La inmersión de la tecnología en la vida cotidiana cada vez es mayor, lo que incrementa la oferta de productos que reducen significativamente la brecha digital y la accesibilidad. Ejemplo de ello son los asistentes personales, sistemas de videovigilancia, relojes y teléfonos inteligentes, que a su vez requieren de aplicaciones o sistemas de información que permitan la interacción con los componentes del entorno y con los usuarios para cumplir su objetivo “principal”: ayudar a los usuarios (consumidores) en sus actividades cotidianas.

Ahora bien, este objetivo de ayudar se ha visto afectado o mermado por diversos factores, como lo son los ataques a los dispositivos, que han tenido repercusiones en sistemas de información crítica de diversos países e instituciones, reduciendo la disponibilidad en la entrega de servicios y afectando la privacidad y la protección de los datos personales de los consumidores de estos productos y servicios. Como ejemplo está el procesamiento de información de los niños mediante juguetes interactivos, o el caso en el que un atacante tuvo acceso a una cámara de videovigilancia para interactuar con una niña, lo que deja duda acerca de si en realidad el objetivo principal se está cubriendo. Aunado a lo anterior, existen muchos estudios y casos en los que se denuncia a los fabricantes por la gran cantidad de información que sus dispositivos y aplicaciones recolectan y procesan, sin que, claramente, y previo al tratamiento de esos datos, se haga del conocimiento del titular de los datos personales, lo que vulnera a estos y pone en riesgo la seguridad de su información.

En este sentido, las regulaciones en materia de protección de datos personales han hecho hincapié en las medidas que deben tomarse en consideración para su tratamiento y recopilación, tal es el caso de la regulación de la Unión Europea para la Protección de Datos (RGPD, Reglamento General de Protección de Datos)[i] con conceptos como la protección por omisión y la protección por diseño. Sin embargo, esto no asegura la información, ya que en el caso de que el titular dé su consentimiento de tratamiento sobre los aspectos definidos en los avisos de privacidad, podrían no quedar cubiertos en su totalidad los principios de confidencialidad, integridad y disponibilidad, ya que la cadena en la entrega de servicios es sumamente amplia: el fabricante del hardware, el fabricante del firmware (quizá pueda ser el mismo que el de hardware), el desarrollador de las aplicaciones, el proveedor de servicios de Internet y el proveedor de cómputo en la nube que procesa la información en nombre de alguno de los anteriores, entre otros.

El Reino Unido publicó en 2018 un código de prácticas de seguridad  para la protección de los consumidores de sistemas del Internet de las Cosas (IoT), en el que define como participantes coadyuvantes a los fabricantes de los dispositivos, proveedores de servicios del Internet de las Cosas, desarrolladores de aplicaciones móviles y vendedores minoristas, para la protección de la seguridad de la información de los consumidores, y determinó 13 normas que deben cumplirse para que la información del consumidor se encuentre segura[ii].

Estados Unidos, por su parte, cuenta con dos regulaciones que apoyan la seguridad de la información de los productos y servicios relacionados con tecnologías de la información que realizan tratamiento de datos de los consumidores: la primera es Internet of Things Cybersecurity Improvement Act of 2019[iii], que entre otros elementos establece:

  • Obligación de los fabricantes para agregar características de seguridad.
  • Obligaciones para dar soporte en términos de uso seguro de los productos y servicios relacionados.
  • Definiciones de autenticación, dispositivo conectado, manufactura y características de seguridad, entre otras.
  • Restricciones de la legislación, por ejemplo, la responsabilidad del usuario.

La segunda es la regulación denominada California Customer Protection Act[iv], que si bien tiende a ser una legislación en materia de protección de datos personales de consumidores, contiene elementos que determinan la seguridad de la información de los consumidores en la entrega de servicios de cualquier índole e impide que por el simple hecho de solicitar la aplicación de los derechos de protección se niegue el servicio, esto último de manera semejante a la legislación mexicana de protección de datos personales.

En lo que respecta a México, es común escuchar que la legislación está muy alejada de proveer la seguridad requerida, sin embargo ya contamos con la Ley Federal de Protección de Datos Personales en Posesión de  Particulares, que permite el ejercicio de los derechos de acceso, rectificación, cancelación y oposición,  además de que determina que se deben establecer y mantener medidas de seguridad administrativas, técnicas y físicas que posibiliten la protección de los datos personales contra daño, pérdida, alteración, destrucción, uso, acceso o tratamiento no autorizado. Adicionalmente, en el reglamento de dicha ley se establecen algunos elementos adicionales, tales como:

  • Elaborar un inventario de datos personales y de los sistemas de tratamiento
  • Tener un listado de funciones y obligaciones de las personas que traten datos personales
  • Contar con un análisis de riesgos
  • Establecer las medidas de seguridad aplicables
  • Llevar a cabo el análisis de brechas
  • Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes
  • Llevar a cabo revisiones o auditorías
  • Capacitar al personal
  • Realizar un registro de los medios de almacenamiento de los datos personales

Cabe mencionar que la aplicación de esta regulación es para todos aquellos que realicen tratamiento de información que difiera de las finalidades personales y sin fines de divulgación o utilización comercial, por lo que en el ámbito de la comercialización de bienes y servicios juega un papel sumamente importante y esto deriva en la relación tan estrecha que tiene con la legislación en materia de protección al consumidor.

Otra regulación mexicana que tiene que ver con el tema es la Ley Federal de Protección al Consumidor, que considera la seguridad como un derecho que tienen los consumidores cuando se realizan transacciones a través de medios electrónicos. La última modificación en 2018 dio pie a la publicación de la NMX-COE-001-2018, una norma mexicana que, aunque no es de carácter obligatorio, permite establecer los mecanismos para el aseguramiento de la información del consumidor y protege, entre otras cosas, la operación que se está realizando, la aceptación, la identidad, los datos personales, los medios de pago y de entrega.

En dicha norma se encuentran descritos algunos elementos que pueden aportar gran valor a la protección de la ciudadanía, como por ejemplo el uso de PCI-DSS (Payment Card Industry Data Security Standard) como parte de las recomendaciones para la protección de la información del consumidor, la protección y características de generación de registros de transacción para el seguimiento de la misma, así como también el uso de medios alternativos de solución de controversias, que a su vez deben estar alineados a las prácticas de seguridad y custodia de información conforme a las disposiciones aplicables; en este punto es importante aclarar que en la legislación mexicana existe un manual técnico de resguardo de la cadena de custodia[v] que puede servir como punto de partida para el cumplimiento de esta cuestión.

Sin embargo, y a pesar de todo el aparato jurídico con el que se cuenta en México para la protección del consumidor de medios electrónicos, aún faltan algunos elementos para que el uso de la tecnología permita el involucramiento de los diversos actores que se relacionan con la prestación de los servicios, entre los cuales se deben incluir los desarrolladores de software, los fabricantes de  equipo, sistemas operativos y firmware, para que como parte de sus funciones integren la seguridad de la información en el desarrollo, que a su vez permita al usuario determinar el grado de seguridad con la que desea operar, protegiendo desde un inicio la facultad que tiene de autodeterminación informativa y la seguridad de su patrimonio de información.

Finalmente, es importante mencionar que la regulación debe contemplar mecanismos formales o recomendaciones para la evaluación de la seguridad de la información de los dispositivos y aplicativos que tienen interacción con los usuarios y su información, lo cual ayudará a contar con un marco de referencia claro para dirimir controversias.

 [email protected]

[i]  Reglamento General de Protección de Datos https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32016R0679&from=ES

 

[ii]Código de prácticas de seguridad del consumidor en relación con el Internet de las Cosas https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/775865/054718_DCMS_IoT_Code_of_Practice_SPANISH_LA.pdf

 

[iii] Internet of things  https://www.congress.gov/bill/115th-congress/senate-bill/1691/text

 

[iv]California Customer Protection Act https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180SB1121

 

[v] Protocolo de actuación para la obtención y tratamiento de los recursos informáticos y/o evidencias digitales. http://dof.gob.mx/nota_detalle.php?codigo=5441707&fecha=17/06/2016