Datos personales: retos y estrategias en la era digital

Este artículo fue publicado en Revista Industria Legal.

El Día Internacional de la Protección de Datos Personales nos recuerda la importancia que tiene el garantizar este derecho humano, incluyendo el ejercicio de los derechos que corresponden a los titulares de dichos datos personales.

Si bien en los últimos años se han llevado a cabo importantes esfuerzos para asegurar este derecho fundamental a través de la creación y reforma a distintas
leyes, hoy en día vivimos en una era digital en la que cada vez más interactuamos con nuestro entorno y con un sinnúmero de personas a través de herramientas y canales digitales, lo cual trastoca el derecho a la protección de datos personales.

A raíz de la pandemia generada por el virus SARS-CoV-2 (COVID-19) en 2020, el proceso de transformación digital experimentó una aceleración notable en cuanto al uso de datos personales para facilitar las relaciones personales y profesionales, no obstante, ello también abrió espacios para llevar a cabo transferencias de datos no autorizadas, así como diversas amenazas que afectaron a los titulares de los datos personales.

Ante ello, diversos países han modificado sus marcos regulatorios en materia de protección de datos personales, buscando atender las necesidades que presenta la era digital.

En el caso de México, desde el año 2010 se cuenta con un marco jurídico que contempla aspectos como la puesta a disposición del aviso de privacidad y obtención del consentimiento de los titulares por medios electrónicos; el uso de tecnologías que permitan recabar datos personales de forma automática; requisitos para proveedores de servicios de cómputo en la nube; así como la instrumentación de procedimientos que identifiquen y minimicen riesgos para la protección de los datos personales derivados de la implementación de nuevas tecnologías.

Estos últimos procedimientos se refieren a las Evaluaciones de Impacto a la Privacidad (EIP), también conocidas como Privacy Impact Assessment (PIA), que son
parte de los mecanismos utilizados para cumplir con el principio de responsabilidad.

Las EIP, si bien son obligatorias para los entes públicos, para el sector privado son consideradas como buenas prácticas a nivel internacional, de carácter preventivo, que permiten evaluar la necesidad y proporcionalidad de determinado tratamiento, así como la gestión de potenciales riesgos a los derechos y libertades de los titulares.

Por tanto, para evitar cualquier daño a los derechos del titular, se llevan a cabo las EIP de manera previa al tratamiento de los datos con la finalidad de disminuir los riesgos inherentes y garantizar al máximo el derecho a la privacidad de los titulares.

La utilización de estas EIP es recomendable cuando se planea llevar a cabo la aplicación de nuevas soluciones tecnológicas; tratamiento de datos a gran escala;
asociación o combinación de datos; tratamiento de datos sensibles; entre otros.

Actualmente, hay una iniciativa en el Congreso mexicano para que las EIP sean obligatorias también para el sector privado, cuando se pretenda poner en operación plataformas informáticas o aplicaciones electrónicas que impliquen el tratamiento intensivo y masivo de datos personales.

En ese sentido, es recomendable que los responsables, en vista de que probablemente se convierta en una obligación legal, empiecen a adoptar y familiarizarse con estas EIP, que, a fin de cuentas, es una medida indispensable para seguir garantizando el derecho humano a la protección de los datos personales.

Esta columna fue escrita con la colaboración de Fernando Poo.