El día de hoy la CONDUSEF dio a conocer el resultado de la supervisión de tarjetas de crédito (presentación de la Comisión) que realiza conforme a la Ley para la Transparencia y Ordenamiento de los Servicios Financieros; la “ley anti-letra chiquita” o “plain Spanish”, que junto con la Disposición Única de la Condusef aplicable a las Entidades Financieras dispone los diversos requisitos que las Entidades Financieras (Bancos, SOFOMES -ER y ENR-, SOFIPOS, etc.), deben satisfacer en la documentación que utilicen para formalizar las operaciones que realicen con el público. Dicho marco normativo establece, por ejemplo, el uso de indicadores como el CAT (Costo Anual Total) y la GAT (Ganancia Anual Total) en los contratos de operaciones acitvas y pasivas, respectivamente, así como en la publicidad de la misma.

Dichos requisitos son abundantes, e incluyen entre otros:

  • El uso de carátulas en las que se contenga de manera clara la información esencial de la operación;
  • Limitaciones en ciertos aspectos del clausulado, particularmente en determinación de intereses y comisiones que podrán ser cobradas;
  • Incluir un listado de las comisiones cobradas, existiendo la prohibición de cobrar 2 comisiones por el mismo hecho generador, y
  • Inclusión de elementos numéricos y gráficos en los estados de cuenta (EDC).

Además ese marco normativo establece diversas formalidades que las Entidades Financieras deben cumplir ante dicha Comisión:

  • Inscribirse en el Sistema del Registro de Prestadores de Servicios Financieros (SIPRES);
  • Registrar sus modelos de contratos de adhesión en el Registro de Contratos de Adhesión (RECA);
  • Registrar las comisiones que cobran en el Registro de Comisiones (RECO), y
  • Consultar el Registro de Usuarios (REUS), que es el listado de exclusión que la CONDUSEF estableció a manera de “do-not-call list”, en el que los usuarios de los servicios de dichas Entidades pueden inscribirse para no recibir llamadas de ofrecimiento de productos y servicios, mismo que de hecho funge como uno de los medios por el cual se puede ejercer la facultad para limitar el Tratamiento de Datos Personales en el marco de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

De acuerdo con la CONDUSEF, entre enero y marzo del 2013 se requirió información a las Entidades Financieras sobre sus contratos para tarjetas de crédito, de cuya revisión derivaron requerimientos de modificación a dichos instrumentos, hechas las cuales se otorgó una calificación del 0 al 10. En agosto del mismo año se requirió a cada Entidad Financiera supervisada 15 expedientes seleccionados aleatoriamente, a fin de verificar que la documentación utilizada con el público correspondiera a la registrada ante esa Comisión.

A este respecto conviene destacar una diferencia importante entre el cumplimiento normativo en materia de crédito al consumo tratándose de Entidades Financieras y Entidades Comerciales; además de que CONDUSEF es la autoridad aplicadora para aquéllas y PROFECO para éstas últimas, las Entidades Financieras pueden salir al mercado con los contratos para sus productos antes de que CONDUSEF realice una revisión de los mismos, en tanto que la revisión y, en su caso, requerimiento de modificaciones de PROFECO se da ex ante.

El resultado fue que BBVA Bancomer (reprobada), Banamex (7.4), Santander (“panzaso”), Banorte (SOFOM Banorte, 8.5; SOFOM IXE, “panzaso”), Scotiabank (7.0), HSBC (8.3) e Inbursa (reprobada), en ese orden, encabezan la lista de Entidades Financieras que registraron incumplimientos como:

  1. Utilizar contratos cuyo texto no corresponde al registrado en el RECA;
  2. La carátula no coincide con los otros documentos de la operación;
  3. Dicha carátula no había sido debidamente personalizada a la operación y/o cliente;
  4. Los EDCs no cumplían con los elementos normativos exigidos, y/o
  5. Carecían de información correcta sobre tasas de interés y/o CAT.

Particularmente BBVA Bancomer, la institución con mayor penetración de mercado en tarjetas de crédito, pasó de una calificación de 9.9 a 2.8, al haber registrado casos de incumplimiento en las 5 conductas arriba listadas; la SOFOM de Banorte sólo perdió 1.2 puntos, registrando sólo omisiones en personalización de la carátula, pues la autorización del cliente para el intercambio de información para fines publicitarios estaba incompleta, pues aunque contaba con la firma del usuario, no indicaba siera para recibirla o no.

Vale la pena mencionar que el anterior requisito es redundante de las disposiciones en materia de protección de datos personales que requieren informar expresamente en el Aviso de Privacidad sobre el uso de información para Finalidades de mercadotecnia, publicitarios y/o de prospección comercial, así como de las Transferencias que realicen de las mismas, hecho que un servidor destacó a título personal en la etapa de comentarios públicos al Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, comentario que fue citado en el Dictamen Total No Final de la COFEMER (página 18, párrafo segundo) a dicho Reglamento.

Algo enfatizado en varios casos fue que los contratos incluían cláusulas de “setoff”, por las que se facultaba a la SOFOM acreditante para cobrar adeudos con cargo a cuentas de depósito que el banco depositario llevase a los acreditados morosos.

La causa más probable sería, como indica la CONDUSEF, que los cambios que ésta ordenó tardaron en permear a lo largo de la estructura de las Entidades Financieras, o se perdieron en el camino, lo cual apuntaría a estructuras que demoran demasiado en moverse para implementar en toda su extensión los requerimientos de la autoridad. Sea como fuere, el resultado es que dichas Entidades Financieras habrán de pagar un total de 256 multas que, en agregado, ascienden a $32’000,000.00.

Sería interesante que la CONDUSEF hiciera un análisis similar de la publicidad de los productos revisados en este caso, pues el marco normativo referido contiene disposiciones que norman incluso el mínimo de puntos que la letra debe contener en materiales impresos, espectaculares, características de anuncios por medios sonoros, etc.

Mi conclusión es que, como he dicho siempre, el trabajo de cumplimiento normativo bien hecho generalmente es poco reconocido, porque de haberse hecho bien no se nota sino hasta que el cliente supera exitosamente una verificación o auditoria; pero el mal hecho puede ser sumamente costoso, tanto financiera como reputacionalmente.

Nota Reforma 19-01-14Una nota publicada el día de ayer en la primera plana de la sección “Nacional” del diario “REFORMA” intitulada “Usa el IFE Datos sin Autorización”, en la que se refiere que el Instituto Federal Electoral habría hecho uso de los datos de Mabel Ivonne Castañaers Leyva en la presentación a los medios en diciembre pasado del nuevo diseño de la credencial para votar con fotografía elaborada por Giesecke y Devrient, superponiendo la fotografía de quien sería empleada de ésta última a la credencial emitida por dicho Instituto a favor de la antedicha ciudadana da oportunidad para comentar sobre la dicotomía que existe en la regulación de la protección de datos personales en posesión de las entidades del sector público y las del sector privado.

En tanto que la nota de referencia cita los artículos 9 y 12 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la “LFPDPPP”),

  1. Debería haber citado la Ley Federal para la Transparencia y Acceso a la Información Pública Gubernamental (la “LFTAIPG”), y
  2. Tratándose del Principio del Consentimiento en aquélla debería haber citado el artículo 8, que contiene las reglas generales del consentimiento para el Tratamiento de Datos Personales, toda vez que la credencial para votar no contiene datos personales que la LFPDPPP considere sensibles.

Esto último debido a que de acuerdo con su artículo 3, fracción VI, son considerados como sensibles “aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual”. Si esa mica contuviera datos como grupo y RH sanguíne que, por ejemplo, son visibles en las licencias de conducir de los EE.UU.A., para el caso de una emergencia por un siniestro de tránsito, la referencia al artículo 9 de la LFPDPPP hubiera sido correcta, pero no es el caso; la referencia tendría que haber sido a su artículo 8, que contiene las reglas generales del consentimiento para los datos personales que no son considerados como sensibles.

Pero el aspecto más fundamental respecto de la materia de la nota deriva de la referencia a la LFPDPPP, cuando debería haber sido hecha a la LFTAIPG. Ello debido a que de acuerdo con el artículo 2 de la primera Ley referida, son sujetos regulados por aquélla Ley, los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, en tanto que de acuerdo con la fracción V del artículo 41 de la Constitución Política de los Estados Unidos Mexicanos, “la organización de las elecciones federales es una función estatal que se realiza a través de un organismo público autónomo denominado Instituto Federal Electoral, dotado de personaldiad jurídica y patrimonio propios”, y que el artículo 106(1) del Código Federal de Instituciones y Procedimientos Electorales, “el Instituto Federal Electoral es un organismo público autónomo, de carácter permanente, independiente en sus decisiones y funcionamiento, con personalidad jurídica y patrimonio propios”.
De un simple silogismo formado con lo anterior podemos concluir que la LFPDPPP no es aplicable al IFE:
  1. PREMISA MAYOR: La LFPDPPP es aplicable a los particulares o personas de carácter privado.
  2. PREMISA MENOR: El IFE no es un particular ni de carácter privado.
  3. CONCLUSIÓN:        La LFPDPPP no le resulta aplicable al IFE.
El estatuto que debió haber sido consultado al respecto es la LFTAIPG, toda vez que de acuerdo con su artículo 1, ésta “…tiene como finalidad proveer lo necesario para garantizar el acceso de toda persona a la información en posesión de los Poderes de la Unión, los órganos constitucionales autónomos o con autonomía legal, y cualquier otra entidad federal”, incluyéndose entre los objetivos de dicha Ley dispuestos en su artículo 4, fracción III, “garantizar la protección de los datos personales en posesión de los sujetos obligados”, estos últimos definidos como en la fracción XIV de su artículo 3 de manera tal que incluye a los “órganos constitucionales autónomos”.
Para tales efectos y otros como los que son materia de la nota a que se ha hecho referencia, el Capítulo IV de la LFTAIPG versa sobre “La Protección de Datos Personales”, y la disposición citada con relación al caso planteado debería haber sido su artículo 21, de acuerdo con el cual “los sujetos obligados no podrán difundir, distribuir o comercializar los datos personales contenidos en los sistemas de información, desarrollados en el ejercicio de sus funciones, salvo que haya mediado el consentimiento expreso, por escrito o por un medio de autenticación similar, de los individuos a que haga referencia la información”.
Además es importante señalar que el Aviso de Privacidad previsto en la LFPDPPP no resulta aplicable para el Tratamiento de Datos Personales en posesión de instituciones del sector público; en ese caso lo que el Sujeto Obligado debe poner a disposición de los individuos un documento en que establezca los propósitos del Tratamiento de sus Datos Personales a partir del momento en el cual los recabe, de acuerdo con los Lineamientos establecidos por su propio Comité de Información. El Reglamento del IFE en materia de Transparencia y Acceso a la Información Pública Gubernamental puede ser consultado en el siguiente enlace: http://bit.ly/1dH0lRh.
Finalmente, conviene mencionar que, de acuerdo con el artículo 18, fracción II, de la LFTAIPG, se considerará como información confidencial a “los datos personales que requieran el  consentimiento de los individuos para su difusión, distribución o comercialización” en los términos de esa Ley, salvo que “…se halle en los registros públicos o en fuentes de acceso público”, excepción que no se surte en el caso reportado por REFORMA, toda vez que conforme al artículo 171(3) del Código Federal Instituciones y Procedimientos Electorales, “los documentos, datos e informes que los ciudadanos proporcionen al Registro Federal de Electores, en cumplimiento de las obligaciones que les impone la Constitución y este Código, serán estrictamente confidenciales y no podrán comunicarse o darse a conocer, salvo cuando se trate de juicios, recursos o procedimientos en que el Instituto Federal Electoral fuese parte, para cumplir con las obligaciones previstas por este Código en materia electoral y por la Ley General de Población en lo referente al Registro Nacional Ciudadano o por mandato de juez competente”.
Nota Reforma 20-01-14photo-3

Capitanes REFORMA  16012014No hay fecha que no llegue, ni plazo que no se cumpla; luego de prórrogas sucesivas desde noviembre del 2013 hasta el viernes 17 de enero de este año, quienes realizan Actividades Vulnerables tuvieron hasta el pasado viernes para cumplir con sus obligaciones de Registro y Alta, así como con la presentación de los Avisos para sus operaciones realizadas entre los meses de septiembre y diciembre.

Si, el micrositio de PLD es deficiente, por decir lo menos, pero desde luego eso no excusa la omisión en el cumplimiento.

¿De qué tamaño pueden ser las contingencias para quienes no se hubieran registrado u omitan presentar los Avisos a los que están obligadas? Por:

  • Abstenerse de cumplir con los requerimientos que les formule la Secretaría;
  • Incumplir con cualquiera de las obligaciones establecidas en el artículo 18 de la LFPIORPI;
  • Incumplir con la obligación de presentar en tiempo los Avisos a que se refiere el artículo 17 de esa Ley, cuando la presentación del Aviso se realice a más tardar dentro de los 30 días siguientes a la fecha en que debió haber sido presentado. En caso de que la extemporaneidad u omisión exceda este plazo, se aplicará la sanción prevista para el caso de omisión;
  • No presentar los Avisos con los requisitos aplicables;

… multa por el equivalente de 200 hasta 2,000 días de salario mínimo general vigente en el D.F.

  • Omitir presentar los Avisos a que se refiere el artículo 17 de la Ley.

Multa por el equivalente a 10,000 y hasta 65,000 mil días de salario mínimo general vigente en el D.F., o del 10% al 100% del valor del acto u operación, cuando sean cuantificables en dinero, la que resulte mayor.

Si bien el artículo 55 de la “Ley Anti-Lavado” (o LFPIORPI) permite presentar por una vez de manera extemporánea los Avisos requeridos antes de que la autoridad ejerza facultades de verificación, ello no alcanza a la obligación de Alta en el micrositio del SAT. De manera que quienes no la hubieran cumplido en tiempo y forma podrían tener dificultades importantes… y costosas.

Cookie MonsterEl escalonamiento con el que la regulación mexicana en materia de protección de datos personales ha sido emitida ha supuesto para los Responsables del Tratamiento de Datos Personales la necesidad de hacer trabajo adicional para implementar su cumplimiento normativo  correctamente.

Desde el 5 de julio de 2010, fecha en que fue promulgada la Ley Federal de Protección de Datos Personales, y hasta el 21 de diciembre del 2011, mucho después de transcurrido el plazo de un año previsto en el Artículo Tercero Transitorio de esa Ley para que dichos Responsables expidieran sus Avisos de Privaciad, hasta que tras un largo periodo de comentarios públicos en la Comisión Federal de Mejora Regulatoria, fue expedido el Reglamento correspondiente, todos los requisitos para esos Avisos de Privacidad que posteriormente fueron denominados como Integral y Simplificado estaban contenidos en los artículos 8, 15, 16, 36 y 37 de la Ley.

Esos requisitos se limitaban a:

  1. Identidad y domicilio del Responsable;
  2. Información que se recaba de los Titulares de los Datos Personales tratados;
  3. Finalidades del tratamiento de datos;
  4. Ppciones y medios para que los Titulares limiten el uso o divulgación de sus Datos Personales;
  5. Medios para ejercer los Derechos ARCO;
  6. Las Transferencias de datos que se efectúen;
  7. El procedimiento y medio por el cual el Responsable comunicará a los Titulares los cambios al Aviso de Privacidad, y
  8. Consentimiento, ya sea tácito o expreso.

…y fueron incrementados por el citado Reglamento, por ejemplo con la obligación prevista en su Artículo 112, por virtud del cual aquellos Responsables que lleven a cabo el Tratamiento de Datos Personales en procesos de toma de decisiones sin que intervenga la valoración de una persona física deben hacerlo explícito entre la Finalidades de dicho Tratamiento, al igual que el requisito derivado del último párrafo del Artículo 14 del citado Reglamento, de acuerdo con el cual cuando el Responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento se deberá informar al titular sobre el uso de esas tecnologías, que a través de las mismas se obtienen datos personales y la forma en que se podrán deshabilitar..

Lo anterior fue clarificado a través de los Lineamientos para el contenido y alcances de los Avisos de Privacidad, emitidos por la Secretaría de Economía con fundamento en el artículo 43, fracción III, de la Ley, el cual la facultó para coadyuvar con el IFAI en la emisión de los mismos, cuyo Lineamiento Trigésimo Primero requiere que cuando el Responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento deberá informar al titular, a través de una comunicación o advertencia colocada en un lugar visible, sobre el uso de esas tecnologías y sobre el hecho de que a través de las mismas se obtienen datos personales, así como la forma en que se podrán deshabilitar, salvo que dichas tecnologías sean necesarias por motivos técnicos, obligando asimismo a incluir en el Aviso de Privacidad la información requerida por el Reglamento de la Ley y la de los propios Lineamientos, entre ella, los datos personales que se recaban y las finalidades del tratamiento.

Una de las maneras más obvias para darse cuenta de que un Responsable ha mantenido en uso un Aviso de Privacidad Integral en medios remotos, como una página de Internet, desde la promulgación de la LFPDPPP o el vencimiento del plazo para implementar ese medio de cumplimiento con el Principio de Información es la omisión de la referencia al uso de cookies, web beacons y otros recursos similares en el referido Aviso.

¿Por qué la necesidad de incluir la mención del uso de mecanismos como las “Cookies” en el Aviso de Privacidad? La entrada en Wikipedia para Cookies explica que estos archivos fueron concebidos originalmente para identificar a los usuarios y diferenciar el comportamiento de los sitios de comercio electrónico al realizar compras en sitios de comercio electrónico; por ejemplo pueden ser usadas para “…control de usuario: cuando se introduce el nombre de usuario y contraseña, se almacena una cookie para que no tenga que estar introduciéndolas para cada página del servidor. Sin embargo, una cookie no identifica solo a una persona, sino a una combinación de computador-navegador-usuario”, pero que además de pueden ser usadas para rastrear el movimiento del usuario a lo largo de las páginas web visitadas, búsquedas realizadas, etc.

Desde que Internet se volvió un medio financiado fundamentalmente a través de la venta de publicidad el perfilamiento de usuarios se ha vuelto una necesidad para compañías como Google, Yahoo! y Microsoft. Sin embargo puede tener implicaciones importantes para los usuarios en cuanto a privacidad y acceso a oportunidades. El perfilamiento de usuarios podría

Una nota del Wall Street Journal el año pasado explica, por ejemplo, cómo Orbitz distingue entre usuarios de PC y de Mac para ofrecer antes a estos últimos servicios con precios más altos que a los primeros, asumiendo que quien invierte en una Mac es más proclive a optar por servicios “high-end” y, por lo tanto, más caros. Se han hecho también estudios que apuntan al incremento en el riesgo de que el perfilamiento de usuarios a través de diversos medios, incluyendo Internet, podrían resultar en discriminación. La posibilidad de combinar información de fuentes como registros públicos, reportes de crédito, historial de consumos y ubicación podría prestarse a limitar el acceso a bienes y servicios buscados en Internet si sus oferentes optaran por segmentar ese acceso en función del género, edad, nivel socio-económico y consumo de los usuarios.

De ahí que para lograr una verdadera autodeterminación informativa la autoridad de protección de datos personales haya requerido a los Responsables revelar el uso de tecnologías para obtener datos personales a través de Internet y la manera para deshabilitarlas.

El siguiente video de YouTube ilustra, por ejemplo, cómo Google utiliza y almacena las cookies e información obtenida de ellas en su motor de búsqueda. Por otra parte, el Washington Post publicó hace unos días una nota sobre cómo la Agencia de Seguridad Nacional de los EE.UU.A. se vale de esas mismas cookies para identificar y ubicar blancos de hackeo y vigilancia. De particular relevancia es lo indicado en los siguientes párrafos de la nota, que daría tranquilidad a la inmensa mayoría de los usuarios de Internet:

The intelligence agencies have found particular use for a part of a Google-specific tracking mechanism known as the “PREF” cookie. These cookies typically don’t contain personal information, such as someone’s name or e-mail address, but they do contain numeric codes that enable Web sites to uniquely identify a person’s browser…

The NSA’s use of cookies isn’t a technique for sifting through vast amounts of information to find suspicious behavior; rather, it lets NSA home in on someone already under suspicion

Emma Butler, , published an entry in the blog of the International Association of Privacy Professionals discussing the characteristics that are to be sought in a privacy professional. The key questions she poses to select the right person for such a role are:

“…do you want a lawyer who just advises on the interpretation on the law and leaves decision making on privacy and subsequent implementation to the business? Or do you want a practitioner who can drive the privacy programme from the ground up, making key decisions and delivering privacy effectively across the business?”

Following she outlines the :

  • Someone who can make decisions.
  • Understand business priorities and limitations.
  • Deliver training.
  • Assist with risk assessment and project manage.
  • Develop and run the privacy programme.
  • Take a strategic view as well as firefight daily.
  • Plan for the medium and long-term but also react quickly to changing demands and deadlines.
  • Unlikely to also be experts in employment law, coding, firewalls or liability caps so they need to be able to successfully co-operate with, and use the expertise of, all facets of the business. And speak their language—whether marketing, IT, legal, audit, risk management or business development.
  • Be leaders.
  • Be able to explain to and influence the senior management to get buy-in for projects, resources and changes to process, policy or even culture.
  • Champion privacy and compliance among the business, often globally, and both lead and support other compliance staff or business champions.
  • Be visible, personable and available to all staff: a source of advice and expertise, and a business enabler.
  • Public speaking skills, presentation skills, diplomacy and the ability to think on your feet.

The mention of the privacy professional as a “business enabler” is key in my line of thinking and practice. I believe it doesn’t take a “highly-pedigreed” lawyer with lots of credentials to say something cannot be done; anyone, whether ignorant or not, can simply say no to something and kill an entire project.

However one such professional should at least be willing to sit and take a long hard look at things in an attempt to find a way for his clients’ projects to work and suggest how to go about it, unless they were definetly contrary to the law.

So when choosing a privacy professional for your organization and/or projects, you may care to consider whether or not that person meets with these characteristics outlined by Ms. Butler, and whether that professional’s attitude is of qualified enablement or incompetent obstruction.

 

Wayra Mentor WallMe complace participar que recién inicié mi primera sesión de mentoría con Wayra, la incubadora de emprendedores de Telefónica. Seré mentor de aspectos legales para Vandedroid, quienes producen apagadores de luz que permiten controlar el consumo eléctrico, intensidad de iluminación, incluso los colores de la iluminación a través de un aplicativo móvil.

Afortunadamente se ha tomado conciencia de que México no es un país de grandes empresas… sino de grandes emprendiemientos, y se está empezando a dar acceso a los emprendedores tanto a fondos como a mentoría, e idealmente a “smart money”, que es la combinación de ambos.

En cualquier caso, el tema es que los aspectos legales son fundamentales para el emprendimiento; cuando el principal activo es intangible, por tratarse de una idea, la protección de convenios de confidencialidad es fundamental. Asimismo la protección de la propiedad intelectual, derechos de autor, secretos industriales y know-how es primordial en el estado embrionario de una empresa.

Tras años de trabajo como abogado corporativo conozco los aspectos fundamentales del período de arranque de una empresa, su desarrollo y los requerimientos legales que tendrán a lo largo de su operación. Más aun, tratándose de emprendimientos intensivos en tratamiento de datos personales, el cumplimiento normativo de la materia es algo fundamental con lo cual me encuentro capacitado para apoyarles.

Sin duda será un gran proyecto.

FIDP13_00217La semana pasada tuve oportunidad de asistir a 2 importantes eventos en materia de tecnologías de la información realizados en la Ciudad de México:

  1. El “Encuentro Legislativo con la Sociedad sobre Tecnologías de la Información y Comunicación de la Cámara de Diputados“, organizado por la Comisión Especial de Tecnologías de la Información y Comunicación de dicha Cámara y la Asociación Nacional de Abogados de Empresa (ANADE), y
  2. El Foro Internacional del IFAI sobre Seguridad de Datos Personales, organizado por dicha agencia de protección de datos.

El primer evento fue, en palabras del Dr. Alfredo Reyes Krafft, como “speed dating” en materia de conocimiento de regulación de tecnologías de la información; se organizaron 10 mesas para abordar temas como nombres de dominio, protección de datos personales, protección de la propiedad intelectual, prueba electrónica en juicio e impacto de las TI’s en materia laboral, etc., de manera rotativa con especialistas como la Dra. Isabel Davara, Kiyoshi Tsuru, Joel Gómez y varios más que fueron moviéndose entre las mesas en compañía de un(a) Diputado(a), a fin de comentar los aspectos más relevantes.

Para los asistentes menos versados en esos temas fue, sin duda, una experiencia enriquecedora, al igual que para varios de los legisladores que estuvieron presentes, no obstante que se realizaba una sesión del pleno, quienes demostraron gran interés por empaparse de los temas y entender su impacto en la Agenda Digital de nuestro país, así como el estado de la legislación en esas materias.

El segundo evento, organizado por el IFAI, tuvo como ponentes tanto a funcionarios de la Agencia Española de Protección de Datos, de la Delegatura para la Protección de Datos Personales de Colombia, del Institute of Audit & IT -Governance España y de SM4RT Security, empresa mexicana que estuvo muy cercana al IFAI en el desarrollo de sus Recomendaciones en Materia de Seguridad de Datos Personales.

Uno de los aspectos más relevantes de ese evento fue la explicación de la Metodología de Análisis de Riesgo BAA, siglas para:

  • Beneficio, para el atacante, en cuanto al valor económico, reputacional o estratégico de los datos personales blanco del ataque;
  • Accesibilidad de los datos personales, en cuanto a lo cual se plantea la disyuntiva entre su confidencialidad y la posibilidad de tenerlos a la mano, y
  • Anonimidad del atacante.

La aplicación de esa metodología se orienta a reducir la rentabilidad del atacante, al elevar el riesgo que el ataque le representaría respecto del retorno que podría obtener a través del mismo.

La materia de seguridad de la información es sumamente técnica, y en organizaciones más sofisticadas requiere de la intervención de uno o más especialistas en diversas materias, tales como informática, mitigación de riesgos, seguridad física y perimetral, entre otras, además de requerir de la toma de decisiones muy íntimas para la organización.

En este aspecto la mayor aportación del abogado especialista en protección de datos personales es identificar aquellos aspectos operativos que pudieran significar un incremento del riesgo legal inherente al tratamiento de datos personales, así como tomar las aportaciones de los otros especialistas involucrados y vertirlos en un documento que cumpla con los requisitos determinados por la autoridad de protección de datos personales.

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace

SoshiTech - Soshitech.com

Technology News, Startup Information & Social Networking

Rodrigo Orenday

Abogado & LL.M., Law, Science & Tech

Blog de Jorge Molet

Marcas, Patentes, Derechos de Autor, Protección de Datos Personales y Tecnologías de la Información.

Propiedad Intelectual y Registro de Marcas en Mexico por Cesar Ramirez Esteves

Abogado especialista en registro de marcas, Patentes, Derechos de Autor, Secretos Industriales, (Propiedad Intelectual) Guadalajara, México.

Silvia Rosales

Propiedad Intelectual y Protección de Datos Personales

Quartz

Quartz is a digitally native news outlet for the new global economy.

informativo digital

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 157 seguidores