archivo

Archivos Mensuales: julio 2013

No hay plazo que no se cumpla, ni fecha que no llegue. Hace un mes publiqué una entrada sobre la proximidad de la entrada en vigor de la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita o “Ley Anti-Lavado”, misma que entró en vigor el día de hoy, y cuyo Reglamento debería ser expedido por el Ejecutivo Federal dentro de 30 días, conforme a su artículo Segundo Transitorio.

Aun cuando el párrafo segundo del Artículo Cuarto Transitorio de la Ley prevé que la presentación de los Avisos que deberán realizar quienes lleven a cabo Actividades Vulnerables será por primera vez hasta que el muy esperado Reglamento haya entrado en vigor, la falta del mismo deja a los sujetos obligados al cumplimiento de la Ley en espera de las medidas simplificadas para el cumplimiento de las demás obligaciones de conocimiento del cliente a cargo de quienes realicen Actividades Vulnerables, así como para el establecimiento de las Entidades Colegiadas por conducto de las cuales sus miembros podrán dar cumplimiento a sus obligaciones de presentación de avisos.

En la práctica de cumplimiento normativo nos encontraremos con una situación como la vivida con la Ley Federal de Protección de Datos Personales en Posesión de Particulares, que no obstante haber previsto un plazo de 12 meses para la expedición de su Reglamento no lo tuvo sino hasta 6 meses y medio más tarde. Hoy día una búsqueda en el “buscador de regulaciones” de la Comisión Federal de Mejora Regulatoria no arroja resultado alguno al respecto.

También será interesante ver de qué manera aterriza toda esa información en la práctica, considerando la reciente resolución del IFAI sobre la publicidad de los procedimientos de imposición de sanciones con motivo de violaciones en controles de lavado de dinero impuestas por la CNBV. Desde esa perspectiva, la omisión o deficiencia en el cumplimiento de tales obligaciones podría significar un mayor riesgo reputacional que una deficiente protección de datos personales, materia que se interesecta con la prevención de operaciones con recursos de procedencia ilícita.

El público en general podría tener opiniones fuertes sobre ciertas prácticas de algunas empresas farmacéuticas, y Genomma Labs no es la excepción. Llama poderosamente la atención que en noticieros aparezcan cápsulas en que una comunicadora “informa” al público de los “Peligros de la Desidia” y proporciona “información que cura” justo antes del anuncio del producto que debería prevenir aquello de lo que la comunicadora advierte, práctica que por un momento tuvo respuesta en la campaña “Dr. Televisión“.

Hoy día Genomma Labs difundió en la prensa el nombre de una consumidora con motivo de la acción que habría ejercido ante la Procuraduría General del Consumidor. En la prensa del día de hoy y en su página de internet Genomma Labs publicó un “comunicado” en el que hace lo que la propia PROFECO no hizo, y que ni ésta ni el laboratorio deberían hacer: exhibió a la Sra. Denisse Peralta Salazar con motivo de la queja que derivó en una multa de $2’000,000.00 por publicidad engañosa, y añadiendo insulto al daño le “agradecen su queja, puesto que son éste tipo de opiniones las que les permiten mejorar aún más su calidad”.

En la imagen de la inserción pagada de la nota se indica como responsable de la misma a Manuel Cruz García, pero dado que valdría la pena revisar esta situación también desde la perspectiva de la protección de datos personales se debe considerar que en el Aviso de Privacidad publicado por esa empresa el Responsable del Tratamiento de Datos Personales es Genomma Lab Internacional, S.A.B. de C.V.

Por principio, sería poco probable que Genomma Lab hubiera obtenido los datos personales de este Titular de manera personal o incluso directa, ya que no vende sus productos directamente al público, sino que los expende a través de diversos canales como supermercados, farmacias, y tiendas minoristas, quienes serían los primeros Responsables de los datos de la compradora que los hubiera adquirido.

Lo más probable es que Genomma Labs no haya tenido conocimiento de la identidad de la consumidora quejosa sino hasta que ésta ejerció, por los motivos que fueran, las acciones que tuvo expeditas conforme a la Ley Federal de Protección al Consumidor con fundamento en su artículo 32 y siguientes, así como 99 de dicho ordenamiento, toda vez que el último artículo referido requiere que el nombre del reclamante sea señalado en la queja escrita, electrónica, telefónica u oral que formule.

Ahora bien, al igual que los demás Sujetos Obligados a la observancia y cumplimiento de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, la PROFECO está obligada a mantener como información reservada la derivada de un procedimiento administrativo como éste, en tanto no hayan causado estado. Pero adicionalmente debió haber conservado los datos personales de la quejosa como confidenciales también con fundamento en esa Ley. De hecho los datos de tal naturaleza permancen como confidenciales aun cuando las resoluciones de estos procedimientos han causado estado, de forma tal que para dar a conocerlas  la autoridad suprime los datos pesonales del texto difundido.

La categorización más lógica del caso es que Genomma Labs habría obtenido los datos personales de la quejosa de manera indirecta; esto fue por el traslado de la queja que la PROFECO le entregó a fin de que se apersonara en el procedimiento. Eso naturalmente autorizaba a esa Responsable a tratar esos datos personales con motivo del procedimiento administrativo, pero no para otras finalidades.

Incluso cabría la duda sobre si la quejosa tuvo siquiera a la vista el aviso de privacidad de Genomma Labs. En términos del artículo 29, fracción I, del Reglamento de la LFPDPPP, cuando los datos personales sean obtenidos de manera indirecta del titular, el responsable deberá observar lo siguiente para la puesta a disposición del aviso de privacidad: “Cuando los datos personales sean tratados para una finalidad prevista en una transferencia consentida o se hayan obtenido de una fuente de acceso público, el aviso de privacidad se deberá dar a conocer en el primer contacto que se tenga con el titular.”

En el contexto del caso concreto, Genomma Labs habría obtenido los datos personales de la quejosa por una transferencia consentida: el traslado que PROFECO le corrió de la queja formulada por ésta última. Para estar en condiciones de proceder a publicarlo como ha hecho, debió haber puesto su aviso de privacidad a disposición de la Titular quejosa previo a la publicación del día de hoy en medios digitales y de la fecha que hubiera sido en su página de Internet.

Más aun, incluso ese aviso de privacidad (cuya conformidad con la LFPDPPP, su Reglamento y los Lineamientos del Aviso de Privacidad resultaría dudosa incluso tras una primera lectura) no prevé qué datos serán materia de tratamiento, ni prevé entre las finalidades del mismo la difusión pública de tales datos. Las finalidades listadas en él son:

  1. Seguimiento y evaluación de la prestación de bienes y/o servicios que nos son suministrados y contactar a los proveedores de dichos servicios;
  2. Cotización de bienes y/o servicios cuyo suministro solicitamos;
  3. Atención de dudas y sugerencias;
  4. Pago y cobro de contraprestaciones y facturación;
  5. Análisis y elaboración de estadísticas o reportes;
  6. Elaboración de contratos derivados de la relación comercial;
  7. Evaluación para determinar si será posible establecer una relación comercial; (viii) comercialización de productos de Genomma; y
  8. Dar cumplimiento a obligaciones contraídas con nuestros clientes.

Éste caso ejemplifica claramente algo que el IFAI ha planteado desde la entrada en vigor de la LFPDPPP; el marco legal de privacidad en México no debe ser visto como un obstáculo para los negocios, sino como un extra que ofrecerle al cliente, paciente o consumidor. Un cumplimiento normativo implementado adecuadamente genera confianza en el Responsable. Por el contrario, acciones como ésta generarían desconfianza entre los consumidores e impactarían negativamente sobre las marcas e imagen del Responsable.

photo(Genomma)

Aviso Privacidad Genomma Labs 17072013

La Secretaría de Economía llevó a cabo una publicación de gran importancia práctica para la materia de protección de datos personales el pasado 17 de enero de 2013; en la misma ocasión en que publicó los Lineamientos del Aviso de Privacidad previstos en el artículo 43, fracción III, de la LFPDPPP, que sustituyen a la Guía “Recorta, Pega y Colorea” para elaborar el Aviso de Privacidad, y también publicó los parámetros para los esquemas de autorregulación también previstos en la fracción IV del propio artículo.

En consonancia con el dispositivo citado, el artículo 44 de la LFPDPPP prevé la posibilidad de que personas físicas o morales convengan entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulación vinculante en la materia, que complementen a la propia Ley. Dichos esquemas de autorregulación pueden resultar en códigos deontológicos o de buena práctica profesional, sellos de confianza u otros mecanismos, conteniendo reglas o estándares específicos que permitan armonizar los tratamientos de datos efectuados por los adheridos y facilitar el ejercicio de los derechos de los titulares.

Tales esquemas representarán un importante apoyo para la titánica labor que tiene el IFAI en cuanto a procurar el cumplimiento de la LFPDPPP y su reglamento, así como para los adherentes a estos esquemas, quienes podrían gozar del beneficio de la atenuación de sanciones en caso de haber cometido una infracción a dicha Ley, pero contar con el sello de confianza correspondiente.

Ahora bien, para alcanzar dicha certificación y/o sello de confianza tales adherentes deberían haber sido auditados por una entidad certificadora, y la primera publicación citada limitaba en la redacción de su Parámetro Vigésimo Sexto, fracción I, la posibilidad desolicitar ante el IFAI la autorización para fungir como entidad de acreditación a aquéllas personas morales constituidas como ACs, impidiendo a otras personas morales coadyuven con dicho Instituto en la implementación y operación del esquema de certificación.

La publicación del día de hoy corrige eso, abriendo a toda persona moral la posibilidad de solicitar su registro como entidad certificadora; un gran atino y una corrección a tiempo.

 

Hoy fue publicada en el Diario Oficial de la Federación la autorización otorgada por la Comisión Nacional Bancaria y de Valores para que Bancrea, S.A., Institución de Banca Múltiple se organice y opere como Institución de Banca Múltiple.

El arranque de ese banco, con un capital de $480’000,000.00, fue publicitado hace varios meses, como enfocado a PYMES así como depósitos o inversiones, certificados de depósitos o pagarés para gente con ingreso medio y medio alto, en zonas del poder adquisitivo.

Ésta autorización representa un gran avance en el proceso, pero no es concluyente; en términos de la Ley de Instituciones de Crédito está condicionada a que se obtenga también la autorización para iniciar operaciones, lo cual debería de ocurrir 90 días después de que la resolución publicada el día de hoy les fue notificada a los solicitantes.

Si bien iniciará con sólo 3 sucursales en la zona metropolitana de Monterrey, por lo menos parece que ya avanzaron con el registro de su nombre de dominio para el lanzamiento de su página de Internet, pues bancrea punto com y punto com punto mx ya aparecen registrados por un Registrante domiciliado en esa ciudad.

Imagen

El espectro de aplicación de la Ley Federal de Protección de Datos Personales es sumamente amplio, de manera tal que impacta a un sinnúmero de Responsables, muchos de los cuales no pueden sufragar una asesoría puntual y sofisticada en la materia. Con la intención de que la propia autoridad facilite medios para que dichos Responsables cumplan con la LFPDPPP, se le facultó para proporcionar apoyo técnico para el cumplimiento de las obligaciones establecidas en esa ley a quienes se lo soliciten.

En uso de tal facultad el IFAI difundió un “Modelo de Aviso de Privacidad Corto para Video Vigilancia”, difundido mediante comunicado de fecha 7 de julio del presente año. El documento abona a zanjar una discusión existente desde la promulgación de la Ley; aquélla sobre la necesidad de contar con más de un Aviso de Privacidad, en atención al Principio de Finalidad que informa a la LFPDPPP. Dado que la video vigilancia (V-V) es una Finalidad en sí misma y distinta de otras que el Responsable lleve a cabo, y que por ella se da Tratamiento a Datos Personales es preciso contar con el correspondiente Aviso de Privacidad. Diversos edificios corporativos en la Ciudad de México ya lo tienen, en distintos formatos; otros muchos no.

Lo interesante del caso es que en el documento respectivo el IFAI expuso la consideración, y consecuentemente el criterio respectivo, en el sentido de sugerir a los Responsables el uso del Aviso de Privacidad Corto previsto en la fracción III del Decimoctavo de los Lineamientos del Aviso de Privacidad que la Secretaría de Economía publicó el 17 de enero del presente año, y que también ya había sido referido en el artículo  28 del Reglamento en los siguientes términos:

El responsable podrá poner a disposición del titular el aviso de privacidad en términos del artículo anterior, cuando obtenga los datos personales por medios impresos, siempre que el espacio utilizado para la obtención de los datos personales sea mínimo y limitado, de forma tal que los datos personales obtenidos también sean mínimos.

Es decir, la redacción del Reglamento contiene una condicionante importante, tal que su interpretación debería resultar en que el uso del Aviso de Privacidad Corto sólo sea posible en los casos en que los datos son captados por medios impresos, idea que se refuerza considerando el texto de la fracción III del Decimonoveno de los citados Lineamientos:

Cuando el espacio utilizado para la obtención de los datos personales sea mínimo y limitado, de forma tal que los datos personales recabados o el espacio para la difusión o reproducción del aviso de privacidad también lo sean, se podrá utilizar la modalidad de aviso de privacidad corto.

Es interesante observar cómo el IFAI considera (vid. página 6) que por lo limitado de los datos que las cámaras captan y que el espacio físico para dar a conocer el aviso de privacidad es un espacio más bien restringido, la modalidad del Aviso de Privacidad adecuada para estas finalidades es el Aviso de Privacidad Corto, sin perjuicio de que también se ponga a disposición de los Titulares el correlativo Aviso de Privacidad Integral.

Los modelos propuestos por el IFAI son sumamente gráficos, y hacen evidente incluso de manera gráfia la utilización de cámaras de circuito cerrado. Sin duda contribuyen a ofrecer mayor claridad a los Titulares a cuyas imágenes se dé Tratamiento, pero por otra parte el criterio que expande el uso de la modalidad de Aviso de Privacidad Corto más allá de los medios impresos hasta el video motivará controversias prácticas y de iure en el futuro cercano.

Imagen

El modelo de franquicias se ha difundido a lo largo y ancho de México desde finales de los 80s y ha sido bastante exitoso. Datos de la Asociación Mexicana de Franquicias indican que al 2012 habían 1,300 franquicias, de las cuales 500 estaban realmente activas, facturando unos $85,000 MDP anuales, empleando directamente a más de 700,000 personas.

La distribución de esas 500 franquicias muestra una agran atomización, ya que en el 85% de los casos no les fue posible definir el número de unidades por franquicia. Ese universo de franquicias se distribuía en sectores de alimentos y bebidas, comercio y servicio especializados, tecnología y comunicaciones, cuidado personal, salud y bienestar, servicio automotriz, educación y capacitación, entretenimiento y recreación, servicios financieros, casas de empeño, etc. Todos ellos sectores que llevan a cabo el Tratamiento de Datos Personales en términos de la ley de la materia.

La pregunta práctica en las mentes tanto de franquiciatarios como de Titulares de Datos Personales es ¿a quién le corresponde establecer el cumplimiento normativo en materia de datos personales para cada franquicia? El hecho indudable es que cada franquiciatario, ya sea persona física o moral, sería el Responsable del Tratamiento de los Datos Personales de aquellos Titulares a quienes provea los bienes o preste los servicios de la propia franquicia. ¿Pero debería cada franquiciatario, por si mismo, redactar su propio Aviso de Privacidad y Políticas de Privacidad, establecer sus propias Medidas de Seguridad y capacitar por su cuenta a su personal?

La Ley de la Propiedad Industrial prevé que una franquicia consiste en el licenciamiento escrito de una marca,  y la transmisión de conocimientos técnicos o la provisión de asistencia técnica para que a quien se le concede pueda producir o vender bienes o prestar servicios de manera uniforme y con los métodos operativos, comerciales y administrativos establecidos por el titular de la marca, tendientes a mantener la calidad, prestigio e imagen de los productos o servicios a los que ésta distingue.

En tal virtud faculta al franquiciante para tener injerencia en la organización y funcionamiento del franquiciatario en la forma y medida necesaria para garantizar la observancia de los estándares de administración y de imagen de la franquicia conforme a lo establecido en el contrato de franquicia, mismo que, entre otras cosas, debe prever las políticas de inventarios, mercadotecnia y publicidad.

El Reglamento de dicho ordenamiento obliga además  al titular de la franquicia a proporcionar a los interesados diversa informacion que incluye los tipos de asistencia técnica y servicios que el franquiciante debe proporcionar al franquiciatario, y las obligaciones del franquiciatario respecto de la información de tipo confidencial que le proporcione el franquiciante.

Ahora bien, la Ley Federal de Protección de Datos Personales prevé como excepción al Principio del Consentimiento en Transferencias de Datos Personales la posibilidad de que la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas.

El punto fino a ese respecto sería si la estructura de franquicia correspondería a una de las formas reconocidas por el derecho mexicano como aquéllas que confieren control de una persona sobre otra, o bien que establecen la afiliación entre personas morales.

Un punto adicional es el hecho que el Reglamento de la LFPDPPP y los Lineamientos del Aviso de Privacidad prevén que entre los elementos para la observancia de los Principios de Información, Finalidad y Lealtad en su caso se deberá incluir entre las Finalidades del Tratamiento en el Aviso de Privacidad las relativas al Tratamiento para fines mercadotécnicos, publicitarios o de prospección comercial que lleve a cabo el Responsable, aspectos sobre los cuales se expuso el franquiciante puede tener injerencia conforme a la Ley de la Propiedad Industrial.

Por tanto el hecho es que la uniformidad facilitada por el franquiciante en la implementación del cumplimiento normativo en materia de protección de Datos Personales entre los franquiciatarios de una misma franquicia ofrecería a estos mayores facilidades y ventajas, asegurando además la mejoría de la imagen de la propia franquica al evitar asimetrías entre el Tratamiento realizado por cada franquiciatario individual, fomentando con ello la confianza de sus clientes o consumidores.

On two occasions so far Facebook has had to backtrack, regardless of its weight in social networking, from amendments to its privacy policy granting itself licenses to content uploaded by users. However those users seem to not have a problem granting free and perpetual, non-exclusive worldwide licenses to fads like the "Keep-Calm-O-Matic" in exchange for a witty poster to then upload onto Facebook. In addition to those overbearing terms, you can only keep your poster private if you sign up with them; what happens to those details afterwards is not very clear. You may want to keep calm, and read the privacy policy BEFORE you use your content to make one such poster!

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace