¿Y tus datos personales? …también viajan en Uber y Cabify

fondo de movilidad, cabify, uber, aplicaciones, tecnologia, movilidad, secretaria de finanzas, andres atayde, big data, el big data

11 enero 2016 11:59 pm

El acuerdo para regular a las empresas como Uber y Cabify en el Distrito Federal se quedó corto en un aspecto fundamental: la protección de los datos personales.

A pesar de que ambas compañías –a través de sus aplicaciones– recopilan ubicación exacta de sus usuarios: la dirección IP de sus teléfonos, libretas de contactos y hasta el número de sus tarjetas de crédito, no hay quién garantice la confidencialidad de esa información.

Dichas empresas exponen en su políticas de privacidad que protegen los datos personales apegados a lo que establece la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), pero a ojos de expertos esto no asegura nada.

Los académicos advierten que las compañías pueden evadir la ley mexicana alegando estar regidas por las leyes del país dónde se ubica su sede central.

Incluso, ya hay registro de una persona que exigió que se cancelara el uso de sus datos personales del buscador Google –ya que estaban en la red, como los de millones de personas–; sin embargo, la respuesta fue negativa.

En enero pasado el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) pidió a la empresa transnacional que borrara de su buscador los datos de esa persona, pero la firma se negó argumentando que se rige bajo las leyes de Estados Unidos de Norte América.

La regulación en materia de datos personales en manos de privados sólo se regula a nivel federal, pues la norma en el Distrito Federal aplica únicamente para los entes públicos.

Israel Mucio Hernández, Comisionado Presidente del Instituto de Acceso a la Información Pública y Protección de Datos Personales del Distrito Federal (InfoDF) dijo que uno de los temas que se debe analizar es el origen de la base de datos.

Explicó que ante un panorama donde los modelos de negocio son desterritorializados es muy difícil que estas Empresas de Redes de Transporte (ERT) mantengan su base de datos en este país.

“Lo que necesitamos son mecanismos para quien otorga el servicio en México, en términos de la plataforma digital; que la marca en cuestión tenga elementos y compromisos fundamentales sobre cómo proteger esa información”.

“No está mal que recaben la información, hay un consentimiento para recibir el servicio, pero sus datos personales no pueden ser utilizados para otra cosa, es algo muy riesgoso”, fundamentó Mucio.

Considera que se requiere de mecanismos que permitan salvaguardar la información desde el diseño mismo de la aplicación.

“Tiene que haber un pronunciamiento (del INAI) de cómo están resguardados los datos personales, yo creo que sí hay que hacer pruebas de impacto a la privacidad, saber cómo se están geolocalizando y cuáles son los diseños para proteger los datos personales que se están almacenando de manera permanente en la plataforma”.

El vacío legal

La abogada Alejandra Morán Espinosa, experta en Derecho Informático y Derecho de las Nuevas Tecnologías por la UNAM, sostiene que la regulación emitida el pasado 15 de julio en el Distrito Federal –sobre Cabify y Uber– está incompleta.

Según su postura la norma no contempla seguridad de los datos personales; sugiere que el InfoDF podría entrarle al quite y regular a particulares para velar por la privacidad de los usuarios.

“Se hacen normas de todo; podrían hacer una desde lo local, que no tendría que entrar en contradicción con la norma federal como lo haces con el Código Penal o con otro tipo de ordenamientos. El InfoDF sí tienen esa facultad, a lo mejor no lo han intentado; es un conflicto más político que jurídico”.

Agrega que el Gobierno del Distrito Federal tendría que reconsiderar el emitir un nuevo acuerdo que involucre temas de transparencia y claridad.

“Las leyes de México son un cyberparaíso para ellos (Uber y Cabify). Es como cuando usas el correo o el Facebook, le das aceptar si lo quieres usar, pero estás aceptando responsabilidades que tienen que ver con la legislación de otro país”.

“Yo creo que lo ideal, porque el problema no solamente es en el Distrito Federal, sino en todo el país, es que hay que atenderlo primero desde el nivel Federal”, sugiere la especialista”.

Mientras que la maestra investigadora de tiempo completo de INFOTEC, Andrea Mendoza, señala que no hay garantía de saber cómo protegen los datos personales dichas empresas.

“Cumplen con la ley, pero en relación al aviso de privacidad y a los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición); sólo en eso. Lo que más preocupa en servicios como estos es la recolección y transmisión de datos, ellos para prestar el servicio necesitan datos y el problema grave es qué hacen con esa información.

“La pregunta a Uber sería qué medidas de seguridad de la información tienen para que nadie vulnere su sistema, qué tipo de concertación hacen con las personas que tienen acceso a la información para salvaguardad que no vendan la información a un tercero”, indicó.

La investigadora agregó que podrían excusarse de acatar la ley mexicana al argumentar que ellos sólo acatan resoluciones de sus países de procedencia.

De acuerdo con la políticas de privacidad de estas empresas, los usuarios de las plataformas pueden ejercer sus derechos ARCO si no están de acuerdo con el manejo que se le da a sus datos personales.

Según el aviso de privacidad del usuario, Uber puede transferir la información, procesarla y almacenarla en Estados Unidos y a otros países; sin embargo, soslaya que comparte la información en forma agregada y/o anónima de manera que no pueda ser “razonablemente” utilizada para identificar al usuario.

En su página web la empresa con sede en San Francisco, California, señala que según sus políticas de seguridad, si un investigador en materia de seguridad descubre una vulnerabilidad puede denunciarlo por medio de correo electrónico a la empresa y ésta lo atenderá de inmediato.

Consultado al respecto, Ricardo Weder, CEO de Cabify, comenta que la empresa que dirige siempre ha ido “mucho más allá” de la regulación.

“Nosotros tenemos un departamento que protege toda la información de acuerdo a los estándares que se nos exigen y contamos con sistemas de encriptamiento, de seguridad adicional”, señala.

Resalta que a pesar de que la regulación en el DF no contenga lineamientos en cuestión de protección de los datos personales, Cabify ya está obligado por la Ley Federal a resguardar la privacidad y confidencialidad en el uso de la información de cualquier usuario.

Esta casa editorial buscó a Uber para conocer su versión pero hasta la publicación de este texto no se obtuvo respuesta.

 DATOS

 

  •   Uber puede intercambiar la información de sus usuarios con subsidiarias y entidades afiliadas; con proveedores, consultores, socios de marketing y otros prestadores de servicios y con los funcionarios encargados de hacer cumplir la ley, las autoridades gubernamentales u otras terceras partes si creemos que sus acciones son incompatibles con nuestros acuerdos de Usuario, Condiciones del Servicio, o políticas, o para proteger los derechos, la propiedad o la seguridad de Uber u otros, según su política de privacidad.
  •   Uber cuenta con 750 mil usuarios en la Ciudad de México.
  • Cabify es una empresa constituida legalmente en México y  la relación entre Cabify y el usuario, se rige e interpreta con base a  las leyes nacionales; pero su sede se encuentra en España.

CONSULTA LA VERSIÓN IMPRESA DE EL BIG DATA MX:

Participa y Comenta