14 junio, 2013
Privacy/Protección de Datos
Deja un comentario

Sanciones del IFAI; el costo del incumplimiento

Si bien la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) fue promulgada el 5 de julio del 2010 y estamos próximos a los 3 años de su vigencia, a la fecha ese lapso nos ha brindado poca experiencia práctica y menos criterios de la autoridad para orientar dicha práctica.

Aun tomando en cuenta que conforme a los Artículos Tercero y Cuarto Transitorios de dicho estatuto, respectivamente, los Responsables gozarían de plazos de 12 y 18 meses para designar a su «privacy officer» y publicar sus avisos de privacidad, por una parte, y para implementar un proceso de atención a solicitudes ARCO, por otra, a casi otros 18 meses sólo se han difundido 3 expedientes en que el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) ha sancionado a Responsables del tratamiento de Datos Personales por haber transgredido las disposiciones de  la LFPDPPP.

El dudoso honor de ser el primer Responsable sancionado correspondió a Pharma Plus, S.A. de C.V., mejor conocida por sus «Farmacias San Pablo«. Derivado de una queja el IFAI realizó una visita de verificación y encontró que:

  1. No tenían aviso de privacidad en sucursal; únicamente en su página de Internet;
  2. El que tenían en Internet indicaba que la Responsable del Tratamiento de Datos Personales es «Grupo San Pablo», que no existe como persona moral, en tanto que la denominación de la Responsable era Pharma Plus, S.A. de C.V.;
  3. Dicho aviso de privacidad omitía, además, la indicación de medios para revocar el consentimiento que hubiera sido otorgado para el Tratamiento de los Datos Personales de sus clientes, y
  4. Tenía también una referencia indicando que la Responsable podría determinar el grado de confidencialidad con que se tratarían los datos personales.

Los primeros dos hechos motivaron que el IFAI multara a la Responsable con $500,011.26, por incumplir con el Elemento de Identidad, y los segundos dos dieron pie a otra multa  la cantidad de $1,500,033.78 pesos, por violación al Principio de Información. Hoy día esa Responsable ya ha corregido su aviso de privacidad.

El segundo caso correspondió al Banco Nacional de México, S.A., mejor conocido como BANAMEX, a quien le fueron impuestas multas por $16’155,936.00 conforme a lo siguiente:

  • Por negligencia en la tramitación y respuesta de la solicitud de cancelación y oposición de los datos personales del Titular quejoso, multa por la cantidad de $2’493,200.00, equivalente a 40,000 días de salario mínimo vigente en el D.F.;
  • Por violar el principio de finalidad al continuar con el tratamiento de los datos personales del Titular no obstante que la finalidad para la cual fueron recabados dejó de existir, multa de $1’196,736.00, equivalente a 19,200 días de salario mínimo vigente en el D.F.;
  • Por no efectuar la cancelación de los datos personales no obstante que resultaba legalmente procedente, multa de $2’493,200.00, equivalente a 40,000 días de salario  mínimo vigente en el D.F.;
  • Por no cesar en el tratamiento de los datos personales del Titular no obstante que éste ejerció su derecho de cancelación, continuando con el tratamiento ilegítimo, multa de $4’986,400.00, equivalente a 80,000 días de salario mínimo vigente en el D.F.;
  • Por impedir el ejercicio de los derechos de cancelación y oposición del Titular, otra multa de $4’986,400.00, equivalente a 80,000 días de salario mínimo vigente en el D.F.

El tercer caso es relativo a la operadora de gimnasios SPORT CITY, S.A. de C.V., a quien por omitir en su aviso de privacidad las opciones y medios que dicha Responsable ofreciera a los titulares para limitar el uso o divulgación de los Datos Personales tratados le fue impuesta una multa de $1’246,600.00, unas 19,249 veces el salario mínimo vigente en el D.F.

Desde luego las cifras referidas son astronómicas, y cualquiera se preguntaría si podría ser blanco de una multa de tal magnitud. La respuesta es que depende; ¿de qué depende? Pues de la aplicación que haga el IFAI de los criterios previstos en el Artículo 65 de la LFPDPPP para graduar la sanción:

Artículo 65.- El Instituto fundará y motivará sus resoluciones, considerando:
  1. La naturaleza del dato;
  2. La notoria improcedencia de la negativa del responsable, para realizar los actos solicitados por el titular, en términos de la Ley;
  3. El carácter intencional o no, de la acción u omisión constitutiva de la infracción;
  4. La capacidad económica del responsable, y
  5. La reincidencia.

Podría asumirse que estos casos fueron «de alto perfil» y buscaron causar un efecto mediático luego de un prolongado periodo de pasividad (más un año) por parte del IFAI. Sin embargo lo mejor es poner manos a la obra cuanto antes en la implementación del cumplimiento normativo de la materia, pues sin lugar a dudas el dinero invertido en ello es más productivo que el dinero destinado al pago de multas.

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

Marcus Kazmierczak

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace

Cedric's Privacy Blog

A %d blogueros les gusta esto: