archivo

Archivos Mensuales: julio 2013

Relación de Medidas de Seguridad; Trabajo que Una Vez Hecho, Abona para Más…

31 julio, 2013
IP/Propiedad Intelectual, Privacy/Protección de Datos
Deja un comentario

Un comentario que recurre de manera común al exponer a los Responsables la necesidad de implementar el cumplimiento normativo en materia de protección de datos personales es que, al parecer de muchos, la entrada en vigor del marco regulatorio correspondiente ha generado una nueva burocracia y tramitología que, a la postre, incrementa su riesgo legal.

Además de mirarlo desde la óptica del incremento que esto reporta en la confianza de los clientes y trabajadores de la empresa, así como un ejercicio valioso en sí por «tener la casa en orden», procuro señalar a mis clientes que hay aspectos de esta labor que pueden abonar a mitigar su riesgo legal en otros aspectos, y uno muy concreto es la observancia de los derechos de propiedad intelectual.

Existe una organización de la sociedad civil llamada Business Software Alliance, integrada por un «quién es quién» del mundo de la tecnología y con alcance global (incluyendo un capítulo en México) que coadyuva con los gobiernos de los países en que tiene sedes para combatir la piratería de software, misma que innegablemente es un problema en México. Dicha organización recibe a través de su página de Internet «denuncias anónimas», que posteriormente se materializarán en correos electrónicos de sus abogados (que son muy buenos) a través de los cuales «requieren» que el denunciado exhiba los documentos justificativos de la propiedad de su hardware (servidores, CPUs, laptops) y del software con el que éste opere.

Tratándose de una organización de la sociedad civil, más no autoridad, en un descuido podría pensarse que ignorar tal «requerimiento» no tendría consecuencias; sin embargo la BSA lleva años manteniendo vigente un conveno de cooperación con el Instituto Mexicano de la Propiedad Industrial por virtud del cual la desatención a la solicitud de aquélla podría derivar en una visita de éste último, mismo que sí es autoridad y puede requerirle a su empresa todos los elementos de prueba necesarios para justificar que no esté incurriendo en una infracción a la Ley de la Propiedad Industrial.

Ahora bien, la fracción IX del artículo 61 del Reglamento de la Ley Federal de Protección de Datos Personales prevé que la Relación de Medidas de Seguridad con que debe contar el Responsable del Tratamiento de Datos Personales debe incluir «…un inventario de los sistemas de tratamiento (de datos personales)… y un registro de los medios de almacenamiento (de los datos personales)».

Tal registro debería incluir precisamente servidores, CPUs de desktops, laptops, incluso smartphones y, de ser posible, USBs entregados a los empleados de la empresa para la realización de sus labores. Al contar con ello el Responsable podrá tener mejor control del Tratamiento de Datos Personales que lleva a cabo, proveerá a la trazabilidad de tales Datos y, a la postre, estará preparado para el caso que llegase a recibir la visita del IMPI y la BSA, conjurando la contingencia de acciones administrativas e incluso tal vez penales derivadas del intento por oponerse a la visita de verificación de dicho Instituto, motivada po la solicitud de BSA.

Para muestra basta un botón; recién se difundió la clausura de una empresa Queretana que se opuso a que el IMPI realizara una inspección de sus sistemas de cómputo. Por el contrario, contar con la Relación de Medidas de Seguridad, que es obligatoria desde el 20 de junio del presente año, mitigará el riesgo legal de una visita del IFAI y le permitirá estar más preparado para atender satisfactoriamente una inspección del IMPI.

Derechos A R C O y Cobranza Extrajudicial

30 julio, 2013
Privacy/Protección de Datos, Regulación Bancaria/Financiera
Deja un comentario

Una pregunta recurrente en los seminarios que he impartido sobre protección de datos personales es si el ejercicio de los derechos ARCO es aplicable a las instituciones de crédito y/o SOFOMes, cuyos prestadores de servicios (usualmente bajo la figura de «Encargado») llaman incesantemente a los teléfonos de personas que podrán ser titulares de la línea telefónica, pero no deudores de la cuenta cuya cobranza procuran dichos Encargados.

Después de haber sido abogado bancario y corporativo transaccional me consta lo difícil, cuando no imposible, que puede ser recuperar en México una cuenta por cobrar de un deudor en  crédito al consumo, e incluso en crédito productivo, aún cuando se tengan otorgadas garantías. En su momento respondí a quejas presentadas ante CONDUSEF contra alguno de mis clientes por casos de suplantación o robo de identidad, por lo que también me constan las penurias que enfrentan personas en tal situación para resolver su situación. También me supongo que debe ser por demás molesto tomar una nueva línea telefónica para darse cuenta, a través de las múltiples llamadas de los ejecutivos de cobranza, que algún moroso era su titular anterior.

La reiterada pregunta habla de la mala gestión que hacen las instituciones financieras por cumplir con el Principio de Calidad que informa a la LFPDPPP, atento al cual los datos personales materia de tratamiento deben ser exactos, completos, pertinentes, correctos y actualizados. También habla de la dificultad que tiene la CONDUSEF para meter en cintura a los servicios de cobranza.

La respuesta a esa pregunta recurrente es que sí; no obstante la existencia de regulación propia del sector financiero, misma que conforme al Artículo 40 de la LFPDPPP deberá ser ajustada al marco normativo que ella prevé, sus disposiciones resultan aplicables a todas las instituciones financieras que traten datos personales para fines comerciales o de divulgación, salvo por las Sociedades de Infromación crediticia, mismas que fuero exceptuadas de la normativa de protección de datos personales. Para muestra basta la multa impuesta por el IFAI a Banamex, del orden de $16’155,936.00

En primer término podría acudirse a la Unidad Especializada que la entidad financiera debería tener en cumplimiento a la Ley de Protección y Defensa al Usuario de Servicios Financieros, aunque lo más probable es que se limiten a consultar su cuenta e ignoren si el número telefónico (que podría ser parte de los factores de autenticación previstos para banca electrónica) está o no asociado a otra cuenta.

También podría formular una denuncia ante la CONDUSEF a través de su Portal de Gestión de Cobranza, a fin de que dicho organismo verifique si el caso resulta o no en una violación del Código de Ética de las Obligaciones para con los Deudores y Público en General, que fue pactado por tal Comisión y por la Asociación Mexicana de Profesionales en Cobranza y Servicios Jurídicos, A.C. Pero dicho Código es soft law, de adopción voluntaria y difícilmente sancionable.

En vía de protección de datos personales, si el Titular afectado efectivamente tuviera una cuenta o producto de la institución de que se trate, pero no el deudor buscado a través de su teléfono o correo electrónico, podría ejercer el derecho de Rectificación, a fin de que su nombre sea asociado a los números telefónico y de cuenta correctos y no a los de alguien más. También podría ejercer su derecho de Oposición, a fin de que se le eviten mayores perjuicios tratando sus datos para la cobranza de una cuenta que no le corresponde.

En caso de no haber sido tarjetahabiente ni cuentahabiente de la institución, tendría expedito el derecho de cancelación, al igual que si los datos personales hubieran sido obtenidos indirectamente por la institución financiera por transferencia de alguien que lo hubiera nombrado como referencia y como consecuencia le llamaran para presionar al referido.

¿Qué Modalidad de Aviso de Privacidad usar Cuándo?

29 julio, 2013
Sin categoría
Deja un comentario

Imagen

Aparentemente la publicación de los Lineamientos del Aviso de Privacidad no contribuyó mucho a la mejor comprensión de la modalidad de dicho documento a que los Responsables del Tratamiento de Datos Personales pueden recurrir de acuerdo con el momento y medio en que obtengan tales datos.  Incluso el propio IFAI expandió el uso del «Aviso de Privacidad Corto» más allá de los límites originalmente previstos para el mismo.

En la nota del pasado 11 de julio abordé el tema de cómo el Aviso de Privacidad para Video-Vigilancia difundido como de modalidad corta por el IFAI no es congruente con lo dispuesto por el Artículo 28 del Reglamento de la Ley ni con el Decimonoveno de los Lineamientos del Aviso de Privacidad, toda vez que el aviso de privacidad corto fue previsto para medios impresos, no audio-visuales.

Más recientemente en una vuelta para buscar algunos insumos del despacho me llamó la atención que una de las dos grandes cadenas de artículos de papelería y oficina tiene junto a sus cajas registradoras un Aviso de Privacidad Simplificado, cuando lo adecuado sería que tuvieran ahí un Aviso de Privacidad Integral.

De acuerdo con el citado Lineamiento Decimonoveno, cuando los Datos Personales sean obtenidos del Titular Personalmente, se deberá poner a disposición de éste un Aviso de Privacidad Integral. En el caso concreto, si el Titular se toma la molestia de acudir en persona a realizar una compra como la descrita, ese sería el aplicable. Cabría naturalmente el argumento en cuanto a que: (i) si el Titular fuera una persona moral o física dedicada ya sea al comercio o al ejercicio liberal de una profesión, el Responsable estaría exento de la obligación de poner a disposición suya el Aviso de Privacidad conforme al Artículo 5 del Reglamento y al Lineamiento Decimocuarto, y (ii) si tales compras son realizadas normalmente por medio de un(a) asistente del comerciante o profesionista individual (por ejemplo, un médico), los datos de facturación se habrían obtenido indirectamente, haciendo aplicable el Aviso de Privacidad Simplificado de acuerdo con el Lineamiento Decimonoveno, fracción II.

Sin embargo queda la pregunta para el caso de todas las personas que no entren en dicha categoría, como por ejemplo la madre o el padre de familia que entren a comprar útiles escolares y no se encuentren en alguna de los antedichos casos de excepción. Más aun, no me pareció haber visto Avisos de Privacidad para Video-Vigilancia, en modalidad alguna.

Una implementación como la que se muestra en la imagen podría ser útil para un establecimiento que atienda telefónicamente, pero no tenga implementado un centro de atención telefónica en que una grabación pudiera reproducir el scipt del Aviso de Privacidad simplificado, por ejemplo para compras o servicios por teléfono. De no ser el caso, las compras en piso de venta deberían llevarse a cabo al amparo de un Aviso de Privacidad Integral.

Recordemos que la carga de la prueba de la puesta a disposición del Aviso de Privacidad recae sobre el Responsable, y que la omisión en uno o más de los elementos de dicho documento, como podría resultar por el uso de uno simplificado en vez del integral, podría resultar en una multa de 100 a 160,000 veces el salario mínimo general vigente en el Distrito Federal.

Aviso de Privacidad ¿Múltiple o Monolítico?

23 julio, 2013
Privacy/Protección de Datos
2 comentarios

Una de las discusiones más recurrentes en la práctica de la protección de datos personales en México es la de la disyuntiva entre concentrar el contenido de TODOS los posibles avisos de privacidad del Responsable en un documento, a fin de que los Titulares seleccionen la información relevante para ellos de entre aquélla que no lo fuera, o bien «segmentarlos», de manera que, por ejemplo, se tenga uno para clientes, otro para empleados, y hay quienes incluso adicionan otro más para proveedores (habiendo quienes consideramos que no es necesario en ese caso).

Ejemplos del primer grupo se encuentran en las páginas de Internet de GRUMA y de Roche, en tanto que Sport City (ver esq. inf. izq.) y Walmart se decantan por la segunda.

Será difícil concluir hasta que el IFAI no emita un criterio definido al respecto, y la discusión se centra en la interpretación del artículo 24 del Reglamento de la Ley y el Lineamiento Décimo del Aviso de Privacidad, atento a los cuales dicho documento deberá ser sencillo, eficiente y práctico, con información necesaria, expresado con lenguaje claro en español y comprensible, y con una estructura y diseño que facilite su entendimiento.

Hay quienes sostienen que no sería sencillo para los propios Titulares clasificarse a si mismos entre las diversas categorías para las que el Responsable hubiera dispuesto la redacción de avisos de privacidad, de tal suerte que todos los supuestos posibles deberían ser previstos en un texto monolítico.

También hay quienes dicen que, por ejemplo, la información de datos personales y finalidades del tatamiento de los datos personales de los empleados del Responsable no es necesaria para los clientes del mismo (y tal vez difundir ese listado de datos personales podría suponer un riesgo de seguridad), por lo que lo ideal sería que el Responsable dispusiera uno para cada grupo de finalidades. Me atrevería a decir que en algún momento un alto funcionario del IFAI habría manifestado alguna inclinación por esta postura en una conferencia, pero carezco del soporte documental para ello.

Sea cual fuere el caso, hay más de una forma de matar pulgas y cualquiera será válida hasta que el IFAI no exprese lo contrario.

Mención aparte merece el requisito de redacción en idioma español; si bien es el idioma oficial de los Estados Unidos Mexicanos, esto lo hace indebidamente restrictivo en supuestos como los del artículo 4 del Reglamento de la Ley, bajo los cuales el Tratamiento de datos de residentes en el extranjero podría llevarse a cabo en México (si algún día se logra la certificación de «Puerto Seguro» –Safe Harbor-), no obstante lo cual en los lineamientos no se planteó nada sobre la disponibilidad de traducciones en otros idiomas… como no sea que debiera entenderse implícito en el requisito de la fraccion II del Lineamiento Décimo, que obliga al Responsable a tomar en cuenta para su redacción los perfiles de los Titulares.

Protección de Datos y (Mal) Marketing II

19 julio, 2013
Privacy/Protección de Datos
Deja un comentario

Ayer redacté una nota sobre la, para mi profesional opinión, mala decisión que tomó Genomma Labs al publicar el nombre de una consumidora de uno de sus productos en medios impresos e Internet (al menos), con relación a la queja formulada por dicha persona respecto de la publicidad de un shampoo de su marca «Tío Nacho».

Website Genomma Lab Tío Nacho PROFECO

Podría ser interesante saber si dicha acción sirvió para mejorar la experiencia de la consumidora quejosa o reforzar la lealtad para con esa marca, y el beneficio que podría haber tenido respecto de la percepción de la misma y de su empresa titular entre el público lector de los medios en que se realizó la publicación.

Más allá de cuestionar prácticas o decisiones de aquélla empresa, el objetivo de la nota fue exponer como hay prácticas de protección de datos personales que pueden obrar en detrimento de la marca y la empresa, en tanto que la adecuada implementación de un debido cumplimiento normativo en la materia es un plus que puede contribuir a mejorar esa imagen, reforzar la lealtad del consumidor y darle una mejor experiencia con el producto adquirido o el servicio contratado.

Ayer la columna de «Capitanes» del Diario Reforma publicó una nota en que refiere lo siguiente:

«Seguramente usted ya recibió una llamada de Telefónica México, empresa dirigida por Juan Abellán, donde le informan que si es cliente de prepago o tarjetas de recarga de cualquier compañía, la mejor opción es cambiarse con ellos.

Y eso no tiene nada de raro ahora que todos se promocionan por teléfono, pero usted debería cuestionarse quién les pasó su número de celular.

Si se anima a preguntarles, los del centro de atención de Telefónica le dirán que lo obtuvieron a través de la Comisión Federal de Telecomunicaciones (Cofetel), que preside Mony de Swaan.

El problema es que, hasta donde se sabe, la Cofetel no tiene números telefónicos de cada usuario y, de acuerdo con la Ley Federal de Datos Personales en Protección de los Particulares, no se pueden usar sus datos sin su autorización.

Juzgue usted.»

Efectivamente llama poderosamente la atención cómo es que cualquier empresa podría contar en el 2013 con la una base de datos así, considerando que hace un año que la Secretaría de Gobernación destruyó la base de datos del Registro de Usuarios de Telefonía Móvil que estuvo en operación entre 2010 2012, acción que fue supervisada por el propio IFAI, organismo garante de la protección a los datos personales en México.

También llama la atención que se le atribuya la proveeduría de los datos de usuarios de estos servicios a la COFETEL, pues aun asumiendo que el origen de los mismos hubiera sido el extinto RENAUT, éste estuvo a cargo de la Secretaría de Gobernación, no del regulador de telecomunicaciones.

Adicionalmente es de considerarse que entre las responsabilidades administrativas a cargo de los servidores públicos federales de este país se encuentra la del debido resguardo de la información a su cargo, y que la Ley Federal para la Transparencia y Acceso a la Información Pública Gubernamental prevé como confidenciales los datos personales contenidos en los sistemas de tratamiento de los sujetos obligados al cumplimiento de ésta última, por lo que la posibilidad de una filtración de dicha base de datos sería algo sumamente delicado.

Finalmente, y considerando la reacción a la nota igualmente difundida por aquél rotativo a principios de junio sobre la disponibilidad en el mercado negro de bases de datos de bancos e incluso del propio Registro Federal de Electores, cabría la pregunta sobre la postura de la autoridad ante la publicación de una nota como la que se cita, dado que el IFAI puede también actuar de oficio.

La conclusión en ambos casos es la misma: antes de decidir implementar una acción o medida es preciso considerar si más allá del beneficio económico ello realmente abonará a la imagen de la empresa o satisfacción del público y los clientes o consumidores, y hoy día es preciso incluir a la protección de datos personales entre los factores para esa toma de decisiones.

Capitanes REFORMA 18072013

Taller sobre cumplimiento normativo de protección de datos personales

18 julio, 2013
Privacy/Protección de Datos
Deja un comentario

 

El próximo jueves 25 de julio impartiré un taller de 4 horas sobre la implementación del cumplimiento normativo normativo de protección de datos personales en posesión de particulares.

Expondré los fundamentos y aspectos prácticos de dicho cumplimiento normativo, cubriendo la redacción de avisos de privacidad, políticas de privacidad y relación de medidas de seguridad. Asimismo abordaré los elementos relevantes de las sanciones impuestas a la fecha por el IFAI.

Los participantes inscritos por referencia del suscrito gozarán de un descuento del 10% en su cuota de inscripción.

Confío en que será del interés de Uds. y les resultará de utilidad.

 

Taller Jul252013

La Protección de Datos Personales en el Sector Inmobiliario

18 julio, 2013
Sin categoría
Deja un comentario

Recientemente llevé a cabo una presentación para el área de capacitación y certificación del capítulo Distrito Federal de la Asociación Mexicana de Profesionales Inmobiliarios, asociación civil que agrupa a personas físicas ocupadas en actividades inmobiliarias como administradores, comercializadores, mediadores, valuadores, promotores, asesores en financiamiento y consultores. Dado que su materia concierne a la morada de las personas, el sector inmobiliario es sumamente intensivo en tratamiento de datos personales, y es fundamental para los profesionales del sector tenerlo claro e implementar su cumplimiento normativo.

Aunque no haya obligaciones de privacidad entre vecinos, en el caso de quienes viven en condominio los órganos condominales dan tratamiento a los datos de los condóminos, y deberían poner a disposición de estos un Aviso de Privacidad, a pesar de que ese tratamiento sea realizado con motivo del cumplimiento y observancia de la Ley de Propiedad en Condominio. De hecho es costumbre en México que, en adición al informe de la Asamblea del condominio sobre el estado del pago de cutoas, se publique en estrados el nombre y casa o departamento de los morosos, lo cual constituye un acto de transferencia de datos que, a la postre, son patrimoniales y cuyo tratamiento requiere consentimiento expreso.

De igual manera un asesor inmobiliario invariablemente dará tratamiento a datos personales que también pueden ser patrimoniales y, en el proceso de compraventa o arrendamiento de un inmueble incluso llegar a dar tratamiento a datos personales sensibles como estado de salud u orientación sexual de una persona, sin mencionar los patrimoniales derivados del rango de precio del inmueble o su renta.

Además en el proceso de compraventa de un inmueble intervienen terceros a quienes el asesor inmobiliario tendría que transferir los datos de las partes, tales como el notario ante cuya fe se formalice dicha operación o el banco que provea el fondeo para ello.

Más aun, los propietarios de un inmueble que deseen darlo en arrendamiento y logren el contacto con su arrendatario a través de un asesor inmobiliario darán tratamiento a los datos personales de aquél para finalidades diversas de aquéllas para las cuales lo hubiera hecho el asesor inmobiliario, por lo que deberían tener un cumplimiento normativo propio y distinto del de éste último.

Por dichos motivos un factor que no debe pasarse por alto es que el cumplimiento normativo en protección de datos personales es un elemento de confianza entre estos prestadores de servicios y su clientela, que abona a su imagen.

Imagen

Inicia la Vigencia de la «Ley Anti-Lavado»… sin Reglamento

17 julio, 2013
Privacy/Protección de Datos, Regulación Bancaria/Financiera
Deja un comentario

No hay plazo que no se cumpla, ni fecha que no llegue. Hace un mes publiqué una entrada sobre la proximidad de la entrada en vigor de la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita o «Ley Anti-Lavado», misma que entró en vigor el día de hoy, y cuyo Reglamento debería ser expedido por el Ejecutivo Federal dentro de 30 días, conforme a su artículo Segundo Transitorio.

Aun cuando el párrafo segundo del Artículo Cuarto Transitorio de la Ley prevé que la presentación de los Avisos que deberán realizar quienes lleven a cabo Actividades Vulnerables será por primera vez hasta que el muy esperado Reglamento haya entrado en vigor, la falta del mismo deja a los sujetos obligados al cumplimiento de la Ley en espera de las medidas simplificadas para el cumplimiento de las demás obligaciones de conocimiento del cliente a cargo de quienes realicen Actividades Vulnerables, así como para el establecimiento de las Entidades Colegiadas por conducto de las cuales sus miembros podrán dar cumplimiento a sus obligaciones de presentación de avisos.

En la práctica de cumplimiento normativo nos encontraremos con una situación como la vivida con la Ley Federal de Protección de Datos Personales en Posesión de Particulares, que no obstante haber previsto un plazo de 12 meses para la expedición de su Reglamento no lo tuvo sino hasta 6 meses y medio más tarde. Hoy día una búsqueda en el «buscador de regulaciones» de la Comisión Federal de Mejora Regulatoria no arroja resultado alguno al respecto.

También será interesante ver de qué manera aterriza toda esa información en la práctica, considerando la reciente resolución del IFAI sobre la publicidad de los procedimientos de imposición de sanciones con motivo de violaciones en controles de lavado de dinero impuestas por la CNBV. Desde esa perspectiva, la omisión o deficiencia en el cumplimiento de tales obligaciones podría significar un mayor riesgo reputacional que una deficiente protección de datos personales, materia que se interesecta con la prevención de operaciones con recursos de procedencia ilícita.

Protección de Datos y (mal) Marketing

17 julio, 2013
Privacy/Protección de Datos
Deja un comentario

El público en general podría tener opiniones fuertes sobre ciertas prácticas de algunas empresas farmacéuticas, y Genomma Labs no es la excepción. Llama poderosamente la atención que en noticieros aparezcan cápsulas en que una comunicadora «informa» al público de los «Peligros de la Desidia» y proporciona «información que cura» justo antes del anuncio del producto que debería prevenir aquello de lo que la comunicadora advierte, práctica que por un momento tuvo respuesta en la campaña «Dr. Televisión«.

Hoy día Genomma Labs difundió en la prensa el nombre de una consumidora con motivo de la acción que habría ejercido ante la Procuraduría General del Consumidor. En la prensa del día de hoy y en su página de internet Genomma Labs publicó un «comunicado» en el que hace lo que la propia PROFECO no hizo, y que ni ésta ni el laboratorio deberían hacer: exhibió a la Sra. Denisse Peralta Salazar con motivo de la queja que derivó en una multa de $2’000,000.00 por publicidad engañosa, y añadiendo insulto al daño le «agradecen su queja, puesto que son éste tipo de opiniones las que les permiten mejorar aún más su calidad».

En la imagen de la inserción pagada de la nota se indica como responsable de la misma a Manuel Cruz García, pero dado que valdría la pena revisar esta situación también desde la perspectiva de la protección de datos personales se debe considerar que en el Aviso de Privacidad publicado por esa empresa el Responsable del Tratamiento de Datos Personales es Genomma Lab Internacional, S.A.B. de C.V.

Por principio, sería poco probable que Genomma Lab hubiera obtenido los datos personales de este Titular de manera personal o incluso directa, ya que no vende sus productos directamente al público, sino que los expende a través de diversos canales como supermercados, farmacias, y tiendas minoristas, quienes serían los primeros Responsables de los datos de la compradora que los hubiera adquirido.

Lo más probable es que Genomma Labs no haya tenido conocimiento de la identidad de la consumidora quejosa sino hasta que ésta ejerció, por los motivos que fueran, las acciones que tuvo expeditas conforme a la Ley Federal de Protección al Consumidor con fundamento en su artículo 32 y siguientes, así como 99 de dicho ordenamiento, toda vez que el último artículo referido requiere que el nombre del reclamante sea señalado en la queja escrita, electrónica, telefónica u oral que formule.

Ahora bien, al igual que los demás Sujetos Obligados a la observancia y cumplimiento de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, la PROFECO está obligada a mantener como información reservada la derivada de un procedimiento administrativo como éste, en tanto no hayan causado estado. Pero adicionalmente debió haber conservado los datos personales de la quejosa como confidenciales también con fundamento en esa Ley. De hecho los datos de tal naturaleza permancen como confidenciales aun cuando las resoluciones de estos procedimientos han causado estado, de forma tal que para dar a conocerlas  la autoridad suprime los datos pesonales del texto difundido.

La categorización más lógica del caso es que Genomma Labs habría obtenido los datos personales de la quejosa de manera indirecta; esto fue por el traslado de la queja que la PROFECO le entregó a fin de que se apersonara en el procedimiento. Eso naturalmente autorizaba a esa Responsable a tratar esos datos personales con motivo del procedimiento administrativo, pero no para otras finalidades.

Incluso cabría la duda sobre si la quejosa tuvo siquiera a la vista el aviso de privacidad de Genomma Labs. En términos del artículo 29, fracción I, del Reglamento de la LFPDPPP, cuando los datos personales sean obtenidos de manera indirecta del titular, el responsable deberá observar lo siguiente para la puesta a disposición del aviso de privacidad: «Cuando los datos personales sean tratados para una finalidad prevista en una transferencia consentida o se hayan obtenido de una fuente de acceso público, el aviso de privacidad se deberá dar a conocer en el primer contacto que se tenga con el titular.»

En el contexto del caso concreto, Genomma Labs habría obtenido los datos personales de la quejosa por una transferencia consentida: el traslado que PROFECO le corrió de la queja formulada por ésta última. Para estar en condiciones de proceder a publicarlo como ha hecho, debió haber puesto su aviso de privacidad a disposición de la Titular quejosa previo a la publicación del día de hoy en medios digitales y de la fecha que hubiera sido en su página de Internet.

Más aun, incluso ese aviso de privacidad (cuya conformidad con la LFPDPPP, su Reglamento y los Lineamientos del Aviso de Privacidad resultaría dudosa incluso tras una primera lectura) no prevé qué datos serán materia de tratamiento, ni prevé entre las finalidades del mismo la difusión pública de tales datos. Las finalidades listadas en él son:

  1. Seguimiento y evaluación de la prestación de bienes y/o servicios que nos son suministrados y contactar a los proveedores de dichos servicios;
  2. Cotización de bienes y/o servicios cuyo suministro solicitamos;
  3. Atención de dudas y sugerencias;
  4. Pago y cobro de contraprestaciones y facturación;
  5. Análisis y elaboración de estadísticas o reportes;
  6. Elaboración de contratos derivados de la relación comercial;
  7. Evaluación para determinar si será posible establecer una relación comercial; (viii) comercialización de productos de Genomma; y
  8. Dar cumplimiento a obligaciones contraídas con nuestros clientes.

Éste caso ejemplifica claramente algo que el IFAI ha planteado desde la entrada en vigor de la LFPDPPP; el marco legal de privacidad en México no debe ser visto como un obstáculo para los negocios, sino como un extra que ofrecerle al cliente, paciente o consumidor. Un cumplimiento normativo implementado adecuadamente genera confianza en el Responsable. Por el contrario, acciones como ésta generarían desconfianza entre los consumidores e impactarían negativamente sobre las marcas e imagen del Responsable.

photo(Genomma)

Aviso Privacidad Genomma Labs 17072013

Economía modifica los Parámetros para los esquemas de autorregulación referidos por el artículo 44 de la Ley Federal de Protección de Datos Personales

16 julio, 2013
Privacy/Protección de Datos
Deja un comentario

La Secretaría de Economía llevó a cabo una publicación de gran importancia práctica para la materia de protección de datos personales el pasado 17 de enero de 2013; en la misma ocasión en que publicó los Lineamientos del Aviso de Privacidad previstos en el artículo 43, fracción III, de la LFPDPPP, que sustituyen a la Guía «Recorta, Pega y Colorea» para elaborar el Aviso de Privacidad, y también publicó los parámetros para los esquemas de autorregulación también previstos en la fracción IV del propio artículo.

En consonancia con el dispositivo citado, el artículo 44 de la LFPDPPP prevé la posibilidad de que personas físicas o morales convengan entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulación vinculante en la materia, que complementen a la propia Ley. Dichos esquemas de autorregulación pueden resultar en códigos deontológicos o de buena práctica profesional, sellos de confianza u otros mecanismos, conteniendo reglas o estándares específicos que permitan armonizar los tratamientos de datos efectuados por los adheridos y facilitar el ejercicio de los derechos de los titulares.

Tales esquemas representarán un importante apoyo para la titánica labor que tiene el IFAI en cuanto a procurar el cumplimiento de la LFPDPPP y su reglamento, así como para los adherentes a estos esquemas, quienes podrían gozar del beneficio de la atenuación de sanciones en caso de haber cometido una infracción a dicha Ley, pero contar con el sello de confianza correspondiente.

Ahora bien, para alcanzar dicha certificación y/o sello de confianza tales adherentes deberían haber sido auditados por una entidad certificadora, y la primera publicación citada limitaba en la redacción de su Parámetro Vigésimo Sexto, fracción I, la posibilidad desolicitar ante el IFAI la autorización para fungir como entidad de acreditación a aquéllas personas morales constituidas como ACs, impidiendo a otras personas morales coadyuven con dicho Instituto en la implementación y operación del esquema de certificación.

La publicación del día de hoy corrige eso, abriendo a toda persona moral la posibilidad de solicitar su registro como entidad certificadora; un gran atino y una corrección a tiempo.

 

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

Xavier Ribas

Derecho de las TIC y Compliance

Marcus Kazmierczak

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace

Cedric's Privacy Blog

SoshiTech - Soshitech.com

Technology News, Startup Information & Social Networking