México establece la acción de habeas data a nivel constitucional al decir que “toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.”¹ En 2010, se reglamentó el tratamiento de datos personales en el sector privado, a través de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, y en 2017 se armonizaron las reglas con el ámbito público a través de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados. El Instituto Nacional de Acceso a la Información y Protección de Datos es la autoridad encargada de vigilar y verificar el cumplimiento de la ley de datos personales, así como de dar trámite a los procedimientos de protección de derechos, verificación y sanción. El régimen de sanciones consiste en multas.

En México, el IFAI reconoció el derecho al olvido cuando un particular (Carlos Sánchez de la Peña) demandó a Google México por considerar que dicha empresa violó su derecho a la protección de datos personales. Pidió entonces la “cancelación, bloqueo y supresión” de tres hipervínculos: una investigación periodística que relacionaba a su familia con un fraude vinculado con la fundación Vamos México de Martha Sahagún; un foro de Yahoo! Respuestas que lo menciona como beneficiario (y defraudador) del Fobaproa y un foro de fuertes críticas cuando murió su padre Salvador Sánchez Alcántara. Para Sánchez de la Peña, los hipervínculos que contenían su nombre, el de su padre y el de sus hermanos le afectaban “en su esfera más íntima, su honor y vida privada, y en sus relaciones comerciales y financieras actuales.” El INAI le dio la razón al solicitante, y condenó a Google a desindexar los vínculos en cuestión so pena de multa¹.

México protege derechos de autor sin necesidad de registro, ni documento o formalidad; da la facultad a los titulares de derechos patrimoniales para autorizar o prohibir la difusión de la obra por cable, fibra óptica o vía satélite y protege los mismos durante la vida del autor y cien años después a partir de su muerte. Además, se protegen los programas de computación en los mismos términos que las obras literarias sea en código fuente o código objeto y se prevén excepciones al derecho de autor por causas de utilidad pública como de investigación científica, educación, prensa, biblioteca y publicaciones sin fines de lucro para personas con discapacidad. También establece que las obras de arte popular o artesanal son del Estado Mexicano si no cuentan con autor identificable y las mismas son de libre utilización. El Instituto Nacional del Derecho de Autor es quien está a cargo de implementar, reglamentar y supervisar dicha Ley¹. Las reglas de sanción, tanto en la ley como en el Código Penal Federal, fueron modificadas con la implementación del Tratado México-Estados Unidos-Canadá (T-MEC), acuerdo de libre comercio que vino a actualizar las reglas del NAFTA en un sentido aun más protector de los derechos de autor.

Actualmente, son reglas de derecho penal común a nivel federal las que podrían cubrir hipótesis de ciberdelincuencia. Así, se sanciona con jornadas de trabajo a favor de la comunidad a quien revele algún secreto o comunicación reservada que conociera con motivo de su empleo; con seis a doce años de prisión a quien revele, divulgue o utilice en perjuicio de otro, información o imágenes obtenidas en una intervención de comunicación privada; con seis meses a dos años de prisión a quien sin autorización modifique, destruya o provoque pérdida de información contenida en sistema o equipos de informática protegidos por algún mecanismo de seguridad; con uno a cuatro años de prisión a quien sin autorización modifique, destruya o provoque pérdida de información contenida en sistema del Estado o del sistema financiero¹.

Todavía está pendiente una actualización a nivel federal sobre ciberdelitos. Si bien en las últimas décadas se incorporaron al Código Penal Federal tipos penales que hablan de sistemas de cómputo, y hay actualizaciones en algunos estados de la federación que incorporan también delitos informáticos, todavía no hay una regulación integral a nivel nacional. México es observador del Convenio de Budapest y ha sido invitado a adherir al mismo, aun cuando esa adhesión podría implicar que se convirtiera al Convenio en ley nacional incluso sin mediar implementación.

En México, la neutralidad de la red fue introducida bajo la Ley Federal de Telecomunicaciones de 2014, en su capítulo VI, artículos 145 y 146. Según la ley mexicana, los proveedores de servicios de internet deben seguir los siguientes principios: 1) libre elección, que los usuarios de los servicios de acceso a Internet podrán acceder a cualquier contenido, aplicación o servicio ofrecido por los concesionarios o por los autorizados a comercializar, dentro del marco legal aplicable, sin limitar, degradar, restringir o discriminar el acceso a los mismos; 2) no discriminación en el sentido que los concesionarios y los autorizados a comercializar que presten el servicio de acceso a Internet se abstendrán de obstruir, interferir, inspeccionar, filtrar o discriminar contenidos, aplicaciones o servicio; 3) privacidad porque deberán preservar la privacidad de los usuarios y la seguridad de la red; 4) transparencia e información pues deben publicar en su página de Internet la información relativa a las características del servicio ofrecido, incluyendo las políticas de gestión de tráfico y administración de red autorizada por el Instituto, velocidad, calidad, la naturaleza y garantía del servicio; 5) gestión de tráfico porque podrán tomar las medidas o acciones necesarias para la gestión de tráfico y administración de red conforme a las políticas autorizadas por el Instituto Federal de Telecomunicaciones (IFT), a fin de garantizar la calidad o la velocidad de servicio contratada por el usuario, siempre que ello no constituya una práctica contraria a la sana competencia y libre concurrencia. A lo anterior, se agrega que los proveedores de servicios de internet “deberán prestar el servicio de acceso a Internet respetando la capacidad, velocidad y calidad contratada por el usuario, con independencia del contenido, origen, destino, terminal o aplicación, así como de los servicios que se provean a través de Internet, en cumplimiento de lo señalado en el artículo anterior.”¹ No han sido emitidos los lineamientos reglamentarios del Instituto, tras propuestas sometidas a consulta pública y que fueran objeto de fuertes críticas.

La Constitución establece que las comunicaciones privadas son inviolables y que “exclusivamente la autoridad judicial federal, a petición de la autoridad federal que faculte la ley o del titular del Ministerio Público de la entidad federativa correspondiente, podrá autorizar la intervención de cualquier comunicación privada”. ¹ No se pueden otorgar estas autorizaciones cuando se trate de materias de carácter electoral, fiscal, mercantil, civil, laboral o administrativo, ni en el caso de las comunicaciones del detenido con su defensor.

De acuerdo con la Ley Federal de Telecomunicaciones y Radiodifusión, los concesionarios de telecomunicaciones están obligados a conservar un registro y control de comunicaciones que se realicen desde cualquier tipo de línea de teléfono durante dos años, para identificar metadatos como los siguientes: a) nombre, denominación o razón social y domicilio del suscriptor; b) tipo de comunicación (transmisión de voz, buzón vocal, conferencia, datos), servicios suplementarios (incluidos el reenvío o transferencia de llamada) o servicios de mensajería o multimedia empleados (incluidos los servicios de mensajes cortos, servicios multimedia y avanzados); c) origen y destino de las comunicaciones de telefonía móvil; d) fecha, hora y duración de la comunicación; e) fecha y hora de la primera activación del servicio y la etiqueta de localización (identificador de celda) desde la que se haya activado el servicio; f) identificación y características técnicas de los dispositivos incluyendo los códigos internacionales de identidad de fabricación del equipo y del suscriptor y g) la ubicación digital del posicionamiento geográfico de las líneas telefónica¹.

Los proveedores de servicio de internet están obligados a colaborar “con las instancias de seguridad, procuración y administración de justicia en la localización geográfica, en tiempo real, de los equipos de comunicación móvil”,¹ bajo sanción penal según las reglas generales.

En México, el supuesto para interceptar comunicaciones en el ámbito de una investigación federal es amplio y ambiguo, pues se establece que en el marco de una investigación, tanto la Procuraduría General de la República y los Procuradores de los estados podrán solicitar al juez una autorización para hacerlo respecto de “todo un sistema de comunicación, o programas que sean fruto de la evolución tecnológica, que permitan el intercambio de datos, informaciones, audio, video, mensajes, así como archivos electrónicos, que graben, conserven el contenido de las conversaciones o registren datos que identifiquen la comunicación, las cuales se pueden presentar en tiempo real o con posterioridad al momento en que se produce el proceso comunicativo”; sin embargo, los servidores públicos que ejecuten la medida serán responsables de que se realice en los términos de la resolución judicial.¹ No pueden ser interceptadas las comunicaciones electorales, fiscales, mercantiles, civiles, laborales o administrativas; ni tampoco las comunicaciones del detenido con su defensor.² Si en la interceptación se tiene conocimiento de un delito diverso de aquellos que motivan la medida, se iniciará una nueva investigación. Los registros que no tengan relación con el objeto del delito deben ser eliminados³.

Fuera de procesos judiciales, el artículo 13 de la Ley de Seguridad Nacional faculta al Consejo de Seguridad Nacional para emitir “los lineamientos para regular el uso de aparatos útiles en la interceptación de comunicaciones privadas” (Art. 13, numeral VII). A la fecha no existen estos lineamientos. Se entiende por intervención de comunicaciones la toma, escucha, monitoreo, grabación o registro de comunicaciones privadas de cualquier tipo y por cualquier medio, aparato o tecnología. Es importante resaltar que la intervención de las comunicaciones procede únicamente en las amenazas listadas en el Art. 5 de la Ley, entre las cuales se encuentran: i) actos de espionaje, sabotaje, terrorismo, rebelión, traición a la patria o genocidio; ii) actos que impidan a las autoridades actuar contra la delincuencia organizada; iii) actos que atenten en contra del personal diplomático; iv) financiamiento de organizaciones terroristas, etc.¹

El Centro de Investigación y Seguridad Nacional (CISEN) tiene facultades para interceptar comunicaciones privadas, pero se necesita correspondiente autorización judicial. La solicitud que el CISEN haga a los jueces debe contener una descripción detallada de los hechos que representen alguna amenaza para la seguridad nacional y el lapso de vigencia de la autorización que se solicita. No hay forma de saber si el CISEN ha cumplido con estas reglas. También se establece que el personal del juzgado está obligado a mantener secreto del contenido de las solicitudes y resoluciones de autorización, así como aquella información generada por la aplicación de las mismas².

Adicionalmente se regula la interceptación de comunicaciones en casos de narcotráfico o delincuencia organizada, estableciendo que la Procuraduría General de la República debe contar con una unidad especializada en la investigación y persecución de delitos cometidos por miembros de la misma. Esta unidad debe contar con un cuerpo técnico de control, que en las interceptaciones de comunicaciones privadas verificará la autenticidad de sus resultados y establecerá lineamientos sobre las características de los aparatos, equipos y sistemas a autorizar. Si en la averiguación previa de un delito relacionado con la delincuencia organizada, se tienen que interceptar comunicaciones, el Procurador o el titular de la “unidad especializada” lo deben solicitar por escrito al juez expresando los detalles de esta, de acuerdo al Art. 17 de la Ley. Esta petición debe resolverse en las seis horas siguientes a que sea recibida la solicitud (Art. 16), pero en ningún caso podrá autorizar interceptaciones en materias de carácter electoral, fiscal, mercantil, civil, laboral o administrativo, ni en el caso de las comunicaciones del detenido con su defensor (Art. 18). La interceptación la puede llevar a cabo únicamente el Ministerio Público. La autorización judicial debe señalar las comunicaciones que serán escuchadas o interceptadas; los lugares que serán vigilados y el periodo durante el cual se llevarán a cabo las interceptaciones, que no podrá exceder de 6 meses, incluyendo sus prórrogas.³