El ciberataque a la SEDENA por el grupo Guacamaya puso en evidencia la vulnerabilidad de los sistemas de información del sector público y del privado. Hasta ahora, se desconoce el alcance de la intrusión en su integralidad respecto a la información clasificada por “seguridad nacional” y, en específico, a las bases de datos personales de la milicia. Resulta difícil creer que no hubo invasión a datos personales y sensibles, porque al día siguiente se reconoció el incidente, las filtraciones expusieron datos y circunstancias precisas sobre el estado de salud del Presidente de la República, que también fueron confirmadas.
¿Existe una efectiva protección a los datos personales en nuestro país? La respuesta es: no -a pesar de los grandes esfuerzos normativos de la última década- tenemos una situación dispareja y contradictoria. La expectativa de protección admite variables y depende en buena parte del ámbito de la vulneración. Si ocurre en los servidores digitales del sector público, la legislación incluye medidas de probable eficacia, aunque al final más simbólicas que contundentes: la parte blanda consiste en que al agotar la verificación del quebranto el resultado se debe llevar por el INAI ante el órgano interno de control de la dependencia involucrada y eso puede no culminar en responsabilidades por endogamia burocrática.
En cambio, si las vulneraciones tienen lugar en el sector privado, la ley vigente adolece de mecanismos de prevención; sin embargo, se pueden desencadenar sanciones económicas a los responsables, pero por la precariedad normativa se escapan de la eficacia supuestos importantes a corregir y a penalizar con sanciones severas.
Nuestro marco jurídico en materia de protección de la privacidad revela unas 26 asimetrías entre la ley general y la legislación federal. La Ley Federal de Protección de Datos Personales entre Particulares (de 2010, para el sector privado), cumplía con los estándares de aquella época, quedó rezagada y en parte obsoleta en una década.
Las ciencias y las tecnologías han colocado a “la privacidad” en un derecho humano distorsionado (disparejo) y atenazado por el riesgo permanente no solo a la repetición de los eventos sino a la impunidad.
La Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados (para el sector público, es de 2017) y cumple mejor con las exigencias que fijó el Consejo Europeo cuando aprobó la inclusión de México en el convenio 108 y nos condicionó a homologar el estatuto normativo integral con miras de alcanzar la idoneidad.
No basta que el INAI intervenga con las competencias que ostenta, porque existen limitantes legales para llegar a fondo y/o impedir y/o sancionar operaciones indeseables e indebidas, especialmente en el contexto del sector privado.
La inseguridad cibernética que padecemos también se debe a la disminución de inversión -por “austeridad”- en herramientas para la seguridad perimetral de los sitios de las instituciones y las empresas.
México, a través del INAI, preside desde el 2021 y hasta el 2023, la Asamblea Global de la Privacidad y no cumple con las condiciones que el Congreso de la Unión puede resolver. Ojalá.
Suscríbete aquí para recibir directo en tu correo nuestras newsletters sobre noticias del día, opinión, Qatar 2022 y muchas opciones más.
