archivo

Archivos Mensuales: julio 2014

Riesgos por el uso de Memorias USB

31 julio, 2014
Privacy/Protección de Datos
Deja un comentario

flash-drive-148778_640 - CopyLa edición online de WIRED publicó una nota sobre la vulnerabilidad inherente a las memorias USB, debido a la posibilidad de que códigos maliciosos capaces de tomar control de una PC, redirigir su tráfico de Internet (re: botnets) o alterar los archivos instalados desde el dispositivo, sean instalados en el firmware que controla el funcionamiento de dichos dispositivos de almacenamiento, de manera tal que podría permanecer en él aún después de que pareciera haberse elminado su contenido, riesgo que a decir de la pubicación no podría ser evitado a menos que se prohibiera el uso compartido de USBs, o sellaran los puertos USB de las terminales de cómputo.

Tal hallazgo y conclusiones son producto de la investigación de Karsten Nohl y Jakob Lell en SR Labs, quienes concluyen que por tratarse de una vulnerabilidad producto de la propia manera en que los USB operan, no hay forma de solventarla, por lo que «…habría que considerar un USB como infectado y desecharlo tan pronto como tocara una computadora no-confiable». Esto hace eco de las palabras (si la memoria no me falla) de Antoni Bosch Pujol(Director del MASGDTIC), quien durante su participación en el «Foro Internacional sobre Seguridad de Datos Personales, las Recomendaciones del IFAI«, llevado a cabo el pasado 5 de diciembre del 2013 y comentado en este blog, calificó a los drives USB (palabras más o menos) como «armas de destrucción masiva para la seguridad de la información».

Considerando esto con relación a la obligación de proveer a la serguridad de los Datos Personales a los que den tratamiento los Responsables obligados al cumplimiento de la LFPDPPP, a través de medidas de seguridad física, administrativa y técnica de nivel no menor al que ocupen para la seguridad de su propia información, ¿querría decir que habría que proscribir por completo el uso de memorias USB, y cancelar los puertos de las computadoras en toda la organización, como hacen bancos y hospitales, para evitar el riesgo de una transgresión a las normas de protección de datos personales?

Mi idea al respecto es que no necesariamente; instituciones como las referidas lo hacen por motivos de seguridad de la información que manejan, pero los puertos USB son necesarios para la conectividad de muchos equipos, desde un mouse a un proyector o impresoras. Claro está que hay dispositivos que permiten lograr la misma conectividad de manera inalámbrica, pero también habría que considerar la utilidad/necesidad del traslado de información que se ocupa en el trabajo diario. Esta contraposición entre confidencialidad y disponibilidad de la información es una dicotomía difícil, cuando no imposible, de conciliar.

Las Recomendaciones en Materia de Seguridad de Datos Personales primeramente publicadas para comentarios públicos por la Comisión Federal de Mejora Regulatoria en agosto del 2013 contienen un concepto que no figura en las que fueron publicadas en el Diario Oficial de la Federación el 30 de octubre del año pasado, y que es esencial para la toma de decisiones a este respecto: el «RIESGO RESIDUAL«, definido como «el riesgo remanente después de tratar el riesgo», entendido éste último como la «combinación de la probabilidad de un evento y su consecuencia desfavorable», y que referido a la seguridad alude al «potencial de que cierta amenaza pueda explotar las vulnerabilidades de un activo o grupo de activos en perjuicio de la organización».

Tratamiento del RiesgoEl diagrama de flujo del primer documento citado que aborda el Tratamiento del Riesgo (vid. supra) ilustra la ida que se condensa en los párrafos siguientes:

«Retener el Riesgo: Se puede tomar la decisión de retener el riesgo sin considerar medidas adicionales si a través de la evaluación del riesgo se determina que no hay necesidad inmediata de implementar controles adicionales o que estos controles se pueden implementar posteriormente».

«Aceptación del Riesgo Residual: Al llegar al punto de aceptar el riesgo se deben asumir y registrar formalmente las decisiones sobre el plan de tratamiento del riesgo, así como el riesgo residual, el plan de tratamiento del riesgo debe describir cómo se tratarán los riesgos valorados para alcanzar los niveles de aceptación. Es importante que la Alta Dirección apruebe y revise tanto los planes de tratamiento, como el riesgo residual. Del mismo modo, deberá registrarse cualquier condición asociada con tal aprobación».

«Aceptar el riesgo implica que el riesgo residual no entre en conflicto con los criterios previamente establecidos en los objetivos y alcances de la organización, por ejemplo, el riesgo residual no puede considerar la aceptación de un riesgo relacionado al cumplimiento de la LFPDPPP si ésta forma parte de las metas planteadas en el SGSDP».

En conclusión, el permiso o prohibición para la utilización de USBs es una decisión muy particular y siempre propia de cada Responsable, resulltado de  debe ser tomada con base «…en el resultado de la valoración del riesgo, los costos estimados, y los beneficios esperados de implementar estas opciones. Si se obtiene una considerable reducción del riesgo con un costo relativamente bajo, esto es una combinación a considerar para implementar los controles. En general, las consecuencias adversas de los riesgos deben reducirse lo más razonablemente posible con independencia de cualquier criterio absoluto, por ejemplo, se deben considerar los riesgos que no ocurren con frecuencia pero que serían severos, en cuyo caso también se deben implementar controles».

Desafortunadamente, no hay sistema alguno que sea absolutamente invulnerable, y el uso de sistemas informáticos, aunque necesario, requiere de inversiones que pueden ser más o menos considerables. Es decir, nos encontramos ante un supuesto de aquello que en Deontología se resuelve optando por el mal menor. Puede ser que haya niveles de riesgo que sean aceptables o tolerables; lo que jamás puede serlo es la negligencia, más aun en el tratamiento de datos personales. En tal sentido, podría considerarse establecer en la Política de Privacidad y Relación de Medidas de Seguridad que el uso de memorias USB quedará limitado a las que hubieran sido adquiridas por el Responsable para uso de su personal y/o prestadores de servicios, excluyendo las propias de estos (es decir, «no» al bring your own device), así como una revisión periódica de las mismos.

Para concluir, debe mencionarse que conforme a la fracción IX del artículo 61 del Reglamento de la LFPDPPP, es obligación de los Responsables considerar entre las acciones para establecer y mantener la seguridad de los datos personales, el realizar un registro de los medios de almacenamiento de los datos personales a los que den tratamiento, registro que debe comprender incluso aquellas memorias USB que el Responsable adquiriese en el curso de sus operaciones.

 

#LeyTelecomm: contra la vigilancia de un Estado Policial

28 julio, 2014
Privacy/Protección de Datos, Technology Regulation
Deja un comentario

bigbro - CopyComo corolario a la entrada del 4 de julio de este año, en la que fueron referidas disposiciones de la Ley Federal de Telecomunicaciones y Radiodifusión, publicada en el Diario Oficial de la Federación el pasado 14 del mismo mes, vale la pena referir que el día 9 también de julio la Revista Nexos publicó en el Blog de su Redacción una nota en similar sentido.

La publicación también criticó que, contra la tendencia al respecto en la Unión Europea y los EE.UU.A., así como de la orientación de la actividad legislativa en materia de privacidad durante la administración pasada en México, dotan a las «instancias (sic; debería decir «autoridades») de seguridad y procuración de justicia» con facultades para requerir a los concesionarios y/o autorizados conforme al citado estatuto información para la localización en tiempo real de equipos de comunicación móvil y metadatos de las comunicaciones de sus usuarios.

El Economista publicó un día antes de la promulgación de dicho ordenamiento una nota refiriendo que la Conferencia Mexicana para el Acceso a la Información Pública, integrada por los órganos garantes de acceso a la información y protección de datos del país como el IFAI, InfoDF, Transparencia, Acceso a la Información Pública y Protección de Datos Personales de Oaxaca, etc., preparan el estudio para iniciar una controversia constitucional en contra de los Poderes Ejecutivo y Legislativo Federal por considerar que los actos consistentes en la iniciativa, aprobación y promulgación de la «#LeyTelecomm» resultan en violaciones constitucionales a los artículos 1, 11, 14 y 16 de la Constitución Política, relativos a derechos humanos, libre tránsito, debido proceso, e intimidad de las personas.

A pesar del lamentable resultado del proceso legislativo en materia de telecomunicaciones a ese respecto, el hecho que un organismo que apenas recientemente obtuvieron la facultad para iniciar una controversia constitucional no sólo considere ejercerla con tal motivo, sino que prepare su estudio es alentador y da un respiro de esperanza sobre el constitucionalismo mexicano, así como sobre el progreso del país en materia de privacidad y protección de datos personales.

 

Nihilism of Ourselves and Others around Us

26 julio, 2014
Technology Regulation
Deja un comentario

flixRecently I caught a couple of flicks that made me think back to a Lawrence Lessig seminarI took at Stanford Law, called «Ideas v Matter«, where we bounced off ideas on how to go about regulating the advances of technology that as early as 10 years ago were already having a significant impact in our lives. That’s more or less what this post is about: rather than opine on matter of black-letter law, I’m just putting forth a few thoughts and questions out there for others to cogitate upon and, ideally share with yours truly.

The first is «Trascendence«, wherein Johnny Depp’s character of Dr. Will Caster uploads his consciousness to a network computer and begins to work the unbelievable through nanotechnology but, as happens in real life (such as with stem-cell research), finds that extremist groups will stymie or attack his endeavours. That’s still in theatres in some places, so I won’t delve into it at length so as to not be a spoiler, but it seems that the reflection to be had towards the end is just how precious free-will and self-determination might be for us as a species over ostensible benefits spawned off of technology.

The second is «her«, and since that’s from last year and already available in home video, as well as for streaming, I’ll drill down on it. Essentially the flick is about a sad-ass divorcé who works as a copyrighter at a sort of Hallmark company that takes care of other people’s sentimental correspondence. One day he gets this operating system that’s actually artificial intelligence, and personalizes the options for it to have a female voice (Scarlett Johanson’s; not a bad choice!), which picks the name Samantha for itself (or «herself»?). So then the OS evolves, since it has the ability to, and so does the interaction between them, until it develops into a relationship. Very weird, even sad and creepy.

Anyhow, as the story unfolds, it presents a number of instances that merit thought and discussion, other than how very not improbable it would be for things to get to that point judging by how involved people are with their gadgets these days. Phubbing is a social issue already, and you need only stroll through a lounge, in an airport or elsewhere, to see heaps of people bowing to the little idols of glass and plastic in their hands.

Some of the issues I wanted to highlight in this entry are the following:

  • Infidelity and/or Adultery. Short messages,e-mail and social networks have presented vexing scenarios for couples, whether married or not; messages exchanged through those platforms have been resorted to in order to prove cheating and adultery in and outside of the courthouses. Would it «count» as infidelity for one or both of the individuals involved in a relationship to develop a bond of sorts with an operating system that they can be in touch with anywhere, any time, unbeknownst to their significant other? Would that constitute adultery for a married couple? Would it constitute infidelity if the operating system, which would have the ability to interact with more than one person or another operating system at the same time became involved in a relationship with another human being or operating system?
  • Surrogacy. There’s this scene where Joaquin Phoenix and Samantha engage in what would seem like phone sex by today’s standards; but in an attempt for their relationship to be more physical or concrete, Samantha enrolls a girl to serve as an interface of sorts for them to engage in intercourse. Surrogacy in human reproduction has posed a significant amount of social, ethical and legal issues, down to motherhood itself. So, if a there were people who lent themselves to perform such roles, would they be dubbed as or considered to be a prostitute?
  • Commitment and/or Marriage. Nowadays the laws that govern the institution of marriage are being rewritten in ways that wouldn’t have been imaginable a decade ago, and that a lot of people do not agree with. With the utmost respect to all couples and activists who have striven for such legal developments, in a scenario as portrayed by the film, could things get to the point where people would push to have the ability to marry their operating systems? I reckon that the prenup would have to be drafted in source code as well as in human-readable code, perhaps the ceremony might be performed by a programmer, but how would such a relationship serve the purposes of a marriage?

In sum, how would society and the law, as an essentially social construct, go about handling these issues in such situations, should they ever arise if (and when) artificial intelligence reached a point where we could interact with technology in such ways and to such extent?

Bits and bytes of food for thought.

#DerechoalOlvido: Sentencia vs #Google del Tribunal de Justicia de las Comunidades Europeas

22 julio, 2014
IP/Propiedad Intelectual, Privacy/Protección de Datos, Technology Regulation
Deja un comentario

URE 08-20URE 08-20(2)Uno de los principios de mi práctica profesional es que decir que algo no es posible no requiere estudio; se puede decir que «no» siendo absolutamente ignorante, pero un abogado competente debe explicar claramente el por qué del «no», y al menos intentar concebir una estructura conforme a la que sí sea posible, salvo que la materia de la consulta sea ilegal.

Para ser competente como abogado de empresas de tecnología, sean o no start-ups, no basta ser capaz en derecho corporativo, «cyberlaw» o protección de datos; un interesante artículo en el número 73 de Stanford Lawyer Magazine contiene (vid. pp. 14-23) entrevistas con los entonces abogados internos de Microsoft, Google, Cisco, eBay, Yahoo!, Qualcomm, Autodesk y Oracle (TODOS egresados de STANFORD LAW SCHOOL), que ilustran la necesidad de ser también capaz en el ámbito de la propiedad intelectual, la competencia económica, incluso derecho fiscal y comercio exterior, como lo hacen los casos de competencia económica que han enfrentado Microsoft y Google, ya sea por la esctructura de su sistema operativo o su negocio de búsquedas y anuncios, respectivamente. Claramente no es posible que un solo abogado maneje todas esas materias en todas las jurisdicciones en las que compañías globales como esa tienen operaciones, pero es importante entenderlas y mantenerse actualizado.

En línea con ese afán de actualización, el martes 8 de julio del presente año el IFAI fue anfitrión de una conferencia dictada por el Dr. Oscar Puccinelli, quien expuso los aspectos relevantes y consideraciones que le merece la sentencia en contra de Google dictada por el Tribunal de Justicia de las Comunidades Europeas en materia del llamado «Derecho al Olvido«; es decir, la facultad reconocida al individuo para ejercer su autodeterminación informativa de forma tal que, dentro de ciertos límites, la información de su pasado no lo persiga indefinidamente, afectándolo en sus relaciones o en el acceso que pudiera o no llegar a tener a ciertas prestaciones.

Antes de la entrada en vigor de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares dicha prerrogativa era reflejada en el artículo de la Ley para Regular las Sociedades de Información Crediticia (conocidas coloquialmente como «burós de crédito»), cuyo artículo 23 prevé  tanto la obligación de dichas Sociedades de conservar los historiales crediticios de personas físicas y morales que les sean proporcionados por sus Usuarios durante al menos 6 años (72 meses), y de eliminar una vez transcurrido ese plazo la información que refleje el incumplimiento de cualquier obligación, lo cual atiende al Principio de Calidad que informa a la LFPDPPP. A dicho respecto conviene destacar que la fracción I, del artículo 2 de la LFPDPPP excluye de su aplicación a las Sociedades de Información Crediticia.

Actualmente la disposición citada tiene su correlativa más general en el artículo en el párrafo tercero del artículo 11 de la LFPDPPP, conforme al cual:

«El responsable de la base de datos estará obligado a eliminar la información relativa al incumplimiento de obligaciones contractuales, una vez que transcurra un plazo de setenta y dos meses, contado a partir de la fecha calendario en que se presente el mencionado incumplimiento.»

Ahora bien, el caso materia de la conferencia del Dr. Puccinelli, que como apuntó él tuvo el efecto contrario al que perseguía el Titular de los Datos Personales en cuestión (pues además de haber sido ampliamente reportado en la prensa, ahora será recordado siempre en análisis académicos y doctrinarios como éste), versó sobre la interpretación de los siguientes artículos de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, del 24 de octubre de 1995, relativa a la protección de las personas físicas respecto del Tratamiento de Datos Personales y libre circulación de estos:

  • 2, incisos b) y d),
  • 4, apartado 1, incisos a) y c);
  • 12, inciso b), y
  • 14, párrafo primero, inciso a).

Lo anterior con relación al litigio entre ambas empresas de Google Inc., Google Spain, S.L. y la Agencia Española de Protección de Datos y el Sr. Mario Costeja González con motivo de la resolución de la AEPD que consideró procedente la reclamación de dicho Titullar contra aquéllas sociedades, ordenándoles retirar los datos del Titular de su índice e imposibilitar el acceso futuro a ellos. El caso se originó porque el Titular presentó una reclamación contra el diario La Vanguardia Ediciones, Google Spain y Google Inc., puesto que al realizar una búsqueda con su nombre aparecían vínculos hacia los ejemplares del 19 de enero (atención cinéfilos, el aviso de la almoneda que originó el caso fue publicado junto a una nota del caso de Ramón Samperio, que inspiró la película «Mar Adentro«)  y 9 de marzo del ’98, en que aparecían anuncios de la subasta de inmuebles propiedad del Titular con motivo de un adeudo con la Seguridad Social española, los cuales exigió a La Vanguardia eliminar o modificar de forma que sus datos no fueran visibles, y a Google eliminarlos u ocultarlos para que dejaran de aparecer en los resultados de búsqueda y de estar ligados a los enlaces de La Vanguardia, puesto que el embargo de mérito había sido resuelto y, por lo tanto, los datos ya no eran relevantes.

La AEPD desestimó la reclamación contra La Vanguardia, por considerar a las publicaciones como justificadas, al haber sido realizadas por orden del Ministerio de Trabajo y Asuntos sociales, para dar publicidad a la subasta. Por el contrario, consideró procedente la reclamación contra las empresas Google, que administran motores de búsqueda sujetos a las normas de protección de datos personales, pues llevan a cabo el Tratamiento de tal información, por lo que son Responsables «…y actúan como intermediarios de la sociedad de la información», por lo que dicha Agencia contaba con facultades para ordenar que se retiraran los Datos y se imposibilitara el acceso a ellos en caso de lesionar los derechos a la protección de datos y dignidad de la persona.

Los aspectos relevantes que resultan del fallo del Tribunal son los siguientes:

  1. Jurisdicción y Aplicación Territorial: Por principio, si es que una oficina de venta de publicidad, nombrada representante y responsable del Tratamiento de archivos y para atender solicitudes de protección de datos, constituye o no un «Establecimiento», para efectos de la Directiva y la Ley nacional, y la interpretación de «recurso a medios situados en el territorio del Estado miembro» respecto del uso de programas robot para localización e indexación e información o el uso de un nombre de dominio de un Estado miembro, dirigiendo sus búsquedas y resultados en el idioma de ese Estado. A pesar de que Google Spain argumentó ser sólo la oficina en un Estado miembro para efectos de venta de publicidad, por lo que no opera el buscador, el Tribunal consideró que esa es una actividad comercial estrechamente vinculada a Google Search, por existir un vínculo indisociable entre la publicidad y las búsquedas. Al realizar tal actividad comercial un Responsable establecido en varios Estados miembros debe garantizar que c/u de sus establecimientos cumpla las obligaciones impuestas por el Derecho nacional aplicable a sus actividades. Fijó 3 criterios para definir si un establecimiento del Responsable lleva a cabo Tratamiento de Datos Personales en un Estado: (i) el proveedor del motor de búsqueda crea en un Estado una oficina o filial para promover  o vender publicidad dirigida a los habitantes de ese Edo., lo cual fue juzgado como cumplido, considerando además que la Directiva no exige que el Tratamiento sea realizado materialmente por el establecimiento, sino en el marco de sus actividades, que están indisolublemente ligadas; (ii) cuando la matris designa a su filial en ese Estado como representante/responsable del Tratamiento de archivo relacionados con quienes contrataron la publicidad, o (iii) cuando la oficina o filial traslada a la matriz fuera de la UE solicitudes y requerimientos de Titulares y autoridades sobre protección de datos.
  2. Obligaciones de los Administradores de Motores de Búsqueda: Si debería interpretarse como «recurso a medios, el almacenamiento termporal de información indexada por buscadores de Internet, si es que tal actividad debiera ser interpretada como Tratamiento de Datos Personales, y en la afirmativa si es que la administradora de las búsquedas sería Responsable del Tratamiento de los Datos Personales encontrados en las páginas que indexa, al igual que si podría la autoridad de control exigirle que retire la información publicada por terceros, sin exigírselo a esos terceros, o si quedaría relevada de responsabilidad si dichos terceros hubieran publicado y mantenido los datos en su página web. Las empresas Google sostuvieron que su actividad no puede ser Tratamiento, porque no discriminan entre Datos Personales y otra información, ni ejercen control sobre ellos. Sin embargo el Titular, 5 gobiernos nacionales y la Comisión Europea sostuvieron lo contrario, puesto que los motores de búsqueda determinan la Finalidad y medios del Tratamiento, lo cual confirmó el Tribunal, puesto que recoger, extraer, registrar y organizar, conservar, comunicar y facilitar el acceso a Datos Personales consituye su Tratamiento. Asimismo consideró al motor de búsqueda como Responsable de tal Tratamiento, puesto que determina los fines y medios del mismo, independientemente de la falta de control que tenga sobre el contenido de las páginas de terceros, por llo que debe garantizar que su actividad cumple con la Directiva 95/46. Las empresas Google sostuvieron que por Proporcionalidad la petición para eliminar los Datos Personales debería dirigirse a la fuente, por ser quien puede analizar la licitud de la publicación y cuenta con medios para evitar el acceso a la información. Sin embargo el Tribunal consideró que el Tratamiento controvertido podría afectar significativamente los derechos fundamentales del titular, por permitir a cualquiera obtener una lista de resultados con información del Titular, en cuya vida privada no se justifica la injerencia del motor de búsqueda por su interés económico, sin perjuicio de lo cual expresó la necesidad de atender a las repercusiones en el interés legítimo de los internautas interesados en la informació y encontrar su justo equilibrio respecto de los derechos del Titular afectado. Determinó que tanto la autoridad de control como judicial pueden ordenar al administrador que elimine de la lista de resultados con el nombre de una persona vínculos a las páginas de terceros que contenga información de esa persona, sin que por ello sean eliminados previa o simultáneamente de la página, dado que la información de un sitio (posiblemente publicada al amparo de alguna excepción legla) puede ser reproducida en otros, cuyos Responsables no siempre estarán sujetos al Derecho de la Unión, lo cual impediría la protección integral de los Titulares, si estos tuvieran que obtener previa o simultáneamente la eliminación de la información que les afecta. Concluyó que el administrador del motor de búsqueda tiene obligación de eliminar de los resultados los vínculos a páginas web publicadas por terceros que es hubieran encontrado por la búsqueda de su nombre y contenga información relativa a él, aunque tal información no sea borrada de las páginas web y su publicación en ella hubiera sido lícita.
  3. Derecho de Cancelación/Oposición con relación al Derecho al Olvido: Si es que la supresión y bloqueo facultan al Titular para dirigirse a los buscadores para impedir la indexación de sus Datos Personales publicada en páginas de terceros. Las empresas Google, 3 gobiernos y la Comisión Europea consideraron que debería responderse negativamente, pues los Titualres no tienen derechos conferidos por el solo caso de considerar que el Tratamiento puede perjudicarles o quieran que sus Datos queden en el olvido, en tanto que el titular, España e Italia sostuvieron que aquél podía oponerse a la indexación de sus datos porque su derecho a la protección de estos y el respeto a su vida privada deberían prevalecer sobre los intereses del Responsable y la libertad de información. El Tribunal estimó que la información debería ser eliminada cuando por las circunstancias hubiera dejado de ser adecuada, pertinente o proporcional a los fines del Tratamiento. Incluso sostuvo que el derecho del Titular prevalece sobre el interés del público en encontrar información de la persona en una búsqueda con su nombre, salvo que el Titular fuera una figura pública, interés que no encontró en este caso por la antigüedad de la información.

En resumen:

  • La actividad del motor de búsqueda debe considerarse como Tratamiento de Datos Personales, y su administrador debe considerarse como Responsable de ese Tratamiento.
  • Se realiza el Tratamiento de Datos Personales en las actividades de un establecimiento del Responsable en territorio de un Estado miembro cuando el administrador crea una sucursal o filial en ese Estado para promover o vender publicidad dirigida a los habitantes de ese Estado miembro.
  • El respeto a los derechos del Titular exige del Responsable eliminar de la lista de resultados que entrega con el nombre de una persona los vínculos a páginas de terceros con información de esa persona cuando los Datos no se borren de manera previa o simultánea de ellas, aunque su publicación hubiera sido lícita.
  • Es preciso analizar si el titular tiene derecho a que su información ya no sea vinculada a la lista de resultados, sin presuponer que la mera inclusión le perjudique, pues sus derechos prevalecen sobre el interés económico del administrador del motor y del del público para acceder a la información, salvo que el Titular sea una figura pública tal que la injerencia en su vida se ameritase por el interés del público.

Por novedoso que parezca el tema, el Dr. Puccinelli expuso que el derecho al olvido ha sido considerado desde 1981, en el Convenio de Estrasburgo; 1990, en la Resolución 45/95 de la ONU, y que en 1992 la Corte Constitucional de Colombia había resuelto, aun sin una ley positiva aplicable, sore la «caducidad del dato financiero negativo» en su sentencia T-414-92, destacando la asimetría en la regulación nacional que fija el plazo de supresión a 6 años en España, 5 en Dinamarca y 3 en Suecia. Posteriormente resumió los puntos de la sentencia expuestos párrafos arriba , y destacó sobre el resultado del caso el que se haya dejado como optativo para la fuente original el conservar o suprimir la información misma, no obstante la obligación a cargo del motor de búsqueda por suprimirla de sus listas de resultados, así como el riesgo que supone para las empresas de tecnología la posiblidad de afrontar sanciones económicas determinadas con base en su ingreso global, no sólo en el país en que se hubiera originado el caso, ante el desacato de una resolución como la que se comenta.

Jonathan Zittrain escribió en su blog sobre El Futuro de Internet algunas opiniones interesantes sobre el caso. Por principio, en adición a la ironía que el Dr. Puccinelli mencionó en su conferencia, plantea la posibilidad de que la omisión del nombre de una persona en los resultados de una búsqueda que debiera incluirlo genere una impresión más negativa que su inclusión. Plantea la posibilidad de un repositorio central, por el cual investigadores y académicos pudieran analizar las causas de la supresión de los datos. Además expone que la sentencia del Tribunal ha tenido como resultado un recurso por el cual los Titulares pueden lograr la supresión de su información a juicio suyo y de Google, sin revisión de una autoridad que pondere la relevancia pública de la persona, excepción planteada por el propio Tribunal, lo cual resulta en una incongruencia, pues lleva al mismo punto que inició la controversia: que personas de derecho privado decidan sobre la procedencia o improcedencia de las solicitudes de supresión, convirtiendo el ejercicio de los derechos fundamentales que se pretende tutelar en un asunto de atención al cliente, y socavando a la autoridad europea. Considera atinado el que Google hubiera notificado a fuentes europeas de la eliminación de enlaces a sus publicaciones, aunque ello hubiera motivado un manejo negativo ante la opinión pública, como se dio a través ciertos encabezados. Finalmente, postula un sistema parecido al registro de copyright en los EE.UU.A., mediante el cual los Titulares interesados deberían proporcionar datos de contacto para ser notificados de cuándo la caducidad de una eliminación estuviera próxima.

Otro aspecto que vale la pena destacar es que el numeral 3 del artículo 28 de la Directiva confiere a la autoridad de control «…poderes efectivos de intervención, como, por ejemplo, el de… ordenar el bloqueo, la supresión o la destrucción de datos, o incluso prohibir provisional o definitivamente un tratamiento…». Ello puesto que el texto citado le otorga a dichas autoridades facultades ejecutivas para realizar actos de molestia y/o privación en contra de los Responsables del Tratamiento de Datos Personales, en tanto que la LFPDPPP es únicamente punitiva, puesto que sólo faculta al IFAI para imponer sanciones administrativas monetarias por la contravención de dicho estatuto y las normas que emanan de él.

Llama la atención el prounuciamiento del Tribunal en cuanto que «…toda vez que dicha presentación de resultados está acompañada, en la misma página, de la presentación de publicidad vinculada a los términos de búsqueda, es obligado declarar que el tratamiento de datos personales controvertido se lleva a cabo en el marco de la actividad publicitaria y comercial del establecimiento del responsable del tratamiento en territorio de un Estado miembro…» por lo que «…no se puede acpetar que el tratamiento de datos personales…se sustraiga a las obligaciones y a las garantías previstas por la Directiva…»

Claramente la motivación de tal pronunciamiento radica en la esencia garantista de la Directiva (vid párrafo 66: «…la Directiva 95/46 tiene por objeto garantizar un nivel elevado de protección de las libertades…de las personas físicas… sobre todo de su vida privada, en relación con el tratamiento de datos personales…») y la legislación nacional que se desprende de ella. Sin embargo, el fondo del mismo remite a casos como los ya mencionados de antaño (Ligue contre le Racisme et l’Antisemitisme c. Yahoo! Inc), más recientemente del propio Google y la supresión de vínculos ordenada por una corte canadiense, así como el de Microsoft, tratando de oponerse a una orden judicial estadounidense para hacer entrega de información en su data center en Irlanda, que ilustran el estira-y-afloja entre gobiernos nacionales y empresas transnacionales en el sector de tecnologías de la información; mientras aquellos buscan por todos los medios posibles encontrar argumentos coherentes para justificar el ejercicio de jurisdicción personal o territorial sobre éstas, dichas empresas ven sus modelos de negocios presionados, incluso amenazados, por múltiples frentes, al menos con incremento de costos o incluso con el riesgo de perder clientela ante competidores menos expuestos a tales acciones.

Por principio, es cierto que en tanto derecho humano reconocido en y tutelado por múltiples instrumentos jurídicos internacionales y nacionales, la protección de datos y facultades que de ella emanan debe ser protegida en la mayor medida posible por los diversos Estados en los que compañías de tal complejidad y sofisticación operan. Por otra parte, es necesario ponerlo en una balanza, y en justa proporción y medida, con los beneficios que la actividad innovativa de dichas empresas reportan a la sociedad en general, e incluso en particular a los individuos cuyos datos personales y privacidad ameritan dicha protección.

En todo caso, nada en tecnología e Internet es un «juego de suma cero»; la pérdida u obstáculo para uno es la ganacia de otro. Mientras que Google ha tenido que invertir en el desarrollo e implementación de medios para cumplir con el fallo del Tribunal, empresas como Hit Search, Reputation.com, etc., dedicadas a la «administración de reputación», comienzan a ver un área de oportunidad para el crecimiento y desarrollo de sus negocios.

Usar Contraseñas Inadecuadas Expondría a Multas del IFAI

10 julio, 2014
IP/Propiedad Intelectual, Technology Regulation
Deja un comentario

ReformaContraseñas

Incorrect PasswordEl martes Reforma publicó una nota sobre lo común que es el uso de contraseñas poco robustas en empresas que, de suyo, son responsables del tratamiento de dado personales. Empresas especializadas en seguridad y protección informática como Symantec y Mattica reportan amplia y frecuentemente al respecto; y si, en efecto es muy común que la gente use «password», su nombre o fecha de nacimiento, o los de una persona cercana a ellos, como contraseña.  El asunto no es de poca importancia, ya que podría exponer a tales responsables a sanciones por el IFAI.

Ello dado que la Ley y su Reglamento consagran 8 principios rectores en sus artículos 6 y 9, respectivamente; uno de ellos es el de Responsabilidad, desarrollado en los artículos 14 y 47 de la Ley y Reglamento, respectivamente, el cual consiste, esencialmente, en que el respnsable lo es ante los titulares de los datos tratados y ante la autoridad por el tratamiento que lleva a cabo, y ello incluye la seguridad de tales datos, que debe ser implementada a través de medidas físicas, administrativas y técnicas tendientes a prevenir o evitar que ocurran las vulneraciones de seguridad previstas en su artículo 63, a saber:

  1. La pérdida o destrucción no autorizada;
  2. El robo, extravío o copia no autorizada;
  3. El uso, acceso o tratamiento no autorizado, o
  4. El daño, la alteración o modificación no autorizada.
Con la intención de orientar a los Responsables en la determinación de las medidas de seguridad que deberían implementar en el Sistema de Gestión de Seguridad de Datos Personales con el que deberían contar de acuerdo con sus Recomendaciones en Materia de Seguridad de Datos Personales, a fin de poder acogerse al beneficio de atenuación de sanciones previsto por el artículo 58 del Reglamento, el IFAI desarrolló una Metodología de Análisis de Riesgo «BAA», que son las siglas para «Beneficio (para el atacante), Accesibilidad (para dicho atacante) y Anonimidad (del atacante)». El asunto de las contraseñas inseguras se relaciona directamente con el tema de Acceso a los Sistemas de Tratamiento de Datos Personales.
Para empezar, las contraseñas se denominan técnicamente «Factores de Autenticación«: mecanismos, tangibles o intangibles, basados en dispositivos, o en características del Usuario o información que sólo éste posea o conozca que se utilizan en las técnicas y procedimientos para verificar su identidad y facultad para reaizar operaciones en tales Sistemas. A este respecto es importante mencionar que en términos de los artículos 89 y 90, fracción II, del Código de Comercio, la combinación de un nombre de usuario y su contraseña constituyen una Firma Electrónica, y como tal su uso produce los mismos efectos jurídicos que la firma autógrafa, generando la presunción de que quien hizo uso de ellos era el respectivo Usuario. Dicho de otro modo, no proteger debidamente el nombre de Usuario y contraseña de acceso a un Sistema expone a dicho Usuario al riesgo de que las acciones realizadas por el tercero le sean atribuidas, y por ello pudiera ser sujeto de responsabilidad laboral, civil o incluso penal.
De acuerdo con la Metodología de Análisis de Riesgo BAA del IFAI, las medidas de seguridad deben ser determinadas considerando, además del Nivel de Riesgo Inherente de los datos personales tratados, y el Riesgo por Tipo de Dato, el Nivel de Anonimidad del Entorno desde el cual se acceda a los Sistemas de Tratamiento del Responsable. Para ello se determinaron 5 clases de Entornos, gradados de menor a mayor anonimidad:
  1. Físico;
  2. Red Interna;
  3. Red Inalámbrica;
  4. Red de Terceros, e
  5. Internet.

De tal manera, si el Responsable únicamente da Tratamiento a los Datos Personales a través de Sistemas en medios Físicos, como expedientes impresos, archiveros, directorios, etc., debería determinar qué Usuarios pueden o deben tener derecho para acceder a ellos, con qué nivel, y conservar un registro de los accesos realizados.

Por otra parte, si el Responsable da Tratamiento a los Datos Personales a través de Sistemas en una Red Interna, debería asignar a los Usuarios un identificador único (nombre de Usuario), y requerirles el uso de contraseñas de mínimo 10 a 12 caracteres, determinadas siguiendo buenas prácticas de seguridad.Si el acceso a los Sistemas de Tratamiento se lleva a cabo por medio de alta anonimidad, como redes inalámbricas o Internet, además se debe identificar a los Usuarios por medio de la dirección MAC o IP mediante la cual acceden, entre otras medidas.

Ahora bien, en caso de que la falta de constraseñas de acceso adecuadas provoque una vulneración de seguridad, la obligación de los Responsables es notificar a los Titulares afectados sobre (i) la naturaleza del incidente; (ii) los datos personales comprometidos; (iii) las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses; (iv) las acciones correctivas realizadas de forma inmediata, y (v) los medios donde puede obtener más información al respecto.

Por ejemplo, un banco o SOFOM notificaría a sus tarjetahabientes que se dio un acceso no autorizado a sus sistemas de administración de cartera de crédito al consumo, por el que fueron sustraídos números de tarjeta de crédito y datos de identificación y ubicación de sus titulares (los cuales son considerados como de «riesgo reforzado» en las Recomendaciones de Seguridad del IFAI), por lo que las vulnerabilidades explotadas por el atacante están siendo resueltas y se les expidrán nuevos plásticos, a fin de evitar que el uso indebido de la información sustraída les provoque perjuicios patrimoniales.

¿Cuál es el riesgo al que se exponen los Responsables que no implementen una Política de Privacidad, incluyendo debida capacitación, ni Medidas de Seguridad que requieran a sus trabajadores o prestadores de servicio para resguardar debidamente sus Factores de Autenticación y tener contraseñas robustas? Una multa de 100 a 160,000 veces el salario mínimo general vigente en el D.F., con fundamento en el artículo 64, fracción II, de la Ley (dependiendo de la capacidad económica del infractor, la naturaleza de los datos vulnerados y el carácter intencional de la infracción conforme a su artículo 65), por dar tratamiento a los datos personales en contravención al citado Principio de Responsabilidad, infracción prevista en el artículo 63, fracción IV, de dicha Ley.

 

#FACEBOOK ALMIGHTY??!! #FacebookExperiment Above the Law in Psychology Research and Privacy?

9 julio, 2014
IP/Propiedad Intelectual, Privacy/Protección de Datos, Technology Regulation
Deja un comentario

FB-AlmightyYes, the image that tries to illustrate this post is really crude and concocted; it’s not meant to be a meme, and it wasn’t even made using proper imaging software. Perhaps someone with the time and skills may take it upon his/herself to improve on it. However it might help get a point across.

Since Monday last week media outlets, ranging from Forbes, the Times and the WSJ to CNN EXPANSIÓN, have reported on a so-called «study» conducted by Facebook’s data scientists on hundreds of thousands of «randomly selected users», by manipulating the amount of positively or negatively charged posts made visible to them in their timelines, with which they were allegedly looking to establish how emotions spread on social media.

Although this remark’s probably been flogged to death already, I’m certain that social science and literature majors across the world are (again) going: «If he were alive, George Orwell would say «I hate to say I told, BUT I TOLD YOU!»». The machinery of the «Minitrue» in his novel «1984» would pale in comparison to the Web 2.0, and even more so the «Internet of Things».Episodes such as the panic raised by Orson Welles’s broadcast of «War of the Worlds» or the viral hoaxes of the late 90s and early XXth Century seem like child’s play now, compared to the episodes of panic and the threats to privacy posed by social media.

Facebook’s lawyers ought to be smelling a(nother) class action brewing miles away…Oh, no, wait! The Electronic Privacy Information Center has already filed a complaint with the Federal Trade Commission on account of this episode,claiming that «At the time of the experiment, Facebook did not stat in the Data Use Policy that user data would be used for research purposes. Facebook also failed to inform users that their personal information would be shared with researchers». So where exactly does that fin in the «How We Use Information we Receive» section of their Data Use Policy?

«For example, in addition to helping people see and find things that you do and share, we may use the information we receive about you:
  • as part of our efforts to keep Facebook products, services and integrations safe and secure;
  • to protect Facebook’s or others’ rights or property;
  • to provide you with location features and services, like telling you and your friends when something is going on nearby;
  • to measure or understand the effectiveness of ads you and others see, including to deliver relevant ads to you;
  • to make suggestions to you and other users on Facebook, such as: suggesting that your friend use our contact importer because you found friends using it, suggesting that another user add you as a friend because the user imported the same email address as you did, or suggesting that your friend tag you in a picture they have uploaded with you in it; and
  • for internal operations, including troubleshooting, data analysis, testing, research and service improvement.»

This episode just adds to the social network’s poor privacy track record, tracing back to the «Beacon» shortly after its inception, which has now again put it in hot water, as it did in the episode that ended with the 2012 consent decree entered into with said FTC, and adds to privacy and ethics concerns raised by other technology companies and seemingly rouge scientists in their employment, such as the one about Google Street View picking up information from unencripted WiFi networks, which got it fined by Germany, and Orbitz’s profiling of PC and Mac users, pointing to how easily (and perhaps even dangerously) online media could manipulate us users on a global scale.

While it seems likely for Facebook to hold that the study was fair game under the blanket consent that must be granted to sign up for and continue to use the service (when its Terms of Use and/or Privacy Policy are modified or updated), privacy activists and common sense are likely to contend that notion. This instance will undoubtedly be hotly debated in court in more than one jurisdiction; that raises (again) a question of Internet law that has been debated since its early days: whether or not Internet-based businesses are under obligation to abide on a global scale by the laws of each and every jurisdiction their operations might extend to, which is a daunting thought for undertakings that can reach any corner of the world with Web access. That point of law has been taken a stab at by courts since the Tribunal de la Grand Instance ruled against Yahoo! in the 2000 case of la Ligue contre le Racisme et l’Antisemitisme c. Yahoo! Inc, to the more recent one where the Supreme Court of British Columbia enjoined Google from displaying links to search results for the sale of infringing software.

However the issues at the core of those cases are more complex than Facebook’s instance. I see no difficulty in Facebook sorting out where the users singled out for its trials reside in order to secure their consent prior to their engagement in them. And that’s the question at the core here: whether or not Facebook erred by not having done so. General consensus, whether stemming from public opinion, ethical guidelines or the law is it did. While product testing is an every-day need and reality in business, when a product or service has the ability to mess with people’s minds there ought to be a heightened duty of care, and of accountability, on the part of the product or service provider, given the harm it may inflict upon the subjects involved, the people near them and even their communities.

The atrocities of World War II yielded the Nuremberg Code, which lays down the principles of ethics to be met in all human experimentation that are (to be) followed in such undertakings and extend to everyday medical practice, and which cornerstone is voluntary and duly informed consent of the subject(s), which appears to have been largely absent here. Granted, whereas psychiatry is medical practice, psychology is not. However Standards 3.10 and 8.02 of the Ethics Code of the American Psychological Association prescribe as follows:

3.10 informed consent

(a) When psychologists conduct research or provide assessment, therapy, counseling, or consulting services in person or via electronic transmission or other forms of communication, they obtain the informed consent of the individual or individuals using language that is reasonably understandable to that person or persons except when conducting such activities without consent is mandated by law or governmental regulation or as otherwise provided in this Ethics Code.

8.02 informed consent to research

(a) When obtaining informed consent as required in Standard 3.10, Informed Consent, psychologists inform participants about (1) the purpose of the research, expected duration, and procedures; (2) their right to decline to participate and to withdraw from the research once participation has begun; (3) the foreseeable consequences of declining or withdrawing; (4) reasonably foreseeable factors that may be expected to influence their willingness to participate such as potential risks, discomfort, or adverse effects; (5) any prospective research benefits; (6) limits of confidentiality; (7) incentives for participation; and (8) whom to contact for questions about the research and research participants’ rights. They provide opportunity for the prospective participants to ask questions and receive answers.

An important conclusion stems from the above: informed consent in the practice of psychology is not the same as a privacy notice under US laws, regulations and/or ethical standards. The same is true under the Code of Ethics of the Mexican Psychology Society, which article 118 states that informed consent must be obtained whether for therapy, research or other procedures. It is also not the same as a «consent notice» or «aviso de privacidad» as provided for in the Mexican privacy law. This refers back to the question a few paragraphs above: was Facebook under obligation to abide by the laws and regulations of the domicile of each and every single one of its almost 700,000 users targeted in its «study»? That will be the subject matter of another entry herein; at this point the last idea I want to convey as far as Mexican privacy law and practice go is the following:

Although the requirements of voluntary informed consent in the practice of medicine and psychology may overlap, as the investigation and MXN$485,700.00 fine assessed by IFAI, the Mexican data protection authority, fined WTC Sports Clinic, a physical therapy and outpatient surgery clinic, show, the means to secure such consent as per each of the laws and regulations governing each area of practice do not suffice to meet with the requirements of the others, so that practitioners in the aforesaid fields need proper legal advice in order to avoid failing to comply with the novel legal framework for privacy, which provides for a consent notice as additional to that mandated by the Regulations (Normas Oficiales Mexicanas) which require that letters of written informed consent be included in each patient’s file and that such consent be included in human research protocols as a requisite for their authorization by the Mexican health authority, which is also a mandate of the Regulations to the General Health Law in Health Research (article 14, Roman numeral V).

Debate de la #LeyTelecom: la privacidad en México, «como el cangrejo»…

4 julio, 2014
Privacy/Protección de Datos, Technology Regulation
Deja un comentario

bigbro - CopyA pesar de que como pueblo nos guste pensar lo contrario, y diversos juristas e infinidad de funcionarios públicos se empeñen en sostener que México es un país de Derechos Humanos y libertades, la verdad es que eso es sólo un dicho que en los hechos varía de régimen en régimen, y en cada uno ha tenido sus matices. En muchos sentidos, la legislación parece tender a convertir al nuestro en un Estado policía.

Durante la pasada administración panista y «de derecha», contra todo sentido común y la opinión de numerosos expertos. nuestros legisladores crearon una cosa llamada «Registro Nacional de Usuarios de Telecomunicaciones» o «RENAUT», que requería al usuario de un equipo de telefonía móvil vincular el número del mismo a su Clave Única del Registro de Población (CURP), con la intención de mitigar el uso de tales equipos en la comisión de ilícitos como extorsión o secuestro, siendo sabido que numerosos grupos delincuenciales se valen de los mismos para operar incluso desde el interior de los «Centros de Readaptación Social», al grado que se ha tenido que establecer un número de emergencia (089) para que la ciudadanía denuncie de forma (relativamente) anónima las llamadas recibidas en tales circunstancias. Sin embargo la evaluación (ex post facto) de riesgos contra beneficios llevó a que el RENAUT viviera poco tiempo y fuera destruido definitivamente el año pasado.

En la presente administración priista y «de centro-izquierda», dentro del acalorado debate de la Ley Federal de Telecomunicaciones, en el que la atención se centra en la discusión de los aspectos de negocio en un mercado prácticamente duopólico, y si no al menos catelizado, y la disyuntiva sobre atacar la preponderancia en el mismo mediante regulación por servicio o por sector, Joel Gómez Treviño y José Carlos Méndez resaltan en entrevista con CNN Expansión un par de «bolas rápidas» dentro de la iniciativa de la Ley Federal de Telecomunicaciones y Radiodifusión, cuyo dictamen ya fue aprobado en Comisiones del Senado, y hoy será discutido en lo particular en el seno de dicha Cámara.

¿En qué consisten esas «bolas rápidas», y de qué manera impactarían a nuestra privacidad y la protección de nuestros datos personales? En que,  no obstante que la fracción II de su artículo 191 reconoce nuestro derecho a la protección de nuestros datos personales, «en términos de las leyes aplicables» (menos mal, considerando que es un derecho humano reconocido por el artículo 6, apartado A, fracción II, y 16, párrafo segundo de la Constitución Política de los Estados Unidos Mexicanos) y que el segundo párrafo de la fracción XI del artículo 190 del propio ordenamiento reitera la inviolabilidad de las comunicaciones privadas igualmente tutelada por el párrafo decimosegundo de nuestra Ley Fundamental, el citado atrículo dispone en su fracción II y el primer párrafo de la citada fracción XI que los concesionarios y autorizados de telecomunicaciones deberán:

II. Conservar un registro y control de comunicaciones que se realicen desde cualquier tipo de
línea que utilice numeración propia o arrendada, bajo cualquier modalidad, que permitan
identificar con precisión los siguientes datos:
a) Nombre, denominación o razón social y domicilio del suscriptor;
b) Tipo de comunicación (transmisión de voz, buzón vocal, conferencia, datos), servicios suplementarios (incluidos el reenvío o transferencia de llamada) o servicios de mensajería o multimedia empleados (incluidos los servicios de mensajes cortos, servicios multimedia y
avanzados);
c) Datos necesarios para rastrear e identificar el origen y destino de las comunicaciones de telefonía móvil: número de destino, modalidad de líneas con contrato o plan tarifario, como en la modalidad de líneas de prepago;
d) Datos necesarios para determinar la fecha, hora y duración de la comunicación, así como el servicio de mensajería o multimedia;
e) Además de los datos anteriores, se deberá conservar la fecha y hora de la primera activación del servicio y la etiqueta de localización (identificador de celda) desde la que se haya activado el servicio;
f) En su caso, identificación y características técnicas de los dispositivos, incluyendo, entre otros, los códigos internacionales de identidad de fabricación del equipo y del suscriptor;
g) La ubicación digital del posicionamiento geográfico de las líneas telefónicas, y
h) La obligación de conservación de datos, comenzará a contarse a partir de la fecha en que se haya producido la comunicación.

Para tales efectos, el concesionario deberá conservar los datos referidos en el párrafo anterior durante los primeros doce meses en sistemas que permitan su consulta y entrega en tiempo real a las autoridades competentes, a través de medios electrónicos. Concluido el plazo referido, el concesionario deberá conservar dichos datos por doce meses adicionales en sistemas de almacenamiento electrónico, en cuyo caso, la entrega de la información a las autoridades competentes se realizará dentro de las cuarenta y ocho horas siguientes, contadas a partir de la notificación de la solicitud.
La solicitud y entrega en tiempo real de los datos referidos en este inciso (OJO, PROBABLE ERROR DE CONCORDANCIA, PORQUE YA NO ESTÁ EN INCISO ALGUNO, SINO QUE ES UN PÁRRAFO SUBSECUENTE), se realizará mediante los mecanismos que determinen las autoridades a que se refiere el artículo 189 de esta Ley, los cuales deberán informarse al Instituto para los efectos de lo dispuesto en el párrafo tercero, fracción I del presente artículo.
Los concesionarios de telecomunicaciones y, en su caso, los autorizados, tomarán las medidas técnicas necesarias respecto de los datos objeto de conservación, que garanticen su conservación, cuidado, protección, no manipulación o acceso ilícito, destrucción, alteración o cancelación, así como el personal autorizado para su manejo y control.
Sin perjuicio de lo establecido en esta Ley, respecto a la protección, tratamiento y control de los datos personales en posesión de los concesionarios o de los autorizados, será aplicable lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los
Particulares;
III. Entregar los datos conservados a las autoridades a que se refiere el artículo 189 de esta Ley, que así lo requieran, conforme a sus atribuciones, de conformidad con las leyes aplicables.
Queda prohibida la utilización de los datos conservados para fines distintos a los previstos en este capítulo, cualquier uso distinto será sancionado por las autoridades competentes en términos administrativos y penales que resulten.
Los concesionarios de telecomunicaciones y, en su caso, los autorizados, están obligados a entregar la información dentro de un plazo máximo de veinticuatro horas siguientes, contado a partir de la notificación, siempre y cuando no exista otra disposición expresa de autoridad competente; 

XI. Realizar bajo la coordinación del Instituto los estudios e investigaciones que tengan por objeto el desarrollo de soluciones tecnológicas que permitan inhibir y combatir la utilización de equipos de telecomunicaciones para la comisión de delitos o actualización de riesgos o
amenazas a la seguridad nacional. Los concesionarios que operen redes públicas de telecomunicaciones podrán voluntariamente constituir una organización que tenga como fin la realización de los citados estudios e investigaciones. Los resultados que se obtengan se registrarán en un informe anual que se remitirá al Instituto, al Congreso de la Unión y al Ejecutivo Federal.

¿Y cuáles son las autoridades a que se refiere el artículo 189?

Artículo 189. Los concesionarios de telecomunicaciones y, en su caso, los autorizados y proveedores de servicios de aplicaciones y contenidos están obligados a atender todo mandamiento por escrito, fundado y motivado de la autoridad competente en los términos que establezcan las leyes.
Los titulares de las instancias de seguridad y procuración de justicia designarán a los servidores públicos encargados de gestionar los requerimientos que se realicen a los concesionarios y recibir la información correspondiente, mediante acuerdos publicados en el Diario Oficial de la Federación.

En suma, si bien la iniciativa preserva la inviolabilidad constitucional de las comunicaciones privadas, de manera que sólo pueden intervenidas por mandamiento judicial, la iniciativa de Ley la reduce al contenido de la comunicación misma, facultando a las autoridades de la rama Ejecutiva del Poder Federal para requerir a los concesionarios o autorizados los metadatos de tales comunicaciones relacionados en los incisos a) al g) de la fracción II del artículo 190. Es decir, que dichas autoridades administrativas podrán acceder por un lapso de al menos 24 meses a la informacion relativa a quién se comunicó desde dónde con quién más, a qué hora y por qué medio, aunque no puedan conocer el contenido mismo de dichas comunicaciones sin contar con una orden judicial.

Lo anterior es precisamente lo que en gran parte motivó la indignación del público estadounidense ante las revelaciones que Edward Snowden hizo respecto de la vigilancia que la National Security Agency de aquél gobierno ejercía sobre las comunicaciones de sus ciudadanos realizadas a través de redes públicas de telecomunicaciones, ya fuera por medio del teléfono o servicios de Internet, particularmente el correo electrónico. Llama la atención que los legisladores mexicanos incorporen disposiciones así mientras que en los EE.UU.A. la Cámara de Representantes aprobó medidas que limitan la facultad de aquélla agencia de Inteligencia para acceder a similar información sin una orden judicial y la Suprema Corte resolvió que las autoridades de procuración de justicia también requieren de una orden judicial para acceder al contenido del teléfono móvil de un presunto responsable arrestado.

Claramente en aquél país no se libra una guerra contra el crimen organizado como la que se libra aquí; pero si libran una guerra contra el terrorismo. Tampoco se padecen los secuestros ni extorsiones telefónicas que lamentablemente se han vuelto frecuentes en México. Pero aún así mantienen los pesos y contrapesos de su marco jurídico para preservar los derechos de sus ciudadanos.

También la fracción XI del citado artículo 190, que requiere a los concesionarios y autorizados realizar estudios e investigaciones para desarrollar soluciones tecnológicas para inhibir y combatir el uso de equipos de telecomunicaciones para la comisión de delitos o actualización de riesgos o amenazas a la seguridad nacional, va a contrapelo de las tendencias en la materia en los EE.UU.A., al convertir a dichos concesionarios y autorizados en coadyuvantes del gobierno en tales actividades, cuando tras las revelaciones de la vigilancia lograda a través del acceso a sus sistemas empresas como Google, Microsoft, AT&T y Vodaphone han buscado robustecer sus sistemas para evitar la vigilancia no autorizada, y se rehúsan a colaborar con las autoridades si no es mediante orden judicial.

La tutela que pudiera lograrse por la remisión que la fracción II del artículo 191 hace a «las leyes aplicables» para efectos de la protección de datos personales de los usuarios de telecomunicaciones es muy relativa; tal obligatoriedad está dada de suyo por el capítulo de Datos Personales de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, así como por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, que norman la materia respecto de los sectores público y privado, pues si bien la primera dispone como confidenciales los datos personales en posesión de los Sujetos Regulados (entes del gobierno federal) y la reserva de las investigaciones y procedimientos judiciales hasta en tanto no hayan sido resueltos, no exige un mandamiento judicial para que puedan acceder a tal información.

Vistos estos acontecimientos legislativos en nuestro país conviene preguntarnos si estamos en un punto en el que se ha vuelto verdaderamente necesario bajar el nivel de dificultad que el gobierno requiere para el acceso a nuestra información en aras de lograr los objetivos planteados por las medidas propuestas.

 

«Tenemos la Privacy Policy de la controladora/franquicia»… Principio de Finalidad, y el valor vs costo de un Aviso de Privacidad

1 julio, 2014
Privacy/Protección de Datos
4 comentarios

maidenform

La sanción más recientemente publicada por el IFAI, y primera de la nueva integración de su Pleno, contra Creaciones Textiles de Mérida, ilustra situaciones que fueron muy comunes en la práctica al inicio de la vigencia de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares: al exponer el marco normativo y obligaciones que del mismo derivan para los Responsables, el cliente manifestaba una o más de las siguientes consideraciones:

  • Que por no tener contacto con el consumidor final, por tratar con/vender a disribuidores, no obstante contar con planta laboral, no estaba obligado a cumplir con la nueva Ley;
  • Que, siguiendo el modelo estadounidense, quería un solo aviso de privacidad, pues más de uno sería muy complicado para administrar, y/o
  • Que no requería nada al respecto, pues por ser subsidiaria o franquicia de una empresa estadounidense contaba con la «Privacy Policy» de su controladora o franquiciante.

Hablando del primer caso, tuve oportunidad de tratar con diversos colegas laboralistas que interpretaban «uso exclusivamente personal», contenido en la excepción de la fracción II del artículo 2 de la LFPDPPP como referente a la utilización de datos personales por parte del área de personal, o recursos humanos, de la empresa y, por ende, consideraban que dicha excepción le era aplicable a los responsables que solamente daban tratamiento a los datos de su planta laboral. Sin embargo, desde el dictamen del Senado era clara la intención del legislador por hacer extensiva la aplicación de dicho estatuto en materia laboral, pues en él se asentó que:

«De no darse estas condiciones, se dejaría abierta la posibilidad de que tan sólo por citar un ejemplo, para una relación laboral (relación jurídica de acuerdo con la fracción IV del artículo 10), un empleador pudiera solicitar el dato de preferencia sexual o ideología a un candidato, a efecto de condicionar la firma del contrato respectivo, sin necesidad de contar con su consentimiento. Lo anterior, conculcaría otros derechos o libertades de las personas.»

Los cuestionamientos al respecto fueron despejados por el Reglamento de la Ley, publicado en el Diario Oficial de la Federación el 21 de diciembre de 2011, cuyos artículos 6 y 17, primer párrafo, prevén literalmente que:

Artículo 6. Cuando el tratamiento tenga como propósito cumplir con una obligación derivada de una relación jurídica, no se considerará para uso exclusivamente personal.

Artículo 17. En términos de lo dispuesto por los artículos 10, fracción IV y 37, fracción VII de la Ley, no se requerirá el consentimiento tácito o expreso para el tratamiento de los datos personales cuando éstos deriven de una relación jurídica entre el titular y el responsable.

Con respecto a lo segundo, el avance en la comunicación con el público sobre los alcances de la Ley que se ha logrado por el IFAI y quienes nos dedicamos a la materia ha permitido dejar claro que mientras que la legislación mexicana sobre privacidad y protección de datos personales se apega al modelo europeo, en los EE.UU.A. se sigue un modelo «atomizado», bajo el cual existen múltiples ordenamientos, que son aplicables a diversas materias, entre otros:

Si bien conforme al artículo 40 de la Ley, las Dependencias de la Administración Pública Federal deberán emitir la regulación que corresponda en materia de protección de datos, al hacerlo deberán ceñirse al marco normativo dispuesto por ella, que no es el caso de los Estados Unidos de América. Por ello no es posible, ni práctico, seguir el modelo estadounidense y, atendiendo al principio de finalidad que informa a la Ley es preciso contar con múltiples avisos de privacidad, de acuerdo con los fines para los cuales cada responsable dé tratamiento a los datos personales en su poder.

La otra cuestión a comentar es la de quienes asumían como válida la práctica de utilizar la «Política de Privacidad» de una controladora estadounidense para hacer las veces del/los aviso(s) de privacidad que los responsables sujetos al cumplimiento y observancia de la Ley están obligados a tener, conforme a lo dispuesto por sus artículos 1 y 2, así como 4 de su Reglamento, lo cual es a todas luces un craso error, ya que tales instrumentos no satisfacen los requisitos de dicho ordenamiento.

Tal fue el caso de «Createx», subsidiaria en México de Maidenform, Inc., y licenciataria de la marca «Maidenform«, que como tal no lleva a cabo ventas al detalle, sino a mayoristas, no obstante lo cual fue denunciada ante el IFAI por una auditoria de calidad cuya relación laboral de 2 años con esa empresa había terminado, y quien manifestó a dicho Instituto la imposibilidad para realizar el ejercicio de sus derechos ARCO, toda vez que dicha empresa, que en total empleaba a 9 personas, no contaba con un aviso de privacidad en términos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Vale la pena adelantar que de las constancias procesales se desprende que dicha titular solicitó el ejercicio sino que se fue directo por la denuncia, lo cual podría hablar de una persona descontenta por motivos laborales y que habría aprovechado la omisión de Createx. Podría anticiparse que en caso de haber solicitado el ejercicio de su derecho de Cancelación, Createx hubiera respondido en negativa, indicando el bloqueo de sus datos personales por al menos el plazo que restara a partir de su baja para el transcurso de los 5 años que se requieren para la prescripción de obligaciones en materia de seguridad social y fiscal, como retenedor. El derecho de Acceso claramente podría haber sido ejercido y la respuesta de la responsable debería haber sido procedente; el de Rectificación parecería cuestionable, igual que el de Oposición. De acuerdo con el expediente de verificación, los datos personales de la titular a los que la responsable daba tratamiento eran:

  • Los que se desprenden de su acta de nacimiento;
  • Los contenidos en su pasaporte;
  • Domicilio, tomado de un comprobante del mismo;
  • CURP;
  • Patrimoniales, derivados del estado de cuenta de su AFORE, y
  • Tomados de cartas de recomendación.

Sea como fuere, la infracción derivó de que a decir de la propia responsable ésta usaba como aviso de privacidad la «Política de Privacidad de Maidenform.com«, considerando que «…es la subsidiaria mexicana del grupo global…Maidenform, y su accionista mayoritario es…Maidenform, Inc… como una plataforma para fabricar prendas a ser posteriormente exportadas…sin embargo…se cambió el giro de esta empresa…para que se dedicara a la comercialización de las mismas en nuestro país», y que para ello goza de una licencia exclusiva de marca para Maidenform en México, y utilizar la marca como su nombre comercial, por lo que opera en la práctica como Maidenform, de manera que consideraba que identificándose de tal forma cumplía con los principios de la LFPDPPP. Al ser requerida para exhibir el medio con el que cumple con los artículos 15, 16 y 17 de la LFPDPPP, la responsable manifestó que «…utiliza la Política de Privacidad que se encuentra en Maidenform.com… en el enlace electrónico denominado Política de Privacidad», y que «…en cuanto a los clientes o usuarios, empleados o cualquier persona el Aviso de Privacidad se pone a disposición a través de Internet en el sitio http://www.maidenform.com», destacando que en el mismo «…no se hace mención específica que el C. Carlos Ernesto Guerrero Almeida es el responsale de dar trámite a las solicitudes de derechos ARCO», hechos que pretendió paliar manifestando que «…hace del conocimiento de ese H. Instituto que la empresa ha preparado un aviso de privacidad para sus empleados…asimismo, se ha preparado el aviso de privacidad…para que en caso de que Createx llegue a recabar datos personales de clientes y/o proveedores personas físicas ponga a su disposición tal aviso…».

Con respecto a la tendencia o intención de pretender utilizar la Política de Privacidad de una empresa estadounidense en sustitución de un aviso de privacidad elaborado en cumplimiento con las disposiciones de la LFPDPPP, su Reglamento y los Lineamientos del Aviso de Privacidad, conviene resaltar lo expuesto en el citado expediente de verificación, en cuanto a que «…el documento denominado Políticas de Privacidad de Maidenform.com, no corresponde a un Aviso de Privacidad, ya que no contiene las características que establece la LFPDPPP, sino por el contrario, el texto del documento presentado se realiza conforme al Código Civil de California…al no corresponder el documento presentado…con un Aviso de Privacidad presuntamente incumplió lo establecido en el artículo 16 de la LFPDPPP, circunstancia, que deviene en una imposibilidad para hacer del conocimiento del Titular la existencia y características principales del tratamiento al que serán sometidos su datos personales, por lo que la Responsable presuntamente viola el principio de información establecido por la LFPDPPP».

La omisión resultante implicó que Createx fuera multada con $129,520.00, con fundamento en los artículos 63, fracción IV, y 64, fracción II, de la LFPDPPP, por incumplir con el principio de información al obtener datos personales de la titular denunciante sin haberle dado a conocer, mediante su aviso de privacidad, la existencia y características principales del tratamiento de sus datos, además de ser requerida para incluir en el mismo, dentro de un plazo de 15 días posteriores a la notificación de la resolución recaída al procedimiento de verificación, las opciones y medios para que los titulares puedan limitar el uso o divulgación de sus datos personales.

Destaca además en el caso que, cual comenté respecto del de BBVA, «le salió barato» a Createx, puesto que esta omisión podría haber ameritado un «concurso ideal», puesto que la responsable infractora no sólo transgredió el principio de información, sino que por valerse de una «Política de Privacidad» fundamentada en el régimen jurídico estadounidense omitió diversos elementos del aviso de privacidad con el que está obligada a contar, lo cual es de suyo otra infracción, prevista en la fracción V del artículo 63 de la LFPDPPP.

Conviene agregar que lo que constituye una «Política de Privacidad» en los EE.UU.A. no es lo mismo que una que satisfaga los requisitos previstos en el artículo 48 del Reglamento de la LFPDPPP.

También es destacable, para efectos prácticos, la manifestación de la responsable en el acta de verificación, en el sentido que «…sólo recopila datos personales de sus empleados, debido a que por el giro al que se dedica se hace directamente con mayoristas, no se vende al detalle o al menudeo…en la actualidad sólo se tiene un caso… con relación a los clientes, que los datos que se recaban de los mismos se obtienen para realizar la facturación respectiva, y si hay datos de individuos se obtienen en representación de personas morales».

Lo anterior remite al artículo 5 del Reglamento, mismo que supone aspectos de legalidad importantes por la posible violación a los principios de reserva de ley y subordinación jerárquica que podrían resultar de sus fracciones II y III, puesto que aunque la fracción I excluye de la protección de dicho ordenamiento a los datos personales de las personas morales en concordancia con la definición de la fracción V del artículo 3 de la LFPDPPP, que define como datos personales a los que identifican, o hacen identificable a una persona FÍSICA, en tanto que las siguientes fracciones de la norma primeramente citada extienden la excepción a la aplicación del propio Reglamento a los de comerciantes y profesionistas, al igual que a ciertos datos de identificación y contacto de personas al servicio de otras.

Esto último motiva ulteriores cuestionamientos prácticos respecto de la necesidad de contar con un aviso de privacidad para proveedores o clientes que sean personas físicas dedicadas al ejercicio de una actividad mercantil, lo cual ya ameritó comentario de un servidor en una entrada anterior, ilustrando el caso de Sport City, quien lo tiene implementado luego de haber sido una de las primeras responsables sancionadas por el IFAI.

¿Opiniones, colegas?

 

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

Xavier Ribas

Derecho de las TIC y Compliance

Marcus Kazmierczak

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace

Cedric's Privacy Blog

SoshiTech - Soshitech.com

Technology News, Startup Information & Social Networking