FAN ID: cuando una multa deja más preguntas que respuestas

Por: Dra. Norma Julieta del Río
Zacatecas, Zac.-La protección de los datos personales dejó de ser un tema reservado para especialistas. Hoy forma parte de la vida cotidiana de millones de personas. Cada ciudadano que utiliza un teléfono celular, realiza una compra, abre una cuenta digital o accede a un servicio comparte información personal que merece ser protegida.

En México, donde existen más líneas telefónicas que habitantes y prácticamente toda la población utiliza un dispositivo móvil, la preocupación por el uso y resguardo de los datos personales, especialmente los biométricos, ha crecido de manera importante. La sociedad exige algo elemental: que sus datos estén seguros y que las empresas e instituciones que los recaban cumplan con la ley.

Por eso, el caso FAN ID merece analizarse con seriedad y sin simplificaciones.

La Federación Mexicana de Futbol implementó este mecanismo para los aficionados que acudían a los estadios, bajo el argumento de fortalecer la seguridad después de los hechos de violencia ocurridos en La Corregidora, Querétaro. Nadie puede negar que la seguridad en los espacios deportivos es un objetivo legítimo. Sin embargo, también es cierto que ninguna finalidad, por importante que sea, justifica dejar de observar las reglas que protegen los datos personales.

Si una empresa o institución recaba información sensible, incluidos datos biométricos, debe hacerlo bajo los principios de legalidad, proporcionalidad, transparencia y seguridad. Cuando esos principios se incumplen, deben existir consecuencias. La protección de los datos personales no puede quedarse en el discurso; debe traducirse en responsabilidades reales.

Pero una sanción legítima también debe ofrecer certeza jurídica.

La Secretaría Anticorrupción y Buen Gobierno anunció recientemente una sanción contra la Federación Mexicana de Futbol por el caso FAN ID. La noticia podría interpretarse, en principio, como una señal de firmeza en la defensa de la privacidad de las personas. No obstante, al revisar los antecedentes del expediente aparecen interrogantes que siguen sin respuesta.

Es importante precisar un punto que en el debate público ha generado confusión: la base de datos del FAN ID no fue vulnerada ni existe evidencia de que haya sido hackeada. Ese no fue el motivo de la sanción ni el centro del cuestionamiento jurídico.

El problema estuvo relacionado con la forma en que se diseñó, implementó y justificó el tratamiento de los datos personales recabados. Al revisar el caso, las observaciones se enfocaron en el cumplimiento de los principios establecidos en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, como la legalidad, información, proporcionalidad, finalidad, responsabilidad y seguridad.

Es decir, no se trató de una filtración de información ni de una falla técnica que pusiera los datos de los aficionados a disposición de terceros. La discusión estuvo en si el mecanismo cumplía con todas las obligaciones que tiene cualquier responsable que recopila datos personales, particularmente cuando se trata de información sensible como los datos biométricos.

¿Por qué una sanción anunciada más de un año después de la desaparición del INAI y del cambio del modelo institucional resulta prácticamente el doble de la que estaba considerada en el proyecto definitivo que formó parte de los trabajos de entrega-recepción?

La pregunta es inevitable: ¿qué cambió?

Las autoridades tienen la obligación de explicar sus decisiones. No basta con anunciar una multa; es indispensable precisar qué elementos jurídicos, técnicos o probatorios justificaron modificar de manera sustancial el monto de la sanción.

Este expediente, además, nunca contó con consenso dentro del Pleno del INAI. Dos comisionadas votamos en contra porque advertimos inconsistencias jurídicas, cambios de criterio, aspectos ambiguos, posibles intereses de por medio, deficiencias en la investigación y dudas sobre distintas etapas del procedimiento.

Nunca estuvo en discusión la importancia de proteger los datos personales. Todo lo contrario. Precisamente porque se trata de un derecho fundamental, las actuaciones de la autoridad deben sostenerse en el mayor rigor jurídico.

Uno de los aspectos que más preocupación generó fue el cambio de criterios dentro del propio expediente. La interpretación jurídica utilizada para sustentar algunos elementos de la sanción se modificó en un periodo relativamente corto. Cuando una autoridad cambia el fundamento de una decisión con impacto en derechos y consecuencias económicas, está obligada a explicar con claridad las razones que motivaron ese cambio.

La legalidad no es un obstáculo para sancionar; es la condición indispensable para que una sanción sea válida y legítima.

A ello se sumó otro elemento que exigía especial cuidado: la denuncia presentada por representantes de la Federación Mexicana de Fútbol ante el Órgano Interno de Control del INAI, en la que se señalaron presuntas presiones y actos de extorsión atribuidos a personal relacionado con oficinas de comisionados para influir en el monto de la sanción.

La sola presentación de una denuncia no acredita responsabilidades, pero sí obligaba a garantizar una actuación absolutamente transparente, imparcial y libre de cualquier duda.

Hoy, con una nueva sanción sobre la mesa, la interrogante permanece.

Si cambiaron las pruebas, debe explicarse. Si cambió la interpretación jurídica, debe justificarse. Si cambió el criterio, también debe transparentarse.

Porque defender los datos personales exige mucho más que imponer multas. Exige instituciones confiables, procedimientos sólidos y resoluciones capaces de resistir el escrutinio público.

Los ciudadanos tienen derecho a exigir que sus datos biométricos estén protegidos, ya sea cuando los entregan para ingresar a un estadio, contratar un servicio telefónico o utilizar cualquier plataforma digital.

Y justamente por ello resulta inevitable formular otra pregunta. Si hoy existe tanta firmeza para sancionar un caso como FAN ID, ¿por qué ese mismo nivel de exigencia no se observa en el debate sobre el nuevo padrón nacional de registro de telefonía móvil?

La recopilación masiva de datos personales y biométricos para fines de identificación merece el mismo escrutinio, las mismas garantías y el mismo compromiso institucional con la privacidad. El silencio frente a ese tema también genera incertidumbre.

La privacidad es un derecho. La seguridad también lo es. El reto de un Estado democrático es garantizar ambas.

Una autoridad fuerte no es la que impone la multa más alta, sino la que logra que sus decisiones sean incuestionables por su fundamento, transparencia y apego a la ley.

Porque cuando una multa crece, pero las explicaciones no, lo que aumenta no es la justicia, sino la incertidumbre.

*

*

Top