En esta etapa de pandemia en la que se ha hecho una práctica cotidiana e indispensable el uso del internet para realizar actos de múltiple naturaleza (oficiales, legales, médicos, educativos, económicos, comerciales, financieros, etc.), ha cobrado una gran relevancia el conocimiento de prácticas para garantizar el comercio electrónico seguro.
Para abordar esta novedosa y compleja materia, Foro Jurídico entrevistó a la Doctora en Derecho, Isabel Davara Fernández de Marcos, Especialista en Privacidad y Derecho Digital, la Dra. Davara es Vicepresidenta del Ilustre y Nacional Colegio de Abogados de México (INCAM). La entrevista fue realizada por nuestra colaboradora, la Mtra. en Derecho Ligia González Lozano, destacada jurista y académica de la Escuela Libre de Derecho. Presentamos a nuestros lectores la parte medular de esta interesante conversación.
LIGIA GONZÁLEZ LOZANO (LGL): En el intercambio comercial cotidiano existen ciertos protocolos que se deben cumplir para poder hacer la transacción, llegas a la tienda, haces la compra y te dan un ticket para cumplir fiscalmente. ¿En internet se mantienen los mismos o hay diferentes protocolos para establecer la seguridad jurídica?
Isabel Davara Fernández de Marcos (IDFM): El problema que tenemos en el entorno electrónico, en internet, es que hemos entrado sin entender que tenemos la obligación de conocer las reglas básicas. Igual que de pequeños nos enseñaron a cruzar la calle con seguridad o a no dejar abierta la puerta de nuestra casa, en internet entramos sin conocer las reglas básicas. Si pensamos en términos de relaciones jurídicas llevamos décadas estableciendo este tipo de relaciones por medios electrónicos, lo que ocurre es que los hemos normalizado, por ejemplo, haciendo contratos por escrito por SMS o WhatsApp. Cuando compramos un artículo por internet o cuando votamos por algún cantante, estamos estableciendo una relación jurídica por medios electrónicos, no pensamos que es un contrato y tiene consecuencias, además de que trasladamos gran parte de las relaciones jurídicas al entorno electrónico.
LGL: ¿Comprarías un libro por internet?
IDFM: Tengo cierta sensibilidad sobre en dónde lo compraría. Si has estado manejándote durante ciertos años en internet, puedes intuir los lugares confiables para adquirir productos. Al igual que si lo haces físicamente, puedes identificar una tienda confiable que cumpla con los protocolos y las garantías de la transacción.
En internet hay sitios de compra confiables en los cuales puedes identificar su certificado electrónico y el nombre de dominio está a nombre de la tienda departamental, lo que te hace confiar más en dichos sitios.
LGL: ¿Te arriesgarías a comprar bienes de mayor valor económico, por ejemplo, una casa, teniendo en cuenta que existe un registro público de la propiedad que avala la propiedad del inmueble?
IDFM: En primer lugar, se debe distinguir la experiencia de lo que estás comprando. En este caso, debo saber quién es el vendedor, si cuenta con los títulos de escritura y los demás papeles en regla, si posee una firma electrónica que la identifica como la persona que dice ser y el notario comprueba su identidad. Incluso, y aunque parezca exagerado, puedes evaluar las condiciones físicas en las que se encuentra el inmueble por internet.
LGL: Este es uno de los ingredientes más importantes, la confianza. Por ejemplo, el piloto de Fórmula 1, Checo Pérez, vende autos seminuevos, ¿qué diferencia hay en adquirir un seminuevo con la agencia del piloto mexicano a adquirirlo en cualquier otra? ¿No es esto a lo que llamamos la equivalencia funcional que trasladas no solamente en el derecho, sino en la psicología, en la vida real?
IDFM: En internet la confianza se construye de otra manera, por medio de mecanismos electrónicos, aunque igualmente robustos, no es necesario que tengan el establecimiento físico de la tienda departamental que te da seguridad y confianza, si se puede comprobar mediante los mecanismos de seguridad, el protocolo, SCL, dirección htpps, el nombre de dominio.
Tenemos que aprender a identificar los riesgos, por ejemplo, es bastante fácil identificar un intento de phishing a través de los emails porque si colocas el cursor en la dirección de correo, el nombre de dominio no coincide con el nombre de la empresa que supuestamente te está enviando el email.
LGL: ¿Cuáles son los elementos que debemos verificar en los portales de internet para, por un lado, no cometer un delito porque cabe la posibilidad de que nosotros mismos estemos cometiendo un delito, y, por otro, tener confianza de realizar la compra?
IDFM: Revisar que la dirección de Uniform Resource Locator (URL) tenga un servidor seguro y verificar a quién pertenece la página a través del certificado electrónico. Además, se puede consultar en la base de datos del WHOIS a quién pertenece el nombre de dominio. También se deben tener en cuenta otro tipo de aspectos que no sean normales en las empresas, por ejemplo, recibir una llamada en la cual mi banco me pide información personal, este tipo de prácticas se llama ingeniería social y no se realiza forzosamente por internet, pueden ser por métodos más tradicionales como las llamadas telefónicas. Debemos buscar otros medios de contacto para poder cerciorarnos de que no es alguien ligado a la empresa, el certificado electrónico es la firma electrónica de la persona jurídica, es decir, asegura que una página con los logotipos de un centro departamental pertenece a dicha empresa. Los certificados están establecidos por terceros de confianza, por prestadores de servicios de certificación que pueden identificar la identidad de una empresa.
LGL: Platícanos sobre la página WHOIS. Es una herramienta poco conocida pero muy útil en estos casos.
IDFM: WHOIS es la base de datos de los nombres de dominio, la Corporación de Internet para la Asignación de Nombres y Números (ICANN) la maneja en sus diferentes registradores (AKKY) en México. La ICANN se encarga de otorgar los nombres de dominio como registrador. La base de datos registra quién tiene registrados los nombres de dominio, además de otro tipo de información. Es parecido a un directorio telefónico de URL que están basadas precisamente en direcciones postales y telefónicas. El nombre de dominio es la representación o marca de la dirección URL que asignó internet. Una página puede tener un nombre que le asigna el propietario, pero detrás está el URL que consiste básicamente en una serie de números de tres en tres, a los que se les agrega el esquema (htpps), el host (www) y el dominio (.com).
LGL: ¿Cuáles son los errores más frecuentes que cometemos los abogados cuando ofrecemos un servicio a nuestros clientes?
IDFM: El error más importante es no entender la profundidad de lo que se está asesorando. Por ejemplo, el aviso de privacidad es muy importante porque es solo la punta del iceberg, es el contrato con el titular de los datos y si no se fundamenta sobre un conocimiento profundo del cliente, el resultado será algo general y poco útil. Si se lleva a cabo un tratamiento específico de servicio médico, de wellness, de tratamiento de Covid-19 en la pandemia o de tratamiento específico para los clientes, su privacidad no estará bien dirigida porque la privacidad lo que refleja es todo el tratamiento de datos que hay debajo, las finalidades y demás.
La base de datos es una materia transversal que va a afectar a la mayoría de las actividades de una empresa porque se trata datos de todo lo que se está haciendo y va a tener varias complicaciones en el día a día. A mí me ha llevado bastantes años darme cuenta de la relevancia de este derecho porque es un derecho humano en igualdad de condiciones que otro porque enraiza completamente la libertad y dignidad humanas. Hasta que no entiendes filosóficamente porqué cuando recopilas los datos de una persona, tienes a esa persona en la mano y puedes hacer con ella lo que quieres, puedes caer en el error de tratarlo de una manera muy técnica y quitarle su gran valor intrínseco que es la defensa de la libertad y la dignidad humanas. Quien tiene tu información personal te tiene a ti, lo que se defiende es a la persona, al individuo, su libertad y dignidad.
Cuando los nazis invadían un país iban directamente a los registros de población para localizar a los judíos, en Holanda trataban el dato de religión, como resultado encarcelaron y asesinaron a más del 75 % de la población judía. En Francia lograron atrapar a menos del 25 %, porque quien tiene la información, tiene a la persona. El riesgo es empezar a considerar como una carga la protección de datos, como algo que te impide el comercio en lugar de considerar el valor de lo que se está tratando.
LGL: ¿Qué riesgo se corre con los datos que se intercambian en grupos privados de mensajería, por ejemplo, los números telefónicos u otros datos que se envían en un grupo de WhatsApp?
IDFM: Anteriormente, tener el número telefónico de una persona denotaba cercanía o familiaridad, solo se intercambiaba con un número reducido de personas. Ahora no se puede controlar la difusión de este tipo de datos y se vuelve un elemento invasivo de la privacidad porque no es tan fácil cambiar el número de teléfono. Lo que debemos entender cuando utilizamos internet es que debemos adoptar un comportamiento similar al de la vida física, evitar difundir datos como nombre, teléfono, dirección. Con el celular sucede que es difícil evitar compartirlo de manera fácil porque parece casi imposible protegerlo, pero debería considerarse al mismo nivel que nuestra privacidad, aunque suene exagerado no debemos perder los principios éticos para establecer límites en cuanto a nuestros datos personales.
Debemos ser conscientes y proteger nuestros datos, debemos aprender a poner barreras, si alguien me escribe o me llama desde un número desconocido, no debo contestar; dentro del ámbito laboral no se deben enviar mensajes de noche o de madrugada porque se invade la privacidad de la persona. Se debe aplicar el principio ético en las relaciones electrónicas y volver al imperativo categórico de “no hagas a los demás lo que no quieras que te hagan a ti”, es algo esencial porque no hay reglas que lo paren.
LGL: ¿La Constitución defiende la privacidad o la intimidad de un empleado? Si una empresa viola la privacidad o la intimidad de un empleado, ¿podría considerarse una responsabilidad laboral, incluso un maltrato al estado de salud mental del empleado?
IDFM:
La Constitución defiende la privacidad, la intimidad y la protección de datos. La protección de datos personales es lo más tecnológicamente neutro en el sentido de que es el tratamiento de datos de información asociado a una persona física identificable o no identificable.
Privacidad es, por ejemplo, si estamos hablando de un correo electrónico, la dirección con el nombre y la dirección de correo electrónico, mientras que privacidad es el contenido del correo. Intimidad es aquello que uno mismo define como vida privada, en este caso las fronteras son difusas porque son subjetivas y culturales. Muchas veces privacidad, intimidad y vida privada se entremezclan.
En Europa y en México ya se ha empezado a legislar sobre el tema como consecuencia del auge del teletrabajo, se están estableciendo los primeros horarios de trabajo, derecho a la desconexión, etc. Desde hace algunos años, en Francia el empleador tiene prohibido enviar mensajes de cualquier tipo después del horario laboral o en fines de semana. Está tipificado de esa manera, es un delito enviar el mensaje.
Considero que se debe ser flexible desde ambas partes porque mientras nos vamos adaptando, el trabajo a distancia permite una flexibilidad en horario laboral, y a partir de ahí se puede llegar a un equilibrio sobre todo de salud mental y de definición de espacios en la casa con los demás integrantes de la familia, los miembros deben reservar sus espacios para poder utilizarlos como lo necesiten. Este aspecto también ha generado aspectos positivos, por ejemplo, disfrutar de la familia.
LGL: Considerar los aspectos jurídicos que implica navegar en el ciberespacio nos obliga a concebir el Derecho de manera transversal, es decir, la manera en que se combinan los temas jurídicos con la vida cotidiana. En el ciberespacio tenemos todo en una pantalla donde podemos tener en una parte algo sobre derecho fiscal, en otra parte algo sobre lavado de dinero, algo sobre delitos informáticos, etc.
IDFM: Quien diga que es un experto en ciberespacio está mintiendo porque debe abordar todas las ramas del Derecho. Lo que hacemos quienes nos dedicamos al derecho digital es conocer las implicaciones jurídicas del uso de esta herramienta, la gran diferencia radica en la inmediatez y la potencialidad del internet. La inmediatez hace que, aunque se realice una contratación entre ausentes, como es inmediato se rige por la contratación entre presentes.
LGL: Cuando se establecieron las normas de la Comisión de la ONU para el Derecho Mercantil Internacional de la contratación electrónica a través del mensaje de datos, modificando, el Código Civil, el Código de Procedimientos Civiles y la Ley de Protección al Consumidor, no se consideró el Código de Comercio que incluía un sistema de contratos diferente que incluía la recepción del mensaje de datos diferente al que se estableció en el Código Civil, lo que quería decir que si teníamos un contrato celebrado por internet, en el Código Civil se iba a celebrar en un momento diferente al del Código de Comercio. Los juntamos y sucedió lo que acabas de comentar, en qué momento tengo un contrato, obligaciones, pagar, etc.
IDFM: Las estructuras jurídicas sirven, pero hay que pensar cuándo esta herramienta genera un cambio que hace que se tengan que considerar dichas estructuras y cuándo se considera perfeccionado el contrato. Hay que dejar de tenerle miedo al ciberespacio porque en realidad se está pensando en términos jurídicos, solo se debe comprender cómo funciona.
LGL: ¿Qué opinas del derecho al olvido, el caso de Google concretamente?
IDFM: El derecho al olvido en Europa fue un hito que marcó un antes y un después. La importancia del caso es que destaca la relevancia que tiene la protección a los datos personales en cuanto a libertad y dignidad, en cuanto a lo que puedes controlar de tu persona. El derecho al olvido es solo una manifestación al derecho a la cancelación, la diferencia que hay en México comprende el ámbito territorial, espacial de la norma en general, no solamente del derecho al olvido, es decir, el concepto de establecimiento, quién está sujeto a la norma y quién no. En este caso, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) tiene una interpretación mucho más avanzada, más amplia de lo que significa el espíritu de la ley.
En realidad, el derecho al olvido existe en México, hay varios casos en el INAI de buscadores que están en México, no hay un buscador muy conocido de temas jurídicos en internet que tiene varios casos de derecho al olvido aplicados en México. Cuando Google empezó a incursionar en el mundo comercial todos pensaban que iban a desaparecer los intermediarios, lejos de desaparecer, surgieron nuevos como Google, fueron denominados infomediarios y son los que logran extraer información. Google fue inventado como una derivación del sistema de citas bibliográficas, dos estudiantes de Stanford tomaron un ejemplo de un algoritmo sobre cómo se cita bibliográficamente y llegaron a la conclusión de que los más citados eran los mejores, es decir, tenían que estar en el primer lugar del buscador. Este tipo de búsqueda se ha posicionado como imprescindible.
LGL: ¿La portabilidad de datos también debería estar regulado en la Ley Federal de Protección de Datos Personales en Posesión de Particulares, sobre todo en la era de la economía de datos que ya tienen un valor?
IDFM: Sin duda, porque lo tiene la Ley de Sujetos Obligados, para administraciones públicas sí tiene el derecho a portabilidad y le falta a la de particulares porque es un derecho que se entiende poco, pero si tú no tienes el derecho a la portabilidad, estás secuestrado. Las aplicaciones que usamos para oír música o ver películas acumulan información tuya, el valor que tienen es toda la información que guardas en ellas y la que se va generando porque conocen tus gustos musicales. Si decides cambiar esa aplicación por otra, debes tener el derecho de que toda esa información sea trasladada a un formato legible y automatizado a otro tercero. Este tipo de historial tiene mucho valor en los casos de las aseguradoras o de los hospitales y dicha información debe ser legible para ser trasladada del proveedor que no te convence a otro más confiable con el cual debes empezar de cero.
Isabel Davara Fernández de Marcos, Especialista en Privacidad y Derecho Digital, es Vicepresidenta del Ilustre y Nacional Colegio de Abogados de México (INCAM).