archivo

Archivos Mensuales: octubre 2013

Rizándole el Rizo a la Ley Federal de Protección de Datos Personales

26 octubre, 2013
Privacy/Protección de Datos
Deja un comentario

Quienes nos dedicamos a la práctica del derecho en materia de protección de datos personales sabemos, y en algunos casos participamos en, el largo parto de la Ley de la materia, nacida de una amalgama de 6 iniciativas de ley que fueron presentadas en la Cámara de Diputados entre el 2001 y el 2008. Un proceso así de complejo no podía estar exento de ciertas fallas, y muestra de ello es que para hacer operativa la dinámica de ciertos giros se hubieran tenido que incrementar en el artículo 5 del Reglamento 3 excepciones adicionales a las 2 originalmente dispuestas en el artículo 2 de la Ley, lo cual motiva obvias dificultades por temas de legalidad en tanto que podría suponer violaciones a los principios de subordinación jerárquica y reserva de ley, y que haya una infracción prevista en el artículo 63, fracción XIX, que no puede ser ejecutada por carecer de fracción correlativa en el artículo 64 de la Ley citada, que disponga la cuantía de la misma.

Desafortunadamente la pulcritud en la técnica legislativa parece no ser una mayor preocupación, ya que de un lado la autoridad de protección de datos claramente tiene cosas más importantes en qué pensar de cara a la reforma constitucional en la materia, que llevaría a modificar la integración de su órgano de gobierno, y nuestros legisladores parecen no haber considerado que las iniciativas de reforma a la Ley Federal de Protección de Datos Personales en Posesión de Particulares serían el medio propicio para remediar deficiencias como las anteriormente apuntadas.

A la fecha tengo conocimiento de 3 iniciativas de reforma a dicho ordenamiento:

  1. La que reforma los artículos 67 y 68 de la Ley Federal de Protección de Datos Personales en Posesión de Particulares, presentada por la Diputada Tomasa Vives Preciado, del PAN, publicada el número 3242-II de la Gaceta Parlamentaria de dicha Cámara el jueves 14 de abril de 2011;
  2. La del Senador Javier Orozco Gómez, del Grupo Parlamentario del PVEM, publicada en la Gaceta Parlamentaria No. 346 del Senado de la República el 23 de febrero de 2012, mediante la cual se adicionaría un artículo 8 Bis al ordenamiento citado, a fin de regular de manera particular el Tratamiento de los Datos Personales de los menores de edad, y
  3. La que reforma los artículos 3o. y 8o. de la referida Ley, presentada por los diputados del PRI Arely Madrid Tovilla y Manuel Añorve Baños, mediante la cual se pretende fijar mayores requisitos para el Tratamiento de los datos biométricos de las personas, y la protección de los menores de edad en sus datos personales, publicada enla Gaceta Parlamentaria de la Cámara de Diputados número 3757-IX, el jueves 25 de abril de 2013 .

Las últimas dos llaman la atención por el manejo que pretenden se dé a los datos personales de los menores de edad. Claramente en un pais como México, en que el robo de infantes y trata de menores de edad va a la alza, y en el que desafortunadamente ellos, los más débiles, son más propensos a actos de violencia podría considerarse que las medidas para exigir mayores formalidades en el Tratamiento de sus Datos Personales coadyuvaría a su protección.

La iniciativa del Senador Orozco Gómez resulta más o menos conforme al derecho familiar; lo mismo que un menor de 18 pero mayor de 14 puede ser escuchado para definir su tutela, dicha iniciativa considera que los menores en ese grupo de edad podrían manifestar su consentimiento para el Tratamiento de sus Datos Personales.

Sin embargo, la iniciativa de dicho Senador pretende, al igual que la de la Diputada Arely Madrid y del Diputado Manuel Añorve, que en todos los casos en que se dé Tratamiento a Datos Personales de menores de edad se recabe el consentimiento expreso de sus padres o tutores, y que el Responsable verifique la validez de dicho consentimiento. Si esas iniciativas de reforma fueran aprobadas y promulgadas, la prestación de servicios a menores de edad se complicaría exponencialmente.

Desde luego en los centros de enseñanza cuentan con recursos para definir los aspectos relevantes del cuidado del menor con respecto a sus padres en casos en los que hay controversias del orden familiar; comúnmente se hacen asesorar por un especialista en derecho familiar ante casos de divorcio de los padres de los alumnos menores de edad y pueden discernir aspectos del cumplimiento de requerimientos judiciales por información o medidas cautelares en esos casos.

Pero bajo otro tipo de circunstancias el cumplimiento de lo anterior podría ser más complicado. ¿Recuerdan las modificaciones de septiembre del 2012 al Reglamento de la Ley de Migración, conforme a las cuales las empresas prestadoras de servicios de transporte internacional de pasajeros vía marítima o aérea, tendrán la obligación de verificar que aquellos niñas, niños o adolescentes o personas bajo tutela jurídica en términos de la legislación civil que vayan acompañados por un tercero mayor de edad o viajen solos, deberán presenten documento otorgado ante fedatario público o por autoridad que tenga facultad para ello en el que conste la autorización para que el menor de edad pueda salir del territorio nacional otorgada por ambos padres o por quienes ejerzan sobre ellos la patria potestad o la tutela?

Bueno, pues si cualquiera de las dos últimas iniciativas citadas es aprobada, vayan agendando cita con su Notario de confianza para que dé fe del consentimiento de su cónyuge y suyo para que los Datos Personales de su(s) menor(es) hijo(s) sean Tratados por lugares como el cine, parque de diversiones (Six Flags, La Feria, Kidzania), etc., pues en esos lugares por lo menos habrá video-vigilancia que capte las imágenes de los menores, mismas que consisten en Datos Personales conforme a la Ley y su Reglamento. ¿Inscribirá a su nena en clases de ballet, y a su niño en karate? Las escuelas o clubes respectivos tambíen requerirán de un documento así para poder llevar a cabo el Tratamiento propio de la inscripción y prestarle el servicio.

Esta última iniciativa también contiene una propuesta de modificación a la fracción VI del artículo 3 de la Ley, conforme a la cual los datos biométricos deberían ser considerados como sensibles, de manera que se requeriría del consentimiento expreso del Titular para darles Tratamiento, al menos en aquellos casos en que no se establezca una relación jurídica con su Titular.

¿Aportaría algo al respecto la modificación? Probablemente poco; el Tratamiento de Datos Personales biométricos generalmente se da en contextos en los cuales hay una relación jurídica entre el Titular y el Responsable, como sería el caso de lectura de huellas digitales para registrar entrada a los locales del centro de trabajo, o reconocimiento de voz en servicios de banca electrónica. ¿Daría Tratamiento a Datos Personales biométricos, por ejemplo, un restaurante, por las huellas digitales que dejaría en los cubiertos y/o vasos? ¿O a Datos Personales Sensibles relativos a código genético por la saliva que queda en dichos utensilios? ¿Estéticas y salones de belleza darían Tratamiento a Datos Personales de esa naturaleza por el cabello y uñas que cortan todos los días? Probablemente no, dado que no los almacenan ni procesan; pero la pregunta retórica ilustra el punto del exceso.

Incluso en el primer borrador de las Recomendaciones de Seguridad que el IFAI presentó ante la COFEMER se mencionaba a los datos de autenticación biométrica como de riesgo inherente medio por si mismos, en tanto que los Datos Personales Sensibles fueron incluidos en la clasificación de riesgo inherente alto, con la aclaración de que «las categorías antes descritas son sólo una orientación, ya que el Pleno del IFAI no ha emitido criterios institucionales al respecto, además de que ciertos datos personales que en principio no se consideran sensibles, podrían llegar a serlo dependiendo del contexto en que se trate la información.»

Probablemente sería más prudente permitir que la autoridad de protección de datos personales determinara si los datos biométricos deberían o no ser considerados como Sensibles, mediante sus resoluciones o criterios, que hacerlo a través de la propia ley.

La presente nota lleva un agradecimiento a la Lic. Silvia Rosales, seguidora de este blog quien amablemente llamó mi atención hacia la iniciativa de los Dips. Madrid y Añorve.

Branding y Dominios de IFETEL: #fail

20 octubre, 2013
IP/Propiedad Intelectual
Deja un comentario

Uno de los desarrollos legislativos más trascendentales para quienes nos dedicamos al ejercicio de la profesión en la intersección del Derecho y la tecnología sin duda fueron las reformas constitucionales en materia de telecomunicaciones del 11 de junio de este año, mediante las cuales fue creado el Instituto Federal de Telecomunicaciones («IFETEL»), como un organismo descentralizado y encargado del desarrollo eficiente de la radiodifusión y las telecomunicaciones en nuestro país. Muchos comentarios fueron hechos sobre la designación de los Comisionados integrantes de su órgano de gobierno, mismo que fue integrado el 10 de septiembre del presente año.

Sin embargo, parece que se le dio poca o ninguna atención a los aspectos de comunicación del IFETEL con el público. Por principio, el Instituto Federal Electoral tiene desde hace años una línea de atención al público denominada, precisamente, IFETEL (01 800 IFE 2000 (01 800 433 2000), y no parece haber habido mayor difusión sobre algún cambio en la denominación de ese servicio.

Además de lo anterior, parece que tampoco se prestó mucha atención al desarrollo de una página de Internet del nuevo y flamante IFETEL, pues no hay tal, aunque el dominio http://www.ifetel.gob.mx ya está registrado con Akky.mx, quien indica como Registrante de éste a la Comisión Federal de Telecomunicaciones a partir de agosto de 2013; es decir 2 meses después de las citadas reformas constitucionales, aunque uno antes de la promulgación del Estatuto Orgánico de dicho Instituto.

Algo que parece una omisión importante es que dicha Comisión no haya procurado obtener registros defensivos para la denominación del IFETEL. Conforme a las Políticas para el registro de dominios de Akky (o NIC México), los dominios registrados bajo el ccTLD .mx están sujetos a clasificaciones que, en principio, se fundamentan en el RFC 1591 (originalmente escrito por el «late, great» John Postel), y conforme al mismo los dominios .edu.mx y .gob.mx están reservados para entidades que acrediten ser de naturaleza educativa o de gobierno. Para ello en algún tiempo se requirió que los solicitantes del registro de esos dominios presentaran una copia de sus solicitudes impresa en papel membretado de la instutición respectiva.

Con  base en dicha clasificación, la autoridad de telecomunicaciones podría haber considerado que la existencia de una clasificación «.gob» debería bastar para que el publico no pensara encontrar a la autoridad de telecomunicaciones en una dirección .com.mx, .mx ni .org.mx. Podría considerarse un razonamiento válido, al menos para quienes estamos acostumbrados a que por regla general los dominios de instituciones gubernamentales sean .gob.mx, no obstante que otros como el del IFAI y del IFE o del Banco de México se encuentren en clasificación .org.mx. Una pregunta importante a considerar es qué tan claro o evidente pudiera ser lo anterior para residentes en el extranjero que se encuentren con que la denominación del IFETEL directamente bajo .mx está en parking… y el lucro que tales domainers podrían estar logran a través de la denominación de una institución del gobierno mexicano a través del «pay-per-click» de la publicidad que obtienen mediante los esquemas de parking que siguen.

Esto último es un hecho; los «domainers» (eufemísticamente «domain name investors») no se hicieron esperar, y http://www.ifetel.com.mx, aparece registrado por una persona que supuestamente viviría en Panamá, encontrándose dicho dominio en venta y «parking» con SEDO.COM; http://www.ifetel.mx aparece como registrado por un residente de Monterrey, N.L., y http://www.ifetel.org.mx está registrado por un residente de Ecatepec, EdoMex.

¿Qué vías de acción podria tener el IFETEL para resolver tal situación? La conocida LDRP del NIC México? Las Políticas de Resolución de Controversias en Materia de Nombres de Dominio para .MX prevé como primer requisito de procedibilidad que el dominio presuntamente infractor sea «…idéntico o semejante en grado de confusión con respecto a una marca de productos o de servicios registrada, aviso comercial registrado, denominación de origen o reserva de derechos sobre la que el promovente tiene derechos». Si bien el artículo 90, fracción, fracción VII, de la Ley de la Propiedad Industrial dispone que no serán registrables como marca «…las denominaciones, siglas, símbolos o emblemas de organizaciones internacionales, gubernamentales, no gubernamentales o de cualquier otra organización reconocida oficialmente, así como la designación verbal de los mismos». Sin embargo, parecería haber cierta distancia entre ello y que el IFETEL tuviera una marca registrada para su denominación.

¿Sería buena práctica que las instituciones públicas mexicanas registraran sus marcas ante el IMPI? Pensaría que si, no sólo por casos como éste, sino porque en otros países, como los EE.UU.A., las instituciones gubernamentales si registran y procuran sus marcas de servicios como cualquier ciudadano debería hacerlo. Ante tal omisión, la opción más clara del IFETEL probablemente sería optar por una Disputa por Titularidad de los nombres de dominio que considerase contravinieran los derechos que pudiera tener sobre su denominación.

En todo caso, cuando menos sería importante que dicho Instituto subiera a Internet a la brevedad posible y a través del dominio con el que cuenta una página que despejara las dudas del público sobre la existencia de una página oficial del IFETEL, procurando restarle con ello credibilidad a los dominios que fueron registrados con su denominación, pero que no guardan relación alguna con él.

Ahora sí, en COFEMER el proyecto de Recomendaciones de Seguridad del IFAI

3 octubre, 2013
Privacy/Protección de Datos
Deja un comentario

El 26 de agosto publiqué una nota sobre el primer proyecto que el IFAI presentó a la COFEMER de las Recomendaciones en materia de Medidas de Seguridad, previstas en el artículo 58 del Reglamento de la Ley, cuya adopción podrá ser tomada en consideración por el IFAI para determinar la atenuación de la sanción que pudieran corresponder por las infracciones a la LFPDPPP que llegaran a ser determinadas por ese Instituto. Sin embargo, el propio IFAI solicitó la baja del expediente al día siguiente, y transcurrió un mes para que presentara la que sería su versión definitiva.

Se trata de un instrumento importante, puesto que conforme al Artículo Cuarto Transitorio del citado Reglamento, el cumplimiento de lo dispuesto en su Capítulo III en materia de medidas de seguridad es obligatorio a partir del 20 de junio de este año, y su omisión podría dar pie, cuando menos, a la sanción genérica de la fracción XIX del artículo 63 de la Ley, consistente en multa de 200 a 320,000 días de salario mínimo general vigente en el D.F.

Ahora tengo oportunidad de referirles que a partir del 26 de septiembre el expediente de la nueva versión de esas recomendaciones, mismas que son esenciales para preparar el documento a que se refiere el último párrafo del artículo 61 del Reglamento. Es un instrumento de gran importancia para la práctica de la materia, pues por muchas formalidades que se cumplan en cuanto a publicación de Avisos de Privacidad, documentación de relaciones con Encargados o de Transferencias a Terceros, la protección de Datos Personales no puede ser efectiva si no se cuenta con las medidas de seguridad física, administrativas y técnicas suficientes para el resguardo de los activos integrantes del Sistema de Gestión de Protección de Datos Personals que todo Responsable debe implementar. Además es, o debería ser, de gran interés para quienes somos abogados pero no expertos en mitigación de riesgos o seguridad informática.

Las diferencias entre el primer proyecto y el actualmente difundido son considerables, y ello se hace patente tan sólo por el número de páginas de que consta cada documento; éste más reciente es 1/4 del anterior, y eso incluyendo una cuartilla dedicada al borrador de la publicación en el Diario Oficial de la Federación y otra de portada. Es decir, hablamos de 13 páginas de contenido del actual contra 66 del anterior.

Si bien la versión que prevalecerá una vez sorteado el proceso de consulta pública en la mencionada Comisión será el publicado el 26 de septiembre, recomiendo ampliamente la lectura y comprensión del proyecto más rico y amplio del 15 de agosto, pues las tablas y matrices con que cuenta permiten entender con gran claridad los aspectos técnicos de una materia que apenas va despegando en México. Y esa es de las cosas que más me gustan de esta práctica: la oportunidad de salirme de los temas estrictamente juríicos para involucrarme con el trabajo de otros especialistas.

Sería interesante conocer las razones por las que el IFAI sustituyó un proyecto por otro. Mi personal apreciación es que el primero era demasiado extenso y complejo para que el grueso de los Responsables pudiera entenderlo y aplicarlo; éste nuevo es exponencialmente más breve y simple, lo cual facilita su comprensión y aplicación incluso por los Responsables menos sofisticados.

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

Xavier Ribas

Derecho de las TIC y Compliance

Marcus Kazmierczak

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace

Cedric's Privacy Blog

SoshiTech - Soshitech.com

Technology News, Startup Information & Social Networking