archivo

Archivos Mensuales: septiembre 2013

Hoy día Forbes publicó una nota http://onforb.es/14UM4L3 muy interesante sobre la cantidad de datos que T-Mobile, empresa de telefonía móvil en los EE.UU.A., requiere para el servicio de post-pago en aquél país, incluyendo el número de seguridad social del suscriptor.

Igualmente la nota refiere una consulta hecha a la Administración de Seguridad Social de aquél país, que respondió que si un negocio pregunta el Número de Seguridad Social se tiene el derecho a negarlo, o cuando menos a preguntar: (1) por qué se requiere; (2) cómo y para qué será usado, (3) con fundamento en qué norma se le solicita y (4) las consecuencias de negarlo.

Claramente el parangón no es el más simétrico, puesto que el régimen mexicano de protección de datos personales dista mucho del estadounidense; de hecho es mejor. Nuestro marco normativo en la materia sigue un modelo híbrido, muy similar al canadiense, aunque con un sesgo hacia el europeo y una cada vez más fuerte influencia española. Sin embargo se pueden aprender lecciones importantes del caso, tanto del lado del Titular como del del Responsable.

El autor de la nota menciona que al no estar dispuesto a comunicar ese dato personal a T-Mobile no pudo suscribirse al servicio por Internet, por lo que acudió a un centro de servicio para llevar a cabo la contratación. Ahí le dijeron que de hecho la contratación no estaba condicionada a la entrega del dato, puesto que solicitaban un depósito de US$100 y no consultaban historial crediticio. En México esto último requiere que el otorgante del crédito obtenga la autorización expresa del Titular para acceder a su información conservada por cualquier Sociedad de Información Crediticia, y la consulta de ésta sería justificada en tanto que las empresas de telefonía móvil son usuarias de tales servicios, puesto que los cargos hechos a la línea de usuarios de postpago representan un pasivo a cargo de estos.

Sin embargo, los títulos de concesión otorgados a las operadoras de telefonía móvil que operan hoy día contienen, en general, una disposición conforme a la cual dichas concesionarias “deberán asegurar la confidencialidad de la información proporcionada por los usuarios o generada por la red pública concesionada al prestar servicios a dichos usuarios, y a no divulgarla si no existe consentimiento previo para su uso”, elemento que no me parece haber visto considerado en la resolución del IFAI en el procedimiento de imposición de sanciones a Telcel, misma que sería interesante fuera considerada por el IFETEL de oficio, por ser dicho caso información que obra en el dominio público.

También del lado del Responsable esto ofrece lecciones importantes. Primero, atender al Principio de Proporcionalidad al diseñar formatos de solicitud y contratos, puesto que de acuerdo con los artículos 11, primer párrafo, de la LFPDPPP y 45 de su Reglamento, sólo podrán ser objeto de tratamiento los datos personales que resulten necesarios, adecuados y relevantes en relación con las finalidades para las que se hayan obtenido. Luego entonces, si no es preciso consultar el RFC del Titular, su fecha de nacimiento u otra información, el Responsable debería abstenerse de solicitársela.

Ello además impactará en la magnitud y costo de su cumplimiento normativo y, sobre todo, medidas de seguridad, puesto que las mismas deberán ser mucho más robustas en la medida que, por ejemplo, dé Tratamiento a Datos Personales con Riesgo Inherente Alto o Reforzado, y no solamente a los que tengan Riesgo Inherente Bajo o Medio.

En concordancia con lo anterior, debería asegurarse de que los datos personales que solicite a los Titulares sean los mínimos necesarios de acuerdo con la Finalidad del Tratamiento que tenga lugar, conforme al Criterio de Minimización dispuesto en el artículo 46 de dicho Reglamento. Con ello al menos podrá reducir el riesgo legal de incurrir en la infracción prevista en el artículo 63, fracción IV, de la LFPDPPP, consistente en tratar datos personales en contravención a los principios de dicha Ley.

La más reciente resolución en un procedimiento de imposición de sanciones por parte del IFAI correspondió a Radiomóvil Dipsa, S.A. de C.V., que opera bajo la marca Telcel, a quien le ha sido impuesta una multa que asciende a $6,264,165, por dos conductas infractoras:

  1. $3’272,325, con base en los Artículos 63, fracción VIII, y 64, fracción III, por incumplir el deber de confidencialidad establecido en el artículo 21 de la LFPDPPP, y
  2. $2’991,840, con base en los artículos 63, fracción IX, y 64, fracción III, por cambiar sustancialmente la finalidad originaria del tratamiento de los datos, sin observar lo dispuesto por el artículo 12 del propio estatuto.

Los dispositivos citados prevén, respectivamente, lo siguiente:

  • Artículo 21.- El responsable o terceros que intervengan en cualquier fase del tratamiento de datos personales deberán guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.
  • Artículo 12.- El tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas en el aviso de privacidad. Si el responsable pretende tratar los datos para un fin distinto que no resulte compatible o análogo a los fines establecidos en aviso de privacidad, se requerirá obtener nuevamente el consentimiento del titular.

A eso último habría que agregar que el Artículo 40 del Reglamento de la LFPDPPP prevé que:

“Los datos personales sólo podrán ser tratados para el cumplimiento de la finalidad o finalidades establecidas en el aviso de privacidad, en términos del artículo 12 de la Ley. Para efectos del párrafo anterior, la finalidad o las finalidades establecidas en el aviso de privacidad deberán ser determinadas, lo cual se logra cuando con claridad, sin lugar a confusión y de manera objetiva se especifica para qué objeto serán tratados los datos personales”.

¿De dónde derivaron las conductas infractoras? Pues de que a no obstante la confidencialidad ordenada por la Ley, a Telcel “se le hizo fácil” recurrir a los números frecuentes de la Titular denunciante para realizar gestiones de cobro a través de terceros mediante llamadas y mensajes de texto dirigidos a ellos, conducta que fue considerada como de “gravedad alta” por la Comisionada Ponente, Ma. Elena Pérez-Jáen Zermeño, “en virtud de la afectación que con ello pudiera causar a la titular”.

De ello derivó que, además, se encontraran violaciones al Principio de Finalidad, puesto que el correspondiente Aviso de Privacidad no determinaba tal uso de los datos de la Titular, de manera que operó un cambio sustancial en las Finalidades originarias del Tratamiento de esos datos, cambio que no fue consentido por la Titular y que también fue considerado como potencialmente causante de una grave afectación a la Titular.

Siempre que multas de tal magnitud son difundidas surge la pregunta sobre qué podrían esperar otros Responsables si llegaran a incurrir en infracciones a la LFPDPPP; la respuesta es que entre otros factores el IFAI consideraría su capacidad económica, pues así lo requiere el Artículo 65, fracción IV, de ese ordenamiento. En la resolución consta que la Responsable omitió proporcionarle a la autoridad elementos para determinarla, por lo que ésta accedió a una fuente de consulta pública, concretamente la página de Internet de la Comisión Federal de Competencia Económica, y accedió a la versión pública de la resolución del 7 de abrill de 2001 dictada en su expediente DE-37-2006, que tiene carácter de documental pública, en la que éste último organismo impuso a la propia Responsable una multa del orden de $11,989’653,276.40, equivalentes al 10% de sus activos totales al momento, cifra de la cual derivó el monto de la sanción, mismo que fue considerado como proporcinal a la capacidad económica de la Responsable, de manera que no afectaría el desarrollo de sus actividades.

Habría que considerar además la intencionalidad de la conducta infractora, como lo determinó la autoridad respecto de la violación de lo previsto por los Artículos 6, 7, 12, 13, 15 y 21 de la LFPDPPP, con relación a las infracciones determinadas en las fracciiones IV, VIII y IX de la propia Ley.

Ahora bien, aunque en los resolutivos no figura la conducta infractora prevista en el artículo 63, fracción IV, consistente en dar tratamiento a los datos personales en contravención a los principios establecidos en la presente Ley, los considerandos si refieren al Principio de Lealtad dispuesto en los artículo 6 de la LFPDPPP, y 9, fracción III, y 44 de su Reglamento, atento a los cuales:

  • “En todo tratamiento de datos personales, se presume que existe la expectativa razonable de privacidad, entendida como la confianza que deposita cualquier persona en otra, respecto de que los datos personales proporcionados entre ellos serán tratados conforme a lo que acordaron las partes en los términos establecidos por esta Ley”, y 
  • El Principio de Lealtad establece la obligación de tratar los datos personales privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad, en los términos establecidos en el artículo 7 de la Ley.
    No se podrán utilizar medios engañosos o fraudulentos para recabar y tratar datos personales. Existe una actuación fraudulenta o engañosa cuando:
    I. Exista dolo, mala fe o negligencia en la información proporcionada al titular sobre el tratamiento;
    II. Se vulnere la expectativa razonable de privacidad del titular a la que refiere el artículo 7 de la Ley, o
    III. Las finalidades no son las informadas en el aviso de privacidad.

La Responsable pretendió controvertir lo anterior argumentando que las gestiones de cobranza estaban previstas en el respectivo Aviso de Privacidad, y que la falta de consentimiento de la Titular era irrelevante puesto que, en su teoría de las cosas, operaba la excepción al consentimiento prevista en la fracción V del artículo 10 de la Ley, que exime de obtenerlo en los casos en que “exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes”, lo cual fue desestimado por la autoridad.

Entre otros argumentos la autoridad sostuvo la violación a los Principios de Información, al no haber puesto a disposición del Titular el Aviso de Privacidad cuando renovó su plan tarifario, así como el de Proporcionalidad, al haber dado tratamiento a datos que no eran necesarios, adecuados ni relevantes en relación con la Finalidad para los que fueron obtenidos.

Aunque de la lectura de la resolución me parece que la naturaleza del dato no fue considerada de relevancia para la imposición de sanciones, toda vez que la fracción IV del Artículo 64 de la LFPDPPP sólo refiere a los de naturaleza sensible para el incremento de las sanciones, será interesante ver el criterio que adopta el IFAI en otros casos en que las infracciones se refieran a datos personales patrimoniales, como me parece es el caso, ya que mediante las gestiones de cobro a través de terceros se divulgaron datos relativos al adeudo de la Titular con la Responsable, mismos que por versar sobre su haber y deber habrían de ser considerados como tales.

Otro aspecto relevante a mencionar en un caso como éste, y es algo que me preguntan mucho en consultas y presentaciones, es que la Titular no percibirá un centavo de lo que el fisco recaude como aprovechamiento por la multa, de manera que el procedimiento de imposición de sanciones por parte del IFAI no se puede volver un medio de extracción de recursos de los Responsables por parte de los Titulares.

Sin embargo hay que atender al artículo 58 de la Ley, conforme a l cual los titulares que consideren que han sufrido un daño o lesión en sus bienes o derechos como consecuencia del incumplimiento a lo dispuesto en la LFPDPPP por el Responsable o el Encargado, podrán ejercer los derechos que estimen pertinentes para efectos de la indemnización que proceda, en términos de las disposiciones legales correspondientes.

Lo que es un hecho es que en los casos en que se resuelva en contra del Responsable y pudiera configurarse alguna teoría como el daño moral, el Titular estará en posibilidad de iniciar el procedimiento respectivo por la vía correspondiente y ofrecer el expediente del IFAI como prueba instrumental pública, mismo que haría prueba plena con tal carácter de la actuación ilegal del Responsable, restando que el Titular actor probara la afectación sufrida en la consideración que tiene de si o la que los demás le tienen. Y es sabido que desde el caso de Martha Zahagún contra Olga Wornat los criterios judiciales en México sobre daño moral han cambiado sustancialmente, por lo que sería menos complicado que antes lograr una indemnización por esa vía.

La discusión de la “reforma laboral” fue uno de los capítulos políticos y legislativos más intensos del cierre del sexenio del Presidente Calderón, y su promulgación una de los actos de bombo y platillo con los que el Presidente Peña abrió el suyo. Dentro de los temas acaloradamente discutidos estuvo el de los intermediarios o “empresas de recursos humanos”, “de prestación de servicios” o “outsourcing”, figura que años atrás generó gran preocupación entre las autoridades laborales y recaudatorias por los casos en que a través de ella se llegaba a privar a los trabajadores de prestaciones, como fue el caso de algunas estructuradas bajo apariencia de “cooperativas”, con el consecuente menoscabo al erario y las instituciones de seguridad social.

Ahora bien, el que no se ha llevado a cabo la emisión de la regulación en materia laboral que el Artículo 40 de la LFPDPPP prevé deberá realizarse con la coadyuvancia del IFAI, pueden motivar algunas preguntas como:

  • ¿Quién sería el Responsable del Tratamiento de los Datos Personales de los empleados Titulares, y por lo tanto quién debería poner el Aviso de Privacidad a su disposición?
  • ¿Cómo debería ser categorizado el movimiento de los Datos Personales de la empresa de recursos humanos hacia la prestataria del servicio: Transferencia a un Tercero, o Remisión a un Encargado?
  • Y si fuera Transferencia a un Tercero, que por lo tanto determinaría sus propias finalidades para el Tratamiento de esos Datos Personales, ¿podría exponerlo ello a responsabilidad laboral, y el Aviso de Privacidad resultar una probanza en los procedimientos para determinarla?

Tengo idea de que posiblementeen alguna conferencia en que hubieran participado funcionarios del IFAI se podría haber dicho que el beneficiario del trabajo de los empleados debería poner a disposición de estos su propio Aviso de Privacidad, pero podría fallarme la memoria, y de ser el caso anticipo disculpas por la poca claridad de recuerdos. 

Las respuestas podrían ser más o menos claras en uno u otro sentido, pero nada estará dicho en definitiva hasta que la Secretaría del Trabajo y Previsión Social y el IFAI expidan la regulación secundaria correspondiente.

 

 

 

 

Com IFAI Generadores Aviso Privacidad 1 Com IFAI Generadores Aviso Privacidad 2

La semana antepasada el IFAI lanzó su Generador de Avisos de Privacidad con bombo y platillo, agitando bastante las aguas en el medio de la protección de datos personales, no obstante que se inscribe en las atribuciones que el artículo 39, fracción III, de la LFPDPPP le otorga a ese Instituto, para “proporcionar apoyo técnico a los responsables que lo soliciten, para el cumplimiento de las obligaciones establecidas en la presente Ley”. Incluso debería ser considerado como un avance del propio IFAI, pues lo acerca al nivel de trabajo que tienen instituciones como la Oficina del Comisionado de Privacidad del Canadá, que cuenta con herramientas online para apoyar a los Responsables en el cumplimiento de sus obligaciones, en tanto que la Agencia Española de Protección de Datos ofrece en su mayoría formatos en PDF para tales fines.

El proceso de creación del GAP parece haber sido bastante largo; el propio IFAI lo refirió en la página 14 de su Análisis del Ejercicio del Presupuesto Programático en la Cuenta de la Hacienda Pública Federal de 2012, como “… una herramienta en línea que permita a los responsables elaborar avisos de privacidad, de acuerdo con la normatividad”, cuyo contenido fue elaborado en aquél año.

Lo que ha llamado la atención de varios de quienes ejercemos en esta área son las diferencias en la postura del IFAI que podrían inferirse de la comunicación que ha tenido con el público respecto del trabajo de elaboración de avisos de Privacidad. Si bien siempre aclaró que las herramientas existentes anteriormente, como la del despacho R1OS Abogados, el de ProDato y Contratos Fácil (aclaración, jamás las refirió literalmente) no tenían aval alguno del IFAI, y que éste lanzaría la suya en el futuro, en un principio apuntó, en uno de los comunicados que pueden ver en la presente entrada, que “En el mercado de la consultoría existen empresas que de manera legítima ofrecen sus servicios tanto de asesoría como para la elaboración de los avisos de privacidad pero no tienen ninguna relación con el IFAI, ni la autorización o aval de este Instituto”. Sin embargo, de acuerdo con el comunicado de lanzamiento del GAP, el Comisionado Presidente habría manifestado que con ese Generador de Avisos de Privacidad “…las personas físicas y morales de carácter privado que tratan datos personales pueden generar ya sus avisos de privacidad sin necesidad de pagar miles de pesos a empresas o despachos especializados”.

Así nace la duda en el medio sobre si es que basta con el uso del GAP para generar avisos de privacidad acordes con la LFPDPPP, su Reglamento y los Lineamientos del Aviso de Privacidad sin hacer la inversión en servicios profesionales para ello, o si aún es necesario, o cuando menos conveniente, contar con asesoría profesional al respecto, considerando que el GAP IFAI es una herramienta desarrollada por la autoridad; y siéndolo, ¿con eso se puede estar a salvo de la sanción  prevista en la fracción II del artículo 64 de la LFPDPPP, consistente en multa de 100 a 160,000 días de salario mínimo general vigente por la infracción de la fracción V del artículo 63: “omitir en el aviso de privacidad, alguno o todos los elementos a que se refiere el artículo 16 de la Ley”?

El tema de suyo me remite al caso del Banco de México, que dejó de operar con el público en general en los ’60s, pues se llegó a considerar que esa actividad representaba competencia desleal para la banca comercial, puesto que el público favorecía al Instituto Central por la percepción de mayor solidez y confianza que generaba en el público ahorrador e inversionista. Sin embargo, creo que lejos de ser motivo de estress y preocupación para los profesionales de protección de datos personales el desarrollo de ésta y otras herramientas por parte del IFAI nos debe motivar a esmerarnos más en nuestro trabajo y ofrecer a nuestros clientes mayor calidad y honorarios competitivos, aunque no castigados, por el trabajo de la que sólo es una de las obligaciones que deben cumplir en su carácter de Responsables del Tratamiento de Datos Personales.

La única manera de hacer un juicio de valor al respecto es probar el GAP. Aclaro enfáticamente que en mi despacho no uso, ni usaré, el GAP para generar los materiales correspondentes al servicio que ofrezco a mis clientes; yo hago mi trabajo a pulso, y el valor agregado por el que mis clientes pagan no sólo es el esfuerzo de un profesionista calificado en la materia, sino un servicio individualizado.

El primer punto que llama la atención en el ejercicio es que se asume que el Responsable debe tener claridad suficiente para determinar por sí solo las Finalidades del Tratamiento de Datos Pesonales que lleva a cabo y para el cual genera el Aviso de Privacidad, y de que podría requerir más de un Aviso de Privacidad, pues en atención al Principio de Finalidad, por ejemplo, el Aviso de Privacidad para sus clientes no valdría también para sus empleados.

Además se asume que el Responsable tendrá capacidad para determinar por sí solo én qué casos establecerá una relación jurídica con el Titular, así como cuáles de las Finalidades que haya determinado son necesarias para esa relación jurídica, lo cual requiere de conocimiento jurídico y experiencia en la práctica, que pueden o no estar disponibles en la organización del Responsable a través de sus áreas de administración o contabilidad. Pero de no tenerlas el dicho Responsable poría requerir de todas formas asesoría incluso para hacer uso del GAP, ya que éste no explica por sí mismo los Principios de Proporcionalidad y/o de Finalidad.

Algo que llama mi atención es, por ejemplo, que en Reactivo 5 de la sección VII se contiene un espacio para indicar el nombre de la persona o departamento de datos personales, requisito que corresponde a lo previsto en el Lineamiento Vigésimo Octavo, fracción II, conforme al cual deben indicarse los datos de identificación y contacto de la persona o departamento de datos personales que dará trámite a las solicitudes de los titulares para el ejercicio de los derechos ARCO, al que refiere el artículo 30 de la Ley.

Si bien esto se corresponde con requerimientos como el de identificación del responsalbe de la oficina de atención al cliente de las Entidades Financieras. Sin embargo uno de los aspectos prácticos a considerar debe ser incluso la seguridad del personal dedicado a estas tareas, pues identificarlos puntualmente podría hacerlos víctimas de ataques o agresiones. Además la norma coloca a las personas que sean funcionarios a cargo de datos personales en desventaja con relación a los departamentos de datos personales, cuyos integrantes pueden gozar del beneficio del anonimato.

Es similar el caso de los Responsables personas físicas, quienes de acuerdo con el Lineamiento Vigésimo Primero deben identificarse con nombres y apellidos, lo cual también podría exponerlos en sus personas, al dar a conocer su identidad en documentos de amplia circulación sin el beneficio del velo corporativo. El IFAI haría bien en reconsiderar el requisito, más aún tomando en cuenta que la relación jurídica derivada del Tratamiento de los Datos Personales se establece entre el Titular y el Responsable, no con el personal de éste último.

Además de lo mencionado respecto de la determinación de las Finalidades del Tratamiento y la necesidad de las mismas para la relación jurídica, hay muchas preguntas abiertas que el Responsable no siempre estará en condiciones de responder adecuadamente por si solo, como el caso de los medios para el ejecicio de derechos ARCO que elija poner a disposición del Tiular. El Reglamento de la Ley y los Lineamientos del Aviso de Privacidad prevén que podrán ser aquellos que el Responsable considere pertinentes, y que serán sencillos y gratuitos, sin que el Responsable pueda establecer como única vía para la presentación de las solicitudes del ejercicio de los derechos ARCO algún servicio o medio con costo, y estando el Titular obligado a cubrir únicamente los gastos de envío, reproducción y, en su caso, certificación de documentos, con una excepción, además de que dichos costos de reproducción no podrán ser mayores a los costos de recuperación del material correspondiente.

Podría abundarse más sobre el particular, pero lo ya mencionado bastaría para autorizar a afirmar que no obstante las bondades del GAP, y el hecho que es el primer paso para colocar al IFAI al nivel de las autoridades de protección de datos personales más progresistas y avanzadas en la práctica, realmente no es un sustituto para la asesoría profesional en la instrumentación de un cumplimiento normativo integral y sólido.

Lo anterior más aún considerando que en adición al Aviso de Privacidad, la designación del Funcionario a Cargo de Protección de Datos Personales y los procesos para responder solicitudes ARCO, así como aquellos para la revocación del consentimiento y la limitación del Tratamiento de Datos Personales de acuerdo con el artículo 48, fracción I, del Reglamento es nesario redactar una Política de Privacidad, y conforme al artículo 61 del propio estatuto se debe redactar también una Relación de Medidas de Seguridad, además de llevar a cabo capacitación en materia de protección de datos como lo manda la fracción II del citado artículo 48.

En resumen, defintivamente la disponibilidad del GAP obliga a que los profesionales en protección de datos personales nos pulamos y esforcemos más en nuestro trabajo y ofrezcamos un mejor servicio al cliente, pero no necesariamente cerrará áreas de trabajo en la materia.

El fin de semana largo por los festejos de la Independencia de México en 2013 será, probable y tristemente, tan memorable como el sismo de 1985, cuyo vigesimoctavo aniversario se conmemora el día de hoy. Sin duda este tipo de acontecimientos siempre hacen que la solidaridad de los mexicanos se manifieste, tanto en el esfuerzo por acopiar víveres y materiales para socorrer a los damnificados como por encontrar a las personas extraviadas o desaparecidas. Para esto último hoy día se cuenta con herramientas como el Google Person Finder que el gigante tecnológico desarrolló tras el sismo de Haití en 2010, y que ha puesto a funcionar para ayudar a encontrar gente en las zonas inundadas de Acapulco, lo mismo que en el caso de otros desastres naturales http://bit.ly/16iX4hN.

La herramienta permite al público aportar la información con que cuente de sí misma o de terceras personas para que quienes estén buscando a personas que se encontraran en la zona de desastre puedan tratar de ubicar su paradero. Para ello se llena un formato en que se indica el nombre de la persona, su domicilio, edad, género, descripción y de contar con ella se sube una foto suya, así como su última localización conocida, todos ellos datos personales.

A pesar de sonar más papista que el Papa, un ejercico meramente académico motivaría preguntar si el aportar esos datos personales para su difusión a través de Google Person Finder sería una acción regulada por la Ley Federal de Protección de Datos Personales en Posesión de Particulares.

Para ello es preciso atender a los artículos 2, fracción II; 10, fracción V, y 37, fracciones II y V, así como al 4 del Reglamento de dicha Ley. Éste último dispositivo contiene las normas territoriales de aplicación de la LFPDPPP, conforme a las cuales habría que definir si la LFPDPPP le resulta aplicable a Google. Dicha empresa tiene una oficina en México, pero no es claro que el tratamiento de los datos aportados por el público mexicano se lleve a cabo en dicho establecimiento, para efectos de la fracción I, pero cabría la posiblidad de que utilice medios situados en México, que excedan los fines de mero tránsito, para llevar a cabo ese tratamiento.

Asumiendo que el anterior fuera el caso, y de resolver la aplicabilidad de la LFPDPPP y su Reglamento al tratamiento de datos que Google hace para su aplicación Person Finder, habría que considerar las excepciones previstas en el artículo 2 de dicha Ley, de las cuales sólo la de la fracción II podría ser analizada, pues prevé como sujetos regulados por ella a los particulares personas físicas o morales de derecho privado que lleven a cabo el tratamiento de datos personales, con excepción de quienes lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial. En el caso de Google Person Finder, claramente no es el caso, puesto que esta información está destinada a ser divulgada al público.

No obstante lo anterior, la fracción V del Artículo 10 de la LFPDPPP prevé que no será necesario el consentimiento para el tratamiento de los datos personales cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes, cual es el caso en Acapulco. Sin embargo esa es una excepción al principio del consentimiento, no al de información, y por tanto, al menos en principio y siendo en extremo formalistas, debería haber un aviso de privacidad para el Person Finder, obligación cumplida parcialmente a través de su Política de Privacidad.

Considerando además la transferencia hecha mediante la difusión de los datos personales tratados a través de Google Person Finder habría que atender a las excepciones en las fracciones II y V del Artículo 37 de la LFPDPPP, que autorizan a realizarlas sin consentimiento del Titular cuando sean necesarias para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios, así como cuando sean necesarias o legalmente exigidas para la salvaguarda de un interés público, situaciones que claramente se presentan en un escenario como el que se enfrenta en Acapulco.

Adiconalmente, y no obstante que de acuerdo con el Artículo 11 del Código Civil Federal, las excepciones sólo son aplicables a los casos previstos expresamente en la norma que las contiene, serían aplicables criterios de derecho penal, como la no exigibilidad de otra conducta, es decir, exponerse a violar la Ley Federal de Protección de Datos Personales para lograr un bien mayor, consistente en la ubicación de gente extraviada o desaparecida, así como de la deontología jurídica, al optar por ese mal menor en aras de éste último bien mayor.

En conclusión, el Google Person Finder no sólo ha probado ser uno de esos productos de la bonhomia de Google, sino que a diferencia de Street View, caso que le ha costado investigaciones y multas en la Unión Europea y Estados Unidos, goza del beneficio de excepciones en materia de protección que lo aislarían de tales riesgos legales… aunque francamente habría que tener prioridades muy mal ubicadas para ir a por Google con motivo de su Person Finder en un escenario de catástrofe.

El IFAI inició su función como autoridad de protección de datos con sanciones a Responsables del Tratamiento de Datos Personales que fueron bastante mediáticas y causaron impacto lo mismo por la cuantía de la multa que por la visibilidad del multado; primero Farmacias San Pablo, luego Banamex (Grupo Banamex suma ya 5 multas) y Sport City.

Sin embargo la Ley Federal de Protección de Datos Personales en Posesión de Particulares no aplica solamente a grandes corporativos con grandes recursos; son Responsables de su cumplimiento todas las personas de derecho privado que den Tratamiento a Datos Personales por sí o a través de Encargados o Terceros, y las multas son impuestas considerando la capacidad económica del infractor.

Para muestra el caso en el procedimiento de imposición de sanciones PS 0001/13, en contra de un médico psiquiatra (de ahí que el nombre del infractor no figure en la versión pública, ya que son datos de naturaleza confidencial para el IFAI) quien habría expedido una constancia de “depresión y transtorno de personalidad recurrente y lupus eritematoso sistémico” y recetado medicamentos antidepresivos a una paciente (la Titular), y hecho entrega de esos documentos al marido de ésta sin su autorización, resultando de ahí una transferencia de Datos Personales Sensibles (y, según la regulación del sector salud, confidenciales).

Lo más delicado del asunto: de las constancias se infiere que la Titular y su marido estaban en una situación marital compleja, tanto que según las constancias del caso él inició el procedimiento de divorcio días después de la consulta al profesional de la salud, exhibiendo la antedicha constancia como probanza ante el respectivo Juzgado de lo Familiar.

Dentro del expediente de verificación consta que el IFAI requirió al profesional de la salud Responsable:

  • Manifestara por qué expidió el documento a favor del marido de la Titular dándole a conocer Datos Personales Sensibles de ésta (ojo: ello constituiría una confesión, pues procesalmente los hechos expresados en los documentos provenientes de una parte se tienen por confesados por ésta); explicación: que la Titular llegó a consulta por somnolencia debida a haberse automedicado, y que el marido requirió el documento “a fin de continuar con su atención y tratamiento médico”.
  • Señalar si contaba con el consentimiento de la Titular para la Transferencia de sus Datos Personales Sensibles a su marido; respuesta: no, debido a que la Titular se habría presentado en un estado alterado de conciencia por la ingesta del medicamento.
  • Señalar de forma pormenorizada los Datos Personales a los que da Tratamiento y adjuntar copia del documento que emplea para recabar el consentimiento expreso de sus pacientes para el Tratamiento de sus Datos Personales Sensibles; y aquí es donde se hubiera visto el trabajo de cumplimiento normativo bien hecho, de haberlo habido.
  • Medidas de seguridad que garanticen la confidencialidad de los Datos Personales que se le proporcionan;
  • Si cuenta o no con Aviso de Privacidad y cómo lo pone a disposición de sus pacientes; respondido afirmativamente y que en formato impreso.
  • Si él mismo se encarga de atender las solicitudes ARCO, también respondido afirmativamente.
  • Las Transferencias que realiza; respondido como sólo las autorizadas expresamiente por el Titular y las que por excepción permite la Ley, y
  • Pormenores de las medidas de seguridad físicas (resguardo bajo llave), administrativas (nadie más que el Responsable accede a o manipula sus expedientes), y técnicas (obtención personal de los Datos Personales si utilizar medios electrónicos y bajo la ética de la profesión); parecería un desatino del IFAI haber hecho públicos los detalles de las medidas de seguridad adoptadas por el Responsable, pues ello podría poner en riesgo su práctica profesional y los Datos Personales que trata en ella.

Lo anterior fue seguido por una visita de verificación en la cual el Responsable fue cuestionado sobre su práctica y las respuestas que dio por escrito, manifestando entonces que en el Aviso de Privacidad da oportunidad a los pacientes para aceptar expresamente o no la transferencia de sus Datos Personales, pero que no contaba con consentimiento expreso de la Titular denunciante para transferir sus Datos Personales, justificándolo en el estado en que habría llegado a consulta, y en que conforme a la NOM 168-SSA1-1998, que permitiría a los familiares solicitar el resumen clínico del paciente, además de que no habría dado a conocer al marido de la Titular las limitaciones al Tratamiento de los Datos Personales transferidos.

Las determinaciones relevantes en el proceso de verificación concluyeron que:

  • Hubo incumplimiento de la LFPDPPP por la transferencia de Datos Personales Sensibles sin consentimiento de la Titular y sin comunicar al Responsable receptor el las limitaciones al Tratamiento de esos Datos Personales;
  • El Aviso de Privacidad del Responsable no señala las opciones o medios para que los Titulares Limiten el uso o divulgación de sus Datos Personales, y
  • Tampoco señala los medios para dar a conocer los cambios al Aviso de Privacidad.

Dicho sea de paso, si la iniciativa de la denuncia al IFIA vino del abogado que representa a la Titular en su juicio de divorcio, decididamente ese colega es muy buen abogado, puesto que si el marido y su abogado pretendían fundamentar la causa de divorcio en la salud mental de la Sra., la probanza relevante para esos efectos se debería venir abajo como resultado de la verificación y sanción del IFAI, puesto que tal documento fue obtenido en contravención a la Ley Federal de Protección de Datos Personales, y las normas que rigen al proceso prohiben que en el mismo sean utilizadas probanzas contrarias a la ley.

Por ello el IFAI acordó iniciar el procedimiento de imposición de sanciones, remitiendo el Responsable copia simple de su declaración de impuestos por el ejercicio fiscal 2011 y una constancia de percepciones de 2013 para acreditar su situación financiera, y del que le derivaron las siguientes multas:

  1. Por omitir en su Aviso de Privacidad opciones y medios para que los titulares limiten el uso o divulgación de sus Datos Personales, así como la indicación del medio por el cual comunicaría a los titulares de cambios al aviso de privacidad, $5,982.00
  2. Por transferir datos a terceros sin comunicarles el aviso de privacidad con las limitaciones a que el Titular sujetó la divulgación de los Datos Personales, $11,964.00, multa incrementada en un 50% (+$5,982.00) por tratarse de Datos Personales Sensibles.
  3. Recabar o transferir datos personales sin el consentimiento expreso del titular, cuando éste fuera exigible, $11,964.00, multa incrementada en un 50% (+$5,982.00) por tratarse de Datos Personales Sensibles.

En total, las omisiones de este médico en su cumplimiento normativo en materia de protección de Datos Personales le costaron $41,874.00, recursos que decididamente él podría haber dedicado a otra cosa. Algo más para considerar en cuanto al valor de la inversión en el cumplimiento normativo para protección de datos personales.

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site