La empresa china de transporte Didi se ha unido a Google, Facebook, Twitter y Apple como una de las compañías sobre la cual el Inai ha puesto la mirada. De acuerdo con el oficio INAI/SPDP/DGIVSP/2670/21, del cual El Economista tiene copia, la Dirección General de Investigación y Verificación del Sector Privado realizará “un estudio respecto de los hechos relacionados con el cumplimiento de la ley en la materia”, es decir la Ley Federal de Protección de Datos Personales en Posesión de Particulares.

Didi se convierte así en una más de las grandes empresas tecnológicas extranjeras cuyo aviso de privacidad será analizado, a partir de la denuncia de un ciudadano, por la autoridad mexicana en materia de protección de datos personales, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (Inai), que hasta ahora no ha tenido mucho éxito a la hora de ejercer sus facultades frente a empresas extranjeras como Uber.

El análisis del aviso de privacidad de Didi se da mientras la compañía está siendo investigada por la autoridad china de ciberseguridad. En un comunicado, la plataforma de transporte dijo que los datos de sus usuarios en México se tratan de acuerdo a las políticas y avisos de privacidad correspondientes y que operan “en pleno cumplimiento con la legislación aplicable”. 

Para Jonathan Mendoza, secretario de Protección de Datos Personales del Inai, las leyes de protección de datos personales son neutrales, es decir que consideran factores físicos y factores digitales, por lo que no se requiere especificar si protegen un derecho fundamental en un esquema digital. 

No obstante, según el funcionario, este tipo de servicios digitales cuentan muchas veces con políticas de privacidad que únicamente consideran algunas legislaciones del mundo, sobre todo aquellas que por un esquema de cumplimiento corporativo tienen que atender por su diseño normativo. Normalmente, se trata del Reglamento General de Protección de Datos de la Unión Europea, la regulación británica posterior al Brexit, la reciente regulación brasileña y el CCPA en California, Estados Unidos. La legislación de Singapur, que es la que contempla el aviso de privacidad de Didi, también es considerada un estándar a nivel internacional.  

De acuerdo con Mendoza, en este contexto internacional, el ámbito territorial de aplicación de la legislación mexicana en materia de datos personales, que se ve incluido en el artículo primero de la Ley Federal de Protección de Datos Personales en Posesión de Particulares, ha correspondido a empresas mexicanas hasta ahora.  

“La ley, que es de 2010, está desfasada en el tiempo, porque propone soluciones analógicas a problemas digitales”, dijo Mendoza en entrevista.

Problema de interpretación

Pero para Cynthia Solís, socia del despacho Lex Inf, especializado en Tecnologías de la Información y protección de datos personales, resulta claro que el artículo primero de la ley expresa que la regulación “es de orden público y de observancia en toda la República Mexicana”, lo que significa que sin importar la actividad o el origen de las compañías, la ley se aplica cuando éstas tienen una actividad que se desempeña en la República Mexicana.

“Al final del día, empresas como Twitter, como Facebook y como Google sí tienen operaciones en México y por lo tanto, eventualmente, podría generarse un criterio mediante el cual el Inai determinara que es competente para resolver en materia de protección de datos personales cuando se esté afectando la privacidad y la protección de datos personales y de un mexicano”, dijo Solís en entrevista.        

La abogada cree esta disyuntiva con el Inai se trata de un problema de interpretación de la ley y recordó el caso por el que la empresa Google ha sido obligada en México a eliminar contenidos que generaban daño moral en contra de un ciudadano mexicano, con lo que un tribunal mexicano determinó que la empresa sí tiene operaciones en México y no se puede sustraer de la normativa mexicana.     

“Lo que yo creo es que sí podría atraer el Inai el estudio y el análisis de las políticas de privacidad de este tipo de plataformas”, dijo.

Artículo 4 del reglamento 

De acuerdo con Jonathan Mendoza, el Inai ha intentado usar algunos supuestos e hipótesis que le permitirían poder investigar este tipo de servicios digitales. Uno de ellos es el que indica la fracción cuarta del artículo 4 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de Particulares, el cual expresa que el propio reglamento será de aplicación obligatoria a todo tratamiento cuando “el responsable del tratamiento de datos personales no esté establecido en territorio mexicano y utilice medios situados en dicho territorio, salvo que tales medios se utilicen únicamente con fines de tránsito que no impliquen un tratamiento”.

Este fue el recurso que el Inai utilizó para fundamentar el inicio, de oficio, del proceso de verificación en contra de la empresa china de videos cortos TikTok, por el cual la compañía solicitó y obtuvo una suspensión ante el Juzgado Octavo de Distrito en materia administrativa por la cual el Inai no puede emitir una resolución o sanción al respecto.

El caso de TikTok, un tema que se ha hecho público a partir de la resolución del Poder Judicial, será el que brinde la pauta para ver si el Inai está facultado o no para supervisar el tratamiento de datos personales que hacen estas empresas.     

“El Inai está en el poder judicial para definir justo este criterio: si nosotros tenemos atribuciones para investigar a este tipo de empresas o no bajo el diseño normativo que tenemos en nuestro país para el sector privado”, dijo Mendoza, una afirmación en la que Cynthia Solís coincide: “Esto va a terminar en una decisión en la corte”. 

Didi se unió a una lista de empresas digitales cuyo tratamiento de los datos personales de mexicanos y mexicanas está bajo la mira del Inai, pero parece un camino largo y sinuoso el que llevará al Poder Judicial mexicano a determinar si el Inai está facultado para supervisar a estas compañías o si es preciso cambiar la ley.

rodrigo.riquelme@eleconomista.mx