archivo

Archivos Mensuales: septiembre 2013

¡Fresco del día! El buscador de anteproyectos de Regulación de la Comisión Federal de Mejora Regulatoria muestra que el IFAI presentó ante esa instancia el proyecto de Reglas para la operación del Registro de Esquemas de Autorregulación Vinculante a que se refiere el Artículo 86 del Reglamento de la LFPDPPP. Como saben los mecanismos de autorregulación vinculante fueron previstos en el artículo 44 de la Ley Federal de Protección de Datos Personales como mecanismos complementarios a ésta que facilitarían tanto lograr el cumplimento de la misma a quienes se adhieran a ellos de manera voluntaria, por el uso de cláusulas tipo y documentos estandarizados, como la procuración de dicho cumplimiento al propio IFAI.

Uno de los principales atractivos para Cámaras de Comercio, Asociaciones Profesionales y otros organismos gremiales procuren implantar éste tipo de mecanismos es que, conforme al artículo 81 del citado Reglamento, cuando un responsable adopte y cumpla un esquema de autorregulación, el IFAI tomará dicha circunstancia en cuenta para atenuar la sanción aplicable, si a pesar de contar con el sello de confianza o certificación del mecanismo respectivo el Responsable hubiera incurrido en falta. Ello sin perjuicio de que el propio IFAI determine otros incentivos para la adopción de tales esquemas.

Los parámetros para el desarrollo de estos mecanismos fueron publicados en el Diario Oficial de la Federación del 17 de enero del presente año, y posteriormente modificados, puesto que su redacción original restringía la posibilidad de ser entidad de acreditación a las personas morales constituídas bajo el régimen de Asociación Civil, en tanto que ahora podrán serlo cualesquiera personas morales.

Al día de hoy van menos de 8 meses de los 9 que el Artículo Segundo Transitorio de dichos Parámetros fijó como plazo para la emisión de las Reglas del mencionado Registro. Veremos qué tal marcha la etapa de comentarios públicos en COFEMER, esperando que sean publicados en el Diario Oficial antes de mediados de octubre, fecha en la que de acuerdo con el Tercero Transitorio de los mismos Parámetros el Registro debería comenzar a dar trámite a las solicitudes de inscripción de esquemas de autorregulación vinculante y de autorización para entidades de acreditación.

Ello considerando que, recordarán, para que un Esquema de Autorregulación Vinculante sea válidamente operativo deberá haber sido aprobado por el IFAI y notificado al regulador sectorial de la materia que rija al Responsable.

Luego de llamar al 2011 “el año del aviso de privacidad”, tras el cual según cifras del estudio de protección de datos personales entre usuarios y empresas 2012 de la AMIPCI 1/3 del muestreo de empresas consultado no tenía idea de las acciones de cumplimiento a ejecutar para cumplir con la Ley Federal de Protección Datos Personales, el IFAI asumió su función como autoridad de protección de datos personales, y con el Dr. Santiago Oñate Laborde como Secretario de Protección de Datos emprendió acciones de verificación y sanción a tambor batiente.

Los montos de las sanciones impuestas a la fecha son impactantes: desde los $2’000,0045.04 de multa a “Farmacias San Pablo” a los $9’848,140.00 para la SOFOM de Banamex, sin hacer aún de lado la de $16’155,936.00 a esa institución de banca múltiple y, aunque deben ser ponderadas en relación con la capacidad económica del infractor, serían motivo de reflexión con respecto al costo que la implementación de un adecuadoo cumplimiento normativo en la materia hubiera representado en comparación.

Sin embargo no todo procedimiento de protección de datos personales tiene que derivar en la imposición de una multa al Responsable, en términos del artículo 54 del Reglamento de la Ley, el IFAI puede buscar la conciliación entre Titular y Responsable en cualquier momento del procedimiento, y de llegar estos a un acuerdo el mismo será vinculante, dejando a la solicitud de protección de datos sin materia.

Para ello el acuerdo de admisión de la solicitud deberá requerir para que dichas partes manifiesten su voluntad de conciliar dentro de los 10 días hábiles siguientes a que les sea notificado, salvo que el Titular sea menor de edad y se hubiera vulnerado alguno de los derechos previstos en la Ley para la Protección de los Derechos de Niñas, Niños y Adolescentes. La conciliación podría ser realizada en persona o por medios remotos, pero constará por escrito, dentro de los 20 días siguientes a la manifestación de voluntad de las partes, levantándose acta de ello, redactándose el convenio respectivo y dándose por concluido el procedimiento, salvo que el acuerdo sea incumplido, en cuyo caso el IFAI reanudará el procedimiento.

A la fecha se tiene noticia de 3 procedimientos de protección de derechos concluidos por vía de conciliación con los siguientes Responsables:

  1. Autobuses de la Piedad, S.A. de C.V. (parte del Grupo Flecha Amarilla), resuelto mediante respuesta al IFAI y entrega de constancia que detalló los datos personales del Titular en poder del Responsable, que negó la cancelación de tales datos por efectos fiscales y manifestó que la videograbación del Títular había sido retenida sólo 48 hrs., así como que se acataría la oposición del Titular al Tratamiento de sus datos para promoción de productos y servicios u otro fin.
  2. Lomelín Hermanos Bienes Raíces, S.C., resuelto mediante entrega al Titular de fotocopias de su documentación y destrucción de la documentación que el Responsable había recibido del Titular en virtud de la cancelación de la solicitud de arrendamiento que éste último había formulado, por lo que sus datos no fueron capturados en las bases de datos de la Responsable, teniéndose así por cumplida la solicitud de cancelación.
  3. Teléfonos de México, S.A.B. de C.V., resuelto poniendo a disposición de la Titular la infración de 3 llamadas recibidas en su línea telefónica entre junio y julio, dado que ella estaba “…relacionada con un problema legal con la institución de crédito Bancomer…”; su solicitud de protección de derechos habría sido motivada por el entendido de la Responsable en el sentido que la Titular requería el detalle completo de las llamadas recibidas en la línea telefónica, por lo cual aquélla aplica un cobro mensual de $10.40 (al respecto, el pasado 27 de junio publiqué una entrada en cuanto a los costos de la atención de solicitudes ARCO). Sin embargo el caso quedó zanjado con la entrega gratuida de la información solicitada.

En definitiva la conciliación es una vía que debe ser considerada tanto por los Responsables, a fin de evitar mayores inconvenientes y costos, como por los Titulares, para evitar pervertir el mecanismo de protección de derechos como medio para extraer rentas, en tanto sea bajo términos razonables y justos.

 

Hace un mes publiqué una entrada sobre cómo la protección de datos personales incide sobre prácticas como la cobranza extrajudicial que llevan a cabo las instituciones financieras para tratar de recuperar los recursos que se les adeudan, más en un contexto como el de México, en el que es sabido que tanto los deudores buscan eludir su responsabilida mediante toda suerte de artificios como que las áreas o despachos de cobranza llegan a adoptar medidas recalcitrantes para lograr su cometido.

Con posterioridad a la multa impuesta a la clínica de terapia Oceánica el IFAI difundió la sanción impuesta a Tarjetas Banamex, S.A. de C.V. SOFOM ER, por la cantidad de $9’848,140.00, derivada de la denuncia hecha a mediados de junio del 2012 por una persona que recibía llamadas de cobranza “incluso con un lenguaje descortés y altanero” de “personas que se identifican como empleados del Corporativo del Banco Nacional de México, BANAMEX, buscando a un supuesto… con la intención de cobrar alguna deuda”.

Recordemos que el Banco Nacional de México ya enfrenta una sanción del propio IFAI (el expediente no se encuentra disponible actualmente a causa de una medida cautelar del Tribunal Federal de Justicia Fiscal y Administrativa, ya que Banamex está combatiendo tal multa) del orden de $16’155,936.00 por 5 conductas infractoras a la LFPDPPP. También ya le fue impuesta una sanción a Seguros Banamex, S.A. de C.V., de $3’989,120.00 (por tratar datos personales en contra de los Principios que informan a la Ley, así como por recabar o transferir datos personales sin el consentimiento expreso del titular, en los casos en que éste sea exigible).

Pues ahora su SOFOM operadora de tarjetas de crédito se ganó una sanción con los sugientes fundamentos y costos:

  • Dar tratamiento a los datos personales en contravención a los principios establecidos en la Ley: $1’495,920.00;
  • Mantener datos personales inexactos cuando resulte imputable al Responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de los Titulares: $1’246,600.00
  • Obstruir los actos de verificación de la autoridad: $3’490,480.00 (recuerden que tan sólo esta conducta le costó $2.5MDP a Océanica);
  • Continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del mismo por el Instituto o los Titulares: $3’615,140.00

Pregunta obligada: ¿multará así el IFAI a cualquiera? Respuesta evidente: no. De acuerdo con el artículo 65, fracción IV, el Instituto debe fundar y motivar sus resoluciones considerando, entre otros aspectos, la capacidad económica del infractor. De la lectura de la resolución en este caso se desprende que el Instituto consultó en Internet los estados financieros básicos consolidados de la infractora al primer trimestre de 2013, y encontraron un capital contable reportado del orden de $13,700’000,000.00, y tomó la cifra como referente para la multa.

También resulta interesante que, de acuerdo con el comunicado IFAI/079/13, en el Primer Ciclo de Talleres de Formación de Asesores en Protección de Datos Personales el IFAI habría capacitado a personal de la Asociación de Bancos de México, a pesar de lo cual 3 integrantes del Grupo Financiero Banamex han enfrentado ya sanciones (a Seguros Banamex ya le tocó también), en tanto que Banco Azteca ya logró sortear exitosamente un procedimiento de protección de derechos. O la información no permeó de la ABM a Banamex, o en Banamex mismo “se fueron por la libre”.

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace