Renegotiated NAFTA might help bridge Mexico-U.S. privacy issues

Privacy attorneys in Mexico insist that privacy protections for personal data should be a top priority in any digital trade discussions, because of Mexico’s stringent individual privacy laws.

“If they are going to renegotiate NAFTA, they should include a section on the protection of personal data,” Joel Gomez, a Mexico City-based internet privacy lawyer, told Bloomberg BNA. Doing so would help ameliorate perceptions “that the U.S. is less strict when it comes to protecting data privacy rights.”

Including mutually agreed upon data privacy rules in NAFTA would help push U.S. companies to follow the principles of the Mexican law, Gomez said. Mexico is dealing with the U.S.—its largest trading partner—so every privacy difference that can be resolved in a trade agreement “could be best for all the parties.”

Possible Models

As far as serving as a model, the Trans-Pacific Partnership (TPP) trade agreement has a chapter on digital trade, but stopped short of provisions that would improve individual privacy protections, Gomez said.

However, the EU-U.S. Privacy Shield data transfer program might serve as a stronger model for a NAFTA privacy provision, Gomez said.

The Privacy Shield allows U.S. companies that self-declare their compliance with EU-approved privacy and security principles to legally transfer personal data from the EU to the U.S. Some 2,000 U.S. companies are certified under the scheme, including Google and Microsoft Corp. Tens of thousands of EU companies also rely on the program to legally transfer data to certified U.S. companies.

“Mexico follows the view of Europe that there is a need for a high level of protection of personal data,” Gomez said. “The Privacy Shield has a good list of requirements for minimum protections.”

Google Mexico

A dispute between Mexico’s privacy regulator and Alphabet Inc.’s Google Mexico demonstrates how a NAFTA privacy provision would be beneficial, Gomez said.

Google Mexico has asserted that it isn’t bound by Mexican law in regard to the search engine functions carried out by its U.S. parent.

The situation with Google Mexico “is an example of the kinds of problems Mexico is running into trying to enforce its own laws on foreign companies,” Gomez said. Data privacy rules in NAFTA could be a good place for Mexico and the U.S. to address such issues, he said.

Mexico’s privacy regulator recognizes the right to be forgotten, which is the right for individuals to request that personal information be removed from online search results if individual privacy outweighs the public right to know about certain information. The INAI has sought to enforce that right against Google Mexico. But others say that the right to be removed from a data search is a flawed internal interpretation of Mexico’s privacy law, inspired by a similar interpretation in the European Union.

[Fragmento de la entrevista que Bloomberg BNA realizó a Joel Gómez Treviño, publicada el 4 de mayo de 2017. Ver nota completa en este enlace.]

Opiniones sobre privacidad de datos en Bloomberg BNA

Joel Gómez es frecuentemente entrevistado por el Centro de Recursos de Derecho de Privacidad y Seguridad de Datos de Bloomberg BNA, medio que busca su opinión en temas relacionados con regulación y aplicación de leyes de privacidad y protección de datos personales en México y América Latina. A continuación compartimos una compilación de diversos artículos que abordan estos temas.

Una lucha tecnológica contra Trump estará en la privacidad de las nubes

Desde el 2013, las grandes transnacionales tecnológicas como Apple, Google o Microsoft han emprendido luchas legales y prácticas de transparencia para defender su reputación que las involucraba en los programas de vigilancia masiva de Estados Unidos, revelados por Edward Snowden.

Pero la llegada de Donald Trump a la Casa Blanca avivó las preocupaciones sobre la privacidad de los usuarios y el futuro de los negocios digitales que gestionan datos de usuarios de todo el mundo, aunado a que el nuevo presidente republicano heredó de su antecesor, Barack Obama, la máquina de espionaje más grande del mundo: la Agencia de Seguridad Nacional (NSA).

“Se pone en un riesgo alto el paradigma del cómputo en la nube porque hay que tener en mente los principales jugadores del cómputo en la nube son estadounidenses. Tenemos la nube de Amazon, la de Google, la de Amazon o la de Apple que son los grandes prestadores de nube con matriz en Estados Unidos, por lo que están sujetos a la jurisdicción estadounidense. Y se pone en riesgo porque están sujetos a hacer lo que Estados Unidos quiera desde el punto de vista administrativo o judicial”, explica Joel Gómez Treviño, presidente de la Academia Mexicana de Derecho Informático.

El Artículo 4º del Reglamento a la Ley Federal de Datos Personales en Posesión de Particulares (LFPDPPP) obliga a las empresas internacionales con representación en México o que realicen tratamiento de datos utilizando medios localizados en el territorio nacional a sujetarse a la legislación mexicana.

Pero existen antecedentes donde las autoridades del país se han visto con muy pocos dientes para defender la legislación y jurisdicción de la Ley mexicana sobre las empresas transnacionales. El caso de Google sobre el derecho al olvido en el país es un ejemplo.

“Los encargados que tengan acceso a tus datos personales que se encuentren fuera del territorio nacional deberán estar sujetos a las disposiciones de la Ley mexicana. Suena muy bonito pero una cosa es lo que diga y otra es que tengas las garras para hacer cumplir a esa empresa americana o extranjera. Ya lo vimos con el caso de Google donde se excusan que son empresas diferentes, que el servicio de búsqueda se maneja en otro lado, y se empiezan a esconder en resquicios legales y es muy difícil hacerlos cumplir”, considera Joel Gómez, también coordinador del Comité de Derecho de las TICS y Datos Personales de la Asociación Nacional de Abogados de Empresa.

[Fragmento de la entrevista que El Economista realizó a Joel Gómez Treviño, publicada el 7 de marzo de 2017. Ver nota completa en este enlace.]