Bajo escrutinio el flujo internacional de datos personales

MÉXICO, D.F. (apro).- El movimiento transfronterizo de datos personales para empresas multinacionales deberá tener mayor respeto por la privacidad de sus titulares, si esos esquemas no quieren quedarse en vilo.

Esos mecanismos han sido víctimas de espionaje masivo por parte de Estados Unidos y ha plantado la semilla de la desconfianza en la Unión Europea (UE) y en la Asociación Asia-Pacífico (APEC), de la cual México es miembro.

En 2012, los 21 miembros de APEC completaron el diseño del Sistema Transfronterizo de Datos Personales (CBPR, por sus siglas en inglés), aplicable a esa región.

Ese mecanismo se basa en el aval de las políticas de privacidad empresariales por un auditor independiente, en conjunto con reguladores gubernamentales.

“El rol crítico de las leyes actuales de desafiar la legitimidad de algunos modelos de negocios y prácticas está bajo amenaza.

“Los intereses corporativos buscan asegurar que las leyes de privacidad no limiten su habilidad de usar datos personales para propósitos comerciales secundarios sin el consentimiento expreso y para mover datos alrededor del mundo sin restricciones por la ausencia de una fuerte protección de la privacidad en algunas jurisdicciones”, señala Nigel Waters, miembro del Consejo de la Fundación Australiana para la Privacidad.

El especialista identifica un contraste entre los esfuerzos por alejar la protección de la privacidad del control individual hacia los intereses empresariales y el crecimiento sostenido de fuertes leyes nacionales de privacidad.

En junio de 2013, la prensa mundial empezó a revelar las intimidades de la vigilancia indiscriminada ejecutada por varias agencias de seguridad de Estados Unidos, a partir de información entregada por el estadunidense Edward Snowden, excontratista de la Agencia Central de Inteligencia y actualmente asilado en Moscú.

Esa intromisión equivale al quebrantamiento del programa Puerto Seguro que gestionan desde 1998 EU y la UE y que permite a más de tres mil corporaciones estadunidenses el traslado de datos personales de ciudadanos europeos, con la creencia de que ese movimiento se apega a los principios de seguridad parecidos a los de la directiva europea. Además, supone también una amenaza para el CBPR.

Ese sistema se basa en la prevención del daño, el aviso de utilización de datos, limitaciones de la recolección, usos de la información personal, integridad de esa información, medidas de seguridad, corrección y responsabilidad.

Las políticas de protección deben ser validadas por agentes de rendición de cuentas reconocidos por la APEC. Hasta ahora, sólo el programa estadunidense TRUSTe ha sido aceptado como tal.

Además, instituye un Acuerdo de Cooperación Transfronteriza en Materia de Privacidad para garantizar que las economías de APEC cumplen cada uno de los estándares del programa. El acuerdo establece un marco jurídico para la cooperación regional en el respeto a las leyes de privacidad.

EU se convirtió en julio de 2012 en el primer participante formal del CBPR y nombró a la Comisión Federal de Comercio (FTC, por sus siglas en inglés) como su regulador.

La APEC anunció el 16 de enero de 2013 que México se había convertido en el segundo participante, seguido por Japón.

Canadá adoptó el esquema luego de que el Panel Conjunto de Supervisión de esa nación publicó el 1 de abril su reporte de hallazgos que consideró favorable la aplicación canadiense. Canadá pidió la adhesión el 7 de agosto de 2014.

“La actual falta de una cultura de protección de datos entre usuarios o consumidores y las empresas, es un factor que tomará años mejorar. Pocas empresas mexicanas tienen incentivos para adoptar esquemas de autorregulación, pues el nivel de conciencia de los titulares de los datos sobre los derechos de protección es muy bajo”, comenta a Apro Cédric Laurant, fundador de la organización promotora del derecho a la privacidad “Son Tus Datos”.

Se espera que al menos 15 de los 21 miembros de APEC hayan suscrito el CBPR a finales de 2015.

Rezago

Los Parámetros para el correcto desarrollo de los esquemas de autorregulación vinculante, publicados por el Instituto Federal de Acceso a la Información (Ifai) en enero de 2013, definen el contenido mínimo de los esquemas de autorregulación, el procedimiento de certificación y las normas para las agencias independientes de certificación previstas para supervisar esos esquemas. Además, equiparan al certificador con el agente de rendición de cuentas en el sistema CBPR.

El artículo 44 de la Ley de Protección de Datos estipula la institución de esos esquemas, como códigos de ética o de buenas prácticas y sellos de confianza.

Los requisitos versan sobre la definición de cuáles actividades de procesamiento de datos pueden utilizarse y la ejecución de mecanismos para permitir el monitoreo interno y externo de procesamiento de información.

Esos mecanismos deben también facilitar el ejercicio de titularidad de datos, como el acceso, la rectificación, la eliminación y la denegatoria de permiso de uso.

Esos esquemas deben ser revisados cada dos años y contar con un administrador designado para manejar la aplicación y revisión del esquema, así como la relación con el Ifai.

Sin embargo, el Ifai y la Secretaría de Economía no se han puesto de acuerdo sobre la ejecución de los parámetros.

Respecto a las transferencias transfronterizas, la ley mexicana diverge de los principios de la Directiva Europea de Protección de Datos, pues en vez de requerir que los controladores de datos garanticen que el país receptor provea de un nivel adecuado de protección a la hora de transferir la información, la legislación mexicana responsabiliza al exportador de los datos y del cuidado de éstos.

La Comisión Europea (CE), el órgano administrativo del bloque, considera a México como una jurisdicción que no asegura un nivel adecuado de protección de la privacidad.

Desconfianza

En la UE, las Reglas Vinculantes Corporativas (BCR, por su acrónimo en inglés) han sido elaboradas para regular ese flujo y definir las políticas empresariales sobre la transferencia de datos para garantizar protecciones adecuadas de esa información trasladada de la UE a terceros países, sin violar la Directiva Europea.

Una diferencia entre EU y la UE gira en torno a si las autoridades estadunidenses de seguridad deben tener acceso a los datos personales de ciudadanos europeos transferidos a empresas estadunidenses bajo el programa Puerto Seguro.

Las partes han mantenido negociaciones de enmiendas desde 2013, sin que hayan llegado a un acuerdo.

La CE publicó en noviembre de 2013 una lista de 13 requerimientos que debían cumplirse para actualizar el programa Puerto Seguro.

Entre ellos figuran el aviso al Departamento de Comercio de EU sobre contratos con subcontratistas, incluyendo servicios en la nube que involucrarán el traslado de datos personales y disposición pública de información sobre las salvaguardas de privacidad incluidas en tales contratos, el tratamiento de preocupaciones respecto a mecanismos alternativos de resolución de controversias (ADR, por sus siglas en inglés) y mayor monitoreo de los proveedores de esos servicios.

Asimismo, planteó auditorías aleatorias de autoridades estadunidenses para garantizar que las empresas cumplen sus políticas de privacidad e investigación de cumplimiento inexistente del programa Puerto Seguro y la inclusión de políticas de privacidad sobre el grado en el cual la ley de EU permitiría a sus autoridades acceder a datos transferidos bajo el programa.

Puerto Seguro ya había recibido críticas por cuestiones de transparencia y solución de controversias.

De hecho, ese esquema está en el centro de la demanda colectiva interpuesta el 9 de abril en Austria por un grupo de 25 mil usuarios en contra de la red social Facebook por uso ilegal de sus datos personales.

Los acusadores también presentaron el caso ante el Tribunal de Justicia de la Unión Europea (TJUE), después de que las autoridades de privacidad irlandesas declinaran el inicio de una investigación sobre las supuestas violaciones de la privacidad de Facebook.

La decisión del TJUE asomaría en 2016 y podría tener fuertes repercusiones para las compañías tecnológicas estadunidenses que operan en Europa.

En su artículo ¿Cuán seguro? El futuro del Programa EU-UE Puerto Seguro, publicado el 31 de marzo último en el blog de la firma estadunidense Proskauer Rose LLP, Michelle Gyves recomienda a las compañías considerar una autoevaluación de cumplimiento con sus políticas de privacidad y requerimientos de protección aplicables.

Además, la experta, asociada al Departamento de Trabajo y Empleo de ese despacho, sugiere examinar opciones respecto a los ADR y considerar el impacto de un requerimiento de ADR gratis para titulares de datos que buscan utilizarlos y empezar a identificar contratos de venta que contienen (o deben incluir) estándares de privacidad para garantizar que cumplen con los requisitos de Puerto Seguro y para evaluar la viabilidad de revelar esas provisiones si ese requerimiento es aplicado.

El 7 de abril la FTC llegó a un acuerdo con las empresas American International Mailing Inc. (AIM) y TES Franchising LLC, a las cuales acusó de fingir el cumplimiento de Puerto Seguro.

En su demanda, el organismo alega que ambas engañaron a los consumidores sobre la naturaleza de sus procedimientos de resolución de controversias, pues declaraban que las diferencias se abordarían con una agencia de arbitraje, tendrían lugar en Connecticut y los costos se dividirían entre el cliente y la compañía.

El expediente 152 3051, de tres páginas, indica que AIM, empresa dedicada al transporte de correo, paquetes y carga, carecía de certificación desde 2010.

Mientras el pliego 152 3015, de cinco páginas, revela que TES –empresa de asesoría de negocios a dueños de franquicias—adolecía de certificación desde 2011.

La FTC publicó ambos acuerdos en el Registro Federal y puso de plazo el 7 de mayo para recibir comentarios del público sobre ellos.

La actuación del regulador es un intento por fortalecer la credibilidad del programa ante sus pares europeos y despejar el camino hacia un acuerdo para su actualización.

Para poder participar en el programa, una empresa debe autocertificarse anualmente ante el Departamento de Comercio de EU sobre el cumplimiento de principios como aviso sobre transferencia de datos, opción, seguridad, integridad de la información, acceso y cumplimiento del marco legal. Además, debe exhibir un sello de certificación en su web.

Para Waters, los frutos de CBPR demorarán, pues es necesario medir su aplicación.

“Los consumidores sólo estarán satisfechos si tienen acceso fácil a procesos de remediación efectiva para las violaciones a la privacidad y que no toman un tiempo extremadamente largo. Pero la experiencia entre las jurisdicciones no sienta un precedente halagüeño”, advirtió.

Comentarios