Principio de Proporcionalidad y Criterio de Minimización; Servicios de Telefonía Móvil

Hoy día Forbes publicó una nota http://onforb.es/14UM4L3 muy interesante sobre la cantidad de datos que T-Mobile, empresa de telefonía móvil en los EE.UU.A., requiere para el servicio de post-pago en aquél país, incluyendo el número de seguridad social del suscriptor.

Igualmente la nota refiere una consulta hecha a la Administración de Seguridad Social de aquél país, que respondió que si un negocio pregunta el Número de Seguridad Social se tiene el derecho a negarlo, o cuando menos a preguntar: (1) por qué se requiere; (2) cómo y para qué será usado, (3) con fundamento en qué norma se le solicita y (4) las consecuencias de negarlo.

Claramente el parangón no es el más simétrico, puesto que el régimen mexicano de protección de datos personales dista mucho del estadounidense; de hecho es mejor. Nuestro marco normativo en la materia sigue un modelo híbrido, muy similar al canadiense, aunque con un sesgo hacia el europeo y una cada vez más fuerte influencia española. Sin embargo se pueden aprender lecciones importantes del caso, tanto del lado del Titular como del del Responsable.

El autor de la nota menciona que al no estar dispuesto a comunicar ese dato personal a T-Mobile no pudo suscribirse al servicio por Internet, por lo que acudió a un centro de servicio para llevar a cabo la contratación. Ahí le dijeron que de hecho la contratación no estaba condicionada a la entrega del dato, puesto que solicitaban un depósito de US$100 y no consultaban historial crediticio. En México esto último requiere que el otorgante del crédito obtenga la autorización expresa del Titular para acceder a su información conservada por cualquier Sociedad de Información Crediticia, y la consulta de ésta sería justificada en tanto que las empresas de telefonía móvil son usuarias de tales servicios, puesto que los cargos hechos a la línea de usuarios de postpago representan un pasivo a cargo de estos.

Sin embargo, los títulos de concesión otorgados a las operadoras de telefonía móvil que operan hoy día contienen, en general, una disposición conforme a la cual dichas concesionarias “deberán asegurar la confidencialidad de la información proporcionada por los usuarios o generada por la red pública concesionada al prestar servicios a dichos usuarios, y a no divulgarla si no existe consentimiento previo para su uso”, elemento que no me parece haber visto considerado en la resolución del IFAI en el procedimiento de imposición de sanciones a Telcel, misma que sería interesante fuera considerada por el IFETEL de oficio, por ser dicho caso información que obra en el dominio público.

También del lado del Responsable esto ofrece lecciones importantes. Primero, atender al Principio de Proporcionalidad al diseñar formatos de solicitud y contratos, puesto que de acuerdo con los artículos 11, primer párrafo, de la LFPDPPP y 45 de su Reglamento, sólo podrán ser objeto de tratamiento los datos personales que resulten necesarios, adecuados y relevantes en relación con las finalidades para las que se hayan obtenido. Luego entonces, si no es preciso consultar el RFC del Titular, su fecha de nacimiento u otra información, el Responsable debería abstenerse de solicitársela.

Ello además impactará en la magnitud y costo de su cumplimiento normativo y, sobre todo, medidas de seguridad, puesto que las mismas deberán ser mucho más robustas en la medida que, por ejemplo, dé Tratamiento a Datos Personales con Riesgo Inherente Alto o Reforzado, y no solamente a los que tengan Riesgo Inherente Bajo o Medio.

En concordancia con lo anterior, debería asegurarse de que los datos personales que solicite a los Titulares sean los mínimos necesarios de acuerdo con la Finalidad del Tratamiento que tenga lugar, conforme al Criterio de Minimización dispuesto en el artículo 46 de dicho Reglamento. Con ello al menos podrá reducir el riesgo legal de incurrir en la infracción prevista en el artículo 63, fracción IV, de la LFPDPPP, consistente en tratar datos personales en contravención a los principios de dicha Ley.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Compliance Report

Compliance and Ethics Powered by The Red Flag Group

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC Corporate Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site