Image: Hacker imageAunque en la práctica de protección de datos personales en México es común escuchar preguntas del cliente sobre el modelo estadounidense en la materia, esa no es la base a seguir, pues no hay legislación federal como la que rige en México, donde seguimos la práctica europea con tintes “híbridos”. Para ejemplo el caso de las vulneraciones de seguridad; la regulación de privacidad en los EE.UU.A. está “atomizada”, de manera que sólo tratándose de sectores como servicios financieros, de salud o información personal de menores de edad hay obligaciones concretas para informar la vulneración de la seguridad de los datos personales por cuyo tratamiento son responsables las empresas de aquel país.

Ese hueco había sido llenado por leyes locales, mediante las cuales 48 de los 50 Estados de la Unión Americana obligaron a los responsables del tratamiento de datos personales a notificar dichos eventos a los titulares potencialmente afectados. Apenas hoy el Presidente Obama anunció el proyecto para iniciar legislación federal que proteja de mejor manera, incluyendo la notificación de vulneraciones, a las personas respecto de sus datos personales. Aún así, en los EE.UU.A. se han ventilado más casos de los que se hayan dado a conocer en México.

Mientras que el 2014 vio ocurrir eventos como los de Home Depot, Staples, iCloud y Sony Entertainment, precedidos por el de Target en 2013, en México parecía que esas cosas no ocurrían, hasta que el 24 de diciembre del año pasado El Puerto de Liverpool notificó a la Bolsa Mexicana de Valores la vulneración de sus sistemas informáticos como evento relevante. A la fecha un grupo de “hacktivistas” se ha adjudicado el ataque a través de redes sociales y blogs, sin que se haya tenido conocimiento de que Liverpool haya contactado a los clientes que pudieran haber sido afectados para informarles al respecto. Ante los cuestionamientos al respecto surgen dudas sobre el conocimiento o desconocimiento sobre qué se considera una vulneración a la seguridad de los datos personales, cómo es que el Sistema de Gestión de Datos Personales ayuda a los Responsables a prevenir tales eventos y las obligaciones que tienen si ocurriesen.

El martes 20 de enero de 2015, a las 10 hrs, llevaremos a cabo un Webinar en el que serán explicad@s:

1) Eventos previstos en la Ley Federal de Protección de Datos Personales como vulneraciones de seguridad;
2) Elementos del Sistema de Gestión de Datos Personales que ayudan a prevenirlas;
3) Acciones a tomar y obligaciones por cumplir ante una vulneración de seguridad conforme a la Ley Federal de Protección de Datos y otras disposiciones;
4) Sus posibles consecuencias (potenciales infracciones a la Ley Federal de Protección de Datos y otros ordenamientos), y
5) Ejemplos prácticos.

Costo por participante: MXN$500.00 más IVA. Naturalmente se expedirán las facturas correspondientes. Puede registrase directamente en este vínculo, o si prefiere realizar su pago a través de PayPal.

Buy Now Button with Credit Cards

Liverpool-567x425-567x400 - CopyEn un año que ha destacado por las vulneracoines a la seguridad de los sistemas de grandes cadenas comerciales en los EE.UU.A., tales como Target, Home Depot, Staples, JP Morgan Chase, y empresas como Apple (Re. “#CelebGate“), Snapchat (Re: “#Snappening“) y Sony Pictures, una pregunta en la mente de varios de quienes ejercemos en materia de protección de datos personales había sido ¿cómo es que en México no se dan casos así? Las respuestas podrían ser varias. Tal vez a pesar de ser un mercado creciente, muy aspiracional y orientado al lujo, los Responsables (del Tratamiento de Datos Personales) en nuestro país no eran un blanco atractivo para ataques como aquellos. ¿O sus sistemas son tan robustos?

Como para probar que la cuestión no es si una empresa será víctima de un ataque, sino cuándo lo será, en víspera de Nochebuena (a las 13.29 del 24 de diciembre, para ser exactos) la Bolsa Mexicana de Valores difundió a través de su página Web el comunicado de evento relevante que El Puerto de Liverpool, S.A.B., presentó en cumplimiento a sus obligaciones como emisora de valores para dar a conocer que fue “…víctima de un intento de extorsión…” que busca dañar su reputación; el ataque habría consistido en una intrusión en correos de su personal, y habrían también logrado obtener información de algunos clientes, según se indica en la misiva, que también señala que estos hechos delictivos fueron denunciados ante las autoridades correspondientes, estimando que el riesgo derivado de dicha intrusión es bajo, no obstante lo cual están tomando medidas adicionales para reforzar la protección de la información de sus clientes y fortalecer sus sistemas, prácticas y procedimientos, por ser la seguridad de la información que le confían sus clientes es una prioridad, procurando salvaguardar los datos personales y cumplir cabalmente con las leyes de protección de datos.

Dado que el evento fue difundido justo cuando casi todo México se ocupaba más de los preparativos para la cena navideña, los medios dieron cuenta del mismo con sólo la información extraída de dicho comunicado; hoy la sección de Negocios de Reforma informa al respecto con algunos comentarios del suscrito.

La vulneración a JP Morgan, que afectó a 76 millones de cuentahabientes, fue dada a conocer precisamente así, por un “filing” que dicho banco tuvo que hacer ante la Securities and Exchange Commission en EE.UU.A. En tal sentido es preciso destacar la responsabilidad con la que Liverpool ha actuado al notificar del hecho al mercado bursátil (coloca valores en los mercados de capital y deuda), en vez pretender “ocultarlo bajo el tapete” muy disimuladamente. Sin duda el manejo que Liverpool haga del caso sentará un precedente importante en la práctica de protección de datos personales y seguridad informática, por lo cual motivará la atención de todo el medio.

Con tan solo 4 renglones los términos del comunicado a la BMV llevan a pensar en varias cosas:

  1. “Los criminales lograron una intrusión en correos de nuestro personal y también obtuvieron información de algunos clientes.” Esto hace pensar en un ataque por “phishing” o “spear-phishing“; de ser el caso será importante que Liverpool revise la Política de Privacidad con la que está obligada a contar, de acuerdo con el artículo 48 del Reglamento de la Ley, y refuerce la capacitación a su personal para evitar que vuelvan a ser víctimas de este tipo de ataques de ingeniería social. Tal mención no descartaría otro tipo de ataques, como uno de “brute force“.
  2. “Liverpool lamenta informar que ha sido víctima de un intento de extorsión que busca dañar nuestra reputación”. Probablemente ésta sea la oración del comunicado que más hace pensar. Los casos en los que además del ataque mismo se lleva a cabo otra conducta delictiva como la extorsión son comunes. Hace tiempo se sabe de casos en los cuales los atacantes bloquean el acceso al equipo o sistema atacado y exigen un pago a cambio de reestablecerlo o no suprimir definitivamente la información del mismo. En el caso del ataque a Sony, hubieron reportes sobre mensajes de extorsión que ejecutivos de la empresa habrían recibido previo al ataque mismo. Sería interesante saber si la referencia al daño de la reputación de Liverpool se debe al solo hecho de haber sido víctima del ataque o a amenazas concretas sobre la información que los atacantes pudieran haber obtenido y del uso que le pretendan dar los atacantes.
  3. “La empresa ya denunció estos hechos delictivos ante las autoridades correspondientes”. Un ataque como el reportado por Liverpool podría configurar el ilícito previsto en el Capítulo II, Título IX, Libro Segundo del Código Penal Federal: “Acceso Ilícito a Sistemas y Equipos de Informática”. En términos generales sus artículos 211 bis 1 al 5 disponen penas privativas de la libertad que van de los 6 meses hasta los 8 años y diversas multas, penas y multas cuya magnitud varía dependiendo de si los sistemas atacados son o no del Estado, correspondientes a seguridad pública o de instituciones financieras, a quien(es):
  • …sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, y
  • …sin autorización conozca o copie información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a un año de prisión y de cincuenta a ciento cincuenta días multa.

La estadística de la Procuraduría General de la República por tales delitos entre el 1 de septiembre del 2013 y el 30 de septiembre del presente año arroja que de 66 indagatorias iniciadas sólo 1 fue consignada ante la autoridad judicial, en tanto que 21 fueron enviadas a la reserva, en 6 se resolvió el “no-ejercicio” de la acción penal, y tiene en trámite 70, incluyendo otras iniciadas en años anteriores al periodo consultado.

Estadística PGR Acceso Ilícito2 - CopySerá muy interesante ver el empeño con el que Liverpool impulsa el perfeccionamiento de sus indagatorias y la eficacia con la que la representación social federal logra integrarlas para llevar ante la justicia a los responsables. En cualquier caso es un hecho que Liverpool deberá realizar ajustes en su Sistema de Gestión de Datos Personales y medidas de seguridad, pues el artículo 60 del Reglamento prevé entre los elementos para determinarlas a las vulnerabilidades previas ocurridas en los sistemas de tratamiento, además de que de acuerdo con la fracción III de su artículo 62 en tanto Responsable del Tratamiento de Datos Personales Liverpool deberá actualizar la relación de sus medidas de seguridad, cuando ocurran, entre otros eventos, la vulneración de sus sistemas de Tratamiento.

El citado Reglamento también ordena, en su artículo 66, que cuando ocurra una vulneración a los Datos Personales, como fue el caso, el Responsable deberá analizar las causas por las cuales se presentó e implementar las acciones correctivas, preventivas y de mejora para adecuar las medidas de seguridad correspondientes, a efecto de evitar que la vulneración se repita, lo cual es algo en lo que Liverpool manifiesta ya estar trabajando, o haber trabajado.

ReformaNeg20141612 - Copy

greetingcard - CopyComo siempre el fin del año motiva a reflexionar sobre el camino andado durante los días, semanas y meses que han transcurrido; lecciones aprendidas; éxitos alcanzados y objetivos planteados. 2013 fue el año que nos vio empezar, pero en si 2014 fue el año de arranque. Ahora miramos a 2015 como un año que será de crecimiento y consolidación.

Parte de esas reflexiones exigen ser agradecido con todos quienes han colaborado con nosotros, pero especialmente con nuestros amigos, colegas y clientes, quienes han depositado su confianza en nosotros para la debida atención de sus asuntos en un mercado cada vez más competitivo, en un nicho tan cerrado como el de regulación financiera y tan especializado como el de protección de datos personales.

A tod@s les deseamos lo mejor, hoy y siempre, personal y profesionalmente, y les estamos agradecidos por su confianza en nuestro trabajo y/o por su interés en el material publicado en este blog.

As always the end of the year call for reflection upon the road traveled over the days, weeks and months that have lapsed; lessons learned; success attained and objective put forth. 2013 was the year that saw us launch, but 2014 was really the year of starting up. Now we look to 2015 as a year of growth and consolidation.

Part of such reflections demand gratefulness with all who have collaborated with us, but specially to our friends, colleagues and clients, who have deposited their trust in us for the due care of their cases in an ever more competitive market, in a niche so closed as financial regulation and as specialized as privacy.

We wish you all the best, today and always, personally and professionally, and appreciate your trust in our work and/or interest in the materials published in this blog.

 

ofis - CopyEn los 18 meses de haber escrito por este medio 96 entradas sobre mis áreas de práctica han habido 4 entradas (derechos ARCO, multa a SOFOM Banamex, multa a TELCEL y reglas de CONDUSEF para despachos de cobranza) relativas tanto a los aspectos de regulación financiera como de protección de datos en la actividad de cobranza extrajudicial. El tema es complejo no sólo por aspectos jurídicos que fueron considerados en la “miscelánea de garantías” del 2003 como en la “reforma financiera” de este año, sino probablemente también por la ideosincrasia y experiencia nacionales en materia de recuperación de adeudos, de la que son parte las lamentablemente consabidas prácticas de los despachos de cobranza contratados por instituciones financieras y “gestoras de activos” que adquieren a descuento su cartera vencida.

El tema cobra relevancia de nuevo por la presentación de la Guía para orientar el debido tratamiento de datos personales en la actividad de cobranza extrajudicial del IFAI y CONDUSEF, elaborada por el primero con la opinión técnica de la segunda y concebida como “…una herramienta que permite a las entidades financieras y despachos de cobranza cumplir con los principios y deberes de la LeyFederal de Protección de Datos Personales en Posesión de los Particulares”, que “…representará un importante referente para orientar el debido tratamiento de los datos personales en laactividad de cobranza extrajudicial, sin invadir la privacidad de las personas ni violar las disposiciones en materia de datos personales vigentes en el país.”

Sin duda el documento contribuirá en gran medida al mejor entendimiento de la práctica en materia de protección de datos personales dentro del marco de la cobranza extrajudicial, facilitando discenir los casos en que un despacho trata los datos personales de los deudores de aquéllas entidades financieras que contratan sus servicios como Engargado y, por lo tanto, mediante la remisión de los mismos, de aquellos en los que dicho tratamiento deriva de la transferencia de tales datos y, por lo tanto, el despacho de cobranza o gestora de activos que hubiera adquirido la cartera de que se trate es, en si y por si, un ulterior Responsable de dichos datos (vid. pág. 37).

Para ello son particularmente importantes las siguientes indicaciones:

  • Es importante tener en cuenta que la comunicación de datos personales a Despachos de Cobranza, cuando éstos no sean dueños de la cartera, sino que presten el servicio de cobranza a nombre y por cuenta de la Entidad que otorgó el crédito, préstamo o financiamiento, no se considera transferencia, sino remisión, por lo que no existe obligación de informarla en el aviso de privacidad, ni de obtener elconsentimiento del Titular para que ésta ocurra.
  • En cambio, cuando hay una comunicación de datos personales entre la Entidad y un Despacho de Cobranza, con motivo de una venta de cartera a este último, dicha comunicación se considera una transferencia, por lo que es necesario informarla en el aviso de privacidad y cumplir con las obligacionesprevistas en esta sección (pág. 37).
  • En materia de Cobranza Extrajudicial, el tema del Encargado del tratamiento tiene especial relevancia, ya que la figura se utiliza de manera recurrente entre los acreedores y los Despachos de Cobranza, cuando éstos últimos NO son dueños de la cartera de crédito, préstamo o  financiamiento, y actúan a nombre y cuenta de la Entidad responsable de los datos personales (pág 40).
    .

Sin embargo la Guía es sólo y precisamente eso: un documento que orienta, pero no obliga en forma alguna a las Entidades Financieras ni a sus despachos de cobranza, por lo que dista de ser una instancia de regulación por parte de la CONDUSEF armonizada con la normatividad del IFAI y la Secretaría de Economía en materia de protección de datos personales, como prevé el artículo 40 de la Ley Federal de Protección de Datos Personales, y fue presentada más de 2 meses después de la expedición de las Disposiciones de carácter general aplicables a las entidades financieras en materia de Despachos de Cobranza de dicha Comisión, que lacónicamente refieren en el último párrafo de su Disposición Sexta, que se deberá observar lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y, en su caso la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamentalen al convenir la cesión o venta de cartera. Lo deseable hubiera sido que ambas autoridades hubieran realizado este esfuerzo de coordinación antes de que la CONDUSEF expidiera las citadas Reglas, a fin de que dicho instrumento normativo contuviera disposiciones vinculantes para la debida protección de los datos personales de los deudores de las Entidades Financieras. Sin embargo, y sin duda, es un avance hacia la armonización normativa de la regulación general en materia de protección de datos personales con la de las múltiples materias que se relacionan con ella.

Precisamente en materia de cobranza extrajudicial, tan sólo 6 días antes de la presentación de la citada Guía el Pleno del IFAI votó la sanción impuesta a Corporativo Especializado en Recuperación de Cartera, justo por un caso derivado de ello, que asciende a un total de $2’169,460.00, por las siguientes infracciones:

  1. Contravenir los Principios de Licitud y Lealtad: $259,040.00
  2. Incumplir el deber de confidencialidad: $777,120.00
  3. Cambiar sustancialmente la finalidad del tratamiento de los datos: $679,980.00
  4. Tratamiento de datos financieros y patrimoniales: $453,320.00

Lo anterior atendiendo tanto a la intencionalidad de las conductas infractoras, como a la capacidad económica de la Integra Capital, determinada con base en sus estados financieros al 31 de diciembre y 31 de julio de 2014, que arrojaban un capital de $29’078,700.00.

El asunto se originó con la contratación de un crédito “Autoestrena Banorte” en el año de 2011 por quien parece ser (o haber sido) empleado del gobierno del Estado de Nuevo León y habría incurrido en atraso en sus pagos, lo cual motivó que empezara a recibir correos electrónicos de Integra Capital, con copia para sus compañeros de trabajo, por lo cual el Titular denunciante adujo la indebida transferencia de sus datos personales por parte de Banorte a la empresa referida, en tanto que el IFAI planteó:

  • La vulneración a su expectativa razonable de privacidad;
  • El incumplimiento al deber de confidencialidad por la divulgación del nombre, número de crédito y saldo del adeudo del Titular, violando con ello su privacidad y derecho a la autodeterminación informativa;
  • Varió sustancialmente la finalidad del tratamiento de los datos arriba mencionados, y
  • Divulgó tales datos a terceros sin consentimiento del referido Titular.

Tema importante en el caso: precisamente de acuerdo con el expediente y según la Guía, Integra Capital es un Encargado de Banorte, pero a diferencia del caso de Banamex y Revoware, el Banco Responsable no fue sancionado por los hechos y omisiones de su Encargado. ¿En qué radica la distinción que le evitó a Banorte ser multado en esta ocasión? La respuesta está en el párrafo tercero del Considerando Sexto, en donde de expone que Integra Capital adquirió el carácter de Responsable en si y por si al variar sustancialmente las finalidades de tratamiento de los datos personales que Banorte le habría remitido. Sin embargo, salvo por la cláusula de confidencialidad, en el expediente de sanción se omite analizar el texto del contrato de prestación de servicios suscrito entre Banorte en Integra Capital, de manera que no resulta del mismo un criterio sobre el cumplimiento con u omisión respecto de los requisitos que disponen los artículos 50 y 51 del Reglamento de la Ley tratándose de la relación entre el Responsable y el Encargado del tratamiento de los datos personales que interesan.

 

 

 

El mes pasado Forbes México publicó una nota de mi autoría sobre los aspectos que se deben cubrir para implementar debidamente el cumplimiento normativo en materia de protección de datos personales que todos quienes traten tal información están obligados a observar. A lo largo de más de 4 años de trabajar con responsables en sectores de servicios financieros, de salud, educación, hospitalidad y restauración, etc., he tenido ocasión de ver el valor que se le asigna a la protección de datos, no solamente como otro requisito a cumplir para evitar una sanción onerosa, sino como medio para transmitir una imagen positiva de la empresa, lo mismo que escuchar referencias al tema como una burocracia adicional que no aporta al negocio.

Comunicar lo primero para cambiar lo segundo fue parte del objetivo de los “Roadshows” que ProSoft 3.0, el IFAI y NYCE llevaron a cabo entre noviembre y los primeros días de noviembre desde Tijuana hasta Mérida, en los que nuestro despacho fue invitado para exponer los aspectos jurídicos y prácticos de los esquemas de autorregulación vinculante que empezarán a operar el año entrante, sobre lo cual a continuación se encuentran algunas de las láminas que exponen cómo y por qué la confianza que la protección de datos personales genera es fundamental para el éxito de un negocio.

Lam1

Las reformas constitucionales de 2009 en materia de privacidad, la Ley del 2010, el Reglamento del 2011 y los Lineamientos del 2013 se inscriben en un proyecto mayor y de más importancia para impulsar la competitividad de las empresas y los negocios en México, que en el beve plazo de 4.5 años de vigencia de la Ley Federal de Protección de Datos Personales ya se ha logrado colocar en el #9 del “Top 10″ de países líderes en protección de datos de acuerdo con el Global Data Protection Index de EMC Corporation, lo cual es muy meritorio, considerando lo mucho que falta por hacer por parte del amplísimo universo de Responsables que hay en el país, y el desconocimiento de la materia que aún existe entre ellos, los Titulares e incluso profesionales del derecho.

Sea como fuere, tal posicionamiento de México es sumamente positivo pero todavía deja camino por andar.

stack-image 1

 

QRO - CopyComo parte de los esfuerzos por difundir el valor y la importancia de los Esquemas de Autorregulación Vinculante previstos en los artículos 43, fracción V, y 44 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, así como en el artículo 47 y en el Capítulo VI de su Reglamento, cuyos Parámetros fueron publicados en el Diario Oficial de la Federación el 29 de mayo del presente año, la Secretaría de Economía ha llevado a cabo, junto con el Instituto Federal de Acceso a la Información Pública y Protección de Datos y Normalización y Certificación Electrónica, S.C., han llevado a cabo presentaciones en el Distrito Federal, Tijuana, Puebla, Mérida, y recientemente Guadalajara.

Este miércoles 26 de noviembre se llevará a cabo en las instalaciones de la Cámara Nacional de Comercio en la Ciudad de Querétaro otra presentación sobre la materia en general y los aspectos relevantes y ventajas de los esquemas de autorregulación en materia de protección de datos, en la que estaremos presentes junto con:

  • Lic. Damaris Moreno, Líder del Componente Legal de PROSOFT de la Secretaría de Economía.
  • Mtra. María Adriana Báez Ricárdez – Directora General de Autorregulación en el IFAI.
  • Ing. Pablo Corona, Gerente de Certificación de Tecnologías de la Información en NYCE

El registro de participantes e información adicional sobre dichas presentaciones está disponible en http://nyce.org.mx/protecciondedatos/

prosoft3NYCEPDPBannerMicrositioPDP1A

La materia de protección de datos personales tiene más de 40 años de vigencia en Europa, e incluso los EE.UU.A. comenzaron a regularla y legislarla mucho antes que México, donde aún es novedosa y prevalece un gran desconocimiento al respecto tanto entre los Responsables del Tratamiento de Datos Personales, sus Encargados, Terceros con los que tienen relación, pero además inclusive entre los profesionales del derecho que están llamados a asesorarlos para el debido cumplimiento de sus obligaciones al respecto.

En un país como el nuestro, donde la colegiación no es obligatoria, ello supone un obstáculo adicional para que dichos Responsables y Encargados accedan a servicios de la calidad y nivel necesarios para contar con la debida asesoría en la implementación del cumplimiento normativo con el que deben contar. Además es preciso considerar que el ámbito personal de aplicación de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares es tan amplio, que abarca no sólo a las grandes empresas que dan Tratamiento a grandes volúmenes de Datos Personales, incluso de carácter personal y patrimonial, sino también a micro y pequeñas empresas que difícilmente podrían sufragar los honorarios de una asesoría externa.

Una solución práctica que existe para ambos dilemas radica en los esquemas de certificación, tanto de profesionales implementados por instituciones privadas, como de los esquemas de que la Secretaría de Economía se ha dado la tarea de promover luego de la publicación en el Diario Oficial de la Federación de la segunda versión de los Parámetros de Autorregulación en Materia de Protección de Datos Personales.

La certificación de profesionales existe en otras jurisdicciones desde hace varios años. La International Association of Privacy Professionals (IAPP)  ofrece cursos y exámenes para obtener la certificación como profesional en información y privacidad tanto en materia jurídica como de operaciones y tecnología en los regímenes europeo, estadounidense y canadiense. Sin embargo, aunque esperamos que pronto extienda también tal certificación tratándose del régimen jurídico mexicano, Normalización y Certificación Electrónica, S.C., es la primera organización en México que ofrece un curso de capacitación en materia de protección de datos personales, en adición al cual un examen y la resolución de un caso práctico permiten obtener la Certificación como Profesional en Protección de Datos Personales en niveles básico, Junior y Senior.

Por su parte, los Parámetros de Autorregulación expedidos por la Secretaría de Economía ofrecen importantes ventajas para los Responsables y Encargados: el más obvio es que por disposición del artículo 81 del Reglamento de la LFPDPPP, cuando un responsable adopte y cumpla un esquema de autorregulación, dicha circunstancia será tomada en consideración para determinar la atenuación de la sanción que correspondiera, en caso de no obstante haber cumplido con dicho esquema de autorregulación tuviera lugar alguna infracción a la normatividad en materia de protección de datos personales, sin perjuicio de que el IFAI determine otros incentivos para la adopción de dichos esquemas de autorregulación.

Además su desarrollo permitirá a los Responsables que se adhieran a tales esquemas armonizar el cumplimiento normativo al que están obligados en materia de protección de datos personales con el de las disposiciones de otras materias que también deban observar, lo cual no se ha llevado a cabo a la fecha aunque ya debería haber sido hecho por las diversas autoridades administrativas en cuyas materias se lleva a cabo el Tratamiento de Datos Personales, pues el artículo 40 de la Ley dispone que la misma es un marco normativo que esas dependencias deberán observar, en el ámbito de sus propias atribuciones, para la emisión de la regulación que corresponda. Como ejemplo de estas omisiones regulatorias se pueden destacar 3 ejemplos:

  1. En materia de propiedad intelectual, mercadotecnia y publicidad no es absolutamente claro si para el uso de la imagen de una persona debe atenderse aun al artículo 87 de la Ley Federal del Derecho de Autor o a la LFPDPPP;
  2. Tratándose de servicios de salud, la Ley General de Salud, sus Reglamentos y diversas Normas Oficiales Mexicanas obligan al prestador de tales servicios a obtener el consentimiento informado de sus pacientes, sin que se haya dispuesto si su consentimiento expreso respecto del aviso de privacidad debiera ser obtenido en paralelo, o si conforme a los artículos 10, fracción IV, de la LFPDPPP y 17 de su Reglamento tal consentimiento informado dispensa la expresión del mismo en el Aviso de Privacidad, y
  3. Los oferentes de productos y servicios crediticios están obligados, conforme a la Ley para la Transparencia y Ordenamiento de los Servicios Financieros, así como a las Disposiciones de la PROFECO y/o CONDUSEF en esa materia a adjuntar a sus contratos una carátula que prevea la autorización del cliente para que se haga uso de sus datos personales para fines de mercadotecnia y publicidad, lo cual es también un elemento requerido en el Aviso de Privacidad conforme al Reglamento y los Lineamientos igualmente expedidos por la Secretaría de Economía.

Toda vez que los esquemas de autorregulación vinculante se basan en códigos, buenas prácticas profesionales, políticas de privacidad, reglas de privacidad corporativas, lineamientos, etc., aplicables a sus adherentes, estos no necesitarían desarrollar de la nada el total de su cumplimiento normativo, sino que contarían ya con bases y guías a seguir para ello, lo cual podría abatir en alguna medida el costo de la asesoría e implementación, beneficiando particularmente a las micro y pequeñas empresas que se adhieran a tales esquemas.

Retomando lo escrito al inicio de esta entrada, y como fue dicho por en el XXI Encuentro Iberoamericano de Protección de Datos Personales, celebrado en las instalaciones del IFAI la semana pasada, así como en el foro de Knowledgenet de la IAPP este miércoles, México empezó tarde con la regulación de la protección de datos personales, lo cual ofrece la ventaja de poder abrevar de la experiencia de otras jurisdicciones y evitar sus errores. En el marco de la certificación de esquemas de autorregulación, el caso de TRUSTe es ejemplo de aquello con lo que deberá tenerse cuidado en la experiencia mexicana en materia de autorregulación.

 

trustee-privacy-policy

TRUSTe es una empresa estadounidense que ofrece servicios de sistemas para la protección de datos personales y audita a empresas de aquél país dedicadas al comercio electrónico respecto de su cumplimiento normativo en materia de privacidad/protección de datos personales, y extiende a aquéllas que cumplen con el marco normativo que deben observar (COPPA, Reglas APEC, Convenio USA-EU de Puerto Seguro, etc.) un “sello de confianza” a aquéllas que han satisfecho su auditoría de cumplimiento. Su marca ha sido ampliamente reconocida por más de una década en el comercio electrónico de aquél país.

Sin embargo ésta misma semana la prensa estadounidense dio cuenta del acuerdo por US$200,00.00 al que dicha empresa llegó con la Federal Trade Commission de aquél país con motivo irregularidades que fueron detectadas tanto en su programa de re-certificación como en su imagen pública. En materia de re-certificación, se concluyó que entre 2006 y 2013 TRUSTe había omitido realizar auditorías anuales a unas 1,000 de las empresas que certifica, a pesar de que afirmaba que lo había hecho, a lo cual TRUSTe respondió que ello sólo había ocurrido en menos del 10% de los casos, únicamente respecto de sus clientes con contratos multi-anuales que eran certicados cada tercer año. Tratándose de su imagen pública, el hallazgo fue que en tanto que la empresa inició en 1997 como una organización sin fines de lucro, en 2008 se convirtió en una empresa lucrativa, lo cual fue considerado como publicidad engañosa.

El caso es una gran lección para México antes incluso de iniciar el desarrollo y registro de esquemas de autorregulación, pues el trabajo de protección de datos personales se basa esencialmente en la confianza, de manera que los verificadores, certificadores y auditores en la materia deben ser probos y transparentes en sus labores, a fin de ser merecedores de la confianza que las certificaciones y sellos que extiendan participen de la misma en beneficio de quienes las reciban.

El año pasado se abrió un periodo para el registro ante el IFAI de esquemas de autorregulación vinculante, sin que haya habido (hasta donde tengo conocimiento) una sola solicitud al respecto. Conforme a los artículos Transitorios de la publicación de los Parámetros comentados al inicio de esta nota la “segunda etapa” para el desarrollo de esos esquemas de autorregulación iniciará en marzo del 2015; es una oportunidad que las Asociaciones, Cámaras y demás agrupaciones gremiales no deberían dejar pasar, para que sus afiliados, miembros o agremiados den cumplimiento de una manera asequible y eficiente a las obligaciones que la Constitución, LFPDPPP, su Reglamento y Lineamientos del Aviso de Privacidad les imponen.

Como expresó el pasado miércoles José Luis Rodríguez Álvarez, Director de la Agencia Española de Protección de Datos Personales, “La privacidad es una condición necesaria para el desarrollo económico, porque sin ella no hay confianza, y sin confianza no hay modelo de negocios viable”.

El comunicado de TRUSTe sobre su acuerdo con la FTC puede ser visto aquí: http://www.truste.com/blog/2014/11/17/truste-ftc/

Chris Babel, CEO

At TRUSTe we take very seriously the role we play in the privacy ecosystem and our commitment to supporting our customers. And if we fall short, we admit it, we address the issue, and we move forward.

Today, an agreement was announced with the Federal Trade Commission (FTC) settling a complaint about two of our prior business processes. The FTC did not find any issues with TRUSTe’s privacy practices, but there were two processes that needed to be fixed – and we have addressed both.

The first item is that we did not ensure all certified websites removed a reference to TRUSTe as a non-profit entity in their privacy policies after we transitioned to a for-profit enterprise in 2008. The second is that we did not complete the annual review step of certification from 2006 until January 2013 for clients who had signed up for multi-year agreements. This represents less than 10% of the total number of annual reviews we were scheduled to conduct during that time.

Multi-year clients that did not undergo the annual review step of their certification were reviewed when their agreements were up for renewal. Because over 90% of multi-year clients signed two-year contracts, the vast majority were reviewed every other year. Additionally, all clients continued to receive all other services included in their TRUSTe certification – including our privacy advisory services, guidance on any proposed changes to their privacy procedures, and dispute resolution service so any potential consumer complaints regarding their privacy policy or practices were fully investigated.

We have taken swift action to address the process issues covered by the agreement. In late 2013, we started requiring the non-profit reference to be removed from all active client websites as a condition of re-certification. We also identified and fixed the process for annual reviews in January 2013, and implemented new controls to ensure that every client receives the annual review step of their certification. We regret that, in these two cases, our processes did not live up to our own standards.

I am proud of the dedicated TRUSTe team that continues to work hard to develop new technology, products and services to keep pace with the rapid evolution in privacy laws, regulations and practices. We are delivering products and services to a growing customer base around the globe. The role we play today and going forward has never been more important for our clients and the customers they serve. In the weeks and months ahead, I look forward to focusing our energies on helping businesses address these rapidly evolving data privacy management challenges.

Thank you.

FCPA Compliance and Ethics Blog

The Nuts and Bolts of FCPA Compliance and Ethics

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC Corporate Compliance

WordPress.com

WordPress.com is the best place for your personal blog or business site.

Take To Task

Analyzing the Nonsense

FCPA Compliance and Ethics Report

The report on all things compliance related

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 373 seguidores