Los motivos de preocupación y las causas de indignación surgidas por la reciente promulgación de las reformas y adiciones a la Ley Federal de Telecomunicaciones y Radiodifusión son múltiples y variados. Son varias ya las preguntas que se formulan ante los juzgadores del Poder Judicial de la Federación y ante la Suprema Corte para determinar cuáles de las normas bajo escrutinio deberán ser eliminadas de nuestro sistema normativo por presentar conflictos insalvables con el marco constitucional. Muy probablemente el caso más notable sea el de la presunción, establecida en el segundo párrafo del artículo 180 bis, y que puede situar a cualquiera ante la imposibilidad de probar que un número que aparece asociado a su nombre le es no sólo ajeno sino desconocido.
Por el número de cuestionamientos a esta reforma el presente escrito se circunscribe exclusivamente a una de las causas para considerar inconstitucional el padrón de usuarios recién creado. El mismo ejercicio deberá realizarse con los otros principios para muy probablemente descubrir que son muy pocos los aspectos de esta reforma que puedan continuar vigentes.
Adentrarnos en la finalidad del flamante Padrón Nacional de Usuarios de Telefonía Móvil1 significa abordar una serie de enfoques y análisis que si bien todos tienen que ver con el propósito, objetivo o finalidad de esta creación normativa requiere analizarse desde ópticas diversas que habrán de permitir al lector formarse una idea más clara sobre lo que se busca con este cambio legislativo y cuáles son las probabilidades de que se logre dicho objetivo.
Los principios para la protección y garantía de la protección de datos personales, comúnmente aceptados guían la forma en la cual los Estados deben actuar para proporcionar a sus habitantes una adecuada salvaguarda de este derecho fundamental. Bastaría con mostrar que la reciente reforma legislativa se aparta de uno de los principios para poner de manifiesto la desviación del nuevo material normativo del marco constitucional. Primeramente, debe tenerse presente que uno de los principios torales de la protección de datos personales es precisamente el de finalidad y que será el único que se aborde en este estudio.
Ilustración: Patricio Betteo
El derecho a la protección de datos personales
Los orígenes del derecho a la protección de datos personales se encuentran en el continente europeo y, en buena medida, en las discusiones del inicio de la segunda mitad del siglo pasado en torno a los riesgos que representaba el desarrollo de la informática y a las variadas potencialidades que se alcanzaban a vislumbrar. No es de extrañar que uno de los sitios donde los debates más encendidos tuvieron lugar fuera Alemania dadas las dramáticas experiencias vividas por sus pobladores debido al manejo de los registros de población del régimen nazi. Probablemente por ello surgen precisamente en ese país los primeros desarrollos normativos.2
En sus albores el término -protección de datos personales- no encontró gran aceptación pues se le achacaba un cierto fetichismo respecto a la información o al dato. No obstante, su sencillez y facilidad de traducción permitió que su uso se expandiera, al tiempo que los estudios doctrinarios mostraban como la protección no era del dato en sí, sino que la información merecía protección dado que en esa forma se protegía la dignidad humana. Para dejar sentada con claridad la finalidad de estos textos normativos el Consejo de Europa al adoptar el Convenio 108 lo denominó Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal.3
Vale la pena mencionar el convenio 108 por tratarse del primer y hasta ahora único documento internacional jurídicamente vinculante, al tiempo de contemplar acertadamente que el tratamiento de la información referente a las personas con el empleo de las nuevas tecnologías de información y comunicación no repara en fronteras geográficas ni políticas.
Poco tiempo después, el Tribunal Constitucional Federal alemán vino a configurar conceptualmente un derecho fundamental con atributos que superaban a aquellos de los derechos a la privacidad, a la intimidad o a la honra de la persona física. Ese derecho fundamental fue precisamente el de la protección de datos personales como el “derecho a la autodeterminación sobre la información personal”.4 Este cambio de paradigma tiene como eje el que el Estado debe garantizar a toda persona la facultad de decidir por sí misma sobre el uso y la divulgación de los datos que a ella y sola a ella le conciernen. Hoy día, el Reglamento General de Protección de Datos Personales de la Unión Europea5 tiene como fundamento conceptual precisamente el de la protección de la autodeterminación informativa.
Tras vencer algunas dificultades iniciales se ha logrado aceptar que la protección de los datos personales no significa resguardarlos y no permitir su empleo puesto que cada día cobran mayor importancia para una serie de desarrollos en materias tales como el desarrollo de la medicina, el descubrimiento y fabricación de vacunas y documentos, los estudios y análisis sociológicos y económicos. Pero, para poder realizar un tratamiento adecuado de los datos personales es menester que su uso se ajuste a una serie de previsiones, prevenciones y salvaguardas a cargo de quien efectúa el tratamiento como responsable de los datos personales de terceras personas. El responsable del tratamiento de los datos personales deberá demostrar que el uso dado a la información que atañe a terceras personas ha estado sujeta en todo momento, desde el acopio de la misma hasta su eventual destrucción, a la normativa de protección e informada y alineada a los principios que orientan el empleo de dicha información cuenta habida de que su utilización entraña la dignidad de aquellas personas a quienes se refiere la información en cuestión.
El principio de finalidad
A menudo la finalidad queda comprendida dentro del Principio de Calidad.6 Si bien la finalidad es un principio que alinea y acota cualquier tratamiento (uso o empleo) de datos personales, tratándose del establecimiento o creación de bases de datos se convierte en el principio rector. Antes de acopiar la información debe definirse con toda especificidad, claridad y concreción con qué propósito es que se van a recabar los datos personales.7 Las bases de datos personales no se establecen sólo para hacer una colección de datos concernientes a un grupo de personas, esta información debe estar enderezada a un diseño previo y con base en él es que se definirá qué datos son los que precisa esa base de datos. El establecimiento de objetivos, metas, finalidades y propósitos para la base de datos personales será el criterio de inclusión de aquellos que son necesarios o de exclusión de los redundantes, ociosos o prescindibles. La finalidad establecida permitirá decidir la legitimidad o no de requerir o recoger un dato personal determinado, al mismo tiempo dicha finalidad deberá explicitarse con la mayor precisión posible. Finalidades vagas o no explícitas vulneran el derecho fundamental a la protección de datos personales al provocar incertidumbre respecto a la legitimidad o no de la recolección de ciertos datos ya que el acopio de información de carácter personal solamente lo puede realizar la autoridad cuando el dato que se allega es necesario para la consecución del fin que busca la base de datos personales de la cual es responsable.
La colección de información debe hacerse de datos personales adecuados, pertinentes y no excesivos en relación con las finalidades definidas, hechas explícitas y debidamente comunicadas a las personas titulares de los datos personales, de lo contrario su legitimidad resulta al menos discutible.8
El derecho fundamental a la protección de datos personales y la reforma a la Ley Federal de Telecomunicaciones y Radiodifusión9
Para poder analizar o contrastar las recientes reformas mediante las cuales se crea el Padrón Nacional de Usuarios de Telefonía Móvil, a la luz del derecho fundamental a la protección de datos personales, no basta con un simple cotejo de lo que literalmente señala el párrafo segundo del artículo 16 constitucional,10 sino que se requiere tomar en consideración la normativa vigente que desarrolla en qué consiste ese derecho fundamental entre otros aspectos cuáles son los principios que lo rigen contenidos en otros cuerpos normativos.11 Existe un amplio consenso no sólo en el orden jurídico mexicano, sino en el derecho comparado respecto a los principios que conforman este derecho fundamental y existe consistencia en cuanto al papel rector del “principio de finalidad” por lo que corresponde ahora establecer cuál es la finalidad del recién creado padrón de usuarios de telefonía móvil para a la luz de dicha finalidad revisar si los datos personales hoy establecidos en la LFTyR12 son o no constitucionales.
La finalidad del Renaut
Si bien es cierto el nombre de la base de datos personales pareciera sugerir que la finalidad consiste en realizar el acopio de los datos de los usuarios de telefonía móvil y el análisis de otros documentos, tales como la iniciativa de ley presentada el 5 de diciembre de 201913 en la Cámara de Diputados siembran algunas dudas al respecto: “La intención de llevar un registro de los aparatos terminales y de los usuarios …” ; atender “… la problemática actual en la utilización de las líneas de telefonía móvil dentro de los centros penitenciarios (sic), encuadrándolos con la calidad de “sospechosos” al no estar acreditada su obtención mediante algún medio legal”. Por su parte el dictamen de Comisiones Unidas del Senado14 apunta entre otros los siguientes objetivos: “…buscar inhibir en su totalidad (sic) los principales (sic) delitos que aquejan a la sociedad mexicana, mismos que se cometen a través de la utilización de equipos móviles como herramientas fundamentales para la realización de ilícitos…”; “…la función principal de la elaboración del registro tiene como objetivo la identificación plena y certera de los titulares de las líneas de comunicación … garantizar la seguridad pública, la seguridad nacional y una efectiva procuración de justicia …”15
Este último objetivo es por demás ambicioso y no sólo me refiero a la parte final: “garantizar la seguridad pública y una efectiva procuración de justicia” que a ojos vista excede con mucho las posibilidades del registro, basta considerar la más modesta finalidad la “identificación plena y certera de los titulares de las líneas de comunicación”. De ser este el objetivo bien podríamos ahorrarnos el esfuerzo y darlo por incumplido de una buena vez. Partamos de lo más elemental, contrastar el número de líneas telefónicas frente al de pobladores.
La información de finales de 2020 arroja que el número de líneas de telefonía móvil en México alcanzó los 126,014,528 cifra que supera apenas a la población del país consignada en el censo del último año con 126 014 024.16
La primera conclusión que arroja este dato es la imposibilidad de parear usuarios y líneas dado que muchos usuarios disponen de más de una línea. Adicionalmente, el propio diseño del registro contempla que en muchos casos los titulares de una multiplicidad de líneas son personas morales de donde se colige la muy poca probabilidad de ubicar al usuario final. Rotación de personal, compartir el uso de una línea por diversos empleados más muchas otras situaciones que seguro paso por alto el legislador vuelven altamente improbable el cumplir el objetivo y en contrapartida establecen una “solución” muy poca afortunada al solicitar los “datos personales” (incluidos los biométricos, aún sin definir) del representante legal de la persona moral. Imagino la avalancha de amparos de representantes legales de empresas que proveen líneas telefónicas como herramienta de trabajo a sus empleados y cuyos datos personales no guardan relación alguna de causalidad con la finalidad del padrón. Probablemente se hubiese obtenido mayor información relevante para el objetivo establecido mediante la exigencia de contar los negocios con un protocolo para entregar equipos de telefonía móvil a su personal y no agrupar datos personales —incluidos los biométricos aún por definir— sin sentido ni propósito alguno.
El diseño de un padrón de esta naturaleza exige de parte de las autoridades el garantizar la seguridad de los datos aportados o recabados de la mayor parte de la población. A juzgar por la experiencia previa del Renaut y dado que no se señala ningún mecanismo ni sistema que salvaguarde los datos personales de la población. Base de datos con mucho mayor número de datos personales que el padrón electoral y que pudiese ser empelado para labores de vigilancia e incluso espionaje de no establecerse un sistema efectivo que asegure que no sucederá algo similar o más grave que lo acontecido con el infausto y fracasado Renaut.
La reforma de la ley se confronta desventajosamente con el marco constitucional y el análisis de sólo este principio exige que el patrón se declare ostensiblemente inconstitucional al no observar el principio de finalidad.
Alfonso Oñate Laborde. Presidente de la Academia Mexicana de Protección de Datos Personales, A. C.
1 Nombre empleado en la Ley Federal de Telecomunicaciones y Radiodifusión y que denomina al Capítulo I Bis en términos del decreto publicado en el DOF de fecha 16 de abril de 2021.
2 La primera ley promulgada en territorio germánico fue la Ley de Protección de Datos del Land [entidad federativa] Hessen de 7 de octubre de 1970 convertido por tanto en un texto seminal en el cual por vez primera se empleó en un documento normativo la expresión “protección de datos” [Datenschutz].
3 Adoptado en Estrasburgo, Francia el 28 de enero de 1981 y al cual se adhirió México en 2018. DOF 28 de septiembre de 2018. Por supuesto que desde 1948 la Declaración Universal de Derechos Humanos dispuso en el artículo 12 que toda persona debe ser protegida de las injerencias y ataques a su vida privada, su honra o su reputación. Sin embargo todavía no afloraban ni el concepto ni el término de protección de datos personales.
4 La decisión del tribunal de Karlsrhue en la sentencia de 15 de diciembre de 1983 sobre la Ley del Censo establece un nuevo derecho fundamental autónomo al libre desarrollo de la personalidad vinculado con aquella garantía constitucional de la dignidad humana.
5 Aprobado el 27 de abril de 2016 y que rige en todos los estados miembros de la Unión Europea desde el 25 de mayo de 2018.
6 Tal es el caso del Convenio 108. Capítulo II Principios básicos para la protección de datos; artículo 5, b. Mientras en el marco jurídico nacional la finalidad es un principio independiente: Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, artículos 16 y 18. DOF 26 de enero de 2017. Ley Federal de Protección de Datos Personales en Posesión de los Particulares, artículo 6. DOF 5 de julio de 2010
7 LGPDPPSO. Artículo 18.
8 Convenio 108, artículo 5; c.
9 Me refiero a la reforma cuyo decreto fue publicado en el Diario Oficial de la Federación del 16 de abril de 2021.
10 Como resultado de la reforma publicada en Diario Oficial de la Federación del 1.º de junio de 2009.
11 Entre otros los que hemos venido citando en el presente escrito: El Convenio 108 (a la luz de los párrafos primero , segundo y tercero del artículo 1.º Constitucional).
12 Artículo 180 Ter según texto publicado en DOF 16.04.21.
14 Dictamen de las Comisiones Unidas de Comunicaciones y Transportes; y de Estudios Legislativos, respecto la minuta con proyecto de decreto por el que se reforman y adicionan diversas disposiciones de la LFTyR. https://bit.ly/3bGynaT.
15 De ser este último el objetivo del Panaut se vuelve ostensible –por no decir preocupante- la ausencia entre las comisiones que estudiaron, analizaron y dictaminaron la minuta las de Seguridad Pública, la de Justicia y la de Derechos Humanos.
16 Dato de The Competitive Inteligence Unit. https://bit.ly/3u3zWGn. En Argentina el número de celulares superó al de pobladores desde 2007.