archivo

Archivos Mensuales: julio 2013

Un comentario que recurre de manera común al exponer a los Responsables la necesidad de implementar el cumplimiento normativo en materia de protección de datos personales es que, al parecer de muchos, la entrada en vigor del marco regulatorio correspondiente ha generado una nueva burocracia y tramitología que, a la postre, incrementa su riesgo legal.

Además de mirarlo desde la óptica del incremento que esto reporta en la confianza de los clientes y trabajadores de la empresa, así como un ejercicio valioso en sí por “tener la casa en orden”, procuro señalar a mis clientes que hay aspectos de esta labor que pueden abonar a mitigar su riesgo legal en otros aspectos, y uno muy concreto es la observancia de los derechos de propiedad intelectual.

Existe una organización de la sociedad civil llamada Business Software Alliance, integrada por un “quién es quién” del mundo de la tecnología y con alcance global (incluyendo un capítulo en México) que coadyuva con los gobiernos de los países en que tiene sedes para combatir la piratería de software, misma que innegablemente es un problema en México. Dicha organización recibe a través de su página de Internet “denuncias anónimas”, que posteriormente se materializarán en correos electrónicos de sus abogados (que son muy buenos) a través de los cuales “requieren” que el denunciado exhiba los documentos justificativos de la propiedad de su hardware (servidores, CPUs, laptops) y del software con el que éste opere.

Tratándose de una organización de la sociedad civil, más no autoridad, en un descuido podría pensarse que ignorar tal “requerimiento” no tendría consecuencias; sin embargo la BSA lleva años manteniendo vigente un conveno de cooperación con el Instituto Mexicano de la Propiedad Industrial por virtud del cual la desatención a la solicitud de aquélla podría derivar en una visita de éste último, mismo que sí es autoridad y puede requerirle a su empresa todos los elementos de prueba necesarios para justificar que no esté incurriendo en una infracción a la Ley de la Propiedad Industrial.

Ahora bien, la fracción IX del artículo 61 del Reglamento de la Ley Federal de Protección de Datos Personales prevé que la Relación de Medidas de Seguridad con que debe contar el Responsable del Tratamiento de Datos Personales debe incluir “…un inventario de los sistemas de tratamiento (de datos personales)… y un registro de los medios de almacenamiento (de los datos personales)”.

Tal registro debería incluir precisamente servidores, CPUs de desktops, laptops, incluso smartphones y, de ser posible, USBs entregados a los empleados de la empresa para la realización de sus labores. Al contar con ello el Responsable podrá tener mejor control del Tratamiento de Datos Personales que lleva a cabo, proveerá a la trazabilidad de tales Datos y, a la postre, estará preparado para el caso que llegase a recibir la visita del IMPI y la BSA, conjurando la contingencia de acciones administrativas e incluso tal vez penales derivadas del intento por oponerse a la visita de verificación de dicho Instituto, motivada po la solicitud de BSA.

Para muestra basta un botón; recién se difundió la clausura de una empresa Queretana que se opuso a que el IMPI realizara una inspección de sus sistemas de cómputo. Por el contrario, contar con la Relación de Medidas de Seguridad, que es obligatoria desde el 20 de junio del presente año, mitigará el riesgo legal de una visita del IFAI y le permitirá estar más preparado para atender satisfactoriamente una inspección del IMPI.

Una pregunta recurrente en los seminarios que he impartido sobre protección de datos personales es si el ejercicio de los derechos ARCO es aplicable a las instituciones de crédito y/o SOFOMes, cuyos prestadores de servicios (usualmente bajo la figura de “Encargado”) llaman incesantemente a los teléfonos de personas que podrán ser titulares de la línea telefónica, pero no deudores de la cuenta cuya cobranza procuran dichos Encargados.

Después de haber sido abogado bancario y corporativo transaccional me consta lo difícil, cuando no imposible, que puede ser recuperar en México una cuenta por cobrar de un deudor en  crédito al consumo, e incluso en crédito productivo, aún cuando se tengan otorgadas garantías. En su momento respondí a quejas presentadas ante CONDUSEF contra alguno de mis clientes por casos de suplantación o robo de identidad, por lo que también me constan las penurias que enfrentan personas en tal situación para resolver su situación. También me supongo que debe ser por demás molesto tomar una nueva línea telefónica para darse cuenta, a través de las múltiples llamadas de los ejecutivos de cobranza, que algún moroso era su titular anterior.

La reiterada pregunta habla de la mala gestión que hacen las instituciones financieras por cumplir con el Principio de Calidad que informa a la LFPDPPP, atento al cual los datos personales materia de tratamiento deben ser exactos, completos, pertinentes, correctos y actualizados. También habla de la dificultad que tiene la CONDUSEF para meter en cintura a los servicios de cobranza.

La respuesta a esa pregunta recurrente es que sí; no obstante la existencia de regulación propia del sector financiero, misma que conforme al Artículo 40 de la LFPDPPP deberá ser ajustada al marco normativo que ella prevé, sus disposiciones resultan aplicables a todas las instituciones financieras que traten datos personales para fines comerciales o de divulgación, salvo por las Sociedades de Infromación crediticia, mismas que fuero exceptuadas de la normativa de protección de datos personales. Para muestra basta la multa impuesta por el IFAI a Banamex, del orden de $16’155,936.00

En primer término podría acudirse a la Unidad Especializada que la entidad financiera debería tener en cumplimiento a la Ley de Protección y Defensa al Usuario de Servicios Financieros, aunque lo más probable es que se limiten a consultar su cuenta e ignoren si el número telefónico (que podría ser parte de los factores de autenticación previstos para banca electrónica) está o no asociado a otra cuenta.

También podría formular una denuncia ante la CONDUSEF a través de su Portal de Gestión de Cobranza, a fin de que dicho organismo verifique si el caso resulta o no en una violación del Código de Ética de las Obligaciones para con los Deudores y Público en General, que fue pactado por tal Comisión y por la Asociación Mexicana de Profesionales en Cobranza y Servicios Jurídicos, A.C. Pero dicho Código es soft law, de adopción voluntaria y difícilmente sancionable.

En vía de protección de datos personales, si el Titular afectado efectivamente tuviera una cuenta o producto de la institución de que se trate, pero no el deudor buscado a través de su teléfono o correo electrónico, podría ejercer el derecho de Rectificación, a fin de que su nombre sea asociado a los números telefónico y de cuenta correctos y no a los de alguien más. También podría ejercer su derecho de Oposición, a fin de que se le eviten mayores perjuicios tratando sus datos para la cobranza de una cuenta que no le corresponde.

En caso de no haber sido tarjetahabiente ni cuentahabiente de la institución, tendría expedito el derecho de cancelación, al igual que si los datos personales hubieran sido obtenidos indirectamente por la institución financiera por transferencia de alguien que lo hubiera nombrado como referencia y como consecuencia le llamaran para presionar al referido.

Imagen

Aparentemente la publicación de los Lineamientos del Aviso de Privacidad no contribuyó mucho a la mejor comprensión de la modalidad de dicho documento a que los Responsables del Tratamiento de Datos Personales pueden recurrir de acuerdo con el momento y medio en que obtengan tales datos.  Incluso el propio IFAI expandió el uso del “Aviso de Privacidad Corto” más allá de los límites originalmente previstos para el mismo.

En la nota del pasado 11 de julio abordé el tema de cómo el Aviso de Privacidad para Video-Vigilancia difundido como de modalidad corta por el IFAI no es congruente con lo dispuesto por el Artículo 28 del Reglamento de la Ley ni con el Decimonoveno de los Lineamientos del Aviso de Privacidad, toda vez que el aviso de privacidad corto fue previsto para medios impresos, no audio-visuales.

Más recientemente en una vuelta para buscar algunos insumos del despacho me llamó la atención que una de las dos grandes cadenas de artículos de papelería y oficina tiene junto a sus cajas registradoras un Aviso de Privacidad Simplificado, cuando lo adecuado sería que tuvieran ahí un Aviso de Privacidad Integral.

De acuerdo con el citado Lineamiento Decimonoveno, cuando los Datos Personales sean obtenidos del Titular Personalmente, se deberá poner a disposición de éste un Aviso de Privacidad Integral. En el caso concreto, si el Titular se toma la molestia de acudir en persona a realizar una compra como la descrita, ese sería el aplicable. Cabría naturalmente el argumento en cuanto a que: (i) si el Titular fuera una persona moral o física dedicada ya sea al comercio o al ejercicio liberal de una profesión, el Responsable estaría exento de la obligación de poner a disposición suya el Aviso de Privacidad conforme al Artículo 5 del Reglamento y al Lineamiento Decimocuarto, y (ii) si tales compras son realizadas normalmente por medio de un(a) asistente del comerciante o profesionista individual (por ejemplo, un médico), los datos de facturación se habrían obtenido indirectamente, haciendo aplicable el Aviso de Privacidad Simplificado de acuerdo con el Lineamiento Decimonoveno, fracción II.

Sin embargo queda la pregunta para el caso de todas las personas que no entren en dicha categoría, como por ejemplo la madre o el padre de familia que entren a comprar útiles escolares y no se encuentren en alguna de los antedichos casos de excepción. Más aun, no me pareció haber visto Avisos de Privacidad para Video-Vigilancia, en modalidad alguna.

Una implementación como la que se muestra en la imagen podría ser útil para un establecimiento que atienda telefónicamente, pero no tenga implementado un centro de atención telefónica en que una grabación pudiera reproducir el scipt del Aviso de Privacidad simplificado, por ejemplo para compras o servicios por teléfono. De no ser el caso, las compras en piso de venta deberían llevarse a cabo al amparo de un Aviso de Privacidad Integral.

Recordemos que la carga de la prueba de la puesta a disposición del Aviso de Privacidad recae sobre el Responsable, y que la omisión en uno o más de los elementos de dicho documento, como podría resultar por el uso de uno simplificado en vez del integral, podría resultar en una multa de 100 a 160,000 veces el salario mínimo general vigente en el Distrito Federal.

Una de las discusiones más recurrentes en la práctica de la protección de datos personales en México es la de la disyuntiva entre concentrar el contenido de TODOS los posibles avisos de privacidad del Responsable en un documento, a fin de que los Titulares seleccionen la información relevante para ellos de entre aquélla que no lo fuera, o bien “segmentarlos”, de manera que, por ejemplo, se tenga uno para clientes, otro para empleados, y hay quienes incluso adicionan otro más para proveedores (habiendo quienes consideramos que no es necesario en ese caso).

Ejemplos del primer grupo se encuentran en las páginas de Internet de GRUMA y de Roche, en tanto que Sport City (ver esq. inf. izq.) y Walmart se decantan por la segunda.

Será difícil concluir hasta que el IFAI no emita un criterio definido al respecto, y la discusión se centra en la interpretación del artículo 24 del Reglamento de la Ley y el Lineamiento Décimo del Aviso de Privacidad, atento a los cuales dicho documento deberá ser sencillo, eficiente y práctico, con información necesaria, expresado con lenguaje claro en español y comprensible, y con una estructura y diseño que facilite su entendimiento.

Hay quienes sostienen que no sería sencillo para los propios Titulares clasificarse a si mismos entre las diversas categorías para las que el Responsable hubiera dispuesto la redacción de avisos de privacidad, de tal suerte que todos los supuestos posibles deberían ser previstos en un texto monolítico.

También hay quienes dicen que, por ejemplo, la información de datos personales y finalidades del tatamiento de los datos personales de los empleados del Responsable no es necesaria para los clientes del mismo (y tal vez difundir ese listado de datos personales podría suponer un riesgo de seguridad), por lo que lo ideal sería que el Responsable dispusiera uno para cada grupo de finalidades. Me atrevería a decir que en algún momento un alto funcionario del IFAI habría manifestado alguna inclinación por esta postura en una conferencia, pero carezco del soporte documental para ello.

Sea cual fuere el caso, hay más de una forma de matar pulgas y cualquiera será válida hasta que el IFAI no exprese lo contrario.

Mención aparte merece el requisito de redacción en idioma español; si bien es el idioma oficial de los Estados Unidos Mexicanos, esto lo hace indebidamente restrictivo en supuestos como los del artículo 4 del Reglamento de la Ley, bajo los cuales el Tratamiento de datos de residentes en el extranjero podría llevarse a cabo en México (si algún día se logra la certificación de “Puerto Seguro” –Safe Harbor-), no obstante lo cual en los lineamientos no se planteó nada sobre la disponibilidad de traducciones en otros idiomas… como no sea que debiera entenderse implícito en el requisito de la fraccion II del Lineamiento Décimo, que obliga al Responsable a tomar en cuenta para su redacción los perfiles de los Titulares.

Ayer redacté una nota sobre la, para mi profesional opinión, mala decisión que tomó Genomma Labs al publicar el nombre de una consumidora de uno de sus productos en medios impresos e Internet (al menos), con relación a la queja formulada por dicha persona respecto de la publicidad de un shampoo de su marca “Tío Nacho”.

Website Genomma Lab Tío Nacho PROFECO

Podría ser interesante saber si dicha acción sirvió para mejorar la experiencia de la consumidora quejosa o reforzar la lealtad para con esa marca, y el beneficio que podría haber tenido respecto de la percepción de la misma y de su empresa titular entre el público lector de los medios en que se realizó la publicación.

Más allá de cuestionar prácticas o decisiones de aquélla empresa, el objetivo de la nota fue exponer como hay prácticas de protección de datos personales que pueden obrar en detrimento de la marca y la empresa, en tanto que la adecuada implementación de un debido cumplimiento normativo en la materia es un plus que puede contribuir a mejorar esa imagen, reforzar la lealtad del consumidor y darle una mejor experiencia con el producto adquirido o el servicio contratado.

Ayer la columna de “Capitanes” del Diario Reforma publicó una nota en que refiere lo siguiente:

“Seguramente usted ya recibió una llamada de Telefónica México, empresa dirigida por Juan Abellán, donde le informan que si es cliente de prepago o tarjetas de recarga de cualquier compañía, la mejor opción es cambiarse con ellos.

Y eso no tiene nada de raro ahora que todos se promocionan por teléfono, pero usted debería cuestionarse quién les pasó su número de celular.

Si se anima a preguntarles, los del centro de atención de Telefónica le dirán que lo obtuvieron a través de la Comisión Federal de Telecomunicaciones (Cofetel), que preside Mony de Swaan.

El problema es que, hasta donde se sabe, la Cofetel no tiene números telefónicos de cada usuario y, de acuerdo con la Ley Federal de Datos Personales en Protección de los Particulares, no se pueden usar sus datos sin su autorización.

Juzgue usted.”

Efectivamente llama poderosamente la atención cómo es que cualquier empresa podría contar en el 2013 con la una base de datos así, considerando que hace un año que la Secretaría de Gobernación destruyó la base de datos del Registro de Usuarios de Telefonía Móvil que estuvo en operación entre 2010 2012, acción que fue supervisada por el propio IFAI, organismo garante de la protección a los datos personales en México.

También llama la atención que se le atribuya la proveeduría de los datos de usuarios de estos servicios a la COFETEL, pues aun asumiendo que el origen de los mismos hubiera sido el extinto RENAUT, éste estuvo a cargo de la Secretaría de Gobernación, no del regulador de telecomunicaciones.

Adicionalmente es de considerarse que entre las responsabilidades administrativas a cargo de los servidores públicos federales de este país se encuentra la del debido resguardo de la información a su cargo, y que la Ley Federal para la Transparencia y Acceso a la Información Pública Gubernamental prevé como confidenciales los datos personales contenidos en los sistemas de tratamiento de los sujetos obligados al cumplimiento de ésta última, por lo que la posibilidad de una filtración de dicha base de datos sería algo sumamente delicado.

Finalmente, y considerando la reacción a la nota igualmente difundida por aquél rotativo a principios de junio sobre la disponibilidad en el mercado negro de bases de datos de bancos e incluso del propio Registro Federal de Electores, cabría la pregunta sobre la postura de la autoridad ante la publicación de una nota como la que se cita, dado que el IFAI puede también actuar de oficio.

La conclusión en ambos casos es la misma: antes de decidir implementar una acción o medida es preciso considerar si más allá del beneficio económico ello realmente abonará a la imagen de la empresa o satisfacción del público y los clientes o consumidores, y hoy día es preciso incluir a la protección de datos personales entre los factores para esa toma de decisiones.

Capitanes REFORMA 18072013

 

El próximo jueves 25 de julio impartiré un taller de 4 horas sobre la implementación del cumplimiento normativo normativo de protección de datos personales en posesión de particulares.

Expondré los fundamentos y aspectos prácticos de dicho cumplimiento normativo, cubriendo la redacción de avisos de privacidad, políticas de privacidad y relación de medidas de seguridad. Asimismo abordaré los elementos relevantes de las sanciones impuestas a la fecha por el IFAI.

Los participantes inscritos por referencia del suscrito gozarán de un descuento del 10% en su cuota de inscripción.

Confío en que será del interés de Uds. y les resultará de utilidad.

 

Taller Jul252013

Recientemente llevé a cabo una presentación para el área de capacitación y certificación del capítulo Distrito Federal de la Asociación Mexicana de Profesionales Inmobiliarios, asociación civil que agrupa a personas físicas ocupadas en actividades inmobiliarias como administradores, comercializadores, mediadores, valuadores, promotores, asesores en financiamiento y consultores. Dado que su materia concierne a la morada de las personas, el sector inmobiliario es sumamente intensivo en tratamiento de datos personales, y es fundamental para los profesionales del sector tenerlo claro e implementar su cumplimiento normativo.

Aunque no haya obligaciones de privacidad entre vecinos, en el caso de quienes viven en condominio los órganos condominales dan tratamiento a los datos de los condóminos, y deberían poner a disposición de estos un Aviso de Privacidad, a pesar de que ese tratamiento sea realizado con motivo del cumplimiento y observancia de la Ley de Propiedad en Condominio. De hecho es costumbre en México que, en adición al informe de la Asamblea del condominio sobre el estado del pago de cutoas, se publique en estrados el nombre y casa o departamento de los morosos, lo cual constituye un acto de transferencia de datos que, a la postre, son patrimoniales y cuyo tratamiento requiere consentimiento expreso.

De igual manera un asesor inmobiliario invariablemente dará tratamiento a datos personales que también pueden ser patrimoniales y, en el proceso de compraventa o arrendamiento de un inmueble incluso llegar a dar tratamiento a datos personales sensibles como estado de salud u orientación sexual de una persona, sin mencionar los patrimoniales derivados del rango de precio del inmueble o su renta.

Además en el proceso de compraventa de un inmueble intervienen terceros a quienes el asesor inmobiliario tendría que transferir los datos de las partes, tales como el notario ante cuya fe se formalice dicha operación o el banco que provea el fondeo para ello.

Más aun, los propietarios de un inmueble que deseen darlo en arrendamiento y logren el contacto con su arrendatario a través de un asesor inmobiliario darán tratamiento a los datos personales de aquél para finalidades diversas de aquéllas para las cuales lo hubiera hecho el asesor inmobiliario, por lo que deberían tener un cumplimiento normativo propio y distinto del de éste último.

Por dichos motivos un factor que no debe pasarse por alto es que el cumplimiento normativo en protección de datos personales es un elemento de confianza entre estos prestadores de servicios y su clientela, que abona a su imagen.

Imagen

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site