Robo de identidad y el Instituto que no funciona

Ante la reforma que se discute en la Cámara de Diputados para entronizar constitucionalmente al Instituto Federal de Acceso a la Información y Protección de Datos (IFAI), debe recordarse que en México no sólo falla la transparencia, sino que este país es un paraíso para los ladrones de datos personales.

Divido este texto en tres partes: en el primero señalaré algunos hechos que evidencian la ineficacia del sistema de protección de datos personales adoptado en el país, en el segundo señalaré sucintamente las causas (que percibo) de esa ineficacia, para en un tercer segmento concluir con algunas recomendaciones.

I. Los hechos.

Los pasados siete y ocho de febrero, tanto La Jornada como El Universal y el semanario etcétera reportaron que México es el octavo lugar mundial en robo de identidad. Un estudio de la empresa inglesa CPP, realizado con base a una encuesta señala que nuestro país se encuentra en esa lamentable lista de naciones que no protegen adecuadamente los datos personales, debajo de Turquía y arriba de Singapur[1].

Además de la vergüenza de encontrarse en el ranking de los países con mayor cantidad de casos de robo de identidad en el mundo, resolver un problema de este tipo es un proceso lento, complicado y costoso: de acuerdo al director general de la empresa CPP, Alfonso Flores, solucionar un inconveniente por robo de identidad tarda 600 horas y cuesta casi 30 mil dólares, “incluyendo el pago de abogados y notarios”[2].

Por tanto, de acuerdo al estudio de la empresa CPP, titulado “La vulnerabilidad y los riesgos de extraviar una cartera”, en México resulta muy fácil robar la identidad de una persona y, en contraste resulta muy oneroso y tardado arreglar los problemas que causa este tipo de ilícito.

Ahora, ¿a quién corresponde atender este tipo de asuntos en México, relativos a la protección de datos personales? A cuatro instancias: el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI), la Secretaría de Economía del Poder Ejecutivo de la Unión, las Procuradurías federal y de los estados, así como a los institutos locales de transparencia. A la Secretaría de Economía y, principalmente al IFAI, les corresponde la protección de los datos personales en posesión de particulares. A los órganos garantes de la transparencia en los estados les suele corresponder la protección de los datos personales que posean las entidades públicas. A continuación referiré algunos datos sobre el IFAI que resultan útiles para hacernos un retrato completo de ese órgano federal:

·         La casa encuestadora Parametría hizo público un estudio, el pasado 26 de diciembre de 2012, que revela que 81 por ciento de los consultados desconoce qué es el IFAI: la cifra aumentó cinco puntos porcentuales de 2011 a 2012. En pocas palabras, la encuesta de Parametría revela que 4 de cada 5 mexicanos no sabe qué es el IFAI y seis de cada diez consideran que la información sigue sin ser transparente, aun con la existencia del Instituto. Quizá, como resultado de los escándalos que ha tenido el IFAI en los últimos meses, una encuesta nos mostraría un incremento en la cantidad de personas que lo conocen, aunque no por razones positivas.

·         A comienzos de 2013, el IFAI estrenó oficinas con un precio cinco veces mayor al de sus actuales cuarteles generales en Coyoacán. La Torre IFAI tiene 13 mil 453 metros cuadrados, se encuentra ubicada en Insurgentes Sur 3211, Colonia Insurgentes Cuicuilco y costó tres veces más de lo estimado: 728 millones de pesos.

·         El presupuesto 2012 del IFAI fue de 479 millones de pesos y la propuesta para 2013 fue de 573 millones de pesos, organizaciones como Impacto Legislativo ya advirtieron que esa cantidad resulta insuficiente para las nuevas atribuciones del órgano garante. Van dos ejemplos de entidades con presencia nacional, para el contraste presupuestario: el INEGI solicitó 5 mil 609 millones de pesos para 2013 y el Tribunal Electoral del Poder Judicial de la Federación (TEPJF) tendrá 2 mil 152 millones de pesos para el año que comienza.

·         Al 29 de noviembre de 2012, se tenían registradas 122 mil 704 solicitudes al gobierno federal (de información, así como de acceso y corrección de datos personales). Es decir, cada solicitud de información costó casi 4 mil pesos (sin contar el gasto en oficinas de transparencia de cada entidad de la Administración Pública Federal).

·         Si se considera que la Población Económicamente Activa (PEA) alcanzaba 51.4 millones de personas en México (al tercer trimestre de 2012), sólo 0.23 por ciento de la PEA solicitó información pública (o acceder o corregir sus datos personales).

Ante estos números, considero que es importante recordar que la reforma constitucional en materia de transparencia, aprobada en el Senado el pasado 20 de diciembre de 2012, da rango constitucional al IFAI, así como mayores facultades. La reforma, de aprobarse en la Cámara de Diputados y legislaturas locales como se avaló en el Senado, haría del IFAI la última instancia en materia de trasparencia y, de acuerdo a los deseos de los integrantes del pleno de ese órgano, también sería la última instancia en materia de protección de datos personales.

II. ¿Y dónde está el IFAI?

Con un presupuesto de más de 500 millones de pesos, el IFAI no ha logrado que en este país se protejan los datos personales en posesión de particulares. Las causas son normativas: la Ley de la materia (Ley Federal de Protección de Datos Personales en Posesión de los Particulares) tiene un proceso lento y complicado para oponerse al tratamiento de datos personales.

No es mi intención agobiarlos con referencias a artículos, pero si ustedes revisan lo establecido en los artículos 3 fracción VII, 32, 35, 45, 47 y 48 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, se percatarán de lo siguiente:

a)    Una persona hace una solicitud de acceso, rectificación, cancelación u oposición de tratamiento de datos y la empresa responsable tiene un plazo máximo de veinte días hábiles para comunicarle la determinación adoptada, a efecto de que, si resulta procedente, se haga efectiva la misma dentro de los quince días hábiles siguientes a la fecha en que se comunica la respuesta. Los plazos antes referidos podrán ser ampliados una sola vez por un periodo igual, siempre y cuando así lo justifiquen las circunstancias del caso (artículo 32 de la LFPDPPP).

b)    La persona podrá presentar una solicitud de protección de datos por la respuesta recibida o falta de respuesta del responsable (artículo 35 de la LFPDPPP).

c)    La solicitud de protección de datos deberá presentarse ante el Instituto dentro de los quince días hábiles siguientes a la fecha en que se comunique la respuesta al titular por parte del responsable.  En el caso de que la persona no reciba respuesta por parte de la empresa, la solicitud de protección de datos podrá ser presentada a partir de que haya vencido el plazo de respuesta previsto para la empresa. La solicitud de protección de datos también procederá en los mismos términos cuando el responsable no entregue al titular los datos personales solicitados; o lo haga en un formato incomprensible, se niegue a efectuar modificaciones o correcciones a los datos personales, el titular no esté conforme con la información entregada por considerar que es incompleta o no corresponda a la información requerida (artículo 45 de la LFPDPPP).

d)    Recibida la solicitud de protección de datos ante el IFAI, se dará traslado de la misma a la empresa responsable, para que, en el plazo de quince días hábiles, emita respuesta, ofrezca las pruebas que estime pertinentes y manifieste por escrito lo que a su derecho convenga (artículo 45 de la LFPDPPP).

e)    Concluido el desahogo de las pruebas, el IFAI notificará al responsable el derecho que le asiste para que, de considerarlo necesario, presente sus alegatos dentro de los cinco días hábiles siguientes a su notificación (artículo 45 de la LFPDPPP).

f)     El plazo máximo para dictar la resolución en el procedimiento de protección de derechos será de cincuenta días hábiles, contados a partir de la fecha de presentación de la solicitud de protección de datos. Cuando haya causa justificada, el Pleno del IFAI podrá ampliar por una vez y hasta por un período igual este plazo (artículo 47 de la LFPDPPP).

g)    En caso que la resolución de protección de derechos resulte favorable a la persona titular de los datos, se requerirá a la empresa responsable para que, en el plazo de diez días hábiles siguientes a la notificación o cuando así se justifique, uno mayor que fije la propia resolución, haga efectivo el ejercicio de los derechos objeto de protección, debiendo dar cuenta por escrito de dicho cumplimiento al IFAI dentro de los siguientes diez días hábiles (artículo 48 de la LFPDPPP).

Expresado brevemente: una empresa puede tomarse entre 20 y 40 días hábiles para responder una solicitud de acceso, rectificación, cancelación u oposición de tratamiento de datos y tomarse entre 15 y 30 días hábiles más para hacer efectivo lo que comunicó. Si la respuesta es insatisfactoria para la persona, podrá presentar una solicitud de protección de datos ante el IFAI, quien podrá tomarse entre 50 y 100 días hábiles para resolver. Después de resolver, si es que la decisión es favorable a la persona que reclama, el IFAI requerirá a la empresa responsable para que cumpla resolución en un plazo de diez días hábiles siguientes a la notificación o uno mayor si así lo fija el IFAI. La empresa deberá dar cuenta al IFAI del cumplimiento de la resolución, por escrito, dentro de los siguientes diez días hábiles.

Así, en el mejor de los casos, llevar un caso ante el IFAI implica 105 días hábiles entre que se hace una solicitud ante una empresa responsable y esta empresa da cuenta al IFAI de que cumplió. En el peor de los casos, puede ser mayor a 190 días hábiles.

Y esto sería así si las notificaciones del IFAI no tardan cinco meses en realizarlas, como ocurre con ciertos órganos garantes locales.

Por ello debe preguntarse, cuando se reciben llamadas a domicilios particulares ofreciendo servicios de empresas que no se conocen, se roban identidades o simplemente algunas grandes empresas ignoran olímpicamente las molestias de las personas por el uso ilegal e ilegítimo de sus datos, ¿y dónde está el IFAI?

Puntualmente, deben señalarse las fallas principales del modelo mexicano de protección de datos:

1.    Comete el error de dejar la regulación de datos sobre las sociedades de información crediticia en la Ley para Regular las Sociedades de Información Crediticia (artículo 2 fracción I de la LFPDPPP), lo que abre un boquete a un sistema certero de protección de datos, ya que es relativamente sencillo que las instancias reguladoras de las Sociedades de Información Crediticia y el IFAI, “se pasen la bolita” ante el tratamiento ilegal de datos personales.

2.    Regula de forma diversa, inequitativa e ineficiente la protección de datos personales en posesión de particulares y en posesión de entidades públicas. Valga un ejemplo, en el Primer Foro Nacional de Transparencia y Datos Personales de Salud, el doctor Héctor Raúl Pérez Gómez, rector del CUCS, explicó estas lamentables diferencias normativas con las siguientes reflexiones:

·         ¿Un hospital federal público -por ejemplo de los pertenecientes al IMSS o al ISSSTE- debe entregar expedientes médicos en diez días hábiles, pero un hospital privado puede dar acceso a datos personales hasta 70 días hábiles después de que se solicita la información y un hospital público estatal –como los adscritos a la Secretaría de Salud de Jalisco o los hospitales civiles de Guadalajara- deben entregar esos mismos expedientes en 3 días hábiles?

·         El principio de oportunidad, que resulta fundamental en el acceso a cualquier información, ¿puede ser veinte veces más amplio si los servicios médicos son privados?

·         En casos apremiantes, ¿qué utilidad tiene que la información solicitada se entregue tres meses y medio después de que se pide?

·         La creación de una ley federal para la protección de datos personales, ¿no era propicia para homologar contenidos, elementos y procedimientos respecto al acceso, rectificación, transferencia y tratamiento de expedientes médicos y/o datos sobre la salud, para cualquier entidad –fuera pública o privada-?

·         ¿Hasta qué punto estas diferencias regulatorias, en un tema tan importante como el acceso a la información de salud, son producto de una falta de cultura en materia de derecho a la información y transparencia?

3.    Esta dispersión legislativa crea 33 (sí, treinta y tres) formas distintas de tratar datos personales en posesión de entidades públicas, como si no fuera un solo derecho fundamental, sino 32 derechos distintos o si México no fuera un Estado federal, sino 32 países con cartas de derechos diversas.

4.    En contraste (y a contracorriente de las naciones más desarrolladas en esta materia), a un solo Instituto federal se le atribuye la transparencia y la protección de datos personales en posesión de los particulares, como si no fueran dos derechos fundamentales muy distintos. México debería mirar la experiencia española, donde no se comete ese error y se cuenta con una de las agencias de protección de datos más respetadas del mundo.

5.    Cuenta con un sistema de protección de datos burocrático, reactivo, lento y costoso por el nivel de asesoría que implica para los particulares. ¿En verdad se necesita que las personas vayan con la empresa que les viola sus datos personales para ver si, por buena voluntad, lo van a dejar de hacer. Resulta claro que quien elaboró la Ley para Regular las Sociedades de Información Crediticia no consideró que en México no hay un Estado de Derecho sólido como en Canadá y la gran mayoría de Europa occidental.

6.    Todo lo expresado debe considerarse para la crítica a la muy deficiente y sobrerregulada Ley de Información Pública del Estado de Jalisco y sus Municipios, misma que hasta confunde el género (información confidencial) con una de las especies (datos personales sensibles).

Por estas fallas, de dispersión normativa e impertinencia, el modelo mexicano de protección de datos no funciona.

III. Las recomendaciones.

Aunque se puede pretextar que el robo de identidad tiene sus causas en la bancarización, el otorgamiento de créditos y la cultura de falta de prevención e  ilegalidad que prevalece en México, lo cierto es que no tiene sentido contar con leyes y órganos ineficaces para atender este problema nacional de vulneración cotidiana de los datos personales.

Puntualmente, se recomiendan las siguientes medidas para mejorar el modelo de protección de datos personales en México:

1.    En el muy corto plazo, retirar las funciones de protección de datos personales a los órganos garantes de transparencia en los estados de la república, para dejarlas en manos de Institutos especializados en protección de datos. Daré un ejemplo de por qué es irracional dejar esta dos materias en manos de un solo órgano: en Jalisco, el Itei tiene una tasa superior a 80 por ciento de sujetos obligados que incumplen las normas de transparencia, ¿podrá ese órgano, proteger los datos personales en posesión de entidades públicas, si al momento sólo ha logrado que 2 de cada 10 entidades públicas cumplan con las reglas de transparencia?

2.    En vía de consecuencia, resulta urgente que se abrogue la Ley de Información Pública del Estado de Jalisco y sus Municipios, se regrese a la anterior Ley de Transparencia e Información Pública y se expida una nueva Ley Protección de Datos en Posesión de entidades públicas del Estado de Jalisco.

3.    En el corto plazo, contar una la ley única (para todo el país) de protección de datos personales, en posesión tanto de entidades públicas como de particulares, para evitar que las fugas de datos por la puerta trasera de las administraciones públicas.

4.    Pensar muy seriamente en que otro órgano federal sea el garante de la protección de datos personales en México. Las situaciones acontecidas con el IFAI hacen necesario pensar y repensar las competencias en la materia, así como contar con un Tribunal especializado que sea la última instancia nacional para atender estos temas[3].  

Estas cuatro medidas son consecuencia natural de afrontar una realidad: el actual marco regulatorio de la protección de datos no funciona en México y, de no tomar acciones urgentes, disminuirá la competitividad de Jalisco frente a otros destinos de inversión, lo que afectará la generación y conservación de empleos, así como el crecimiento económico.

Tomar las acciones correctas sólo requiere de voluntad y valor civil para hacer lo necesario.

---

[1] Avilés, Karina. "Ocupa México octavo lugar en aumento del robo de identidad, advierte experto", en La Jornada, 8 de febrero de 2013, p. 12, consultable en la dirección electrónica http://www.jornada.unam.mx/2013/02/08/politica/012n1pol

[2] "México, octavo lugar mundial en robo de identidad", en etcétera, 8 de febrero de 2013, consultable en la dirección electrónica http://www.etcetera.com.mx/articulo.php?articulo=17426

[3] Vid. Gutiérrez, Óscar Constantino. “Por un Tribunal Federal de Acceso a la Información (y un Instituto que funcione)”, en Congresistas, 16 al 31 de enero 2013, Año 12  Nº 245. P. 8.