Com IFAI Generadores Aviso Privacidad 1 Com IFAI Generadores Aviso Privacidad 2
La semana antepasada el IFAI lanzó su Generador de Avisos de Privacidad con bombo y platillo, agitando bastante las aguas en el medio de la protección de datos personales, no obstante que se inscribe en las atribuciones que el artículo 39, fracción III, de la LFPDPPP le otorga a ese Instituto, para «proporcionar apoyo técnico a los responsables que lo soliciten, para el cumplimiento de las obligaciones establecidas en la presente Ley». Incluso debería ser considerado como un avance del propio IFAI, pues lo acerca al nivel de trabajo que tienen instituciones como la Oficina del Comisionado de Privacidad del Canadá, que cuenta con herramientas online para apoyar a los Responsables en el cumplimiento de sus obligaciones, en tanto que la Agencia Española de Protección de Datos ofrece en su mayoría formatos en PDF para tales fines.
El proceso de creación del GAP parece haber sido bastante largo; el propio IFAI lo refirió en la página 14 de su Análisis del Ejercicio del Presupuesto Programático en la Cuenta de la Hacienda Pública Federal de 2012, como «… una herramienta en línea que permita a los responsables elaborar avisos de privacidad, de acuerdo con la normatividad», cuyo contenido fue elaborado en aquél año.
Lo que ha llamado la atención de varios de quienes ejercemos en esta área son las diferencias en la postura del IFAI que podrían inferirse de la comunicación que ha tenido con el público respecto del trabajo de elaboración de avisos de Privacidad. Si bien siempre aclaró que las herramientas existentes anteriormente, como la del despacho R1OS Abogados, el de ProDato y Contratos Fácil (aclaración, jamás las refirió literalmente) no tenían aval alguno del IFAI, y que éste lanzaría la suya en el futuro, en un principio apuntó, en uno de los comunicados que pueden ver en la presente entrada, que «En el mercado de la consultoría existen empresas que de manera legítima ofrecen sus servicios tanto de asesoría como para la elaboración de los avisos de privacidad pero no tienen ninguna relación con el IFAI, ni la autorización o aval de este Instituto». Sin embargo, de acuerdo con el comunicado de lanzamiento del GAP, el Comisionado Presidente habría manifestado que con ese Generador de Avisos de Privacidad «…las personas físicas y morales de carácter privado que tratan datos personales pueden generar ya sus avisos de privacidad sin necesidad de pagar miles de pesos a empresas o despachos especializados».
Así nace la duda en el medio sobre si es que basta con el uso del GAP para generar avisos de privacidad acordes con la LFPDPPP, su Reglamento y los Lineamientos del Aviso de Privacidad sin hacer la inversión en servicios profesionales para ello, o si aún es necesario, o cuando menos conveniente, contar con asesoría profesional al respecto, considerando que el GAP IFAI es una herramienta desarrollada por la autoridad; y siéndolo, ¿con eso se puede estar a salvo de la sanción prevista en la fracción II del artículo 64 de la LFPDPPP, consistente en multa de 100 a 160,000 días de salario mínimo general vigente por la infracción de la fracción V del artículo 63: «omitir en el aviso de privacidad, alguno o todos los elementos a que se refiere el artículo 16 de la Ley»?
El tema de suyo me remite al caso del Banco de México, que dejó de operar con el público en general en los ’60s, pues se llegó a considerar que esa actividad representaba competencia desleal para la banca comercial, puesto que el público favorecía al Instituto Central por la percepción de mayor solidez y confianza que generaba en el público ahorrador e inversionista. Sin embargo, creo que lejos de ser motivo de estress y preocupación para los profesionales de protección de datos personales el desarrollo de ésta y otras herramientas por parte del IFAI nos debe motivar a esmerarnos más en nuestro trabajo y ofrecer a nuestros clientes mayor calidad y honorarios competitivos, aunque no castigados, por el trabajo de la que sólo es una de las obligaciones que deben cumplir en su carácter de Responsables del Tratamiento de Datos Personales.
La única manera de hacer un juicio de valor al respecto es probar el GAP. Aclaro enfáticamente que en mi despacho no uso, ni usaré, el GAP para generar los materiales correspondentes al servicio que ofrezco a mis clientes; yo hago mi trabajo a pulso, y el valor agregado por el que mis clientes pagan no sólo es el esfuerzo de un profesionista calificado en la materia, sino un servicio individualizado.
El primer punto que llama la atención en el ejercicio es que se asume que el Responsable debe tener claridad suficiente para determinar por sí solo las Finalidades del Tratamiento de Datos Pesonales que lleva a cabo y para el cual genera el Aviso de Privacidad, y de que podría requerir más de un Aviso de Privacidad, pues en atención al Principio de Finalidad, por ejemplo, el Aviso de Privacidad para sus clientes no valdría también para sus empleados.
Además se asume que el Responsable tendrá capacidad para determinar por sí solo én qué casos establecerá una relación jurídica con el Titular, así como cuáles de las Finalidades que haya determinado son necesarias para esa relación jurídica, lo cual requiere de conocimiento jurídico y experiencia en la práctica, que pueden o no estar disponibles en la organización del Responsable a través de sus áreas de administración o contabilidad. Pero de no tenerlas el dicho Responsable poría requerir de todas formas asesoría incluso para hacer uso del GAP, ya que éste no explica por sí mismo los Principios de Proporcionalidad y/o de Finalidad.
Algo que llama mi atención es, por ejemplo, que en Reactivo 5 de la sección VII se contiene un espacio para indicar el nombre de la persona o departamento de datos personales, requisito que corresponde a lo previsto en el Lineamiento Vigésimo Octavo, fracción II, conforme al cual deben indicarse los datos de identificación y contacto de la persona o departamento de datos personales que dará trámite a las solicitudes de los titulares para el ejercicio de los derechos ARCO, al que refiere el artículo 30 de la Ley.
Si bien esto se corresponde con requerimientos como el de identificación del responsalbe de la oficina de atención al cliente de las Entidades Financieras. Sin embargo uno de los aspectos prácticos a considerar debe ser incluso la seguridad del personal dedicado a estas tareas, pues identificarlos puntualmente podría hacerlos víctimas de ataques o agresiones. Además la norma coloca a las personas que sean funcionarios a cargo de datos personales en desventaja con relación a los departamentos de datos personales, cuyos integrantes pueden gozar del beneficio del anonimato.
Es similar el caso de los Responsables personas físicas, quienes de acuerdo con el Lineamiento Vigésimo Primero deben identificarse con nombres y apellidos, lo cual también podría exponerlos en sus personas, al dar a conocer su identidad en documentos de amplia circulación sin el beneficio del velo corporativo. El IFAI haría bien en reconsiderar el requisito, más aún tomando en cuenta que la relación jurídica derivada del Tratamiento de los Datos Personales se establece entre el Titular y el Responsable, no con el personal de éste último.
Además de lo mencionado respecto de la determinación de las Finalidades del Tratamiento y la necesidad de las mismas para la relación jurídica, hay muchas preguntas abiertas que el Responsable no siempre estará en condiciones de responder adecuadamente por si solo, como el caso de los medios para el ejecicio de derechos ARCO que elija poner a disposición del Tiular. El Reglamento de la Ley y los Lineamientos del Aviso de Privacidad prevén que podrán ser aquellos que el Responsable considere pertinentes, y que serán sencillos y gratuitos, sin que el Responsable pueda establecer como única vía para la presentación de las solicitudes del ejercicio de los derechos ARCO algún servicio o medio con costo, y estando el Titular obligado a cubrir únicamente los gastos de envío, reproducción y, en su caso, certificación de documentos, con una excepción, además de que dichos costos de reproducción no podrán ser mayores a los costos de recuperación del material correspondiente.
Podría abundarse más sobre el particular, pero lo ya mencionado bastaría para autorizar a afirmar que no obstante las bondades del GAP, y el hecho que es el primer paso para colocar al IFAI al nivel de las autoridades de protección de datos personales más progresistas y avanzadas en la práctica, realmente no es un sustituto para la asesoría profesional en la instrumentación de un cumplimiento normativo integral y sólido.
Lo anterior más aún considerando que en adición al Aviso de Privacidad, la designación del Funcionario a Cargo de Protección de Datos Personales y los procesos para responder solicitudes ARCO, así como aquellos para la revocación del consentimiento y la limitación del Tratamiento de Datos Personales de acuerdo con el artículo 48, fracción I, del Reglamento es nesario redactar una Política de Privacidad, y conforme al artículo 61 del propio estatuto se debe redactar también una Relación de Medidas de Seguridad, además de llevar a cabo capacitación en materia de protección de datos como lo manda la fracción II del citado artículo 48.
En resumen, defintivamente la disponibilidad del GAP obliga a que los profesionales en protección de datos personales nos pulamos y esforcemos más en nuestro trabajo y ofrezcamos un mejor servicio al cliente, pero no necesariamente cerrará áreas de trabajo en la materia.