Recientemente en nuestro país hemos iniciado la ruta constitucional para la defensa de un derecho fundamental que es el relativo a la privacidad y a la protección de nuestros datos personales, los cuales son considerados derechos de tercera generación y que representan un sello distintivo de las democracias modernas.  Particularmente, Colima (2003), Guanajuato (2006), Oaxaca y el DF (2008)  son entidades federativas que cuentan con una legislación específica en esta materia, junto con la actual Ley Federal de Protección de Datos Personales en Posesión de Particulares (2010).

En el ámbito internacional, encontramos un primer referente en la Declaración Universal de los Derechos Humanos de 1948, cuyo artículo 12 señala: "Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o su reputación. Todo persona tiene derecho a la protección de la ley contra tales injerencias o ataques".

En 1967, la Comisión consultiva del Consejo de Europa inicia el estudio de las tecnologías de la información y las comunicaciones (TIC´s) y su potencial agresividad a los derechos más elementales de la persona, dando como consecuencia al año siguiente la célebre Resolución 509 sobre “los derechos humanos y los nuevos logros científicos y técnicos”.

A su vez, en 1973, Suecia, establece la primera ley en el mundo para la protección de la información de particulares. Estados Unidos en 1974 continúa con su Privacy Act, que resulta una ley de carácter general, y posteriormente, entre 1977 y 1979, países como Canadá, Francia, Dinamarca, Noruega, Austria y Luxemburgo publicaron leyes de protección de datos.

En la década de los 80´s surge un catálogo de derechos de los ciudadanos para hacer efectiva la protección de su intimidad y el derecho a la autodeterminación informativa que se positiviza en diversos instrumentos normativos. Un ejemplo de ello es el primer convenio internacional de protección de datos, firmado en 1981 por Alemania, Francia, Dinamarca, Austria y Luxemburgo, mejor conocido como “Convenio 108” o “Convenio de Estrasburgo”.

Dicho convenio entró en vigor en 1985 teniendo como objetivo garantizar el respeto de los derechos y libertades fundamentales de toda persona física, sin importar su nacionalidad, con respecto al trato automatizado de sus datos, sensibles o comunes, ya fuera en el sector público o en el privado.

Es así que atendiendo a las principales experiencias y directrices internacionales que hemos referido previamente, se puede apreciar cómo en un mundo globalizado, interdependiente y marcado por la profunda influencia de las TIC´s, resultaba imprescindible que México contara con estrategias robustas y con un marco normativo acorde que garantizara la efectiva y uniforme protección de la privacidad en relación con el tratamiento lícito de datos de carácter personal.

En tal virtud, debemos de festejar que en nuestro país tengamos ya una legislación de avanzada para el ámbito del sector privado que recoge los principales estándares internacionales en materia de protección de datos personales y privacidad.

No obstante lo anterior, sin invadir y vulnerar ámbitos de competencia, debemos advertir que existen retos mayúsculos que se deben de enfrentar en forma colegiada con la participación de diversos actores, entre ellos el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) y el resto de los 32 órganos de transparencia que existen en el país.

Uno de ellos tiene que ver con el hecho de recibir todas las denuncias por violaciones a este derecho a la privacidad y protección de nuestros datos personales que se puedan interponer en cualquier parte del país, a lo largo y ancho de su territorio, en las 32 entidades federativas y más de 2 mil 440 municipios.

Hay que tomar en consideración que existen más de 4.5 millones de unidades económicas en México que deberán adoptar la obligación de informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, a través de un aviso de privacidad.  Asimismo, de ese universo de empresas privadas, quienes lleven a cabo tratamiento de datos personales deberán establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.

Adicionalmente, El IFAI deberá realizar procedimientos focalizados en diversos sectores de la actividad económica, sobre todo donde se concentren las mayores bases de datos personales y los denominados sistemas sensibles, para verificar el cumplimiento de la normatividad aplicable.

Habrá que iniciar, como lo marca la Resolución de Madrid 2009, con el establecimiento de procedimientos destinados a prevenir y detectar infracciones, que podrán basarse en modelos estandarizados de gobierno y/o gestión de la seguridad de la información.

Otro aspecto fundamental es la realización periódica de programas de concienciación, educación y formación destinados al mejor conocimiento de la legislación que resulte aplicable en materia de protección de la privacidad en relación con el tratamiento de datos de carácter personal.

Asimismo -con expectativas muy favorables- será la adhesión a acuerdos de autorregulación cuya observancia resulte vinculante, sobre todo en ramas de actividad económica que manejen bases de datos personales de gran volumen, que contengan elementos que permitan medir sus niveles de eficacia en cuanto al cumplimiento y grado de protección de los datos de carácter personal, y establezcan medidas efectivas en caso de incumplimiento.

Para afrontar esta tarea, el IFAI debería de llamar a la constitución de una Red Nacional de Protección de Datos Personales que permita armonizar estrategias y dar a conocer las tendencias que se observan en el contexto internacional y que sean susceptibles de aplicarse en México .   

Del mismo modo, en el caso del sector público a nivel estatal, se debería de promover la creación de una ley modelo o código de buenas prácticas que garantice el efectivo derecho a la protección de datos personales y la autodeterminación informativa para evitar contradicciones y fragmentaciones que son evidentes en la actualidad. Para este último caso, sería muy conveniente que la Conferencia Nacional de Gobernadores (CONAGO) y todos los institutos de transparencia del país, afiliados en la Conferencia Mexicana de Acceso a la Información Pública (COMAIP), hicieran una declaración conjunta con ese propósito.

Es evidente que los retos de la protección de datos personales en México no sólo responden a temas de carácter legal, sino también a los de capacidades institucionales -tales como la dotación de recursos humanos y materiales- así como a las altas esferas de decisión política.