“Tenemos la Privacy Policy de la controladora/franquicia”… Principio de Finalidad, y el valor vs costo de un Aviso de Privacidad

maidenform

La sanción más recientemente publicada por el IFAI, y primera de la nueva integración de su Pleno, contra Creaciones Textiles de Mérida, ilustra situaciones que fueron muy comunes en la práctica al inicio de la vigencia de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares: al exponer el marco normativo y obligaciones que del mismo derivan para los Responsables, el cliente manifestaba una o más de las siguientes consideraciones:

  • Que por no tener contacto con el consumidor final, por tratar con/vender a disribuidores, no obstante contar con planta laboral, no estaba obligado a cumplir con la nueva Ley;
  • Que, siguiendo el modelo estadounidense, quería un solo aviso de privacidad, pues más de uno sería muy complicado para administrar, y/o
  • Que no requería nada al respecto, pues por ser subsidiaria o franquicia de una empresa estadounidense contaba con la “Privacy Policy” de su controladora o franquiciante.

Hablando del primer caso, tuve oportunidad de tratar con diversos colegas laboralistas que interpretaban “uso exclusivamente personal”, contenido en la excepción de la fracción II del artículo 2 de la LFPDPPP como referente a la utilización de datos personales por parte del área de personal, o recursos humanos, de la empresa y, por ende, consideraban que dicha excepción le era aplicable a los responsables que solamente daban tratamiento a los datos de su planta laboral. Sin embargo, desde el dictamen del Senado era clara la intención del legislador por hacer extensiva la aplicación de dicho estatuto en materia laboral, pues en él se asentó que:

De no darse estas condiciones, se dejaría abierta la posibilidad de que tan sólo por citar un ejemplo, para una relación laboral (relación jurídica de acuerdo con la fracción IV del artículo 10), un empleador pudiera solicitar el dato de preferencia sexual o ideología a un candidato, a efecto de condicionar la firma del contrato respectivo, sin necesidad de contar con su consentimiento. Lo anterior, conculcaría otros derechos o libertades de las personas.

Los cuestionamientos al respecto fueron despejados por el Reglamento de la Ley, publicado en el Diario Oficial de la Federación el 21 de diciembre de 2011, cuyos artículos 6 y 17, primer párrafo, prevén literalmente que:

Artículo 6. Cuando el tratamiento tenga como propósito cumplir con una obligación derivada de una relación jurídica, no se considerará para uso exclusivamente personal.

Artículo 17. En términos de lo dispuesto por los artículos 10, fracción IV y 37, fracción VII de la Ley, no se requerirá el consentimiento tácito o expreso para el tratamiento de los datos personales cuando éstos deriven de una relación jurídica entre el titular y el responsable.

Con respecto a lo segundo, el avance en la comunicación con el público sobre los alcances de la Ley que se ha logrado por el IFAI y quienes nos dedicamos a la materia ha permitido dejar claro que mientras que la legislación mexicana sobre privacidad y protección de datos personales se apega al modelo europeo, en los EE.UU.A. se sigue un modelo “atomizado”, bajo el cual existen múltiples ordenamientos, que son aplicables a diversas materias, entre otros:

Si bien conforme al artículo 40 de la Ley, las Dependencias de la Administración Pública Federal deberán emitir la regulación que corresponda en materia de protección de datos, al hacerlo deberán ceñirse al marco normativo dispuesto por ella, que no es el caso de los Estados Unidos de América. Por ello no es posible, ni práctico, seguir el modelo estadounidense y, atendiendo al principio de finalidad que informa a la Ley es preciso contar con múltiples avisos de privacidad, de acuerdo con los fines para los cuales cada responsable dé tratamiento a los datos personales en su poder.

La otra cuestión a comentar es la de quienes asumían como válida la práctica de utilizar la “Política de Privacidad” de una controladora estadounidense para hacer las veces del/los aviso(s) de privacidad que los responsables sujetos al cumplimiento y observancia de la Ley están obligados a tener, conforme a lo dispuesto por sus artículos 1 y 2, así como 4 de su Reglamento, lo cual es a todas luces un craso error, ya que tales instrumentos no satisfacen los requisitos de dicho ordenamiento.

Tal fue el caso de “Createx”, subsidiaria en México de Maidenform, Inc., y licenciataria de la marca “Maidenform“, que como tal no lleva a cabo ventas al detalle, sino a mayoristas, no obstante lo cual fue denunciada ante el IFAI por una auditoria de calidad cuya relación laboral de 2 años con esa empresa había terminado, y quien manifestó a dicho Instituto la imposibilidad para realizar el ejercicio de sus derechos ARCO, toda vez que dicha empresa, que en total empleaba a 9 personas, no contaba con un aviso de privacidad en términos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Vale la pena adelantar que de las constancias procesales se desprende que dicha titular solicitó el ejercicio sino que se fue directo por la denuncia, lo cual podría hablar de una persona descontenta por motivos laborales y que habría aprovechado la omisión de Createx. Podría anticiparse que en caso de haber solicitado el ejercicio de su derecho de Cancelación, Createx hubiera respondido en negativa, indicando el bloqueo de sus datos personales por al menos el plazo que restara a partir de su baja para el transcurso de los 5 años que se requieren para la prescripción de obligaciones en materia de seguridad social y fiscal, como retenedor. El derecho de Acceso claramente podría haber sido ejercido y la respuesta de la responsable debería haber sido procedente; el de Rectificación parecería cuestionable, igual que el de Oposición. De acuerdo con el expediente de verificación, los datos personales de la titular a los que la responsable daba tratamiento eran:

  • Los que se desprenden de su acta de nacimiento;
  • Los contenidos en su pasaporte;
  • Domicilio, tomado de un comprobante del mismo;
  • CURP;
  • Patrimoniales, derivados del estado de cuenta de su AFORE, y
  • Tomados de cartas de recomendación.

Sea como fuere, la infracción derivó de que a decir de la propia responsable ésta usaba como aviso de privacidad la “Política de Privacidad de Maidenform.com“, considerando que “…es la subsidiaria mexicana del grupo global…Maidenform, y su accionista mayoritario es…Maidenform, Inc… como una plataforma para fabricar prendas a ser posteriormente exportadas…sin embargo…se cambió el giro de esta empresa…para que se dedicara a la comercialización de las mismas en nuestro país”, y que para ello goza de una licencia exclusiva de marca para Maidenform en México, y utilizar la marca como su nombre comercial, por lo que opera en la práctica como Maidenform, de manera que consideraba que identificándose de tal forma cumplía con los principios de la LFPDPPP. Al ser requerida para exhibir el medio con el que cumple con los artículos 15, 16 y 17 de la LFPDPPP, la responsable manifestó que “…utiliza la Política de Privacidad que se encuentra en Maidenform.com… en el enlace electrónico denominado Política de Privacidad”, y que “…en cuanto a los clientes o usuarios, empleados o cualquier persona el Aviso de Privacidad se pone a disposición a través de Internet en el sitio http://www.maidenform.com”, destacando que en el mismo “…no se hace mención específica que el C. Carlos Ernesto Guerrero Almeida es el responsale de dar trámite a las solicitudes de derechos ARCO”, hechos que pretendió paliar manifestando que “…hace del conocimiento de ese H. Instituto que la empresa ha preparado un aviso de privacidad para sus empleados…asimismo, se ha preparado el aviso de privacidad…para que en caso de que Createx llegue a recabar datos personales de clientes y/o proveedores personas físicas ponga a su disposición tal aviso…”.

Con respecto a la tendencia o intención de pretender utilizar la Política de Privacidad de una empresa estadounidense en sustitución de un aviso de privacidad elaborado en cumplimiento con las disposiciones de la LFPDPPP, su Reglamento y los Lineamientos del Aviso de Privacidad, conviene resaltar lo expuesto en el citado expediente de verificación, en cuanto a que “…el documento denominado Políticas de Privacidad de Maidenform.com, no corresponde a un Aviso de Privacidad, ya que no contiene las características que establece la LFPDPPP, sino por el contrario, el texto del documento presentado se realiza conforme al Código Civil de California…al no corresponder el documento presentado…con un Aviso de Privacidad presuntamente incumplió lo establecido en el artículo 16 de la LFPDPPP, circunstancia, que deviene en una imposibilidad para hacer del conocimiento del Titular la existencia y características principales del tratamiento al que serán sometidos su datos personales, por lo que la Responsable presuntamente viola el principio de información establecido por la LFPDPPP”.

La omisión resultante implicó que Createx fuera multada con $129,520.00, con fundamento en los artículos 63, fracción IV, y 64, fracción II, de la LFPDPPP, por incumplir con el principio de información al obtener datos personales de la titular denunciante sin haberle dado a conocer, mediante su aviso de privacidad, la existencia y características principales del tratamiento de sus datos, además de ser requerida para incluir en el mismo, dentro de un plazo de 15 días posteriores a la notificación de la resolución recaída al procedimiento de verificación, las opciones y medios para que los titulares puedan limitar el uso o divulgación de sus datos personales.

Destaca además en el caso que, cual comenté respecto del de BBVA, “le salió barato” a Createx, puesto que esta omisión podría haber ameritado un “concurso ideal”, puesto que la responsable infractora no sólo transgredió el principio de información, sino que por valerse de una “Política de Privacidad” fundamentada en el régimen jurídico estadounidense omitió diversos elementos del aviso de privacidad con el que está obligada a contar, lo cual es de suyo otra infracción, prevista en la fracción V del artículo 63 de la LFPDPPP.

Conviene agregar que lo que constituye una “Política de Privacidad” en los EE.UU.A. no es lo mismo que una que satisfaga los requisitos previstos en el artículo 48 del Reglamento de la LFPDPPP.

También es destacable, para efectos prácticos, la manifestación de la responsable en el acta de verificación, en el sentido que “…sólo recopila datos personales de sus empleados, debido a que por el giro al que se dedica se hace directamente con mayoristas, no se vende al detalle o al menudeo…en la actualidad sólo se tiene un caso… con relación a los clientes, que los datos que se recaban de los mismos se obtienen para realizar la facturación respectiva, y si hay datos de individuos se obtienen en representación de personas morales”.

Lo anterior remite al artículo 5 del Reglamento, mismo que supone aspectos de legalidad importantes por la posible violación a los principios de reserva de ley y subordinación jerárquica que podrían resultar de sus fracciones II y III, puesto que aunque la fracción I excluye de la protección de dicho ordenamiento a los datos personales de las personas morales en concordancia con la definición de la fracción V del artículo 3 de la LFPDPPP, que define como datos personales a los que identifican, o hacen identificable a una persona FÍSICA, en tanto que las siguientes fracciones de la norma primeramente citada extienden la excepción a la aplicación del propio Reglamento a los de comerciantes y profesionistas, al igual que a ciertos datos de identificación y contacto de personas al servicio de otras.

Esto último motiva ulteriores cuestionamientos prácticos respecto de la necesidad de contar con un aviso de privacidad para proveedores o clientes que sean personas físicas dedicadas al ejercicio de una actividad mercantil, lo cual ya ameritó comentario de un servidor en una entrada anterior, ilustrando el caso de Sport City, quien lo tiene implementado luego de haber sido una de las primeras responsables sancionadas por el IFAI.

¿Opiniones, colegas?

 

4 comentarios
  1. Maria dijo:

    Hola,

    Mis comentarios al respecto son:
    yo viví por casi 2 años la vulneración de mis datos personales por Createx
    desde que me di cuenta de ello le informe y solicite a createx dejara de hacer uso de mis datos personales
    no se atendió mis solicitud,
    envié solicitud de cancelación de datos vía correo postal certificado,la empresa hizo caso omiso
    continué enviando mails a createx para que cesara el uso de mis datos, nunca me hicieron caso
    continué recibiendo mails y , facturas a mi nombre de lo cual informe a createx y nunca me atendió
    acudí al Ifai y seguí el procedimiento que me indicaron de enviar solicitud – vía correo postal certificado- de cancelación de datos personales y nueva mente Createx no atendió mi solicitud
    fue hasta que denuncie a Createx ante el ifai y se atendió mi solicitud.
    Tengo toda la evidencia de los mails, facturas a mi nombre y solicitudes que envie para que createx dejara de hacer uso de mis datos.
    El hecho que vulneren tus datos es una sensación muy desagradable y mas aun cuando por casi dos años estas pidiendo amablemente a la empresa en la que laboraste se respeten tus datos personales y no se te atiende.

    • Estimada María

      Primero que nada, mis respetos para Ud., por el caso y por ser una Titular conocedora de sus derechos y comprometida con la protección de sus datos personales.

      Segundo, gracias por leer mi blog y su interés por su contenido. A continuación me permito formular algunos comentarios al respecto:

      De las constancias públicas del caso no se desprenden referencias a la vulneración de sus datos personales, al menos no en términos del artículo 63 del Reglamento de la Ley. Los términos de la misma, según constan en los documentos dados a conocer por el IFAI indican que su denuncia habría sido motivada por que: “Creaciones Textiles de Mérida no cuenta con Aviso de Privacidad, y por tal motivo no puedo realizar el ejercicio de mis derechos ARCO”, según se observa tanto en el expediente de verificación http://bit.ly/1x1jzaL como en el de sanción http://bit.ly/1sNljFQ.

      En tal virtud, el IFAI sancionó por violación al Principio de Información, no por otra causa. Dado que la autoridad se guía por el Principio de Exhaustividad, que la obliga a responder puntualmente a lo planteado por el gobernado, me sorprendería que no hubieran abordado un punto de vulneración planteado en su denuncia.

      Una vulneración a la seguridad física, administrativa y/o técnica de los Datos Personales por cuyo Tratamiento es Responsable un sujeto obligado al cumplimiento de la Ley de Protección de Datos Personales podría motivar una sanción por incumplimiento del Principio de Responsabilidad, como expondré en una entrada posterior en este mismo blog.

      Sería interesante que hiciera favor de exponer los términos en los que considera que su otrora patrona habría “vulnerado sus datos”. En una conferencia que dicté hace tiempo uno de los asistentes mencionó que había tenido conocimiento de que empleados de otra empresa habían abordado a personal del área de recursos humanos de la suya para ofrecerles dinero a cambio del directorio de personal, a fin de ofrecerles productos y servicios. Ese tipo de situaciones serían precisamente de las que podrían motivar una vulneración de seguridad y exponer a un Responsable a ser sancionado por el IFAI. También expondrían a quien cediera a la tentación a la acción de otras autoridades, incluso posiblemente por la presunta comisión de ilícitos.

      En cualquier caso, repito, los expedientes el IFAI no hacen mención de alguna vulneración a las medidas de seguridad bajo las cuales Creaciones Textiles de Mérida hubiera pretendido salvaguardar sus Datos Personales, por lo cual sería interesante que Ud. precisara su dicho.

      • Maria dijo:

        Estimado Rodrigo

        Si bien es cierto en el momento que solicite a Creayex dejara de hacer uso de mis datos personales esto lo hice por medio de comunicacion via email ya que Createx en esos momentos CREATEX no contaba con aviso de privacidad por lo que no me fue posible hacer ejercicio de mis derechos ARCO.
        Sin duda mis datos personales se vulneraron por casi dos años – a mi entender o de que otra forma se le puede llamar al hecho antes mencionado?. Me llegaban mails a mi cuenta personal de hotmail y facturas a mi nombre, no se si eso no sea vulnerar mis datos personales, lo que si esta bien claro para mi es que este tipo de situaciones crean una cierta frustración, vulnerabilidad y tal vez has ta un poco de tristeza.

        Gracias

        • Sea como fuere, suponiendo sin conceder la veracidad de los hechos que relata, el punto es que el extracto de su denuncia al IFAI no indica, en la forma que es mostrado en las versiones públicas, que se hubieran transgredido los principios de responsabilidad y/o lealtad de forma tal que hubiera resultado en la “vulneración” de sus datos personales.

          En la manera de formular las actuaciones ante las autoridades está la forma de la respuesta de éstas.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Compliance Report

Compliance and Ethics Powered by The Red Flag Group

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC Corporate Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site