archivo

Archivos Mensuales: junio 2013

Si bien la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) fue promulgada el 5 de julio del 2010 y estamos próximos a los 3 años de su vigencia, a la fecha ese lapso nos ha brindado poca experiencia práctica y menos criterios de la autoridad para orientar dicha práctica.

Aun tomando en cuenta que conforme a los Artículos Tercero y Cuarto Transitorios de dicho estatuto, respectivamente, los Responsables gozarían de plazos de 12 y 18 meses para designar a su “privacy officer” y publicar sus avisos de privacidad, por una parte, y para implementar un proceso de atención a solicitudes ARCO, por otra, a casi otros 18 meses sólo se han difundido 3 expedientes en que el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) ha sancionado a Responsables del tratamiento de Datos Personales por haber transgredido las disposiciones de  la LFPDPPP.

El dudoso honor de ser el primer Responsable sancionado correspondió a Pharma Plus, S.A. de C.V., mejor conocida por sus “Farmacias San Pablo“. Derivado de una queja el IFAI realizó una visita de verificación y encontró que:

  1. No tenían aviso de privacidad en sucursal; únicamente en su página de Internet;
  2. El que tenían en Internet indicaba que la Responsable del Tratamiento de Datos Personales es “Grupo San Pablo”, que no existe como persona moral, en tanto que la denominación de la Responsable era Pharma Plus, S.A. de C.V.;
  3. Dicho aviso de privacidad omitía, además, la indicación de medios para revocar el consentimiento que hubiera sido otorgado para el Tratamiento de los Datos Personales de sus clientes, y
  4. Tenía también una referencia indicando que la Responsable podría determinar el grado de confidencialidad con que se tratarían los datos personales.

Los primeros dos hechos motivaron que el IFAI multara a la Responsable con $500,011.26, por incumplir con el Elemento de Identidad, y los segundos dos dieron pie a otra multa  la cantidad de $1,500,033.78 pesos, por violación al Principio de Información. Hoy día esa Responsable ya ha corregido su aviso de privacidad.

El segundo caso correspondió al Banco Nacional de México, S.A., mejor conocido como BANAMEX, a quien le fueron impuestas multas por $16’155,936.00 conforme a lo siguiente:

  • Por negligencia en la tramitación y respuesta de la solicitud de cancelación y oposición de los datos personales del Titular quejoso, multa por la cantidad de $2’493,200.00, equivalente a 40,000 días de salario mínimo vigente en el D.F.;
  • Por violar el principio de finalidad al continuar con el tratamiento de los datos personales del Titular no obstante que la finalidad para la cual fueron recabados dejó de existir, multa de $1’196,736.00, equivalente a 19,200 días de salario mínimo vigente en el D.F.;
  • Por no efectuar la cancelación de los datos personales no obstante que resultaba legalmente procedente, multa de $2’493,200.00, equivalente a 40,000 días de salario  mínimo vigente en el D.F.;
  • Por no cesar en el tratamiento de los datos personales del Titular no obstante que éste ejerció su derecho de cancelación, continuando con el tratamiento ilegítimo, multa de $4’986,400.00, equivalente a 80,000 días de salario mínimo vigente en el D.F.;
  • Por impedir el ejercicio de los derechos de cancelación y oposición del Titular, otra multa de $4’986,400.00, equivalente a 80,000 días de salario mínimo vigente en el D.F.

El tercer caso es relativo a la operadora de gimnasios SPORT CITY, S.A. de C.V., a quien por omitir en su aviso de privacidad las opciones y medios que dicha Responsable ofreciera a los titulares para limitar el uso o divulgación de los Datos Personales tratados le fue impuesta una multa de $1’246,600.00, unas 19,249 veces el salario mínimo vigente en el D.F.

Desde luego las cifras referidas son astronómicas, y cualquiera se preguntaría si podría ser blanco de una multa de tal magnitud. La respuesta es que depende; ¿de qué depende? Pues de la aplicación que haga el IFAI de los criterios previstos en el Artículo 65 de la LFPDPPP para graduar la sanción:

Artículo 65.- El Instituto fundará y motivará sus resoluciones, considerando:
  1. La naturaleza del dato;
  2. La notoria improcedencia de la negativa del responsable, para realizar los actos solicitados por el titular, en términos de la Ley;
  3. El carácter intencional o no, de la acción u omisión constitutiva de la infracción;
  4. La capacidad económica del responsable, y
  5. La reincidencia.

Podría asumirse que estos casos fueron “de alto perfil” y buscaron causar un efecto mediático luego de un prolongado periodo de pasividad (más un año) por parte del IFAI. Sin embargo lo mejor es poner manos a la obra cuanto antes en la implementación del cumplimiento normativo de la materia, pues sin lugar a dudas el dinero invertido en ello es más productivo que el dinero destinado al pago de multas.

El pasado lunes la CONDUSEF emitió ciertas “recomendaciones” para las para las instituciones de crédito (recordemos que estas se subdividen en “banca múltiple”, “banca de nicho” y “sociedades nacionales de crédito”) en materia de protección de datos personales, mismas que se limitan a lo siguiente:

  1. En caso de que las instituciones tengan conocimiento de que los datos personales de alguno de sus clientes se hayan hecho públicos de forma indebida, deberá de informarle y proceder al cambio de su número de cuenta.
  2. Revisar permanentemente las medidas de seguridad de sus sistemas y procesos de manejo de la información, a fin de garantizar la protección de los datos personales de los usuarios.
  3. Verificar que los terceros con los cuales comparten sus bases de datos para fines de mercadotecnia, o cualquier otra actividad relacionada con su operación, se hagan responsables del correcto manejo y reserva de la información en ellas contenida.
  4. En su caso, iniciar las acciones legales procedentes.

La emisión de las recomendaciones citadas no es realmente de mayor utilidad, por lo obvio y limitado de su contenido, pero tampoco es gratuita; se inscribe entre las consecuencias de la nota publicada por el diario Reforma el pasado 3 de junio de 2013, describiendo la disponibilidad en el mercado negro de bases de datos que presuntamente contienen el Padrón Electoral a cargo del IFE, así como la Informacion Sensible de Usuarios de instituciones de crédito como Banamex y American Express. Más aun, el propio Banamex fue el reciente blanco de la segunda multa impuesta por el IFAI con motivo de la violación de las disposiciones de la Ley Federal de Protección de Datos Personales (LFPDPPP) y su Reglamento (RLFPDPPP).

 
En seguimiento a ello y a otras notas que siguieron el suscrito expuso al Reforma que conforme al artículo 20 de la LFPDPPP las vulneraciones de seguridad que afecten de forma significativa los derechos patrimoniales o morales de los Titulares deben ser informadas de inmeidato a estos por el Responsable del tratamiento de los datos de que se trate, a fin de que estos puedan tomar las medidas correspondientes a la defensa de sus derechos.
 
 
El Reglamento de la citada Ley puntualiza que tal notificación debe realizarse: (i) en cuanto el Responsable confirme que ocurrió la vulneración y (ii) haya tomado medidas para llevar a cabo una revisión exhaustiva de la afectación, para que los Titulares puedan tomar las medidas correspondientes. Tales medidas deben incluir un análisis de las causas de la vulneración y la implementación de acciones correctivas, preventivas y de mejora de las medidas de seguridad físicas, administrativas y técnicas, según sea el caso, relacionadas en el documento relativo a ellas que todo Responsable tiene obligación de llevar.
 
 
La notificación que reciban los Titulares debería indicarles: (i) naturaleza del incidente; (ii) datos personales comprometidos; (iii) recomendaciones que el Titular pueda adoptar para proteger sus intereses; (iv) acciones correctivas realizadas de forma inmediata y, (v) medios por los que pueda obtener mayor información al respecto. Lo anterior responde a un cambio que necesariamente debe operarse en materia de protección de datos personales en México; el Titular de los datos comprometidos por la vulneración debe reaccionar de manera proactiva ante una notificación de tal naturaleza y adoptar las acciones recomendadas por el Responsable, o bien aquéllas que él mismo considere prudentes.
 
 
Ahora bien, en el particular caso de las instituciones de crédito la “Circular Única de Bancos” emitida por la CNBV prevé que aquéllas que se valgan de medios electrónicos para celebrar operaciones y prestar serviciós deben implementar medidas de seguridad en la transmisión, almacenamiento y procesamiento llevado a cabo a través de dichos canales, para evitar que caiga en manos de terceros; tales medidas incluyen el cifrado y/o truncamiento de información, restricciones a los medios para su transmisión.
 
 
Dicha regulación obliga además a tales instituciones a tener controles para el acceso a bases de datos de operaciones y servicios realizados a través de medios electrónicos, mismo que sólo debe ser concedido a personas expresamente autorizadas con motivo de sus funciones, de lo cual deberá dejarse constancia que indique el período al que se limite el acceso, además de procedimientos seguros para la destrucción de medios de almacenamiento de las bases de datos que contenga información sensible de los usuarios.
 
 
Conviene destacar que la definición de “Información Sensible” en la Circular Única de Bancos no corresponde con la de Datos Personales Sensibles en la LFPDPPP, puesto que aquélla es más amplia que ésta última. En materia bancaria se considera Información Sensible del Usuario a su nombre, domicilio, teléfono o correo electrónico en conjunto con los números de sus tarjetas bancarias, números de cuenta, límites de crédito, saldos, indentificadores de usuario o información de autenticación, mientras que la referida ley considera como datos personales sensibles a los que atañen a la esfera íntima del Titular, o se prestarían a someterlo a discriminación.
 
 
De manera paralela a las acciones que la Ley Federal de Protección de Datos Personales obiga a todos los Responsables a tomar ante una vulneración, la Circular Única de Bancos requiere que las instituciones que supongan o sospechen de un incidente que involucre acceso no autorizado a la Información Sensible del Usuario deben (i) enviar, dentro de los 5 días naturales del incidente y por escrito a la Dirección General de la CNBV que los supervise determinada información, y llevar a cabo una invetigación para determinar si la información ha sido o pudo haber sido mal utilizada, notificando tal situación a los propios usuarios dentro de los 3 días hábiles siguientes para prevenirles de los reisgos derivados del mal uso de su información extraída, extraviada o comprometida, así como de las medidas que deban tomar.
 
 
Adicionalmente la Circular Única de Bancos contiene disposiciones que norman la contratación con terceros de servicios o comisiones para realizar procesos operativos o de administración de bases de datos y sistemas informáticos; tal contratación requiere de un aviso del Director General del banco a la CNBV indicando, entre otras cosas, las medidas a ser implementadas respecto de la vulnerabilidad de la información relativa a los clientes.
 
 
En conclusión, el caso reportado por Reforma seguramente no sólo será materia de investigación por el IFAI, el IFE y las instituciones de procuración de justicia, sino también por el regulador bancario.

La amplitud de la definición de Tratamiento en la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) y su Reglamento (RLFPDPPP) es tal que abarca a prácticamente todos los giros mercantiles, y la industria restaurantera no es la excepción.

Tomar reservaciones, entregar a domicilio, emitir facturas o contar con videovigilancia como parte de la seguridad del establecimiento constituyen Finalidades del Tratamiento de Datos Personales por los que la empresa o empresario restaurantero, según sea el caso, son Responsables. Más aun, la relación laboral que tenga con los empleados del establecimiento, sean capitán, chef, ayudantes de cocina, meseros, garroteros o galopinas también conlleva necesariamente el Tratamiento de sus Datos Personales, incluyendo datos patrimoniales, concernientes a su ingreso, y sensibles, ya sean relativos al estado de salud o afiliación sindical de dicho personal.

Aunque podría pensarse que, salvo casos de los restaurantes muy renombrados que son visitados por las grandes figuras de la vida pública nacional, sería improbable que establecimientos de menor calado o más sencillos pudieran atraer la atención del IFAI, ninguno está exento de ser visitado cualquier día por una #ladyprofeco u otro comensal difícil que sólo por ánimo deportivo acuda ante dicho organismo para iniciar un procedimiento de protección de datos que ante la total carencia del antedicho cumplimiento normativo y deficiencias en el mismo implicaría la contingencia de multas no menores de $6,476.00 o $12,952.00, de acuerdo a la gravedad de la infracción, que podrían suponer un revés considerable a las finanzas del restaurante.

Por ello es indispensable que los empresarios restauranteros consideren contar con:

  1. Los Avisos de Privacidad integrales, simplificados y/o cortos que correspondan;
  2. Un funcionario a cargo de datos personales al interior de la empresa;
  3. Una política de privacidad que sea conocida por todos los empleados de sus unidades de negocio, aplicada por el mencionado funcionario;
  4. La relacion de medidas de seguridad física, administrativa y técnica que implementen para el resguardo de los Datos Personales a los que den Tratamiento;
  5. Documenten la relación que tengan con Encargados del Tratamiento de Datos Personales de sus clientes, como call centers o empresas de entrega a domicilio, y
  6. Consideren si deben y pueden implementar medidas compensatorias para dar a conocer su aviso de privacidad a los clientes cuyos datos continúen tratando bajo el imperio de la LFPDPPP.

Asimismo es importante que atiendan al criterio de minimización previsto por el RLFPDPPP. Por ejemplo, en caso de atender a comensales que padezcan alergias o intolerancia a ciertos alimentos o condimentos, ¿se consideraría Tratamiento que el comensal le indique a su mesero que es alérgico al gluten? En tal supuesto, ¿el restaurante debería almacenarlo en su base de datos? Porque de hacerlo, el Aviso de Privacidad del restaurante tendría que prever el Tratamiento de Datos Personales Sensibles.

El tratamiento de la imagen de los comensales, por ejemplo al realizar “activaciones” u otras actividades de mercadotecnia y prospección comercial ameritarían mención aparte, por tener también implicaciones en materia de derechos de autor. Adicionalmente en el caso de recurrir a redes sociales para tal fin obliga a atender a los Términos de Uso de cada una de ellas.

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace