ACCIÓN DE INCONSTITUCIONALIDAD 82/2021 Y SU ACUMULADA 86/2021. INSTITUTO NACIONAL DE TRANSPARENCIA, ACCESO A LA INFORMACIÓN Y PROTECCIÓN DE DATOS PERSONALES Y DIVERSOS SENADORES INTEGRANTES DE LA LXIV LEGISLATURA. 26 DE ABRIL DE 2022. PONENTE: NORMA

"Primero. El presente Decreto entrará en vigor el día siguiente al de su publicación en el Diario Oficial de la Federación."

"Segundo. El Instituto Federal de Telecomunicaciones realizará las acciones necesarias para que las erogaciones que se generen con motivo de instalar, operar, regular y mantener el Padrón Nacional de Usuarios de Telefonía Móvil, se realicen con cargo a su presupuesto aprobado en el presente ejercicio fiscal y subsecuentes. "Los concesionarios de telecomunicaciones y, en su caso, los autorizados serán responsables de cubrir sus costos de implementación, mantenimiento y operación, incluyendo los de conectividad a los servidores del Padrón Nacional de Usuarios de Telefonía Móvil."

"Tercero. El Instituto Federal de Telecomunicaciones, dentro de los ciento ochenta días naturales siguientes a la expedición del presente Decreto, deberá emitir las disposiciones administrativas de carácter general a que se refiere el presente Decreto.

"La no emisión de las disposiciones de carácter general en el plazo referido en el párrafo anterior, dará motivo a responsabilidad administrativa para los integrantes del órgano de gobierno del instituto, de conformidad con lo dispuesto por la Ley General de Responsabilidades Administrativas."

"Cuarto. En el caso del registro de líneas telefónicas móviles, en cualquiera de sus modalidades, adquiridas con anterioridad a la entrada en vigor del presente Decreto, los concesionarios de telecomunicaciones y, en su caso, los autorizados, contarán con un plazo de dos años a partir de su publicación para cumplir con las obligaciones de registro a que se refiere el presente Decreto.

"El Gobierno Federal, a través de la Secretaría de Comunicaciones y Transportes y el Instituto Federal de Telecomunicaciones, así como los concesionarios de telecomunicaciones y, en su caso, los autorizados, durante el plazo de dos años a que hace referencia el párrafo anterior, deberán realizar una campaña de información dirigida a sus clientes, con la anticipación que les permita cumplir con su obligación de registrar y actualizar sus datos. Para tal efecto los usuarios deberán presentar ante el concesionario o autorizado de que se trate la tarjeta SIM, así como la documentación fehaciente a que hace referencia el artículo 180 Ter de la Ley Federal de Telecomunicaciones y Radiodifusión o a través de los medios tecnológicos que faciliten a los usuarios el registro. También deberán ser informados de que, en caso de no realizar dicho trámite dentro del plazo señalado, se les cancelará la prestación del servicio relacionado con la línea telefónica móvil de que se trate, sin derecho a reactivación, pago o indemnización alguna.

"Transcurrido el plazo señalado para el registro de titulares o propietarios de las líneas telefónicas móviles, el instituto solicitará a los concesionarios de telecomunicaciones y, en su caso, a los autorizados, la cancelación en forma inmediata de aquellas líneas de telefonía móvil, que no hayan sido identificadas o registradas por los usuarios o clientes."

"Quinto. Los concesionarios de telecomunicaciones y, en su caso, los autorizados, deberán realizar el registro de los nuevos usuarios de telefonía móvil, conforme a lo previsto en el presente Decreto, transcurrido el plazo de 6 meses contados a partir de que el instituto emita las disposiciones administrativas de carácter general a que se refiere el presente Decreto."

"Sexto. El Gobierno Federal, a través de la Secretaría de Comunicaciones y Transportes, la Secretaría de Seguridad y Protección Ciudadana y el Instituto Federal de Telecomunicaciones, así como los concesionarios de telecomunicaciones, deberán realizar campañas y programas informativos a sus clientes o usuarios para incentivar la obligación de denunciar en forma inmediata el robo o extravío de sus equipos celulares o de las tarjetas de SIM, así como para prevenir el robo de identidad y el uso ilícito de las líneas telefónicas móviles, así como en los casos que se trate de venta o cesión de una línea telefónica móvil."

168. La finalidad de esta base de datos, declarada por el artículo 180 Bis, es contar con una herramienta que sea útil y permita colaborar con las autoridades del Estado en materia de seguridad y justicia en asuntos relacionados con la comisión de ciertos delitos, específicamente a través de la identificación de los usuarios de una determinada línea telefónica móvil.

169. Para tal objetivo, las normas impugnadas prevén como obligatorio para los usuarios el registro de su línea de teléfono celular ante los concesionarios de telecomunicaciones, previéndose para tal efecto, un régimen diferenciado dependiendo de si se trata de nuevos usuarios, o bien, de usuarios que ya contaban con el servicio.

170. En el primer caso, se establece que los nuevos usuarios estarán obligados a proporcionar sus datos personales e íntimos a fin de que pueda activárseles el servicio de telefonía móvil, para lo cual deberán proporcionar su identificación oficial, comprobante de domicilio y datos biométricos. Por su parte, a los usuarios que ya contaban con una línea de telefonía móvil anterior a la expedición del Decreto, se les otorga un plazo de dos años para realizar el registro de su línea, debiendo proporcionar sus datos personales y biométricos, pues de no hacerlo dicha línea les será cancelada, sin derecho a reactivación.

171. De manera correlativa, se ordena a los concesionarios de telecomunicaciones recabar la información sobre la identidad, datos biométricos y domicilio de los usuarios de telefonía móvil para después ingresarla al PANAUT. Se precisa que la instalación, operación, regulación y mantenimiento de este padrón estará a cargo del Instituto Federal de Telecomunicaciones, el cual deberá expedir las disposiciones administrativas de carácter general para su debida operación.

172. Finalmente, se señala que las autoridades de seguridad, de procuración y administración de justicia que cuenten con la facultad expresa para requerir al referido instituto los datos del PANAUT podrán tener acceso a la información correspondiente.

173. Ante este escenario la pregunta que surge es: ¿esta reglamentación genera un impacto prima facie en los derechos a la privacidad, intimidad y protección de datos personales?

174. La respuesta se impone por sí misma, pues si estos derechos se interrelacionan para generar una especie de bloque que busca proteger la esfera privada del sujeto y mantenerla alejada del escrutinio público, es claro que dicho ámbito se ve afectado al imponer a los usuarios de telefonía móvil la obligación de entregar su información privada, íntima y datos personales, incluyendo datos sensibles, con la correlativa facultad otorgada a terceros particulares y al propio Estado para recopilarlos y poder acceder a ellos.(83)

175. En ese sentido, la repercusión en estos derechos también debe reconocerse desde su vertiente activa, esto es, en relación con la autodeterminación informativa, pues si desde esta perspectiva la persona tiene el poder para determinar quién, qué y con qué motivo puede acceder a sus datos personales, es claro que esta dimensión también se ve impactada por el sistema normativo que crea y regula el PANAUT.

176. Esto porque, en virtud de las normas transcritas se crea una base de datos integrada por la información y datos privados de los usuarios de telefonía móvil.

177. Sobre el particular, debe advertirse que la entrega de sus datos personales y sensibles se impone como una obligación al usuario de telefonía móvil, lo que significa que para efectos de dicha entrega el consentimiento del usuario no es un elemento relevante, dado que no resulta optativo para él proporcionar o no la información que le es requerida, sino más bien se le impone como una condición obligatoria a fin de poder adquirir o conservar el servicio de telefonía móvil.

178. Además, el consentimiento del usuario tampoco interviene en el uso y destino que se le dará a su información, ni tampoco sobre quién podrá acceder a ella, pues estos aspectos ya vienen predeterminados por la norma, en tanto se establece que la base de datos que integra el PANAUT servirá para coadyuvar en al combate a la delincuencia, de tal suerte que será recopilada por los concesionarios de las telecomunicaciones, será administrada por el Instituto Federal de Telecomunicaciones y podrá ser consultada por las autoridades de procuración y administración de justicia con el objeto de satisfacer tales finalidades.

179. En consecuencia, es claro que estos elementos impactan directamente en la autodeterminación informativa del sujeto, pues a través de las normas combatidas se crea una base de datos integrada por la información privada y personal de los usuarios de telefonía móvil, donde, además, el consentimiento no juega un papel relevante en la entrega, manejo, uso y destino de dicha información. En ese sentido, distinguiendo entre la recopilación de la información privada y su uso, debe reconocerse que la reglamentación analizada impacta sobre ambos aspectos.

180. De manera adicional, este Tribunal Pleno considera que la intromisión que genera el PANAUT en los derechos a la privacidad, intimidad y protección de datos personales es intensa y para justificar esta conclusión, resulta importante tener en cuenta cuatro aspectos que derivan de la reglamentación cuestionada.

181. El primero, el tipo de información que se recaba, pues como puede apreciarse, las normas controvertidas imponen la obligación a los usuarios de telefonía móvil de proporcionar datos como su nombre completo, nacionalidad, número de identificación oficial o Clave Única de Registro de Población, domicilio y datos biométricos, información que en su conjunto permite extraer conclusiones muy precisas sobre la vida privada de las personas, permitiendo incluso la determinación de sus perfiles, de ahí que puede generarse en las personas afectadas el sentimiento de que su vida privada es objeto de una vigilancia constante. Así, las características propias de este tipo de información exigen una protección reforzada a fin de evitar dejar en un grave estado de vulnerabilidad a la persona, comprometiendo la esfera más básica de su individualidad.

182. Segundo, porque dicha información se entrega directamente al Estado. En efecto, de conformidad con la normativa impugnada, toda la información recopilada de los usuarios de telefonía móvil pasará en automático a estar en posesión del Estado, pues se establece que una vez que los concesionaros hayan recabado dicha información deberán ingresarla al PANAUT, el cual va a ser administrado y operado por el Estado a través del Instituto Federal de Telecomunicaciones.

183. Este aspecto, desde luego, contribuye y refuerza esta percepción de las personas afectadas acerca de que su vida privada es objeto de una vigilancia constante. De ahí la necesidad del establecimiento de salvaguardas importantes que eviten la arbitrariedad y el abuso en el acceso y uso de esta información.

184. Por supuesto, no pasa inadvertido que el artículo 180 Septimus establece que las autoridades de seguridad, de procuración y administración de justicia, que conforme a las atribuciones previstas en sus leyes aplicables cuenten con la facultad expresa para requerir al instituto los datos del PANAUT, podrán acceder a la información correspondiente.

185. Sin embargo, debe reconocerse que esta disposición no regula el acceso del Estado a la información brindada por los usuarios de telefonía móvil, pues como se señaló, dicha posesión ya la tiene al ser el administrador y operador del PANAUT, de tal suerte que lo que regula el referido precepto es la transferencia de estos datos de un órgano del Estado hacia otro, del Instituto Federal de Telecomunicaciones hacia las autoridades de procuración y administración de justicia. Lo cual constituye una diferencia muy importante para efectos de la identificación de la afectación que la regulación reclamada produce en los derechos humanos en juego.

186. En ese sentido, si bien ha quedado establecido que debe distinguirse entre la recopilación y conservación de la información privada de la persona –en sentido lato– y el uso y acceso de dicha información por parte de terceros, lo cierto es que, en el caso concreto, dada la reglamentación específica que establece el Decreto controvertido, en el PANAUT la recopilación y conservación de la información traen por sí mismas el acceso a ella por parte del Estado. De ahí que en los siguientes apartados, aunque se parte de la identificación y distinción entre ambos tipos de afectaciones, lo cierto es que su estudio estará estrechamente vinculado.

187. Tercero, porque la obligación de entregar estos datos personales abarca a todas las personas, físicas o morales, que sean titulares de una línea de telefonía móvil.

188. A fin de dimensionar este aspecto, debe decirse que conforme al Banco de Información de Telecomunicaciones (BIT)(84) emitido por el Instituto Federal de Telecomunicaciones, al primer trimestre de dos mil veintiuno, el número de líneas telefónicas móviles existentes era de 123´377,078 [ciento veintitrés millones trescientos setenta y siete (sic) setenta y ocho], lo que implica que hasta el año pasado existían noventa y ocho líneas por cada cien habitantes.

189. Esto significa que, dada la densidad de líneas de telefonía móvil que existen en el país, el Estado, a partir de la creación y regulación del PANAUT podrá recopilar, administrar, conservar y tener acceso a la información básica, privada y más íntima de casi toda la población del país, lo que refuerza esta percepción acerca del establecimiento de un sistema generalizado de vigilancia por parte del Estado.

190. Cuarto, la temporalidad, pues del análisis del Decreto combatido no se advierte la existencia de algún precepto que establezca el tiempo por el cual el Estado podrá conservar la información privada de los usuarios, lo que permite inferir entonces, que dicha conservación de realizar por tiempo indefinido, es decir, la afectación a los derechos fundamentales de los usuarios tendrá un carácter permanente.

192. Lo anterior implica que el Decreto impugnado satisface la primera etapa de la prueba de proporcionalidad, pues ha quedado demostrado que su ámbito regulativo impacta fuertemente en la esfera de protección garantizada por los derechos a la privacidad, intimidad y protección de datos personales.

193. Sentada esta conclusión, y de conformidad con la metodología definida en la presente resolución, lo procedente es pasar a la segunda etapa, es decir, analizar si esta afectación prima facie en los derechos fundamentales es razonable a la luz de las distintas gradas que integran el referido test.

194. Sin embargo, antes de proceder a dicho análisis, este Tribunal Pleno considera de gran utilidad referir lo expuesto por el Alto Comisionado de las Naciones Unidas para los Derechos Humanos en su informe anual denominado "El derecho a la privacidad en la era digital.".(85) Esto porque en dicho documento se esbozan una serie de parámetros y lineamientos que configuran un preámbulo idóneo del estudio que se desarrollará en los siguientes apartados.

195. En efecto, en el referido informe se explica que, en la era digital, las tecnologías de la comunicación también han aumentado la capacidad de los gobiernos, las empresas y los particulares para realizar actividades de vigilancia, interceptación y recopilación de datos.

196. Los avances tecnológicos han significado que la eficacia de la vigilancia realizada por el Estado ya no se ve limitada por su magnitud o duración. La disminución de los costos de tecnología y almacenamiento de datos ha eliminado los inconvenientes financieros o prácticos de la vigilancia. El Estado no había tenido nunca la capacidad de que dispone actualmente para realizar actividades de vigilancia simultáneas, invasivas, con objetivos precisos y a gran escala. Es decir, las plataformas tecnológicas de las que depende crecientemente la vida política, económica y social a nivel mundial no sólo son vulnerables a la vigilancia en masa, sino que en realidad pueden facilitarla.

197. Los ejemplos de actividades de vigilancia digital declaradas y encubiertas en jurisdicciones de todo el mundo se han multiplicado y la vigilancia en masa por parte de los gobiernos se ha revelado como un hábito peligroso y no como una medida excepcional.

198. Por tanto, se reconoció que toda captura de datos de las comunicaciones es potencialmente una injerencia en la vida privada, precisándose incluso que la recopilación y conservación de datos de las comunicaciones equivale a una injerencia en la vida privada, independientemente de si posteriormente se consultan o utilizan esos datos. Incluso la mera posibilidad de que pueda captarse información de las comunicaciones crea una injerencia en la vida privada y puede tener un efecto negativo en derechos como los relativos a la libertad de expresión y de asociación. La mera existencia de un programa de vigilancia en masa crea, por tanto, una injerencia en la privacidad. Incumbiría al Estado demostrar que tal injerencia no es arbitraria ni ilegal.

199. Inclusive, se puntualizó que la vigilancia en masa, la intercepción de las comunicaciones digitales y la recopilación de datos personales, son susceptibles de afectar no sólo el derecho a la privacidad de las personas, sino también otros derechos como, por ejemplo, el derecho a la libertad de opinión y de expresión, a buscar, recibir y difundir información; el derecho a la libertad de reunión y de asociación pacíficas; y el derecho a la vida familiar. Todos esos derechos están estrechamente vinculados con el derecho a la privacidad y cada vez más se ejercen a través de los medios digitales.

200. Es por esta razón que se considera que toda limitación a los derechos a la privacidad debe estar prevista en la ley, la cual debe ser lo suficientemente accesible, clara y precisa para que una persona pueda leerla y saber quién está autorizado a realizar actividades de vigilancia de datos y en qué circunstancias. Además, la limitación debe ser necesaria para alcanzar un objetivo legítimo, así como proporcional al objetivo y la opción menos perturbadora de las disponibles. Uno de los factores que deben considerarse al determinar la proporcionalidad es qué se hace con los datos a granel y quién pueden acceder a ellos una vez recopilados.

201. Explicó que debe demostrarse que la limitación impuesta al derecho (una injerencia en la vida privada, por ejemplo, con el fin de proteger la seguridad nacional o el derecho a la vida de otras personas) tiene posibilidades de alcanzar ese objetivo. Por tanto, es responsabilidad de las autoridades que deseen limitar el derecho demostrar que la limitación está relacionada con un objetivo legítimo. Además, las limitaciones al derecho a la privacidad no deben vaciar el derecho de su esencia y deben ser compatibles con otras normas de derechos humanos, incluida la prohibición de la discriminación. Si la limitación no cumple esos criterios, es ilegal y/o la injerencia en el derecho a la privacidad es arbitraria.

202. Así pues, los programas de vigilancia en masa o "a granel" pueden considerarse arbitrarios, aunque persigan un objetivo legítimo y hayan sido aprobados sobre la base de un régimen jurídico accesible. En otras palabras, no es suficiente que las medidas tengan por objeto encontrar determinadas agujas en un pajar; lo importante es el impacto de las medidas en el pajar en comparación con el riesgo de que se trate; es decir, si la medida es necesaria y proporcionada. 203. En esa misma línea de razonamiento, la Corte Europea de Derechos Humanos señaló que la protección de los datos personales es de importancia fundamental para que una persona disfrute de su derecho al respeto de la vida privada y familiar garantizado por el artículo 8 del Convenio Europeo de Derechos Humanos. En ese sentido, estableció que el derecho interno debe ofrecer garantías adecuadas para impedir cualquier uso de los datos personales que pueda ser incompatible con las garantías del referido artículo.

204. Precisó que la necesidad de tales garantías es aún mayor cuando se trata de la protección de datos personales sometidos a tratamiento, sobre todo cuando se utilizan con fines policiales. El derecho interno debe garantizar, en particular, que dichos datos sean pertinentes y no excesivos en relación con los fines para los que se almacenan; y se conserven en una forma que permita la identificación de los interesados durante un tiempo no superior al necesario para la finalidad para la que se almacenan.

205. El derecho interno también debe ofrecer garantías adecuadas de que los datos personales conservados estén protegidos eficazmente contra el uso indebido y el abuso, consideraciones que son especialmente válidas en lo que respecta a la protección de las categorías especiales de datos más sensibles.(86)

206. Al respecto, el Alto Comisionado se refirió a las dudas que plantea la creciente colaboración de los gobiernos con entidades del sector privado a fin de conservar datos "por si acaso" los necesita el gobierno. Manifestó que la conservación obligatoria de datos de terceros –característica frecuente de los regímenes de vigilancia de muchos Estados, cuyos gobiernos exigen a las compañías telefónicas y a los proveedores de servicios de Internet que almacenen los metadatos acerca de las comunicaciones y la ubicación de sus clientes para que las fuerzas del orden y los organismos de inteligencia puedan acceder posteriormente a ellos– no parece necesaria ni proporcionada.

207. De ahí que, con posterioridad, el relator especial sobre la promoción y protección del derecho a la libertad de opinión y de expresión señalara que los Estados deben abstenerse de establecer la identificación de usuarios como condición para acceder a las comunicaciones digitales y a los servicios en línea, y de obligar a los usuarios de teléfonos móviles a registrar su tarjeta SIM.

208. Esto porque el registro obligatorio de las tarjetas SIM puede proporcionar a los gobiernos capacidad de vigilar a personas y periodistas más allá de cualquier interés legítimo. Así, la capacidad de un Estado para exigir a los proveedores de servicios de telecomunicaciones y de Internet que recopilen y almacenen información sobre las actividades en línea de todos los usuarios ha resultado de forma inevitable en que el Estado tenga la huella digital de todos los usuarios. La capacidad del Estado para recopilar y almacenar datos personales amplía su capacidad para llevar a cabo labores de vigilancia e incrementa la probabilidad de que se robe y difunda la información personal.(87)

209. Sobre este punto, resulta conveniente remarcar que en su informe "El derecho a la privacidad en la era digital" el Alto Comisionado se refirió al papel que juegan las empresas en la protección de la privacidad de las personas, pues reconoció que los gobiernos recurren cada vez más al sector privado para realizar y facilitar las actividades de vigilancia digital, inclusive señaló que ese proceso es cada vez más formalizado pues el traslado de la prestación del servicio de telecomunicaciones del sector público al sector privado ha producido una delegación de las responsabilidades policiales y cuasijudiciales a los intermediarios de Internet disfrazada de "autorregulación" o "cooperación". Así, expresó que la promulgación de leyes que obligan a las empresas a preparar sus redes para la interceptación es motivo de especial preocupación, en particular porque crea un ambiente que facilita las medidas de vigilancia exhaustiva.

210. Expuso que un Estado puede tener motivos legítimos para exigir a una empresa de tecnología de la información y las comunicaciones que le proporcione datos de sus usuarios; sin embargo, cuando una empresa suministra datos o información de sus usuarios a un Estado en respuesta a una solicitud que contraviene el derecho a la privacidad establecido en el derecho internacional, proporciona tecnología o equipos de vigilancia en masa a un Estado sin salvaguardias adecuadas o cuando se da a dicha información otro uso contrario a los derechos humanos, la empresa en cuestión puede ser cómplice o estar involucrada de otra manera en violaciones de los derechos humanos.

211. Es por ello que señaló que cuando los gobiernos exigen a las empresas que les proporcionen acceso a los datos en contravención de las normas internacionales de derechos humanos, las empresas deben tratar de honrar los principios de derechos humanos en la medida de lo posible, y ser capaces de demostrar sus iniciativas en curso para hacerlo. Ello puede entrañar interpretar las demandas del gobierno de la manera más restringida posible, pedir aclaraciones a un gobierno en relación con el alcance y el fundamento jurídico de la demanda, requerir una orden judicial antes de acceder a las peticiones de datos del gobierno, y comunicar de forma transparente a sus usuarios los riesgos y la aceptación de las demandas del gobierno.

212. Expuesto este preámbulo, debe procederse al análisis de la segunda etapa de la prueba de proporcionalidad, en la cual –cabe precisar– se retomarán y desarrollarán estos parámetros o lineamientos generales que han quedado esbozados en los párrafos precedentes.