Norma Julieta del Río Venegas
México tiene un reto mayúsculo enfrente. Porque el innegable desarrollo de la tecnología y la digitalización de la sociedad que vivimos en la actualidad, nuestro país necesita una normatividad sólida en ciberseguridad que proteja los datos personales de las y los mexicanos.
Si bien sería idealista pensar que una ley puede estar a la par de los avances digitales, esta debe aspirar a responder lo más pronto posible a las innovaciones para tener marcos regulatorios sólidos en favor de la población, cuestión que es responsabilidad de las instituciones del Estado, en colaboración con el sector privado y la sociedad civil.
En este contexto de ciberseguridad, de inteligencia artificial y una constante vulneración de datos –tanto a particulares como a instituciones públicas–, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) debe estar más fuerte que nunca, ya que es el órgano autónomo que tutela el derecho a saber y el derecho a la privacidad en México. La situación que atraviesa el Instituto –cuyo Pleno no puede sesionar por omisiones legislativas– permea negativamente en garantizar a plenitud la protección de datos.
Es necesario reflexionar sobre la protección de datos personales, el momento que atravesamos en materia de ciberseguridad, la legislación nacional con la que contamos a la fecha, y los retos normativos a considerar. El objetivo debe ser actualizarnos y apuntar a estándares contemplados por la Unión Europea, que representa la vanguardia en estos asuntos.
La importancia de proteger los datos personales
Los datos personales pueden definirse como aquella información que permite identificar o hacer identificable a una persona, por ejemplo: nombre y apellidos; domicilio; dirección de correo electrónico; número de documento nacional de identidad; estado civil. Entre los datos personales, hay datos sensibles que refieren a la intimidad de una persona como: origen racial o étnico; estado de salud; creencias religiosas; preferencias sexuales.
Además, existen datos biométricos –que son propiedades físicas, fisiológicas, de comportamiento o rasgos de la personalidad atribuibles a una sola persona– como la retina, el iris, el ADN, la composición química del olor corporal y la pulsación cardíaca (se llaman biométricos porque requieren herramientas tecnológicas específicas para ser recabados).
En 2021, 137 países contaban con leyes detalladas sobre protección de datos personales. México es uno de esos, ya que el derecho a la privacidad está fundamentado en la Constitución (artículo 16) y en dos leyes: la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPSO), que establece obligaciones de protección de datos para gobiernos, dependencias o instituciones públicas; y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), enfocada a personas físicas y morales de carácter privado que dan tratamiento a datos personales.
A pesar de contar con este marco normativo, existen casos que demuestran que falta profundizar en la garantía de la protección de los datos de las y los mexicanos. Un ejemplo es el software Pegasus, usado para espiar a activistas sociales, periodistas y políticos de manera ilegal; otro es la implementación inicial de dispositivos de reconocimiento facial para los asistentes a los partidos de fútbol que incluía recabar datos biométricos.
Como autoridad nacional en el tema, el INAI tiene facultad para garantizar los derechos de acceso, rectificación, cancelación, oposición y portabilidad (los llamados derechos ARCOP) de la población, así como iniciar procedimientos de imposición de sanciones a privados que hagan un mal uso de datos personales. De igual manera, el Instituto puede presentar controversias constitucionales o acciones de inconstitucionalidad ante la Suprema Corte de Justicia de la Nación (SCJN), como lo hizo ante la creación del Padrón Nacional de Usuarios de Telefonía Móvil (PANAUT), pues infringía los derechos a la privacidad, intimidad y protección de datos personales de los usuarios registrados.
El panorama de la ciberseguridad
Los datos personales, sensibles y biométricos están en riesgo en el mundo virtual. Muchas compañías obtienen nuestra información cuando nos piden ingresar a una página web, para descargar una aplicación, utilizar redes sociales o la recolectan mediante el historial de navegación de nuestros dispositivos; en muchas ocasiones, estos datos se venden a otras empresas para servicios de publicidad.
En los últimos años hemos sido testigos de múltiples hackeos que han sufrido distintas instituciones públicas y empresas. Por si fuera poco, grandes cantidades de información y datos son manejadas con inteligencia artificial. Cabe mencionar que México es el país de América Latina con más ciberataques y el cuarto a nivel mundial (con más de 2,244 por día). Al respecto, la propia Secretaría de la Defensa Nacional y la Secretaría de Marina reconocen que en México existe vulnerabilidad cibernética.
En el INAI no hemos estado aislados de ciberataques, ya que la Plataforma Nacional de Transparencia ha recibido más de 50 millones de intentos de hackeo, ninguno de ellos fructífero debido al trabajo de seguridad perimetral que hemos implementado.
El robo o mal uso de datos no es el único problema que enfrenta el Estado; fenómenos actuales como la desinformación y diversas violencias digitales (como robo de identidad, sextorsión, grooming y/o ciberacoso, entre otras) van en aumento. De acuerdo con el más reciente Módulo de Ciberacoso del INEGI, en 2021, más de 17 millones de mexicanas y mexicanos mayores de 12 años que usaron internet fueron víctimas de violencia digital (9.7 millones fueron mujeres).
La ruta a seguir: el modelo europeo
En México, la ciberseguridad está incluida en la legislación (en la Constitución, en la Ley Federal de Telecomunicaciones y Radiodifusión, en el Código Penal Federal, por mencionar algunos marcos jurídicos vigentes); sin embargo, especialistas reconocen que existen retos concretos en términos de seguridad pues falta una normatividad específica en la materia, actualizada, unificada y que considere los avances tecnológicos actuales.
En los últimos años, gobiernos federales y estatales, así como distintos legisladores, han generado instancias y propuesto iniciativas sobre ciberseguridad que vale la pena tener en mente: en 2020 fue presentada la Ley de Ciberseguridad de la Ciudad de México que propuso la creación de una Fiscalía Especializada en Delincuencia Cibernética para la capital; en el mismo año se planteó una Ley General de Ciberseguridad que pretendía realizar cambios al Sistema Nacional de Seguridad Pública.
En 2022 se expuso la Ley Federal de Ciberseguridad; en enero de 2023 se creó por decreto la Comisión Intersecretarial de Tecnologías de la Información y Comunicación y de la Seguridad de la Información (CITICSI), que funge como una Agencia Nacional de Ciberseguridad. Por último, en abril de este año se presentó una iniciativa para la Ley Federal de Ciberseguridad.
Si bien todas estas propuestas son valiosas porque visibilizan los problemas y la necesidad de reforzar la ciberseguridad en México, aún falta camino por recorrer para alcanzar los están[1]dares contemplados actualmente en la Unión Europea, mismos que sí están orientados a los nuevos horizontes tecnológicos y que están pensados para implementarse a nivel nacional y regional.
Existe una Ley de Mercados Digitales y una de Servicios Digitales; la Ley Europea de Inteligencia Artificial, expedida en abril de 2023, insta a que el uso de la inteligencia artificial y el desarrollo de su industria se dé bajo “estándares democráticos”; este mismo año se firmó un Acuerdo de Protección de Datos entre Europa y Estados Unidos, cuyo objetivo es restaurar una base legal para los flujos de datos transatlánticos.
De igual modo, la Unión Europea, vía la Comisión Europea, propuso la Ley de Inteligencia Artificial (AI Act) con el objetivo de establecer un marco normativo común regional. La regulación de la inteligencia artificial es un desafío global, y tanto México como Europa buscan encontrar un equilibrio entre la promoción de la innovación y la protección de los derechos.
Priorizar el parlamento abierto
Cualquier propuesta de ley sobre ciberseguridad y regulación de datos personales que se dé en México debe sustentarse en un debate nutrido y plural que la complemente; es pertinente incorporar la figura de Parlamento Abierto para escuchar a la academia, sociedad civil, empresas e instituciones como el INAI.
En la construcción de iniciativas, el Parlamento Abierto es vital, pues nos permitirá tener una visión amplia sobre las problemáticas y las posibles soluciones. No tengamos miedo a los cambios; actualicémonos, estemos a la altura del presente y sigamos defendiendo los derechos de las y los mexicanos, mismos que han costado décadas de luchas sociales y que no son privativos de nadie.
Comisionada del Instituto Nacional de Acceso a la Información y Protección de Datos Personales @JulietdelRio
