Ciberseguridad y protección de datos personales: son temas pendientes en matera archivística

Ciberseguridad y protección de datos personales: son temas pendientes en materia archivística

Jonathan Mendoza Iserte

Secretario de Protección de Datos Personales
INAI

La transformación digital es irreversible, así lo dice la CEPAL en un estudio que publicó en el último semestre del año pasado.

Lo que hemos vivido con la pandemia ha transformado disruptivamente nuestro comportamiento diario, no solo profesionalmente sino también en ámbito personal y el educativo. Hay muchas ventajas de poder utilizar las tecnologías para desarrollar nuestras actividades como lo estamos haciendo en este momento: estar conectados en tiempo real, en distintos países, poder compartir el conocimiento, eficientar el trabajo, evitar los traslados, cuidar nuestra salud en el contexto de la pandemia.

Sin duda hay también muchos riesgos, la digitalización, lo dice muy bien el título de este conversatorio es una tarea pendiente pero no nada más en materia archivística, sino también en muchas otras materias.

Desde luego que la ciberseguridad tiene una estrecha vinculación con la protección de datos personales en entornos digitales, esto es, garantizar el tridente que rige cuestiones de seguridad, es decir: integridad, disponibilidad y confidencialidad; se ha vuelto uno de los grandes retos para todos los gobiernos en la actualidad.

Justo hace algunos días, se publicó el Global Cybersecutiry Index (GCI), que refleja un ranking de países en materia de ciberseguridad del año 2020.

En este ranking, México es el país 52 de 180 y nos podemos preguntar: ¿Quién tiene el primer lugar en materia de ciberseguridad? Es simple, Estados Unidos, Reino Unido, Estonia y España, desde luego estos países y el caso de Estonia son de lo más notables, ya que han tomado la digitalización y el esquema de servicios digitales de gobierno como una prioridad, y han invertido tiempo, dinero y esfuerzo, así como profesionalización de expertos que garanticen que la información que está en internet no va a ser vulnerada, es decir, enfrentar un número menor de riesgos posibles de ser vulnerada por los ciberdelincuentes, esa es la realidad.

Todos los días hay ciberdelincuentes que buscan cómo acceder de forma no autorizada a bases y sistemas de datos que contienen datos personales.

Y podemos encontrar que la vinculación con la archivística y la gestión documental es inmediata, porque todos los documentos físicos o digitales que hay en una institución pública contienen datos personales, de ahí que la divulgación de datos personales vuelva irreversible el daño, una vez que se publican en un mundo hiperconectado, replicarlos y generar afectaciones hacia la esfera jurídica más íntima del titular es algo que toma segundos.

En ese sentido debemos saber cuáles son las medidas de seguridad físicas, técnicas y administrativas que tenemos para resguardar la información personal de los titulares de los datos en los distintos países.

Hay un esquema de convergencia normativa, porque si hablamos de datos personales y si lo vinculamos con ciberseguridad, estamos hablando de globalización y además de un esquema que no respeta fronteras, es decir, las normas que tienen ámbitos territoriales de aplicación son insuficientes para poder atajar el problema y esa es la realidad en las distintas latitudes del mundo, a excepción — y yo les diría que tampoco se ha resuelto del todo— de la Unión Europea.

La Unión Europea en materia de datos personales tiene un reglamento general de protección de datos que rige en todos los países que la conforman, tiene un convenio internacional en materia de derechos humanos enfocado a datos personales que es el convenio 108, este convenio data de 1981, que ya tiene una modernización que es el convenio 108 plus o el protocolo 223 del Consejo de Europa.

¿Por qué es importante hablar de tratados internacionales en materia de derechos humanos y protección de datos personales?

Precisamente por lo que les refiero: en ecosistemas digitales y en economía digital, el libre flujo de datos no respeta fronteras, en consecuencia se requiere de un estándar apropiado a nivel internacional para poder proteger los datos personales adecuadamente.

Además, en materia de ciberseguridad ustedes se darán cuenta que también estamos un poco desfasados. Hay un reporte de la Organización de Estados Americanos (OEA) del año pasado que señala cuántos países en América Latina tienen estrategias nacionales de ciberseguridad y cuántos países tiene regulado el tema. Este es el segundo reporte y toma datos del 2019, señala que México tenía la intención de establecer una política pública relacionada con una estrategia de ciberseguridad, la cual no se ha implementada y quedó desfasada en el tiempo, por cuestiones políticas.

Además, hay otro convenio internacional que es el convenio de Budapest en cuestión de delitos informáticos, del cual México tampoco forma parte, es observador pero no es integrante. Lo que quiero poner en contexto es que no tenemos un estándar internacional en materia de derechos humanos que garantice la protección de datos personales ni tampoco que garantice el tema de ciberseguridad en nuestro país.

Claro que es una asignatura pendiente la transformación digital y yo diría los aspectos relacionados con la protección de la información que hay en los documentos digitales que se gestionan, con énfasis especial en la protección de datos personales, que deben de ser considerados un derecho fundamental, eso es poner en el centro al titular, en consecuencia con independencia de en qué aspecto o en qué escenario se traten sus datos personales tienen que estar garantizado bajo una óptica de derechos humanos, así lo establece el artículo 16 de nuestra Constitución Política desde hace más de una década….sin duda, es una asignatura pendiente.