Geolocalización y datos personales

De -
Recientemente fue publicado (http://m.eleconomista.mx/industrias/2016/08/14/inai-ordena-sancion-att-negligencia-sobre-datos-personales) que el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, INAI, ordenó iniciar un proceso de imposición de sanciones en contra de una empresa de telecomunicaciones por incumplir con una solicitud de derechos ARCO por parte de un titular. Más allá de lo que esto pueda significar en materia de refuerzo al carácter de autoridad del INAI que al imponer sanciones provoca de inmediato que los ojos de mucha gente se concentren en el tema y que las organizaciones le den mayor relevancia este tema tiene un fundamento técnico bastante interesante.
La Ley Federal de Telecomunicaciones y Radiodifusión reformada recientemente y publicada en el DOF el 1 de junio de 2016, establece en el artículo 190 que los proveedores de telecomunicaciones móviles deben retener información sobre la conexión a la red telefónica móvil de parte de los usuarios, entre ellos: llamadas recibidas, llamadas entrantes, mensajes enviados, mensajes recibidos y la célula a la que se conectó el usuario. Este último dato es el que genera la controversia, pues cada célula establece su geo-ubicación, lo que permite conocer la ubicación aproximada del usuario. En este caso el titular solicitó a la empresa de telecomunicaciones ejercer su derecho al acceso a sus datos personales, en particular a la ubicación.
Por conveniencia copiaré el artículo 190 en sus fracciones I y II que son relevantes en este caso, señalando con amarillo los textos relevantes:
“Artículo 190. Los concesionarios de telecomunicaciones y, en su caso, los autorizados deberán:
  1. Colaborar con las instancias de seguridad, procuración y administración de justicia, en la localización geográfica, en tiempo real, de los equipos de comunicación móvil, en los términos que establezcan las leyes. Cualquier omisión o desacato a estas disposiciones será sancionada por la autoridad, en los términos de lo previsto por la legislación penal aplicable. El Instituto, escuchando a las autoridades a que se refiere el artículo 189 de esta Ley, establecerá los lineamientos que los concesionarios de telecomunicaciones y, en su caso, los autorizados deberán adoptar para que la colaboración a que se refiere esta Ley con dichas autoridades, sea efectiva y oportuna;
  2. II. Conservar un registro y control de comunicaciones que se realicen desde cualquier tipo de línea que utilice numeración propia o arrendada, bajo cualquier modalidad, que permitan identificar con precisión los siguientes datos:
    1. Nombre, denominación o razón social y domicilio del suscriptor;
    2. Tipo de comunicación (transmisión de voz, buzón vocal, conferencia, datos), servicios suplementarios (incluidos el reenvío o transferencia de llamada) o servicios de mensajería o multimedia empleados (incluidos los servicios de mensajes cortos, servicios multimedia y avanzados);
    3. Datos necesarios para rastrear e identificar el origen y destino de las comunicaciones de telefonía móvil: número de destino, modalidad de líneas con contrato o plan tarifario, como en la modalidad de líneas de prepago;
    4. Datos necesarios para determinar la fecha, hora y duración de la comunicación, así como el servicio de mensajería o multimedia;
    5. Además de los datos anteriores, se deberá conservar la fecha y hora de la primera activación del servicio y la etiqueta de localización (identificador de celda) desde la que se haya activado el servicio;
    6. En su caso, identificación y características técnicas de los dispositivos, incluyendo, entre otros, los códigos internacionales de identidad de fabricación del equipo y del suscriptor;
    7. La ubicación digital del posicionamiento geográfico de las líneas telefónicas, y
    8. La obligación de conservación de datos, comenzará a contarse a partir de la fecha en que se haya producido la comunicación.
Para tales efectos, el concesionario deberá conservar los datos referidos en el párrafo anterior durante los primeros doce meses en sistemas que permitan su consulta y entrega en tiempo real a las autoridades competentes, a través de medios electrónicos. Concluido el plazo referido, el concesionario deberá conservar dichos datos por doce meses adicionales en sistemas de almacenamiento electrónico, en cuyo caso, la entrega de la información a las autoridades competentes se realizará dentro de las cuarenta y ocho horas siguientes, contadas a partir de la notificación de la solicitud.
La solicitud y entrega en tiempo real de los datos referidos en este inciso, se realizará mediante los mecanismos que determinen las autoridades a que se refiere el artículo 189 de esta Ley, los cuales deberán informarse al Instituto para los efectos de lo dispuesto en el párrafo tercero, fracción I del presente artículo.
Los concesionarios de telecomunicaciones y, en su caso, los autorizados, tomarán las medidas técnicas necesarias respecto de los datos objeto de conservación, que garanticen su conservación, cuidado, protección, no manipulación o acceso ilícito, destrucción, alteración o cancelación, así como el personal autorizado para su manejo y control.
Sin perjuicio de lo establecido en esta Ley, respecto a la protección, tratamiento y control de los datos personales en posesión de los concesionarios o de los autorizados, será aplicable lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares;
En este sentido el proveedor de comunicaciones no proporcionó la información completa sobre esta información de geolocalización, cuando el artículo indica claramente que será aplicable lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, lo que derivó en una solicitud de protección de derechos en el INAI por parte del titular y con ello la intervención de la autoridad.
Recientemente el pleno del INAI resolvió el inicio del proceso de imposición de sanciones en contra de la empresa de telecomunicaciones que determinará la multa que, según los aspectos relacionados con la sensibilidad de los datos así como la capacidad económica del responsable y otros elementos, podría llegar a ser hasta de 11 millones de pesos. Se trata de un caso que no tiene precedente en México, e internacionalmente hay pocas referencias, sin embargo lo que es innegable es que los datos de geolocalización son datos personales que pueden ser solicitados mediante el derecho de acceso, por lo que si la empresa de telecomunicaciones los tiene en su poder debe entregarlos.
Posiblemente los proveedores de telecomunicaciones estén en desacuerdo con los esfuerzos que esto pueda significar en caso de que muchos titulares soliciten estos datos pero, a menos que hubiera un cambio en la regulación, por el momento entregarlos al titular es la única opción. Sin embargo existen algunas consideraciones que es importante tomar en cuenta, como:
  • La antigüedad que tiene la línea en posesión del titular ya que podría tratarse de un número que fue reasignado, que en este caso el derecho de acceso solo corresponde al periodo en el que se ha tenido titularidad de la línea.
  • La portabilidad, ya que el número podría haber estado registrado con otro operador telefónico; la obligación está limitada al tiempo que tenga la línea bajo la gestión del operador al que se le solicita la información.
  • La verificación de la identidad del titular de la línea y la confirmación de que éste es en efecto el titular de los datos de geolocalización, ya que podría ser una línea que está a nombre de una persona pero que está siendo utilizada por alguien más.
Este último punto es el que los operadores telefónicos pudieran utilizar para limitar la información que se proporciona, abogando que no se puede garantizar que el dato de geolocalización podría no ser de la persona que lo solicita, sin embargo me parece un argumento débil porque no dirían lo mismo en caso de que un usuario diga que ciertas llamadas no las hizo él desde su línea sino que se la prestó a alguien más, pues el cobro se hace con independencia de quién realice las llamadas.
Sin duda es un caso interesante y seguramente esto iniciará una cadena de solicitudes de derechos de acceso a los datos personales de varios titulares.
En cuanto al contexto internacional y los antecedentes sobre el tema, algunos elementos importantes podemos encontrarlos en la Opinión 13/2011 sobre Geolocaización y Dispositivos Inteligentes de la Comisión Europea, específicamente del grupo de trabajo sobre Privacidad (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp185_en.pdf) que establece en el artículo 4.1, inciso 1 que:
“1. Since location data derived from base stations relate to an identified or identifiable natural person, they are subject to the provisions on the protection of personal data laid down in Directive 95/46/EC of 24 October 1995.”
Vemos que en ese contexto los datos de geolocalización sí son considerados como datos personales. Más adelante, en el artículo 5.4 establece que:
“5.4 Data subject rights Data subjects have a right to obtain from the different controllers access to the location data they have collected from their smart mobile devices, as well as information on the purposes of the processing and the recipients or categories of recipients to whom the data are disclosed. The information must be provided in a human readable format, that is, in geographical locations, in stead of abstract numbers of for example base stations.”
Por lo que en el contexto europeo, los titulares tienen expresamente el derecho de solicitar acceso a sus datos personales de geolocalización y las empresas de comunicaciones tienen la obligación de entregarlos en un formato legible, especificando la ubicación y no los números de las radio bases.

Posiblemente esta resolución haya sido usada como antecedente en el caso; habrá que ver cómo se desarrolla éste en México y qué otros antecedentes surgen en otros lugares, industrias, mercados y organizaciones.

Comentarios

Publicar un comentario

Entradas populares de este blog

Investigación Forense con Autopsy

De -
Imagen
Investigación Forense con Autopsy (WINDOWS) Autopsy es una herramienta de análisis forense digital de código abierto utilizada principalmente por investigadores, analistas de seguridad y profesionales de la informática forense para examinar y recuperar datos de dispositivos de almacenamiento, como discos duros, unidades flash y otros medios digitales. Desarrollada originalmente por el Departamento de Defensa de los Estados Unidos, Autopsy ofrece una interfaz gráfica amigable que facilita la realización de investigaciones forenses. Las funciones principales de Autopsy son: Análisis de imágenes de disco: permite la creación y el análisis de imágenes de disco completas, lo que permite examinar el contenido de un disco duro o cualquier otro medio de almacenamiento de manera detallada. Recuperación de archivos eliminados: Autopsy puede recuperar archivos que han sido borrados, brindando la posibilidad de analizar información que se creía perdida. Análisis de actividades recientes: facilita ...
Leer más

Preocupaciones y propuestas sobre los cambios en la ley Telecom y la CURP biométrica

De -
Imagen
Ante la nueva Ley de Telecomunicaciones y Radiodifusión  y la implantación de la CURP biométrica, más allá de la discusión (muy necesaria, pero fuera del ámbito de este artículo) sobre si estas leyes son adecuadas, es necesario asumir que ya son un hecho y que si bien abren la puerta a un sistema de identidad y conectividad sin precedentes en México, también levantan preocupaciones sobre la vigilancia masiva, la exposición de los datos más personales y varios otros riesgos que es relevante atender. Esto plantea un dilema democrático: ¿puede el Estado saber dónde estoy cada minuto sin romper la presunción de inocencia? Definitivamente la privacidad es una preocupación que todos debemos tener desde las actividades que hacemos diariamente, desde la información que publicamos en redes sociales estamos dando a conocer datos de nosotros mismos y que son utilizados para perfilamiento sobre nuestros gustos, preferencias y costumbres, que pueden ser utilizados tanto para fines legítimos, de...
Leer más

¿Cómo saber si mi certificación ISO 27001 es legítima?

De -
Imagen
Ante el crecimiento en la popularidad y adopción de ISO/IEC 27001 como el estándar de facto en materia de seguridad de la información, en ocasiones existen dudas sobre cómo validar la legitimidad y vigencia de un certificado. Antes que nada vale la pena hacer una pequeña aclaración. Si bien en el mercado se le llana ISO 27000 o a veces ISO 27001, hay que señalar que la forma correcta es ISO/IEC 27001 y su nombre es “Sistema de Gestión de Seguridad de la Información – Requisitos” y su versión vigente es la 2013. La norma ISO 27000, propiamente ISO/IEC 27000, es la referente al vocabulario y en muchas ocasiones nos referimos a toda la familia de normas como 27000, considerando que además de las dos ya mencionadas existen muchas más con lineamientos, guías de implementación, métricas, aplicaciones sectoriales, lineamientos de auditoría, competencia del personal, etc, que forman parte de esta amplia familia. Por otro lado, el prefijo ISO/IEC se refiere a que hay dos organism...
Leer más