portalforojuridico-Abogado Digital-Geolocalización

La Geolocalización Atiende Medidas Nacionales e Internacionales contra el Lavado de Dinero y Financiamiento al Terrorismo

La primera fuente de brechas de seguridad y el por qué están siendo sancionados los bancos es por el factor humano y no por el tecnológico.

“La geolocalización es funcional, aporta cuando no se cuenta con un mecanismo de identidad digital robusto e independiente para sentirnos seguros de que nadie abrirá cuentas digitales en nuestro nombre.”

En marzo de 2021 entró en vigor la reforma a las disposiciones de carácter legal del artículo 115 de la Ley de Instituciones de Crédito la cual obliga a los usuarios de internet o celular a proporcionar su autorización para que el banco pueda ubicarlos a través de la geolocalización en tiempo real cuando realicen alguna operación o transacción. El tema de la geolocalización es polémico porque provoca en el usuario desconfianza por cuestiones de seguridad, ¿qué tanto se está protegiendo nuestra información o qué pasa si una institución tiene mi ubicación en tiempo real? Foro Jurídico ha invitado a cuatro especialistas en temas de derecho digital: Rebeca Álvarez, socia directora en Loxical; Luis Mario Lemus, socio en el despacho Calderón y de la Sierra; Jonathan Garzón, Director de Innovación y Desarrollo de Cecoban y Stephanie Enríquez hacktivista y Defensora de derechos humanos, para debatir sobre las implicaciones que tiene dicha reforma.   

Janet Huerta (JH): ¿De qué se trata esta reforma y que implicaciones tiene para los usuarios y para las entidades financieras?

Rebeca Álvarez (RA): La reforma entra en vigor después de publicada en 2019, cuando se modificaron todas las posiciones secundarias de todas las entidades financieras para incluir determinadas situaciones, específicamente la posibilidad de realizar la identificación no presencial de los usuarios, es decir, el KYC de los mismos y armar expedientes sin establecer contacto físico en sucursal, es decir, usar medios digitales para contratar servicios bancarios.

Esta disposición deriva de que México forma parte del Grupo Acción Financiera Internacional (GAFI), misma que establece una recomendación específica donde se establece que hay que tener la debida diligencia de los clientes, conocer a los clientes, saber diferentes aspectos, específicamente: para la identificación no presencial se deben conocer más datos de ellos, sobre todo la geolocalización. Además de que nuestro país siempre trata de cumplir con estas recomendaciones internacionales que incluyen la parte de prevención de lavado de dinero y financiamiento  al terrorismo, esta obligación para las entidades financieras de recabar la geolocalización en dos momentos: la identificación, esto es en la contratación, en toda la parte de unboarding; y en operaciones a través de medios digitales, es decir, si hago operaciones a través de mi celular o de la banca en internet en mi oficina o en casa, en ese momento se recaba la geolocalización que servirá a las entidades para evitar fraudes en los procesos de unboarding, por ejemplo, si una persona que dice vivir en México hace la apertura de una cuenta en otro lugar del mundo en ese momento hay un bloqueo o para identificar desde dónde se hace una operación para evitar un fraude. Asimismo, en marzo de 2020, GAFI emite una Guía de identidad digital donde explica el tema de la geolocalización.

JH: ¿Estas medidas otorgan la seguridad necesaria al usuario?

Jonathan Garzón (JG): La Guía de identidad digital de GAFI sirve para evaluar si las autoridades de los países cuentan con una identificación en medios digitales robusta e independiente. Las autoridades en México consideran que no se cuenta con mecanismos de identidad digital robustos e independientes que les sirvan tanto a las autoridades para prevenir algunos ilícitos y a las personas para asegurarse de que no les están usurpando su identidad. Estos mecanismos agregan más mecanismos para relacionar un equipo o dispositivo móvil, el cual registras y, por lo tanto, la geolocalización debe ir acorde con tu comportamiento, es decir, si en cierta hora haces una transacción en México y una hora después haces otra en Japón entonces hay un comportamiento anormal que debe proteger el propio banco. La geolocalización es funcional, aporta cuando no se cuenta con un mecanismo de identidad digital robusto e independiente para sentirnos seguros de que nadie abrirá cuentas digitales en nuestro nombre. No es perfecto, hay mecanismos que pueden vulnerar y cambiar la geolocalización, pero se puede ir sumando.

Luis Mario Lemus (LML): En el tema de privacidad de protección de datos personales es más delicado lo que pudiera suceder en función del riesgo si se vulneran los datos biométricos, si hay una vulneración de una identificación, como la del INE cuando se asocia a un número de cuenta porque si materializas los riesgos y si nos damos cuenta cuáles son las primeras aproximaciones que hay en cuanto a la tipificación del delito de usurpación de identidad, entenderemos que si se materializa el riesgo en función de un tratamiento indebido de protección de datos personales, la geolocalización es la que menos nos preocupa. Es más grave una vulneración a mis datos biométricos con los que se puede realizar una operación o que roben mi identidad teniendo mi identificación.

Esta situación nace a partir de cómo se abren las cuentas en las instituciones de tecnología financiera, cómo puedo aperturar una cuenta de forma digital, qué requisitos se exigen. Si yo tengo los mecanismos mediante los cuales puedo abrir una cuenta y si tengo tu identificación y la envío o tus biométricos y los comparto o asocio un número de cuenta con un número de tarjeta, por supuesto que puedo estar haciendo operaciones que tienen un impacto en tu patrimonio y mañana vas a tener una hipoteca y no lo sabrás sino hasta dentro de dos o tres años, esto es realmente lo delicado y lo que debería preocuparnos.

JH: Hay organizaciones que afirman que la recolección de estos datos es desproporcionada, riesgosa e innecesaria. ¿La geolocalización implica la violación a algún derecho digital?

Stephanie Enríquez (SE): En México no existe educación financiera, tampoco tenemos idea de cómo funciona internet y cuántos derechos nos estamos jugando todos los días en línea. Hay una falsa idea de que en internet están en juego únicamente dos derechos: la privacidad y la libertad de expresión, sin embargo, convivimos dentro de un ecosistema digital que nos enfrenta a muchísimos riesgos. El Estado no es el único riesgo que puede vulnerar nuestros derechos digitales y pensar que vivimos en un estado de vigilancia en la medida en la que el Estado está tratando de emitir normativas en cuestiones digitales puede ser una presunción absurda.

“Hay una falsa idea de que en internet están en juego únicamente dos derechos: la privacidad y la libertad de expresión, sin embargo, convivimos dentro de un ecosistema digital que nos enfrenta a muchísimos riesgos.”

Hemos olvidado que nos hemos involucrado demasiado en las redes, a través del comercio, las relaciones personales, nuestras fotografías, etc., toda una serie de derechos que ya trasladamos al lado digital, incluso ignoramos que la propia delincuencia ya emigró a estos sitios virtuales con delitos como el phising, entre otros.

Las personas defensoras de derechos digitales debemos acercarnos a otras personas que están dentro del área privada o corporativa de cada una de las industrias que utilizan herramientas digitales para entender cuáles son sus problemáticas, cómo funcionan y por qué lo planean resolver de esa manera. Si no existe ese acercamiento entre defensores de derechos digitales con instituciones solo habrá una aparente disputa que tal vez no debería de existir porque todos estamos avanzando hacia allá.

No podemos pensar en ningún tipo de derecho como algo absoluto, deben de existir limitaciones en pro de la colectividad, vivimos en un contrato social que se trasladó al área digital, debemos entender que debemos de sacrificar algún tipo de derecho para obtener algún tipo de ganancia más grande a favor de la colectividad, incluso el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) ya se pronunció en cuanto a que  también le preocupa, si creemos que estos datos pueden ser vulnerados debemos tomar acciones de prevención, las instituciones deben tomar medidas. Debemos ubicar un problema, si creemos que es proporcional, pasar de la crítica a la propuesta; si creemos que es desproporcionado y podemos sufrir riesgos entonces se deben dar herramientas a las organizaciones para mitigar riesgos.

La geolocalización es una medida adecuada que atiende medidas nacionales e internacionales contra el lavado de dinero y financiamiento al terrorismo. Deberá de tener una etapa de prueba, verificar su funcionamiento. Es algo positivo y necesario para los usuarios, además de proporcional.

JH: ¿Qué van a hacer los bancos para asegurarme que solo lo están usando para ciertas transacciones?

JG: Lo primero que debemos entender es que no es que no tenemos un derecho a no ser geolocalizados, sino que no tenemos un derecho a no ser identificados. Cuando tú quieres recibir un servicio, la entidad con la que quieres contratar tiene el derecho y la obligación, en el caso de los bancos, de identificarte, de saber realmente que eres tú. Si enarbolas la bandera del derecho a no identificarte, la entidad tiene el derecho de negarte el servicio porque las personas se sienten más afectadas en el caso de los recursos económicos cuando algo sale mal.

La geolocalización es un tema regulatorio, cuando se hace un análisis de proporcionalidad basado en el responsable del tratamiento de los datos, él mismo es el que hace el estudio sobre qué medida es más proporcional para tener. En este caso, el estudio de proporcionalidad lo hicieron las autoridades tanto mexicanas como internacionales, no es una decisión exclusiva de los bancos.

En dicho estudio de proporcionalidad, supervisado por GAFI, se establece si los parámetros actuales de seguridad son suficientes para el problema que se enfrenta, ¿cuál es tu índice de usurpaciones de identidad o financiamiento al terrorismo que tienes por no identificar correctamente a las personas? ¿Cuáles mecanismos necesitas que se fortalezcan y sean independientes para que una persona pueda realizar con seguridad una apertura de cuenta o una transacción? La realidad nos demuestra que a partir de la pandemia y a partir del uso incremental de los medios digitales también ocurrió el uso negativo de estos en una pequeña parte, donde se ubican los servicios financieros. El estudio establece que si no tienes medidas de seguridad para identificar a las personas, te sugieren una serie de medidas para poder lograrlo, entre las que se encuentra la geolocalización.

En cuanto al tema de sensibilidad, en el caso de que un hacker se meta a las bases de datos de los bancos, lo más valioso que puede encontrar no es la geolocalización de los usuarios, sino los datos que puedan darle disponibilidad para su capital. Es incluso preocupante que haya expertos que recomiendan modificadores de GPS para evitar la geolocalización ya que se le resta seguridad al mecanismo de transacción porque cuando se presenta un comportamiento anormal, la institución financiera no podrá localizarlo.

Por otra parte, debemos preguntarnos ¿para qué realmente utilizarán los bancos esta información? En este momento la regulación dice que se debe recabar, pero no establece para qué se utilizará porque de esta manera les dará herramientas a los oficiales de cumplimiento para verificar que solo se utiliza para lo que está establecido.

Otro aspecto en el que es limitada la regulación es el consentimiento porque la regulación dice que solo podrá darse el servicio con el consentimiento del usuario; el consentimiento en la ley está siempre exceptuado cuando una regulación establezca la obligación de hacerlo, es decir, no dejan la amplitud de decisión para hacerlo.

JH: ¿Cómo se vincula este tema con la protección de datos personales?

LML: Como ya lo han comentado anteriormente, el derecho a la protección de datos personales no es absoluto. En cuanto al análisis de proporcionalidad, hay un ejercicio que se debe hacer y más allá de que esté regulado, sino la importancia que se tiene y que implica al momento de decidir sobre la proporcionalidad, los riesgos, etc., en tratamiento de datos personales, vienen en la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados, que es la evaluación de impacto, es decir, si voy a plantear un nuevo desarrollo y qué contexto implica, un nuevo desarrollo con un tratamiento de datos personales que se debe someter a un ejercicio de una evaluación de impacto, es decir, ¿qué riesgos hay para determinar qué medidas de seguridad tengo que implementar? Detrás de esto hay un sentido importantísimo de tomar la decisión de por qué recabar un dato y por qué empezar a cubrir ciertos riesgos.

En cuanto a la Ley de Protección de Datos Personales en Posesión de Particulares, lo único que nos está diciendo es esa excepción del artículo 10, es decir, el banco está exceptuado al consentimiento cuando ese dato personal lo exija una disposición legal. ¿A qué no está exceptuado? A informarlo en un aviso de privacidad, la institución bancaria debe hacer un análisis de proporcionalidad, un análisis de riesgo, incluirlo en un inventario de datos, tomarlo en consideración en su sistema de gestión de seguridad de protección de datos, formar parte del flujo. ¿Qué pasa si se oponen los usuarios?, tienen derecho a oponerse y la respuesta de la institución será que tiene el tratamiento.

“Hay una gran preocupación porque los servicios bancarios son de los más sancionados por el INAI, en este caso la tecnología va a imponer medidas de seguridad. La primera fuente de brechas de seguridad y el por qué están siendo sancionados los bancos es por el factor humano y no por el tecnológico.”

Hay una gran preocupación porque los servicios bancarios son de los más sancionados por el INAI, en este caso la tecnología va a imponer medidas de seguridad. La primera fuente de brechas de seguridad y el por qué están siendo sancionados los bancos es por el factor humano y no por el tecnológico. El factor humano dentro de las instituciones financieras es precisamente el eslabón más débil.

JH: ¿Qué podrían hacer los bancos u otras instituciones con respecto a la falta de educación digital de los usuarios?

SE: Me queda claro que no entendemos ni siquiera si internet es un espacio público o privado. No sabemos cómo nos estamos relacionando con las empresas de Big Tech, tampoco como nos relacionamos entre nosotros como ciudadanos digitales. Tiene que haber una responsabilidad más activa por parte de las plataformas e involucrarse en estos problemas. Hay mucho debate en cuanto a que no hay una regulación que los vincule, cuando existen disposiciones para hacerlos responsables de manera legal.

Junto con las instituciones en las que colaboro tratamos de reunirnos con diversas instituciones involucradas como el INAI, los Infos, el IFT, incluso las fiscalías para que exista comunicación entre ellas y puedan planear campañas en conjunto para aclarar a los y las usuarias para qué sirve internet y todos los riesgos que implica su uso.

Debe haber mucha responsabilidad por parte de los abogados e instituciones de reconocer cuando no sabemos y acercarnos a las personas que realmente saben. El tema de responsabilidad, en específico con las organizaciones sociales que incluso advierten sobre por qué no deberían pedirnos los datos biométricos los bancos, deben de informarse sobre las razones en las que se sustentan estas disposiciones y no partir de una premisa maligna que no abona en nada a la cultura digital. Como defensora de derechos humanos, mi intención es construir, y coincido con la opinión de que en estas reformas hay que precisar los límites y alcances que pueda tener el uso de la geolocalización porque todas las legislaciones son perfectibles.

Por otra parte, si nos preocupa la protección de datos personales y el tratamiento adecuado hay que robustecer ese sistema, pero venimos de un gobierno que incluso se está cuestionando la existencia del instituto garante de la protección de datos personales como el INAI.

COMPARTIR

Artículos

RELACIONADOS