nivel de cumplimiento en materia de protección de datos personales exigible al sector público con el que se exige al privado. La falta de obligaciones claras y de nivel comparable al exigible en los países europeos respecto del tratamiento de datos personales también inhibió por largo tiempo la inversión extranjera en varios sectores; la industria aeronáutica no es la excepción, pero actualmente se encuentra en un mayor predicamento por el limitado nivel de la protección de datos personales en posesión del gobierno y la emisión de las Reglas de Carácter General en Materia de Comercio Exterior para 2014, que obligan a las aerolíneas a partir del 1 de abril a transferir a la autoridad fiscal el Código Localizador del Registro o Passenger Name Registry (PNR). Aunque desde 2002 la Ley Aduanera obliga a las “empresas aéreas, marítimas y ferroviarias”, propiamente denominados concesionarios, que transporten pasajeros internacionalmente a transmitir electrónicamente al SAT la información de sus pasajeros, tripulación y medios de transporte, y su Reglamento faculta a las autoridades aduaneras para requerirles una lista con nombres de sus pasajeros, fecha y número de vuelo, lugar de salida y destino, y hora de salida y llegada de la aeronave, la Reglas publicadas a finales del 2014 extendieron eso a 33 datos más, incluyendo cambios de ruta, servicios especiales, nombres de acompañantes, etc. ¿Cuáles son los puntos álgidos del caso? Primero, que las disposiciones mexicanas no observan los principios del régimen europeo para justificar la intromisión gubernamental en la privacidad de los pasajeros. No se limitan el uso ni en el espectro de datos transferidos, ni los datos personales sensibles que podrían derivarse de servicios especiales solicitados por los pasajeros, esto incluso podría llevar a pensar en su perfilamiento; pero fundamentalmente la en la UE el PNR sólo debe ser revelado caso por caso a autoridades facultadas para la lucha contra el terrorismo y el crimen transnacional, en tanto que en el caso de México quien la puede solicitar y obtener es una autoridad recaudatoria y aduanera. Segundo, con ello se pone a las aerolíneas que transporten a ciudadanos europeos desde y hacia México entre la espada y la pared, pues como señalan los Principios y Requerimientos de la Organización Internacional de Aviación Civil, agencia especializada de la ONU, deben cumplir tanto con la legislación europea como con la mexicana, que chocan a este respecto, lo cual les significará sanciones administrativas de ambos lados del Atlántico. ¿Cómo yerra México? Los mismos Principios y Requerimientos contemplan que al legislar sobre la transferencia de PNR los Estados deben reconocer que las disposiciones de otros Estados podrían afectar la capacidad de las aerolíneas para cumplir su legislación, no obstante lo cual México les requiere la entrega generalizada de datos, considerado contrario a la normatividad europea, tanto que la UE pospuso su propio plan PNR. Además, la UE exige para la transferencia de datos personales hacia otro país asegurar un nivel adecuado de protección a los datos transferidos, ya sea mediante su legislación o acuerdos vinculantes en tratados internacionales, asignatura que México sigue teniendo pendiente a década y media de la firma de su Acuerdo de Asociación Económica, Concertación Política y Cooperación con la Comunidad Europea, que le requiere considerar las Directrices de la ONU y Recomendaciones de la OCDE sobre el tratamiento de datos personales, y también el Convenio del Consejo de Europa y su Directiva CE/95/46 sobre de protección de datos. Esto es motivo adicional para cuestionar por qué casi cumplidos cinco años de haberse promulgado la ley de protección de datos México no tiene reconocimiento de puerto seguro como Argentina, los EE.UU.A y otros diez países. Aun ante el argumento de soberanía, por el que México en principio puede expedir la normatividad que considere conveniente para regir en su territorio, el hecho es que Australia, Canadá y EU recurrieron a la negociación de acuerdos para la obtención de datos de pasajeros, en beneficio de sus ciudadanos, del sector del transporte internacional de pasajeros y de sus relaciones bilaterales con la UE. El IFAI tiene una excelente relación con sus homólogos en otras jurisdicciones, labrada por trabajo en materia de protección de datos personales desde la entrada en vigor de la Ley; en 2013 el Canciller sostuvo ante la Asamblea General de la ONU la supremacía de la protección de datos en el marco del combate al crimen organizado, mientras que la norma expedida por la autoridad tributaria a finales del año pasado motiva reacciones adversas en Europa, poniendo en jaque a las aerolíneas, así como a la percepción internacional del compromiso del Estado mexicano con la protección de datos personales. En materias con componentes esenciales de derecho internacional como la protección de datos personales y la aviación civil no se puede estar a soluciones unilaterales, ni como particular ni como Estado, además de ser necesaria congruencia para con un sector que aporta al turismo como fuente del ingreso nacional.   Rodrigo Orenday Serratos es abogado y maestro en derecho, certificado como profesional en protección de datos personales, nivel senior. Su práctica se especializa en cumplimiento normativo incluyendo protección de datos personales.   Contacto: Twitter: @OrendayAbogados Blog: Orenday Serratos Abogados   Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.