La protección de los datos personales en el mundo digital: ¿Quién velará por los datos de los mexicanos?

Alejandra Palacios P. Afiliada Senior de la Escuela de Gobierno de la Universidad del Sur de California (USC Price School). De septiembre de 2013 a septiembre de 2021 fue Presidenta de la autoridad de competencia en México (Comisión Federal de Competencia Económica, COFECE).

La inteligencia artificial (IA) ya ha transformado significativamente numerosas tareas y procesos humanos, y apenas estamos presenciando los primeros pasos de esta revolución tecnológica. Como es de esperarse, ante una disrupción de esta magnitud, los formuladores de políticas públicas de gran parte del mundo están evaluando el papel que deben desempeñar las instituciones reguladoras en el futuro digital, y han centrado sus preocupaciones en esta tecnología. Así, debaten la necesidad de crear regulaciones específicas para la IA, por su naturaleza única y potencial impacto en la sociedad y la economía. Esto, incluso, cuando ya existe un entramado legal que las empresas de IA deben cumplir, como las relacionadas con la competencia, la propiedad intelectual y la privacidad de datos, las cuales necesitan adaptarse a la nueva realidad digital (ver columna anterior: “IA, la necesidad de una regulación ética en materia de competencia”).

Como parte de estas discusiones regulatorias, surge la pregunta sobre el arreglo institucional que cada país debe adoptar para regular efectivamente el mundo digital. Esto implica considerar cómo deben evolucionar sus instituciones para abordar los desafíos y oportunidades planteadas por la IA y la transformación digital en general. En México, esta discusión es inexistente, o incluso estamos retrocediendo. Para una muestra, a continuación un botón.

“(…) mientras que muchos gobiernos en todos los continentes están analizando cómo capitalizar el conocimiento y experiencia de sus instituciones regulatorias, así como de la necesidad de fortalecerlas para que puedan regular el mundo digital, en México se busca destruirlas”.

En el ámbito de la privacidad de datos, el posible mal uso de la información personal por parte de la IA ha generado una creciente preocupación. Los “datos personales” constituyen una categoría jurídica que abarca aquella información que pueda identificar directa o indirectamente a una persona física o moral. Aunque las leyes o regulaciones de privacidad difieren entre países, todas comparten el objetivo de que la información de las personas que recopilan las empresas sea utilizada únicamente conforme a los fines para los que fue obtenida, y que la cesión de estos datos a terceros se realice con el conocimiento y consentimiento de los titulares de dichos datos (i.e., las personas). Así, se protege el derecho humano a la privacidad de la información personal. Ello significa que los datos personales están sujetos a reglas especiales que deben observarse en cualquier industria, incluidas aquellas que desarrollan y utilizan tecnologías de IA.  Como sabemos, la IA depende críticamente de datos para su desarrollo y funcionamiento. El entrenamiento de sus algoritmos implica la recolección, almacenamiento, procesamiento e interpretación de grandes volúmenes de información, en algunos casos incluyendo cantidades significativas de datos personales. Estos datos se recopilan mediante una variedad de métodos, como la extracción de datos de acceso público de sitios web de terceros, así como de las propias plataformas y servicios ofrecidos por las grandes corporaciones tecnológicas como Facebook/Meta, Google/Alphabet, Amazon y Microsoft (que están desarrollando sus propios productos basados en la IA). Además, los intermediarios de datos también monetizan periódicamente grandes cantidades de datos personales. Asimismo, es común que las personas cedamos nuestros datos personales, a veces sin una comprensión clara de cómo se utilizarán o con quién se compartirán.

Dado que los sistemas de IA dependen de la capacidad de acceder y utilizar una amplia gama de datos para una variedad de propósitos, la intersección de la IA con la privacidad de datos plantea un importante desafío legal relacionado con el cumplimiento y protección del derecho a la privacidad y del consentimiento informado de las personas. Es decir, aunque el uso de la IA no es necesariamente contrario a la protección de datos, es posible que surjan tensiones entre ambas.

Sobre esta tensión, por ejemplo, la Federal Trade Commission de Estados Unidos (FTC, por sus siglas en inglés) recientemente emitió un pronunciamiento relevante. Ante la necesidad de las empresas que desarrollan productos basados en IA de requerir de un volumen creciente de datos para el entrenamiento de sus modelos, algunas de ellas podrían verse tentadas a considerar que una fuente de acceso fácil a esos datos es, entre otros, la información personal de sus usuarios. Sin embargo, muchas de estas empresas también cuentan con políticas de privacidad y compromisos previamente adquiridos con ellos respecto al manejo, uso y posible manipulación de los datos personales. Así, para resolver esta tensión, algunas empresas podrían decidir hacer cambios en los términos de sus políticas de privacidad (a veces incluso de forma sutil o casi imperceptible) para ya no tener restricciones para utilizar los datos de sus clientes. Al respecto, la FTC advirtió a las empresas que cualquier modificación en los términos de privacidad que implique un incumplimiento en sus compromisos previos podría constituir una violación de la ley.

Mientras esto pasa en el mundo, ahora vamos al caso mexicano.

En México, la principal norma que regula el tratamiento de datos personales es la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Esta normativa establece los principios, derechos y obligaciones que deben observar aquellos que recaben, manejen, utilicen o almacenen datos personales de individuos en el país. En cuanto al consentimiento, el artículo 8 señala que el tratamiento de datos personales requiere del consentimiento del titular, excepto en situaciones excepcionales previstas por la ley. Además, el artículo 12  señala que los datos personales solo deben ser tratados para los fines que fueron consentidos por el titular de la información, es decir, conforme a lo que acordaron las partes. Esto implica que los encargados del tratamiento de datos personales están obligados a informar a los titulares de la información sobre el tratamiento al que serán sometidos sus datos personales (artículos 12 y 15). El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) es la autoridad encargada de hacer cumplir esta ley. Este organismo no depende administrativamente del Ejecutivo Federal, sino que cuenta con autonomía de decisión, operativa y de gestión.

Además de regular el tratamiento de los datos personales, el INAI tiene la función de garantizar a los mexicanos el acceso a la información pública. Esto implica que cualquier autoridad, persona física o moral que reciba y ejerza recursos públicos, o realice actos de autoridad, esté obligada a proporcionar a los mexicanos la información pública solicitada. Esta labor ha sido la cara más visible del regulador, y por ello el presidente Andrés Manuel López Obrador (AMLO) quiere desaparecer la institución. En el arreglo institucional actual, si una autoridad niega a una persona el acceso a la información pública que esta ha solicitado, es el INAI quien en última instancia decide si esa información tiene que hacerse pública. Por el contrario, AMLO ha sido explícito en su intención de que sea el Ejecutivo Federal quien en última instancia tenga el poder discrecional de decidir qué información sobre el ejercicio de los recursos públicos se hace pública y cuál no.

En este contexto, hace unas semanas el Presidente envió al Congreso una iniciativa para desaparecer a varios órganos reguladores, incluido el INAI. En lo que respecta a la tutela del derecho de acceso a la información pública, la iniciativa propone que esas funciones se trasladen a la Administración Pública Federal, específicamente a la Secretaría de la Función Pública, que es la autoridad encargada de implementar y vigilar la profesionalización y los controles en el ejercicio de la función pública.

Más allá de la gravedad de darle un golpe a la política de transparencia gubernamental al pretender eliminar al INAI, la propuesta también debilita la tutela y protección de los datos personales de los mexicanos. En efecto, esta señala que “las atribuciones y obligaciones quedarían a cargo del Ejecutivo Federal, conforme se determine en la Ley Orgánica de la Administración Pública Federal”. Es decir, quienes hicieron la propuesta de reforma: (1) no comprenden la importancia de este tema, (2) no saben en qué esfera de la administración pública colocar esta importante labor, y (3) no están pensando en el futuro, que todos sabemos será cada vez más digital e implicará que estemos expuestos a la explotación acelerada de nuestros datos personales. 

Así las cosas, mientras que muchos gobiernos en todos los continentes están analizando cómo capitalizar el conocimiento y experiencia de sus instituciones regulatorias, así como de la necesidad de fortalecerlas para que puedan regular el mundo digital, en México se busca destruirlas. Posiblemente, ante esta nueva revolución digital, algunas leyes e incluso algunas de las instituciones regulatorias deban adaptarse. Ello es diferente a desmantelaras nada más porque sí. Qué diferente sería si desde el gobierno proactivamente se promoviera una discusión genuina sobre lo que se necesita para mejorar el entramado regulatorio actual, con el fin de que el país pueda aprovechar los beneficios de esta nueva revolución tecnológica, al tiempo de mitigar sus riesgos.