En el marco del Día Internacional de la Protección de #DatosPersonales el 31 de enero de 2018 a las 10:00 h impartí la conferencia "Datos Personales Sensibles. Una responsabilidad compartida" en la Universidad Autónoma de Nayarit
Agradezco la invitación del ITAI Nayarit.
3. Introducció n
Existe una coincidencia internacional
respecto a que hay ciertas clases de
datos personales que requieren de
mayor protecció n, y que su
tratamiento debe realizarse bajo
condiciones especiales,.
Se refieren a la esfera más íntima del
individuo, cuyo mal uso puede afectar
sus derechos fundamentales.
Estos datos se denominan datos
sensibles.
4. Son toda aquella información
vinculada con una persona física,
que revela sus aspectos más
íntimos, es decir, más reservados
y profundos.
También se define a esta información como
aquélla cuya difusión o utilización indebida
pueda dar origen a discriminación o a un
riesgo grave para su titular.
Algunos instrumentos internacionales
señalan como ejemplos de datos personales
sensibles los de origen racial o étnico, las
opiniones políticas, las convicciones
religiosas o filosóficas, o la sexualidad.
Datos personales sensibles
Definició n
*Afiliació n sindical se considera dato personal sensible únicamente
en la LFPDPPP
*
5. A lo largo de la historia han quedado registradas experiencias en las que los
gobiernos han hecho mal uso de ciertos datos de la població n.
Por ejemplo, durante la Segunda Guerra Mundial, el gobierno nazi utilizó
instrumentos de monitoreo para enlistar, vigilar y perseguir personas de
origen y creencias judías y con preferencias homosexuales.
Otros datos de este tipo están
relacionados con la salud: los datos
de expedientes clínicos, datos
biométricos y datos genéticos.
Introducció n
6. Introducció n
La legislació n mexicana se refiere a este tipo de datos en:
El artículo 3, fracció n X, de la Ley general de protección de datos
personales en posesión de sujetos obligados.
El artículo 3, fracció n IV, de la Ley federal de protección de datos
personales en posesión de los particulares.
En Nayarit se les reconoce en:
El artículo 4, fracció n IX, de la Ley de protección de datos
personales en posesión de sujetos obligados del Estado de Nayarit.
8. Datos personales sensibles
Definició n
Definició n de datos personales sensibles de distintas
regiones y países
México
Mixta / Abierta
Aquéllos que se
refieran a la esfera
más íntima de su
titular, cuya
utilizació n
indebida pueda
dar origen a
discriminació n o
conlleve un riego
grave para éste.
EUAU.E.
Australia Canadá Uruguay N. Zelanda
Listado /
Cerrada
Ejemplos: origen
racial o étnico,
opiniones
políticas, afiliació n
política, religió n o
ideas filosó ficas,
orientació n
sexual,
antecedentes
penales, entre
otros.
Mixta / Abierta
Se considera que cierta
informació n (por
ejemplo, registros
médicos y registros de
ingresos) casi siempre
se considera
confidencial,
dependiendo del
contexto.
Listado /
Cerrada
Son los que revelen
origen racial y
étnico,
preferencias
políticas,
convicciones
religiosas o
morales,
afiliació n sindical
e informaciones
referentes a la
salud o a la vida
sexual
No establece de
manera explícita
definició n, sin
embargo tiene una
ley específica en
materia de
protecció n de
datos personales.
Listado / Cerrada
Tratamiento de categorías
especiales de datos.
Se regula de
manera
sectorial.
9. Datos personales sensibles
A nivel internacional se pueden
encontrar definiciones muy
similares, sin embargo, existen
algunas diferencias en la
determinació n acerca de qué
informació n se considera de este
tipo, ya que depende de la cultura y
el contexto.
Por ejemplo:
•En México el origen racial o étnico
es un dato personal sensible (DPS);
en Canadá o Estados Unidos no es
así.
•En Australia el número de seguridad
social es considerado un DPS, en
nuestro país o en Uruguay no.
11. Casos relevantes
Mé xico
Se determinó un
incumplimiento por parte
de la institució n
financiera, imponiendo
una sanció n total de
$32’006,691.00 M.N.
Cabe señ alar que una
parte de multa fue
duplicada por involucrar
datos personales
sensibles.
12. Casos relevantes
Mé xico
2007- Una contingencia natural en Tabasco afectó a 17 municipios. Entre
otras cosas, las personas perdieron sus documentos personales, de
identificació n y propiedad de bienes muebles e inmuebles. Fue el primer
evento que concientizó a las autoridades al respecto y se tomaron
medidas para facilitarles la reposició n.
2009- Un marino participó en captura de un líder de la delincuencia
organizada. Perdió la vida en el cumplimiento de su deber. Los medios
de comunicació n transmitieron la noticia revelando nombre, domicilio y
entrevistas con sus familiares. Poco tiempo después, su familia murió a
manos de sicarios.
2016- La empresa Amazon se deslindó de una filtració n de la lista nominal
electoral del INE con datos de millones de mexicanos, en archivo público.
13. Casos relevantes
Mé xico
Casos relevantes
Uruguay
Un militar con cierto nombre fue señ alado y tratado como
un torturador.
¡Pero no lo era!
Era homó nimo de alguien y le costó mucho trabajo
demostrar que no fue culpable de crímenes durante la
dictadura.
14. Casos relevantes
Australia
Vulneració n de seguridadVulneració n de seguridad
de datos personales –de datos personales –
incluyendo sensibles-incluyendo sensibles- porpor
el Departamento deel Departamento de
Migració n y Protecció nMigració n y Protecció n
Fronteriza (DIPB)Fronteriza (DIPB)
En 2014, el Comisionado de Privacidad Australiana abrió una
investigació n en contra del DIPB por un reportaje que se publicó
en el perió dico The Guardian Australia que señ alaba que en el
portal de Internet del DIPB se encontraba disponible una base de
datos con informació n personal de aproximadamente 10,000
solicitantes de asilo.
La investigació n arrojó que la falla consistió en la publicació n
que cada mes realizaba la DIPB sobre estadísticas de
detenciones migratorias. El documento contenía una gráfica
insertada que habilitaba la informació n del archivo de Excel que
fue utilizado para generar datos y que incluía informació n sobre
aproximadamente 10,000 solicitantes de asilo, con nombres
completos, género, ciudadanía, fecha de nacimiento, periodo de
detenció n migratoria, datos de los cuales muchos eran de carácter
personal sensible.
El caso es importante debido a que el Comisionado de Privacidad
Australiano determinó que se debió considerar la sensibilidad de
los datos para la toma de medidas de seguridad para evitar su
perdida.
15. Casos relevantes
Estados Unidos
En diciembre de 2016, el investigador informático estadounidense Chris Vickery, alertó de la
filtració n de datos personales de altos funcionarios militares de Estados Unidos. Al parecer, la
filtració n se había llevado a cabo a través de Potomac Healthcare Solutions, un subcontratista
del Gobierno de EUA que trabajaba para el Pentágono que proporciona servicios de salud a las
organizaciones gubernamentales y militares.
Como seguimiento de la comunicació n realizada por Chris Vickery, Potomac Healthcare
Solutions, con el apoyo de una firma forense externa de tecnologías de la informació n, señ aló
que había realizado la investigació n del incidente de seguridad que involucró el acceso no
autorizado de uno de sus servidores internos, manifestando que su revisió n inició
inmediatamente después de los cuestionamientos realizados por Chris Vickery.
Aunque la informació n de este caso no ha sido oficialmente confirmado (toda la informació n
fue obtenida directamente de la prensa), se considera relevante considerar que, en ocasiones,
los incidentes de seguridad pueden ser causados por los terceros contratados para llevar a
cabo el tratamiento de datos personales, incluidos datos personales sensibles, casos en los
que las medidas tanto se seguridad como contractuales deben ser aún mayores.
17. Datos personales sensibles
Para dar régimen de especial protecció n a los datos sensibles, la legislació n debe
establecer por lo menos:
La prohibició n para su tratamiento por regla general o bajo condiciones muy
limitadas.
El tipo de consentimiento que se requiere para su tratamiento (expreso o expreso y
por escrito).
Medidas de seguridad para su tratamiento que sean mayores a las de otros datos
personales.
La sanció n en caso de tratamiento indebido.
18. Datos personales sensibles
El concepto “datos personales sensibles” puede realizarse en la normativa
de las distintas regiones y países de la siguiente manera:
19. Legislació n en datos personales sensibles
La Ley general de protección de datos personales en posesión de
sujetos obligados establece que:
Se deberá obtener el consentimiento expreso y por escrito del titular
para su tratamiento, a través de su firma autó grafa, firma electró nica o
cualquier mecanismo de autenticació n que al efecto se establezca, salvo
algunas excepciones (Artículo 21).
Los avisos de privacidad deben ser claros en los datos sensibles que
se recaben (Artículo 28, fracció n II).
Se estáen presencia de un tratamiento intensivo o relevante de datos
personales cuando se trate de datos sensibles (artículo 75).
La ley nayarita en la materia establece lo mismo en sus artículos 18 y 29.
20. Legislació n en datos personales sensibles
Por su parte, la Ley federal de protección de datos personales en
posesión de los particulares establece que:
No podrán crearse bases de datos que contengan datos personales
sensibles, sin que se justifique la creació n de las mismas para
finalidades legítimas (Artículo 9).
El responsable deberá realizar esfuerzos razonables para limitar el
periodo de tratamiento de los mismos a efecto de que sea el mínimo
indispensable.(Artículo 13).
Tratándose de infracciones cometidas en el tratamiento de datos
sensibles, las sanciones podrán incrementarse hasta por dos veces.
(Artículo 64, fracció n IV)
22. El desarrollo tecnoló gico
Los avances tecnoló gicos facilitan cada vez más el
manejo y aprovechamiento de datos personales,
pero también abren riesgos para usarlos
indebidamente.
Los datos personales, ya sea por su tipo o por los
beneficios o ganancias que se pueden obtener a
partir de ellos, tienen una gran demanda en
mercados ilegales o clandestinos
23. Sensibilidad de los datos personales y Big Data
El desarrollo
tecnoló gico y los
grandes volúmenes
de informació n que a
nivel mundial se
generan todos los
días, ha dado como
resultado la
necesidad de su
tratamiento a través
de té cnicas
automatizadas
como Big Data.
24. Sensibilidad de los datos personales y Big Data
Características de Big Data.
25. Sensibilidad de los datos personales y Big Data
Estamos en un nuevo terreno, pues los Big Data permiten:
Mejorar la experiencia de los usuarios en varios servicios y
proveer insumos para el funcionamiento de nuevas tecnologías.
Inferir y predecir comportamientos, patrones, preferencias, de
modo que se les pueda manipular no siempre con fines benéficos.
Pero pueden colarse por algún descuido o falla tecnoló gica y filtrar
informació n que afecte a una o más personas.
26. El valor de los datos personales
en los mercados ilegales
Por ejemplo, el informe El comercio clandestino de datos del añ o
2015 realizado por Intel Security establece los siguientes
tabuladores sobre el valor de los datos personales.
27. El valor de los datos personales
en los mercados ilegales
Precios estimados por tarjeta en
dó lares estadounidenses, por datos de
tarjetas de pago robados
Saldo de la
cuenta del
servicio de pago
online
• 400-1000 dó lares400-1000 dó lares
• 1000-2500 dó lares1000-2500 dó lares
• 2500-5000 dó lares2500-5000 dó lares
• 5000-8000 dó lares5000-8000 dó lares
Precio estimado
por cuenta
• 20-50 dó lares20-50 dó lares
• 50-120 dó lares50-120 dó lares
• 120-200 dó lares120-200 dó lares
• 200-300 dó lares200-300 dó lares
29. Contingencias y desastres naturales
El pasado 8 de noviembre de 2017, hubo un foro en Zacatlán, Puebla,
al que asistieron varios gobernadores. En ellos se trató el tema de la
protecció n de datos personales, especialmente ante contingencias y
desastres naturales.
Se discutió la necesidad de fortalecer esta protecció n antes, durante y
después de estas contingencias.
1)Levantar censos de personas y hogares afectados.
2)Canalizar apoyos para reponer documentos, bienes y propiedades.
3)Elegir mecanismos para distribuir estos apoyos de forma segura,
sobre todo si son monetarios o implican tratamientos de salud.
En todo esto los datos personales son la guía para actuar adecuada y
oportunamente.
30. Víctimas de violaciones a derechos humanos
El Estado mexicano está obligado a proteger las víctimas directas o
indirectas de una violació n a derechos humanos en todo momento y
repararlas integralmente.
Esto incluye no hacerlas vulnerables para que sean
revictimizadas.
Las víctimas deben incluirse en el Registro Nacional de Víctimas
(RENAVI), en el cual, deben tomarse medidas de seguridad extremas
para proteger sus datos personales.
Las víctimas son informadas de quién, có mo y por qué tratan sus
datos personales.
31. Víctimas de violaciones a derechos humanos
Sin embargo:
Hay algunas entidades federativas que no transmiten datos al RENAVI y que no
protegen la informació n que tienen sobre víctimas o posibles víctimas.
Los servidores públicos tanto federales como locales tienen poco conocimiento
de có mo proteger los datos personales sensibles.
Los datos personales sensibles se contraponen con el ejercicio de otros
derechos como el acceso a la informació n, el derecho a la verdad o a la justicia.
Como cuando los apoyos a las víctimas provienen de recursos públicos, por
lo que idealmente podemos pedir que nos rinda cuentas sobre ellos, pero
las víctimas no quieren que ninguno de sus datos sea conocido.
32. Conclusiones
La existencia de leyes que regulen el tratamiento de datos sensibles no es
suficiente. Por eso, hay que tomar responsabilidad compartida al
respecto.
El tratamiento de datos personales sensibles está a cargo de autoridades
gubernamentales, pero también de actores privados.
Es importante que cada parte conozca el marco legislativo, los riesgos que
implica su uso indebido y sepa có mo reaccionar ante cualquier
vulnerabilidad.
En el tema de datos personales, una vez que hubo un dañ o es muy difícil
regresar a la situació n anterior. Los efectos en reputació n, afecció n
monetaria, integridad física, y en la vida misma, son muy difíciles de reparar.
¿Qué nos toca hacer a cada quié n?
Fuente: The Hidde Data Economy: The Marketplace for Stolen Digital Information, Intel Security, 2015. Consultable en: https://www.mcafee.com/mx/resources/reports/rp-hidden-data-economy.pdf
Big Data: término que alude al enorme crecimiento en el acceso y uso de información automatizada, controlada por compañías, autoridades y otras organizaciones y que están sujeta a un análisis extenso basado en el uso de algoritmos
Fuente: The Hidde Data Economy: The Marketplace for Stolen Digital Information, Intel Security, 2015. Consultable en: https://www.mcafee.com/mx/resources/reports/rp-hidden-data-economy.pdf