Experiencia canadiense en protección de la privacidad

Notas para la intervención de la Comisaría Adjunta de Protección de la Vida Privada de Canadá, Sra. Chantal Bernier, IFAI

9 de abril de 2013 México, D.F.


Ante todo, quiero expresar mi gratitud por esta invitación. En mis cuatros años en el Comisaría de Protección de Datos Personales de Canadá, he podido observar la dedicación de la IFAI a la realización de nuestros objetivos compartidos de protección de la privacidad. Tengo admiración y amistad por mis colegas mexicanos y mexicanas. Entonces, es un placer especial para mí estar aquí,

Mi presentación esta mañana desarrolla el tema de los desafíos actuales de protección de la privacidad de la siguiente manera:

  1. En primer lugar, repasaré el marco canadiense de protección de la vida privada,
  2. A continuación, describiré nuestra experiencia en la protección de la privacidad como un derecho fundamental y
  3. Por último, hablaré de algunas conclusiones que hemos sacado de nuestra experiencia en relación a los factores de éxito para el futuro de la protección de la privacidad.

I. Marco canadiense de protección de la vida privada

A menudo se comenta que el planteamiento canadiense en lo que se refiere a la protección de la vida privada o de los datos personales se sitúa a medio camino entre lo que se practica en Europa y lo que se hace en EE.UU. tal vez se puede decir lo mismo del marco legislativo mexicano. Lo que es seguro es que no somos los EE.UU., ni la Europa. Canadá y México han elegido marcos “híbridos”.   

En Canadá, en muchos sentidos, la cultura jurídica es fruto de la mezcla de tradiciones británicas y francesas que han marcado su historia. Empero, el modelo canadiense de protección de la vida privada también se debe en gran parte a la influencia contemporánea de la Unión Europea y de los EE.UU.

Como en México, tenemos dos leyes distintas, una para el sector público y una para el sector privado. 

La función de nuestra Comisaría, frente al sector público como al sector privado es, ante todo, la de una defensora del pueblo que se esfuerza por resolver los conflictos por la vía de la negociación, la mediación y la conciliación. Por eso, no tenemos poderes de sanciones, como lo describiré en un momento. No obstante, cuando no logramos nuestros objetivos amistosamente, podemos presentar los expedientes al Tribunal Federal, lo que, por cierto, hacemos de vez en cuando. No obstante, logramos resolver la mayoría de los casos sin tener que acudir a los tribunales. Sin embargo, nuestra mayor arma, y lo describiré mas tarde en nuestro análisis de los factores de éxito para el futuro es el poder de citar por nombre, organizaciones públicas como privadas, y así movilizar los ciudadanos. Volveré a este tema.  

El Comisaría de Protección de Datos Personales de Canadá suele intervenir de cuatro maneras:

  • Investigamos cuando recibimos quejas de particulares;
  • Llevamos las investigaciones por iniciativa propia cuando tenemos motivos fundados de sospechar que se ha infringido la ley;
  • Procedemos a las auditorías necesarias cuando todo deja suponer que las prácticas de una organización o industria en lo que se refiere al manejo de la información personal son contrarias a la ley;
  • Evaluamos las evaluaciones de impacto en la privacidad que nos presentan las organizaciones del sector público.

Sector público

La ley sobre la protección de los datos personales dirigida al sector público, cuenta ya 30 años – que significa que el texto tiene que ser modernizado, sino al menos, su aplicación -  y se aplica a 250 ministerios y organismos públicos federales.

Esa ley fue adoptada al mismo tiempo y de manera complementaria a la ley sobre el acceso a la información. Ambas leyes refieren la una a la otra: la ley sobre el acceso, en su artículo 19,  excluye del acceso público los datos personales – con excepciones, es decir, con el consentimiento de la persona a quien los datos se relacionan, cuando los datos son públicos o cuando la divulgación de los datos es permitida por  la ley sobre la protección de datos. Eso significa que la divulgación es permitida en casos como por razones de interés público, investigaciones criminales etc…

Entonces, la ley sobre la protección de datos en el sector público fue adoptada como una excepción al derecho de acceso a la información del gobierno para proteger los datos personales en ese contexto.

Las dos leyes – la de acceso a la información y la de protección de datos – son administradas por dos autoridades distintas – contrariamente a México, donde la IFAI es responsable tanto de la protección de la privacidad como del acceso, como muchos otros países, y como las provincias en Canadá. Al nivel nacional, en Canadá la ley sobre el acceso es administrada por el Comisaría a la Información y las dos leyes sobre la protección de datos personales – sector público y sector privado – son administradas por nuestra oficina. 

Esta estructura ha sido debatida y analizada por un juez de la Corte Suprema de Canadá, Gérard Laforest. Los proponentes de una fusión de las dos funciones dicen que permitria la reconciliación necesaria entre la consideración del derecho al acceso y del derecho a la protección de datos personales. Los proponentes de la escisión, dicen que poner las dos funciones en una misma oficina crearia un conflicto de interés. Creo que los dos argumentos tienen validez y el éxito, tan de las oficinas fusionadas – por ejemplo el Reino Unido – como de la nuestra, es la prueba que un modelo no es mejor que el otro. Los factores de éxito son otros y los describiré en la última parte de mi ponencia.    

El otro elemento crucial del marco normativo canadiense sobre el sector público es la Carta Canadiense de Derechos y Libertades, un documento constitucional que, en su artículo 8 protege el derecho a la privacidad en esas palabras:

“8.  Everyone has the right to be secure against unreasonable search and seizure.

Chacun a droit à la protection contre les fouilles, les perquisitions ou les saisies abusives.”

Este artículo ha sido interpretado como el origen de la protección de la privacidad como un derecho fundamental. Segundo el artículo primero de este estatuto, describe  circunstancias bajo las cuales puede resultar razonable limitar los derechos y libertades individuales en una sociedad libre y democrática. Para establecer estas circunstancias aplicamos  cuatro grandes interrogantes:

  1. ¿Es la medida demostrablemente necesaria para satisfacer una necesidad especifica?
  2. ¿Puede la medida satisfacer esta necesidad como es debido?
  3. ¿Hay relación proporcional entre la infracción a la vida privada y la ventaja obtenida?
  4. ¿Existe algún medio menos invasivo de lograr los mismos fines?

En la segunda parte de mi ponencia, describiré dos casos concretos donde hemos aplicado, con éxito, esos interrogantes.

Sector privado

En lo que respecta al sector privado, la ley nacional se aplica en todo Canadá a la excepción de tres provincias – Quebec, Alberta y Colombia Británica – que han adoptado sus propias leyes, que se reconocen como similares en lo fundamental a la ley federal.

No obstante, incluso en estas provincias, la ley federal sobre el sector privado puede seguir aplicándose a las entidades del sector privado que se rigen por la legislación federal – por ejemplo, los bancos, las compañías de transportes y telecomunicación – así como a los datos personales en el marco de transacciones interprovinciales e internacionales.

La normativa fundamental para el sector privado se basa en diez principios relativos a la equidad en el procesamiento de la información que a su vez se conforman a los principios de la OCDE que son los siguientes:

Responsabilidad – que significa que cada empresa tiene que desarrollar una estructura de gobernanza para la protección de datos; también, como en México, la responsabilidad significa que  cuando una organización decide delegar el procesamiento de los datos a un tercero, debe tomar todas las medidas razonables necesarias para impedir el uso o la divulgación ilícita de los datos personales mientras se encuentren en manos del tercero que se ocupa de procesarlos.

La organización también debe asegurarse de la protección adecuada de los datos en todo momento.

  • Definición de los fines de la recopilación de datos, que tiene que ser clara para el consumidor,
  • Consentimiento, que es válido solamente si es informado,
  • Limitación de la recopilación, en el sentido que tiene que ser proporcional a los fines de recopilación,
  • Limitación del uso, comunicación y conservación que tiene que ser compatible con los fines de recopilación,
  • Exactitud de los datos, 
  • Medidas de seguridad para la protección de los datos,
  • Transparencia de la políticas de confidencialidad, en particular, sobre el uso y la comunicación,
  • Acceso a los datos personales, que es un derecho integral a la privacidad, y
  • Posibilidad de denunciar el incumplimiento de esos principios, a la empresa misma.

Entre todos esos principios nuestras investigaciones imponen una reinterpretación de algunos frente al desarrollo de la tecnología y de los modelos de comercio. En particular:

  • ¿Como se ejerce la responsabilidad en el contexto de cloud computing?
  • ¿Como se definen los fines cuando la recopilación inicial – por ejemplo para abrir una cuenta Facebook – puede llegar a otros fines que no son integrales a la recopilación inicial pero son integrales al modelo de comercio – como para la publicidad en línea para un acceso Internet gratuito? 
  • ¿Como podemos asegurar el consentimiento de los jóvenes sobre el Internet? Como asegurar el consentimiento frente a una tecnología tan compleja como la tecnología de la información o la genética?
  • Y las medidas de seguridad – ¿que nivel de seguridad podemos exigir de las empresas frente a los cyber-ataques?

Estos son ejemplos de cuestiones que ponen todas las autoridades de protección de datos personales, nosotros como la IFAI,  ante la necesidad de actualizar nuestra interpretación del marco legislativo de la protección de datos personales.  

Sin embargo, nuestro marco legislativo nos ha sido de gran utilidad por el momento. Gracias a su neutralidad desde el punto de vista tecnológico, hemos podido adaptar esos principios y resolver casos que hubieran parecido inconcebibles cuando la ley se redactó.

Recientemente, la ley sobre el sector privado fue modificada en dos puntos particularmente útiles:

  1. Podemos ahora investigar con otro país;
  2. Podemos llevar a cabo investigaciones discrecionales ha sido ampliado

Podemos ahora investigar con otro país

Con el reforzamiento de nuestra capacidad de colaboración podemos investigar con otras administraciones encargadas de la protección de datos en el ámbito internacional. La medida resulta imperativa ya que los datos personales se hallan suspendidos en una especie de órbita perpetua a merced de multinacionales cuyas actividades se desarrollan exclusivamente en línea, y cuyo único activo suele resumirse en el contenido generado por los usuarios.

Hemos concluido nuestra primera investigación internacional el pasado mes de enero, con la autoridad neerlandés sobre la compañía americana WhatsApp.

WhatsApp es una empresa estadounidense que vende una aplicación móvil que lleva el mismo nombre. La aplicación permite enviar mensajes por Internet. Cientos de millones de personas utilizan WhatsApp en todo el mundo.

Con respecto a WhatsApp teníamos tres preocupaciones:

  1. los mensajes no están cifrados, lo cual los hace vulnerables a las intrusiones,
  2. WhatsApp recopila las agendas de direcciones de los usuarios  y no diferencia entre las direcciones de los usuarios y de los no usuarios;
  3. los parámetros de confidencialidad no son transparentes, principalmente con respecto a la ubicación que se muestra (p. ej., “oficina”, “gimnasio”, “café”, etc.).

Nuestra ventaja en este caso es que, al disponer de un régimen de protección de los datos personales independiente – y, por la tanto, reconocido como “adecuado” en Europa –, hemos podido colaborar en esta investigación con el organismo responsable de la protección de los datos personales de los Países Bajos.

En los Países Bajos tenían las mismas preocupaciones que nosotros con respecto a WhatsApp. Por ello, decidimos compartir nuestros recursos para coordinar nuestras investigaciones. En pocas palabras, los Países Bajos se encargaron del análisis tecnológico, mientras que nosotros nos ocupamos de la negociación con la empresa.

En menos de un año, logramos lo siguiente de la empresa:

  1. la mejora de los parámetros de seguridad para cifrar los mensajes;
  2. la presentación de una advertencia en el momento oportuno en la que se indica al usuario que está a punto de comunicar su ubicación, ofreciéndole la posibilidad de hacerlo o no;
  3. la destrucción de los datos personales de los no usuarios cuando se comunica a la empresa la agenda de direcciones de un usuario con el fin de guardar tan sólo las direcciones de los otros usuarios.

Podemos llevar a cabo investigaciones discrecionales ha sido ampliado

Nuestro poder de  llevar a cabo investigaciones discrecionales ha sido ampliado para que podamos hacer frente de manera más adecuada a los nuevos retos que van surgiendo en lo que se refiere al derecho a la vida privada.

No obstante, cabrá modificar esta ley para que pueda seguir protegiendo  el derecho de los ciudadanos y ciudadanas canadienses durante varias décadas más.  Por ejemplo:

La denuncia de los casos de incumplimiento de la protección de datos debe ser obligatoria

En este contexto, consideramos que la denuncia de infracciones relativas a los datos privados – que es una práctica recomendada por el Consejo del Tesoro de Canadá para los organismos públicos, pero totalmente facultativa para las organizaciones del sector privado – debería revestir carácter obligatorio.

Necesitamos poderes de sanciones

La Oficina del Comisionado de Protección de la Vida Privada de Canadá no tiene el poder de imponer multas a las organizaciones.

No obstante, si una empresa o un organización publica se niega a seguir nuestras recomendaciones podemos citarla por nombre, y frente al sector privado, podemos  pedir al Tribunal Federal que emita una orden conminándola a atenerse a ellas y a pagar una indemnización si procede. 

No les sorprenderá saber que la posibilidad de ser llevado a juicio resulta ser una herramienta de lo más persuasivo y casi todo el mundo prefiere atenerse a nuestras recomendaciones.

No obstante, reconocemos la importancia de que la ley mexicana haya previsto sanciones concretas.

II. La experiencia canadiense en la afirmación del derecho fundamental a la privacidad

En este sentido, quiero compartir nuestra satisfacción antes dos asuntos donde hemos conseguido la afirmación del derecho fundamental a la privacidad para ilustrar los factores estratégicos que nos han particularmente ayudado.

El primero es el asunto muy delicado  del uso de scanners de ondas milimétricas en los aeropuertos canadienses. 

En el verano de 2009, recibimos una evaluación de impacto en la privacidad para nuestra revisión – no aprobamos, solamente hacemos recomendaciones - sobre un programa de instalación de escáneres en ciertos aeropuertos canadienses. El desafío era desarrollar un marco analítico adaptado  a un tema tan emotivo y sin precedente. Ese marco ha sido traducido en español  con el titulo Una cuestión de confianza: la integración de la privacidad y la seguridad pública en el siglo XXI (espanol.priv.gc.ca) que se puede encontrar sobre nuestro sitio web.

En primer lugar hemos aplicado los cuatro interrogantes descritos antes para determinar la legitimidad de la iniciativa:

  • ¿Cual era la justificación empírica de la necesidad de los escáneres?
  • ¿Como se podía demonstrar su efectividad en relación a esa necesidad?
  • ¿Como la violación de la privacidad seria minimizada a lo que sería necesario en relación a la necesidad?
  • ¿Y porque no existen alternativas menos invasivas?

Las autoridades de seguridad aérea nos han presentado respuestas convincentes a todas las preguntas.

En segundo lugar, hemos exigido una demonstración de los principios de protección de los datos personales: los scanners nos recopilan ningún dato personal, su uso es voluntario y el consentimiento es asegurado con información adecuada a los pasajeros, la infraestructura tecnológica es segura etc.…

En tercer lugar, hemos exigido la demonstración de una estructura de gobernanza interna a la autoridad de seguridad aérea para asegurar la responsabilidad y la conformidad a  los principios de protección de datos personales.

Finalmente, hemos exigido la demostración de un marco externo de conformidad. Por ejemplo, la supervisión de un ministerio o de una agencia para asegurar la conformidad por la autoridad de seguridad aérea a sus obligaciones frente a la protección de la privacidad.     

En octubre 2009, hicimos pública nuestra posición.

Recordamos la tentativa terrorista de diciembre 2009, sobre Detroit así que en enero 2004 el gobierno canadiense empezó la instalación de los escáneres habiendo integrado todas nuestras recomendaciones.

Un año después, realizamos una auditoría del programa que confirmó que todas nuestras recomendaciones eran seguidas y aplicadas.

Creo que el elemento de éxito en este caso es que fuimos atentos a los imperativos de seguridad pública al mismo tiempo que hemos afirmado el derecho a la privacidad como un derecho fundamental. El marco analítico que hemos desarrollado nos ha dado un punto de referencia para integrar seguridad pública y privacidad en todos los asuntos similares. Ha sido para nosotros, para los miembros des parlamento y para los canadienses una base de referencia en el contexto siempre cambiante – y México lo sabe muy bien -  de los desafíos de seguridad pública. 

El segundo asunto se refiere a una proposición legislativa para dar a las policías y a los servicios secretos el poder de obtener acceso a la información de los usuarios sobre el Internet – sin autorización judicial.

Hemos aplicado el mismo marco analítico que en los scanners, pero en ese caso no hemos aceptado los argumentos del gobierno: la necesidad no fue demostrado para una tal invasión de la privacidad.

En este caso, hemos recurrido a nuestra capacidad tecnológica para demostrar el nivel de intrusión considerada y hemos aplicado los cuatros interrogantes para verificar la legitimidad de la proposición legislativa. Las autoridades no fueron capaces de demostrar la necesidad – en consecuencia no pudieron demostrar la legitimidad. La población canadiense fue tan ofendida por la proposición legislativa que esta ha sido abandonada.

A esos ejemplos de éxito, tengo que anadir, si no un fracaso, al menos, un ejemplo donde nuestros esfuerzos han sido frustrados. Creo que es pertinente para México. Refiero al asunto de Secure Flight, un programa estaunidense que exige que por todos los vuelos en el espacio aéreo americano, aunque sin aterizar, la compagania aérea tiene que divulgar a las autoridades americanas las datos personales de los pasajeros.

En negociaciones, el Gobierno de Canadá se ha opuesto a esa recopilacion de datos personales que nos parece excesiva, pero sin risultado. Nuestra Oficina fue consultada pero, frente a una decision del Gobierno americano no tenemos ninguna herramienta para hacer recomendaciones. Lo mas que hemos podido hacer, y eso lo hemos obtenido pero con muy poco impacto, ha sido,

  1. pedir a nuestro Gobierno de exigir garantías del Gobierno americano sobre la protección de los datos recopilados y sobre remedios para corregir inexactitudenes,
  2. insistir en un debate legislativo sobre la medida, lo que finalmente occurrío de toda manera porque la conformidad a Secure Flight exigía una modificacion a ley canadiense  para permitir esa divulgación por parte de la compañias aéreas.

Visito que somos, Canadá y México, los dos “otros” países norte americanos, el desafío de la protección de la privacidad frente a la políticas de seguridad de los EE.UU. es un desafío común. Estoy muy interesada a saber como se presenta este asunto en Mexico. Estoy segura que es muy compleja. 

Para Canadá, esa preocupación se va intensificando con el desarllo de un perimetro de seguridad Canadá-EE.UU que trae una consolidación de medidas de seguridad, la amplificación  de las bases de datos personales y la intensificación del intercambio de datos. Es un asunto a seguir…  

III. Conclusiones sacadas a lo largo de los  años y para el futuro

1. El poder de un marco normativo a la vez flexible y robusto y de la  neutralidad tecnológica

Los ejemplos de los escan/res y del acceso policial a Internet ilustran la efectividad de tener un marco legislativo bastante flexible para adaptarse a nuevas circunstancias y con la neutralidad tecnológica para aplicarse a varias formas de datos personal y de medidas de recopilación.

En el sector privado, el caso de Nexopia es otro ejemplo de esa ventaja.

La tercera investigación que mencionaré trata de una red social para jóvenes. Se trata del sitio web Nexopia, pensado expresamente para los adolescentes. En esta investigación tuvimos que utilizar la flexibilidad de nuestra ley en dos aspectos: había que adaptar los principios de la ley a una plataforma tecnológica que no existía en el momento de la adopción de aquella y, al mismo tiempo, teníamos que aplicar los principios de la ley de una manera particular a los jóvenes.

Nuestras constataciones se resumen así:

  • Los parámetros de confidencialidad predeterminados eran demasiado abiertos, teniendo en cuenta que el público destinatario era vulnerable e inmaduro.
  • Las políticas de protección de la vida privada no eran lo suficientemente claras para que el público joven las comprendiera y diera su consentimiento con conocimiento de causa.
  • La publicidad en línea se basaba en la comunicación de datos personales para la cual no existía un consentimiento adecuado.
  • Los datos personales se conservaban indefinidamente.

Lo que caracteriza esta investigación y la ventaja competitiva que representa para nosotros es principalmente lo siguiente:

  • Una ley basada en principios más que en reglas brinda la ventaja de que se puede adaptar a diversos modelos de negocios y circunstancias para lograr el mismo nivel de protección.
  • La capacidad tecnológica de nuestro organismo era esencial para sacar partido de la adaptabilidad de la ley a todas las plataformas tecnológicas. En el caso de Nexopia, nuestros tecnólogos tuvieron que verificar todas las medidas de seguridad del sitio web de Nexopia y realizar pruebas para establecer su nivel de apertura.

2. El poder del apoyo de los ciudadanos

Hemos concluido recientemente un sondeo de opinión que, creo, explica también el éxito de nuestra oficina en muchos asuntos, como el de la proposición legislativa sobre  el acceso legal.

Por ejemplo, el sondeo dice que :

  • Los canadienses están adquiriendo más conocimientos sobre sus derechos en materia de privacidad. En comparación con años anteriores, la comprensión de los canadienses sobre sus derechos a la privacidad ha aumentado: en 2012 fue de 35%, frente a 30% en 2011 y a 20% en 2009.
  • Prácticamente todos los canadienses (97%) quisieran ser notificados si es que la información personal que suministraron a alguna entidad ha quedado comprometida.
  • Cuando se les preguntó cuan cómodos se sentían ante el hecho de que la policía y las entidades estatales de inteligencia pudieran exigir a las empresas de telecomunicaciones que divulgaran, sin necesidad de una orden judicial, diversos tipos de información sobre los clientes suscritos a sus servicios, los canadienses expresaron una clara incomodidad (entre 39% y 44%, dependiendo del tipo de información divulgada).  
  • De cara al futuro, 71% de los canadienses piensa que la protección de la información personal será una de las cuestiones más importantes que enfrentará nuestro país en la próxima década. Este resultado refleja un continuo aumento respecto a 2009, cuando 62% expresó su acuerdo con esa opinión.

3. El poder de la capacidad de investigación tecnológica

Desde 2011, tenemos una dirección dedicada al análisis tecnológico con un laboratorio y tecnólogos que nos permiten hacer investigaciones tecnológicas con empresas y ministerios de todo tamaño y de toda sofisticación tecnológica. Por ejemplo, durante la investigación  de Google Wi-Fi, dos de nuestros tecnólogos fueron a Mountain View para analizar los datos recopilados a través del programa Street View. En la investigación de Nexopia, nuestros tecnólogos han podido verificar tyodas las posibilidades de intrusión del sitio. Y en la auditoria de los escáneres corporales, nuestros tecnólogos han desmontado un escáner para verificar su comformidad a nuestras recomendaciones de seguridad.

4. El poder de la colaboración internacional

He mencionado el caso de WhatsApp, pero nuestra colaboración con la FTC en AAron’s es también una demonstración del poder de la colaboración entre autoridades de protección de datos.  

En el caso de Aaron’s, la solidez de nuestro régimen nos granjeó la confianza de la FTC de Estados Unidos, la cual, tras investigar, nos advirtió de una práctica utilizada en la industria del alquiler de computadoras portátiles. La práctica consiste en filmar en secreto a los usuarios o grabar los movimientos del teclado con el fin de localizarlos si se demoran en el pago del alquiler o cuando se sospecha que la computadora ha sido robada.

A raíz de esto, comprobamos que, efectivamente, las franquicias de esta empresa en Canadá utilizaban el mismo procedimiento, que constituye una violación de la ley con respecto al consentimiento, a los objetivos razonables y a la transparencia.

La tercera investigación que mencionaré trata de una red social para jóvenes. Se trata del sitio web Nexopia, pensado expresamente para los adolescentes. En esta investigación tuvimos que utilizar la flexibilidad de nuestra ley en dos aspectos: había que adaptar los principios de la ley a una plataforma tecnológica que no existía en el momento de la adopción de aquella y, al mismo tiempo, teníamos que aplicar los principios de la ley de una manera particular a los jóvenes.

Nuestras constataciones se resumen así:

  • Los parámetros de confidencialidad predeterminados eran demasiado abiertos, teniendo en cuenta que el público destinatario era vulnerable e inmaduro.
  • Las políticas de protección de la vida privada no eran lo suficientemente claras para que el público joven las comprendiera y diera su consentimiento con conocimiento de causa.
  • La publicidad en línea se basaba en la comunicación de datos personales para la cual no existía un consentimiento adecuado.
  • Los datos personales se conservaban indefinidamente.

5. El poder de varias herramientas

Uno de los más importantes desafíos consiste sin duda en hallar los medios más eficaces para contactar los responsables del procesamiento de datos en el sector público y en el sector privado con el fin de asegurar la conformidad a la ley sobre la privacidad.

En Canadá, utilizamos varias herramientas segun las circunstancias, segun una gradación de firmeza:

  • En un primer nivel, para establecer relaciones con nuestro público destinatario, utilizamos principalmente folletos y guías impresas, y ofrecíemos presentaciones e informes en persona;
  • También utilizamos el sitio web del Comisaría para difundir nuestras publicaciones y los textos de nuestros discursos, así como para publicar resúmenes de las conclusiones derivadas de nuestras investigaciones, en los que se ofreceín ejemplos concretos sobre la aplicación de la ley.
  • En un segundo nivel, cuando tenemos preocupaciones frente a una organización, contactamos la organización, buscamos información y empezamos un dialogo para resolver nuestras preocupaciones. Por ejemplo, cuando LinkedIn fue víctima de un cyber-ataque, hablamos regularmente con LinkedIn para verificar,  con nuestro tecnólogos y con los investigadores, si LinkedIn tenía las medidas de seguridad apropiadas para proteger los datos y para verificar como solucionaba el problema.
  • LinkedIn fue muy cooperativa y todo ha sido resuelto favorablemente. 
  • En un tercer nivel, como fue el caso para AAron’s, WhatsApp, Google Wi-Fi, iniciamos una investigación.  

Conclusión

Para terminar, me gustaría resumir las grandes orientaciones de nuestra Comisaría, en base a las conclusiones sacadas de nuestra experiencia:

  1. Intensificamos nuestras iniciativas de colaboración internacional; de manera concreta, estructurada y operacional. Es sorprendente ver que entre los organismos encargados de proteger los datos personales existe una determinación cada vez mayor de coordinar esfuerzos internacionalmente para que se cumpla la ley. Esta actitud responde, evidentemente, al mayor movimiento de datos a través de las fronteras y a la acumulación de datos por parte de las empresas multinacionales.

    Anteriormente puse el ejemplo de una primera investigación internacional, la cual se inscribe en un movimiento más amplio que se perfiló en la resolución de la conferencia internacional celebrada en México en 2011, en la cual se formó un grupo de trabajo para analizar precisamente los obstáculos a los que se enfrenta la cooperación internacional y las soluciones posibles.

    El grupo de trabajo, copresidido por nuestra Comisaría y la comisaría del Reino Unido y en el que también participa México, se reunió dos veces, una en Montreal y otra en Washington y está realizando progresos para consolidar los vínculos funcionales entre las diversas autoridades nacionales.

    Una herramienta fundamental para la cooperación es establecer protocolos de acuerdo que nos permitan intercambiar datos entre los organismos encargados de proteger los datos personales. Canadá utiliza dos tipos de protocolos. El primer tipo son los protocolos bilaterales, que hemos firmado con los Países Bajos, el Reino Unido, Irlanda y Alemania. Es el tipo de protocolo que empleamos para la investigación sobre WhatsApp.

    El segundo tipo es el protocolo de intercambio multilateral en virtud del APEC, que permite el intercambio de información entre los países del APEC, del que forma parte México. Es la herramienta de cooperación que utilizamos, por ejemplo, en nuestro trabajo con la FTC.
  2. Utilizamos un abanico más largo de herramientas para resolver la grande diversidad de circunstancias a la que somos enfrentados, de la educación, al dialogo, a la investigación, que puede llegar a la citación por nombre, públicamente, y también puede llegar al Tribunal; 
  3. Utilizamos con más frecuencia nuestro poder de citar empresas por nombre y de informar al público y al Parlamento sobre violaciones en el sector publico;
  4. Mantenemos un capacidad tecnológica apta a investigar empresas de todo tamaño y de toda sofisticación; y
  5. Mantenemos un dialogo continuo de cooperación con el sector público y el sector privado para desarrollar una cultura de la privacidad y obtener conformidad non solamente de manera coercitiva sino también de manera cooperativa.  

En resumen, hemos adoptado una actitud a la vez progresiva y firme que tiene en cuenta tanto los principios fundamentales de la privacidad así como los imperativos de gobernanza, en el sector público y de comercio en el sector privado.

Para nosotros ese equilibrio es esencial para mantener nuestra relevancia, y esperamos, siempre aumentar nuestro éxito. Considerando que la protección de la privacidad es ahora una tarea internacional, le aseguro nuestra major colaboración.

Date modified: