¿Por qué una ley de protección de datos personales?

Vivimos una era en que los datos personales son un activo con el que se negocia y sobre el que se construyen modelos de negocios multimillonarios.   Por Rodrigo Orenday Serratos  La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) tiene ya cuatro años y medio de vigencia, transcurridos los cuales, y con igual plazo de ejercicio profesional en la materia, mi percepción, respaldada por hechos recientes, es que aún hay un gran desconocimiento y mucho que hacer al respecto. Si debiera destacar una pregunta recurrente entre profesionistas y empresas obligadas a su cumplimiento es ¿por qué (y para qué) fue expedida esta nueva ley? Es común que la Ley sea percibida como un incremento a la ya de por sí pesada carga regulatoria que pesa sobre dichas empresas y profesionistas. Sin embargo, su promulgación obedece a causas de política legislativa y sentido de negocios, que deseo comunicar en esta nota.   Política legislativa La doctrina reconoce tres “generaciones de derechos humanos”, tutelados por la Constitución mexicana. La primera, nacida de la Revolución francesa, corresponde a derechos de libertad que protegen a la persona contra la acción del Estado (a la vida, igualdad ante la ley, propiedad y debido proceso), y le permiten participar en la vida política (a votar y ser votado). La segunda generación se desarrolló en la posguerra, y comprende derechos económicos, sociales y culturales (al trabajo, educación, salud y alimentación, libre concurrencia en los mercados, etcétera), para cuyo ejercicio es necesario que el Estado genere condiciones adecuadas. La tercera generación comprende derechos “colectivos”, así como la autodeterminación de los pueblos, la paz y el medio ambiente sano, además de otros individuales como el derecho a la protección de datos personales. El derecho a la privacidad ya existía entre los de primera generación, que protegían la correspondencia cerrada, prohibían la intervención de comunicaciones y la privación de los documentos sin un mandato judicial. Sin embargo, el desarrollo de la tecnología y su potencial para acumular y procesar la información personal motivó que a finales de los sesenta el Consejo de Europa y su Tribunal de Derechos Humanos se ocuparan en analizar y resolver sobre el tema, desarrollando un derecho de tercera generación que ha sido reconocido por organismos internacionales, tales como la Organización de las Naciones Unidas, la OCDE y el Foro de Cooperación Económica Asia-Pacífico, y legislado en países europeos desde los setenta (Alemania) y noventa (finales, España). México reformó su Constitución en 2009 para tutelar la protección de datos personales y consagrar los derechos al acceso, rectificación y cancelación de los datos personales, así como a la oposición a su tratamiento. La necesidad de regular la captación, aprovechamiento y flujo de la información personal es obvia en una era en la que los datos personales son un activo con el que se negocia y sobre el que se construyen modelos de negocios multimillonarios, y en la que los medios para su procesamiento tienen cada vez mayor capacidad y menor costo. El reto de política legislativa es que esa regulación sea efectiva para las personas cuyos datos buscan proteger, pero también eficiente, de manera que no obstaculicen el desarrollo de nuevos negocios ni embaracen innecesariamente a los ya existentes.   Sentido de negocios En noviembre de 2014, el IFAI fue anfitrión del XXII Encuentro Iberoamericano de Protección de Datos Personales, donde el director de la Agencia Española de Protección de Datos Personales pronunció una frase que ilustra claramente la principal razón de negocios para contar y cumplir con la normatividad de protección de datos: “La privacidad es una condición necesaria para el desarrollo económico, porque sin ella no hay confianza, y sin confianza no hay modelo de negocios viable.” Los estudios de la Asociación Mexicana de Internet muestran que la protección de datos personales es una preocupación fundamental de los consumidores por canales digitales, por lo que omitir cumplir con ese marco normativo puede ser un obstáculo y provocar la pérdida de oportunidades de negocio. Después de trabajar sobre la materia para clientes en diversos sectores he escuchado aquella pregunta, que al poco tiempo implementar su cumplimiento normativo encuentra respuesta, por ejemplo cuando ven que canales de customer relationship management que consideraban inútiles, porque sus clientes procuraban el anonimato, habían recobrado utilidad e incluso permiten fidelizar a esos clientes. Otro aspecto en el cual la protección de datos personales abona en beneficio de los agentes económicos es en la prevención de vulneraciones a la seguridad de información valiosa, particularmente los datos personales, al requerir contar con inventarios de datos personales tratados, aplicar el “criterio de minimización”, el registro de medios de almacenamiento (físicos y electrónicos), segmentación de accesos y requisitos para los factores de autenticación para ellos. Los datos personales por cuyo tratamiento se es responsable deben ser procurados y administrados con el mismo cuidado que los recursos financieros de la empresa. A nivel general, la promulgación de la Ley atiende también al sentido común de alinearse con bloques económicos con los cuales México ha suscrito acuerdos comerciales y que cuentan con regulación en materia de protección de datos personales. La Directiva 95/46 del Parlamento y Consejo europeos sólo permite la transferencia de datos personales de los ciudadanos de sus Estados miembros hacia terceros países que ofrezcan un nivel de protección adecuado a dicha información, considerando la naturaleza de los datos, la finalidad y duración del tratamiento que se llevará a cabo, el país de origen y el de destino final, las normas generales, sectoriales o profesionales y las medidas de seguridad en vigor en ellos. De acuerdo con el propio IFAI, ciertos Estados miembros de la Unión Europea tuvieron incrementos exponenciales en la inversión extranjera directa recibida por el hecho de cumplir con dicha regulación, en tanto que al carecer de ella México no podía ser destino para capitales en rubros de importante crecimiento cuya actividad de tratamiento de datos personales es muy intensa, como los centros de contacto o servicio al cliente, áreas de ventas, etcétera. Aunque Estados Unidos no cuenta con un estatuto federal similar, su Departamento de Comercio y la Comisión Europa convinieron un marco de autorregulación mediante el cual las empresas estadounidenses pueden obtener una certificación que permitirá que sus contrapartes europeas les transfieran datos personales sin incurrir en violaciones a la Directiva, en tanto cumplan con siete principios:

1. Notificación a los titulares sobre el propósito del tratamiento de sus datos personales.
2. Consentimiento, sea tácito o implícito, para el tratamiento de sus datos personales para las finalidades de la transferencia.
3. Asegurarse que los terceros a quienes transfiera sucesivamente los datos personales cumplen con estos mismos principios, o están sujetos al cumplimiento de la Directiva.
4. Derechos de Acceso, Rectificación, Cancelación y Oposición de los titulares a sus datos personales.
5. Seguridad para protección de los datos personales contra su pérdida, mal uso y acceso, divulgación, alteración o destrucción no autorizados.
6. Calidad de los datos personales, en tanto sean relevantes, correctos, completos y vigentes para los fines de su tratamiento.
7. Recursos o mecanismos para que las quejas de cada titular sean investigadas y resueltas, así como procedimientos para verificar el cumplimiento de estos principios y obligaciones para solucionar la omisión en su cumplimiento.

Se espera que el desarrollo de los esquemas de autorregulación vinculante, para lo cual la Secretaría de Economía expidió Parámetros el 29 de mayo de 2014, siente las bases para que las empresas mexicanas puedan gozar de similar reconocimiento, facilitando sus relaciones comerciales con aquellos países y alcancen una posición competitiva respecto de las de otros países que se adelantaron al nuestro en legislar dicha materia. En resumen, la promulgación de las reformas constitucionales y normatividad sobre protección de datos personales obedece tanto a tendencias legislativas como al sentido económico global, y ha llegado para quedarse en México. La resistencia al cambio en la materia no abona en nada; por el contrario, su cumplimiento debe ser visto como una inversión en el desarrollo de los negocios, generando confianza en la clientela y planta laboral de la empresa, más que en evitar sanciones administrativas.   Rodrigo Orenday Serratos es abogado y maestro en derecho, certificado como profesional en protección de datos personales, nivel senior. Su práctica se especializa en cumplimiento normativo incluyendo protección de datos personales.     Contacto: Twitter: @OrendayAbogados Blog: Orenday Serratos Abogados     Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.