13 retos de la efectiva protección de datos personales en
TRANSCRIPT
Retos de la Efectiva Protección de Datos Personales en Internet
INAI. (2015). Retos de la Efectiva Protección de Datos Personales en Internet
Retos de la Efectiva Protección de Datos Personales en Internet
2
Modulo 13. Consecuencias por el uso indebido de datos personales
13.1 Protección de datos personales en Internet
En el mundo globalizado del siglo XXI, Internet juega un papel relevante, al ser el medio de
información y comunicación más emblemático de la era postmoderna, que permitió cambios
significativos en la manera de interactuar y convivir entre los individuos de una sociedad.
Internet ha permitido un gran flujo de información que va de un lugar a otro en tiempo real. En
este sentido, hoy día todo gira en torno a dicha información, por lo que los datos personales
tienen un valor significativo, el cual no está sólo relacionado al aspecto económico, sino al
social, científico, político y cultural.1
El tratamiento indebido de datos personales pone en riesgo tanto los derechos humanos como
a los sistemas de información y organización de las empresas, por lo que la protección de
datos personales ha tomado especial importancia de los actores en materia de regulación.
La efectiva protección de los datos personales en Internet supone entonces el gran reto
jurídico, adelantando que podría tratarse más allá de sistemas legales, de un tema de buenas
prácticas como motor de la confianza digital.
13.1.1 Sociedad de la Información y del Conocimiento
La introducción en la sociedad de conceptos como inteligencia artificial y nuevas tecnologías
de la información y comunicación (TIC), ha permitido que se utilice cada vez más la expresión
“sociedad de la información y del conocimiento”:
En el marco de la Cumbre Mundial de la Sociedad de la Información, hay dos términos que
han ocupado el escenario: sociedad de la información, y sociedad del conocimiento, con sus
respectivas variantes.
1 Véase Nelson Remolina, p. 3
Retos de la Efectiva Protección de Datos Personales en Internet
3
Este término no define por sí, un contenido, ya que el contenido emerge de los usos en un
contexto social dado, que a su vez influyen en las percepciones y expectativas.
En la última década, "sociedad de la información" es sin duda la expresión que se ha
consagrado como el término hegemónico, no porque exprese necesariamente una claridad
teórica, sino gracias al bautizo que recibió, en las políticas oficiales de los países más
desarrollados y la coronación que significó tener una Cumbre Mundial dedicada en su honor.
Esta expresión reaparece con fuerza en los años 90, en el contexto del desarrollo de las
Internet y las TIC.
La sociedad de la información y del conocimiento ha replanteado la esfera de los derechos
humanos tradicionales, al dotar de nuevas herramientas de ejercicio de los mismos, pero a su
vez planteando nuevos retos en torno a la privacidad de las personas.
En este sentido, el uso de nuevas tecnologías, ha permitido una nueva concepción en el
campo de los derechos humanos, la cual trata de dar respuesta a las necesidades de la
sociedad de la información2, y va a la par del desarrollo tecnológico.
La sociedad de la información trajo consigo el desarrollo tecnológico y con esto, la aparición
de nuevas formas de comunicación, lo que ha replanteado el alcance y contenido de los
derechos humanos tradicionales, reconociéndose así, derechos relativos al cibersepacio y la
libertad informática, en los que la universalización del acceso a la tecnología, la libertad de
expresión en la web y la libre distribución de la información, juegan un papel fundamental.
Finalmente vale la pena destacar que la sociedad de la información debe tener como eje
central a las personas, lo cual se logra desde una perspectiva basada en derechos
fundamentales, que permite colocar a la dignidad humana, el desarrollo humano y los
2 La sociedad de la información es aquella en la cual las tecnologías que facilitan la creación, distribución y manipulación de la información juegan un papel esencial en las actividades sociales, culturales y económicas.
Retos de la Efectiva Protección de Datos Personales en Internet
4
derechos como ciudadanos globales y digitales por encima de las consideraciones
tecnológicas o las relaciones comerciales productor consumidor.3
13.1.2 Redes sociales
La evolución en el uso de Internet, trajo consigo el surgimiento de la denominada Web 2.04, lo
que favoreció el desarrollo de las redes sociales en Internet, que han revolucionado la forma
de comunicación de los individuos.
Si bien las redes sociales ofrecen una atractiva y novedosa interacción entre los individuos,
que permite minimizar el concepto de tiempo y espacio, también los expone a una serie de
riesgos, los cuales surgen a la par de la evolución de éstas.
13.1.3 Impacto de las redes sociales en la sociedad
El uso de redes sociales ha propiciado nuevos entornos que facilitan la comunicación e
intercambio de información de sus usuarios; sin embargo, la utilización de las mismas, ha
llevado al límite, el equilibrio entre el ejercicio de los derechos humanos y los riesgos para el
honor, el buen nombre, la intimidad, entre otros.
Los principales riesgos a los que se ven expuestos los usuarios de redes sociales son los
siguientes:
3 Véase Peschard Mariscal, Jacqueline, “Protección de las niñas, niños y adolescentes en el ámbito digital: responsabilidad democrática de las instituciones de gobierno y de las agencias de protección de datos”, en Gregorio G. Carlos (comp.), Protección de datos personales en las redes sociales digitales: en particular de niños y adolescentes. Memorándum de Montevideo, México, Instituto de Investigaciones para la Justicia e Instituto Federal de Acceso a la Información y Protección de Datos, 2011, p. 12.
4 El término Web 2.0 comprende aquellos sitios web que facilitan compartir información, la interoperabilidad, el diseño centrado en el usuario y la colaboración en la World Wide Web. Un sitio Web 2.0 permite a los usuarios interactuar y colaborar entre sí como creadores de contenido generado por usuarios en una comunidad virtual, a diferencia de sitios web estáticos donde los usuarios se limitan a la observación pasiva de los contenidos que se han creado para ellos. Asimismo, es la transición que se ha dado de aplicaciones tradicionales hacia aplicaciones enfocadas al usuario final; es decir, aplicaciones que generen colaboración que reemplaza las aplicaciones de escritorio.
Retos de la Efectiva Protección de Datos Personales en Internet
5
a) La utilización de datos personales proporcionados en redes sociales para distintos
fines, de los que originalmente fueron recolectados.
b) El uso de aplicaciones desarrolladas con el objetivo de recoger información de un perfil
determinado, las cuales funcionan, ofreciendo servicios o juegos, con la condición de
poder acceder a los contenidos, tanto públicos y privados de un perfil.
En relación a lo anterior, destaca la geolocalización5, como práctica de invasión a la
intimidad del usuario, al poder ser identificada su localización en tiempo real. Cabe
mencionar que algunas redes sociales y aplicaciones han incorporado esta práctica
como parte de las implicaciones de su utilización.
c) El control sobre la información que se comparte en redes sociales, ya que una simple
solicitud de amistad, puede poner al alcance del solicitante, toda la información
relacionada al usuario.
d) La configuración predeterminada por la mayoría de sitios que administran redes
sociales, ya que es de perfil abierto, lo que significa una menor privacidad de la cuenta
de los usuarios.
En este sentido, los sitios prefieren este tipo de perfiles porque permiten el
financiamiento con publicidad digital.
e) Los perfiles de comportamiento, obtenidos con la información que se revela combinada
con tecnologías de recopilación de datos, lo que genera base de datos que pueden ser
para algunos la oportunidad para aumentar clientes en un negocio determinado, y para
otros la oportunidad de robar la identidad del usuario, o la forma de recolectar
información de manera fácil y confiable, por parte de los depredadores sexuales o
delincuentes.
Las computadoras, al permitir un manejo rápido y eficiente de grandes volúmenes de
información, facilitan la concentración automática de datos referidos a las personas, de
tal manera que las constituye un verdadero factor de poder.6
5 La geolocalización ofrece al usuario de redes sociales, la posibilidad de mostrar en su perfil, el punto geográfico exacto en el que se encuentra en cada momento. Esto es posible por la tecnología GPS incluida en celulares o tabletas.
6 Téllez Valdés, Julio, Derecho Informático, 4ª ed., México, Mc Graw Hill, p. 70. México.
Retos de la Efectiva Protección de Datos Personales en Internet
6
Dicho lo anterior, resulta conveniente hablar de las políticas de privacidad en redes sociales.
Las redes sociales, por su propio funcionamiento y finalidad, implican una renuncia parcial a la
intimidad del usuario, por lo que lo que la privacidad de una cuenta, cobra vital importancia en
un perfil de red social, ya que ésta será la que determine el nivel de acceso al perfil personal,
la utilización de datos contenidos en la cuenta, y los derechos sobre las imágenes
almacenadas en el sitio.
En este sentido, las políticas de privacidad son los lineamientos de un sitio web para
recolectar, guardar o utilizar la información recabada a través de los servicios o páginas de un
sitio determinado.
Un elemento primordial al hablar de políticas de privacidad en redes sociales, lo constituye la
información publicada en Internet, ya que ésta es de carácter permanente debido a que la
eliminación efectiva de la información es imposible, lo que implica una pérdida de control
respecto a los datos compartidos.
Las compañías responsables de redes sociales, han tratado de dar soluciones parciales a la
problemática a la que se enfrentan los usuarios en torno a sus datos personales, tales como
eliminar, bloquear, o denunciar ante el administrador de la página, un perfil determinado, en
caso de riesgo, o para el caso de menores, comprobar que el usuario que haga un perfil en
una red social, tenga una determinada edad; sin embargo, estas acciones no son suficientes,
ya que no hay una medida comprobatoria de la edad de un solicitante de perfil en redes
sociales, aunado a que los usuarios pueden ser amedrentados por el responsable de un perfil
fraudulento, o sencillamente no tener conocimiento respecto de los riesgos que el mal uso de
redes sociales conllevan.
Retos de la Efectiva Protección de Datos Personales en Internet
7
13.1.4 Legislación aplicable
En el contexto internacional se han emitido normas, iniciativas regulatorias, conferencias y directrices que han puesto al descubierto la relevancia de los datos personales, tratando de dar una aproximación al tema; sin embargo, hay elementos que aún no se han logrado resolver: la jurisdicción y competencia de las autoridades en materia de protección de datos personales y el carácter de vinculatorio de las resoluciones que pudieran emitir dichas autoridades.
La Declaración Universal de los Derechos Humanos, permitió el reconocimiento de derechos
que protegen la libertad individual y la defensa de la persona frente al ámbito de actuación del
poder público, a través del Estado. Dichos derechos incluyen los relativos al aislamiento,
entendiéndose como el derecho al honor, a la vida, a la integridad y a la intimidad de la
persona.
En este tenor, la protección de datos personales como derecho humano, es consecuencia de
una evolución histórica de los mismos, en la que se reconocen nuevos elementos que intentan
dar respuesta a las necesidades históricas e implican la redimensión de viejos derechos.7
El ámbito de aplicación de la protección de datos es delimitado de forma amplia en lo relativo
a los aspectos del ciberespacio, por lo que la normativa de protección de datos existente,
debe ser considerada aplicable a los datos personales que circulan en Internet. 8
La protección de datos personales como derecho fundamental debe incluir los derechos
denominados ARCO; es decir, aquéllos relativos al acceso, rectificación, cancelación y
oposición.9
El marco jurídico normativo de la protección de datos personales en México, comprende
disposiciones internacionales y nacionales, entre los que destacan:
7 R.J, Vincent, Human Rights and International Relations, Cambridge University Press, Cambridge, 1999, p. 57.
8 Fernández Rodríguez, José Julio, Lo público y lo privado en Internet. Intimidad y libertad de expresión en la red, México, UNAM, 2004, p. 133.
9 Op. Cit. Nota 16, p. 72.
Retos de la Efectiva Protección de Datos Personales en Internet
8
Nacionales
a) Constitución Política de los Estados Unidos Mexicanos:
Reforma de 20 de julio de 2007 al artículo 6 constitucional, en la cual se reconoce el derecho
de acceso a la información como una garantía fundamental.
Las fracciones II y III tienen la virtud de ser las primeras menciones constitucionales expresas
que hacen un reconocimiento del derecho a la protección de datos personales y se
constituyen como limitantes al ejercicio del derecho de acceso a la información.
Estas fracciones señalan que:
1. La información a que se refiere la vida privada será protegida en términos de ley
respectiva.
2. Toda persona tiene derecho a acceder y rectificar sus datos personales.
En 2009 se logran dos acontecimientos relevantes para la consolidación del derecho a la
protección de datos en México: la aprobación de las reformas a los artículos 16 y 73 de la
Constitución Mexicana.
El artículo 16 constitucional incorpora a la lista de garantías fundamentales consagradas en
dicho ordenamiento, el derecho a la protección de datos personales.
“Artículo 16. …
Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y
cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley,
la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de
datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud
públicas o para proteger los derechos de terceros”.
Por su parte, el artículo 73 constitucional dota de facultades al Congreso de la Unión para
legislar en materia de protección de datos personales en posesión de particulares.
Retos de la Efectiva Protección de Datos Personales en Internet
9
b) Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental:
Este instrumento reconoce por primera vez en México la protección de los datos personales.
Se limita a las bases de datos del sector público a nivel federal. Es a la vez, una ley de acceso
a la información y una ley de protección de datos personales (limitada en su ámbito de
aplicación).
Su capítulo IV establece un marco muy general que regula la obtención, almacenamiento,
transmisión, uso y manejo de los datos personales en posesión de dependencias y entidades
federales.
c) Ley Federal de Protección de Datos personales en Posesión de Particulares:
El 13 de abril de 2010 la Cámara de Diputados aprobó el proyecto de decreto por el que se
expide la Ley Federal de Protección de Datos Personales en posesión de los particulares.
Por su parte, la Cámara de Senadores aprobó por unanimidad dicho dictamen, el 27 de abril
de 2010.
Finalmente, el 5 de julio de 2010 el Poder Ejecutivo Federal publicó en el Diario Oficial de la
Federación la Ley.
La citada Ley tiene por objeto la protección de los datos personales en posesión de los
particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a
efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las
personas.
d) Reglamento de Ley Federal de Protección de Datos en Posesión de Particulares:
Este ordenamiento fue publicado el 21 de diciembre de 2011, y tiene por objeto reglamentar
las disposiciones de la Ley Federal de Protección de Datos Personales en Posesión de los
Particulares.
En el Reglamento desatacan los siguientes elementos:
Retos de la Efectiva Protección de Datos Personales en Internet
10
1. Esquemas de Autorregulación. Los particulares podrán contar con un esquema
complementario para la protección de datos.
2. Solicitud de protección de derechos. Permite a los titulares tener certidumbre de la
garantía que otorga la Constitución ante el INAI10 cuando este derecho fundamental
sea vulnerado.
3. Procedimiento de verificación. Permite al INAI llevar a cabo las visitas a las empresas
para corroborar el cumplimiento de la Ley y el Reglamento.
4. Procedimiento de Imposición de sanciones. Permite a las empresas tener claridad de
las disposiciones que el INAI considerará para emitir alguna sanción. En este sentido,
se contempla la garantía de audiencia para las empresas.
5. Elementos de seguridad. Considera los elementos mínimos que las empresas deben
observar para la adecuada protección de datos, tomando en cuenta el riesgo inherente
al tipo de dato que trata, el desarrollo tecnológico y las posibles consecuencias de una
vulneración.
6. Medidas compensatorias. En el Proyecto de Reglamento, se detalla que el uso medios
de difusión masiva como una medida compensatoria para dar a conocer del Aviso de
Privacidad en caso de que el volumen de datos personales o su antigüedad sean una
barrera para darlo a conocer. Con esto, se reducirán los costos y tiempos asociados de
la puesta de disposición del Aviso a los titulares.11
Cabe destacar que actualmente se encuentra pendiente de publicación la Ley General de
Protección de Datos Personales en Posesión de Sujetos Obligados, la cual forma parte del
paquete de armonización en materia de acceso a la información en México.
A nivel internacional, son diversos instrumentos los que regulan en alguno de sus apartados la
protección de datos personales. Ejemplo de esto es el artículo 12 de la Declaración Universal
10 Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales INAI, es el órgano garante del derecho de la protección de datos personales y el de acceso a la información pública en México. En 2014 se le reconoce como un órgano autónomo.
11 Consultado en la página oficial de la Secretaría de Economía de México, el 27/02/2013 en: http://www.economia.gob.mx/eventos-noticias/sala-de-prensa/informacion-relevante/7078-boletin-297.
Retos de la Efectiva Protección de Datos Personales en Internet
11
de los Derechos Humanos12 de 10 de diciembre de 1948, el artículo 11 de la Convención
Americana de Derechos Humanos13 (Pacto de San José de Costa Rica) de 1966, el artículo
17 del Pacto Internacional de Derechos Civiles y Políticos14 de 19 de diciembre del mismo
año.
Asimismo, la Resolución 45/95 de la Asamblea General de la Organización de las Naciones
Unidas (Resolución 45/95 de la ONU) de 14 de diciembre de 1990, contiene
fundamentalmente una lista básica de principios en materia de protección de datos personales
con un ámbito de aplicación mundial, entre otros, los de licitud, exactitud, finalidad, acceso y
no discriminación.15
En el mismo tenor, la Organización para la Cooperación y el Desarrollo Económicos (OCDE)
publicó en 1980 dos importantes recomendaciones en esta materia: la Recomendación sobre
“Circulación internacional de datos personales para la protección de la intimidad” y la
Recomendación relativa a la “Seguridad de los sistemas de información”.
12 Artículo 12. Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.
13 Artículo 11. Protección de la Honra y de la Dignidad:
1. Toda persona tiene derecho al respeto de su honra y al reconocimiento de su dignidad.
2. Nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su honra o reputación.
3. Toda persona tiene derecho a la protección de la ley contra esas injerencias o esos ataques.
14 Artículo 17. 1. Nadie será objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques ilegales a su honra y reputación.
2. Toda persona tiene derecho a la protección de la Ley contra esas injerencias o esos ataques.
15 Ornela Núñez, y López Ayllón, “La recepción del derecho a la protección de datos en México: Breve descripción de su origen y estatus legislativo”, Memorias del II Congreso Mexicano de Derecho Procesal Constitucional. Instituto de Investigaciones Jurídicas de la Universidad Nacional Autónoma de México, México, 2007.
Retos de la Efectiva Protección de Datos Personales en Internet
12
Por otro lado, el Compromiso de Túnez, adoptado en 2005 en la Segunda Fase de la Cumbre
Mundial sobre la Sociedad de la Información, de la cual México fue participante, reconoce el
derecho a la protección de datos personales.
Recientemente la Cumbre Mundial de la Sociedad de la Información ha hecho un llamamiento
para pedir normas “mundiales” para la privacidad.16
El Grupo de Manejo del Comercio Electrónico formado en 1999 por el Foro de Cooperación
Economía Asia Pacífico (APEC), ha desarrollado los lineamientos generales en materia de
protección de datos personales con el fin de que los mismos sean contemplados y
establecidos en los cuerpos legales correspondientes y con esto lograr un flujo de datos
seguro y sin obstáculos.
Los principios desarrollados para el Marco de Privacidad de APEC se basan en las
Recomendaciones de la OCDE. Estos principios tienen como fin los siguientes aspectos:
proteger la privacidad de información personal; prevenir la creación de barreras innecesarias
al flujo transfronterizo de datos; fomentar la uniformidad por parte de empresas
multinacionales en los métodos utilizados para la recolección, uso y procesamiento de datos
personales; fomentar los esfuerzos nacionales e internacionales para promover y hacer
cumplir las disposiciones legales de protección de datos personales.
13.2. Protección de datos personales en el Big data o datos masivos
En los últimos años, la tecnología se ha vuelto indispensable para la realización de las
prácticas cotidianas de los seres humanos. Despertamos con los celulares, trabajamos con la
computadora, e incluso nos transportamos con aplicaciones que te permiten solicitar un
vehículo cuando lo necesites. En todas estas tareas, estamos compartiendo gran cantidad de
información, de la que posiblemente ni siquiera nosotros tengamos idea. Dentro de esa
información que corre a diario por la red, se encuentran los datos personales; no sólo de
nosotros, sino de millones y millones de personas en el mundo.
16 La Cumbre Mundial sobre la Sociedad de la Información (CMSI) se desarrolló en dos fases. La primera tuvo lugar en Ginebra acogida por el Gobierno de Suiza, del 10 al 12 de diciembre de 2003 y la segunda en Túnez acogida por el Gobierno de Túnez, del 16 al 18 de noviembre de 2005.
Retos de la Efectiva Protección de Datos Personales en Internet
13
La tecnología ha ido evolucionando, y a la par, las formas en que nuestros datos se
encuentran disponibles. Antes sólo teníamos que preocuparnos por los datos que
entregábamos a alguna empresa con la que realizábamos una transacción. Hoy en día, esos
tratos no se hacen únicamente “sobre papel”, sino que ya se encuentran en la red, en sus
distintas modalidades; a través del correo electrónico, de nuestra red social, de las
aplicaciones que descargamos, etc. La información que compartimos es incalculable.
Dentro del campo de estudio del Derecho Informático, se encuentra la Protección de Datos
Personales, misma que hace referencia a la garantía del control de la propia información
frente a su tratamiento, ya sea a la tratada en sistemas computacionales o en cualquier medio
electrónico que permita su almacenamiento, organización y acceso.
Todos los datos pertenecen a material sensible, y mucha gente que otorga fácilmente sus
datos a través de la red, no sabe con qué fin los están utilizando, ni mucho menos si se están
compartiendo en algún otro lugar. Podemos tomar como ejemplo el caso de las aplicaciones;
cuando nosotros descargamos una app a nuestro celular, por iniciativa sólo aceptamos los
términos y condiciones, pero realmente no sabemos a dónde irán a dar nuestros datos. Eso
es grave. Pero más grave aún es cuando las aplicaciones, en principio, ni siquiera especifican
su política de uso y privacidad de datos.
13.2.1 Concepto y alcance
Gartner, la empresa consultora y de investigación de las tecnologías de la información, define
al Big Data como activos de información caracterizados por su alto volumen, velocidad, y
variedad,17 que demandan soluciones innovadoras y eficientes de procesado para la mejora
del conocimiento y toma de decisiones en las organizaciones. En resumen, podemos decir
que Big Data se centra en el tratamiento y análisis de grandes volúmenes de datos. (López,
2012:4).
17 El Big Data contiene ciertas características, que son mayormente conocidas como las 5v: variedad, velocidad, volumen, veracidad y valor del dato, mismas que necesariamente deben estar integradas con los principios de la protección de datos personales.
Retos de la Efectiva Protección de Datos Personales en Internet
14
Big Data está diseñada para recibir grandes cantidades de información; nos facilita el trabajo,
pues permite trabajar con grandes cantidades de información en bases de datos,18 dejando de
lado los métodos tradicionales. Esta actualización del hombre y el mundo a “lo digital”, ha
generado un cambio radical en nuestra vida cotidiana.
Legitec (legislación y tecnología) en su página web, señala que: dentro del Big Data podemos
incluir los datos que se recogen por parte de empresas tecnológicas como Microsoft, Google,
Facebook, Apple, Twitter, datos que posteriormente comparten con desarrolladores de
aplicaciones o con empresas de marketing para ofrecer publicidad.19
13.2.2 Legislación aplicable
En México, el referente es la Ley Federal de Protección de Datos Personales en Posesión de
los Particulares, en donde se considera como Datos Personales a cualquier información
concerniente a una persona identificada o identificable. Dicha ley no dice explícitamente cómo
o cuál debe ser el tratamiento de los datos personales en Big Data.
En la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, en
cuanto al Capítulo I, sobre Disposiciones Generales, Artículo 1 dice lo siguiente: La presente
Ley es de orden público y de observancia general en toda la República y tiene por objeto la
protección de los datos personales en posesión de los particulares, con la finalidad de regular
su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el
derecho a la autodeterminación informativa de las personas. (LFPDPPP).
Otro aspecto importante a considerar es sobre el concepto que se utiliza en la ley, referente al
Aviso de Privacidad: Documento físico, electrónico o en cualquier otro formato generado por el
responsable que es puesto a disposición del titular, previo al tratamiento de sus datos
personales, de conformidad con el artículo 15 de la presente Ley. (LFPDPPP).
18 David López se refiere que cuando se habla de base de datos relacional se hace referencia a la teoría del modelo de datos relacional obra del investigador de IBM Edgar Codd en 1970 y que goza de una fuerte base matemática.
19 Véase: http://legitec.com/el-big-data-y-la-proteccion-de-datos/
Retos de la Efectiva Protección de Datos Personales en Internet
15
En ese concepto, podemos observar que la Ley habla sobre los avisos de privacidad en
formato electrónico, pero no especifica si eso implica Big Data, pues desgraciadamente no
hay un apartado sobre la Protección de los Datos Personales en cuanto a Internet, en sus
diferentes formas y usos.
Es necesario que estos usos comiencen a ser regulados, pues en otras partes del mundo,
como en la Unión Europea, estos temas ya tienen cabida, así tenemos que en enero de 2012,
la Comisión Europea propuso una gran reforma de la legislación sobre protección de datos en
la UE. Completar esta reforma es una prioridad política para 2015. El objetivo de este nuevo
conjunto de normas es volver a dar a los ciudadanos el control de sus datos personales y
simplificar el contexto reglamentario para las empresas. La reforma de la protección de datos
es un factor clave del mercado único digital, considerado prioritario por la Comisión. La
reforma permitirá que los ciudadanos y las empresas europeas se beneficien plenamente de
las ventajas de la economía digital.20
13.3. Protección de datos personales en internet de las cosas
Evaluar las necesidades de protección en el Internet de las cosas, debe tener atención
inmediata, pues los dispositivos que personalizamos agregándole contenido altamente
privado, van produciéndose a grandes cantidades. Por ello es que debe existir una regulación
en materia de protección de datos personales en el internet de las cosas.
Ahmed Banafa, en el sitio OpenMind, menciona que: muchas cosas están conectadas a
internet actualmente, y veremos cómo va aumentando, así como la aparición del uso
compartido de datos contextuales y acciones de máquinas autónomas basadas en esa
información. La IC es la asignación de una presencia virtual a un objeto físico, a medida que
evoluciona, estas presencias virtuales empezarán a interactuar e intercambiar información, y
los dispositivos tomarán decisiones partiendo de este dispositivo contextual. Esto conducirá a
20 Véase: http://ec.europa.eu/justice/data-protection/index_es.htm
Retos de la Efectiva Protección de Datos Personales en Internet
16
amenazas físicas respecto a infraestructuras y propiedades nacionales [por ejemplo,
automóviles y hogares], medio ambiente, suministro de electricidad, agua y alimentos, etc.21
Por lo anterior, es preciso señalar que prácticamente será imposible que algún objeto esté
libre de conectarse a internet.
13.3.1 Concepto y alcance
El internet de las cosas, se refiere a los objetos cotidianos que están interconectados
digitalmente con internet; la digitalización del mundo físico. Este concepto fue propuesto por
Kevin Ashton en el Auto-ID Center del Instituto Tecnológico de Massachusetts 1999.
El Instituto de Ingeniería de la UNAM, expone un sencillo ejemplo, para comprender de mejor
manera el concepto en este caso en la industria con Rockwell Automation, empresa dedicada
a la automatización de procesos industriales en colaboración con Microsoft, ha instrumentado
un sistema basado en IoT22 para monitorear todos los elementos clave que forman parte de la
extracción, el transporte, la refinación y la venta de gasolina. En cada punto de la cadena de
suministro, existen dispositivos con sensores que continuamente están transfiriendo datos a
través de la nube; una vez recibidos, son almacenados y procesados mediante un software
especial para la mejor toma de decisiones. Cualquier falla que pudiese ocurrir en alguno de
los puntos es inmediatamente detectada y corregida, lo cual evita al máximo retrasos o
errores que a la larga terminarían afectando al consumidor final. (Vélez, 2015).
13.3.2 Legislación aplicable
En comparación con los otros usos que internet ha permitido, en cuanto a la legislación sobre
la Protección de Datos, en el Internet de las cosas si existe regulación, sólo que no en México.
Nuevamente nos situamos en Europa, específicamente en España, en donde la Agencia
Española de Protección de Datos (AEDP), se ha preocupado por la privacidad de los usuarios
21 Véase: https://www.bbvaopenmind.com/internet-de-las-cosas-seguridad-privacidad-y-proteccion/
22 “Internet de las cosas”. IoT, por sus siglas en inglés “Internet of things”.
Retos de la Efectiva Protección de Datos Personales en Internet
17
con el avance de las nuevas tecnologías: las Autoridades subrayan las obligaciones en cuanto
a protección de datos de los diversos actores que participan en el Internet de las Cosas y
recuerdan los derechos que amparan a los ciudadanos, con ejemplos específicos en cada
caso. Además, dice la AEDP en un comunicado, “el documento ofrece un amplio conjunto de
recomendaciones prácticas dirigidas a cada uno de los grupos involucrados en el desarrollo
de esta tecnología”.
Para identificar los riesgos que pueden surgir de esta tecnología si no se desarrolla desde un
enfoque ético y respetuoso, el Dictamen plantea tres escenarios: la conocida como tecnología
para llevar puesta (wearable computing), los dispositivos capaces de registrar información
relacionada con la actividad física de las personas y la domótica.23
España pone el ejemplo a los países que aún no cuentan con una Ley de Protección de Datos
en el Internet de las cosas, y no sólo en ese caso en específico, sino aplica para fabricantes
de dispositivos, desarrolladores de aplicaciones y gestores de redes sociales, por un lado, y a
usuarios que van a utilizar estos equipos conectados, por otro.
13.4. Protección de datos personales en las Apps
Al ser poseedores de objetos que tienen acceso a internet, debemos tener cuidado especial,
pues tantas son las cosas que se van sumando al paso y evolución de la tecnología, que no
sabemos en qué formas podemos estar compartiendo nuestros datos.
Cuando decidimos descargar una aplicación a nuestro celular, ésta, antes de descargarse,
genera un mensaje que te lleva directamente a los términos y condiciones, donde especifican,
además de otras cosas, el uso que le darán a los datos que extraigan de tu celular. Repetidas
veces, por el hecho de reducir el tiempo de descarga y porque otras personas han usado esa
aplicación y no han tenido ningún inconveniente con el manejo de sus datos, optamos por
omitir ese paso y aceptamos un contrato virtual que jamás leímos. Es un grave error.
23 Véase: http://www.channelbiz.es/2014/09/25/la-aedp-regula-la-privacidad-en-el-internet-de-las-cosas/
Retos de la Efectiva Protección de Datos Personales en Internet
18
Las amenazas a las que nos exponemos con el internet de las cosas, son variadas. Algunos
autores toman en cuenta tres categorías; privacidad, protección y seguridad.
Las Apps tienden a obtener datos de los usuarios que las descargan esto implica que hay que
tener especial cuidado en ya que repercuten las consecuencias jurídicas en materia de protección
de datos personales. Otro aspecto de importante relevancia es saber si los datos que alójala la
aplicación se alojaran en servidores propios (almacenamiento en dispositivos móviles o ajenos
como (cloud), así mismo hay que tener en cuenta donde se alojara la aplicación así
determinaremos el estricto régimen jurídico previsto para los encargados del tratamiento y en
especiales casos la transferencia internacionales de datos si los servidores se encuentran
ubicados en otros países.
Existen una gran interacción entre las aplicaciones móviles y los usuarios esta cercanía hace que
la interactividad que exista entre ambas sea muy estrecha y por lo tanto existan vínculos donde
se combinan la privacidad de los usuarios aunado a todos sus datos personales, así las
aplicaciones tienen mayor acceso a un número de datos mayor que al que tiene un acceso un
navegador de internet tradicional s por esta razón que tenemos que poner especial atención en el
manejo de estos datos pues significan un riesgo para el usuario si no se hace el correcto uso de
ellos y con el debido cuidado.
“El Grupo de Trabajo Artículo 29 sobre Protección de Datos en su Dictamen 02/2013 sobre las
aplicaciones de los dispositivos inteligentes concreta como principales riesgos para la protección
de los datos de los usuarios finales”:24
a) La falta de transparencia, para garantizar que al usuario final se le ofrece información
completa a su debido tiempo sobre el uso y cesión de sus datos.
b) La falta de consentimiento libre e informado
24 Véase, Jordi Bacaria Martrus; http://informativojuridico.com/r%C3%A9gimen-de-privacidad-de-las-aplicaciones-de-software-para-dispositivos-m%C3%B3viles-o-tabletas-apps
Retos de la Efectiva Protección de Datos Personales en Internet
19
c) La aplicación de medidas de seguridad insuficientes que pueden provocar el tratamiento
no autorizado de información personal.
d) El incumplimiento del principio de limitación de la finalidad
“El informe de Appthority sobre Reputación de las App - Invierno 2014 ofrece una visión general
de los riesgos de seguridad de las aplicaciones móviles más populares. Appthority analizó el
comportamiento de 400 aplicaciones: las 100 mejores aplicaciones gratuitas y las 100
aplicaciones de pago para las dos plataformas móviles más populares, iOS y Android.”
Las aplicaciones de software para dispositivos inteligentes pueden tratar datos personales que
permitan incidir significativamente en la vida privada de los usuarios y otras personas y que en
ocasiones pueden referirse a información personal especialmente sensible. Algunos ejemplos
serian:
a) Datos de contactos, de correo electrónico, de identificadores únicos del dispositivo y del
cliente, del número de teléfono móvil, de la identidad del usuario o de la identidad del
teléfono.
b) Datos biométricos como modelos de reconocimiento facial y huellas dactilares.
c) Datos de tarjetas de crédito y relativos a pagos.
d) Credenciales de autenticación para los servicios de la sociedad de la información (en
particular los servicios social media).
e) Datos sensibles sobre salud u otra información sensible que contenga el historial de
navegación, los registros de llamadas, SMS y mensajería instantánea o referidos a la
localización.
f) Datos relacionados con la imagen: fotografías y vídeos.
13.4.1. Concepto y alcance
El mundo digital ahora se desplaza hacia otras dimensiones con la creación de aplicaciones
móviles que nos facilitan las tareas, a la vez que nos permiten ampliar nuestro
entretenimiento. Una App es una aplicación de software que se instala en dispositivos móviles
o tablets para ayudar al usuario en una labor concreta, ya sea de carácter profesional o de
ocio y entretenimiento, a diferencia de una webapp que no es instalable. El objetivo de una
Retos de la Efectiva Protección de Datos Personales en Internet
20
app es facilitarnos la consecución de una tarea determinada o asistirnos en operaciones y
gestiones del día a día.
Existen infinidad de tipos de aplicaciones: Apps de noticias (elmundo.es), juegos (CSR
Racing), herramientas de comunicación como Whatsapp, redes sociales como Google+,
apps para salir de fiesta (Liveclubs), promociones comerciales (McDonnalds), aplicaciones
para vender tus cosas usadas desde el móvil (YuMe)…etc, que nos pueden ayudar en el
trabajo o intentar hacernos el día más ameno.25
“En informática, una aplicación es un tipo de programa informático diseñado como herramienta
para permitir a un usuario realizar uno o diversos tipos de trabajos. Esto lo diferencia
principalmente de otros tipos de programas, como los sistemas operativos (que hacen funcionar
la computadora), los utilitarios (que realizan tareas de mantenimiento o de uso general), y los
lenguajes de programación (para crear programas informáticos).26
El grupo de trabajo en virtud del art. 29 de la Directiva 95/46/CE. Es un grupo consultivo europeo
independiente en materia de protección de datos y privacidad, y este define a las App´s de la
siguiente manera: “Las aplicaciones son programas informáticos generalmente concebidos para
un cometido concreto y dirigidos a un determinado conjunto de dispositivos inteligentes como
teléfonos inteligentes, tabletas o televisores conectados a internet. Las aplicaciones organizan la
información de acuerdo con las características específicas del dispositivo y suelen interactuar
estrechamente con el soporte físico y las características del sistema operativo del mismo.” 27
El abogado Javier Puyol nos define una app o como el coloquialmente lo denomina el “un “app”
es básicamente un tipo de programa informático diseñado como herramienta para permitir a un
usuario realizar diversos tipos de trabajos, si bien una aplicación móvil, app (en inglés) es
una aplicación informática diseñada para ser ejecutada en teléfonos inteligentes, tabletas y otros
25 Véase: http://qode.pro/blog/que-es-una-app/
26 Véase http://es.wikipedia.org/wiki/Datos_abiertos
27 Véase “Dictamen 20/2013 sobre las aplicaciones de los dispositivos inteligentes” Adoptado el 27 de febrero de 2013, Grupo de trabajo “Articulo 29 sobre protección de datos” Referencia 00461/13/ESWP 202, el cometido de este grupo se describe en el artículo 30 de la Directiva 95/46/CE y en el artículo 15 de la Directiva 2002/58/CE
Retos de la Efectiva Protección de Datos Personales en Internet
21
dispositivos móviles. Por lo general se encuentran disponibles a través de plataformas de
distribución, operadas por las compañías propietarias de los sistemas operativos
móviles como Android, iOS, BlackBerry OS, Windows Phone, Samsung Apps entre otros”.28
Si buscamos de manera general en la web encontraos que el concepto de app es genérico en
algunos aspectos como lo son desde su etimología. “El término app es una abreviatura de la
palabra en inglés application. Es decir, una app es un programa. Pero con unas características
especiales”29
• Se refieren sobre todo a aplicaciones destinadas a tablets (como el iPad o equipos
Android) o a teléfonos del tipo smartphone (como el iPhone o el Samsung Galaxy).
También las hay en Windows 8.
• Suelen ser más dinámicas que los programas tradicionales. Algunas dependen de Internet
para funcionar. Por ejemplo las asociadas a Facebook o Twitter. O las de noticias o el
estado del tiempo.
• La instalación es instantánea. Basta hacer un par de clics para que se descarguen y
empezar a usarlas.
• Son más pequeñas y específicas. Es raro que ocupen más de unos pocos MB. Y su uso
suele limitarse a algo muy concreto. No tienen decenas de opciones distintas como
muchos programas "normales".30
Las App´s son una combinación perfecta que se ha creado por los ingenieros especialistas en
informática para crear un sistema entre los programas de información y los nuevos gates que
salen al mercado
28 Véase http://www.confilegal.com/javier-puyol/regimen-legal-apps-20042015-0702
29 Véase http://windowsespanol.about.com/od/AccesoriosYProgramas/f/Que-Es-Una-App.htm
30 Idem
Retos de la Efectiva Protección de Datos Personales en Internet
22
13.4.2. Legislación aplicable
Cada día se desarrollan nuevas ideas y formas de replantear el modelo de las aplicaciones
móviles para que estas estén a la vanguardia de los últimos sistemas operativos y dispositivos de
última generación, en consecuencia tengan todas las ventajas en el mercado que las lleve al éxito
deseado de sus creadores, todo esto nos lleva al universo de las diversas plataformas que
ofrecen los diferentes desarrolladores en donde se ofrecen un sin fin de aplicaciones con
especificas funciones para cada necesidad que requieran los usuarios y su clasificación depende
de los criterios de cada desarrollador y en específico de la tienda on-line que cada plataforma
ofrezca a los usuarios las dos más representativas en el mercado es marketplace para Android y
appstore para IOS, en consecuencia toda esta evolución las App´s está sujeta a preceptos
regulatorios que le dan el sustento a todo un régimen y contexto jurídico como propiedad
intelectual con mención especial a derechos de autor, fiscales, contractuales, protección de datos
personales, societarios y otros más.
Existe una gran necesidad de un parámetro regulatorio, en casos específicos como conflicto con
un usuario-cliente por el manejo de datos personales, el producto comercializado por la app o la
responsabilidad extracontractual, es necesario que se defina la legislación y jurisdicción aplicable,
comúnmente se maneja por medio de contratos de adhesión que al descargar la aplicación se
manifiestan identificándolos con un recuadro en donde se manifiesta el consentimiento y la
voluntad solo con un “Si acepto” ó un “I agree” al descargar las Apps.
“Estos modelos de contratación de marketplace o appstore generalmente son modelos de
adhesión, donde el desarrollador no tiene poder de negociación sobre las cláusulas
contractuales.” 31
Ciertas aplicaciones desarrolladas «a medida» suelen ofrecer una gran potencia ya que están
exclusivamente diseñadas para resolver un problema específico. Otros, llamados paquetes
integrados de software, ofrecen menos potencia pero a cambio incluyen varias aplicaciones,
como un programa procesador de textos, de hoja de cálculo y de base de datos.
31 Véase http://es.wikipedia.org/wiki/Datos_abiertos (02 Junio 2015)
Retos de la Efectiva Protección de Datos Personales en Internet
23
“Las Apps son programas informáticos y, como tales, sus titulares, cuando las comercializan,
tienen que licenciar su uso a los usuarios/compradores. Esto obliga a tener un contrato
de licencia de uso de la App que permita cubrir los principales elementos de dicha cesión así
como para regular otros servicios complementarios como, por ejemplo, los de mantenimiento y
formación.”32 (Eloi Font, “Cobertura jurídica de las Apps”, rev. Món Jurídic)
Algunos aspectos legales que tenemos que tomaren cuenta al momento de analizar el marco
jurídico de las apps son los siguientes:
a) Derechos de autor y licencia de uso. En la elaboración de un programa informático en el
que se crean las bases de la App intervienen varias personas o autores, estos a su vez al
momento de la elaboración van a ceder sus derechos a la empresa que los contrato para dicha
función y la cual va a comercializar las apps que ellos elaboren así la empresa obtendrá los
derechos y será titular de los mismos.
Estas empresas tienen que tener los instrumentos jurídicos suficientes para darle sustento y el
correcto respaldo a las mismas, es conveniente entones que dichas empresas tengan en
legítimos y claros términos esta cesión de derechos en toda la materia de propiedad intelectual.
Esto con el fin de conseguir los permisos correspondientes y legitimar los derechos.
b) Comercio electrónico. En base a la naturaleza de las Apps, están tienen un régimen de
comercio electrónico, ya que su comercialización es en base a medios electrónicos como páginas
web principalmente de los sitios website que las comercializan y son predominantes en el
mercado pues abarcan muchas de estas y las estrategias del mercado que utilizan como
venderlas en paquete o brindar un versión light de ellas las ha hecho cada día más populares,
también se venden por medio de los mismos dispositivos móviles ambos tiene integrados
32 Véase, artículo “Cobertura jurídica de las Apps”, revista Món Jurídic. Por Eloi Font Font advocats, www.fontadvocats.com,
ttp://www.snabogados.com/blog/cobertura-juridica-de-las-apps/
Retos de la Efectiva Protección de Datos Personales en Internet
24
sistemas de pago automático o prestablecidos que brindan un servicio de pago rápido y seguro.
En base a ello es importante recalcar que es de vital importancia que estas plataformas que
brindan este modelo de comercialización posean las precisas y correctas condiciones generales
de contratación que brinden en términos correctos y claros y las condiciones a las que se apegan
al momento de aceptar las clausulas y condiciones, los usuarios/clientes deberán de conocer y
otorgar su consentimiento antes de poder descargar cualquier tipo de App sin importar el índole o
clasificación que se le atribuya. Estos mismos lineamientos se deben apegar al régimen jurídico,
respetar la legislación vigente, y cumplir con los lineamientos generales de la sociedad de la
información, y el comercio electrónico.
c) Branding. Las app´s se dan a conocer en el mercado bajo una determinada marca comercial y
cierto patrocinio esto con el propósito de evitar cualquier usurpación de otros competidores. La
forma más común de vitar este tipo de situaciones es acudir al registro correspondiente de
patentes y marcas o en su caso a la Oficina Mundial de la Propiedad Intelectual; en función del
ámbito territorial en el que la empresa quiera comercializar la App (estatal, comunitario e
internacional, respectivamente).33
“El marco legal general se concreta en la aplicación de la legislación sobre protección de datos y sobre privacidad de la información personal en el ámbito de las comunicaciones electrónicas. Desde el punto de vista europeo serán de aplicación las siguientes directivas:
a) Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, dedicada a la protección del derecho a la protección de datos.
b) Directiva 2002/58/CE del parlamento europeo y del consejo de 12 de julio de 2002 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las
33 Véase, artículo “Cobertura jurídica de las Apps”, revista Món Jurídic. Por Eloi Font
Font advocats, www.fontadvocats.com
Retos de la Efectiva Protección de Datos Personales en Internet
25
comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), dedicada a la privacidad del consumidor.
Por otra parte, en Estados Unidos se está debatiendo en el Congreso la denominada “Application Privacy, Protection, and Security Act of 2013” o “The APPS Act of 2013”. Esta ley está dirigida a los desarrolladores de aplicaciones para dispositivos móviles, con referencia a la recogida de datos personales sobre del usuario por la aplicación y a la información al usuario y obtención de su consentimiento con respecto a los términos y condiciones que rigen la recogida de datos, al uso, al almacenamiento y al intercambio de los citados datos personales.”34
13.5. Protección de datos personales en los motores de búsqueda
Los motores de búsqueda se han convertido en parte de la vida diaria de las personas que
utilizan Internet y tecnologías de recuperación de datos, por lo que también es fundamental la
regulación en el uso de datos personales.
13.5.1 Concepto y alcance
Un motor de búsqueda es una herramienta hardware y software que agrupa páginas web,
para que se puedan buscar a través de palabras clave en un formulario de búsqueda;
...son esencialmente enormes bases de datos que cubren amplias franjas de la
Internet. La mayoría consisten en tres partes: por lo menos un programa, llamado
araña, orugas o bot, que “arrastra” a través de la recopilación de información de
Internet, una base de datos, que almacena la información recopilada, y una
herramienta de búsqueda, con el que los usuarios buscan a través de la base de datos
escribiendo en palabras clave que describan la información deseada (por lo general en
un sitio Web dedicado al motor de búsqueda).Cada vez más, se están utilizando
metabuscadores, que buscan un subconjunto (por lo general 10 o así) de la gran
cantidad de motores de búsqueda y luego compilan e indexar los resultados.35
34 Véase, Jordi Bacaria Martrus; http://informativojuridico.com/r%C3%A9gimen-de-privacidad-de-las-aplicaciones-de-software-para-dispositivos-m%C3%B3viles-o-tabletas-apps
35 Véase: http://consultoriaintegraleninternet.com/faqs/definicion-de-motor-de-busqueda-o-buscador/
Retos de la Efectiva Protección de Datos Personales en Internet
26
13.5.2 Legislación aplicable
Nuevamente citamos el caso español, que en cuanto a los motores de búsqueda, también
tiene una legislación para proteger los Datos Personales de los usuarios de internet.
El siguiente fragmento forma parte del Dictamen 1/2008 sobre cuestiones de protección de
datos relacionadas con motores de búsqueda, emitido el 4 de Abril de 2008:
Este dictamen concluye que los datos personales sólo deben tratarse con fines
legítimos. Los proveedores de motores de búsqueda deben suprimir o hacer anónimos
de forma irreversible los datos personales en cuanto dejen de tener los fines
determinados y legítimos para los que se recogieron, y deben estar en condiciones de
justificar la conservación y la longevidad de las cookies ("chivatos") utilizadas en
cualquier momento. Se requiere el consentimiento del usuario para cualquier
comparación cruzada y planeada de datos del usuario y para el enriquecimiento del
perfil de este último. Los motores de búsqueda deben respetar las cláusulas de
exclusión voluntaria de los editores de sitios Internet y responder inmediatamente a las
solicitudes de los usuarios relativas a la actualización/refresco de las memorias ocultas
(cache). El Grupo de Trabajo recuerda la obligación de los motores de búsqueda de
informar claramente de antemano a los usuarios de todas las utilizaciones previstas de
sus datos, y de respetar su derecho a acceder, examinar o corregir estos datos
personales de conformidad con lo dispuesto en el artículo 12 de la Directiva sobre
protección de datos (95/46/CE).36
13.6 Protección de datos personales en el cómputo en la nube
De acuerdo con la Organización de Naciones Unidas, la revolución digital en las tecnologías de información y comunicación, ha creado una plataforma para el libre flujo de la información, ideas y conocimientos en todo el planeta37.
36 Véase: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp148_es.pdf
37 Téllez, J. (2009). Derecho Informático. México: McGraw-Hill. P. 1.
Retos de la Efectiva Protección de Datos Personales en Internet
27
Esta revolución ha permitido nuevos tipos de almacenamiento en el ciberespacio, como el servicio de cómputo en la nube, que ofrece ventajas competitivas a sus usuarios; sin embargo, también plantea nuevos retos jurídicos particularmente los relacionados a la jurisdicción en materia de protección de datos personales almacenados en este tipo de servicios y la responsabilidad de los prestadores del servicio. Lo anterior, en virtud de que el flujo de información hace necesaria la generación y aplicación de principios regulatorios, tanto a los medios de transmisión, como a los medios que contienen información.
Al tratarse de un fenómeno tecnológico relativamente nuevo, el ámbito jurídico se encuentra un paso atrás, por lo que resulta necesario hacer un análisis de las relaciones contractuales y obligaciones que surgen de este servicio, así como de la jurisdicción aplicable en ambos casos.
13.6.1 Concepto y alcance
En relación a los medios de almacenamiento de información, se encuentra el cómputo en la nube, el cual ha recorrido un largo camino desde que fue establecido por primera vez como una perspectiva del futuro de la computación.
El concepto básico de la computación en nube se le atribuye a John McCarthy38, quien en 1961 fue el responsable de introducir el término inteligencia artificial, durante un discurso para celebrar el centenario del MIT39, en donde sugirió que la tecnología de tiempo compartido de las computadoras podría conducir a un futuro donde el poder del cómputo e incluso aplicaciones específicas podrían venderse como un servicio.
De acuerdo a la IEEE Computer Society40, la computación en la nube es un paradigma en el que la información se almacena de manera permanente en servidores en Internet y se envía a cachés temporales de cliente. La computación en la nube por lo tanto es un concepto general
38 John McCarthy es considerado por los expertos en informática como uno de los primeros en tocar la idea de la computación en la nube, cuando sugirió en un discurso que la computación se entrega como un servicio público.
39 Instituto Tecnológico de Massachusetts (MIT, del inglés Massachusetts Institute of Technology), es una institución de educación superior privada situada en Cambridge, Massachusetts (Estados Unidos).
40 IEEE corresponde a las siglas del Institute of Electrical and Electronics Engineers (Instituto de Ingenieros Eléctricos y Electrónicos), que es una asociación técnico-profesional mundial sin ánimo de lucro formada por profesionales de las nuevas tecnologías.
Retos de la Efectiva Protección de Datos Personales en Internet
28
que incorpora el software como servicio, tal como la Web 2.0, donde el tema en común es la confianza en Internet para satisfacer las necesidades de cómputo de los usuarios.41
Pew Internet, un laboratorio de los Estados Unidos que trabaja en los aspectos sociales del Internet la define como una arquitectura emergente por la cual los datos y los usos residen en el ciberespacio42, permitiendo que los usuarios tengan acceso a través de cualquier dispositivo conectado a la red.
En un trabajo publicado por la Universidad de California en Berkeley, los autores definen la computación en la nube como “los servicios sobre el Internet y el soporte físico y el software del sistema en los centros de datos que proporcionan esos servicios”. Ese trabajo menciona que también son referidos como “software como servicio” (SAAS), y que el soporte físico y el software del datacenter es generalmente lo que se llama nube.43
En palabras de Cristos Velasco San Martín, el Cloud Computing es “la migración o externalización de las actividades informáticas, hardware y funciones de almacenamiento de datos a un tercero prestador del servicio, quien hospeda aplicaciones en el ciberespacio a través de servidores interconectados ubicados alrededor del mundo”.44
Este servicio comprende tanto a las aplicaciones provistas como servicios a través de internet45, como al hardware y sistemas de software que se encuentran en los centros de datos que proveen aquellos servicios. El hardware y software en un centro de datos es lo que llamamos la “nube”, la cual puede dividirse en dos tipos principales: el primero es el llamado PublicCloud, o Nube Pública, que es el nombre asignado a la modalidad de oferta de estos servicios al público en general46; el segundo tipo de nube es la llamada Private Cloud, o Nube
41Granero R., Horacio, La naturaleza jurídica de la nube. Consultado en: http://www.eldial.com.ar/nuevo/lite-tctcddetalle.asp?id=4557 (20/05/2012 a las 17:20 hrs.)
42 Ciberespacio es un término que apareció en los años ochenta, cuando Guillermo Gibson lo acuñó en sus novelas; mientras que “cloud computing” es un concepto que se ha utilizado muy recientemente, particularmente con el advenimiento de la Web 2.0.
43 Juan B. Horrigan, Uso de los usos y de los servicios computacionales de la nube. Consultado en: http://pewinternet.org/pdfs/PIP_Cloud.Memo.pdf (13/05/2012 a las 14:30 hrs.).
44Cristos Velasco, San Martín, Jurisdictional aspects of cloud computing. Consultado en: http://www.coe.int/t/dghl/cooperation/economiccrime/cybercrime/Documents/ReportsPresentations/2079%20if09%20pres%20cristos%20cloud.pdf (05/06/2012 13:00hrs.).
45 Este tipo de servicios son también conocidos como Software as a Service (SaaS) o Software como Servicio.
46 El tipo de servicios que reciben los proveedores de Software como servicio (SaaS) es conocido como Utility Computing.
Retos de la Efectiva Protección de Datos Personales en Internet
29
Privada, que se encuentra referida a los centros de datos internos de una empresa u organización, los cuales se encuentran fuera del alcance del público.
La computación en la nube es una evolución de la adopción de la virtualización, la arquitectura orientada a servicios y la utilidad del cómputo. El objetivo principal es que los usuarios finales ya no necesiten tener conocimientos o control sobre la infraestructura tecnológica de la nube que los apoya.
Alcance
Desde el punto de vista económico, la principal característica de la nube, es que permite optimizar los recursos computacionales existentes al generar economías de escala. Debido a que la nube se basa en compartir recursos de tecnologías de la información (TI) entre distintas empresas y usuarios, su uso lleva a un mejor aprovechamiento de los servidores, del personal y de la electricidad.
Entre los beneficios más importantes del “cómputo en la nube” se encuentran:
• Reducir costos: la nube ofrece a las empresas la posibilidad de escalabilidad sin
necesidad de comprar más infraestructura y mantenerla de acuerdo a la demanda del
cliente permitiendo cobrarlas en la modalidad de pago por uso. Lo anterior permite
optimizar el uso de servidores y licencias de software, reduciendo costos.
• Inmediatez: una gran ventaja de la nube es la rapidez con la que se puede adoptar. El
cliente puede adquirir y utilizar el servicio en un solo día, a diferencia de la tecnología
de información tradicional, que requiere de mucho más tiempo para ser ordenada,
configurada e instalada.
• Disponibilidad: los proveedores de servicios de nube tienen la infraestructura y la
capacidad de banda ancha para cubrir los requerimientos de acceso de alta velocidad,
almacenamiento de datos y de las aplicaciones.
• Escalabilidad: sin la restricción de capacidad de las TI tradicionales, los servicios de
nube ofrecen flexibilidad y escalabilidad para cubrir las crecientes necesidades de TI de
los usuarios. El abastecimiento según la demanda permite un servicio adecuado
durante las horas pico y reduce el tiempo para implementar nuevos servicios.
• Eficiencia: al reorganizar las actividades de administración de TI, las empresas y
gobiernos pueden concentrarse en otras áreas, como en investigación e innovación de
Retos de la Efectiva Protección de Datos Personales en Internet
30
productos. Esto puede traer ventajas mucho mayores que sólo la reducción de
costos47.
13.6.2 Legislación aplicable.
En el contexto internacional se han emitido normas, iniciativas regulatorias, conferencias y directrices que han puesto al descubierto la relevancia de los datos personales, tratando de dar una aproximación al tema.
En el caso de México, el marco jurídico relativo a la protección de datos personales, particularmente aplicable al servicio de cómputo en la nube es:
Constitución Política de los Estados Unidos Mexicanos: artículos 6 y 16, segundo párrafo, y 73, los cuales establecen el marco constitucional del derecho a la privacidad y de los datos personales como derecho fundamental,
La regulación en materia de datos personales ha sido dividida según quien los posee; es decir, en posesión de particulares y del sector público.
En el caso de los datos personales en posesión de los particulares, se encuentran:
1. Instrumentos internacionales (convenciones, tratado, pactos, declaraciones; derecho a la intimidad, a la vida privada o a la privacidad);
2. TLCAN (protección de datos poco exigente y con lagunas); 3. Acuerdo Global de Asociación Económica, Concertación Política y Cooperación
México-Europa (exige protección elevada); 4. Ley Federal de Protección de Datos Personales en Posesión de los Particulares; 5. Reglamento de la Ley Federal de Protección de Datos Personales en Posesión
de los Particulares; 6. Ley Federal de Protección del Consumidor, 7. Criterios de cortes internacionales y de la Suprema Corte de Justicia de la
Nación (SCJN). 8. En el caso de los datos personales en el ámbito público, los ordenamientos
jurídicos que le dan fundamento al cómputo en la nube son: 9. Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental
y Lineamientos de Protección de Datos Personales;
47 Cómputo en la nube: nuevo detonador de competitividad en México. Consultado el 08/12/2015. Información disponible en: http://imco.org.mx/wp-content/uploads/2012/6/computo_en_la_nube_detonador_de_competitividad_doc.pdf
Retos de la Efectiva Protección de Datos Personales en Internet
31
10. Reglamento de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental;
11. Lineamientos de Protección de Datos Personales; 12. Recomendaciones sobre medidas de seguridad aplicables a los sistemas de
Datos Personales emitidos por el INAI; 13. Lineamientos Generales para la Organización y Conservación de los Archivos y
las Dependencias de las Entidades de la Administración Pública Federal 14. Esquema de Interoperabilidad y de Datos Abiertos de la Administración Pública
Federal 15. Ley Federal de Firma Electrónica 16. Ley Federal de Archivos48
48 Consultado el 08/12/2015 en: http://biblio.juridicas.unam.mx/libros/7/3249/6.pdf