Este experto en privacidad está a caballo entre España y México, dos países en los que ejerce su profesión de abogado especializado en protección de datos. Héctor Guzmán hace para LexGoApp un balance de los diez años de la entrada en vigor de la ley de protección de datos mexicana y analiza el debate generado entre salud y privacidad por la pandemia del coronavirus.
También nos señala que “un país como México, vecino físico y digital de EEUU, no puede reenviar datos a este último país al amparo de Privacy Shield, porque este marco ya no existe. Estamos a la espera de resoluciones, soluciones y de las exigencias que se están adoptando en la UE y en EEUU, de las cuales difícilmente como México será parte (como muchos otros países, en todo caso)”.
Desde su punto de vista, un país como México ofrece indudables posibilidades de negocio a los despachos españoles. “No tienes que ser un gigante para desembarcar al otro lado del Atlántico. De los 15 despachos españoles con mayor facturación en 2019, al menos 5 de ellos tienen una sucursal en México. Otras firmas que no están en ese Top 15 han desembarcado o cerrado alianzas en este país”.
Su perfil :
Nuestro interlocutor es socio y director del área de protección de datos personales y privacidad en BGBG Abogados despacho mejicano.
Este profesional está certificado CIPP/E (Certified Information Privacy Professional / Europe) de la International Association of Privacy Professionals (IAPP); miembro de la Academia Mexicana de Derecho Informático (AMDI), del Colegio de Abogados de Madrid (ICAM), de la Asociación Profesional Española de Privacidad (APEP) y colaborador del Observatorio Iberoamericano de Protección de Datos (OIPRODAT).
Al mismo tiempo, fue coautor ganador del Premio Protección de Datos Personales de Investigación (Accésit- 2014) otorgado por la Agencia Española de Protección de Datos, y Premio Investigación en Protección de Datos (2018) otorgado por la Agencia Vasca de Protección de Datos.
Este mes de junio se cumplen los diez primeros años de la Ley de Privacidad mexicana..¿Qué balance puede hacernos?
Creo que el balance es positivo, con resultados mejorables en aspectos específicos de aplicación de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPD).
Sin duda, podemos afirmar que México cuenta con bases solidas para continuar el desarrollo de una cultura de protección de datos personales, que comenzó con la asimilación y ejercicio de un derecho que hace precisamente diez años ni siquiera era considerado como tal.
A día de hoy, cada vez son más los ciudadanos que exigen el cumplimiento de esta normativa, al tiempo que cada vez más organizaciones de todo tipo y tamaño que buscan asesoría legal y tecnológica para cumplir los principios y obligaciones establecidos en la LFPD.
Por otro lado, creo que la autoridad mexicana, el INAI, debe ser reforzada con mayor presupuesto y cambios en sus competencias para ampliar sus capacidades de aplicación y sanción de la LFPD.
México es un país muy grande y es necesario llegar a todos sus rincones, el INAI necesita llegar más lejos; además, México no está exento de empresas que al amparo de su ubicación fuera de su territorio buscan que esta ley no les resulte aplicable.
Los diez años de la LFPD coinciden que muchos eventos (y amenazas) en torno a la privacidad y la protección de datos personales; soy optimista y creo que ambos derechos tendrán cada día mayor importancia.
¿Cómo está influyendo en la privacidad, las medidas que gobiernos como el mexicano han tomado para frenar el coronavirus?
Aunque los debates sobre la “prevalencia” del derecho a la salud sobre el derecho a la protección de datos (o viceversa) fueron menos “intensos” en México que en otras partes del mundo, sin duda existe un nivel de conocimiento y concientización que me permitió comprobar tres cosas:
En primer lugar, un interés creciente de las empresas por adoptar medidas de cumplimiento para tratar adecuadamente datos sensibles en el marco de medidas de control o mitigación de contagios del coronavirus, conocidos como “filtros de supervisión”,
Al mismo tiempo, la existencia de un nivel de exigencia igualmente creciente por parte de empleados y visitantes a centros de trabajo en los que se han adoptado “filtros de supervisión” en los que se recaban datos sensibles, incluyendo la temperatura corporal.
Por último, la acción directa del INAI para atender consultas y denuncias sobre tratamientos ilícitos de datos personales en el marco de la pandemia y el lanzamiento del micrositio “Datos Personales Seguros COVID-19 “ (https://micrositios.inai.org.mx/covid-19/).
Los denominados “filtros de supervisión” fueron concebidos por el Gobierno mexicano como puntos de control para detectar personas que presentan síntomas compatibles con el COVID-19, que debería ser evaluadas por profesionales de la salud y a las que, en determinadas circunstancias, se impide el ingreso a centros de trabajo o negocios.
¿Cómo influye el modelo de privacidad español en un país como México ¿realmente hay una relación directa a nivel legislativo?
Sobre esta influencia, siempre recurro a una prueba en primer lugar: el acrónimo “ARCO”.
España desarrolló el concepto de los derechos ARCO durante los años de vigencia de la LOPD, sin que tal concepto estuviese previsto en ningún cuerpo normativo; simplemente fue la manera de conocer y dar a conocer un conjunto de derechos (acceso, rectificación cancelación y oposición).
Pues bien, cuando en México se publicó el Reglamento de la LFPD (2011), el legislador incluyó como concepto jurídico a los “Derecho ARCO” (artículo 2, fracción II), y su significado es el mismo que el previsto en la anterior LOPD española.
Aunado a lo anterior, los conceptos de “responsable” y “encargado”, así como varios principios como el de “calidad” y “proporcionalidad” que son regulados por la normativa mexicana, tienen influencia directa de la normativa española previa al RGPD.
Por lo demás, no debemos olvidar que el resto de las fuentes de la normativa mexicana incluyen a la normativa europea previa al RGPD, al modelo de “privacidad” de la APEC y en menor medida a la normativa de los EEUU.
En este debate abierto que hay ahora entre la UE y EEUU por Privacy Shield, ¿Qué papel puede jugar México realmente?
En este momento, creo que a México le toca un papel como “afectado” y, además, como espectador.
Por un lado, México sigue siendo, a ojos de la UE, un país tercero que no brinda un nivel de protección equivalente y, por lo tanto, el país carece de una Decisión de la Comisión Europea que lo considere un destino seguro para recibir datos provenientes de la UE sin mayores requisitos.
Por lo anterior, las transferencias de datos desde la UE hacia México se tienen que hacer mediante las garantías adecuadas a que se refiere el artículo 46 del RGPD, donde las cláusulas contractuales tipo (o SCC por sus siglas en inglés), son sin duda la alternativa más socorrida.
Siendo lo anterior, y más allá de la invalidación de Privacy Shield, los criterios de validez de las SCC que ha marcado el TJUE para efectuar transferencias hacia terceros países como México, usando ese instrumento en lo particular, ponen en riesgo la legalidad de esas comunicaciones, dado que es posible que, en determinados casos, y bajo tales criterios, nos encontremos con que una transferencia hacia México no cumple con los requisitos del RGPD y/o de la Sentencia Schrems II.
Por otro lado, existen casos en que empresas mexicanas que actúan como encargados de tratamiento de responsables ubicados en la UE han subcontratado parte de sus servicios con empresas americanas que estaban adscritas a Privacy Shield y que, de la noche a la mañana, se encuentran con que estos subencargados ya no pueden recibir datos provenientes de la UE de manera legal, porque el sistema que sustentaba la transferencia legal hacia EEUU ha sido declarado inválido. ¿En qué posición quedan los encargados mexicanos, a quienes se exige cumplir con diversas disposiciones del RGPD, incluyendo las relativas a la subcontratación de servicios?
Entonces, al final del día nos encontramos con que un país como México, vecino físico y digital de EEUU, no puede reenviar datos a este último país al amparo de Privacy Shield, porque este marco ya no existe. Estamos a la espera de resoluciones, soluciones y de las exigencias que se están adoptando en la UE y en EEUU, de las cuales difícilmente como México será parte (como muchos otros países, en todo caso).
¿Qué oportunidades de negocio existen en México a nivel jurídico para los abogados españoles en estos momentos?
Si la memoria no me falla, de los 15 despachos españoles con mayor facturación en 2019, al menos 5 de ellos tienen una sucursal en México.
Otros despachos españoles que no están en ese “Top 15” también han desembarcado en México o cerrado alianzas que les permiten tener presencia de marca en este país.
Sin lugar a dudas, las oportunidades de negocio existen y seguirán existiendo en México, y el mercado demuestra que no tienes que ser un gigante para desembarcar al otro lado del Atlántico.
¿Cómo ve el debate entre salud y protección de datos? ¿No cree que se tiende a la debilitación de la privacidad en favor del bienestar general?
Creo que la adopción de acciones, medidas y tecnologías necesarias para hacer frente al COVID-19 generan la apariencia de que el bienestar general ha debilitado a la privacidad, pero lo cierto es que detrás de todas esas medidas existen análisis y evaluaciones que, en muchos casos, permiten asegurar que la privacidad de las personas está protegida.
Esto no significa que todas las acciones, medidas y tecnologías hayan adoptado la privacidad por diseño o por defecto, incluso algunas pueden considerarse invasivas. Sin embargo, creo que el nivel de debate, análisis y protección que en diversas partes del mundo hemos podido ver, permite confiar en que la privacidad no ha cedido su lugar al “bienestar general”. Incluso, me atrevo a decir, muchas personas se han dado cuenta que ese bienestar también está conformado por nuestra privacidad.
En todo caso, y esto nunca debemos pasarlo por alto, existen controles administrativos y judiciales que los ciudadanos podemos poner en acción su consideramos que una tecnología o medida “anti-COVID” vulnera nuestra privacidad o no protege nuestros datos personales, pues los controles no sólo existen antes de adoptar medidas, sino también durante su operación.
¿Qué relación existe entre la normativa mexicana y el RGPD europeo, es posible que la legislación de este país vaya tendiendo a la normativa europea?
Tomando en cuenta la influencia de la normativa europea anterior el RGPD y el innegable impacto que este reglamento ha tenido en todo el mundo, creo que la tendencia será (y debe ser) hacia la adopción del modelo europeo, con aspectos prácticos refinados que permitan hacer más funcional (y menos cara) la adopción de las medidas de cumplimiento que hoy en día complican a empresas pequeñas y medianas cumplir con estándares de protección del tipo que marca el RGDP.
No podemos decir que exista una relación directa entre la LFPD mexicana y el RGPD, pues ni la una ni el otro reconocen de manera expresa la aplicación de disposiciones extranjeras para responsables, encargados o titulares de datos personales ubicados en sus correspondientes territorios.
Sin embargo, no olvidemos que el RGPD sí tiene una vocación extraterritorial, al reclamar su aplicación y observancia para cierto tipo de actividades de tratamiento efectuadas por responsables o encargados que no están establecidos en la UE.
Por otro lado, y en términos estrictamente prácticos, el principio de responsabilidad proactiva del RGPD (accountability) ha dado lugar a la observancia internacional de este reglamento, porque los responsables y encargados de la UE se han dado a la tarea de demandar el cumplimiento de sus disposiciones en el marco de relaciones con otros responsables y encargados ubicados en “terceros países”, ajenos a la UE.
En menor medida, también encontramos responsables de terceros países (como México) que están cumpliendo con el RGPD por aplicación de su artículo 3.2 o que, como consecuencia de decisiones corporativas, adoptan acciones de cumplimiento de los estándares que marca el RGPD para cumplir con diversas disposiciones nacionales que son menos exigentes que el Reglamento.
¿Qué consejos ofrece a los abogados/as que leen esta entrevista para mejorar la privacidad de su despacho y clientes?
La ciberseguridad no es un tema que sólo ocupe o esté relacionado con empresas “tecnológicas”, con bancos, hospitales o con el comercio electrónico. Cualquier persona, en actividades domésticas o profesionales, debe adoptar medidas para proteger su información y la información de sus clientes en el ámbito digital.
Sin importar su tamaño, cualquier despacho debe adoptar un Sistema de Gestión de Datos Personales, pues todos nosotros tratamos este tipo de información para operar y para prestar nuestros servicios.
Debemos también adoptar y reforzar nuestros programas de capacitación (formación) de todos nuestros colaboradores, para hacerlos participes de los beneficios que conlleva la adopción de medidas de ciberseguridad, no sólo para el despacho donde trabajan, sino para sí mismos en el resto de sus actividades en línea.
En suma, debemos asumir de una vez por todas (y la pandemia que estamos atravesando se ha encargado de subrayarlo), que vivimos en un mundo hiperconectado que demanda la adopción de medidas de seguridad para proteger información propia y de terceros, vital para nuestra seguridad, para nuestro negocio y para nuestra reputación personal y corporativa.
Por @LuisjaSanchez, Periodista Jurídico.
