Los instrumentos legales con que cuenta México contra los ciberataques están dispersos y son incompletos. Por ejemplo, no se ha concretado una Estrategia Nacional de Ciberseguridad (la de 2017 quedó inoperante con el gobierno actual); no existe una ley específica sobre ciberseguridad (aunque hay una propuesta de Ley de Ciberseguridad que no ha sido aprobada aún en el Congreso), ni existe una institución que se ocupe de ello (algo así como una fiscalía especializada en delincuencia cibernética).
Una señal de la vulnerabilidad de los datos personales ante ataques cibernéticos en México se observa en el hecho de que en 2019 el país ocupaba el lugar 66 en el índice de ciberseguridad mundial, mientras Estados Unidos tenía el lugar 35 y Canadá el 25 entre 166 países. En 2023, los lugares respectivos son 88, 44 y 32, según el Índice de Ciberseguridad Nacional (NCSI, por sus siglas en inglés). Es decir, la protección de datos se había deteriorado en los tres países, pero México aumentaba desproporcionadamente su rezago.
Sin embargo, México sí cuenta con algunos instrumentos para la protección de datos personales y el más importante se está debilitando fuertemente por decisión presidencial. Como es bien sabido, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), es el organismo autónomo encargado de hacer cumplir la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (2015, revisado en 2021) que, entre otras funciones, se ocupa de regular la organización y funcionamiento del Sistema Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales. Esta Ley establece que (Art. 68) “Los sujetos obligados serán responsables de los datos personales en su posesión y, en relación con éstos, deberán” [entre otras cosas]: …. “Adoptar las medidas necesarias que garanticen la seguridad de los datos personales y eviten su alteración, pérdida, transmisión y acceso no autorizado”. A su vez, muy vinculadas a la anterior, están la Ley Federal de Protección de Datos Personales en Posesión de Particulares (2010) y la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (2017), que también se apoyan en el INAI para su implementación. Estas últimas leyes profundizan en el tema de protección de datos, tipifican las vulneraciones de la seguridad de los datos personales e indican cuales son las acciones que debe tomar la institución responsable de los datos trasgredidos, y estas leyes cuentan con sanciones en esta materia (amonestación o multa e incluso cárcel, en el caso de la Ley de 2010).
Hay otros ámbitos que también contemplan la protección ante ciberataques como el Código Penal Federal que penaliza algunas actividades delincuenciales en la web como Piratería; Phishing; el uso de malware (incluidos ransomware, spyware, gusanos, troyanos y virus); uso de hardware, software entre otros mecanismos para realizar delitos en el ciber espacio. O bien mediante la Ley de Instituciones de Crédito, con la que se puede perseguir los delitos de robo de identidad, fraude de identidad y robo electrónico. De todas maneras hay muchos huecos que quedan desatendidos en cuanto a seguridad de datos.
Con el acelerado incremento del flujo de la información digital, a medida que se generaliza el uso de las tecnologías digitales tanto en la producción, como en el transporte, la logística, las transacciones financieras, entre otros, se amplía el espacio para que opere la delincuencia cibernética. Por ello, las funciones del INAI en esta materia son de suma relevancia, y con la imposibilidad de que este organismo pueda funcionar plenamente se pone aún más en riesgo la protección de la información personal de la población, las empresas y las instituciones públicas y privadas ante ciberataques, que ya son bastante vulnerables en México, como hemos visto.
Más allá de lo señalado, la relación con las contrapartes comerciales y productivas internacionales se complican, pues cuanto más se utiliza la digitalización en la transmisión de información entre fronteras más riesgos hay de ciberataques y robo de datos personales privados a los flujos internacionales de información. De ahí que los gobiernos de los países que comercian entre sí buscan las condiciones adecuadas de protección de datos de sus ciudadanos y la defensa de éstos contra el hackeo. Los países que interactúan con otros esperan que los estándares de ciberseguridad de sus países socios sean al menos comparables a los que tienen en su propio país.
Un ejemplo interesante son las tensiones que han habido entre la Unión Europea (UE) y Estados Unidos a este respecto. Para facilitar el flujo de información digital entre las dos regiones, dada la intensidad de intercambio de todo tipo que tienen, la UE y Estados Unidos firmaron en 2016 el Acuerdo “Privacy Shield” (Escudo de Protección) para la protección de datos. Sin embargo, éste fue invalidado en 2020 por la Corte de Justicia Europea por no asegurar suficientemente los derechos de privacidad de la información establecidos por la UE.
Este acuerdo beneficiaba a más de 5,300 empresas adscritas a este acuerdo en 2020, cuando fue interrumpido y su cancelación se debió a que Estados Unidos cuenta con medidas más laxas de protección de datos que las de la UE, lo cual ha dificultado enormemente la operación de las diferentes empresas, que, por tanto, tienen que conseguir permisos para transmisión de datos individualmente. Se espera que en 2023 se logre acordar un “Privacy Shield 2.0” para transferir datos personales de la UE a Estados Unidos. Pero para lograr esto, el Pdte. Joe Biden firmó una Orden Ejecutiva para cumplir con la protección exigida por los europeos: es decir, el compromiso de limitar el acceso de las autoridades de Estados Unidos a la información personal exportada desde la UE, que era lo que más le preocupaba a este bloque de países.
México está, sin duda, expuesto a tener retos de este tipo con sus contrapartes comerciales. Por lo pronto, si bien no tiene un acuerdo como el “Privacy Shield”, México se ha adherido al Sistema de Reglas de Privacidad Transfronterizo (CBPR, por sus siglas en inglés) del Foro de Cooperación Económica Asia-Pacífico (APEC) desde el 2013. El CBPR consiste en la adhesión a un sistema de reglas para implementar políticas de privacidad y mejores prácticas consistentes con los requisitos de un programa de CBPR para que la información personal que recolecten o reciban organizaciones e instituciones pueda ser sujeta a transferencia transfronterizas entre los países que forman parte de APEC”… “sus políticas de privacidad y prácticas serán obligatorias para la entidad participante y serán ejecutables por la autoridad reguladora correspondiente del país en el que se encuentra”. (Protección Datos México). La inoperancia del INAI en México le deja sin base para cumplir con los requisitos del CBPR del APEC.
El T-MEC, por su parte contiene también consideraciones sobre la protección de datos en su Capítulo 19, “Comercio Digital” del Tratado entre México, Estados Unidos y Canadá (T-MEC). Si bien este capítulo tiene como propósito facilitar el comercio digital entre los socios comerciales, para cuyo fin contiene diversas disposiciones para estimular el comercio electrónico de bienes físicos y virtuales, también incluye cláusulas para proteger los datos privados personales que van de un país socio a otro. En efecto, el Artículo 19.8 está dedicado a la “Protección de la Información Personal”:
“…cada Parte adoptará o mantendrá un marco legal que disponga la protección de la información personal de los usuarios del comercio digital”.
Además, este capítulo está en sintonía con los compromisos adoptados en APEC sobre protección de datos personales: “…cooperar y mantener un diálogo sobre la promoción y el desarrollo de mecanismos, incluidas las Reglas de Privacidad Transfronterizas de APEC, que promuevan la interoperabilidad global de los regímenes de privacidad…” (Capítulo 19; Artículo 19.14: Cooperación).
Finalmente en el tema que nos ocupa de ciberseguridad y protección de datos, el Artículo 19.15: Ciberseguridad (del Capítulo 19) establece que:
1. Las Partes reconocen que las amenazas a la ciberseguridad menoscaban la confianza en el comercio digital. Por consiguiente, las Partes procurarán:
- (a) desarrollar las capacidades de sus respectivas entidades nacionales responsables de la respuesta a incidentes de ciberseguridad; y
- (b) fortalecer los mecanismos de colaboración existentes para cooperar en identificar y mitigar las intrusiones maliciosas o la diseminación de códigos maliciosos que afecten a las redes electrónicas y utilizar esos mecanismos para tratar rápidamente los incidentes de ciberseguridad, así como para el intercambio de información para el conocimiento y las mejores prácticas.
La protección de los datos personales digitales en México es débil y los mecanismos para hacer frente a los ciberataques lo son más. Otros países intentan avanzar en ambos frentes. Por ejemplo, en Estados Unidos, a raíz de múltiples y muy importantes ciberataques sufridos recientemente, llevaron al Gobierno de ese país en 2022 a introducir varios nuevos reglamentos, Ordenes Ejecutivas y leyes para fortalecer la protección frente a ciberataques. Entre éstas, destaca la Ley para Informar sobre Incidentes Cibernéticos en Infraestructura Crítica (CIRCIA) a nivel federal, que requiere a las compañías de infraestructura crítica reportar, en tiempos muy precisos, incidentes de ciberseguridad. Además, 24 estados de ese país firmaron 41 leyes sobre ciberseguridad en 2022.
En México, en contraste, no se han ido formulando nuevas leyes y reglamentos que aumenten la protección de datos y que mejoren la respuesta del país ante los ciberataques, de manera de ir reduciendo la brecha que hay en estos temas con sus contrapartes comerciales como el T-MEC y la APEC. Pero, además, se retrocede al inhabilitar al INAI para que cumpla sus múltiples funciones, entre las que están el garantizar la protección de datos. Esto puede generar conflictos que pongan en duda el cumplimiento de los compromisos de México en los acuerdos internacionales señalados, y puede también desalentar la inversión extranjera directa a venir al país (y también a las empresas nacionales a realizar nuevas inversiones), dada la ciber inseguridad que existe. Por último, no sólo deben reestablecerse plenamente las funciones del INAI, sino, además, debe mantenerse su calidad autónoma para que su papel sea reconocido como neutro y respetado a nivel nacional e internacional.
El contenido presentado en este artículo es responsabilidad exclusiva del autor y no necesariamente representa la opinión del grupo editorial de Voces México.
- La insaciabilidad de información de la Inteligencia Artificial (IA) y los derechos de propiedad intelectual
- El enfoque de la Unión Europea respecto de América Latina y El Caribe y lo que le hace falta al nearshoring
- Threads y Twitter: Titanes en cuadrilátero sin réferi
- Entretejiendo la Tecnología Digital en 2023 y más allá
- Nearshoring: No es automático, hay que trabajarlo
Deja un comentario
Lo siento, debes estar conectado para publicar un comentario.