Recientes recomendaciones emitidas por el IFAI en materia de videovigilancia confirman que, para el regulador mexicano, las prácticas de monitoreo pueden resultar invasivas a la privacidad.
Por Carlos Vela Treviño*
El IFAI, autoridad encargada de garantizar la protección de los datos personales, emitió recientemente un documento denominado
“Modelo de Aviso de Privacidad Corto para Videovigilancia”. El documento contiene recomendaciones prácticas para las empresas que han implementado dentro de sus instalaciones algún tipo de sistema de videovigilancia (cámaras de video fijas o móviles o sistemas cerrados de televisión) y está diseñado para orientarlas sobre la forma en que deben revelar la existencia de estos sistemas a las personas que pudieran ser objeto de videograbación.
Aunque las recomendaciones del IFAI parecieran girar en torno a un caso muy concreto (videovigilancia realizada en áreas específicas por motivos de seguridad), las razones por las cuales el IFAI considera que es importante regular estas prácticas resultan relevantes para cualquier empresa que realice o quiera realizar alguna forma de monitoreo sin violar las disposiciones de la
Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
El monitoreo a los ojos del IFAI: un medio invasivo de la privacidad
El IFAI no está en contra de que las empresas empleen prácticas de videovigilancia (V-V). Por el contrario, en sus Recomendaciones el IFAI concede que cuando estas tecnologías
se usan de manera adecuada pueden ser un medio eficiente para mejorar la seguridad de los establecimientos y de las personas que laboran en ellos. Sin embargo, el documento deja claro que desde la perspectiva del Regulador estas tecnologías constituyen un medio
particularmente invasivo de la privacidad pues permiten a quienes las controlan conocer
patrones de conducta y aspectos de la vida privada de los sujetos vigilados. En este sentido, resulta posible suponer que el IFAI podría considerar igualmente invasivas otras tecnológicas de monitoreo electrónico que son frecuentemente utilizadas por las empresas, sin importar si el sujeto vigilado es un visitante o un empleado de la empresa.
Monitoreo electrónico en el ambiente laboral: una frontera en expansión
En México y en otros países, el empleo de tecnologías para supervisar la actividad de los trabajadores resulta una práctica
común y, hasta hace poco, relativamente poco cuestionada desde el punto de vista de la privacidad de los trabajadores. Como señala
Privacy International la tecnología que actualmente se está desarrollando resulta extremadamente poderosa y permite, por ejemplo:
- Leer de manera automática palabras clave contenidas en los correos electrónicos, filtrar correos y generar reportes específicos.
- Monitorear la actividad del empleado cuando accede a internet a través de la red corporativa.
- Identificar patrones de consumo telefónicos de un trabajador, incluidas las personas que participaron en la llamada y el tiempo invertido en llamadas personales.
Desde el punto de vista temporal, el monitoreo puede abarcar la actividad del empleado durante la jornada laboral y extenderse fuera de ella permitiendo incluso revelar su ubicación (geolocalización) durante un fin de semana. En el plano físico, se puede vigilar igualmente a un empleado que se encuentra dentro de la oficina (utilizando un equipo de la empresa) que a un empleado que se ubica en su propia casa y está conectado a la
intranet corporativa a través de su propia
tablet.
En este sentido, si el IFAI considera que la existencia de una cámara de video que apenas puede captar unos cuantos datos personales (imágenes y voz) en una superficie limitada resulta un medio
particularmente invasivo en función de su capacidad de revelar
patrones de conducta, ¿qué pensaría de estas tecnologías cuyo potencial para revelar hábitos y otros aspectos de la vida privada es mucho mayor? Consideramos que es posible suponer que el criterio del IFAI sería similar: la tecnología por sí misma resultará generalmente invasiva; sin embargo, si se utiliza
adecuadamente, su uso puede resultar legítimo y benéfico tanto para la empresa como para los trabajadores, quienes también están comprometidos con la defensa de los intereses de su empresa.
¿Cómo se consigue el equilibrio?
En sus Recomendaciones, el IFAI llama a las empresas a buscar un equilibrio. En este sentido, tan importantes son el derecho al honor, la privacidad y la imagen propia de las personas, como pueden ser los derechos de la empresa, máxime, en una época en que la empresa enfrenta amenazas considerables como el robo de información, los ataques informáticos o la necesidad de vigilar el cumplimiento interno de regulaciones sofisticadas (como pueden ser las relacionadas a lavado de dinero o las prácticas anticorrupción).
Para lograr este equilibrio no hay una solución única; las condiciones de balance pueden variar en función de la tecnología utilizada, los fines que podrían justificar el monitoreo y los derechos de la empresa en un contexto específico (por ejemplo, la investigación de una conducta ilícita). Sin embargo, algunas acciones que consideramos que las empresas pueden contemplar en su estrategia son las siguientes:
1.
Actualizar sus políticas internas. Las empresas suelen proporcionar al empleado información sobre sus políticas de uso de redes corporativas. Sin embargo, en muchas ocasiones estas políticas no han sido actualizadas para enfrentar los nuevos retos regulatorios. Todavía es frecuente encontrar leyendas que establecen que el empleado
renuncia a cualquier expectativa de la privacidad, situación que podría contravenir la legislación en materia de protección de datos. Adicionalmente, es importante asegurarse que la calidad de información que se entrega a los empleados sea la adecuada, a fin de delinear apropiadamente el nivel de privacidad que debe esperar un empleado.
2.
Identificar componentes de la estructura de comunicaciones. En muchas políticas se solía partir del principio de que si el equipo es propiedad de la empresa, la propiedad de la información también lo es. Sin embargo, en la actualidad los empleados reciben autorización de la empresa para usar sus propios equipos y conectarlos a las redes corporativas (bajo el modelo
Bring Your own Device o BYOD). La actividad de los empleados en redes sociales puede añadir también una problemática propia. Una política adecuada debe obligar al empleado a observar pautas de conducta específicas en los diversos componentes de la infraestructura y al empleador a reconocer que un trabajador puede tener expectativas de privacidad diferentes, según el canal o equipo que utiliza.
3.
Realizar evaluaciones de impacto de privacidad. En ocasiones, una empresa puede adoptar una tecnología de monitoreo simplemente por el hecho de que es barata y porque quien la vende la publicita como crítica para aumentar la productividad; en otras, la gerencia puede revisar la información privada de un empleado sin una justificación sólida o sin establecer medidas que eviten transgredir su privacidad. En este sentido, es importante que el área o la persona encargada de la protección de datos personales en cada empresa participe en la evaluación de estas iniciativas y determine los riesgos en los que podría incurrir la empresa y los medios que podrían ser usados para limitar la posible invasión a la privacidad.
En nuestra opinión, el equilibrio que sugiere el IFAI es posible. Sin embargo, éste dependerá de la calidad de la información incluida en las políticas corporativas y en los avisos de privacidad, de la consistencia entre estos documentos entre sí, y de la coherencia entre la documentación y los procedimientos internos que se diseñen, siempre con la idea de limitar al máximo el potencial invasivo de las tecnologías.
*Carlos Vela Treviño es asociado de Grupo de Práctice de Propiedad Intelectual de Baker & McKenzie México
Contacto
Facebook
BakerMcKenzieMexico
