ACCIÓN DE INCONSTITUCIONALIDAD 82/2021 Y SU ACUMULADA 86/2021. INSTITUTO NACIONAL DE TRANSPARENCIA, ACCESO A LA INFORMACIÓN Y PROTECCIÓN DE DATOS PERSONALES Y DIVERSOS SENADORES INTEGRANTES DE LA LXIV LEGISLATURA. 26 DE ABRIL DE 2022. PONENTE: NORMA

"La confidencialidad, integridad y disponibilidad de los datos personales deberían ser protegidas mediante salvaguardias de seguridad técnicas, administrativas u organizacionales razonables y adecuadas contra tratamientos no autorizados o ilegítimos, incluyendo el acceso, pérdida, destrucción, daños o divulgación, aún cuando éstos ocurran de manera accidental. Dichas salvaguardias deberían ser objeto de auditoría y actualización permanente."

407. El referido Comité explica que el principio cinco deriva del deber básico del responsable de mantener la "confidencialidad" de los datos personales en un entorno seguro y controlado. Este aspecto viene complementado por el principio seis, de acuerdo con el cual los responsables de los datos deben establecer y mantener las medidas de carácter administrativo y técnico que sean necesarias para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que obren en su poder o bajo su custodia, así como cerciorarse de que tales datos no sean tratados ni divulgados excepto con el consentimiento de la persona o autoridad legítima, ni sean accidentalmente perdidos, destruidos o dañados.

408. Se precisa que la índole de las salvaguardas implementadas podría variar según la sensibilidad de los datos en cuestión. Evidentemente, los datos sensibles requieren un nivel más alto de protección, a la luz de riesgos, como, por ejemplo, la usurpación de la identidad, pérdidas económicas, efectos negativos en la calificación crediticia, daños a bienes y pérdida del empleo o de oportunidades comerciales o profesionales, la vulneración de la intimidad sexual o actos de violencia de género digital.

409. No obstante, se aclara que, en el contexto moderno, es técnicamente imposible garantizar la privacidad absoluta y la protección completa de los datos personales, puesto que el esfuerzo necesario para lograrlo impondría barreras indeseables y costos inaceptables. Asimismo, es posible que en distintos contextos se requieran soluciones y niveles de salvaguardias diferentes. Por consiguiente, este principio requiere una valoración razonada e informada y no necesariamente se vulneraría cada vez que un responsable de datos experimente un acceso no autorizado, pérdida, destrucción, daño, uso, modificación o divulgación de los datos personales en su poder, siempre y cuando las medidas y salvaguardias implementadas hayan sido "razonables y adecuadas".

410. La determinación sobre la razonabilidad y adecuación de las salvaguardias debe basarse en métodos y técnicas de seguridad de los datos consistentes con las buenas prácticas comúnmente aceptadas, al igual que en factores como: i) la evolución constante de las amenazas a la privacidad, especialmente las cibernéticas; ii) los métodos y técnicas más avanzados que estén en uso en el ámbito de la seguridad de los datos; iii) el contexto de la situación general; y, iv) la proporcionalidad y necesidad de las medidas tomadas. En ese sentido, las medidas tomadas deberían revisarse, evaluarse, auditarse, actualizarse y mejorarse periódicamente.(119)

411. Cabe precisar, nuevamente, que estos estándares internacionales han sido incorporados a nuestro derecho interno por la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, pues los artículos 31 a 42 establecen una serie de lineamientos que deben cumplir los sujetos responsables de la protección de los datos.

412. Por ejemplo, el artículo 31 establece que el responsable deberá establecer y mantener las medidas de seguridad de carácter administrativo, físico y técnico para la protección de los datos personales, que permitan protegerlos contra daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, así como garantizar su confidencialidad, integridad y disponibilidad.

413. Por su parte, el artículo 32 señala que las medidas de seguridad deberán considerar: i) el riesgo inherente a los datos personales tratados; ii) la sensibilidad de dichos datos; iii) el desarrollo tecnológico; iv) las posibles consecuencias de una vulneración para sus titulares; v) las vulneraciones previas; y, vi) el riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión, entre otros aspectos.

415. En esa tesitura, para este Tribunal Pleno, la magnitud de lo que implica que todos los usuarios de telefonía móvil entreguen su información privada y sus datos personales incluyendo los sensibles, exigía razonablemente el establecimiento de mecanismos específicos que permitieran garantizar una protección eficaz de los datos conservados contra los riesgos de abuso y contra todo acceso ilícito a esos datos. Habida cuenta de la cantidad de datos conservados, del carácter sensible de esos datos y del riesgo de acceso ilícito a éstos, resultaba necesario garantizar la plena integridad y confidencialidad de esos datos, un nivel particularmente elevado de protección y de seguridad mediante medidas técnicas y de gestión adecuadas. Aspectos que era necesario que estuvieran contemplados en una ley y no en disposiciones administrativas.

416. Desde luego, no se desconoce que el despliegue de estas medidas de protección sobre la información recopilada se vincula estrechamente con cuestiones técnicas que justifican el que tenga que ser el órgano especializado en la materia quien a través de la emisión de disposiciones administrativas precise estos aspectos. Sin embargo, para este Tribunal Pleno era necesario que en ley se establecieran al menos condiciones generales, niveles mínimos de protección o estándares a partir de los cuales las disposiciones técnicas pudieran desarrollarse.(120)

417. En consecuencia, no resulta suficiente que el artículo 180 Septimus establezca que la información contenida en el PANAUT será considerada confidencial y reservada, así como tampoco el sistema de sanciones económica previstas por los artículos 307 Bis y 307 Ter, pues como se indicó, la protección efectiva de la privacidad y datos personales de los usuarios, exigía un nivel particularmente elevado de protección y de seguridad mediante medidas técnicas y de gestión adecuadas.

418. No hacerlo así coloca a los derechos humanos a la privacidad y protección de datos personales en una grave situación de riesgo que no puede avalarse.

419. Máxime cuando, además, se advierte que con la emisión del Decreto impugnado se incumplió con el mandato de "mejores prácticas" que impone la referida ley general, pues conforme a su artículo 74, cuando el responsable –lo cual incluye al Congreso de la Unión en términos de los artículos 1 y 3, fracción XXVIII– pretenda poner en operación o modificar políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que a su juicio y de conformidad con esta ley impliquen el tratamiento intensivo o relevante de datos personales, deberá realizar una evaluación de impacto en la protección de datos personales y presentarla ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales o los organismos garantes, según corresponda, los cuales podrán emitir recomendaciones no vinculantes especializadas en la materia de protección de datos personales.(121)

420. En ese sentido, el artículo 75 precisa que se considerará que se está en presencia de un tratamiento intensivo o relevante de datos personales cuando: i) existan riesgos inherentes a los datos personales a tratar; ii) se traten datos personales sensibles; y, iii) se efectúen o pretendan efectuar transferencias de datos personales.

421. En consecuencia, dado el fuerte impacto que el PANAUT genera en los derechos humanos a la privacidad y protección de los datos personales, y dado que también se afectan los datos sensibles de los usuarios de telefonía móvil, debe concluirse que la emisión del Decreto impugnado requería de una evaluación de impacto en la protección de datos personales en términos de la referida ley general, la cual, de las constancias que integran este expediente, no se advierte que haya existido. No haber cumplido con esta exigencia somete a los derechos a la privacidad, intimidad y protección de datos personales a un riesgo que no puede ser avalado a la luz de los artículos 6o. y 16 de la Constitución General.

422. Así, estos incumplimientos por parte del Congreso de la Unión al momento de emitir el Decreto por el cual se crea y regula el PANAUT refuerzan la conclusión alcanzada hasta este punto: una obligación indistinta y generalizada de recabar y conservar información privada e íntima, así como datos personales y sensibles de todos los usuarios de telefonía móvil infringe desproporcionadamente los derechos fundamentales a la privacidad, intimidad y protección de datos personales y resulta incompatible con las exigencias y estándares que impone una sociedad democrática.

423. En consecuencia, lo procedente es declarar la invalidez del sistema normativo creado por el Decreto de reformas a la Ley Federal de Telecomunicaciones y Radiodifusión publicado en el Diario Oficial de la Federación el dieciséis de abril de dos mil veintiuno. 424. Sobre este punto, debe reiterarse que el estudio sobre la razonabilidad de la afectación a los derechos humanos en juego abarca la totalidad de los cambios normativos introducidos por el Decreto impugnado, puesto que constituye una unidad que no puede disociarse. En efecto, la causa que genera la afectación a los derechos humanos a la privacidad, intimidad y protección de datos personales es el sistema normativo que crea y regula el PANAUT, por tanto, si dicha afectación no resulta razonable, la consecuencia es que debe anularse todo el sistema normativo que la genera.

425. Esto queda en evidencia porque, si se invalidan únicamente aquellos preceptos que obligan a los usuarios de telefonía móvil a entregar su información privada, así como sus datos personales y sensibles, el resto del sistema normativo ya no se entiende, pierde su razón de ser.

426. Es por esta razón que este Tribunal Pleno llega a la convicción de que debe anularse la totalidad del Decreto impugnado, específicamente, todos los artículos que adicionó a la Ley Federal de Telecomunicaciones y Radiodifusión, a saber: la fracción XLII Bis del artículo 15, y los artículos 180 Bis, 180 Ter, 180 Quáter, 180 Quintes, 180 Sextus, 180 Septimus, 307 Bis, 307 Ter, 307 Quáter y 307 Quintus, así como los transitorios primero, segundo, tercero, cuarto, quinto y sexto; y por lo que hace a las reformas introducidas a los artículos 176 y 190, fracciones VI y VII, de ese ordenamiento, deben invalidarse las porciones normativas reformadas que se precisan en el apartado de efectos. En esa tesitura, resulta innecesario el estudio de los restantes argumentos formulados por los accionantes.

427. OCTAVO.—Efectos. De conformidad con el artículo 73, en relación con los numerales 41, 43, 44 y 45, todos de la ley reglamentaria de la materia, las sentencias deberán contener los alcances y efectos de la misma, fijando con precisión los órganos obligados a cumplirla, las normas generales respecto de los cuales opere y todos aquellos elementos necesarios para su plena eficacia en el ámbito que corresponda.

429. Sin embargo, dado que los artículos 176 y 190, fracciones VI y VII, de la referida legislación fueron los únicos que se reformaron –ya que el resto de los preceptos fueron adiciones–, deben precisarse los efectos que respecto a dichos artículos en concreto tendrá la invalidez decretada a fin de dotar a los operadores jurídicos de certeza sobre las consecuencias de esta resolución.

"Artículo 176. El instituto llevará el Registro Público de Telecomunicaciones, el cual estará integrado por el Registro Público de Concesiones, el Padrón Nacional de Usuarios de Telefonía Móvil y el Sistema Nacional de Información de Infraestructura, de conformidad con lo dispuesto en la presente ley y las disposiciones aplicables que se emitan."