archivo

Archivos Mensuales: julio 2014

maidenform

La sanción más recientemente publicada por el IFAI, y primera de la nueva integración de su Pleno, contra Creaciones Textiles de Mérida, ilustra situaciones que fueron muy comunes en la práctica al inicio de la vigencia de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares: al exponer el marco normativo y obligaciones que del mismo derivan para los Responsables, el cliente manifestaba una o más de las siguientes consideraciones:

  • Que por no tener contacto con el consumidor final, por tratar con/vender a disribuidores, no obstante contar con planta laboral, no estaba obligado a cumplir con la nueva Ley;
  • Que, siguiendo el modelo estadounidense, quería un solo aviso de privacidad, pues más de uno sería muy complicado para administrar, y/o
  • Que no requería nada al respecto, pues por ser subsidiaria o franquicia de una empresa estadounidense contaba con la “Privacy Policy” de su controladora o franquiciante.

Hablando del primer caso, tuve oportunidad de tratar con diversos colegas laboralistas que interpretaban “uso exclusivamente personal”, contenido en la excepción de la fracción II del artículo 2 de la LFPDPPP como referente a la utilización de datos personales por parte del área de personal, o recursos humanos, de la empresa y, por ende, consideraban que dicha excepción le era aplicable a los responsables que solamente daban tratamiento a los datos de su planta laboral. Sin embargo, desde el dictamen del Senado era clara la intención del legislador por hacer extensiva la aplicación de dicho estatuto en materia laboral, pues en él se asentó que:

De no darse estas condiciones, se dejaría abierta la posibilidad de que tan sólo por citar un ejemplo, para una relación laboral (relación jurídica de acuerdo con la fracción IV del artículo 10), un empleador pudiera solicitar el dato de preferencia sexual o ideología a un candidato, a efecto de condicionar la firma del contrato respectivo, sin necesidad de contar con su consentimiento. Lo anterior, conculcaría otros derechos o libertades de las personas.

Los cuestionamientos al respecto fueron despejados por el Reglamento de la Ley, publicado en el Diario Oficial de la Federación el 21 de diciembre de 2011, cuyos artículos 6 y 17, primer párrafo, prevén literalmente que:

Artículo 6. Cuando el tratamiento tenga como propósito cumplir con una obligación derivada de una relación jurídica, no se considerará para uso exclusivamente personal.

Artículo 17. En términos de lo dispuesto por los artículos 10, fracción IV y 37, fracción VII de la Ley, no se requerirá el consentimiento tácito o expreso para el tratamiento de los datos personales cuando éstos deriven de una relación jurídica entre el titular y el responsable.

Con respecto a lo segundo, el avance en la comunicación con el público sobre los alcances de la Ley que se ha logrado por el IFAI y quienes nos dedicamos a la materia ha permitido dejar claro que mientras que la legislación mexicana sobre privacidad y protección de datos personales se apega al modelo europeo, en los EE.UU.A. se sigue un modelo “atomizado”, bajo el cual existen múltiples ordenamientos, que son aplicables a diversas materias, entre otros:

Si bien conforme al artículo 40 de la Ley, las Dependencias de la Administración Pública Federal deberán emitir la regulación que corresponda en materia de protección de datos, al hacerlo deberán ceñirse al marco normativo dispuesto por ella, que no es el caso de los Estados Unidos de América. Por ello no es posible, ni práctico, seguir el modelo estadounidense y, atendiendo al principio de finalidad que informa a la Ley es preciso contar con múltiples avisos de privacidad, de acuerdo con los fines para los cuales cada responsable dé tratamiento a los datos personales en su poder.

La otra cuestión a comentar es la de quienes asumían como válida la práctica de utilizar la “Política de Privacidad” de una controladora estadounidense para hacer las veces del/los aviso(s) de privacidad que los responsables sujetos al cumplimiento y observancia de la Ley están obligados a tener, conforme a lo dispuesto por sus artículos 1 y 2, así como 4 de su Reglamento, lo cual es a todas luces un craso error, ya que tales instrumentos no satisfacen los requisitos de dicho ordenamiento.

Tal fue el caso de “Createx”, subsidiaria en México de Maidenform, Inc., y licenciataria de la marca “Maidenform“, que como tal no lleva a cabo ventas al detalle, sino a mayoristas, no obstante lo cual fue denunciada ante el IFAI por una auditoria de calidad cuya relación laboral de 2 años con esa empresa había terminado, y quien manifestó a dicho Instituto la imposibilidad para realizar el ejercicio de sus derechos ARCO, toda vez que dicha empresa, que en total empleaba a 9 personas, no contaba con un aviso de privacidad en términos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Vale la pena adelantar que de las constancias procesales se desprende que dicha titular solicitó el ejercicio sino que se fue directo por la denuncia, lo cual podría hablar de una persona descontenta por motivos laborales y que habría aprovechado la omisión de Createx. Podría anticiparse que en caso de haber solicitado el ejercicio de su derecho de Cancelación, Createx hubiera respondido en negativa, indicando el bloqueo de sus datos personales por al menos el plazo que restara a partir de su baja para el transcurso de los 5 años que se requieren para la prescripción de obligaciones en materia de seguridad social y fiscal, como retenedor. El derecho de Acceso claramente podría haber sido ejercido y la respuesta de la responsable debería haber sido procedente; el de Rectificación parecería cuestionable, igual que el de Oposición. De acuerdo con el expediente de verificación, los datos personales de la titular a los que la responsable daba tratamiento eran:

  • Los que se desprenden de su acta de nacimiento;
  • Los contenidos en su pasaporte;
  • Domicilio, tomado de un comprobante del mismo;
  • CURP;
  • Patrimoniales, derivados del estado de cuenta de su AFORE, y
  • Tomados de cartas de recomendación.

Sea como fuere, la infracción derivó de que a decir de la propia responsable ésta usaba como aviso de privacidad la “Política de Privacidad de Maidenform.com“, considerando que “…es la subsidiaria mexicana del grupo global…Maidenform, y su accionista mayoritario es…Maidenform, Inc… como una plataforma para fabricar prendas a ser posteriormente exportadas…sin embargo…se cambió el giro de esta empresa…para que se dedicara a la comercialización de las mismas en nuestro país”, y que para ello goza de una licencia exclusiva de marca para Maidenform en México, y utilizar la marca como su nombre comercial, por lo que opera en la práctica como Maidenform, de manera que consideraba que identificándose de tal forma cumplía con los principios de la LFPDPPP. Al ser requerida para exhibir el medio con el que cumple con los artículos 15, 16 y 17 de la LFPDPPP, la responsable manifestó que “…utiliza la Política de Privacidad que se encuentra en Maidenform.com… en el enlace electrónico denominado Política de Privacidad”, y que “…en cuanto a los clientes o usuarios, empleados o cualquier persona el Aviso de Privacidad se pone a disposición a través de Internet en el sitio http://www.maidenform.com”, destacando que en el mismo “…no se hace mención específica que el C. Carlos Ernesto Guerrero Almeida es el responsale de dar trámite a las solicitudes de derechos ARCO”, hechos que pretendió paliar manifestando que “…hace del conocimiento de ese H. Instituto que la empresa ha preparado un aviso de privacidad para sus empleados…asimismo, se ha preparado el aviso de privacidad…para que en caso de que Createx llegue a recabar datos personales de clientes y/o proveedores personas físicas ponga a su disposición tal aviso…”.

Con respecto a la tendencia o intención de pretender utilizar la Política de Privacidad de una empresa estadounidense en sustitución de un aviso de privacidad elaborado en cumplimiento con las disposiciones de la LFPDPPP, su Reglamento y los Lineamientos del Aviso de Privacidad, conviene resaltar lo expuesto en el citado expediente de verificación, en cuanto a que “…el documento denominado Políticas de Privacidad de Maidenform.com, no corresponde a un Aviso de Privacidad, ya que no contiene las características que establece la LFPDPPP, sino por el contrario, el texto del documento presentado se realiza conforme al Código Civil de California…al no corresponder el documento presentado…con un Aviso de Privacidad presuntamente incumplió lo establecido en el artículo 16 de la LFPDPPP, circunstancia, que deviene en una imposibilidad para hacer del conocimiento del Titular la existencia y características principales del tratamiento al que serán sometidos su datos personales, por lo que la Responsable presuntamente viola el principio de información establecido por la LFPDPPP”.

La omisión resultante implicó que Createx fuera multada con $129,520.00, con fundamento en los artículos 63, fracción IV, y 64, fracción II, de la LFPDPPP, por incumplir con el principio de información al obtener datos personales de la titular denunciante sin haberle dado a conocer, mediante su aviso de privacidad, la existencia y características principales del tratamiento de sus datos, además de ser requerida para incluir en el mismo, dentro de un plazo de 15 días posteriores a la notificación de la resolución recaída al procedimiento de verificación, las opciones y medios para que los titulares puedan limitar el uso o divulgación de sus datos personales.

Destaca además en el caso que, cual comenté respecto del de BBVA, “le salió barato” a Createx, puesto que esta omisión podría haber ameritado un “concurso ideal”, puesto que la responsable infractora no sólo transgredió el principio de información, sino que por valerse de una “Política de Privacidad” fundamentada en el régimen jurídico estadounidense omitió diversos elementos del aviso de privacidad con el que está obligada a contar, lo cual es de suyo otra infracción, prevista en la fracción V del artículo 63 de la LFPDPPP.

Conviene agregar que lo que constituye una “Política de Privacidad” en los EE.UU.A. no es lo mismo que una que satisfaga los requisitos previstos en el artículo 48 del Reglamento de la LFPDPPP.

También es destacable, para efectos prácticos, la manifestación de la responsable en el acta de verificación, en el sentido que “…sólo recopila datos personales de sus empleados, debido a que por el giro al que se dedica se hace directamente con mayoristas, no se vende al detalle o al menudeo…en la actualidad sólo se tiene un caso… con relación a los clientes, que los datos que se recaban de los mismos se obtienen para realizar la facturación respectiva, y si hay datos de individuos se obtienen en representación de personas morales”.

Lo anterior remite al artículo 5 del Reglamento, mismo que supone aspectos de legalidad importantes por la posible violación a los principios de reserva de ley y subordinación jerárquica que podrían resultar de sus fracciones II y III, puesto que aunque la fracción I excluye de la protección de dicho ordenamiento a los datos personales de las personas morales en concordancia con la definición de la fracción V del artículo 3 de la LFPDPPP, que define como datos personales a los que identifican, o hacen identificable a una persona FÍSICA, en tanto que las siguientes fracciones de la norma primeramente citada extienden la excepción a la aplicación del propio Reglamento a los de comerciantes y profesionistas, al igual que a ciertos datos de identificación y contacto de personas al servicio de otras.

Esto último motiva ulteriores cuestionamientos prácticos respecto de la necesidad de contar con un aviso de privacidad para proveedores o clientes que sean personas físicas dedicadas al ejercicio de una actividad mercantil, lo cual ya ameritó comentario de un servidor en una entrada anterior, ilustrando el caso de Sport City, quien lo tiene implementado luego de haber sido una de las primeras responsables sancionadas por el IFAI.

¿Opiniones, colegas?

 

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace