archivo

Archivos Mensuales: noviembre 2013

Certificación NYCE ROS PDPMe complace participarles que Normalización y Certificación Electrónica, S.C., a través de su área de capacitación, extendió al suscrito la constancia ET-PDP PROFESIONAL CERTIFICADO EN PROTECCIÓN DE DATOS PERSONALES, EN SU NIVEL SENIOR. Ésta es la primera certificación de su clase en México respecto del cumplimiento normativo de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

El trabajo para el estudio de la materia, haber tomado el curso, resuelto el caso práctico y sustentado el examen para obtener dicha certificación me permite dar a mis clientes mayor certeza y confianza respecto del trabajo que un servidor realiza para Uds., así como de la inversión que hacen en mis servicios.

Gracias a todos por su confianza.

SONY DSC

El día de ayer fue publicado en el Diario Oficial de la Federación el Acuerdo por el cual el IFAI estableció un sistema electrónico para la presentación de solicitudes de protección de derechos, denuncias por presuntos incumplimientos a la LFPDPPP, así como para sustanciar los procedimientos previstos en dicho ordenamiento, a saber de protección de derechos, verificación e imposición de sanciones, valiéndose para ello del uso de la Firma Electrónica Avanzada (FIEL).

A ese último respecto es convieniente recordar que si bien en un principio y de acuerdo con el Capítulo II del Título I del Código Fiscal de la Federación los Certificados de Firma Electrónica emitidos por el Servicio de Administración Tributaria sólo eran válidos para su uso en promociones hechas ante la autoridad exactora, a pesar de que la figura había sido regulada también en el Capítulo I del Título II del Código de Comercio, y posteriormente su uso fue ampliado a las funciones propias de la Secretaría de la Función Pública, la utilización de ese medio de autenticación fue ampliada exponencialmente por virtud de la Ley de Firma Electrónica Avanzada promulgada el 11 de enero del 2012.

La medida será sin duda un medio fundamental para expandir la capacidad de actuación del IFAI, misma que era restringida por el hecho de no tener delegaciones regionales en el interior de la República, lo que motivaba la necesidad de recurrir a su Centro de Atención a la Sociedad para la presentación de solicitudes de protección de derechos, denuncias y sustanciación de procedimientos.

Con la implementación de este Sistema Electrónico, y sumado a su Generador de Avisos de Privacidad, el IFAI ha dado un paso más para ponerse a la vanguardia entre las Agencias de Protección de Datos del Mundo, ejemplo de las cuales son la Canadiense y Británica, cuyas páginas Web contienen además materiales y medios para que los sujetos obligados al cumplimiento en la materia puedan capacitarse y desarrollar medios de cumplimiento propios.

En alcance a las 2 entradas inmediatas anteriores en este blog corresponde actualizar que en palabras del Srio. de Protección de Datos del IFAI, el Dr. Alfonso Oñate Laborde, citado por Reforma, “La responsabilidad pudiera recaer en diversas personas, pero pensamos que en un primer momento puede ser en el IFE porque todo apunta a que sea el padrón electoral la base de datos madre, sin embargo, es preciso que tengamos en mente que el padrón electoral, por disposiciones de la propia regulación electoral, se pone a disposición de los partidos políticos“.

Lo anterior reforzaría el punto hecho por un servidor en la entrada intitulada ¿Y la Protección de Datos, apá?, (jugando con el meme del comercial de la Chevrolet Cheyenne): las fallas de otros no justifican las propias, de manera que el sector privado debe cumplir con la Ley Federal de Protección de Datos Personales no obstante las filtraciones que pudieran provenir del sector público. Más aun, la debida implementación de medidas de trazabilidad que requiere la fracción X del artículo 48 de su Reglamento para la observancia del Principio de Responsabilidad permitirían deslindar responsabilidades y esclarecer casos como este.

Además el caso podría ser una ocasión propicia para que se revise la cantidad de datos personales contenida en esa identificación que se ha hecho indispensable en cualquier trámite en México. Ya antes se ha postulado la eliminación del dato del domicilio indicado en esas credenciales, pero posteriormente se abrió la posibilidad a que se indicara en ellas, a petición del ciudadano, su tipo sanguineo (útil ante una emergencia) y si es o no donador de órganos.

¿En cuántas recepciones de edificios o ventanillas bancarias se pueden ver exhibidas cotidianamente credenciales de elector de personas que las han dejado olvidadas, quedando sus datos personales expuestos?

 

 

En alcance a la nota inmediata anterior, debe mencionarse que el IFAI no sólo está actuandocomo autoridad de protección de datos personales a petición de parte, sancionando a los Responsables infractores de la Ley Federal de Protección de Datos en Posesión de los Particulares y su Reglamento, sino que también lo ha hecho y hace de oficio, confor.

Desde el caso reportado en el mes de junio por el diario Reforma (ver nota del 4 de junio del 2013) dicho Instituto ha ejercido de oficio las facultades que le confieren las fracciones I, VI y VII del artículo 39 de dicho ordenamiento, así como el 39 del mismo, y en el que figuró en primera plana de dicho rotativo el día de hoy ya ha iniciado un expediente de verificación y formulado una denuncia ante la Procuraduría General de la República, lo cual también fue dado a conocer al público mediante un comunicado en su página de Internet. Ahora bien, no debería dejar de considerarse la actuación del propio Instituto también podría llevarse a cabo con fundamento en artículo 37, fracción V, de la Ley Federal para la Transparencia y Acceso a la Información Pública Gubernamental, si la información presuntamente difundida de manera ilegal por el sitio buscardatos.com hubiera provenido de instituciones del sector público, en cuyo caso además debería tener intervención la Secretaría de la Función Pública.

El 18 de julio de este año en Capitanes de Reforma se escribió sobre una llamada que el autor de la columna habría recibido de un ejecutivo del call center de una compañía telefónica para proponerle migrar su línea a dicha compañía de telefonía móvil, ante lo cual dicho autor cuestionó a su interlocutor sobre la fuente de sus datos de contacto, y habría recibido como respuesta que le habrían sido proporcionados a dicha empresa por la COFETEL (en aquél entonces).

Además del cuestionamiento obvio sobre la forma en que una entidad gubernamental podría haber transferido a un particular datos que para ella, conforme a la Ley Federal para la Transparencia y Acceso a la Información Pública Gubernamental, tienen el carácter de confidencial habría que considerar que la base de datos de usuarios de telefonía móvil que si existió, el desafortunado y lamentable RENAUT, nunca estuvo bajo el control de la COFETEL, sino de la Secretaría de Gobernación, y a la postre fue destruido en 2012, hecho que certificaron la COFETEL y el mismísimo IFAI.

Antes de ello, el 3 de junio de este año, el mismo rotativo daba cuenta de la venta a través del mercado negro de copias del Padrón Electoral, así como de cuenta y tarjetahabientes de dos instituciones de crédito de renombre en México.

Hoy día el propio diario reporta la existencia de un sitio bajo el dominio buscardatos.com, a través del cual se difunden por Internet datos de identificación y contacto de ciudadanos mexicanos, argentinos, paraguayos. En el caso de ciudadanos mexicanos, los datos disponibles son nombre(s), fecha de nacimiento, edad, domicilio completo, clave de elector, CURP, RFC y ocupación, todos ellos datos que obran en poder de instituciones de la administración pública federal.

La pregunta (retórica) que seguramente tendrán los Responsables del cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento sería: ¿qué caso tiene que haga la inversión de implementar el cumplimiento normativo en materia de protección de datos personales cuando a pesar de ello la información de todos nosotros anda circulando libremente por Internet?

La primera y más obvia respuesta sería que el incumplimiento de otros no excusaría el propio y, por lo tanto, no sería algo que alegar ante el IFAI ni ante el Tribunal Federal de Justicia Fiscal y Administrativa. Segunda, que el cumplimiento normativo propio prevendría un riesgo reputacional a la empresa y sus marcas como el que ya experimentaron las empresas referidas en los párrafos primero y tercero de la presente. Tercero, que por el detalle de la información consultable en el sitio citado, podría ser que el material proviniera de fuentes del sector público y no del sector privado.

En suma, acontecimientos como éste no deberían ser pretexto ni obstáculo para que las empresas del sector privado se ocupen en el cumplimiento y observancia de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

La más reciente sanción del IFAI fue para SOLUFINTE, empresa dedicada a intermediar entre personas físicas solicitantes de préstamos de dinero en efectivo e instituciones de crédito, derivado de la denuncia de un Titular dado que dicha Responsable habría omitido contar con el Aviso de Privacidad correspondiente y manifestado al afectado que “…no tenían ninguna prohibición ni restricción alguna para dar información a terceras personas que ellos consideraran pertinentes…”.

Los elementos contenidos en el expediente PS 0010/13 muestran que esa Responsable habría:

  1. Recabado Datos Personales Financieros, relativos a ingreso, si su casa-habitación es propia, rentada o de un familiar, ingreso mensual mancomunado, gastos mensuales, monto y destino del crédito, mensualidad ideal, compromisos financieros e historial crediticio, sin el consentimiento de sus Titulares, sin indicar las finalidades que justifican el Tratamiento de los Datos Personales en mérito y sin haber obtenido su consentimiento expreso, por lo cual la multa fue de $230,621.00.
  2. Obstruido los actos de  verificación del IFAI, lo cual motivó multa por $311,650.00.

Con relación al numeral 1 anterior, el representante de la Responsable manifestó en una visita de verificación que los Datos Personales mencionados son recabados mediante el formato de solicitud de crédito que. de acuerdo con dicho Instituto “no cumple con las características de ser un documento específico e informado para recabar el consentimiento…”, puesto que “…no se establecen la finalidades que justifican el tratamiento de los datos, de tal suerte que dicho documento carece de los elementos que demuestran que se otorgó el consentimiento”, agregando que “…dicha “solicitud de crédito no es el medio idóneo a través del cual los titulares manifiesten de manera expresa su consentimiento para el Tratamiento de sus datos personales financieros y patrimoniales, en virtud de que no contiene un señalamiento en dicho sentido, por lo que del referido formato no se desprende que los titulares otorgaran su consentimiento expreso, para el tratamiento de sus datos”.

A ese respecto, y sin el más mínimo afán de tomar en forma ni medida alguna partido con la Responsable sancionada, creo conveniente mencionar que en la etapa de comentarios públicos al Reglamento de la Ley Federal de Protección de Datos Personales, un servidor envió a COFEMER un memorandum resaltando los aspectos en que las actividades crediticias enfrentaban una carga regulatoria reiterativa en materia de autorización para el uso de los datos personales de los titulares solicitantes de crédito derivado de los requisitos de expresión del consentimiento previstos en la Ley para la Transparencia y Ordenamiento de los Servicios Financieros (la “LTOSF”) y la LFPDPPP y su Reglamento, mismo que si bien fue citado en el Dictamen Total No Final de la COFEMER (página 18, párrafo segundo) parece no haber tenido la atención de los reguladores financieros ni del de de protección de datos personales. Me parece indispensable que las diversas cabezas de sector de la administración pública federal emprendan los trabajos de regulación sectorial a que se refiere el artículo 40 de la LFPDPPP.

El tema es que tanto la referida LTOSF y las correspondientes Reglas de PROFECO y CONDUSEF para la misma requieren que las carátulas de los contratos de crédito incluyan espacios específicos para la manifestación del consentimiento del solicitante respecto de diversos elementos del contrato de crédito respectivo, particularmente del uso de tales datos para fines de mercadotecnia,por lo que se podría haber considerado solventado el elemento del Aviso de Privacidad a que se refiere el artículo 30 del citado Reglamento en tanto que el Tratamiento de los Datos Personales fuera realizado por Entidades obligadas a cumplir con la LTOSF, lo cual no parece haber sido el caso de Solufinte, pues esa Responsable aparentemente sería un intermediario y no un otorgante de crédito.

Por lo que corresponde al numeral 2, aparentemente se habría tratado de localizar a Solufinte en diversos domicilios, sin que el IFAI lo hubiera logrado, actualizándose la infracción prevista en el artículo 63, fracción XIV.

En suma, Solufinte deberá pagar multas por un total de $542,271.00, cantidad que aparece como determinada sin haber tenido la autoridad a la vista información financiera de dicha Responsable.

El día de ayer llevé a cabo una presentación sobre cumplimiento normativo en materia de Prevención e Identificaciónde Operaciones con Recursos de Procedencia Ilícita (“Ley Anti-Lavado”) a un nutrido auditorio de Profesionales Inmobiliarios (realtors), y dado que dicha ley versa esencialmente sobre el tratamiento de datos personales para la prevención de ciertos delitos fue necesario e inevitable hacer precisiones sobre la intersección de ambos ordenamientos.

La primera es que la presentación de los Avisos por la realización de operaciones derivadas de las Actividads Vulnerables previstas en el Artículo 17 de la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI) no implica violación alguna a la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP). Para empezar habría que considerar que conforme a los principios generales del Derecho generalmente el cumplimiento de las obligaciones derivadas de un ordenamiento no podrían, o al menos no deberían, resultar en la violación de otro, y mucho menos en responsabilidad por ello.

Pero para claridad absoluta, el artículo 22 de la LFPIORPI dispone expresamente que: “la presentación …de los Avisos, información y documentación a que se refiere esta Ley, por parte de quienes realicen las Actividades Vulnerables no implicará para éstos, transgresión alguna a las obligaciones de confidencialidad o secreto legal, profesional, fiscal, bancario, fiduciario o cualquier otro que prevean las leyes, ni podrá ser objeto de cláusula de confidencialidad en convenio, contrato o acto jurídico alguno”.

A lo anterior habría que agregar que el Artículo 10, fracción I, de la LFPDPPP prevé como excepción al Principio del Consentimiento que el Tratamiento de Datos Personales que el Responsable pretenda realizar esté previsto en una Ley, como sería el caso de la presentación de Avisos conforme a la LFPIORPI. Adicionalmente el artículo 37, fracciones I y V, de la citada Ley exime de cumplir con el referido Principio en el caso de aquéllas Transferencias de Datos Personales que estén previstas en una Ley o Tratado, o que sean necesarias o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia.

Partiendo de la base que conforme a sus Artículos 1 y 2 la LFPIORPI es de interés público, y tiene por objeto establecer medidas y procedimientos para prevenir y detectar actos u operaciones que involucren recursos de procedencia ilícita… para investigar y perseguir los delitos de tales operaciones, los relacionados con estos últimos, las estructuras financieras de las organizaciones delictivas y evitar el uso de los recursos para su financiamiento, sería acertado encuadrar la presentación de los Avisos dispuestos por esta última Ley en las citadas excepciones al mencionado Principio del Consentimiento.

Sin embargo es importante atender también a los Principios de Información y Finalidad igualmente dispuestos en el artículo 6 de la LFPDPPP y 9, fracciones III y V de la LFPDPPP, de acuerdo con los cuales:

  • El Responsable debe dar a conocer al Titular la información relativa a la existencia y características principales del Tratamiento de sus Datos Personales a través del Aviso de Privacidad, de conformidad con lo previsto en la LFPDPPP y su Reglamento (Art. 23), y
  • Los Datos Personales sólo podrán ser tratados para el cumplimiento de la(s) finalidad(es) determinada(s) que con claridad, sin lugar a confusión y de manera objetiva especifiquen en el Aviso de Privacidad para qué objeto serán tratados los datos personales (Art. 40).

Partiendo de las premisas que:

  1. El Principio de Información no admitiría excepciones, y
  2. El Lineamiento 24 del Aviso de Privacidad requiere para cumplir con el Principio de Finalidad que
  • El listado de Finalidades descritas sea completo y no utilice frases inexactas, ambiguas o
    vagas, como “entre otras finalidades”, “otros fines análogos” o “por ejemplo”, y
  • Las Finalidades descritas en el aviso de privacidad sean determinadas; que cuando con claridad, sin lugar a confusión y de manera objetiva se especifica para qué objeto serán tratados los datos
    personales.

De manera que siendo en extremo puristas, el apartado o capítulo de Finalidades del Tratamiento en los Avisos de Privacidad debería explicitar incluso que los Datos Personales de los Clientes o Usuarios de quienes realicen operaciones con personas dedicadas a Actividades Vulnerables serían usados para el cumplimiento de las obligaciones de tales Responsables conforme a la LFPIORPI.

Sin embargo, el Artículo 31 de las Reglas de Carácter General a que se refiere la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita prohíbe a quienes realicen Actividades Vulnerables alertar o dar aviso a sus Clientes o Usuarios respecto de cualquier referencia que sobre éstos se haga en los Avisos, o a algún tercero, así como a dichas personas respecto de cualquiera de los requerimientos de información, documentación, datos o imágenes previstos en la Ley y en el Reglamento.

Asi nos encontramos con una contradicción entre la LFPDPPP, que en principio requeriría la referencia al cumplimiento de la LFPIORPI entre las Finalidades que deberían ser determinadas en los Avisos de Privacidad, y las Reglas de Carácter General derivadas de ésta última, que prohíben hacerlo. Siendo la primera referida una ley de carácter general anterior en tiempo, en tanto que la segunda es particular posterior en tiempo, evidentemente la solución debe ser cumplir con ésta última, sin que ello pudiera suponer violación a aquélla.

Pero ese no es el único punto de desencuentro entre ambos ordenamientos; una pregunta más a considerar sería si es que el cumplimiento y aplicación de la LFPIORPI y su Reglamento y Reglas haría nugativa las excepciones de los artículos 36 y 37, fracción III, de la LFPDPPP, que permite llevar a cabo la Transferencia de Datos Personales entre sociedades controladoras, subsidiarias o afiliadas bajo el control común del Responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del Responsable que opere bajo los mismos procesos y políticas internas sin el consentimiento del Titular de los Datos Tratados.

Lo anterior debido a que el Artículo 14, fracción I, de las citadas Reglas de la LFPIORPI prevén que para aquéllas personas morales que realicen Actividades Vulnerables y formen parte de Grupos Empresariales, podrán integrar y conservar el expediente de identificación del Cliente o Usuario mediante cualquiera de las otras personas morales que formen parte del mismo Grupo Empresarial, aun cuando no realicen la misma Actividad Vulnerable, siempre que cuenten con “el consentimiento expreso del Cliente o Usuario para que dicha persona moral proporcione (Transfiera) los datos y documentos relativos a su identificación a cualquiera de las personas morales que conforman el Grupo Empresarial con la que pretenda realizar una Actividad Vulnerable.

En tal virtud, siguiendo el razonamiento aplicado para resolver la duda sobre la necesidad/obligación de incluir expresamente la presentación de Avisos respecto de operaciones celebradas en la realización de Actividades Vulnerables, quienes las realicen y pertenezcan a un mismo Grupo Empresarial no gozarían de la excepción para la Transferencia que implicaría el compartir el expediente único de sus clientes.

Algo más para considerar de cara a una eventual reforma de la LFPDPPP.

 

 

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site