El 05 de febrero de 2024, el Ejecutivo Federal de México remitió al Congreso de la Unión diversas iniciativas que oscilaban sobre el derecho a la alimentación, ambiente sano, derecho al agua; protección y cuidado de animales; guardia nacional; entre otras[1]. No obstante, llama la atención una iniciativa sobre simplificación orgánica[2], que pretende desaparecer algunos Organismos Constitucionales Autónomos (OCAs).
Los OCAs son instituciones creadas por la Carta Magna para ejercer funciones específicas de manera independiente y autónoma del poder ejecutivo, legislativo y judicial. Estos organismos tienen la tarea de salvaguardar derechos fundamentales, supervisar el cumplimiento de la ley, garantizar la imparcialidad y transparencia en diversas áreas de interés público. Algunos ejemplos de OCAs en México incluyen el Instituto Nacional Electoral (INE), la Comisión Nacional de los Derechos Humanos (CNDH), el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), la Comisión Reguladora de Energía (CRE), entre otros. Sin menoscabo de la importancia de cada OCA, por especialidad, en el presente artículo únicamente se centrará en la importancia del INAI.
El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) en México es responsable de promover el acceso a la información pública, supervisar la transparencia gubernamental, garantizar la protección de datos personales, resolver controversias relacionadas con el incumplimiento de obligaciones de transparencia, y proporcionar capacitación y asesoría en materia de transparencia y protección de datos. Como organismo autónomo, el INAI desempeña un papel crucial en fortalecer la rendición de cuentas y proteger los derechos de las personas en cuanto a la información pública y la privacidad de los datos.
¿Qué pasa si se le quita la autonomía al INAI?
La pérdida de autonomía del INAI y su subordinación al Ejecutivo federal podría conducir a casos graves de abuso de poder y opacidad en el manejo de la información pública. Por un lado, el Ejecutivo podría influir en las decisiones del INAI para limitar el acceso a la información que pueda ser perjudicial para su administración, lo que resultaría en una manipulación de la transparencia gubernamental y la rendición de cuentas. Además, sin la independencia adecuada, el INAI podría verse presionado para no hacer cumplir rigurosamente las leyes de protección de datos personales, lo que pondría en riesgo la privacidad de los ciudadanos y aumentaría la posibilidad de abusos por parte de las autoridades. Esta situación también limitaría la capacidad del INAI para investigar de manera imparcial y eficaz posibles violaciones a la transparencia y protección de datos, debilitando así la supervisión de las instituciones gubernamentales y erosionando la confianza de la población en las instituciones democráticas. En consecuencia, la subordinación del INAI al Ejecutivo federal tendría un impacto significativo en la transparencia, la protección de datos y la democracia en México.
Una cosa es la transparencia, acceso a la información y otra la protección de datos ¿Por qué la autonomía en autoridades de protección de datos personales es una exigencia internacional?
El debate sobre transparencia, acceso a la información y rendición de cuentas es principalmente un tema de discusión local, ya que se centra en la relación entre la administración pública y los ciudadanos dentro del territorio nacional. Sin embargo, el debate sobre la protección de datos personales va más allá de las fronteras nacionales, siendo una preocupación internacional, dado que los datos circulan a través de las fronteras y están sujetos a regulaciones globales. La protección de datos es una exigencia internacional debido a la necesidad de preservar la privacidad y seguridad de la información personal en un mundo cada vez más interconectado y digitalizado.
En específico, la discusión sobre la autonomía del INAI a nivel local es importante, pero también es una exigencia a nivel internacional. Esto se debe principalmente a las decisiones de adecuación de la Unión Europea, las ratificaciones de tratados internacionales y las transferencias de datos personales entre países. La autonomía del INAI es crucial para garantizar que pueda cumplir con su mandato de proteger los datos personales de los ciudadanos de manera imparcial y efectiva, lo que contribuye a mantener la confianza tanto a nivel nacional como internacional en el manejo adecuado de la información personal.
De manera más técnica, teniendo en cuenta el máximo estándar en protección de datos personales que es la Unión Europea, las decisiones de adecuación son determinaciones realizadas por la Comisión Europea para evaluar si un país no perteneciente a la UE ofrece un nivel adecuado de protección de datos, según el artículo 45 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos Personales o RGPD). Este proceso implica una propuesta de la Comisión Europea, una opinión del Comité Europeo de Protección de Datos, la aprobación de representantes de los países de la UE y la adopción de la decisión por parte de la Comisión Europea. Una vez adoptada, esta decisión permite la libre transferencia de datos personales desde la UE (y Noruega, Liechtenstein e Islandia) hacia ese tercer país, sin necesidad de otras salvaguardias. Hasta la fecha, la Comisión Europea ha reconocido a varios países, incluidos Argentina, Canadá, Japón, Suiza y Uruguay, con un nivel adecuado protección de protección de datos.
Específicamente, el artículo 45 del Reglamento General de Protección de Datos (RGPD)[3] establece los procedimientos para realizar transferencias de datos personales hacia terceros países u organizaciones internacionales cuando se ha determinado que garantizan un nivel adecuado de protección de datos. Estas transferencias pueden realizarse sin necesidad de una autorización específica y se basan en una decisión de adecuación adoptada por la Comisión Europea, que evalúa varios elementos para determinar la adecuación del nivel de protección, como el Estado de Derecho, el respeto a los derechos humanos, la existencia de autoridades de control independientes y compromisos internacionales. Por el contrario, el artículo 46 del RGPD establece que, en ausencia de una decisión de adecuación, el responsable o el encargado del tratamiento puede transferir datos personales a un tercer país u organización internacional si se ofrecen garantías adecuadas, que pueden incluir instrumentos jurídicos vinculantes, normas corporativas vinculantes, cláusulas contractuales, códigos de conducta, mecanismo de certificación, entre otros.
Ante la posible objeción respecto a que México actualmente no cuenta con un nivel adecuado ante la UE, se debe hacer hincapié, en que, aunque las condiciones actuales no son favorables, socavar la autonomía al INAI alejaría más que esta sea considerada como una nación con un nivel adecuado en materia de protección de datos, de acuerdo al mayor estándar en la materia, el RGPD. La falta de una decisión de adecuación para México por parte de la Unión Europea (UE) podría explicarse por diversas razones, como las discrepancias en las leyes y regulaciones de protección de datos entre México y la UE. México podría no haber cumplido con todos los criterios exigidos por la UE, podrían estar en curso negociaciones y evaluaciones entre México y la UE sobre temas de protección de datos, o México aún no haya solicitado una decisión de adecuación o la UE esté evaluando el marco de protección de datos de México. Es importante destacar que alcanzar el estatus de adecuación con la UE es un proceso complejo y prolongado que requiere una alineación sustancial entre las leyes y prácticas de protección de datos del país no perteneciente a la UE y las de la UE.
Por otra parte, desde una óptica de celebración de tratados internacionales, la ratificación por parte de México del Convenio 108 para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal[4], es un paso importante hacia el fortalecimiento de las normativas de privacidad en el país. Sin embargo, esta decisión presenta un obstáculo importante en el camino hacia la ratificación de su actualización el Convenio 108+, ya que la transferencia de las responsabilidades del INAI a otra entidad sin la garantía de su autonomía podría vulnerar el principio de independencia consagrado en el artículo 15 punto 5 del Convenio 108 plus[5]. Este artículo establece que las autoridades de supervisión deben actuar con completa independencia e imparcialidad en el ejercicio de sus funciones, sin buscar ni aceptar instrucciones externas. Por lo tanto, cualquier intento de quitarle la autonomía al INAI para cumplir con los requisitos del Convenio 108+ podría ser contrario a este principio fundamental, lo que representa un desafío significativo para la ratificación de dicho convenio por parte de México.
Reflexiones finales
El contar con una autoridad independiente de protección de datos demuestra un compromiso con la protección de los derechos de privacidad de las personas y garantiza que los datos personales se manejen de manera responsable y de acuerdo con estándares internacionalmente reconocidos. Por lo tanto, puede influir positivamente en el proceso de toma de decisiones de la UE respecto al estatus de adecuación. Sin embargo, si bien una autoridad independiente de protección de datos es un factor importante, no es el único criterio considerado por la UE al evaluar la adecuación. Otros factores, como el marco legal de protección de datos, la efectividad de los mecanismos de aplicación y la existencia de recursos legales para las personas, también desempeñan puntos significativos en determinar si un país no perteneciente a la UE recibe una decisión de adecuación por parte de la UE.
Desde una óptica más amplia, dejando a un lado que México no cuenta con un nivel de adecuación ante la UE porque ciertamente necesita reformar su marco jurídico infra-constitucional, además de que recientemente en el año 2018 ratificó el Convenio 108 de 1981 (37 años después), y que cada vez se está más lejos de ratificar su versión perfeccionada (convenio 108 plus) se debe defender la autonomía e independencia del INAI.
Desde una óptica más amplia, la presencia de una autoridad autónoma en protección de datos personales reviste una importancia crucial por varias razones fundamentales. En primer lugar, esta entidad se convierte en un pilar para el cumplimiento de tratados y acuerdos internacionales que establecen estándares mínimos para la salvaguardia de la privacidad y regulan las transferencias transfronterizas de datos. Al garantizar que las leyes y regulaciones nacionales estén alineadas con estas normativas internacionales, la autoridad autónoma facilita la participación armoniosa de los países en la esfera global, fortaleciendo así la credibilidad y el respeto hacia las disposiciones internacionales.
En segundo lugar, la autoridad autónoma juega un papel crucial en la facilitación de transferencias transfronterizas seguras de datos. Esto no solo promueve la confianza entre las partes involucradas en las transacciones internacionales, sino que también contribuye a la estabilidad y el crecimiento económico al eliminar barreras innecesarias para el intercambio de información.
Además, la presencia de una autoridad autónoma en protección de datos fortalece la cooperación internacional en materia de privacidad y seguridad de la información. En un mundo donde los desafíos relacionados con la ciberseguridad y el cibercrimen trascienden las fronteras nacionales, la colaboración entre países es esencial para abordar estas amenazas de manera efectiva. La autoridad autónoma actúa como un facilitador en este proceso al promover el intercambio de buenas prácticas, información relevante y recursos entre las diferentes naciones, lo que resulta en una respuesta más coordinada y eficiente frente a los riesgos transnacionales.
En resumen, la presencia de una autoridad autónoma en materia de protección de datos personales es esencial para garantizar el cumplimiento de tratados internacionales, facilitar transferencias seguras de datos, fortalecer la cooperación internacional y proteger los derechos individuales en un mundo globalizado y digitalizado. Su papel va más allá de la regulación nacional, ya que contribuye considerablemente a la armonización y la estabilidad en el ámbito internacional, promoviendo así la confianza y la seguridad en el intercambio de información a nivel global.
[1] http://gaceta.diputados.gob.mx/Gaceta/65/2024/feb/20240205.html
[2] http://gaceta.diputados.gob.mx/PDF/65/2024/feb/20240205-18.pdf
[3] http://data.europa.eu/eli/reg/2016/679/2016-05-04
[4] https://www.dof.gob.mx/nota_detalle.php?codigo=5539473&fecha=28/09/2018#gsc.tab=0
[5] https://rm.coe.int/convention-108-convention-for-the-protection-of-individuals-with-regar/16808b36f1