1

México, D.F., 1 de octubre de 2014. Versión estenográfica del Panel 11, dentro del marco de la Semana Nacional de Transparencia 2014, llevada a cabo en la antigua sede del Senado de la República. Presentador: Da inicio el Panel número 11, cuya temática es: Sistemas, Niveles de Seguridad y Vigilancia en los Sistemas de Datos Personales. El moderador de este panel es el Coordinador Gustavo Parra Noriega. Mtro. Luis Gustavo Parra Noriega: Muchas gracias. Buenas tardes a todos. Vamos a dar comienzo en nuestra Semana Nacional de Transparencia, al bloque referente ya también a datos personales, empezamos ya este primer panel con nuestro tema. Saludamos la presencia de los señores comisionados Joel Salas, Francisco Acuña, y por supuesto damos la más cordial bienvenida a nuestros invitados de este panel, a nombre del IFAI. Si me permiten, haré la presentación de nuestro primer participante, que tenemos el gusto que nos acompañe el día de hoy el maestro Jacobo Esquenazi, que es responsable de Hewlett Packard, para el tema de privacidad de datos a nivel Latinoamérica, y quien pues ha sido también un gran impulsor del tema de privacidad aquí en nuestro país, anteriormente también tuvo responsabilidades en la industria, y las tiene actualmente también como participante de diferentes órganos de la sociedad civil y empresarial. Precisamente en esta materia y siempre ha estado muy al pendiente justamente pues de todos los diferentes temas de datos personales. Posteriormente, participará la doctora Issa Luna Pla, investigadora titular “A”, del Instituto de Investigaciones Jurídicas de la UNAM, quien también es una especialista en la materia y nos ha ayudado en diferentes momentos al IFAI, precisamente con sus estudios y con

2

todas las diferentes puntualizaciones a nuestros proyectos en esta materia. También saludamos y damos la bienvenida a la doctora Isabel Davara Fernández de Marcos, Coordinadora y Profesora del Diplomado de Derecho de las Tecnologías de la información y de las comunicaciones del ITAM en el posgrado, que se imparte en el Campus Santa Teresa y un especialista también en la materia, litigante y pues una persona siempre comprometida con el tema de datos personales. También saludamos la presencia del maestro Miguel Recio Gayo, Consultor de Tecnologías de la Información de Global Data Protection Consulting con sede en España. También, el maestro Recio ha hecho una serie de estudios académicos muy importantes con el CIDE, específicamente de algunos temas muy actuales, como es el tema de cómputo en la nube. Y también contamos con la presencia y lo saludamos, del maestro Mucio Israel Hernández Guerrero, Comisionado ciudadano del Instituto de Acceso a la Información Pública y Protección de Datos Personales del Distrito Federal, del INFODF. Y además una persona muy comprometida y relevante además, en el tema que nos ocupa, ya que él coordina la Comisión de Protección de Datos Personales dentro de la COMAIP. Bienvenido también, maestro Mucio Hernández. Bien, pues como ya se ha explicado, tenemos un tiempo de exposición de 12 minutos y les avisaré unos minutos antes cuando sea el tiempo, precisamente, ya de término. Bien, pues sin más preámbulo, vamos a invitar al maestro Jacobo Esquenazi que nos pueda hablar de nuestro tema el día de hoy, que para nosotros es un gusto reflexionar precisamente, sobre los sistemas, los niveles de seguridad y vigilancia de los sistemas de datos personales. En este tema, yo quisiera solamente lanzar a modo de cómo lo decía el Comisionado Salas en su panel, algunos interrogantes, algunas

3

preguntas que a lo mejor pudieran ser de interés para contextualizar nuestro tema. Tenemos en esto una serie de retos jurídicos, precisamente a futuro en materia de protección de datos personales y el tema de los niveles y sistemas de seguridad es fundamental. Cuál es su opinión sobre el estatus actual de la materia de seguridad de la información de los sujetos obligados tanto públicos como privados. También les preguntaría a nuestros amigos panelistas, cuáles consideran que son los principales retos en la materia de seguridad y datos personales que enfrenta el legislador y el IFAI en todo el confeccionamiento de las leyes. Asimismo, ante los avances de la tecnología, cuáles de los principios que rigen el tratamiento de datos personales considera, permanecerán vigentes y cuáles perderán esa relevancia. Qué papel juegan también en esto, los esquemas de autorregulación para la implementación de medidas de seguridad en la protección de datos personales. Qué otras opciones debemos de considerar para regular el tratamiento de datos personales en el futuro. Si ustedes tuvieran la oportunidad de influir en la creación de normatividad en la materia, qué recomendaciones darían precisamente ante el avance de la tecnología en relación a este tratamiento de datos personales. Qué modelos consideran óptimos para todas las medidas de seguridad. Uno más basado en la sensibilidad de datos personales o uno contextual, basado en el riesgo inherente o el valor cuantitativo y cualitativo de los datos personales. Y si la obligación de implementar un sistema de gestión de seguridad representa para los entes públicos un costo o beneficio, y si es viable, precisamente en nuestro contexto. En fin, son algunos de los interrogantes que a modo de provocación, a modo de poder ir entrando en materia, yo sé que varios tienen ya previstas sus exposiciones, pero nos gustaría a la mejor oír, escuchando alguna opinión al respecto. Pues bienvenido, maestro Jacobo Esquenazi. Y adelante, por favor.

4

Mtro. Jacobo Esquenazi: Gracias, Gustavo. Y gracias al IFAI por la invitación y a los Comisionados. En función de las preguntas que acabas de plantear, creo que mi exposición se ubicaría mejor en el tema de los retos de seguridad de datos y en particular el modelo sobre sensibilidad de datos personales o contextualización. La exposición que les quiero hacer si bien es un modelo que implemente HP en el sector privado, no tiene, no hay ninguna razón por la cual no pudiera hacerse un modelo similar en el sector público en términos de mitigación de riesgos. Y les prometo que no voy a ser muy técnico, si logro que esta cosa camine. Lo primero que tengo que platicar es cómo ubicamos el tema de protección de datos personales. HP basado en algunos de los principios internacionalmente reconocidos establece que hay un tema de responsabilidad demostrada en la protección de los datos personales, lo que en inglés se denomina “contability” bis a bis un tema de responsabilidad pura o responsabilidad legal que se pudiera conocer como la “yability”. Es decir, lo que establecemos es que hay una toma de decisiones que se hacen con base en principios éticos y basados en valores que van más allá del tema del mero cumplimiento legal. Así es como vemos o como ubicamos el tema de protección de datos. Y esto requiere un ecosistema y el ecosistema establece que hay un compromiso al más alto nivel jerárquico en la organización, estableciendo políticas sólidas y políticas establecidas. Hay un compromiso gerencial que en el caso del sector público sería un compromiso por parte del nivel jerárquico más alto directivo en la organización, y hay un principio de transparencia completa. En la acción eso se implementa y tiene un sistema de validación porque no basta hacer una declaración de principios si no existe un mecanismo para revisar el cumplimiento. Esto está acompañado de un proceso, que en el que voy a tratar un poco más a fondo, de gobernanza integral que identifica riesgos y oportunidades, y que hace un proceso de mejora continua.

5

Y finalmente, intenta demostrar la capacidad a los actores internos, es decir, a todas las unidades de negocio, o demostrar la capacidad a actores externos, en este caso a los reguladores o a la sociedad civil, y demostrar capacidad a los titulares de los datos quienes nos dan la confianza de que podemos tratar los mismos. Solamente a modo ilustrativo, tenemos un Comité Directivo de Privacidad y Protección de Datos Personales, quien es el encargado de hacer este análisis de riesgo, y se establece dentro de un esquema de los órganos de la empresa que tratan con el tema de ética y cumplimiento. ¿Cómo se compone este nivel directivo? Evidentemente está presidido por nuestro Chief Privacy Officer, hay un representante legal, un director jurídico de cumplimiento, la gente de auditoría interna que revisa que las prácticas que hayan seguido y todos los elementos necesarios en la empresa, pasando por recursos humanos, seguridad informática, seguridad física, la gente de servicios, todo el ecosistema, digamos, de operación de la empresa tiene una representación en este Comité Directivo de Privacidad. Este Comité lo que hace es proveer una supervisión general y un liderazgo en la materia de protección de datos y, sobre todo, identificar los riesgos y mitigar, establecer programas de mitigación de los mismos. Es un proceso, como les decía, de mejora continua, donde se establece una revisión de los nuevos temas ya sea porque cambia la tecnología o hay nuevas leyes, hace una medición del riesgo, versus nuestras políticas de cumplimiento, y un desarrollo de proyectos de mitigación y un reporte de auditorías, las auditorías son internas, con las cuales se establece un proyecto de mitigación al mismo nivel. Y todo esto queda asentado en un plan, que nosotros llamamos planos record, pero que plantea un plan al inicio del año fiscal de cuáles son los proyectos en los que se va a trabajar, para determinar este riesgo se dividen los temas y se hace, todos los miembros del Comité directivo reciben un análisis, ya sea de una nueva legislación o un nuevo tema, una nueva tecnología.

6

Por lo que están viendo ustedes en la parte superior, es una cosa muy sencilla, como un Excel, donde cada uno de los miembros del Comité Directivo determina si hay la posibilidad de que ocurra un evento y cuál sería el impacto posible para HP de ocurrir ese evento, relacionado con esa nueva ley o con la tecnología que se está implementando. Se divide de manera muy sencilla en riesgo algo, medio, bajo, no es un mecanismo muy complejo. Un nivel alto es cuando hay una posibilidad mayor al 75 por ciento de probabilidad de que el evento ocurra en los siguientes 24 meses, y aquí estamos hablando de la probabilidad de que ocurra un evento. Medio es cuando tienes un 25 a un 75 por ciento de probabilidad de que ocurra un evento los siguientes 24 meses; y bajo es cuando no pensamos que haya un 25 por ciento o menor de probabilidad de que ocurra algo en los siguientes 24 meses. Eso es en cuanto a la probabilidad de ocurrencia. Y hay una deflación de valoración del impacto que es también alto, medio, bajo; cuando un incidente de falta de cumplimiento legal o pérdida de confidencialidad, integridad en información, vulneración de los sistemas puede tener efectos severos o catastróficos en las operaciones o en los individuos, porque también consideramos que el impacto puede no ser para la empresa pero sí para el titular de los datos. De igual manera el medio sería cuando los efectos son serios pero no catastrófico, y un nivel bajo es cuando los efectos serían serios pero no en la misma medida. Finalmente, y esto es un ejemplo meramente ilustrativo, tomamos cada uno de los temas y se hace un promedio y un puntaje, y se determina, dependiendo de los recursos que haya, desarrollar un plan de estrategia de mitigación de riesgo, para ciertos temas. Hay otros donde solamente se hará un monitoreo y otros donde hay que implementar un nuevo plan.

7

Estos planes no necesariamente tienen que tener cumplimiento de un año, simplemente se van haciendo a lo largo del tiempo y hay temas que seguirán en el número uno y número dos como cómputo en la nube o el tema de analitics, porque no hay una definición clara, ni de parte legal, ni de algunos de los riesgos que pudieran surgir, y sin embargo, estamos trabajando en posibles mitigaciones de riesgo en ese sentido. Ese es el esquema como planteamos nosotros a partir de la sensibilidad de los datos y la posibilidad de que exista un evento; y bueno, esto yo creo que quedaría inscrito como parte de las medidas técnicas de protección, a lo que en la Ley se entiende como las medidas administrativas, no tanto en la parte de los fierros. Y bueno, me parece que nos plantea un escenario inicial para poder platicar, ahora sí que los abogados nos digan qué dice la ley y cómo se aplica. Gracias. Mtro. Luis Gustavo Parra Noriega: Muchas gracias. Pues agradecemos al maestro Jacobo Esquenazi este interesante panorama, precisamente respecto al modelo que lleva a cabo HP para proteger los datos personales y que esto precisamente podría incluso exportarse al sector público. Ese modelo pues nos ha dicho, está basado en el modelo de responsabilidad demostrada, que más allá del cumplimiento legal, incorpore sus principios éticos que nos parece también muy interesante. Y bueno, pues este modelo se basa, entre otras cosas, en el compromiso que tiene esta empresa, frente a esta protección de datos, a la implementación de acciones, y a validar esas acciones adoptadas. Y para eso hay un gran compromiso que ojalá se tomara como un ejemplo para muchas otras empresas, precisamente desde los más altos niveles, para que además este Comité que garantiza este

8

mantenimiento del modelo, pues precisamente haga todo el ciclo de riesgos, determines los recursos y las medidas necesarias precisamente para mitigarlas. Así que bueno, pues muy interesante, muchas gracias, Jacobo Esquenazi. Damos paso ahora a la presentación de la doctora Issa Luna Pla, quien nos hablará también de estos temas. Como yo les comenté al principio, la doctora Issa Luna Pla, es investigadora del Instituto de Investigaciones Jurídicas de la UNAM. Adelante, por favor. Dra. Issa Luna Pla: Muchas gracias. Gracias, Gustavo, por esta introducción y por esta invitación. Y gracias a los Comisionados del IFAI por su gentil invitación a participar en este evento, y en comentar un proyecto que me parece de la mayor magnitud y mayor importancia. Celebro y les felicito por haberlo abierto a una consulta, en la que el sector privado, como lo hemos sabido en la anterior exposición, pueda opinar y pueda conocer del proyecto y aportar sus conocimientos y sus experiencias que son muy valiosas para la construcción de una norma que va a ser de una aplicación tan general como la que se está proponiendo. Bueno, qué había antes o qué hay hasta ahora todavía como ley vigente en materia de protección de datos personales en posesión de los entes públicos. En realidad, como ya lo hemos mencionado antes, se ha quedado o se quedó solamente establecido dentro de la Ley Federal de Transparencia y Acceso a la Información Pública como un pequeño capítulo, en el capítulo 4º, dentro del título I de esta ley, sólo se establecieron los básicos para poder no vulnerar tanto los datos personales en posesión de los entes públicos.

9

Pero en realidad no hubo una oportunidad, no hubo un mejor momento para desarrollar esta legislación y garantizar esa protección en la Ley Federal de Transparencia. Así que esta ley, esta propuesta de ley general de datos personales, pues viene a andar un camino que se había quedado rezagado, a resarcir ciertos problemas que eran muy complicados dentro de lo que tenemos, con lo que podíamos operar en esa Ley Federal de Transparencia y realmente a completar la protección que no se había podido completar dentro de esa medida. Y una de las partes en las que estuvo siempre con una pata coja la Ley Federal de Transparencia en la protección de datos personales era precisamente la seguridad. En un análisis si quieren de esa ley, de ese pequeño capítulo que contenía la Ley Federal de Transparencia y Acceso a la Información, no se consideraba la seguridad como un principio del resguardo y de la protección de los datos personales, no existía un concepto de vulnerabilidad de los datos personales, es decir, no se sabía exactamente qué es lo que se vulneraría en caso de algún daño a bases de datos personales y no quedaba clara la autoridad o las líneas de responsabilidad en la autoridad para resguardar esos datos y protegerlos, de tal manera que lo que tenemos hoy en día y lo que necesitamos que esta ley nos ayude a resarcir es una, digamos, protección desuniforme de los datos en el resto de la administración pública federal, pero no solamente de éstos, sino en todos los sujetos obligados nuevos que establece nuestro artículo 6º constitucional. Y ahí el reto es bastante amplio y no solamente en extender la protección y la seguridad de los datos y realmente hacer como un principio de la protección. Sino que además, pues es un reto, nos pregunta el moderador de esta mesa cuáles son los principales retos, y yo lo que trataría de argumentar en estos minutos pues es que uno de los grandes retos es, los recursos con los cuales se va a garantizar esta seguridad. Particularmente, el proyecto que se nos presenta y que se nos pide que discutamos el día de hoy, tiene muchos avances con respecto a la legislación anterior que la que ya comenté. Pero efectivamente tiene algunos limitantes con respecto a la amplia protección que ya

10

establece en posesión de los particulares la Ley Federal de Protección a Datos Personales en Posesión de Particulares. Específicamente, aunque sí reconoce el principio de seguridad, lo establece este proyecto de ley como un principio de deber, más bien, como un deber de resguardar la seguridad. Tiene todos los elementos necesarios para poder resguardar esa información, sin embargo, yo creo que se queda corta en establecer o identificar cuáles son las vulnerabilidades principales a las que se puede incurrir. Esto nos lo pone muy bien en el esquema el licenciado Jacobo cuando nos dice: se tiene que establecer cierto nivel de seguridad para el tipo de vulnerabilidad. Al nivel en el que se desarrolla el proyecto de ley, todavía no se desarrollan ese tipo de vulnerabilidades. Pero queremos pensar que este proyecto de ley lo tiene que fundar en la privacidad, es decir, en la vida privada, porque el bien jurídico protegido por los datos personales, aunque se diga lo contrario es la vida privada de las personas. Por lo tanto, lo que tiene que desarrollarse en este proyecto de ley es que quede claro cuáles son esas vulnerabilidades y cuáles son las afectaciones posibles que se pueden hacer a la vida privada de las personas. Que es uno de los temas que nos ha quedado corto en la discusión, porque generalmente este tema lo hemos abordado no sólo en la legislación federal sino también en muchos estados como un tema sólo de procedimiento de datos personales. Es decir, nuestras leyes se han enfocado en proteger el acceso, lo derechos ARCO, simplemente, pero no han abundado en las verdaderas vulneraciones que se puede tener en la vida privada y en una protección integral de esa vida privada. Por lo tanto, yo creo que esta ley podría ser mucho más si se cargara más hacia el lado de la protección de la vida privada con estos temas, definiendo vulnerabilidades, porque efectivamente en el resguardo de la información, en la protección de los datos personales el riesgo tiene que ir paralelamente o correspondido por responsabilidades, y el

11

riesgo solamente se puede identificar a partir de las vulnerabilidades que se puedan incurrir hacia la persona. Por lo tanto, tendría que corresponder una responsabilidad específica a cada una de esas vulnerabilidades. Y también sería importante que se delineara de mejor manera cómo se va a crear o a implementar una autoridad que sea la rectora de esta ley y que además tenga las facultades para observar y verificar el cumplimiento, en particular, del mandado de seguridad. Y lo digo porque hemos tenido experiencias muy, muy enriquecedoras como la del Distrito Federal, y celebro que esté en esta mesa el Comisionado Mucio Hernández para podernos explicar sus grandes experiencias y sus conocimientos en esta materia. En la cual efectivamente hubo un largo periodo en el que por sus razones presupuestales no había manera de implementar las medidas de seguridad que la ley de muy avanzada planteaba. Entonces el gran desafío es cómo vamos a hacer que todos los sujetos obligados tengan suficientes recursos, que no es barato, garantizar la seguridad de datos personales no es barato, ni para el sector público ni para el sector privado, llevar a cabo esta extraordinaria obligación. Creo que aunque hagamos una legislación que sea muy perfecta en términos de medir riesgos de establecer responsabilidades concretas, siempre nos vamos a tener que poner el reto enfrente sobre los recursos económicos para hacerla valer y para realmente proteger la información en los diversos niveles que se necesitan proteger. Celebro nuevamente que abran esta propuesta a consulta, tenemos mucho que aprender no solamente del sector privado, sino también de los estados para conocer cómo esto se ha implementado, en otro momento, y qué es lo que ha funcionado y cuáles son los están generado en esta materia. Por mi parte sería todo, les agradezco mucho su atención. Mtro. Luis Gustavo Parra Noriega: Muchas gracias a la doctora Issa Luna, quien nos ha hablado precisamente en este panel, sobre

12

precisamente cómo en ese momento en la ley vigente sólo la Ley de Transparencia prevé algunos aspectos básicos y ahora con este proyecto, esta propuesta que se hace de ley general hay una gran oportunidad de mejorar todo este aspecto de las seguridad de la información. Pero es necesario fortalecer este proyecto definiendo algunos conceptos como son precisamente el de vulnerabilidad, para que establecido y clarificado cuáles son estas vulnerabilidades puedan, de alguna manera, establecerse los riesgos, y esos riesgos ayudaran a tener muy muy claro qué medidas se tendrán que implementar para su mitigación. Esta nueva ley también, nos dice la doctora Issa Luna, deberá ayudarnos a uniformar esta protección de datos personales en los sujetos obligados tanto públicos como privados, y que es importante dar un énfasis en la privacidad, en la vida privada del individuo. Y por último también nos ha comentado precisamente la definición que es necesaria en cuanto a la autoridad reguladora que vigile estas medidas de seguridad adoptadas por los diversos sujetos obligados y justamente también sobre la necesidad de los recursos que se necesitan para poder hacer de esto una verdadera realidad en cuanto a seguridad de los datos personales. Muchas gracias, doctora Issa Luna Pla. Vamos ahora a pedirle a nuestra amiga la doctora Isabel Davara, quien es Coordinadora y Profesora del Diplomado de Derecho de las Tecnologías de la Información y Comunicaciones del ITAM, que nos haga su presentación, por favor. Gracias. Dra. Isabel Davara Fernández de Marcos: Muchas gracias, Gustavo, por la presentación tan amable, por la invitación a los comisionados, por la invitación para estar aquí. Es un súper honor. También agradezco y celebro, como decían mis antecesores, la celebración de estos espacios.

13

Y yo me voy a permitir intentar contestar a tus preguntas, la que nos pasaste, porque creo que vamos a hacer exposiciones muy generales que ya me han precedido y que son muy interesantes, y por el camino evidentemente a lo mejor desde la experiencia del sector privado, es muy sorprendente, cómo en México empezamos teniendo sólo lo que tenía el sector público, durante muchos años, para proteger los datos personales; es decir, hasta hace muy poquito, no podíamos acceder a un expediente clínico en un hospital privado, y en cambio en el sector público, o sea, no podíamos, pero no se daba, y en cambio en el sector público lo teníamos desde el 2002, con la Ley de Transparencia y sobre todo con los lineamientos que como bien dicen en nota al pie, en esta exposición de motivos de la Ley, fueron un gran instrumento, a pesar de que su rango de lineamientos, a lo mejor les quitaba un poco de fuerza. Pero conceptualmente fueron muy importantes. Pero sin embargo, ahora qué nos pasa en este anteproyecto que yo también celebro muchísimo que nos lo hagan público, tengo la sensación de que frente a la regulación para el sector privado en protección de datos personales, nos hemos quedado un poquito más laxos en la Administración Pública. Si bien es verdad que era la pata que nos faltaba, hacer un poco una norma comprensiva o coherente en términos de protección de datos personales en posesión de los tres niveles, me da la sensación de que para el sector público, le ha faltado un poquito de fuerza. Por ejemplo, en el tema de seguridad, la parte de no necesidad, de notificación de las vulneraciones. Entonces, mi súplica aquí como integrante de la Academia del Sector privado, es que o nos la bajan o la suben. Es una broma, pero lo que quiero decir es que sería bueno llegar a un esquema coherente para las dos partes, para los dos sectores, o por lo menos que lleguemos a ver por qué se han quitado las notificaciones y vulneraciones de seguridad, que es una de las preguntas que planteas muy importante, que cuando en el sector privado se nos plantea, es de verdad un dolor de cabeza. Por un lado, como les voy a decir, porque si lo haces es la única manera de que el IFAI, cumplas la legislación y en su caso,

14

demuestres que la vulneración era imposible de contener, es la única manera de que el IFAI entienda que no has cometido ninguna infracción, y que deje libre, con lo cual, si uno dice, son necesario notificar, la primer cosa fue que le digas a tu cliente: “Sí”, no sólo porque te lo diga la Ley, sino porque es la única manera de que después no tengas problemas. Ahora bien, el gran problema de las notificaciones, por eso digo que no están aquí es que puedes generar, primero, cuándo sabes que hay una vulneración; tienes que comentarlas o notificarlas, cuando de verdad sabes el alcance de esa vulneración. Y ese de verdad te puede llevar semanas o meses, y entonces si tú no has notificado, mientras estás viendo a quién afectaste, a quién no afectó, qué es lo que ocurrió, puedes incurrir en un incumplimiento. Pero la segunda gran dificultad de las notificaciones, es que puedes generar un pánico entre la población, que puede no contenerse, y derivado de eso, si yo notifico por ejemplo o si Jacobo que lo tiene todo tan controlado, notifica una vulneración, pues a lo mejor siempre le van a echar la culpa a esa vulneración que supuestamente tuvo en su empresa, pase lo que pase, aunque no haya venido de esa. Entonces, lo de las notificaciones es un esquema complicado, saber qué decir, a quién decir, averiguar y cómo decirlo. Entonces, para mí es muy sorprendente que en este Capítulo Dos, del título dos, no aparezca esto. No tanto que sea muy largo este Capítulo, porque esto evidentemente se puede llevar a legislación secundaria, como se ha llevado en el sector privado, pero sí que las bases, que los fundamentos en materia de medidas de seguridad, en esa desaparezca del sector público. Si desaparece del sector público, que además a mí me parecería que es una obligación, que tiene mucho que ver en el sector público con transparencia, es decir, si yo he tenido vulneraciones y soy un organismo público, mi deber de transparencia ya no de datos, iría de la mano de notificar esa vulneración.

15

No entendí muy bien por qué desapareció de éste, cuando esto es una obligación que en el sector privado nos da mucho dolor de cabeza y que se ha justificado en otros ordenamientos, se lo tomamos como parámetro más adelante. No estoy diciendo que se deje, estoy en el sector público. Estoy diciendo que habría que ver dónde. Porque seguro en el sector público me parece que es transparencia, el decir qué te pasó, pero también digo, “cuidado”, porque si salen y nos dicen desde el INE que se les, que les vulneraron toda la base de datos otra vez en Tepito, causas un. La vulneración de bases de datos de Tepito, solo les digo que ahí hizo en el sector privado, en la ley del sector privado que en vez de 66 artículos, no me dejará mentir, tenga 69. Uno lee la exposición de motivos y dice, esta ley consta de 66 artículos y luego la lees, tiene 69 porque a la senadora que estaba cuando estaban en trámites de Senado dijo, “no pasó lo de Tepito, también delitos”. Entonces, esa vulneración de seguridad, de vender las bases del INE en Tepito nos hizo tener tres delitos en materia, en sector privado. Que no me estoy quejando, estoy diciendo que vamos a hacer una cosa o la otra. Las preguntas sí están buenísimas, nos pusieron a pensar. La de los retos jurídicos, aparte de como decía Isa, evidentemente presupuesto, para mí, cuando preguntan ustedes sobre el estatutos actual dela seguridad de la información en México, sin ser una experta, a la mejor Jacobo nos puede ayudar más, pero a mí me parece de lo que oigo, de lo que veo día a día, que nosotros en seguridad de la información estamos muy bien. Si no mejor que muchos, a la par. Por ejemplo, ponemos el sector financiero, el sector bancario, tiene unas medidas de información brutales. Ahora bien. Seguridad de datos personales es otra cosa, porque el enfoque no la tiene, o sea, la seguridad de la información no está enfocada a datos. No tiene un análisis del flujo lógico de la información para ver dónde están los datos. Tienen unos sistemas de medidas de

16

seguridad fantásticos en los que si te hacen unos cargos de tarjeta indebidos, como ellos van a tener que responder, salta la tarjeta, eso es seguridad de información, pero no tiene por qué ser enfocado a datos personales. Entonces, en seguridad de información yo creo que no estamos mal. Y sobre todo en algunos sectores. En seguridad de información orientada a datos personales, pues estamos empezando porque, como las empresas todavía no se han dado cuenta de que tienen que empezar, no todas, a mirar sus empresas desde el punto de vista del flujo lógico de información no podemos saber dónde poner las medidas de seguridad porque no hemos hecho ese enfoque. Espero haberme explicado. Dice, los principales retos en materias de seguridad para el legislador y para el IFAI en la hechura de leyes. Pues claro, las de siempre. El enfoque en materia de privacidad con un enfoque a la vez de neutralidad tecnológica, porque si ustedes y a la vez unir eso con la certeza jurídica. Es decir, dificilísimo porque, gracias a Dios no soy legisladora ni estoy en el IFAI, está muy difícil porque luego se puede criticar muy fácil. Es decir, primero tengo que enfocarlo desde datos personales, no desde siempre, sino de mis datos personales. Después, tengo que poner algo de que cumplamos con la neutralidad tecnológica en razón de competencia desleal y de obsolescencia en el mercado. O sea, no puedo decirle utilicen esta plataforma, pero a la vez a las empresas y a los entes públicos, me tienes que dar algún tipo de certeza para saber qué tanto es suficiente. Porque el problema en la redacción de las leyes es, usted tiene que hacer, tiene que implementar las medidas de seguridad físicas, técnicas y administrativas necesarias para garantizar la integridad y confidencialidad de los datos. ¡Ah, gracias! Entonces, cuando tienes un problema voy contigo y me, qué más hiciste, qué más hiciste, ya no sé a quién más traerte para ver qué hice, no, porque, porque y tampoco sé si del otro lado saben qué tanto es lo que me tienen que pedir porque va a depender del caso, va a depender de qué tanto te lo defienda, va a depender. Entonces es muy

17

difícil decir, bueno, no te lo justifico en una herramienta, pero consigue que estén protegidos, consíguelo bien y consigue demostrármelo. Y a la vez la ley tampoco me puede imponer que no haya una vulneración, porque eso sería como un caso de fuerza mayor. O sea, como si te dijera la ley: nunca te pueden robar en tu casa. Pues no. Pero lo que te dice la ley es: Tienes que hacer todo lo posible para demostrarme que si te robaron no pudiste haberlo impedido. Es dificilísimo, dificilísimo. Entonces a mí literal alguna vez que me ha tocado defender algo en el IFAI los pobres que reciben los anexos es: ya vienes con tu Biblia de pruebas. Sí, alguna que se me ocurra más te la voy a… Porque nunca se sabe qué tanto es suficiente, y no es un problema. Los principios, quiénes, cuáles eran vigentes. Yo creo que permanecerán vigentes todos. Yo los principios los suelo agrupar en tres tipos o en tres grupos. Los que tienen ver con licitud y lealtad, los que tienen que ver con calidad, finalidad, proporcionalidad, cinco, perdón, el consentimiento a la información y a la responsabilidad. ¿Qué me parece a mí que va a pasar con la tecnología? Hay por ahí un autor que Semale Sijc, que decía que hay que regular desde el código. Es decir, cuando nosotros tenemos tecnología yo ya puedo probar, yo ya puedo hacer cosas que me permitan probar el consentimiento, hasta que no le des el clic no has consentido. Eso es mucho más fácil que en el entorno físico. Eso es regular desde el código. Les pongo un ejemplo. A mí que no me gusta nada comprar por internet. Si yo meto el código postal equivocado la máquina me dice eso: no concuerda con tu dirección. Eso es regulación desde el código, desde la fuente, desde el código fuente. La tecnología te da esa posibilidad de cumplir con algunos principios; es decir, el de consentimiento ya lo tienes, el de información ya no lo tienes. Eso no quiere decir que el señor lo lea, pero le informaste, y puedo probar que te informé.

18

A mí cuando tengo un aviso de privacidad por medios tecnológicos me es mucho más fácil probarles a ustedes que cuando lo tengo en papel. Esquemas de autorregulación. Por supuesto en temas de medidas de seguridad. A mí me parece que es un tema en donde la autorregulación, en sentido muy laxo, homologación de algún tipo, en medidas de seguridad tiene un nicho, porque es algo específico, no es hablar sólo de a ver cómo me cumples con la calidad. Medidas de seguridad me parece que es donde podríamos encontrar algún tipo de herramientas, homologadas, estandarizadas, procesos en los que la autorregulación aun estando en un sistema jurídico, que la regulación siempre va a estar por encima aporte algo tangible. Y ya básicamente para que me dé tiempo y dejemos además al panel, cuando nos preguntan de si me parece que lo basarían en un esquema de sensibilidad de los datos o en contextual. Es muy difícil de contestar. Yo digo que por certeza jurídica, porque podamos ser justos en saber qué esperamos del IFAI, me gustaría que las categorías de datos estuvieran más cerradas, con la excepción de que en algún momento hay algún tipo de categoría que no se te vaya en esa de datos sensibles, pero que por el peligro o por como decía Jacobo, este me lo van a robar más o como decía Issa, vale, en esa me la subas aunque no sea un dato sensible. Pero a mí el esquema de saber en qué estamos, porque la otra parte es algo que tiene que hacer cada empresas y cada sector. ¿Cuánto vale este dato? ¿Cuánto tal? Entonces, sería difícil de justificar, luego también, incluso, fundar razonadamente por el IFAI. ¿No? O sea, decir en la resolución: bueno, porque tú eres una empresa de este sector tiene más valor éste u otro. Me parece que las categorías de datos en el grado de sensibilidad te da, por lo menos, un piso, uno por dónde empezar. Y finalmente si es para los entes públicos un costo o un beneficio pues debería ser una obligación. No sé si costo o beneficio, no lo sé, para mí es una obligación; o sea, el que tiene datos los tiene que cuidar y los tiene que proteger. Espero que pueda hacer una inversión.

19

Yo en el sector privado a mis empresas lo que les digo: esto es una inversión, esto es una inversión de cara a no sólo a que Gustavo venga y nos ponga la multa, sino a que el público te quiera, quiera estar contigo, no trates mal sus datos, es una inversión. Costo-beneficio debería ser obligación. Gracias. Mtro. Luis Gustavo Parra Noriega: Gracias. Muy interesante la exposición de la doctora Isabel Davara, a quien damos las gracias. Y bueno, pues ella nos ha precisamente podido contestar algunos de los interrogantes y bueno, hace algunas anotaciones sobre el anteproyecto que ella ve que hay una regulación más comprensiva de todos estos fenómenos, aunque sí considera muy importante unificar y darle coherencia a la regulación del sector privado con la del sector público, lo cual percibe que hay una protección más laxa en el sector público, aun en esta nueva propuesta, y será importante, sobre todo, tomar nota respecto a valorar si hay o no la obligación de notificar las vulneraciones de seguridad por parte de los entes públicos. Creo que ahí pone el acento en un tema muy importante y que el legislador tendrá que tomar una decisión. También hace notar la importancia de diferenciar entre seguridad de la información y la seguridad de los datos personales que ahí es donde habrá que poner el acento ahora en esta seguridad de datos personales, aunque hay una serie de, digamos, avances o hay una serie de disposiciones, de políticas que ya de por sí muchos de los entes regulados del sector privado, sobre todo, en el sector financiero y en algunos otros, tienen un avance importante. Por supuesto, también la necesidad de definir cuándo las medidas técnicas, administrativas si son las suficientes que adopten los responsables, porque en esto la ley pudiera tener alguna vaguedad, digamos, en ese sentido.

20

Destaca que la autorregulación hay un nicho importante en estos esquemas para precisamente en cuanto a la seguridad de datos se puedan implementar sus procesos y homologar las mejores prácticas en este sentido. También la preferencia por explicitar y detallar las categorías de datos personales para dar una mayor certeza y un piso parejo y, por supuesto, el énfasis en ver a la protección de datos personales con un enfoque para el sector público como obligatorio y para el sector privado como una inversión. Muchas gracias, doctora Isabel Davara. Pues continuamos ahora con nuestro siguiente expositor. Se trata del maestro Mucio Hernández Guerrero, Comisionado Ciudadano del Instituto de Acceso a la Información Pública y Protección de Datos Personales, del Distrito Federal, InfoDF. Muchas gracias. Bienvenido, Mucio. Mtro. Mucio Israel Hernández Guerrero: Muchísimas gracias. Un gusto estar acá. Agradezco mucho la invitación del IFAI. Saludo particularmente a los protagonistas de esta mesa, a quienes les expreso mi más profunda admiración. A la doctora Issa Luna, al maestro Jacobo, a la doctora Isabel Davara, al maestro Gustavo Parra, quien además me obsequia su amistad, mi querido Gustavo. Y sé que el panel está enfocado básicamente al tema del asunto de seguridad.

21

Sin embargo, habría que decir que es importante, me parece, hacer un peinado, precisamente de este anteproyecto de ley que está presentando precisamente el IFAI, porque hay un antecedente particular, en donde la Conferencia Mexicana de Acceso a la Información Pública, ha venido trabajando de manera muy intensa a lo largo y ancho del país. Se realizaron ocho foros en donde hubo la convergencia precisamente de gobernadores, diputados locales y por supuesto, una serie de comisionados de acceso a la información pública, que me parece que es la base precisamente del anteproyecto que se está presentando en esta Semana de la Transparencia, organizada por el IFAI. Y además aprovecho para saludar a todos los comisionados y consejeros que nos acompañan de los estados, y que su participación ha sido fundamental. Y voy a hacer muy rápido un peinado precisamente del anteproyecto de Ley General que se está presentando, y en relación también con toda la experiencia precisamente que se ha acumulado en términos de la Conferencia Mexicana de Acceso a la Información Pública, para señalar una serie de cosas que me parece que es necesario que tomemos en cuenta para lo que tiene que ver en la redacción con el Senado. Primero, creo que es necesario emancipar el derecho de la protección de datos personales. ¿Qué implica eso? Que como bien lo decía la doctora Issa Luna, en la experiencia que tiene finalmente México es que la protección de datos, siempre ha sido un ponderador y un límite en términos de acceso a la información pública. Y hoy tenemos la posibilidad, después de la Reforma, al 6°, al 16, a diferentes ordenamientos, de hacer una emancipación fundamental del derecho a la protección de datos personales. Me parece que el proyecto en ese sentido, debería de ir por una Ley General de Protección de Datos Personales, se define básicamente que va a ser una Ley Reglamentaria. Me parece que si nosotros lo planteamos como una Ley Reglamentaria, estaríamos reduciendo las posibilidades precisamente

22

del asunto de la Ley y creo que una de las cosas por lo que hay que pugnar, es por lo que tengamos sendas leyes generales, tanto de acceso a la información pública y de protección de datos personales, pero emancipadas, que sean derechos fundamentales y por lo tanto, con sendos ordenamientos específicos. En esta ley general es necesario, como lo hemos venido discutiendo, que haya una distribución de competencias entre los distintos niveles de gobierno, que se convierta en la plataforma mínima de leyes locales que será precisamente lo que vendrá después, precisamente de la, esperemos que así sea, de la aprobación de estas leyes en el Senado de la República, en el Congreso de la Unión, que se fijen ahí con claridad el ámbito de actuación de los estados y la federación, que se identifiquen los espacios en donde debe generarse coordinación, particularmente porque el tema de datos personales requiere, a veces, una relación en los diversos órdenes de gobierno y propiciar, precisamente un marco para identificar, precisamente a las autoridades de datos personales. En este sentido, se plantea en este anteproyecto, un Sistema nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales. Me parece que tenemos que separar el asunto de los sistemas. Sabemos que el sistema está integrado por encargados tanto de acceso como las autoridades que fungirán en la protección de datos personales en sujetos obligados, pero me parece que debe de haber una distensión con especialización de materias, por el asunto de que es un tema que necesitamos precisamente, proteger un derecho fundamental. Qué características debería de tener esto. Bueno, permitir acciones conjuntas en materia de protección en los tres órdenes de Gobierno; generar lineamientos de tratamiento de daros personales; vincular a las autoridades y a los sujetos obligados a fin de implementar y dar seguimiento a las políticas en materia de protección de datos personales y derechos ARCO, además de promover una cultura de la protección de datos personales en temas sensibles como seguridad pública, administración o procuración de justicia, y sobre todo cuando estos impacten, precisamente a la privacidad.

23

Hay ahí, se establece un Sistema de Gestión y de Documentación, me parece que este sistema es simplemente un anexo al sistema que necesitamos especializarlo, separarlo y darle características específicas. Me parece que el tema que articula precisamente esta ley y cualquiera, pues deben de ser los principios de protección de datos personales, que además hay que decirlo, el derecho a la protección de datos personales es una responsabilidad que no puede eludir el Estado y en ese sentido me parece que necesitamos tener principios claros, inequívocos y en el proyecto, yo diría que hay una serie de cosas muy novedosas y muy importantes como por ejemplo, el principio de calidad como se tiene explicado. El tema de la calidad me parece que es muy importante, porque establece que por ejemplo el dato personal pueda tener y pueda ser considerado o valorado con otros elementos, más allá del asunto archivístico, porque tenemos un grave problema para la protección cuando el dato personal ha cumplido el tema de la finalidad y la calidad está, digamos en declive, necesitamos precisamente generar un mecanismo que permita proteger el dato personal y a veces es con un asunto de supresión del dato personal y si nosotros le metemos valores distintos al que tiene el propio dato personal, como son los valores archivísticos, a veces hacemos que se alargue mucho más su ciclo de vida. Me parece que en este sentido la proporcionalidad establecida en la ley también prefigura este asunto. Y hay un tema que seguramente han venido bordeando bajo la lógica precisamente de la seguridad, que tiene que ver con el asunto de la responsabilidad. Se establece como principio fundamental el tema de la responsabilidad, y de ahí se conjuntan dos esferas fundamentales. El asunto de la transparencia, que tiene que ver básicamente con los encargados y los responsables de los datos personales en términos de que tienen que hacer transparente su actuación para proteger.

24

Y por el otro lado, el asunto de que ya nos mencionaba Jacobo, que es el asunto de la “contability” o el asunto de la rendición de cuentas, no solamente frente a los titulares de los datos personales, sino también frente a una serie de sujetos obligados. Hay que decir que finalmente hay que fortalecer en esta ley el tema de la autodeterminación informativa, sobre todo en el asunto de saber que las personas tienen datos personales. Que éstos los ceden precisamente ante sujetos obligados, y que bajo el asunto de determinar el asunto de su información es posible, en cualquier momento, que el tratamiento de sus datos personales pueda finamente cesar. Me parece que eso hay que dejarlo muy claro. El asunto del consentimiento, que el consentimiento pues es uno de los ejes fundamentales y de la discusión clásica precisamente sobre el tema de la protección de datos personales que debe de ser y debe de cubrir con los extremos, debe de ser libre, específico, informado e inequívoco. Y este asunto lo refiero porque finalmente lo que decía la doctora Davara si bajamos o subimos el nivel de protección, me parece que es necesario subirlo, y el asunto del consentimiento tiene que ser el principio precisamente que permita el tratamiento de datos personales, y no solamente eso, cumplir con los extremos que establece un asunto de consentimiento, que debe de ser específico, informado, libre e inequívoco. Y creo que ahí vamos a tener una discusión interesante, ¿por qué? Por el asunto de los avisos de privacidad versus avisos de consentimiento. Creo que vamos a, antes de llegar a eso, déjenme también ligar el consentimiento a dos cosas que ya trae la ley, y que me parece que es fundamental poner en el tema de discusión. El asunto de los menores, se privilegia el interés superior de la niñez. Y eso implica básicamente proteger. Ahí los principios de protección de datos y de privacidad están unidos, y lo que necesitamos es elevar, por supuesto, la protección, por lo tanto el asunto del consentimiento

25

debe de ser expreso, libre, inequívoco y específico dado precisamente por los padres o tutores, pensando, por ejemplo, en las bases de datos que está generando la Secretaría de Educación Pública, en donde se recaban huellas dactilares, las plantas de los pies, una serie de datos que de repente habría que ver la proporcionalidad de éstos. Y me parece que en ese sentido el consentimiento de niños para proteger a la infancia debe de ser del más alto nivel y del más alto estándar. Lo mismo con las personas en estado de interdicción, me parece que sus datos deben de ser protegidos y solamente pueden ser recabados por mandato judicial o por la autoridad competente o por cuestiones de excepción, como pueden ser la salud, riesgo epistemológico, catástrofe social o natural. Y hay un tema que ya viene enunciado en la ley y que me parece que es fundamental, el tema de los datos personales de personas fallecidas. Ha sido una larga discusión en el asunto de protección de datos personales, me parece que los datos personales de las personas fallecidas no se extingue ni desaparecen, precisamente con la desaparición física de las personas, y lo que necesitamos hacer es mantener el asunto de la protección de estos datos ahí y, en ese sentido, quien pueda ejercer derechos Arco pues deben de ser precisamente establecidos por la ley de manera muy clara, como pueden ser el cónyuge, el concubino superviviente, así como los ascendientes en línea recta hasta segundo grado. Un poco aviso de privacidad y aviso de consentimiento, me parece que aviso de privacidad es un tema en donde no se colman los extremos del asunto de la ley, necesitamos pensar que precisamente para el asunto de la recabación de datos en posesión de entes públicos, de sujetos obligados, necesitamos que el consentimiento sea un aviso de consentimiento en donde de manera inequívoca, libre, expresa y específica se puedan recabar datos. Vienen una serie de características muy interesantes en el tema de la ley, pensando en el tema de seguridad, como es el oficial de datos personales, me parece que esta figura necesitamos elevarla a la categoría de ombúes persum, es decir, necesitamos hacer de esta

26

figura un oficial de datos en donde sea el quien defienda los datos personales no solamente del titular que sea de datos ante el sujeto obligado en dependencias públicas, sino también precisamente quien pueda defender los propios derechos de protección de datos personales de las personas que trabajan en su institución. Hay básicamente una serie de figuras que aparecen en la protección de datos, como son el encargado y el responsable, me parece que necesitamos fortalecer mucho la figura del responsable, porque la estamos confundiendo en la ley con el asunto del sujeto obligado, y ésta debe de ser básicamente una persona identificable que sea precisamente el responsable de la recogida y de la recabación de datos; y que además ésta debe de venir de un ordenamiento jurídico y no por voluntad propia, como es el asunto. Y el asunto del encargado, que seguramente se va a mencionar, el encargado en esta propuesta que nos hacen puede estar tercerizado, es decir, puede ser un contrato que se haga con una empresa, no solamente una persona física, para que pueda tratar de datos personales. Pero necesitamos de un principio de continuidad de protección ahí, ¿por qué? Porque pensando, por ejemplo, en los grandes padrones de desarrollo social, son grandes padrones de desarrollo social, que nosotros podamos tercerizarlos, que se los demos a una empresa puede generar que se violenten una serie de principios en la protección de datos. Necesitamos pensar y especificar de manera clara estas cosas. En cuanto a transferencias y remisiones, simplemente porque ya estoy sobre el tiempo, hay que ver el tema de la remisión, porque las remisiones son básicamente la posibilidad de transmisión de datos de manera interna, antes dependencias, sin que exista consentimiento de la persona. Y me parece que una remisión con estas características, podría vulnerar, por supuesto, el tema de la protección de los datos personales, pensando, sobre todo, que tenemos sendas leyes de

27

telecomunicaciones, en donde estas bases de datos, pueden, sin consentimiento de la persona, pasarse de una dependencia a otra. Hay un tema fundamental que es el de impacto a la privacidad. Me parece que en ninguna Ley del mundo se ha establecido. Creo que necesitamos establecerlo como viene en el proyecto. Sin embargo, necesitamos establecer la obligatoriedad que en ciertas políticas públicas, como son sistemas de videovigilancia, geolocalización y cualquier tecnología que presuponga una invasión a la privacidad, tenga que haber un impacto a la privacidad que es precisamente el informe o la valuación que hace el propio sujeto obligado, para poder implementar precisamente estas políticas. Hay un tema fundamental que es el Registro Nacional de Datos Personales; las bases de datos son un tema me parece, sobre todo en el ámbito público fundamental, porque necesitamos hacer lícitas y legítimas las bases de datos. Y para esto se necesitan hacer transparentes, se necesitan registrar y todo mundo debe de saber que existen bases de datos, en donde puede haber una recogida precisamente de un dato personal, precisamente de nosotros. Este Registro Nacional, como les decía, pues hace lícitas las bases, hace legítimo el tratamiento, pone y hace disponibles los datos personales de los titulares, para ejercer derechos sobre ellos, evita la secrecía y la discrecionalidad, transparenta por supuesto el ejercicio de la protección de los datos personales, garantiza que haya una efectiva rendición de cuentas por parte del responsable y el encargado del tratamiento de los datos personales y permite, por supuesto, ejercer otros derechos. Me parece que el Registro Nacional, es un tema fundamental que necesitamos precisamente legitimar y hacer lícito en tema de recogida en grandes bases de datos. Hay dos temas que vienen precisamente en la Ley, que tiene que ver con partidos políticos.

28

El tema acá, hay toda una discusión, porque hacer una base, o que existen, de militantes, adherentes o simpatizantes de partidos políticos, es de alguna manera tener una base de datos sensibles. Y lo que necesitamos es establecer en la Ley la excepción en términos de que aunque no es un registro público, necesitamos proteger el tema de los datos sensibles y necesitamos desarrollar en la propia Ley, una serie de ordenamientos, donde nos permita precisamente que el titular del dato personal que está metido ahí, pueda tener acceso a derechos arco y por supuesto, tengo la posibilidad de ejercer una serie de derechos sobre el asunto. Estoy a punto de acabar. En tema de procedimientos de derechos de acceso, simplemente tenemos que hacer mucho más expedito el documento, necesitamos no irnos a los 40 días, necesitamos que en 15 días se pueda contestar cualquier medida que permita una solicitud de derecho ARCO, y solamente una ampliación de 10 días. Es decir, 25 días como más. Necesitamos básicamente especificar los procedimientos de denuncia y no mezclarlos con los mecanismos de verificación porque es fundamental que podamos distinguir el asunto de la protección en sus tres esferas, como un asunto tutelar por parte del Estado, como el asunto del autodeterminación informativa por parte de los titulares de los datos personales y la posibilidad finalmente de que esta autodeterminación se pueda ejercer sobre un dato cedido en cualquier momento, a los sujetos obligados. Termino con un tema que hemos puesto en la mesa y que aunque está en la exposición de motivos, no se encuentra en el cuerpo de la iniciativa que es el famoso derecho al olvido, y me parece que el derecho al olvido debe de tener una aplicación en tres ámbitos o esfera de la vida de las personas. En el ámbito de la administración o procuración de justicia, en la esfera crediticia, financiera y fiscal, y en el mundo digital. Y el derecho al olvido, necesitamos hacerlo operable en estas tres esferas y es necesario, por lo tanto, articularlo con los principios generales de la protección de los datos personales.

29

En temas de administración y procuración de justicia, necesitamos que finalmente los principios de temporalidad, difusión, transmisión y confidencialidad, puedan estar protegido de tal manera que si hay una trasgresión a la temporalidad, a la difusión, a la transmisión o a la confidencialidad, pues aplicarse el tema del derecho al olvido. En términos de la esfera crediticia, el tratamiento a la información debe estar limitada a la temporalidad y a la finalidad legalmente establecida, y evitar la actuación permanente y necesaria de bases de datos en donde actualizan este dato y pone en riesgo a las personas. Y sobre todo en el ámbito digital, me parece que necesitamos considerar para que este derecho sea un derecho accionable, los temas de difusión, de pertinencia, de calidad y de licitud. El derecho será aplicable en sus modalidades de desindexación, de disociación y cuando no sean pertinente, no sean lícitos o desleales los datos personales que se encuentren en este ámbito y la calidad ponga en riesgo o exponga indebidamente a la persona. Hice un peinado muy rápido del tema de la ley, pero me parece que necesitamos que estos puntos podamos trabajarlos, de tal suerte que la protección de los datos no solamente sea una serie de mecanismos y de operaciones en términos analógicos, tecnológicos y eso, sino sobre todo que tengamos un derecho emancipado, un derecho fuerte y que garantice a las personas que sus datos personales y su vida privada pueda ser un mecanismo en donde nadie pueda trasgredir esa parte invaluable de la persona humana que es su libertad. Muchísimas gracias y perdón por el tiempo. Yo siempre soy muy colgado, mi querido Gustavo. Muchísimas gracias por su atención. Mtro. Luis Gustavo Parra Noriega: Muchas gracias al maestro Mucio Hernández del InfoDF. Será difícil hacer una glosa con todo lo expuesto, pero sí tomamos nota puntual, mi estimado Mucio, y de verdad que nos sirve mucho el análisis y las propuestas específicas que nos dejas.

30

Además debo destacar que del proyecto que ustedes estuvieron trabajando a lo largo de diversos meses a través de estos foros. Mucho de ello está recogido, y así se reconoce además en la exposición de motivos, precisamente del trabajo de la COMAIP, y de todos los que ahí intervinieron; pero, por supuesto, como toda obra perfectible, tomamos nota puntual para poder reforzar todos estos temas y seguramente también nuestros legisladores les será de mucha utilidad. Le agradezco mucho. Vamos a dar paso a nuestro último ponente, en este panel, que es el doctor Miguel Recio Gayo, socio fundador de Global Data Protection Consulting, y quien ha además desarrollado diversos proyectos académicos con el CIDE concretamente, y destaco éste, como lo hacía al principio, sobre cómputo en la nube. Bienvenido, doctor Recio, y adelante, por favor. Dr. Miguel Recio Gayo: Mucha gracias, maestro Parra. Muchas gracias al IFAI por su amable invitación para esta aquí en el día de hoy. Es un placer poder estar con ustedes. Voy a intentar ser breve, dada la hora, y que todos ya estamos queriendo ir a comer. Me gustaría poner la atención, se han dicho ya muchas cosas en la mesa, pero me gustaría ver algunas cuestiones concretas, quizá plantear, más que responder a las dudas, responder quizá con alguna pregunta más. Creo que a lo mejor es el momento, justo en este momento. Felicito y me da mucha alegría que México siga avanzando en estas materias día a día. En el sector público se llama ciudadano, en el sector privado se llama cliente o consumidor. En los dos sectores se llama titular de los datos personales, y con esta nueva ley pues obviamente ganamos todos y además es una cuestión que nos toca todos, incluso a mí como extranjero. Quería poner la atención también en que la protección de datos, la privacidad y la ciberseguridad están vinculadas con la confianza.

31

Quiero más que hablar de seguridad ver el momento en el que estamos, en el que empezamos a hablar de ciberseguridad, y quizás es una cuestión importante a la hora de analizar estas cuestiones y ver hacia dónde va esta propuesta de Ley General de Protección de Datos Personales. E oído varias veces que la seguridad es una sensación. Quizá mi deformación profesional me hace pensar que si abrimos el periódico todos los días nos encontramos con cuestiones relativas a seguridad, ciberseguridad. Millones de ordenadores que están siendo objeto de un nuevo agujero de seguridad. Reteilers que están teniendo brechas de datos personales, incluso gobiernos de otros países que están teniendo cuestiones en esta materia. Quiero también poner la atención en algunas cifras. Si vemos a nivel internacional obviamente ahí tienen un estudio publicado en The Economist en el que habla de alguna manera, no sé si decirlo gasto de inversión en materia de seguridad, pero cada año va aumentando más, pensando en la ciberseguridad. Vemos también los diferentes sectores, y quería destacar una referencia nacional, no es que lo diga yo, es que está en el Plan Nacional de Seguridad 2014-2018, ahí justo tienen en concreto que la asistencia acotada de una cultura de seguridad, creo que es necesario avanzar en esta materia, y es un buen momento y una gran oportunidad. Si nos planteamos la seguridad como costo-beneficio, yo quiero responder con otra pregunta: ¿cuál es el costo de no tener medidas de seguridad? Pues obviamente es un costo elevado, es un costo no sólo económico, sino también reputacional, incluso para las administraciones públicas, y es un costo obviamente evitable, establecer medidas de seguridad es necesario. Y como les digo, pensemos en la ciberseguridad, ciberataques que pueden tener por objetivo como destino, obviamente, una infraestructura crítica, también los datos personales o los dos a la vez.

32

La situación actual o situación que había hasta el momento en México, quizás es de una simetría ante el sector público y el sector privado. Si pensamos en el sector público estaba la ley, los lineamientos y quizá se vean algunas divergencias. En seguridad hay que pensar en todos los puntos y pensar que no quede nada al azar. Y en el sector privado está la ley, el reglamento, los estándares internacionales y también las sanciones: si no cumplo con medidas de seguridad obviamente puedo ser objeto de sanción. Equilibrar los dos sectores es fundamental para garantizar esa confianza. Haciendo una referencia también a muchos documentos, las medidas de seguridad en el sector público no parten de cero, vienen de unos lineamientos de 2005, en el que encontramos algunas preferencias. Hay una guía de elaboración del documento de medidas de seguridad, versión 1.4 en la página del IFAI, y también en el sector público hay que pensar en la reciente política de 8 de mayo de este mismo año, y aprovechar también la experiencia acumulada por el Instituto Federal de Acceso a la Información y Protección de Datos; en el sector privado está haciendo un trabajo excelente, brillante y que puede ser referente incluso para otros países. Tiene una tabla de equivalencia funcional de estándares internacionales, una guía para implementar los sistemas de gestión de datos personales y otros documentos que creo que son muy relevantes e importantes también a aplicar en el sector público. En la seguridad, pues no tenemos que pensar sólo en la seguridad de los sistemas de información, les digo, pensemos en ciberseguridad, pensemos también en las redes. Obviamente no hay privacidad sin seguridad. Encontrar una referencia llamativa del hasta ahora supervisor europeo de protección de datos, juguemos un poco con las palabras, no hay seguridad jurídica sin privacidad.

33

Hay conceptos fundamentales, como la aproximación basada en el riesgo, que no es nada nuevo y que es necesario tener muy presente. Esa aproximación basada en el riesgo es la que nos permitirá, teniendo en consideración todos los factores, no sólo las posibles repercusiones para el titular de los datos, sino es el riesgo existente cómo realmente poder adoptar medidas de seguridad y poder tener realmente una estrategia en materia de ciberseguridad qué tan importante es para todos los sectores. También obviamente la importancia de estar alineados con estándares internacionales, como va buscando la ley, y pasar de ese concepto de seguridad a ciberseguridad. Como hacía referencia el maestro Para, he tenido la oportunidad de participar en algunos documentos sobre cómputo en la nube, hay nuevos paradigmas que son fundamentales, tanto para el sector privado, como para el sector público. Uno de ellos, por ejemplo, es poner el foco en quién tiene los datos personales, quién los custodia, cómo los usa, más que dónde están recibiendo estos datos. Eso realmente es la seguridad: buscar esa responsabilidad a la hora de tratar los datos personales. Incluso pasamos ya, en cuanto a los principios, no ya como se recaban, sino cómo se utilizan. Hay por ejemplo una nueva Norma de ISO, la 27018, para proveedores de servicios de nube pública, que incluso habla de un control que sería el consentimiento expreso en el caso de utilización de datos con fines de publicidad. Esos son los estándares que deberíamos tomar en consideración. Si nos referimos a ciberseguridad, el riesgo obviamente es dinámico. Tenemos que de alguna manera, gestionarlo, reducirlo y aceptarlo; ya no estamos en entornos aislados, donde la amenaza principalmente venía desde dentro, sino en una situación en un momento, en un contexto, en el que las amenazas son dinámicas constantes y cambian en todo momento.

34

Y de nuevo hacen necesario evaluar este riesgo que tenemos, y encontrar obviamente un buen equilibrio, entre seguridad y usabilidad. Esto aplica, tanto al sector privado como al sector público. Esos referentes a nivel internacional, pues sobre todo en normas ISO, como les digo, la tabla funcional del IFAI, también poner atención, por ejemplo, en la OCDE, que tiene diferentes documentos en los que está revisando sus recomendaciones, tanto en protección de datos personales, como en seguridad, ciberseguridad, infraestructuras públicas. La colaboración público-privada, es también fundamental. ¿Qué podemos hacer? Pues obviamente, adoptar algunas medidas que sean mínimas, sobre todo y fundamentalmente, evitar lagunas, a las que puedan dar lugar normas rígidas, que no estén preparadas para responder ante los retos de los ciber ataques, las ciber amenazas que nos podemos encontrar, y una evaluación constante de esas medidas de seguridad, además de otras cuestiones como por ejemplo, un control de accesos basado en los roles que desempeña cada uno, y considerar, como les digo, esos son los paradigmas. Si hablamos específicamente de ciberseguridad, de nuevo, el Programa para la Seguridad Nacional, es fundamental. Estar alineados con él, es necesario, y pensar en tener una estrategia de ciberseguridad, aquí tienen algunos puntos que podrían ser interesantes, como evaluar riesgos, poner el foco en el resultado, la meta, priorizar, que sea practicable y de extremo a extremo, es decir, que abarque todo, respetuosa con las libertades civiles y la privacidad y que está alineada con esos estándares internacionales. Principios fundamentales también, la seguridad desde el diseño, seguridad por diseño, que involucra o incluye los sistemas de información; las redes, los productos de tecnologías de información y comunicaciones y los servicios electrónicos. Otros principios y si hablamos de estos nuevos paradigmas, no nos olvidemos de que aquí está el internet de las cosas, las aplicaciones que tanto tienen que ver también con las administraciones públicas; los vestibles.

35

Al final vivimos una realidad, que es una economía basada en los datos, data de la…, que aplica también para las administraciones públicas; principios que quizás serían buenos en este momento, darles una pensada para estar alineados a nivel internacional. La privacidad es del diseño y por defecto, la Unión Europea la está dotando. Ya viene desde hace años, quizás sería bueno también para México, la seguridad por defecto. La transparencia entendida no como otras transparencias en el sentido que han venido hablando en estos días sino vinculada también con la responsabilidad de los sujetos obligados de qué información te estoy dando sobre el tratamiento de tus datos personales, como estoy transparentando las prácticas y poner sobre todo la atención en el uso de los datos personales de nuevo más que como se recaban. En cuanto lo oficial de protección de datos personales a los que se refirió anteriormente el Comisionado Mucio, pues por mi parte también decirles, sería bueno aprovechar la experiencia a nivel nacional en cuanto a sector privado. Pero también hay otros países alrededor del mundo que han adoptado también esta figura y que si es necesario algún momento para atender algunas buenas prácticas internacionales, ahí tienen una lista con algunos de los países que tienen esta figura, bien para el sector público, privado o ambos sectores y algunas dudas o interrogantes que se puedan plantear, debería esta oficial también tener conocimientos en materia de transparencia y seguridad. Puede ser cualquiera. Hace falta una certificación, qué papel juega esa certificación. ¿Sería bueno que den un listado de oficiales de privacidad en el IFAI, en los órganos garantes? Y por último, sólo una responsabilidad administrativa o tiene alguna responsabilidad adicional, esta figura de la Oficial de Privacidad. Y ya por último, como empezaba casi en el título, quería presumir simplemente mi intervención en que protección de datos personales, privacidad más ciberseguridad, obviamente es la base de la confianza tanto en el sector público como en el sector privado.

36

Nada más. Muchas gracias. Mtro. Luis Gustavo Parra Noriega: Muchas gracias al doctor Miguel Recio Gayo quien, bueno, nos ha, en esta última lámina realmente resumido su ponencia. Cómo la importancia, precisamente en la seguridad de datos personales, de privacidad más todo lo que implica esta ciberseguridad, pues nos va a dar una mayor confianza a las administraciones públicas. Y bueno, pues, por supuesto, nos ha hablado sobre el costo de no tener medidas de seguridad, también. Esto incide directamente en un daño en los activos, en la reputación y bueno, pues no hay más opción que contar con estas medidas de seguridad. También hizo hincapié en esa simetría de la que ya nos hablaba la doctora Davara, entre el sector público y el sector privado y la necesidad de equilibrarlo. Por supuesto también nos habló sobre los diferentes trabajos que ha hecho el IFAI en esta materia y los documentos que hay al respecto en cuanto a recomendaciones que son importantes se tengan a la vista. Pero también pensar en los nuevos paradigmas, más ver realmente quién usa los datos, quién es el responsable independientemente de la ubicación de los actores o de los propios responsables. También lo importante que será establecer ese equilibrio entre la seguridad y la usabilidad. También destacó la importancia de colaborar entre los diferentes actores involucrados, revisiones continuas, valoración de nuevos paradigmas para tener una estrategia de seguridad que realmente valga la pena. Y también nos llama la atención sobre otros procesos novedosos que tenemos que tomar en cuenta como es la privacidad por diseño, y la privacidad por defecto, lo cual nos lleva a estar muy atentos a la importancia de otros conceptos que también se propone en esta Ley General respecto al Oficial de Privacidad u Oficial de Protección de

37

Datos Personales. Ahí cuestiona precisamente su perfil y sugiere que se establezcan claramente sus responsabilidades y sus cualidades. Con esta presentación del doctor Recio hemos llegado al final de nuestro panel. Hay tiempo para una pregunta a responder por cada uno de los panelistas, las cuales ya hemos ahora dado. Yo le pediría a lo mejor a la doctora Isabel Davara si quisiera comenzar a hacer algún comentario, destacar alguna de las preguntas, por favor. Dr. Isabel Davara Fernández de Marcos: Gracias, maestro Parra. A mí me ha gustado la primera pregunta que me llegó, que es una aseveración porque coincide un poco en lo que estábamos empezando. Además de una letra preciosa, que estábamos comprando, dice: Es indispensable que se contemple el tema de notificaciones de vulnerabilidades dentro del proyecto de ley o en normatividad segundaria para que en caso de una ingente seguridad la APF pueda tomar decisiones. Como no pone signo de interrogación entiendo que me lo están comentando y coincido, es justo mi punto desde el principio. Es decir, si queremos que la administración pública federal, incluso con otros organismos, es decir, no podemos olvidar que podría haber otras dependencias de administración pública federal en el sentido amplio en administración, que para que tomara partido, por ejemplo, si hubiera una vulneración de seguridad que consistiera en un incidente doloso, para que la PGR o PGJ o quien fuera pudiera tomar partido tendría que venir de una ley, que eso está tipificado como tal. Es decir, claro que lo considero indispensable, que es lo que estábamos diciendo desde el principio, que esté previsto en la ley o en normatividad secundaria. Gracias. Mtro. Luis Gustavo Parra Noriega: Muchas gracias, doctora Isabel Davara. Le daríamos la palabra al maestro Jacobo Esquenazi, por favor.

38

Mtro. Jacobo Esquenazi: Gracias. La pregunta que tengo aquí, dice: ¿cómo logra esta mesa conciliar un enfoque de derechos humanos con el enfoque de los presentes, con un enfoque de negocios o venta de productos y servicios? A mí me parece que no están disociados. El tema del respeto a los derechos humanos aún dentro de las empresas. Cuando estamos hablando de venta de productos y servicios estamos hablando del sector privado. El sector privado tiene una responsabilidad en el manejo y el cumplimiento de derechos humanos y la protección de derechos humanos. En mi exposición hablaba de cómo este enfoque de protección de datos se incluye dentro de la parte de derechos humanos, consideramos la protección de datos personales como un derecho fundamental. Y yo no creo que exista ningún tipo de inconsistencia para poder llevar a su cumplimiento. Mtro. Luis Gustavo Parra Noriega: Muchas gracias al maestro Jacobo Esquenazi. Si nos permite el maestro Mucio, ahora, por favor, atender las preguntas. Mtro. Mucio Israel Hernández Guerrero: Me hacen una pregunta que tiene que ver con datos sensibles en la salud, y dice que las aseguradoras intercambian esta información, y haciendo evidentemente una identificación de preexistencia de enfermedades. Que me parece relevante el asunto. La voy a ubicar en dos momentos. En el tema de la recogida o los datos que finalmente tienen las instituciones de salud pública, que ahí evidentemente debe de haber un mecanismo altísimo de protección, y lo voy a vincular un poco al debate que yo quisiera poner en la mesa, sobre avisos de privacidad, versus avisos de consentimiento. ¿Por qué? Porque cuando se recaban datos precisamente en el ámbito de salud, simplemente se informa que puede haber transmisiones, que esos datos van, que seguramente y con toda seguridad van a farmacéuticas, a instancias en donde hacen análisis

39

clínico y que nosotros no tenemos ninguna capacidad precisamente por generar un asunto de control sobre ese dato y que me parece que esto en las aseguradoras bajo la lógica que seguramente va a venir en México, que es la subrogación de los servicios de salud, lo digo muy elegantemente, pero es la privatización de los servicios de salud, pues los datos personales se van a convertir en oro molido para las aseguradoras. Y ahí necesitamos, evidentemente, que haya la capacidad de la autodeterminación informativa. ¿Qué implica esto? que si tenemos un aviso de consentimiento en cualquier momento yo puedo ejercer mi derecho para que cesé el tratamiento de los datos que se está haciendo, porque hasta ahorita tenemos, se le informa a uno que sus datos van a andar por todos lados, que van a ser transmitidos y que van a ser utilizados para unos fines con los que uno no los da, y me parece que por eso sí necesitamos tener un altísimo nivel de protección evitando, como ya se ha dicho acá, pues toda la asimetría jurídica que existe en el tema de públicos-privados y, por supuesto, elevar los estándares de protección. Mtro. Luis Gustavo Parra Noriega: Muchas gracias, maestro Mucio. Por último el doctor Miguel Recio, si nos gusta, por favor, hacer su última intervención. Mtro. Miguel Recio Gayo: Claro, tengo aquí una pregunta. Dice: ¿Cómo trataría de garantizar la protección de datos personales de forma adecuada en las PIMES? La verdad es que quitaría en las PIMES, vamos a dejarla un poquito más general, la protección de datos personales realmente el principio de responsabilidad debe ser una guía a seguir por cualquier sujeto obligado, el sujeto obligado en un sentido general. Esas medidas tienen que ser razonables, tienen que estar alineadas, como decía antes, con habilidad, tienen que atender, obviamente, al riesgo. Recuerden que antes he dicho que hay un principio de

40

aproximación basado en el riesgo, aproximación basada en el riesgo en todos los sentidos, que debe llevarnos a identificar ese riesgo y a adoptar medidas para gestionarlo, minimizarlo o incluso, en su caso, si es posible desplazarlo hacia un tercero. Ahí está también la figura de las ciberaseguradoras, que también están viendo cuestiones en esta materia, pero en cualquier caso adoptando medidas. Hay que ser proactivo en esta materia, se trata de garantizar un derecho fundamental. Nada más. Muchas gracias. Mtro. Luis Gustavo Parra Noriega: Muchas gracias. Bueno, pues es así como hemos concluido nuestra mesa sobre sistemas, niveles de seguridad de protección de datos personales; habiendo hablado de diferentes retos que precisamente nos presenta esta materia de datos personales y su seguridad, teniendo a la vista los avances tecnológicos imparables y que me parece, entre otras ideas que se han podido identificar en este panel, es la necesidad de homologar la protección de datos en ámbito público y ámbito privado; la importancia de analizar conceptos claves como vulnerabilidad, responsabilidad, el tema de la oficial de privacidad, buscar un nuevo enfoque en la seguridad de los datos y verlo como una inversión y por supuesto también una obligación, ser incluyente en la discusión de los temas de protección de datos personales y adoptar y considerar buenas prácticas y estándares ya existentes. Pues muchas gracias a los panelistas, a ustedes por su atención. Vamos a entregar unos reconocimientos y unos pequeños obsequios y despedimos con un aplauso. Muchas gracias. Presentador: Muchas gracias a los señores panelistas por su participación.

- - -o0o- - -