Responsabilidad del Estado y de las Empresas de proteger la privacidad

Entrevista con la Dra. Carmen Quijano Decanini

Con motivo de la publicación de su libro Derecho a la privacidad en internet, publicado por Tirant lo Blanch, en 2022, la Dra. Carmen Quijano Decanini nos habla en esta entrevista, conducida por la Mtra. Ligia González Lozano, sobre uno de los temas más relevantes en la era del internet: la protección de la privacidad y los datos por parte de las empresas y los gobiernos, en donde explica la diferencia entre privacidad y protección de datos: la privacidad es el género, la identidad, la construcción de la personalidad,si no tengo privacidad no puedo construir mi personalidad; mientras que la protección de datos es una de tantas facetas de la privacidad, es la protección del aspecto informacional.

Nos recuerda que las limitaciones de la Ley de Protección de Datos Personales en Posesión de los Particulares (LPDPPP) surgen porque esta ley es previa a las redes sociales, al ecosistema digital con el que actualmente nos relacionamos, es decir, cuando los usuarios comunes no podían divulgar información que se volviera masiva de forma inmediata y sin retorno.

De acuerdo con la Dra. Quijano, internet es una interconexión de servidores, no tiene un gobierno, sino que hay un consejo, una diversidad de empresas que tienen una influencia específica como Google que deciden y que no fueron electas por ninguna población, por lo cual no hay una herramienta judicial para hacer valer nuestros derechos como antes lo podíamos hacer ante el Estado.

Finalmente, enfatiza en que se debe regular la rendición de cuentas en el sector privado, ya que las empresas y los gobiernos han pugnado por la autorregulación, la gobernanza de internet, que consiste en firmar principios donde se obligan a cuidar los datos de los usuarios, privacidad, a protegerla, no transferir sin consentimiento, etc. Pero nadie les puede exigir ni se puede verificar que cumplan con ese compromiso porque no es vinculante. Presentamos a nuestros lectores la parte fundamental de esta entrevista.

“La privacidad es la identidad, la construcción de la personalidad, si no tengo privacidad, no puedo construir mi personalidad, mi identidad. La privacidad es el género y la protección de datos es una de tantas facetas de la privacidad, es la protección de mi aspecto informacional.”

LIGIA GONZÁLEZ LOZANO (LGL): ¿CUÁL ES EL ORIGEN DE ESTE LIBRO?

CARMEN QUIJANO DECANINI (CQD): En alguna asesoría que impartimos en una empresa escuché sobre un artículo de un experto en protección de datos, cuando la Ley de Protección de Datos Personales en Posesión de los Particulares empezaba a discutirse en México, en 2010, leí el artículo que se titulaba “¿Existe la privacidad?” de un gran catedrático. El título me inquietó y me plantee si algún día no llegará a existir ese derecho fundamental. Cuando estudié la LPDPPP pensé que no era suficiente, y cuando entré al doctorado de la UNAM mi hipótesis era si la LPDPPP era suficiente para proteger el derecho a la privacidad en internet, luego comprendí que el derecho a la protección de datos es tan solo una parte de la privacidad y la privacidad en línea es muy distinta a la privacidad fuera de línea.

LGL: ¿QUÉ DIFERENCIA HAY ENTRE LA PROTECCIÓN DE DATOS PERSONALES Y LA PRIVACIDAD?

CQD: La privacidad es la identidad, la construcción de la personalidad,si no tengo privacidad, no puedo construir mi personalidad, mi identidad. La privacidad es el género y la protección de datos es una de tantas facetas de la privacidad, es la protección de mi aspecto informacional. Debemos recordar que la LPDPPP es previa a las redes sociales, es decir, previa al ecosistema digital que hoy tenemos, fue creada cuando empezábamos a conocer el internet y se empezaron a recaudar demasiados datos en internet y debíamos tener una norma que los protegiera, pero no teníamos un ecosistema en el que los pares podían divulgar información que se volviera masiva de forma inmediata y sin retorno.

Era cuando comercios, industrias y gobiernos pedían datos para hacer alguna transacción o para que conocieras algo, es decir, era una relación unidireccional entre una empresa y una persona que daba sus datos para obtener un servicio. Por ejemplo, si contrataba una revista, tenía que dar mis datos para que me la enviaran, entonces las empresas empezaron a acumular datos de las personas y había que asegurar que esos datos se usaran en beneficio de la persona y se protegieran.

Cuando las redes sociales empiezan a tener auge, se presenta una interrelación entre todos los usuarios, la información viaja de manera masiva e inmediata y sin retorno. Las únicas leyes que teníamos eran las de datos. La privacidad actualmente no está bien regulada, en el caso de España retomaron las leyes de datos porque en el caso del derecho al olvido una persona utilizó esa ley para defenderse y adaptaron esas normas para cubrir la privacidad cuando la privacidad es mi derecho a que nadie pueda conocer algo de mí que yo no estoy dispuesto a que se conozca, es la construcción de la personalidad. Antes era un derecho de defensa, nadie puede meterse en mi casa si no doy permiso, en mis comunicaciones, ahora, a raíz del internet, es un derecho de yo debo conocer qué se sabe de mí para decidir cómo quiero que se sepa, es una privacidad positiva, un derecho de control, para construir mi personalidad.

 LGL: ¿QUIÉN CONTROLA EL MANEJO DE INFORMACIÓN EN INTERNET?

CQD: Es una interconexión de servidores, no hay un dueño, tampoco es un gobierno, hay un consejo, muchas empresas tienen una influencia específica. Antes las telecomunicaciones dependían de los gobiernos, entonces había la posibilidad de que los gobiernos afectaran los derechos humanos como el de la privacidad y nosotros contábamos con ciertas herramientas que se desarrollaron como el juicio de amparo, el juicio de garantías, etc., cuando surge el internet y las telecomunicaciones se empiezan a concesionar y a poner en manos de privados, empieza a dar una fortaleza a ciertas empresas como Google que deciden y que no fueron electas por ninguna población, por lo cual no hay una herramienta judicial para hacer valer mis derechos como antes lo podía hacer ante el Estado, no puedo tener un amparo para hacer vale mis derechos ante estos poderosos que no existían.

En este mundo del ciberespacio que no es controlado por nadie, es controlado por las empresas que tienen mayor número de información, los datos son el nuevo poder económico, ese es el valor que vivimos en simulación tolerada por usuarios, empresas y gobiernos porque existe una nueva relación de negocios, un nuevo pacto social en el que pensamos que es gratuito el servicio cuando en realidad no lo es, cuando no sabemos realmente qué hacen las empresas con nuestros datos.

“En este mundo del ciberespacio que no es controlado por nadie, es controlado por las empresas que tienen mayor número de información, los datos son el nuevo poder económico, ese es el valor que vivimos en simulación tolerada por usuarios, empresas y gobiernos porque existe una nueva relación de negocios, un nuevo pacto social en el que pensamos que es gratuito el servicio cuando en realidad no lo es.”

Por un lado, hemos construido una sociedad globalizada, por otra parte, hemos abandonado la facultad de cada gobierno de proteger a sus ciudadanos, por ejemplo, antes era un juez de control quien decidía si era válido o no intervenir tu correspondencia, con el internet todo es inmediato y es necesario actuar rápidamente, entonces los jueces ya no deciden, sino que hay convenios entre las empresas y las autoridades para dar cierta información. Por ejemplo, la reforma de telecomunicaciones de 2014 estableció que los concesionarios y los proveedores de aplicaciones están obligados a conservar la información de toda la población para que en caso de que lo requiera el gobierno por asuntos de seguridad, se lo proporcionen inmediatamente, pero sin ningún control judicial, lo que es totalmente contrario al 16 constitucional que dice que nadie puede ser molestado en su persona, bienes, etc., que pueden trasladarse a la era digital sin una orden judicial de un juez de control que tenía que ser inmediata. El juez ya no decide en estos casos, la norma está por debajo de la Constitución, le dio la facultad a las empresas y al Ejecutivo de que se pusieran de acuerdo.

Por otra parte, en el derecho al olvido o en los casos de libertad de expresión en internet es la empresa la que decide si baja o no cualquier tipo de información, como en el caso de Ulrich Richter, autor de un libro sobre cómo ser ciudadano cuya portada relacionaron en un blog de Google con temas de lavado de dinero. El autor pidió a Google bajar dicha información, Google se negó porque su empresa no estaba en México, sino que debía acudir a Google Inc. Después de varios años en litigio, demostró que podía demandar a Google Inc. en México porque él lo hizo por una cuestión procesal de que eran varios demandados y cuando eso sucede, puedes elegir el domicilio. En la demanda eligió Google México, pero el juez en su resolución habló de los derechos fundamentales y del principio pro persona y de cómo debemos proteger a los mexicanos en internet.

“Estamos viendo cómo las empresas ya pueden decidir y que ese control judicial que existía antes se va diluyendo cada vez más, algo que no debemos de perder, debemos exigir que nuestra ley prevea las herramientas procesales, las que fueran ilegales, para establecer la jurisdicción competente, pero de una forma clara, ya no interpretativa, ya no jurisprudencial, sino específica en la ley expresa.”

Dijo que para hacer valer su privacidad, sería imposible que los mexicanos tuvieran que ir a EE. UU. a demandar a Google Inc. y la resolución quedó firme. La empresa recusó, se fue a la Corte, y cuando la Corte iba a declarar firme esa resolución de que podemos demandar a una empresa extranjera en México, porque se trataba de nuestra privacidad y nuestros datos, la empresa se resistió para que no hubiera una resolución firme de la Corte en ese sentido. Estamos viendo cómo las empresas ya pueden decidir y que ese control judicial que existía antes se va diluyendo cada vez más, algo que no debemos de perder, debemos exigir que nuestra ley prevea las herramientas procesales, las que fueran ilegales, para establecer la jurisdicción competente, pero de una forma clara, ya no interpretativa, ya no jurisprudencial, sino específica en la ley expresa, cuando se trate de violación de derechos fundamentales  o ponerlo claro en la Ley de Protección de Datos, la jurisdicción competente es la de México.

LGL:  ES DECIR, QUIÉN ES EL JUEZ COMPETENTE, POR EJEMPLO, EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS CONTIENE NORMAS QUE APLICAN A COMERCIANTES DE OTROS PAÍSES QUE TIENEN CLIENTES EUROPEOS. ¿CÓMO SE CONTROLA INTERNET EN ESTOS CASOS?

CQD: Cuando contraten el servicio, las empresas deberían de empezar a documentar quién contrata desde Europa, y el cliente europeo estaría protegiendo los datos de los ciudadanos europeos porque si haces negocio en ese país, debes cumplir con las normas de orden público, que son la de derechos humanos o la de protección al consumidor. Si haces negocios en todo el mundo, debes verificar qué normas de orden público existen en los países para cumplirlas.

LGL: ¿NO ES CASI IMPOSIBLE PEDIRLE A UNA EMPRESA, QUE QUIERE DISTRIBUIR SUS PRODUCTOS EN TODO EL MUNDO, QUE ADEMÁS DE CUMPLIR CON LA LEY MEXICANA, CUMPLA CON NORMAS EXTRATERRITORIALES QUE PUEDEN SER CONTRADICTORIAS?

CQD: En este caso Europa ya está unificada en el GDPR, EE. UU. también cuenta con algunas normas al respecto y Latinoamérica cuenta con estándares aceptados y nuestras normas cumplen generalmente con ellos. Hay que mencionar que las normas están casi estandarizadas a nivel mundial, las empresas grandes adoptan la que ofrezca mayor protección a la persona. Cuando empiezas con tu negocio en internet, lo mejor es ir cumpliendo el estándar progresivamente.

Nuestra LPDPPP debe ser adecuada a esos estándares para prever la privacidad. Es importante recalcar que lo más importante para distinguir es, en primer lugar, entender qué es un dato personal porque todavía no está claro el concepto, es toda aquella información relacionada con una persona identificada o identificable y se confunde con aquella información que nos identifica, es decir, nombre, domicilio, etc. Pero es absolutamente todo lo que tiene que ver conmigo, por ejemplo, el valor de una casa cuando se le relaciona con el dueño, dónde vive, nivel de ingresos, etc. Es así como las búsquedas en internet son un dato personal porque es lo que se utiliza para crear los perfiles digitales. Primero es saber qué es un dato personal, luego saber que la LPDPPP solo es aplicable a empresas, gobierno e instituciones, pero no entre usuarios de internet

LGL: POR EJEMPLO, TIENES UNA BASE DE DATOS CON INFORMACIÓN DE AMIGOS CON SUS DATOS PERSONALES DETALLADOS, Y DECIDES VENDER ESA INFORMACIÓN A ALGUNA EMPRESA. ¿EN ESTE CASO LA LEY NO TE IMPIDE HACERLO?

CQD: La ley no es clara en ese aspecto, en el segundo dice “quien lo utilice con fines de divulgación”, pero en realidad la ley no fue creada para ese caso porque todavía no existía esa posibilidad cuando se creó, y como no está regulada la privacidad, podría incluso tomarte una foto a una persona y divulgarla, lo que sería un caso de privacidad que está protegida pero derivada de interpretación jurisprudencial. La Corte ha dicho que se encuentra en el 16 constitucional, y lo que en realidad incluye el 16 es la garantía de seguridad jurídica: “nadie puede ser molestado en su persona, familia, domicilio […] sin una orden judicial”.

La Corte Interamericana se rige por los tratados internacionales y conforme al 133 y el primero de los tratados internacionales son norma jurídica interna, aquí se incluye el derecho a la vida privada, que sirve de base para la defensa de la privacidad en general que está distribuida en varias leyes que protegen la privacidad, como el daño moral, derecho de réplica, acoso, extorsión, pero no la tenemos regulada en la Constitución, por lo que las empresas y los gobiernos se aprovechan de esta situación a nivel mundial para seguir haciendo negocios con la información sin regulación.

Durante muchos años se dijo que internet debía ser neutro porque se limitaba la libre expresión, la innovación, la competencia, etc., nadie quiso regular, y ahora estamos en una situación en la que si no regulamos dejará de ser una internet libre, segura y neutra porque las grandes corporaciones que tienen el poder de la información van a imponer sus intereses en perjuicio de las minorías.

GL: AHORA NO SOLO SE DEBEN PROTEGER LOS DATOS PERSONALES, SINO LA PRIVACIDAD.

CQD: Primero se debe regular la privacidad y después exigir mucha más transparencia por parte de las empresas porque si no sabemos qué es lo que se hace con esa información, cómo se utilizan nuestros datos para crear perfiles, para transferirlos, qué tanto se cuidan. Hemos avanzado mucho en el sector público, pero no en el privado porque no hay transparencia, no es obligatorio. Si no hay transparencia, no voy a saber cómo regular o protegerme.

Otro asunto que urge en el sector privado es la rendición de cuentas porque como nadie quiere regular, las empresas y los gobiernos han pugnado por la famosa autorregulación, la gobernanza de internet, entonces firman declaraciones de buena voluntad, principios en donde se obligan a cuidar los datos de los usuarios, privacidad, a protegerla, no transferir sin consentimiento, etc. Pero es una simulación porque nadie les puede exigir ni verificar que lo que dicen efectivamente se está cumpliendo porque no es vinculante.

LGL: ¿LOS DERECHOS ARCO NOS PERMITEN SABERLO? ACTUALMENTE CUANDO NAVEGAMOS EN INTERNET TE APARECEN COOKIES QUE PERMITEN A LAS COMPAÑÍAS TECNOLÓGICAS OBTENER TU INFORMACIÓN.

CQD: Incluso rechazar los permisos para las cookies no garantiza que se respete tu decisión porque no hay transparencia ni rendición de cuentas. Nadie te da la seguridad de que efectivamente se haya respetado tu decisión de restringir esas cookies. Por otra parte, el proceso del ejercicio de los derechos ARCO es otra simulación porque la ley dice que el consentimiento debe ser libre e informado, que las empresas me deben de decir en un aviso de privacidad deben darme la opción de no aceptar las finalidades de publicidad y cómo voy a ejercer mis derechos ARCO. El trámite es extenso y cuando ejerces un derecho ARCO, tu información ya se usó, transfirió, etc. Primero tienes que hacerlo valer ante la empresa responsable, luego de que haces valer tu derecho ellos tienen al menos un mes para responderte, además de tus datos básicos como nombre y domicilio, etc., tienen tu historial de búsqueda, incluso lo que hablas si tienes el micrófono activado. Luego tienes que ir al INAI, que les impone una sanción que van a impugnar. Todo este proceso te puede tomar una año y medio.

LGL: ACTUALMENTE LA PUBLICIDAD POR INTERNET RESULTA INVASIVA PARA LOS USUARIOS, ¿DÓNDE ESTÁ EL EQUILIBRIO ENTRE LA PUBLICIDAD DE LAS EMPRESAS POR INTERNET, EL DERECHO DEL USUARIO POR NO RECIBIR ESE TIPO DE INFORMACIÓN Y SU DERECHO A CONOCER LOS DIFERENTES PRODUCTOS QUE ESTÁN EN EL MERCADO?

CQD: La Ley de Protección de Datos dice que el usuario debe decidir qué recibir y qué no, la gran mayoría de la gente no está en contra de recibir toda la publicidad, está en contra de recibir cierta publicidad. Por ejemplo, si nos interesa el tema de la meditación y empezamos a seguir páginas de meditación, seguramente te llegará información sobre meditación, no nos negamos a recibir ese tipo de información, pero si consultaste algún tipo de información que no es relevante para ti y te empieza a llegar un montón de publicidad y no quieres saber de este tipo de publicidad, este es un ejemplo de derecho de control de identidad. Casters dice que el internet potencia todo, lo bueno y lo malo, y dentro de lo bueno potencia todo lo que tú de verdad quieres hacer y desarrollar porque tienes interés en cierto tema, puedes incluso interactuar con personas expertas, pero debes tener el derecho de decidir qué es lo que quieres recibir.

 “El futuro de este tema es hacer alianzas, en Europa existen las acciones colectivas, es decir, que los usuarios inconformes se unan para denunciar entre todos a las empresas que no están cumpliendo.”

Además de tratar de respetar ese derecho de que cuando se van creando perfiles digitales con las búsquedas y la interacción en internet, tener cuidado de para qué se usan y si se viola algún derecho humano, tener alguna herramienta para que te puedas defender, porque puede pasar que busques información que la inteligencia artificial no lo capte como debiera hacerlo. Por ejemplo, si busco información sobre narcotráfico, puede ocurrir que si pido algún crédito en un banco, no lo me lo otorguen.

El futuro de este tema es hacer alianzas, en Europa existen las acciones colectivas, es decir, que los usuarios inconformes se unan para denunciar entre todos a las empresas que no están cumpliendo. Por ejemplo, los bancos, deberían ser de las empresas que más se preocupen por cumplir con la ley de datos porque cuentan con datos casi sensibles,  

LGL: ¿ADAPTARÍAS UNA LEY DE ESTE TIPO A LA NORMATIVA DE EUROPA?CQD: En la parte de datos sí sería necesario adaptarla a los estándares del reglamento europeo y buscaría un convenio internacional como el Convenio 108 al que está suscrito México. Por la parte de la privacidad, que es mucho más complejo y entre pares, Europa ya está sacando una ley nueva, aunque empezaría por regularla en la Constitución local.