En los próximos días será publicada la reforma constitucional que desaparece diversos órganos constitucionales autónomos, incluyendo el Instituto Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (INAI). El gobierno y la mayoría legislativa que han impulsado esta reforma han argumentado supuestos ahorros presupuestarios y minimizado los efectos que la desaparición del INAI tendrá para la transparencia y la protección de datos personales.
Sin embargo, la experiencia de más de una década de ejercer estos derechos para la protección de los derechos digitales nos permiten advertir la falsedad de esas presunciones. Por el contrario, la desaparición del INAI instala serios obstáculos para el acceso a la información pública y para la protección de datos, como a continuación justificamos.
Menos transparencia, más tardada y más costosa
El acceso a la información pública ha representado una herramienta fundamental para documentar y exhibir públicamente actos de corrupción y violaciones a derechos humanos, como la adquisición irregular de tecnologías de vigilancia y su abuso en contra de periodistas y personas defensoras de derechos humanos.
A lo largo de más de una década, el sistema de solicitudes de acceso a la información pública ha permitido a R3D documentar fenómenos que amenazan los derechos digitales como la adquisición de tecnologías de vigilancia, su costo, estadísticas sobre su uso y otra información fundamental para dimensionar el alcance de estas tecnologías y detectar indicios o evidencia de abusos, por ejemplo, en el contexto migratorio. También nos ha permitido documentar solicitudes de remoción de contenidos en línea y el despliegue de tecnologías en el contexto electoral, entre otros.
El acceso a esta información rara vez ha sido concedido por las autoridades en respuesta a nuestras solicitudes. Frecuentemente las autoridades niegan —falsamente— la existencia de documentos o reservan la información injustificadamente. Es precisamente en esos casos en los que con frecuencia hemos tenido que acudir al INAI para intentar revertir las respuestas y en la mayoría de las veces, es gracias a resoluciones del Instituto que las autoridades han sido obligadas a entregar información de interés público.
Por ejemplo, la Secretaría de la Defensa Nacional (SEDENA) en múltiples ocasiones ha negado la existencia de contratos sobre la adquisición del spyware Pegasus durante los gobiernos de Peña Nieto (con las empresas Proyectos y Diseños VME y Air Cap) y durante el gobierno de López Obrador (con la empresa Comercializadora Antsua). Sin embargo, información obtenida mediante solicitudes de acceso a la información dirigidas a la Auditoría Superior de la Federación (ASF) permitieron demostrar que el ejército mexicano había mentido y con base en esa información el INAI revocó la respuesta y ordenó su entrega mediante resoluciones que a la fecha SEDENA ha ilegalmente incumplido.
Lo mismo sucedió en preguntas realizadas a la Secretaría de Hacienda y Crédito Público (SHCP) respecto de información financiera obtenida por la Unidad de Inteligencia Financiera (UIF) respecto de las empresas comercializadoras de Pegasus, en donde la SHCP negó el acceso a la información y el INAI revocó esa respuesta.
En general, según el último informe anual del INAI, de octubre de 2022 a noviembre de 2023 el órgano garante en materia de transparencia resolvió 20,905 recursos de revisión en materia de acceso a la información pública, de los cuales solo 2,562 veces (12.73%) confirmó la respuesta de inexistencia o reserva de información dada por la autoridad, provocando en esos casos la presentación de 371 demandas de amparo.
Es previsible que frente a la desaparición del INAI y la pérdida de autonomía del órgano garante, este número se eleve considerablemente, lo cual obligue a las personas solicitantes a tener que impugnar mediante el juicio de amparo con mayor frecuencia (ante un Poder Judicial Federal cuya autonomía también se encuentra en vías de desaparecer), lo cual eleva los costos y el tiempo que las personas solicitantes deben invertir para tener acceso a la información pública.
Miles de controversias que hasta hoy decidía el INAI con autonomía, en un procedimiento rápido (en cuestión de meses), sencillo (con suplencia de la queja) y definitivo para la autoridad, tendrán que ser resueltas por el Poder Judicial Federal en procesos que pueden durar años, en donde no existe suplencia de la queja y por ende es necesaria asesoría legal especializada.
Inclusive si la Secretaría Anticorrupción revoca o modifica las respuestas del sujeto obligado, dado que la reforma también elimina de la Constitución el principio de inatacabilidad de resoluciones del órgano garante (es decir, que las autoridades no puedan impugnar las resoluciones del INAI) no puede descartarse que —como sucedía antes de la reforma constitucional que le dio autonomía al INAI—, las autoridades inconformes con las decisiones de la Secretaría Anticorrupción impugnen esas decisiones ante el Tribunal Federal de Justicia Administrativa (y sus análogos a nivel estatal) en procedimientos todavía más lentos, complicados y costosos para impedir el acceso a la información pública.
Lo anterior implica que la sociedad contará con menos información, que tomará más tiempo obtenerla, que impondrá más costos para las personas solicitantes, e incluso, contrario a la propaganda gubernamental, generará mayores costos para el Estado. La necesidad de resolver miles de juicios de amparo y juicios de nulidad interpuestos, tanto por los solicitantes como por los sujetos obligados, en contra de resoluciones de la Secretaría Anticorrupción que hasta ahora no era necesario resolver, previsiblemente implicará costos superiores a los que hasta ahora costaba el INAI.
Los efectos de la reforma no son descuido o casualidad, desde hace años el régimen ha saboteado la labor del INAI como venganza y castigo —entre otras razones— por exigir al ejército transparencia respecto de sus actividades de espionaje ilegal. Lo más preocupante es que en un contexto en múltiples funciones del Estado se encuentran militarizadas y con el anuncio de programas que sugieren un incremento de la vigilancia masiva de la población, la sociedad contará con más obstáculos que nunca para documentar y resistir amenazas a sus derechos digitales, incluyendo la privacidad, la libertad de expresión y la no discriminación.
La protección de datos, desdeñada
En un contexto de vigilancia, digitalización de trámites, uso de sistemas automatizados como la IA y explotación masiva de información personal, es importante contar con organismos autónomos especializados que protejan nuestros datos personales. Dejar esta función a dependencias sin las capacidades y autonomía necesarias aumenta el riesgo de abusos y violaciones por parte del sector público y privado.
El INAI y los organismos locales fungen como autoridades revisoras frente a las prácticas de las instituciones públicas (sujetos obligados). Por ejemplo, mediante mecanismos de revisión e inconformidad sobre las respuestas a solicitudes de Derechos ARCO (acceso, rectificación, cancelación u oposición), presentadas por las personas para disponer de su información frente a los sujetos obligados. De igual forma, estos organismos garantes pueden verificar el cumplimiento de la protección de datos personales.
Aun con el INAI como institución especializada, los sujetos obligados han tratado de esquivar sus obligaciones sobre datos personales. Por ejemplo, el Aeropuerto Internacional Felipe Ángeles (AIFA) presentó una Evaluación de Impacto en la Protección de Datos Personales ante el INAI respecto al sistema de reconocimiento facial que adquirió en 2021, donde señaló que la finalidad de obtener biométricos es por motivos de seguridad y seguridad nacional, así como acortar tiempos de espera y mejorar el flujo de pasajeros.
Producto de las funciones en materia de protección de datos personales, el INAI recomendó al AIFA reconsiderar esas finalidades, ya que son contrarias a las establecidas en el Convenio sobre Aviación Civil Internacional para poder tratar datos biométricos en los aeropuertos, del cual México es parte. El AIFA ha rechazado estas recomendaciones y omitido hacer las modificaciones pertinentes para proteger a las personas. Además, ha cancelado unilateralmente la posibilidad de ejercer los derechos ARCO sobre los datos personales y biométricos recabados por el aeropuerto, las aerolíneas u otras entidades.
Para el sector privado, el INAI puede revisar las respuestas a solicitudes ARCO de las empresas mediante procedimientos de protección de derechos. Es posible atacar incumplimientos mediante procedimientos de verificación y sanción, donde este organismo se cerciora de que los tratamientos de se realicen conforme a la ley. Derivado de estas funciones, el INAI ha ordenado a empresas de telecomunicaciones e instituciones financieras dar acceso a las personas usuarias de esos servicios a los datos de localización y otros datos sobre las comunicaciones que son conservadas por dichas empresas y en ocasiones entregadas a autoridades.
Como ha sido explicado anteriormente, la función de transparencia del INAI también ha sido útil para develar violaciones a la protección de datos personales. En R3D, nos ha permitido detectar e investigar sobre tratamientos por parte de gobiernos y particulares, como el uso de biométricos y reconocimiento facial en aeropuertos, ciudades y estadios, lo cual ha apoyado en la visibilización sus peligros y alimentado nuestras acciones frente al uso masivo e indiscriminado de datos sensibles.
Por ejemplo, en el caso del sistema de identificación biométrica para el acceso a estadios de futbol, conocido como Fan ID, la entrega de información vía transparencia del INAI —pese a que fue testada en varias porciones— fue útil para conocer las alertas detectadas por este organismo sobre este sistema. Esto incluyó el reconocimiento del alto riesgo de este sistema, la gran escala de información personal obtenida en todo el país, el tratamiento de datos de menores de edad, las posibles prácticas de perfilamiento, los riesgos de vigilancia permanente, el impacto de los sesgos, la potencial discriminación y las consecuencias irrevocables que podrían en caso de vulneración de los datos.
Otra de las importantes facultades del INAI que desaparecen con la reforma es la posibilidad de interponer acciones de inconstitucionalidad en contra de normas que amenacen los derechos de acceso a la información pública y de protección de datos personales. De manera notable, una de esas acciones de inconstitucionalidad por parte del INAI permitió que la SCJN declarara como inconstitucional el Padrón de Usuarios de Telefonía Móvil (PANAUT), con el que se pretendía crear una base de datos biométrica de todas las personas usuarias de telefonía móvil en México, en violación de sus derechos a la protección de datos personales.
Sin duda, el sistema de protección de datos posee insuficiencias que deben ser subsanadas. La actualización de leyes en la materia y el fortalecimiento de las facultades y autonomía del órgano garante son necesarios para avanzar en la protección de datos. Sin embargo, la reforma va en sentido contrario de lo que se necesita para garantizar la protección de los datos de las personas, al concentran el poder de decisión en la Secretaría de Anticorrupción y Buen Gobierno, una autoridad centralizada sin especialización ni autonomía. En el caso de los sujetos obligados, los procedimientos de revisión recaerían en las autoridades de control interno y vigilancia de estas mismas entidades, sin que exista certeza sobre la capacidad técnica y la imparcialidad de estas instituciones para vigilar y resolver sobre sus propias actuaciones en este ámbito.
Además, no se establecen disposiciones concretas sobre la protección de datos personales en posesión de particulares. Si bien pareciera que esta labor recaería en la Secretaría Anticorrupción y Buen Gobierno —sin que exista algún desarrollo específico al respecto— queda duda sobre si esta entidad sería la encargada de revisar las determinaciones sobre derechos ARCO de las empresas privadas, o de revisar e investigar incumplimientos de la ley por parte del sector privado.
Esto produce también graves riesgos a la ciberseguridad del país. En ejercicio de sus facultades de verificación, el INAI ha investigado y sancionado a múltiples autoridades y empresas por incumplir sus obligaciones en materia de datos personales, incluyendo múltiples casos de vulneraciones de datos. La destrucción del órgano especializado en la materia y la incertidumbre respecto de la capacidad técnica, autonomía, facultades y recursos de las instituciones que sustituyan sus funciones en esta materia, significa agravar los riesgos de que los sistemas públicos y privados sean vulnerados con consecuencias graves para la sociedad y con impunidad para las instituciones ante su negligencia.
Si la privacidad y protección de datos personales no se encontraban completamente salvaguardadas con el INAI, ¿qué sucederá tras su desaparición y la centralización de esta función en dependencias que no cuentan con la autonomía, imparcialidad y capacidad técnica necesaria? Ante el despliegue de tecnologías a nivel público y privado que procesan masivamente datos personales, la eliminación de este organismo expone a las personas a mayores riesgos y obstaculiza la supervisión y la rendición de cuentas respecto de abusos. No solamente es un retroceso significativo, sino un riesgo inminente para nuestros derechos, que además de todo, ni siquiera producirá ahorros presupuestales.
La destrucción del INAI constituye un grave retroceso para el acceso a la información, la transparencia gubernamental, la privacidad y la protección de datos y con ello, autoridades y empresas cuentan con menos obstáculos para vulnerar los derechos digitales de la sociedad con impunidad, quizás una de las verdaderas intenciones de esta reforma regresiva.
Aún con estos nuevos obstáculos, desde R3D continuaremos luchando por exhibir y resistir las violaciones a derechos humanos en el entorno digital cometidas por el Estado y la industria, las cuales ineludiblemente serán profundizadas a partir de reformas como esta.
