Una Ley General que proporcione un nuevo nivel de exigencia, es el camino que debería seguir México para no rezagarse, y no porque las normativas excluyan el tratamiento de datos personales en entornos digitales, sino porque las nuevas tecnologías como la Inteligencia Artificial (IA) impondrán nuevas necesidades como las auditorías a los algoritmos que ya se llevan a cabo en Europa.
“Nos estamos quedando rezagados en esta actualidad de protección de datos personales y de la normativa que debe velar por esta situación. Los ejemplos y las materias están sobradamente mencionados: Inteligencia Artificial (IA), algoritmos, Big Data ya están encima de nosotros, el Internet de las Cosas (IoT) también es una realidad”, detalló el experto en privacidad y datos personales, Héctor Guzmán Rodríguez.
El Socio Director del área de Protección de datos Personales y Privacidad en BGBG Abogados, aclaró que las leyes en la materia, tanto de México, -cuya característica es tener un sistema dividido en particulares y sujetos obligados-, como de Argentina, Brasil, Chile, Colombia, Perú y Uruguay sí son suficientes para el entorno digital.
La definición de datos personales de estas normativas en ningún momento está limitada a datos personales que están tratados o que consten en soporte papel; es decir, no excluyen la información digital.
“Ninguna de las definiciones contenidas en las leyes que les comparto, ni México, Perú, Uruguay, Argentina, Colombia, Chile, Brasil, ninguna de ellas excluye de manera expresa, el tratamiento de datos en entornos digitales o en entornos automatizados. Ninguna de ellas”.
Sin embargo, se sigue poniendo en duda si en México la ley mexicana, y en general de Latinoamérica se tiene un nivel de desarrollo normativo capaz de proteger los datos personales en el entorno digital, explicó al participar en el foro “La realidad de la protección de datos personales en México y Latinoamérica”, organizado por el Senado de la República.
“Lo cierto es que sí lo son (capaces), y lo son por una gran virtud que comparten todas estas leyes, incluyendo la mexicana, que incluso diría tiene una virtud al respecto más grande, la generalidad de sus definiciones, porque no incurre en definiciones demasiado elaboradas, que permitan sostener o argumentar, o leguleyizar”.
El experto añadió incluso que el reglamento mexicano es el único que ofrece la definición de entorno digital, pero las leyes de Perú, Brasil y Argentina también hacen referencia o tienen alguna mención a lo digital.
No obstante, para el especialista la manera en la que Brasil plantea la protección de datos en su nueva Ley General de Protección de Datos, que no da lugar a dudas de que solamente está destinada al mundo físico, al incluir expresamente a los medios digitales, podría indicar que la región está lista para esto.
Por otro lado, Guzmán Rodríguez advirtió que uno de los aspectos en los que sí se queda corta Latinoamérica es cómo proteger a los ciudadanos respecto al tratamiento de los datos por algoritmos, lo que será el futuro de la regulación.
Aunque expuso que en México el artículo 112 del Reglamento de la ley Federal de Protección de Datos Personales en Posesión de Particulares hace mención al tratamiento de datos en decisiones sin intervención humana valorativa, “es el artículo más incumplido del reglamento de nuestra ley mexicana”.
“No he leído aviso de privacidad alguno, ni aviso de uso de algoritmos en ningún lugar. Por ejemplo de empresas que les prestan dinero solamente metiendo datos de Facebook. Yo no he leído ningún aviso sobre uso de algoritmos ni mucho menos la información que tiene una persona para pedir una rectificación de sus datos cuando tiene una decisión desfavorable por parte de un algoritmo”.
Tampoco he escuchado, dijo, que se le informe a las personas que tienen derecho a solicitar la reconsideración de la decisión adoptada por un algoritmo, una vez que ha rectificado sus datos personales. “Quizá sea el derecho de datos personales más escondido de la normativa mexicana”.
Por ello, en su opinión, el artículo 20 de la ley de Brasil -basada en el estándar del reglamento europeo- es el futuro de lo que será la regulación y la protección de los datos personales y quizá uno de los retos mayores que tienen hoy en día las autoridades de protección de datos.
Precisó que dicho artículo concede el derecho de revisión a los titulares de datos cuando sean sometidos a decisiones tomadas por algoritmos, y además establece la obligación de transparencia e información en el uso de estos algoritmos, que llevaría hacia una auditoría a un algoritmo.
“Si por cualquier motivo, incluso secreto profesional, secreto industrial, propiedad intelectual, el responsable de los datos decide no informar que está utilizando un algoritmo de manera expresa, se establece que la autoridad nacional podrá realizar una auditoría para verificar los aspectos discriminatorios en el tratamiento automatizado de datos personales”.
Esto es una de las tareas futuras de las autoridades de protección de datos en todo el mundo, pues en los próximos trabajos profesionales se realizarán auditorías a los algoritmos, para evitar que sean discriminatorias o sean alimentados con instrucciones o parámetros discriminatorios que originen resultados discriminatorios, concluyó.
C$T-EVP