15 abril, 2016
Privacy/Protección de Datos
Deja un comentario

@INAI_Mexico va por multa vs @ViajaVolaris

volaris

Tras largo tiempo sin difundir versiones públicas de procedimientos en materia de datos personales en posesión de los particulares, en un medio ávido de criterios que orienten la todavía naciente práctica de protección de datos personales en México, el INAI actualizó en algo su página de Resoluciones con algunas de entre las cuales amerita mención el proceso de verificación en contra de Concesionaria Vuela Compañía de Aviación, S.A.P.I. de C.V., conocida por su marca «VOLARIS«.

La industria aeronáutica es una de las más intensivas y complejas en tratamiento de datos personales, pues el desplazamiento de pasajeros dentro de territorio nacional y hacia el extranjero requiere de una cantidad de información que puede comprender datos sensibles relativos a estado de salud y creencias religiosas (dando pie a discusiones sobre el perfilamiento de pasajeros) además de prácticas que inciden sobre la privacidad de los viajeros en procesos previos, como los escáneres de cuerpo completo en terminales aéreas.

Muestra de tal complejidad es que hace un año la intención de la autoridad tributaria mexicana por obtener el Registro de Nombre de Pasajeros (Passenger Name Record) de los viajeros aéreos detonó una discusión de proporciones internacionales puesto que las aerolíneas europeas se encontraban impedidas para hacer entrega de dicha información pues los términos de la normatividad mexicana contravenían los límites de la correlativa regulación europea en la matera. La entrada en vigor de la normatividad referida fue suspendida y sigue pendiente a la fecha mientras la UE negocia acuerdos en la misma materia con otros países.

Sin embargo el reciente caso de Volaris no deriva de algo siquiera remotamente tan complejo; es más, resultó de mera torpeza pero evidencia las consecuencias del cumplimiento normativo mal implementado y del mal seguimiento del caso.

La denunciante había llevado ya un procedimiento de protección de derechos en contra de la aerolínea derivado del que ésta habría bloqueado sus datos personales, lo cual se hace previo a la supresión definitiva de tal información. No obstante lo anterior dicha Titular manifestó haber recibido correos electrónicos de Volaris, además de «sospechar» que habrían transferido sus datos personales toda vez que habría recibido llamadas de terceras personas, concretamente de Banco Invex, que podría haber sido el caso considerando el plástico que ambas empresas tienen en cobranding, lo cual fue negado por la Responsable denunciada.

Volaris declaró ante el INAI haber obtenido los datos personales de la denunciante «…en un evento de activación o patrocinio, información que para su mejor manejo y cuidado fue almacenda dentro de nuestro sistema», y que «…la información a la que se hace referencia…no ha sido transferida o remitida a ningún tercero». En cuanto al fondo del asunto, pretendió justificar la omisión en el cumplimiento del Acuerdo fechado el 17 de octubre de 2013 en el expediente PPD.0095/13, en que se obligó a bloquear los datos de dicha Titular, y el envío de los correos electrónicos que detonaron su acción en que:

«…atendiendo al bloqueo que existe en el sistema respecto de los datos de la titular, y conforme al tiempo transcurrido se procedería a la eliminación de dichos datos, sin embargo al momento de proceder a su eliminación, por un error humano involuntario se activó el envío automatizado de correos promocionales, lo que ocasionó el envío de los correos referidos, situaciónque ha sido debidamente atendida».

«Es de precisar que lo anterior se debió sólo a un error humano involuntario, sin que en ningún momento se comprometiera la seguridad de los datos de la titular, error humano que solo provocó el nevío de lo (sic) correos promocionales referidos son (sic) otro efecto adicional».

Cabe preguntarse qué pensaba Volaris, o sus representantes, lograr con tal respuesta. Los principios generales del Derecho establecen que nadie puede alegar en su favor su propio dolo ni su propia torpeza; el error sólo beneficia a los terceros de buena fe, no así a la parte que incurre en él. Además, que yo entienda, todo error es involuntario, pues de no serlo hay dolo en vez de culpa, lo cual nos lleva a que la culpa por la omisión de un deber de cuidado también es sancionada. Igualmente cabe cuestionarse de qué manera estará armado el sistema de gestión, CRM o la herramienta que sea que tuviera Volaris para estos efectos que «…al momento de proceder a su eliminación (de los datos») por un error humano involuntario se activó el envío automatizado de correos promocionales…». ¿El ícono para la función de «Eliminar» estaba junto al de «Enviar Correos de Todos Modos», o cómo fue que se causó el error»?

Páginas adelante la denunciada manifiesta que el error humano consistió «…en que al momento de proceder a la eliminación, se activó de manera involuntaria por la persona que operaba el sistema el envío automatizado de correos promocionales…resulta importante precisar que se han tomado las medidas y acciones pertinentes para atender la anterior situación, en tanto que los datos de la peticionaria ya no figuran dentro del sistema activo y han sido exluidos de éste, por lo que dicha situación no volverá a generarse».

Lo anterior a pesar de que declaró también ante el INAI que «una vez que tuvo conocimiento del inicio del procedimiento de protección de derechos…procedió a informar al área responsable del contenido del mismo a efecto de proceder a la confirmación del bloqueo de los datos de la titular…el área resonsable confirmó el referido bloqueo…», lo cual o no es cierto o no fue ejecutado por el área referida, puesto que es obvia la incongruencia entre la manifestación de que los datos bloqueados hubieran estado al alcance del operador del sistema automatizado de correos promocionales y que no fue tras la primera solicitud ARCO ni del procedimiento de protección de derechos sino hasta después de recibida la denuncia que los datos de la Titular fueron excluidos del sistema activo; esto podría leerse como indicativo de que Volaris no había dado cumplimiento al Acuerdo tomado en el procedimiento de protección de derechos y podría haber sido considerada como reincidente, para los efectos de la determinación de la multa conforme al artículo 65, fracción V, de la Ley.

Lo más que podría abonar el alegato de torpeza que esgrimió la aerolínea es a intentar abordar el criterio para la determinación de la multa se refiere a la intencionalidad de la conducta infractora según la fracción III del artículo 65 de la Ley, pero no deja de parecer absurda en un contexto en que la misma Titular refiere haber llevado un procedimiento de protección de derechos ante el propio INAI derivado de un inicial incumplimiento de una solicitud ARCO anterior, reiterándose el alegato del error en el bloqueo de la información que interesa.

La propia denunciante expresó lo que el caso pone en evidencia: «…esta situación sólo da a entender que esta empresa no tiene control sobre la información que tiene y sobre el tratamiento que le da, ya que es la tercera vez que cometen esta clase de errores, y mi información está vulnerada y propensa a sus errores».

La resolución del INAI fue en el sentido que Volaris incurrió en la infracción prevista en la fracción XVI del artículo 63 de la Ley, consistente en continuar conn el uso iletítimo de los datos personales cuando se ha solicitado el cese de los mismos, la cual conforme al artículo 64, fracción III, de la propia Ley es de las consideradas como «graves» pues el margen para la sanción respectiva oscila entre las 200 a 320,000 veces el salario mínimo vigente en la Ciudad de México, habiéndose transgredido los principios de Licitud y Responsabilidad motivo por el cual se iniciará el procedimiento de imposición de sanciones en contra de Volaris.

La conclusión del caso es que la  debida implementación del cumplimiento normativo de protección de datos personales no puede quedar en meras formalidades, y muchas veces es indispensable involucrarse, hasta donde sea posible, en el desarrollo de las herramientas que nuestros clientes utilizan para la gestión de los datos personales por cuyo tratamiento son responsables. El propio INAI citó el articulado relativo al principio de Responsabilidad que a su juicio Volaris dejó de observar en el caso, al no haber contado con políticas y programas de privacidad, carecer de un sistema de supervisión y vigilancia interna, ni haber llevado a cabo la capacitación y concientización de su personal sobre la protección de datos personales que están obligados a observar. También al parecer de la autoridad de protección de datos Volairs no tenía mecanismos para el cumplimiento de sus omisas políticas de privacidad ni estableció medidas para el aseguramiento de los datos personales.

Es de esperarse que la sanción sea de una cuantía elevada, considerando que la infracción determinada se encuentra entre las de mayor margen, más incluso si el INAI considera a Volaris como reincidente. Sin duda una experiencia costosa.

Deja un comentario

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

Xavier Ribas

Derecho de las TIC y Compliance

Marcus Kazmierczak

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace

Cedric's Privacy Blog

SoshiTech - Soshitech.com

Technology News, Startup Information & Social Networking