La ciberseguridad y la privacidad no
deberían considerarse contrapuestas, ni una concierne únicamente a los responsables
del tratamiento de nuestros datos personales ni la segunda únicamente a los
activistas de la privacidad; la primera es indispensable para lograr la
segunda, y al final de cuentas, en tanto particulares, ambos grupos vamos en el
mismo barco frente a nuestros gobiernos. Por otra parte, Estados Unidos y
México tienen culturas distintas en materia de privacidad y protección de datos
personales, y aunque también sus discursos y posturas al respecto son
distintos, al final en algunos hechos terminan en lo mismo.
En Estados Unidos no existe una federal
única sobre privacidad y protección de datos; algunos aspectos son regulados
por ordenamientos locales, de donde proviene, en la mayoría de los casos, la
obligación de revelar vulneraciones, y la mayor parte a escala federal por
estatutos específicos para ámbitos como los servicios financieros, educativos,
de salud, etcétera. Interpretando la Cuarta Enmienda a su Constitución, sus
tribunales han sostenido la inconstitucionalidad del acceso a la información
contenida en dispositivos móviles.
El sexto State of the Union Address
(equivalente al “Informe de Gobierno” mexicano) del presidente Obama motivó
gran atención por abordar aspectos de ambas materias, como reacción a las
vulneraciones de seguridad a cadenas comerciales de aquel país, y más
notoriamente a Sony Entertainment, atribuida a grupos relacionados con el
gobierno de Corea del Norte. Una de sus frases destacables al respecto fue:
“Ninguna nación extranjera, ningún hacker, debería poder cerrar nuestras redes,
robar nuestros secretos industriales o invadir la privacidad de las familias americanas,
especialmente de nuestros niños. Nos estamos cerciorando de que nuestro
gobierno integre inteligencia para combatir amenazas cibernéticas, justo como
hemos hecho para combatir al terrorismo. Y esta noche urjo al Congreso a
finalmente expedir la legislación que necesitamos para enfrentar mejor la
amenaza de ciberataques que evoluciona, combatir el robo de identidad y
proteger la información de nuestros niños”.
Actuando sobre su dicho, el presidente Obama
convocó a un congreso en la Universidad de Stanford, y por Orden Ejecutiva ha
requerido a las empresas a cooperar con el gobierno en el intercambio de
información y experiencia sobre vulneraciones de ciberseguridad. Sin embargo,
los medios han difundido información filtrada sobre el ataque de agencias de
inteligencia a una empresa holandesa fabricantes de tarjetas SIM (Subscriber
Identity Module), para obtener acceso a las comunicaciones de los usuarios de
telefonía móvil con gran impacto para estos, sus proveedores y la empresa
atacada.
Por otra parte, nuestro marco jurídico de
protección de datos personales se fundamenta en disposiciones constitucionales
que expresamente reconocen la protección de datos personales como un derecho
humano, y la legislación secundaria en la materia sigue el modelo garantista de
la Unión Europea, requiriendo consentimiento para el tratamiento de datos y la
notificación sobre vulneraciones a su seguridad.
En su tercer informe de gobierno, la
administración anterior aludió a las reformas constitucionales sobre los
artículos 16 y 73, que sentaron las bases para la Ley Federal de Protección de
Datos promulgada al año siguiente, y a las primeras recomendaciones en materia
de protección de datos para guiar a las dependencias y entidades en el
tratamiento de datos personales, además de las recomendaciones que fueron
emitidas a numerosos sistemas de datos personales. El segundo informe de la
presente administración refiere a la reforma al artículo 6 constitucional en
materia de transparencia, acceso a la información pública y protección de
datos, que constituyó al IFAI en un organismo autónomo, con personalidad
jurídica y patrimonio propios. Refiere también un mayor número de procedimientos
de protección de derechos, verificación e imposición de sanciones entre
septiembre de 2013 y julio de 2014, periodo en el cual fueron resueltos 21
casos e impuestas multas por 51 700 millones de pesos.
Sin embargo, al expedir la Ley Federal de
Telecomunicaciones y Radiodifusión el año pasado, el legislador federal hizo
una delegación de facultades a las autoridades administrativas para que
designen funcionarios que podrán requerir a los concesionarios de
telecomunicaciones metadatos de las comunicaciones de los usuarios de sus
servicios, quienes deberán realizar considerables inversiones en activos para
su conservación y resguardo, sin necesidad de una orden judicial, en contrario
a la protección contra actos de molestia que los tribunales de otros países sostienen
respecto de datos que, por hacer identificables a tales usuarios son
personales, pero en línea con la vigilancia encubierta que aquellos mismos
llevan a cabo.
Tal vez se deba a que las mayores
preocupaciones para México en materia de seguridad siguen siendo como de la
época revolucionaria, pero difícilmente se habla de ciberseguridad, ni se alude
a los casos que se presentaron en 2013, uno sobre la presunta venta del padrón
electoral en el mercado negro, otro sobre una página web en la que podían
consultarse datos de ciudadanos mexicanos, de la que incluso se dijo
inicialmente podría haber tenido como base de datos madre ese mismo padrón, los
cuales deberían ser de gran preocupación en año electoral.
Aunque las Políticas y Disposiciones para la
Estrategia Digital Nacional, en materia de tecnologías de la información y
comunicaciones y en la de seguridad de la información definen a esta última
como “la capacidad de preservar la confidencialidad, integridad y
disponibilidad de la información, así como la autenticidad, confiabilidad,
trazabilidad y no repudio de la misma”, y disponen una serie de requisitos para
las compras del gobierno a proveedores de servicios de tecnologías de
información y comunicación, pero no se ha hablado de la necesidad de colaboración
entre los sectores público y privado en materia de seguridad de la información,
y a pesar de que nuestra Ley Federal de Protección de Datos obliga a los
responsables de su tratamiento, el único ataque reconocido públicamente a la
fecha no lo fue por virtud suya, sino por la de disposiciones bursátiles.
Las dificultades políticas y sociales que
enfrenta el país sin duda ameritan gran atención, pero no deben ser motivo para
soslayar la necesidad de atender los riesgos que la vulneración de la seguridad
de la información y datos personales suponen, tampoco para actuar en
contraposición a los desarrollos legislativos ni para omitir la comunicación al
público sobre los casos que se presenten o prescindir de la colaboración entre
los sectores público y privado en su análisis y prevención.