La más reciente sanción difundida por el IFAI con motivo de la violación a la Ley Federal de Protección de Datos Personales en Posesión de Particulares se inscribe, al igual que la de Creaciones Textiles de Mérida, en el marco de la aplicación de esa ley a las relaciones laborales, y fue determinada por dicho Instituto debido a la transgresión de los siguientes artículos de la LFPDPPP:
- 6 (Principios rectores);
- 7 (Principios de Licitud y de Lealtad);
- 14 (Principio de Responsabilidad);
- 15 (Principio de Información);
- 16 (Idem, entratándose de la obligación de poner el Aviso de Privacidad a disposición de los Titulares, referidas en el caso las fracciones I -requisito de identidad del Responsable, sobre lo cual se puede ver el caso de Farmacias San Pablo-, II -Finalidades del Tratamiento- y III -opciones y medios para que el Titular limite el uso o divulgación de sus Datos Personales, con relación a lo cual remitimos al caso de Sport City en nuestra nota del 14 de junio del 2013-);
- 17, fracción II (fundamento de la modalidad «simplificada» del Aviso de Privacidad»), y
- 19 (Medidas de Seguridad).
Concretamente el IFAI encontró que en la especie:
- Se había declarado dolosamente la inexistencia de Datos Personales que existían total o parcialmente en las bases de datos de la Responsable, por lo cual se actualizó la hipótesis del art. 63, fracción III, de la LFPDPPP;
- La Responsable había incumplido con los Principios de Licitud, Responsabilidad e Información, pues en la verificación manifestó expresamente no contar con procedimientos de conservación, bloqueo y supresión de Datos Personales, ni medidas de seguridad para protegerlos contra vulneraciones consistentes en daño, pérdida, alteración, destrucción o uso, acceso o Tratamiento no autorizados, además de haber omitido cumplir con el requisito de su identidad y Finalidades del Tratamiento a los Datos Personales.
- El Aviso de Privacidad de la Responsable carecía de la indicación de opciones y medios para que los Titulares limitaran el uso o divulgación de sus Datos Personales, infringiendo con ello el artículo 63, fracción V.
Entre los hallazgos derivados del procedimiento de verificación se encontró una discrepancia entre los Datos Personales que la Responsable efectivamente recaba de sus 24 trabajadores y los que manifiesta recabar conforme a su Aviso de Privacidad, entre ellos los datos correspondientes a la afiliación de los mismos al Instituto Mexicano del Seguro Social, así como datos jurídicos relativos a su filiación, estado civil y condición migratoria en México, además de datos patrimoniales relativos a cuentas bancarias. Tal hallazgo motivó a la autoridad de protección de datos a resolver que se llevó a cabo un ocultamiento doloso de Datos Personales recabados de los empleados de la Responsable.
Adicionalmente consta en autos de verificación que la Responsable no dió a conocer a dichos Titulares la información de la existencia y características principales del Tratamiento de sus Datos Personales en el Aviso de Privacidad, puesto que mediante correo electrónico recabó diversos datos de un empleado a quien no informó de los mecanismos para conocer el Aviso de Privacidad en su modalidad Integral, ya que el mismo es puesto a disposición de esos Titulares en el momento de la firma del contrato de trabajo. A este particular es preciso destacar que, por definición, el Aviso de Privacidad debe ser puesto a disposición de los Titulares previo al Tratamiento de sus Datos Personales (art. 3, fracción I, de la LFPDPPP).
Lo anterior destaca el hecho que aún cuando recién expedida la LFPDPPP hubo quienes pretendían extender la interpretación de la fracción II de su artículo 2, relativa al Tratamiento de datos para «fines personales» y sin finalidad de divulgación a los fines del «Área de Personal», o Recursos Humanos, de las Responsables, interpretación que cayó por tierra cuando fue expedido el Reglamento de la Ley, cuyo artículo 6 dispone que el Tratamiento de Datos Personales para el cumplimiento de una relación jurídica, como es el caso de las relaciones laborales, no se considera para uso exclusivamente personal.
El caso en comentario ilustra un punto relevante en la práctica de los recursos humanos: el Tratamiento de Datos Personales empieza desde que los mismos son captados, sea mediante correo electrónico, una página Web, telefónicamente o en una entrevista presencial. Sin embargo, también motiva cuestionamientos sobre la interpretación y aplicación de la excepción contenida en la fracción II del artículo 5 del Reglamento, que exceptúa de su aplicación a la información que se «refiera a personas físicas en su calidad de comerciantes y profesionistas». Partiendo del hecho que las excepciones no pueden ser extendidas a casos que no estén expresamente contemplados en las normas que las establecen, la disposición citada no resultaría aplicable al personal «operativo», como técnicos o empíricos, sino sólo a los candidatos que tuvieran título, e idealmente cédula profesional con efectos de patente, para el ejercicio de una profesión, y se limitaría a la información relativa a dicho ejercicio profesional, la cual es usualmente materia de las entrevistas en los procesos de selección, y no es sino hasta su contratación que se accede a Datos Personales jurídicos propios de su estado civil, patrimoniales relativos a ingreso pasado o esperado y cuentas bancarias para el depósito de su remuneración, así como sensibles propios de su estado de salud.
Llama la atención que una empresa de Internet hubiera manifestado en el curso de la verificación del IFAI que contaba con 860 registros de clientes, proveedores y empleados, pero que los mismos se encuentran «en un sistema alojado en cómputo en la nube, se intentó acceder a dichos registros, pero nunca se pudo», y que «se desconoce (si fueron destruidos) y se cree que en algún lugar de la red existen.
En cuanto a las medidas de seguridad aplicadas para el resguardo y protección de los Datos Personales, la Responsable manifestó haber «designado a solo (sic) una empleada… para el manejo y almacenamiento de los datos personales», lo cual no parece alcanzar para considerar que hubieran estado a debido resguardo, lo cual redundó en la conclusión de que no cumplía con el principio de legalidad.
El IFAI concluyó que las acciones y omisiones de la Responsable fueron intencionales, puesto que el desconocimiento de la Ley no excusa su observancia y cumplimiento, y con base en su capacidad económica, evidenciada por un capital contable del orden de los $270’845,280.00 M.N., resolvió imponer las siguientes multas:
- $1’619,000.00 (25,000 días de salario mínimo general en el DF) por la infracción del artículo 63, fracción III, de la Ley, al haber delcarado dolosamente la inexistencia de Datos Personales parcial o totalmente presentes en sus bases de datos, que fue considerada como de gravedad alta;
- $1’295,000.00 (20,000 días de salario mínimo general vigente en el DF) por la infracción del artículo 63, fracción IV, al dar Tratamiento a los Datos Personales contraviniendo los Principios de Responsabilidad, Información y Licitud, considerada como de gravedad media, y
- $1’165,680.00 (18,000 días de salario mínimo en el DF) por la infracción del artículo 63, fracción V, al omitir en su Aviso de Privacidad las opciones y medios para que los Titulares limiten el uso o divulgación de sus Datos Personales, considerada como de gravedad media.
Es decir que el caso ha tenido para IMM Internet Media México un costo total de $4’079,680.00, que serán cobrados por vía de un crédito fiscal, a fin de que tales cantidades ingresen a la Tesorería de la Federación como aprovechamientos, conforme al Código Fiscal de la Federación.