archivo

Archivos Mensuales: junio 2013

El Vaticano es un Estado en si mismo, y como tal también tiene una institución financiera propia: el Istituto per le Opere di Religione, también conocido como “Banco Vaticano”, fundado por Pío XII durante la Segunda Guerra Mundial. No obstante ello, no está libre de pecado.

A principios del año se dio cuenta de la suspensión de pagos con tarjetas de crédito en el Vaticano, lo cual fue un problema para los turistas, ya que el Banco de Italia no autorizó a Deutsche Bank Italia para continuar fungiendo como adquirente de tales transacciones realizadas con el “Banco Vaticano”, puesto que la institución no observaba debidos controles anti-lavado (AML). 

De hecho mirando entre los materiales del Grupo de Acción Financiera (GAFI) se encuentra el reporte de la más reciente evaluación recíproca de Italia, en que se apunta que apunta (página 6) que “Confirmado Lineamientos previos sobre el tema, tales Lineamientos requieren la implementación de medidas elevadas en Debida Diligencia con el Cliente (Customer Due Diligence), ya que la Ciudad del Vaticano no es una jurisdicción equivalente; medidas elevadas en CDD también se justifican por el  particular status y actividades del Instituto para Obras de Religión (IOR)”

El día de ayer se llevó a cabo el arresto de un Nunzio Scarano, otrora empleado del Deutsche Bank y ahora contador en la inmobiliaria vaticana, junto con un agente de la policía militar adscrito al servicio secreto y un corredor financiero, cuando pretendían ingresar a Italia, procedentes de Locarno, Suiza, con €20 Millones en efectivo. Los $25 Millones incautados y devueltos al gobierno de Veracruz en 2012 son “Pecatta Minuta” en comparación (más aun porque luego de investigarlos, la PGR los devolvió a ese gobierno estatal).

Esto sin duda abona a las sospechas que pesan sobre el “Banco Vaticano”, en lo cual el Papa Francisco ya ha puesto manos a la obra, y motiva cuestionamientos sobre cómo y cuándo esa institución se sujetará al cumplimiento de los controles anti-lavado internacionalmente aceptados. Pero una pregunta no menos importante es ¿qué fue de los “Pecados Sociales”? En 2008 la Santa Sede dio a conocer 7 conductas pecaminosas como ajustadas a la nueva realidad social, para la cual los 7 pecados capitales clásicos ya no bastaban.

Los nuevos “pecados sociales” presentados por el plenipotenciario apostólico del Vaticano son estos:

1. Las violaciones bioéticas, como la anticoncepción.

2. Los experimentos moralmente dudosos, como la investigación en células madre.

3. La drogadicción.

4. Contaminar el medio ambiente.

5. Contribuir a ampliar la brecha entre los ricos y los pobres.

6. La riqueza excesiva.

7. Generar pobreza.

¿Cuáles le imputarían a Nunzio Scarano?

La Ley Federal de Protección de Datos personales representa un gran avance, pero todo avance tiene un costo. En una entrada anterior (Conciliaciones ante el IFAI) cité la Primera Versión de la Manifestación de Impacto Regulatorio (con antecedente de rechazo) en la etapa de comentarios públicos al proyecto del Reglamento de la Ley Federal de Protección de Datos Personales, donde la COFEMER citó las perspectivas divergentes del IFAI y la American Chamber sobre los costos en que los Responsables podrían incurrir con motivo de la implementación de su cumplimiento normativo en la materia (vid. pp. 17-18 del documento).

En vista de lo anterior, ¿sería legítimo que los Responsables cobraran por la atención de solicitudes para el ejercicio de Derechos ARCO? Es decir, ¿podría ello volverse incluso un mecanismo recaudatorio, tal que lo que aparentmente sería un costo pudiera rendir ingresos?

Consideren, por ejemplo, el comunicado conjunto de COFETEL, PROFECO y el propio IFAI respecto del cobro mensual que TELMEX imponía a sus usuarios con motivo del servicio de número privado, a fin de que su número y nombre no aparecieran en directorios telefónicos ni fueran revelados a terceros por los servicios de operadora (nótese además la importante expresión del criterio sobre el hecho que un número telefónico es un dato personal protegido por la Ley), aun cuando ello constituiría una instancia de ejercico de oposición al tratamiento de los datos personales del titular de la línea.

Lo anterior es abiertamente contrario a lo previsto por el Reglamento de la Ley, conforme a cuyo Artículo 93 el ejercicio de los derechos ARCO deberá ser gratuito, y únicamente se podrá exigir al Titular el pago de los gastos de envío, reproducción o certificación, si hubiera sido solicitado, de documentos, excepto cuando el Titular formule una segunda o ulteriores solicitudes de Acceso a sus datos personales en menos de 12 meses y no hubiera habido modificaciones al Aviso de Privacidad que lo justificaran,en cuyo caso el Titular podría cobrarle hasta 3 días de Salario Mínimo General Vigente en el DF.

Léase que si el Titular solicita copia de su expediente laborar, por ejemplo, podría repercutírsele el costo del centro de copiado, o si pidiera una certificación de su nombre rectificado podría requerírsele el pago de la misma.

Lo anterior sin perjuicio de que el Responsable se valga de las estructuras con que ya contara para atención o servicio al cliente a fin de dar respuesta a las referidas solicitudes ARCO.

El día de ayer la prensa dio cuenta de la resolución de nuestro máximo tribunal por virtud de la cual la “Norma 29” de la pasada administración del Distrito Federal fue declarada inconstituticional

La norma “29 mejoramiento de las condiciones de equidad y competitividad para el abasto público”, fue aprobada por la V Legislatura de la Asamblea Legislativa y agregada hace 2 años a los Programas Delegacionales y Parciales de Desarrollo Urbano del D.F., Álvaro Obregón, Azcapotzalco, Benito Juárez, Coyoacán, Gustavo A. Madero, Cuauhtémoc, Iztacalco, Iztapalapa, Magdalena Contreras, Miguel Hidalgo, Milpa Alta, Tláhuac, Tlalpan, Venustiano Carranza y Xochimilco.

Tal estatuto previó que “Los establecimientos mercantiles en los que se pretenda preponderantemente la venta de artículos que conforman la canasta de productos básicos y, de manera complementaria, la de ropa y calzado, bajo el sistema de autoservicio, con el uso de tienda de autoservicio, supermercado, minisuper o tienda de conveniencia, sólo podrán situarse en predios cuya zonificación secundaria sea Habitacional Mixto (HM), así como en predios con frente a vías públicas en los que resulte aplicable alguna “norma de ordenación sobre vialidad” que otorgue la zonificación HM indicada en el plano del Programa Delegacional de Desarrollo Urbano correspondiente. 

Se exceptúa de la aplicación de esta norma a los establecimientos mercantiles que tengan el uso de suelo de tienda de abarrotes o miscelánea

Dicho de otra forma, autoservicios, supermercados, minisupers o tiendas de conveniencia no podrían establecerse en predios próximos a tiendas de abarrotes o misceláneas (¿no les faltó considerar las “recauderías”?).

Lejos de proveer a la “equidad y competitividad en el abasto público”, la Suprema Corte consideró que dicho ordenamiento es violatorio del artículo 28 de la Constitución Política de los Estados Unidos Mexicanos, por contravenir los principios de libre competencia y libre concurrencia, y atentar contra los intereses de los consumidores, coincidiendo con los criterios vertidos por la opinión de la Comisión Federal de Competencia Económica fechada el 8 de abril del 2011.

La Norma 29, impugnada por la Procuraduría General de la República, aguantó el año pasado el ataque a los vicios del procedimiento para su aprobación; sin embargo, esta disposición de corte populista claramente no resistió el análisis de su constitucionalidad, y su aplicación habrá de cesar en breve. 

Hoy día venció el úlitmo de los plazos concedidos por el marco jurídico que norma la protección de datos personales para el cumplimiento de las obligaciones previstas para los Responsables del Tratamiento de Datos Personales: la elaboración de su Relación de Medidas de Seguridad.

Recordemos que los Avisos de Privacidad y los nombramientos de los Funcionarios o Departamento a Cargo de Datos Personales por parte de los Responsables debieron haber sido publicados y hechos, respectivamente, para el 6 de julio del 2011 (a pesar de no haberse expedido para esa fecha el Reglamento de la Ley), y que los medios para el ejercicio de derechos ARCO tendrían que haber estado disponibles para los Titulares de Datos Personales el 6 de enero del 2012.

El artículo 19 de la LFPDPPP prevé que todo Responsable del Tratamiento de Datos Personales tiene obligación de establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales a los que dé tratamiento contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado (eventos que, de acuerdo conal artículo 63 del Reglamento aplicable constituyen vulneraciones generalmente notificables a los Titulares de los Datos Personales tratados).

A la postre las referidas medidas de seguridad deben actualizarse según manda el artículo 62 del propio Reglamento, lo cual reitera el hecho que la instrumentación del cumplimiento normativo de protección de datos personales no es un proyecto que se agote con la publicación de un aviso de privacidad, sino un proceso continuo y cambiante.

Dichas medidas de seguridad deben constar, de acuerdo con lo previsto en el último párrafo del artículo 61 del Reglamento de la Ley, en una relación de las mismas, para cuya elaboración se gozó, conforme al artículo Cuarto Transitorio del citado Reglamento, de un plazo de 18 meses contados a partir del mismo, y que feneció el día de hoy.

En fechas recientes las sanciones impuestas por el IFAI a empresas como Farmacias San Pablo, Banamex y Sport City han acaparado la atención del público y causado impacto por su magnitud, más considerando su cuantía respecto del costo de la implementación del cumplimiento normativo.

Sin embargo, poco se ha difundido sobre las conciliaciones alcanzadas hasta la fecha en procedimientos de protección de datos en los que, a instancia de dicho Instituto y con fundamento en los artículo 54 de la Ley y 120 de su Reglamento, el Titular y Responsable involucrados han transigido los casos presentados ante la mencionada autoridad, dejando sin materia la solicitud de protección de datos del Titular y, por lo tanto, conjurando la sanción administrativa.

Por principio, en el acta de la sesión del pleno del IFAI celebrada el 17 de abril del 2013 dicho cuerpo colegiado aprobó la conciliación alcanzada en los procedimientos de protección de derechos iniciados en contra de Teléfonos de México, Autobuses la Piedad y Lomelín Hermanos Bienes Raíces.

Los términos de estas conciliaciones no han recibido igual difusión que los de las antedichas sanciones, pero convendría tenerlos en cuenta con relación a la consideración de los costos que puede implicar la omisión o deficiencia en los costos de implementación.

¿Cuál es el costo de la implementación del cumplimiento normativo en materia de protección de datos personales? La respuesta depende; desde la Primera Versión de la Manifestación de Impacto Regulatorio (con antecedente de rechazo) en la etapa de comentarios públicos al proyecto del Reglamento de la Ley Federal de Protección de Datos Personales el IFAI y la iniciativa privada expresaron consideraciones divergentes al respecto.

Por ejemplo, la American Chamber (vid. pp. 17-18 del documento arriba citado) consideró que dependiendo del tamaño de la empresa Responsable del Tratamiento de Datos Personales, los costos de asesoría legal en la materia podrían alcanzar hasta $1’875,000.00, hasta $4’000,000.00 por asesoría técnica y $1’000,000.00 para la implementación de avisos de privacidad. Claramente dichas cifras se asumen referidas a Responsables sofisticados y “de gran calado”, como instituciones financieras o de salud que tratan datos patrimoniales o sensibles mediante estructuras de gran complejidad. 

Bajo esa perspectiva y en tales casos, el costo de la sanción podría resultar comparable al costo de implementación; sin embargo, habría que considerar también el riesgo reputacional que podría representar un caso seguido ante el IFAI en contra del Responsable.

El pasado 17 e octubre del 2012 fue publicada en el Diario Oficial de la Federación la “Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita”, comúnmente conocida como “Ley Antilavado”, cuyo Artículo Primero Transitorio previó una vacatio legis de 9 meses, por lo que el periodo de junio a julio de este año es el úlitmo tramo para empaparse del tema.

La función de dicho ordenamiento es extender los deberes de conocimiento del cliente (Know Your Customer, o “KYC”) y reportes a la autoridad de inteligencia financiera, habituales en el medio financiero, a sujetos que anteriormente no tenían tales obligaciones, bajo la premisa de que constituyen canales para que el crimen organizado disponga de los recursos obtenidos por sus actividades.

Hasta el momento la regulación mexicana sólo preveía que las instituciones financieras integraran expedientes de conocimiento del cliente (por eso le piden identificaciones, comprobantes de domicilio, referencias y datos de contacto al abrir una cuenta bancaria y emitirle una tarjeta de crédito), asumiendo que eran el canal para que el dinero mal habido permeara a la economía; existía también el delito de operaciones con recursos de procedencia ilícita como accesorio  las actividades que originaran esos fondos.

Lo anterior obviaba que para disponer o beneficiarse del dinero mal habido se acudía a otros comerciantes, ya fueran de automóviles y blindajes, de bienes raíces, joyería u obras de arte, e incluso a profesionistas para la constitución de sociedades, su fusión, escisión, transferencia de activos, etc. Estos son denominados “Negocios y Profesiones No Financieros” por el Grupo de Acción Financiera (GAFI o Financial Action Task Force), cuyas Recomendaciones a los países miembros contemplaban hace décadas que estos “Gatekeepers” tuvieran obligación de identificar a sus clientes, conocer al beneficiario final de sus operaciones y reportar las operaciones realizadas con ellos al igual que las instituciones financieras.

De acuerdo con el artículo 17 de la citada Ley, son consideradas “Actividades Vulnerables” (a la realización de operaciones con recursos de procedencia ilícita):

  1. Los juegos con apuesta o sorteos;
  2. La emisión o comercialización de tarjetas de servicios, crédito o prepagadas (esto incluye a las departamentales);
  3. La emisión y comercialización de cheques de viajero;
  4. El ofrecimiento habitual o profesional de operaciones de mutuo o de garantía, u otorgamiento de préstamos o créditos, con o sin garantía por parte de personas que no sean Entidades Financieras (por ejemplo, casas de empeño);
  5. La prestación habitual o profesional de construcción o desarrollo de bienes inmuebles o intermediación en la constitución de derechos sobre ellos (“corretaje”);
  6. Comercialización o intermediación habitual en la compraventa de metales o piedras precisos, joyas o relojes;
  7. Subasta o comercialización de obras de artes;
  8. Comercialización o distribución habitual de vehículos aéreos, marítimos o terrestres, nuevos o usados;
  9. Prestación habitual del servicio de blindaje  de vehículos terrestres o inmuebles;
  10. Servicio profesional de traslado o custodia de dinero o valores;
  11. Prestación de servicios profesionales independientes en compraventa o arrendamiento de inmuebles; administración o manejo de recursos , valores o activos; manejo de cuentas bancarias de ahorro o valores; organziación de aportaciones de capital para la constitución de sociedades, o constitución, escisión, fusión, operación y administración de personas morales;
  12. Prestación de servicios de fe pública, como notarios y corredores públicos;
  13. Prestación de servicios de comercio exterior, como agente o apoderado aduanal;
  14. Constitución de derechos personales de uso o goce de inmuebles.

Las personas físicas o morales dedicadas a cualquiera de las antedichas Actividades Vulnerables deberán:

  • Identificar a sus clientes e integrar un expediente al efecto, mismo que deberán conservar por al menos 5 años desde la realización de la operación;
  • Conocer la actividad u ocupación de esos clientes;
  • Procurar identificar al beneficiario de las operaciones realizadas; y
  • Presentar los avisos requeridos por la Secretaría de Hacienda y Crédito Público.

Las personas morales deberán designar a un funcionario que envíe dichos informes a la SHCP, mientras que las personas físicas deberán hacerlo personal y directamente, por regla general, el día 17 del mes inmediato siguiente a la fecha de la operación.

La SCHP podrá imponer multas de 200 a 2,000, de 2,000 hasta 10,000, y de 10,000 hasta 65,000 días de salario mínimo general vigente a quienes incurran en las siguientes conductas sancionadas:

  1. Omitir responder a los requerimientos de la SHCP;
  2. Incumplir las obligaciones arriba listadas;
  3. Omitir presentar en tiempo los avisos previstos, o presentarlos fuera de tiempo, y
  4. Realizar operaciones en contravención a sus artículos 32 y 33.

La SCHP podrá dispensar la sanción por una sola vez en casos de primera infracción, mediando cumplimiento espontáneo del infractor previo al inicio del ejercicio de facultades de verificación.

Adicionalmente se prevén tipos penales especiales:

  • Proporcionar dolosamente información, datos o imágenes falsos a los obligados a dar los avisos requeridos por la Ley, o
  • Dolosamente modificar o alterar información, datos o imágenes destinados a los antedichos avisos.

Conforme a lo dicho, la Ley Antilavado entrará en vigor el próximo 18 de julio del 2013; su Reglamento debería haber sido expedido por el Ejecutivo Federal el 19 de agosto del mismo año, fecha a partir de la cual se deberán presentar por primera vez los avisos correspondientes a las personas enumeradas en la presente entrada.

En suma, quedan 2 meses para que quienes realicen “Actividades Vulnerables” se empapen de la Ley y se encuentren en posiblidad de dar cumplimiento a estas nuevas obligaciones a su cargo.

Para variar un poco el contenido de este blog, la presente entrada está abierta a debate, aunque todas están siempre abiertas a sus amables comentarios.

En la entrada anterior referimos que entre las infracciones impuestas por el IFAI a la fecha figura una impuesta a Sport City, S.A. de C.V., por haber omitido en su Aviso de Privacidad las opciones y medios para limitar el uso de los datos personales a los que dan tratamiento.

Ahora bien, mirando el calce de la página de dicha empresa se encuentra un “Aviso de Privacidad de Datos Personales para Proveedores“, que prevé las siguientes finalidades:

  1. Identificación y de verificación,
  2. Contacto,
  3. Facturación de pagos y acreditamiento de pago por suministro de productos o prestaciones de servicios;
  4. En su caso, para la celebración de contratos;
  5. Realización de pagos vía transferencia electrónica, clasificación de los mismos en la contabilidad de la empresa en los rubros de cuentas por pagar y cuentas por cobrar.

Ahora bien, consideremos lo siguiente:

  • El artículo 2 de la LFPDPPP únicamente prevé 2 excepciones a su aplicación: a) Sociedades de Información Crediticia, y b) la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.

No obstante obvios temas de subordinación jerárquica y reserva de ley, el artículo 5 de su Reglamento establece que sus disposiciones no serán aplicables a:

  1. La relativa a personas morales;
  2. La que se refiera a personas físicas en su calidad de comerciantes y rofesionistas, y
  3. La de personas físicas que presten sus servicios para alguna persona moral o persona física con actividades empresariales y/o prestación de servicios, consistente únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como algunos de los siguientes datos laborales: domicilio físico, dirección electrónica, teléfono y número de fax; siempre que esta información sea tratada para fines de representación del empleador o contratista.

Adicionalmente, el Decimocuarto de los Lineamientos del Aviso de Privacidad prevé expresamente que “… los responsables no estarán obligados a poner a disposición el aviso de privacidad para la información que refiera a las personas mencionadas en el artículo arriba citado”.

En vista de lo anterior, ¿piensan Uds. que Sport City, S.A. de C.V., tendría que tener un Aviso de Privacidad para Proveedores, particularmente considerando la tercera finalidad de tratamiento indicado por dicha Responsable en su Aviso de Privacidad?

Si bien la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) fue promulgada el 5 de julio del 2010 y estamos próximos a los 3 años de su vigencia, a la fecha ese lapso nos ha brindado poca experiencia práctica y menos criterios de la autoridad para orientar dicha práctica.

Aun tomando en cuenta que conforme a los Artículos Tercero y Cuarto Transitorios de dicho estatuto, respectivamente, los Responsables gozarían de plazos de 12 y 18 meses para designar a su “privacy officer” y publicar sus avisos de privacidad, por una parte, y para implementar un proceso de atención a solicitudes ARCO, por otra, a casi otros 18 meses sólo se han difundido 3 expedientes en que el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) ha sancionado a Responsables del tratamiento de Datos Personales por haber transgredido las disposiciones de  la LFPDPPP.

El dudoso honor de ser el primer Responsable sancionado correspondió a Pharma Plus, S.A. de C.V., mejor conocida por sus “Farmacias San Pablo“. Derivado de una queja el IFAI realizó una visita de verificación y encontró que:

  1. No tenían aviso de privacidad en sucursal; únicamente en su página de Internet;
  2. El que tenían en Internet indicaba que la Responsable del Tratamiento de Datos Personales es “Grupo San Pablo”, que no existe como persona moral, en tanto que la denominación de la Responsable era Pharma Plus, S.A. de C.V.;
  3. Dicho aviso de privacidad omitía, además, la indicación de medios para revocar el consentimiento que hubiera sido otorgado para el Tratamiento de los Datos Personales de sus clientes, y
  4. Tenía también una referencia indicando que la Responsable podría determinar el grado de confidencialidad con que se tratarían los datos personales.

Los primeros dos hechos motivaron que el IFAI multara a la Responsable con $500,011.26, por incumplir con el Elemento de Identidad, y los segundos dos dieron pie a otra multa  la cantidad de $1,500,033.78 pesos, por violación al Principio de Información. Hoy día esa Responsable ya ha corregido su aviso de privacidad.

El segundo caso correspondió al Banco Nacional de México, S.A., mejor conocido como BANAMEX, a quien le fueron impuestas multas por $16’155,936.00 conforme a lo siguiente:

  • Por negligencia en la tramitación y respuesta de la solicitud de cancelación y oposición de los datos personales del Titular quejoso, multa por la cantidad de $2’493,200.00, equivalente a 40,000 días de salario mínimo vigente en el D.F.;
  • Por violar el principio de finalidad al continuar con el tratamiento de los datos personales del Titular no obstante que la finalidad para la cual fueron recabados dejó de existir, multa de $1’196,736.00, equivalente a 19,200 días de salario mínimo vigente en el D.F.;
  • Por no efectuar la cancelación de los datos personales no obstante que resultaba legalmente procedente, multa de $2’493,200.00, equivalente a 40,000 días de salario  mínimo vigente en el D.F.;
  • Por no cesar en el tratamiento de los datos personales del Titular no obstante que éste ejerció su derecho de cancelación, continuando con el tratamiento ilegítimo, multa de $4’986,400.00, equivalente a 80,000 días de salario mínimo vigente en el D.F.;
  • Por impedir el ejercicio de los derechos de cancelación y oposición del Titular, otra multa de $4’986,400.00, equivalente a 80,000 días de salario mínimo vigente en el D.F.

El tercer caso es relativo a la operadora de gimnasios SPORT CITY, S.A. de C.V., a quien por omitir en su aviso de privacidad las opciones y medios que dicha Responsable ofreciera a los titulares para limitar el uso o divulgación de los Datos Personales tratados le fue impuesta una multa de $1’246,600.00, unas 19,249 veces el salario mínimo vigente en el D.F.

Desde luego las cifras referidas son astronómicas, y cualquiera se preguntaría si podría ser blanco de una multa de tal magnitud. La respuesta es que depende; ¿de qué depende? Pues de la aplicación que haga el IFAI de los criterios previstos en el Artículo 65 de la LFPDPPP para graduar la sanción:

Artículo 65.- El Instituto fundará y motivará sus resoluciones, considerando:
  1. La naturaleza del dato;
  2. La notoria improcedencia de la negativa del responsable, para realizar los actos solicitados por el titular, en términos de la Ley;
  3. El carácter intencional o no, de la acción u omisión constitutiva de la infracción;
  4. La capacidad económica del responsable, y
  5. La reincidencia.

Podría asumirse que estos casos fueron “de alto perfil” y buscaron causar un efecto mediático luego de un prolongado periodo de pasividad (más un año) por parte del IFAI. Sin embargo lo mejor es poner manos a la obra cuanto antes en la implementación del cumplimiento normativo de la materia, pues sin lugar a dudas el dinero invertido en ello es más productivo que el dinero destinado al pago de multas.

El pasado lunes la CONDUSEF emitió ciertas “recomendaciones” para las para las instituciones de crédito (recordemos que estas se subdividen en “banca múltiple”, “banca de nicho” y “sociedades nacionales de crédito”) en materia de protección de datos personales, mismas que se limitan a lo siguiente:

  1. En caso de que las instituciones tengan conocimiento de que los datos personales de alguno de sus clientes se hayan hecho públicos de forma indebida, deberá de informarle y proceder al cambio de su número de cuenta.
  2. Revisar permanentemente las medidas de seguridad de sus sistemas y procesos de manejo de la información, a fin de garantizar la protección de los datos personales de los usuarios.
  3. Verificar que los terceros con los cuales comparten sus bases de datos para fines de mercadotecnia, o cualquier otra actividad relacionada con su operación, se hagan responsables del correcto manejo y reserva de la información en ellas contenida.
  4. En su caso, iniciar las acciones legales procedentes.

La emisión de las recomendaciones citadas no es realmente de mayor utilidad, por lo obvio y limitado de su contenido, pero tampoco es gratuita; se inscribe entre las consecuencias de la nota publicada por el diario Reforma el pasado 3 de junio de 2013, describiendo la disponibilidad en el mercado negro de bases de datos que presuntamente contienen el Padrón Electoral a cargo del IFE, así como la Informacion Sensible de Usuarios de instituciones de crédito como Banamex y American Express. Más aun, el propio Banamex fue el reciente blanco de la segunda multa impuesta por el IFAI con motivo de la violación de las disposiciones de la Ley Federal de Protección de Datos Personales (LFPDPPP) y su Reglamento (RLFPDPPP).

 
En seguimiento a ello y a otras notas que siguieron el suscrito expuso al Reforma que conforme al artículo 20 de la LFPDPPP las vulneraciones de seguridad que afecten de forma significativa los derechos patrimoniales o morales de los Titulares deben ser informadas de inmeidato a estos por el Responsable del tratamiento de los datos de que se trate, a fin de que estos puedan tomar las medidas correspondientes a la defensa de sus derechos.
 
 
El Reglamento de la citada Ley puntualiza que tal notificación debe realizarse: (i) en cuanto el Responsable confirme que ocurrió la vulneración y (ii) haya tomado medidas para llevar a cabo una revisión exhaustiva de la afectación, para que los Titulares puedan tomar las medidas correspondientes. Tales medidas deben incluir un análisis de las causas de la vulneración y la implementación de acciones correctivas, preventivas y de mejora de las medidas de seguridad físicas, administrativas y técnicas, según sea el caso, relacionadas en el documento relativo a ellas que todo Responsable tiene obligación de llevar.
 
 
La notificación que reciban los Titulares debería indicarles: (i) naturaleza del incidente; (ii) datos personales comprometidos; (iii) recomendaciones que el Titular pueda adoptar para proteger sus intereses; (iv) acciones correctivas realizadas de forma inmediata y, (v) medios por los que pueda obtener mayor información al respecto. Lo anterior responde a un cambio que necesariamente debe operarse en materia de protección de datos personales en México; el Titular de los datos comprometidos por la vulneración debe reaccionar de manera proactiva ante una notificación de tal naturaleza y adoptar las acciones recomendadas por el Responsable, o bien aquéllas que él mismo considere prudentes.
 
 
Ahora bien, en el particular caso de las instituciones de crédito la “Circular Única de Bancos” emitida por la CNBV prevé que aquéllas que se valgan de medios electrónicos para celebrar operaciones y prestar serviciós deben implementar medidas de seguridad en la transmisión, almacenamiento y procesamiento llevado a cabo a través de dichos canales, para evitar que caiga en manos de terceros; tales medidas incluyen el cifrado y/o truncamiento de información, restricciones a los medios para su transmisión.
 
 
Dicha regulación obliga además a tales instituciones a tener controles para el acceso a bases de datos de operaciones y servicios realizados a través de medios electrónicos, mismo que sólo debe ser concedido a personas expresamente autorizadas con motivo de sus funciones, de lo cual deberá dejarse constancia que indique el período al que se limite el acceso, además de procedimientos seguros para la destrucción de medios de almacenamiento de las bases de datos que contenga información sensible de los usuarios.
 
 
Conviene destacar que la definición de “Información Sensible” en la Circular Única de Bancos no corresponde con la de Datos Personales Sensibles en la LFPDPPP, puesto que aquélla es más amplia que ésta última. En materia bancaria se considera Información Sensible del Usuario a su nombre, domicilio, teléfono o correo electrónico en conjunto con los números de sus tarjetas bancarias, números de cuenta, límites de crédito, saldos, indentificadores de usuario o información de autenticación, mientras que la referida ley considera como datos personales sensibles a los que atañen a la esfera íntima del Titular, o se prestarían a someterlo a discriminación.
 
 
De manera paralela a las acciones que la Ley Federal de Protección de Datos Personales obiga a todos los Responsables a tomar ante una vulneración, la Circular Única de Bancos requiere que las instituciones que supongan o sospechen de un incidente que involucre acceso no autorizado a la Información Sensible del Usuario deben (i) enviar, dentro de los 5 días naturales del incidente y por escrito a la Dirección General de la CNBV que los supervise determinada información, y llevar a cabo una invetigación para determinar si la información ha sido o pudo haber sido mal utilizada, notificando tal situación a los propios usuarios dentro de los 3 días hábiles siguientes para prevenirles de los reisgos derivados del mal uso de su información extraída, extraviada o comprometida, así como de las medidas que deban tomar.
 
 
Adicionalmente la Circular Única de Bancos contiene disposiciones que norman la contratación con terceros de servicios o comisiones para realizar procesos operativos o de administración de bases de datos y sistemas informáticos; tal contratación requiere de un aviso del Director General del banco a la CNBV indicando, entre otras cosas, las medidas a ser implementadas respecto de la vulnerabilidad de la información relativa a los clientes.
 
 
En conclusión, el caso reportado por Reforma seguramente no sólo será materia de investigación por el IFAI, el IFE y las instituciones de procuración de justicia, sino también por el regulador bancario.

La amplitud de la definición de Tratamiento en la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) y su Reglamento (RLFPDPPP) es tal que abarca a prácticamente todos los giros mercantiles, y la industria restaurantera no es la excepción.

Tomar reservaciones, entregar a domicilio, emitir facturas o contar con videovigilancia como parte de la seguridad del establecimiento constituyen Finalidades del Tratamiento de Datos Personales por los que la empresa o empresario restaurantero, según sea el caso, son Responsables. Más aun, la relación laboral que tenga con los empleados del establecimiento, sean capitán, chef, ayudantes de cocina, meseros, garroteros o galopinas también conlleva necesariamente el Tratamiento de sus Datos Personales, incluyendo datos patrimoniales, concernientes a su ingreso, y sensibles, ya sean relativos al estado de salud o afiliación sindical de dicho personal.

Aunque podría pensarse que, salvo casos de los restaurantes muy renombrados que son visitados por las grandes figuras de la vida pública nacional, sería improbable que establecimientos de menor calado o más sencillos pudieran atraer la atención del IFAI, ninguno está exento de ser visitado cualquier día por una #ladyprofeco u otro comensal difícil que sólo por ánimo deportivo acuda ante dicho organismo para iniciar un procedimiento de protección de datos que ante la total carencia del antedicho cumplimiento normativo y deficiencias en el mismo implicaría la contingencia de multas no menores de $6,476.00 o $12,952.00, de acuerdo a la gravedad de la infracción, que podrían suponer un revés considerable a las finanzas del restaurante.

Por ello es indispensable que los empresarios restauranteros consideren contar con:

  1. Los Avisos de Privacidad integrales, simplificados y/o cortos que correspondan;
  2. Un funcionario a cargo de datos personales al interior de la empresa;
  3. Una política de privacidad que sea conocida por todos los empleados de sus unidades de negocio, aplicada por el mencionado funcionario;
  4. La relacion de medidas de seguridad física, administrativa y técnica que implementen para el resguardo de los Datos Personales a los que den Tratamiento;
  5. Documenten la relación que tengan con Encargados del Tratamiento de Datos Personales de sus clientes, como call centers o empresas de entrega a domicilio, y
  6. Consideren si deben y pueden implementar medidas compensatorias para dar a conocer su aviso de privacidad a los clientes cuyos datos continúen tratando bajo el imperio de la LFPDPPP.

Asimismo es importante que atiendan al criterio de minimización previsto por el RLFPDPPP. Por ejemplo, en caso de atender a comensales que padezcan alergias o intolerancia a ciertos alimentos o condimentos, ¿se consideraría Tratamiento que el comensal le indique a su mesero que es alérgico al gluten? En tal supuesto, ¿el restaurante debería almacenarlo en su base de datos? Porque de hacerlo, el Aviso de Privacidad del restaurante tendría que prever el Tratamiento de Datos Personales Sensibles.

El tratamiento de la imagen de los comensales, por ejemplo al realizar “activaciones” u otras actividades de mercadotecnia y prospección comercial ameritarían mención aparte, por tener también implicaciones en materia de derechos de autor. Adicionalmente en el caso de recurrir a redes sociales para tal fin obliga a atender a los Términos de Uso de cada una de ellas.

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace