El Tribunal Federal de Justicia Administrativa concluyó que el Inai falló en verificar el cumplimiento de una resolución emitida por el propio instituto y que, de manera infundada, avaló la respuesta que AT&T dio a uno de sus clientes en la que niega el acceso completo a datos personales. El 28 de septiembre de 2017, los tres magistrados de la Sala Especializada en Juicios en Línea del tribunal emitieron una sentencia que obliga al Inai —el órgano público para la protección de los datos personales en México— a admitir que AT&T incumplió con una resolución del pleno, adoptada por unanimidad y que obliga a la operadora a entregar a su cliente, entre otros datos, la ubicación digital del posicionamiento geográfico de su línea móvil (la ubicación aproximada del dispositivo desde el que se realizó una comunicación). La sentencia al expediente 17/411-24-01-01-07-OL, que concede la nulidad de un acuerdo del Inai, determina que en la respuesta de AT&T a su cliente “no existe ningún señalamiento, dato o referencia en cuanto al posicionamiento en relación a las estaciones base o repetidoras, como infundadamente lo indicó la autoridad en el acto impugnado; conceptos que ni siquiera menciona la moral responsable en su escrito de cumplimiento”.
El contexto es rocambolesco: el Inai resolvió el 13 de julio de 2016 que AT&T de México debía entregar datos relacionados con el posicionamiento de la línea móvil de uno de sus clientes, por considerarlos datos personales y estar al amparo de la ley en la materia. En supuesto cumplimiento a esa resolución, AT&T hizo como que los entregó, cuando en realidad volvía a negarlos e incumplía con la resolución del pleno. Era de esperarse que, al verificar el cumplimiento de dicha resolución, el Coordinador de Protección de Datos Personales del Inai notara la ausencia de la información solicitada a AT&T, pero en cambio determinó que la compañía sí había cumplido y ordenó archivar el caso. El cliente se inconformó y acudió al tribunal administrativo para demandar la nulidad del llamado “acuerdo de cumplimiento” del coordinador. El tribunal, a través de la Sala Especializada en Juicios en Línea, le dio la razón.
Antes de continuar, dejo constancia de que el ciudadano al que beneficia la sentencia soy yo. El 7 de enero de 2016, en coincidencia con la entrada en vigor de los lineamientos que reglamentan el Título Octavo de la Ley Federal de Telecomunicaciones y Radiodifusión (LFTR), inicié este ejercicio periodístico y jurídico para poner a prueba las regulaciones de protección de datos personales y de retención de datos y metadatos de las comunicaciones en México. El Título Octavo fue diseñado para que las operadoras colaboren con las autoridades de seguridad, procuración y administración de justicia en el combate a la delincuencia y permite, por ejemplo, ubicar en tiempo real un teléfono vinculado a un secuestrador o a algún miembro de una banda criminal. Para cumplir ese objetivo, el artículo 190 obliga a las operadoras a resguardar durante 24 meses siete conjuntos de datos y metadatos de comunicaciones telefónicas; la lista incluye datos tan elementales como nombre o dirección del cliente hasta otros de mayor complejidad, como la ubicación aproximada del aparato de comunicación vinculado con la línea de un determinado usuario de telefonía móvil.
Esa información identifica y hace identificable a una persona, por lo que se encuentra protegida por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Así lo consideran la Suprema Corte y el Inai, que en su resolución del 13 de julio de 2016 consignó: “Es evidente que la información señalada en la fracción II del artículo 190 son datos personales de los usuarios finales de servicios de telecomunicaciones”. Y añadió: “Si bien se puede aceptar que con el objeto de proteger la seguridad nacional existan leyes para la recolección y almacenamiento de información personal en registros no abiertos al público, con debidas garantías para el uso proporcional y con finalidades legítimas, dicha situación no impide el derecho de acceso a información personal mantenida por orden de disposiciones legales bajo ciertas circunstancias”.
El mismo año que en México se aprobó la regulación que permite vigilar 112 millones de líneas móviles y 20 millones de líneas fijas, la Unión Europea desterró la llamada Directiva de Retención de Datos y determinó que sólo se pueden resguardar datos y metadatos de los usuarios de telefonía móvil con fines técnicos y para cobro y facturación del servicio. La Suprema Corte ha validado el artículo 190, a pesar de los riesgos para la privacidad de los ciudadanos que implican la retención y la transmisión de datos relacionados con las comunicaciones. En 2016, AT&T colaboró 5,806 veces con las autoridades y les entregó datos y metadatos de las comunicaciones de sus clientes; en 269 veces entregó datos relacionados con el posicionamiento geográfico de las líneas móviles, de acuerdo con solicitudes de transparencia realizadas por este redactor al Instituto Federal de Telecomunicaciones. El criterio de AT&T ha sido: a las autoridades sí entrego los datos; al titular de los datos, no.
Si por razones de seguridad y justicia debemos aceptar una normativa tan peligrosa, lo mínimo que debemos exigir es que se cumpla al pie de la letra, con responsabilidad y respeto a los derechos fundamentales. La sentencia del tribunal exige que el Inai “emita una nueva resolución en la que tenga por no cumplimentada” su resolución del 13 de julio de 2016, pero lo más importante es que le exige proceder “conforme a derecho, atendiendo a la legislación de la materia aplicable”. Esta historia podría tener más capítulos (el Inai puede presentar un recurso de revisión ante el Tribunal Colegiado de Circuito en Materia Administrativa y AT&T, un amparo directo), pero deja claro que la protección de datos personales en México debe tomarse en serio.
Cronología del caso
7 de enero del 2016
Un cliente de AT&T le pide a la compañía acceso a sus datos personales, principalmente a los referidos en el artículo 190 de la Ley Federal de Telecomunicaciones y Radiodifusión, que obliga a los operadores a resguardar datos y metadatos de las comunicaciones móviles de sus clientes durante dos años.
15 de febrero
Días después de vencido el plazo de respuesta impuesto por la ley, AT&T entrega a su cliente datos generales sin considerar la ubicación digital del posicionamiento geográfico de las líneas (la ubicación aproximada del dispositivo desde el que se realizó una comunicación) como detalla el artículo 190. Esa información “puede ser requerida de forma gratuita” en centros de atención al cliente, le informó AT&T. Once días después, un empleado de la compañía envía al cliente un archivo de 755 páginas que no incluye la ubicación aproximada del dispositivo.
7 de marzo
El cliente presenta una queja ante el Inai, el órgano público para la protección de datos personales en México. Durante el llamado “proceso de protección de derechos”, AT&T mantiene silencio y no aporta pruebas ni respuestas a la autoridad; tampoco acepta conciliar con el cliente.
13 de julio
El pleno del Inai resuelve por unanimidad que es procedente el reclamo del cliente, obliga a AT&T a entregar la información y ordena el inicio de un proceso de imposición de sanciones “por su presunta negligencia en la tramitación y respuesta de la solicitud de acceso de datos personales”. El 23 de agosto, AT&T entrega al cliente la misma información que éste recibió del centro de atención sin la ubicación aproximada del dispositivo.
16 de enero de 2017
El Coordinador de Protección de Datos Personales del Inai emite un “acuerdo de cumplimiento” en el que asegura de manera infundada que AT&T entregó todos los datos solicitados y da por cerrado el caso.
28 de septiembre
Luego de presentar una demanda de nulidad ante el Tribunal Federal de Justicia Administrativa, la Sala Especializada en Juicios en Línea da la razón al cliente y señala que “la empresa no dio cumplimiento” al mandato del Inai, pues en su respuesta “no existe ningún señalamiento, dato o referencia en cuanto al posicionamiento en relación a las estaciones base o repetidoras, como infundadamente lo indicó la autoridad en el acto impugnado”. La Sala ordena al Inai emitir un nuevo acuerdo en el que conste que AT&T no cumplió “y proceda conforme a derecho”.
