archivo

IP/Propiedad Intelectual

The «#AppleWatch»; one «i» that Apple couldn’t dot…

12 septiembre, 2014
IP/Propiedad Intelectual, Technology Regulation
Deja un comentario

 

applewatch - CopyTuesday September 9th was the day that follower of Apple’s hoopla looked forward to, as the company from Cupertino had, as customary, gotten folks the world over hooked on its ballyhoo (performance and release of album by U2 included) over the iPhone 6 and its wearable device, which everybody expected would be named as «iWatch», following the branding convention set since the iMac, the first iPhone, the iPod (which will now be laid to rest -apparently Apple finally conceded that its devices were overlapping-), the iPad, and the service platform attached to them, such as the desecrated (since the «#CelebGate») iCloud and even the «iForgot» password retrieval feature.

However this wearable device, the thing of science fiction less than 30 years ago (when the Dick Tracy film was released), did not follow that branding convention. The New York Times ran a piece on it today, and so did I over a year ago. It essentially boils down to a matter of intellectual property, more specifically of trademark prosecution: the Times reports that since Apple was about to launch its TV product and Steve Jobs hinted it might be called «iTV», the British broadcaster ITV PLC would oppose it. Apparently now Swatch followed suit and took preemptive measures with the trademark offices of the world to make it known that Apple’s attempts to brand this device as an «iWatch» could lead to confusion relative to their iSwatch product (registered with Mexico’s Trademark Office «IMPI» -you can look them up through their MARCANET service-) for products under NCL 14 (clocks and watches), 35 (advertising and retail sales thereof) as well as 37 (repair thereof),

In the case of Mexico, as noted in that post herein from July 4th, 2013 and reported by news journal Reforma, a third party filed to register iWatch in advance of Apple, and ultimately both ran into a prior registration granted in 2011 to an Italian company «I’m, SpA», which began selling its I’m Watch in 2013. And that has not been the only case in which Apple found such obstacles to the pursuit of its naming convention; since last year the press in Mexico reported extensively on the case that mobile carriers here lost against a Mexican company that had secured the registration for «iFone» since 2002, under which resolution hefty fines were assessed against all three then-major carriers but not against Apple, as iFone, S.A. de C.V., had secured said registration for the head-class of Telecomm Services (NCL 38), but apparently not for equipment therefor (NCL 9).

In sum this case illustrates quite clearly how challenging it can be for a global company to follow and implement a branding convention the world over. For sure a company can file for «preemptive» or «defensive» registrations, but unlike domain names trade and service marks cannot be stockpiled indefinetly; both US and Mexican trademark law provide for a term of 3 years for a registered trade or service mark to be effectively used in commerce, or otherwise registrations thereof may be cancelled. It may be difficult for design and development departments to meet with that time window in getting products or services to the market.

Also it often happens that legal and marketing don’t see eye-to-eye, and that is generally a matter of mindsets. Whereas MKT would love for its brands to be the top of mind of consumers in their market niche, for legal that would mean risking the loss of registrations thereof on account of such marks becoming generic, and that would result in loss of valuable intangible assets. This day in age its essential for MKT to regard legal as an allied and an enabler, and for legal to guide MKT through the intricacies and nuances of intellectual property law in a way that affords the company’s intangible assets the best protection possible.

The #CelebGate Nude Photographs Hack of 2014; stormy skies for the cloud business

2 septiembre, 2014
IP/Propiedad Intelectual, Privacy/Protección de Datos, Technology Regulation
Deja un comentario

kateclouds - Copy(Katherine Heigl may have been among the victimized celebrities)

Despite all conspiracy theories as may abound, the massive hack of any number of celebrities iCloud accounts through which their intimate pictures were made public on Sunday was not the work of President Coriolanus Snow’s minions to attack the character of Katniss Everdeen and undermine her as the icon of the revolt against his oppresive regime. Contrary to many such hoaxes that proliferated in the days of the Web 1.0, back when imaging software was still so primitive you could easily tell that a celeb’s face had been pasted on a naked woman’s body’s picture, this time it’s very much for real.

Througout the past couple of days the attention of the media and public at large (put any of the URLs below into Bitly.com and you’ll see they’re all «Catching Fire» -pun totally intended, as Jeniffer Lawrence has been made into the poster girl for the victims of this attack-) has been captured by a massive breach of the security in Apple’s iCloud by a hacker who leaked into the 4chan message board heaps of snapshots that an A-List of female celebrities had taken in the intimacy of their private spaces for purposes that should not concern the public. The first thing stemming from this we should reflect upon is: does this matter in a world where there are/have been armed conflicts claiming thousands of lives and billions in damages going on in the Ukraine, Israel, the Gaza strip and Irak? Is it relevant when an infectious epidemic for which no efficient cure has yet been discovered spreads throughout Africa and seeps into other continents? Should we give a rat’s ass about these celebrities’ derrieres (and other parts) being so exposed?

In some way, and at some level, the answer is YES. For many lucky people, armed conflict remains something not to be experienced but in the very worst of scenarios, and they may never become exposed to the Ebola virus at all. However a massive leak of nude celebrity pictures powerfully calls the attention, and however out of people’s reach or leagues the inhabitants of the Olympus of stardom might be, the fact that a service they use as most other people do hits very close to home, and brings into question a number of things.

For starters, a word of warning to the E-peepers who would look upon such images: if not out of respect for them or themselves (as Mary E. Winstead has put forth), while the question of «how?» this hacker did it, which is for Apple and the Feds to answer, the question you should have on your mind before you view/download these images ought to be «why did he/she do it?». Do you really think that this person is a benefactor of the lewd and did this so that the lonely guys out there could have something of their liking to «entertain themselves» with? Or just to gain notoriety in hacking circles. I would not think so; it seems unlikely that such an undertaking would have been made just for kicks. Be warned that JPG and PNG images can, have been and are still used to inject systems with malicious codes written into them. So it might be reasonable to entertain the possibility that despite honest confirmations of the authenticity of the images by some of the celebrities involved, these images may have been tampered with prior to them being uploaded all the time knowing that they would have a wide audience precisely because they would have captured the attention of the media and the public. So potentially there is the risk that by perusing these pictures your system could now be part of a very large botnet, or that your personal information has been siphoned off of it.

Having said that, the First matter to address is what a parent is to say to his/her daughter/son about sexting, when it becomes a matter of public record that all these celebrities that youngsters look up to have made it a part of their intimacy? Just a week ago some parents in Virginia turned their daughter in to the police in order to prevent her from further involvement in sexting. For sure, it’s probably been going on since photography was invented (remember the part in Parenthood when Diane Weist gets the nude pictures that Martha Plimpton’s and Keanu Reeves’s characters had shot?), and the easy answer would be: they’re big girls, and they knew (or ought to have known) what they were doing and the risks involved. Even more so of course if the matter was a publicity stunt such as those trite celebrity sex tapes that «accidentally» got out and brought the figure(s) involved back under the spotlight.

The Second matter is that, as usual, public attention and outcry always comes when this happens to the high and mighty, but not so much so when it happens to «Jane Town». For years victims of «revenge porn» have been fighting for legislation to criminalize the act of disseminating intimate images of people without their consent. While anyone has the right to take this up to the authorities for them to attempt and prosecute the poster and those who aided and abetted him/her, as well as to sue to seek redress, it is all the more difficult (and expensive) for the average Jane or Joe on the street, whereas this case has speedily mobilized the Feds to prosecute the culprit.

And even if the culprit is ever apprehended, existing law may still have rather ample loopholes through which that person could elude some measures of liability. Also there’s the difficulty of getting the website operators to take the offending materials down, as many often benefit from exemptions afforded to «passive sites», much needed for the development of the Web and eCommerce as we know them today, which unfortunate collateral effect is sometimes that questionable sites get off the hook through the same avenues available to the reputable sites we all know, whether the «Communications Decency Act» or  §512 of the Copyright Act, supported by case law in law school case books (ie. Zeran v. America Online and Blumenthal v. Drudge) which is the reason these materials often show up on open sites, such as messages boards and other such, and also not on social networks, as their Terms of Use generally provide against sexually explicit, libelous and/or harassing content. I myself have succeed in having such content removed from some social networks in a case or two, and the accounts involved cancelled, but others can prove to not be as cooperative in so doing, or in producing the information of the user concerned. So getting such offending content removed from the Web may be a Herculean feat, or nearly impossible once it has «gone viral».

Another matter to consider is that not only these celebrities’ intimacy and dignity have been breached, but also their privacy as digital photographs have metadata embedded in them that can reveal the location where they were taken. That may not be a big deal if the photo shooting was done in a hotel while on location when a film was being shot; however the proposition is entirely different with pictures shot in the celebrities’ (or anyone elses’) homes.

Third, there’s the damage such instances can wreck on the reputation of the storage provider concerned, maybe even on the lot of them, at a time when all the major tech companies wage a price war in the market for cloud computing services, forcing smaller companies in the business of cloud storage, such as Box, Dropbox and Hightail, to «pivot» their business models. While under a theory of free markets with some antitrust checks such competition and pivoting may work to the benefit of consumers, who will have more innovative products and services at lower and more competitive prices, the fact is that this could be as harmful to Apple, specifically, and to the cloud business, generally, as the ignition switch recall was for General Motors. How could one rely on cloud storage services when an event such as this happens?

What exactly does Apple’s iCloud’s Security and Privacy Overview state?

Data Security

iCloud secures your data by encrypting it when it is sent over the Internet, storing it in an encrypted format when kept on server (review the table below for detail), and using secure tokens for authentication. This means that your data is protected from unauthorized access both while it is being transmitted to your devices and when it is stored in the cloud. iCloud uses a minimum of 128-bit AES encryption—the same level of security employed by major financial institutions—and never provides encryption keys to any third parties.

Security and iCloud Features
The table below summarizes how your data is secured when using various iCloud features:

iCloudChart - CopyBeg your pardon, but I’m a bit confused; right in the line where it says «iCloud.com», the column for Encryption on Server also says «All sessions at iCloud.com are encrypted with SSL. Any data accessed via iCloud.com is encrypted on server as indicated in this table.» so is the data itself encrypted while stored on their server, or is only the access thereto?

And as is customary, the provide as follows:

Your Account

As a registered user of the Service, you may establish an Account. Don’t reveal your Account information to anyone else. You are solely responsible for maintaining the confidentiality and security of your Account and for all activities that occur on or through your Account, and you agree to immediately notify Apple of any security breach of your Account. You further acknowledge and agree that the Service is designed and intended for personal use on an individual basis and you should not share your Account and/or password details with another individual. Provided we have exercised reasonable skill and due care, Apple shall not be responsible for any losses arising out of the unauthorized use of your Account resulting from you not following these rules.

So what exactly happens when it is the media at large, and not the user, that notifies Apple of security breaches to numerous accounts? You are looking at it, ladies and gentlemen.

Disclaimer of Warranties

APPLE DOES NOT REPRESENT OR GUARANTEE THAT THE SERVICE WILL BE FREE FROM LOSS, CORRUPTION, ATTACK, VIRUSES, INTERFERENCE, HACKING, OR OTHER SECURITY INTRUSION, AND APPLE DISCLAIMS ANY LIABILITY RELATING THERETO.

Of course, how could it? No system is impregnable (Spanish speakers, this means something entirely different in English); however, at which point and how should a line be drawn between a reasonable exemption from liability for companies in a business which participants are constantly beset by their own governments and foreign sovereigns, as well as rouge military units, so much so that even the NATO allies are about to include cyberattacks as a trigger for the Alliance’s defense mechanisms.

In sum, issues stemming from this case which are to be discussed and sorted out over the months (or years) to come range from personal issues for the affected celebrities, social issues because of the perception of these icons that youths might develop, as well as from the fact that as has been underscored all victims are female, technical issues for the security and privacy professionals working with and for tech companies (apparently the exploited vulnerability lay in the «Find my iPhone» app in the victims’ handsets), business issues concerning how to salvage the trust of tech users and consumers before the cloud business dissipates, as well as legal and political issues for lawmakers and regulators to respond to.

Preserving privacy and security online and on the cloud is paramount for contemporary life and business. While most people can do without racy/raunchy pictures of themselves and/or their intimate partners, or at least live without having them in digitial formats and available at any place and time, it would seem unfeasible and virtually (pun intended) unbearable to go back to life, work and entertainment the world over as they were in the 1970’s.

To close on a high note, even though some of the women affected by this attack make a (pretty decent) living on their physique, and at least one relies very heavily on her one ASSet and «talent» for selfies, the fact is that they are nevertheless persons and women, and the fact that they are performers does not necessarily mean that they have such thick skin to be 100% OK with their intimate images spread throughout the Web. For example, even though she was playing a stripper in Closer, and the film was quite ghastly, Natalie Portman had her full-frontal nude removed from the film: «Actress Natalie Portman ordered director Mike Nichols to remove her full frontal nude scenes from her latest movie Closer – despite playing a stripper in the film. Nichols is very protective of the 23-year-old beauty and agreed the topless footage was acceptable, but decided raunchy shots of her fully nude were gratuitous and should be deleted from the drama. Portman explains, «He wants to see my bare ass much less than (even) my father would. He’s as or more protective of me than my parents are. So doing sexual, physical stuff for him felt very uncomfortable

Pictogramas en Cajetillas de Cigarros y Derecho a la Imagen

15 agosto, 2014
IP/Propiedad Intelectual, Privacy/Protección de Datos
Deja un comentario

pictograma - Copysoledadfelix - CopyVan a ser 4 años desde que la regulación en materia de publicidad para productos del tabaco hizo obligatorio incluir en las cajetillas de esos productos las atroces imágenes o «pictogramas» con los que se busca desincentivar el consumo del tabajo. Pues hoy día El Financiero y La Jornada dan cuenta de que la Sra. Soledad Félix, de 72 años y residente en Ciudad Juárez, Chihuahua, cayó en cuenta de que es ella quien figura en las imagenes utilizadas para uno de tales pictorgramas, y por ese motivo ha presentado una queja ante la Comisión Estatal de los Derechos Humanos (CEDH) en Ciudad Juárez, pues la fotografía correspondiente habría sido obtenida sin su consentimiento mientras se encontraba internada en un hospital del Instituto Mexicano del Seguro Social en aquélla Ciudad, entre finales de 2009 e inicios del 2010, por causa de un infarto.

A decir de la oficina del Ombudsman chihuahuense, el hecho constituye una afectación el Derecho de Privacidad de la señora, y podrían resultar otros como discriminación y daño moral por aparecer en esa fotografía, donde se encuentra acostada en la sala de terapia intensiva (2010). Sin embargo, reconocen que el uso de los pictogramas obedece a un mandato de la Secretaría de Salud y no a una decisión propia de las tabacaleras, por lo que el asunto se circunscribe al ámbito de la Ley Federal para la Transparencia y Acceso a la Información Pública Gubernamental, y no al de la Ley Federal de Protección de Datos Personales, toda vez que la imagen está contenida en el «Acuerdo por el que se dan a conocer la serie de leyendas, imágenes, pictogramas, mensajes sanitarios e información que deberá figurar en todos los paquetes de productos del tabaco y en todo empaquetado y etiquetado externo de los mismos a partir del 24 de marzo de 2013«, mismo que contiene como «Pictograma 5 la imagen controvertida, y fundamenta el requerimiento de su uso en la Ley General de Salud, la Ley General para el Control del Tabaco y el Reglamento de esa Ley General.

Naturalmente una acción en contra de diversas empresas tabacaleras podría ser más interesante para quien se viera afectado en similares términos por el hecho propio y directo de un particular, puesto que una demanda por daño moral e infracción en materia de comercio a la Ley Federal del Derecho de Autor resultaría en una idemnización de al menos el 40% del precio de venta al público del producto original (nótese que en este caso no hay producto original), por la reparación del daño material y/o moral, así como indemnización por daños y perjuicios (art. 216 Bis) por la violación a los derechos conferidos por esa Ley, entre los cuales está incluído el derecho a la propia imagen (art. 87). El tema del derecho a la imagen ya ha sido explorado anteriormente en este blog, y concluyéndose que no existe a la fecha claridad suficiente sobre las normas que deberían ser observadas para el debido tratamiento de la imagen de una persona, debido a la omisión regulatoria que prevalece en materia de propiedad intelectual, además de muchas otras, con respecto a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Tratándose de un caso motivado por hechos ocurridos en un centro hospitalario a cargo del Estado, la indemnización que en su caso llegara a resolver como procedente la autoridad jurisdiccional estaría acotada, por virtud del artículo 14, fracción II, párrafo segundo de la Ley Federal de Responsabilidad Patrimonial del Estado a 20,000 días de salarí mínimo general vigente en el D.F., y preliminarmente podría asumirse pagadera por el Instituto Mexicano del Seguro Social, en tanto operador del referido centro hospitalario y que se habría debido a omisiones o actos de personal al servicio de dicho Instituto, quienes además podrían haber incurrido en transgresiones a la Ley Federal de Responsabilidades Administrativas de los Servidores Públicos, al menos y en principio por la omisión en el cuidado de la información y datos personales de la paciente quejosa, incluyendo imagen y estado de salud (la leyenda encabezado del pictograma incluso refiere puntualmente «INFARTO AL MIOCARDIO», motivo por el cual ella se encontraba internada en el nosocomio), de la Sra. Soledad Félix.

Es un hecho que la industria tabacalera se ha encontrado bajo ataque desde hace tiempo; incluso en los Estados Unidos de América se le ha vapuleado, a pesar de que el tabaco fue un cultivo clave en la etapa fundacional de la economía estadounidense. Hace 3 años que en Australia entró en vigor el Tobacco Plain Packaging Act, que para efectos constituyó una medida expropiatoria de la propiedad industrial de las tabacaleras, por impedirles hacer uso de sus marcas en los empaques, lo cual motivó que dichas empresas intentaran recurrir la medida ante la High Court de aquél país, aunque de manera infructusa.

Al respecto llama la atención el comentario de Leticia Félix, la hija de la Sra. Soledad, en el sentido que “la gente no se fija cuando abren las cajetillas de cigarros, porque tienen diferentes fotografías…”, y si es que el uso de los pictogramas y leyendas precautorias en las cajeitllas de cigarrillos cumplen o no su finalidad y propósito. Ante ello, vale la pena considerar la utilidad y bondad de este tipo de requerimientos regulatorios y la carga administrativa que se impone a las industrias reguladas y que pagan impuestos, respecto de otras alternativas para lograr los objetivos de salubridad pública y bienestar de la población que se persiguen con medidas como éstas.

 

pictograma 5 - Copypictograma2 - Copy

 

Baby pictures on display? Think twice and secure consent.

12 agosto, 2014
IP/Propiedad Intelectual, Privacy/Protección de Datos
Deja un comentario

BABYWALLS-master675-v3

What could be more innocent than a baby’s picture, or more moving that one of a mother or parents holding their newborn for the first time? Perhaps for the new family and the healthcare providers, but not necessarily for every beholder. Few things can make someone more personally identifiable than a photograph, and the care of a child, even more so a newborn, goes beyond healthcare. Less than a year ago a columnist for Slate wrote a piece on the pitfalls and perils for a child’s privacy and safety that may stem from posting her across social networks (there’s abundant literature to that regard online). Parents have certainly been keen since forever in capturing the fleeting moments of childhood for endearing recollection in later years, and sharing them on networks such as Facebook, Instagram, Flickr and the like may seem like the day in age equivalent of having your guests at social gatherings look at the Kodak carrousel slides or 8mm films of yesteryear… only it’s not. Those viewings remained in the privacy and care of the venues where they were held and of the people who attended; nowadays

For sure products such as Google’s make it possible to store for posterity heaps of cherished memories that would otherwise be lost to the mists of time. But parents should also consider that the processing of data with new capabilities for its mining, facial recognition, etc, and asymmetry in privacy regulation make it hard to foretell what may become of an image or video that you may believe is cute, but that their child could regard as humiliating or offensive later in her life.

Now those involved in the miracle of birth (starting with parents) have a duty to be mindful of what they do with the personal data of the child and her family, as it is then that they are the more vulnerable. I recall that sometime about 12 or 13 years ago, when some of the first bills that were mashed up into Mexico’s current data protection law were being discussed in the Commerce Committee of the Chamber of Deputies a representative of the Secretariat of Economy, who had recently become a mother, voiced her personal concern for having received an unsolicited basket with gender-specific baby care products at her home shortly after her delivery.

The New York Times ran a piece on how the accustomed collages of baby pictures in the offices of the obstetricians and midwives who assisted in their delivery are being moved out of the sight of the public or stored with their files and charts, as their display absent a properly executed consent form drafted under the Health Information Portability and Accountability Act (HIPAA), cutting against an age-old practice for a line of work that’s largely built on word of mouth, but founded on trust. As per that piece, heaps of baby pictures that used to go on walls are now filed with patient charts in times when «selfies» in the most varied of contexts are commonplace.

Mexico has yet to harmonize the statutes and regulations that intersect with its novel privacy law, but it’s a fact that pictures also constitute personal data covered under the Federal Law for the Protection of Personal Data in Possession of Private Parties and Regulations thereto. There’s an entry in this blog where I go over the issues for legal interpretation and practice in dealing with images that stem out of this; in the particular case of celebratory baby pictures in the context of the privacy of health information and records, the Mexican Official Norm 004-SSA3-2012  only has one provision referring to the publication of photographs in health records that make it possible for the patient to be identified, limiting it to medical literature, teaching or research, stating that written consent from the patient shall be required, and that necessary measures shall be taken so that said patient may not be identified, which must be written into informed consent notices for the purpose of providing health services, but which anonymization would undermine the whole purpose of baby or delivery pictures displayed as the newspiece from the Times refers.

Therefore, and until health authorities in Mexico undertake and conclude the aforesaid work of harmonizing privacy laws and issue express criteria on such matters, it could be assumed that pictures taken by the parents, or by health care providers at their request, to commemorate the birth of their children might not be regarded as materials comprised with the definition of «Health Record» under said Norm, as they are not intended for recording, annotating, attesting or certifying the part of the health care providers in the patient’s care and, therefore, could be thought of as not subject to it, but to the more general privacy law, whereby individuals are to be explicitly informed as to the use of their images for purposes of promotion and/or marketing, and their express consent therefore is required since all information concerning health is provided to be sensitive, regardless of how obvious or not pregnancy or birth could be.

#DerechoalOlvido: Sentencia vs #Google del Tribunal de Justicia de las Comunidades Europeas

22 julio, 2014
IP/Propiedad Intelectual, Privacy/Protección de Datos, Technology Regulation
Deja un comentario

URE 08-20URE 08-20(2)Uno de los principios de mi práctica profesional es que decir que algo no es posible no requiere estudio; se puede decir que «no» siendo absolutamente ignorante, pero un abogado competente debe explicar claramente el por qué del «no», y al menos intentar concebir una estructura conforme a la que sí sea posible, salvo que la materia de la consulta sea ilegal.

Para ser competente como abogado de empresas de tecnología, sean o no start-ups, no basta ser capaz en derecho corporativo, «cyberlaw» o protección de datos; un interesante artículo en el número 73 de Stanford Lawyer Magazine contiene (vid. pp. 14-23) entrevistas con los entonces abogados internos de Microsoft, Google, Cisco, eBay, Yahoo!, Qualcomm, Autodesk y Oracle (TODOS egresados de STANFORD LAW SCHOOL), que ilustran la necesidad de ser también capaz en el ámbito de la propiedad intelectual, la competencia económica, incluso derecho fiscal y comercio exterior, como lo hacen los casos de competencia económica que han enfrentado Microsoft y Google, ya sea por la esctructura de su sistema operativo o su negocio de búsquedas y anuncios, respectivamente. Claramente no es posible que un solo abogado maneje todas esas materias en todas las jurisdicciones en las que compañías globales como esa tienen operaciones, pero es importante entenderlas y mantenerse actualizado.

En línea con ese afán de actualización, el martes 8 de julio del presente año el IFAI fue anfitrión de una conferencia dictada por el Dr. Oscar Puccinelli, quien expuso los aspectos relevantes y consideraciones que le merece la sentencia en contra de Google dictada por el Tribunal de Justicia de las Comunidades Europeas en materia del llamado «Derecho al Olvido«; es decir, la facultad reconocida al individuo para ejercer su autodeterminación informativa de forma tal que, dentro de ciertos límites, la información de su pasado no lo persiga indefinidamente, afectándolo en sus relaciones o en el acceso que pudiera o no llegar a tener a ciertas prestaciones.

Antes de la entrada en vigor de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares dicha prerrogativa era reflejada en el artículo de la Ley para Regular las Sociedades de Información Crediticia (conocidas coloquialmente como «burós de crédito»), cuyo artículo 23 prevé  tanto la obligación de dichas Sociedades de conservar los historiales crediticios de personas físicas y morales que les sean proporcionados por sus Usuarios durante al menos 6 años (72 meses), y de eliminar una vez transcurrido ese plazo la información que refleje el incumplimiento de cualquier obligación, lo cual atiende al Principio de Calidad que informa a la LFPDPPP. A dicho respecto conviene destacar que la fracción I, del artículo 2 de la LFPDPPP excluye de su aplicación a las Sociedades de Información Crediticia.

Actualmente la disposición citada tiene su correlativa más general en el artículo en el párrafo tercero del artículo 11 de la LFPDPPP, conforme al cual:

«El responsable de la base de datos estará obligado a eliminar la información relativa al incumplimiento de obligaciones contractuales, una vez que transcurra un plazo de setenta y dos meses, contado a partir de la fecha calendario en que se presente el mencionado incumplimiento.»

Ahora bien, el caso materia de la conferencia del Dr. Puccinelli, que como apuntó él tuvo el efecto contrario al que perseguía el Titular de los Datos Personales en cuestión (pues además de haber sido ampliamente reportado en la prensa, ahora será recordado siempre en análisis académicos y doctrinarios como éste), versó sobre la interpretación de los siguientes artículos de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, del 24 de octubre de 1995, relativa a la protección de las personas físicas respecto del Tratamiento de Datos Personales y libre circulación de estos:

  • 2, incisos b) y d),
  • 4, apartado 1, incisos a) y c);
  • 12, inciso b), y
  • 14, párrafo primero, inciso a).

Lo anterior con relación al litigio entre ambas empresas de Google Inc., Google Spain, S.L. y la Agencia Española de Protección de Datos y el Sr. Mario Costeja González con motivo de la resolución de la AEPD que consideró procedente la reclamación de dicho Titullar contra aquéllas sociedades, ordenándoles retirar los datos del Titular de su índice e imposibilitar el acceso futuro a ellos. El caso se originó porque el Titular presentó una reclamación contra el diario La Vanguardia Ediciones, Google Spain y Google Inc., puesto que al realizar una búsqueda con su nombre aparecían vínculos hacia los ejemplares del 19 de enero (atención cinéfilos, el aviso de la almoneda que originó el caso fue publicado junto a una nota del caso de Ramón Samperio, que inspiró la película «Mar Adentro«)  y 9 de marzo del ’98, en que aparecían anuncios de la subasta de inmuebles propiedad del Titular con motivo de un adeudo con la Seguridad Social española, los cuales exigió a La Vanguardia eliminar o modificar de forma que sus datos no fueran visibles, y a Google eliminarlos u ocultarlos para que dejaran de aparecer en los resultados de búsqueda y de estar ligados a los enlaces de La Vanguardia, puesto que el embargo de mérito había sido resuelto y, por lo tanto, los datos ya no eran relevantes.

La AEPD desestimó la reclamación contra La Vanguardia, por considerar a las publicaciones como justificadas, al haber sido realizadas por orden del Ministerio de Trabajo y Asuntos sociales, para dar publicidad a la subasta. Por el contrario, consideró procedente la reclamación contra las empresas Google, que administran motores de búsqueda sujetos a las normas de protección de datos personales, pues llevan a cabo el Tratamiento de tal información, por lo que son Responsables «…y actúan como intermediarios de la sociedad de la información», por lo que dicha Agencia contaba con facultades para ordenar que se retiraran los Datos y se imposibilitara el acceso a ellos en caso de lesionar los derechos a la protección de datos y dignidad de la persona.

Los aspectos relevantes que resultan del fallo del Tribunal son los siguientes:

  1. Jurisdicción y Aplicación Territorial: Por principio, si es que una oficina de venta de publicidad, nombrada representante y responsable del Tratamiento de archivos y para atender solicitudes de protección de datos, constituye o no un «Establecimiento», para efectos de la Directiva y la Ley nacional, y la interpretación de «recurso a medios situados en el territorio del Estado miembro» respecto del uso de programas robot para localización e indexación e información o el uso de un nombre de dominio de un Estado miembro, dirigiendo sus búsquedas y resultados en el idioma de ese Estado. A pesar de que Google Spain argumentó ser sólo la oficina en un Estado miembro para efectos de venta de publicidad, por lo que no opera el buscador, el Tribunal consideró que esa es una actividad comercial estrechamente vinculada a Google Search, por existir un vínculo indisociable entre la publicidad y las búsquedas. Al realizar tal actividad comercial un Responsable establecido en varios Estados miembros debe garantizar que c/u de sus establecimientos cumpla las obligaciones impuestas por el Derecho nacional aplicable a sus actividades. Fijó 3 criterios para definir si un establecimiento del Responsable lleva a cabo Tratamiento de Datos Personales en un Estado: (i) el proveedor del motor de búsqueda crea en un Estado una oficina o filial para promover  o vender publicidad dirigida a los habitantes de ese Edo., lo cual fue juzgado como cumplido, considerando además que la Directiva no exige que el Tratamiento sea realizado materialmente por el establecimiento, sino en el marco de sus actividades, que están indisolublemente ligadas; (ii) cuando la matris designa a su filial en ese Estado como representante/responsable del Tratamiento de archivo relacionados con quienes contrataron la publicidad, o (iii) cuando la oficina o filial traslada a la matriz fuera de la UE solicitudes y requerimientos de Titulares y autoridades sobre protección de datos.
  2. Obligaciones de los Administradores de Motores de Búsqueda: Si debería interpretarse como «recurso a medios, el almacenamiento termporal de información indexada por buscadores de Internet, si es que tal actividad debiera ser interpretada como Tratamiento de Datos Personales, y en la afirmativa si es que la administradora de las búsquedas sería Responsable del Tratamiento de los Datos Personales encontrados en las páginas que indexa, al igual que si podría la autoridad de control exigirle que retire la información publicada por terceros, sin exigírselo a esos terceros, o si quedaría relevada de responsabilidad si dichos terceros hubieran publicado y mantenido los datos en su página web. Las empresas Google sostuvieron que su actividad no puede ser Tratamiento, porque no discriminan entre Datos Personales y otra información, ni ejercen control sobre ellos. Sin embargo el Titular, 5 gobiernos nacionales y la Comisión Europea sostuvieron lo contrario, puesto que los motores de búsqueda determinan la Finalidad y medios del Tratamiento, lo cual confirmó el Tribunal, puesto que recoger, extraer, registrar y organizar, conservar, comunicar y facilitar el acceso a Datos Personales consituye su Tratamiento. Asimismo consideró al motor de búsqueda como Responsable de tal Tratamiento, puesto que determina los fines y medios del mismo, independientemente de la falta de control que tenga sobre el contenido de las páginas de terceros, por llo que debe garantizar que su actividad cumple con la Directiva 95/46. Las empresas Google sostuvieron que por Proporcionalidad la petición para eliminar los Datos Personales debería dirigirse a la fuente, por ser quien puede analizar la licitud de la publicación y cuenta con medios para evitar el acceso a la información. Sin embargo el Tribunal consideró que el Tratamiento controvertido podría afectar significativamente los derechos fundamentales del titular, por permitir a cualquiera obtener una lista de resultados con información del Titular, en cuya vida privada no se justifica la injerencia del motor de búsqueda por su interés económico, sin perjuicio de lo cual expresó la necesidad de atender a las repercusiones en el interés legítimo de los internautas interesados en la informació y encontrar su justo equilibrio respecto de los derechos del Titular afectado. Determinó que tanto la autoridad de control como judicial pueden ordenar al administrador que elimine de la lista de resultados con el nombre de una persona vínculos a las páginas de terceros que contenga información de esa persona, sin que por ello sean eliminados previa o simultáneamente de la página, dado que la información de un sitio (posiblemente publicada al amparo de alguna excepción legla) puede ser reproducida en otros, cuyos Responsables no siempre estarán sujetos al Derecho de la Unión, lo cual impediría la protección integral de los Titulares, si estos tuvieran que obtener previa o simultáneamente la eliminación de la información que les afecta. Concluyó que el administrador del motor de búsqueda tiene obligación de eliminar de los resultados los vínculos a páginas web publicadas por terceros que es hubieran encontrado por la búsqueda de su nombre y contenga información relativa a él, aunque tal información no sea borrada de las páginas web y su publicación en ella hubiera sido lícita.
  3. Derecho de Cancelación/Oposición con relación al Derecho al Olvido: Si es que la supresión y bloqueo facultan al Titular para dirigirse a los buscadores para impedir la indexación de sus Datos Personales publicada en páginas de terceros. Las empresas Google, 3 gobiernos y la Comisión Europea consideraron que debería responderse negativamente, pues los Titualres no tienen derechos conferidos por el solo caso de considerar que el Tratamiento puede perjudicarles o quieran que sus Datos queden en el olvido, en tanto que el titular, España e Italia sostuvieron que aquél podía oponerse a la indexación de sus datos porque su derecho a la protección de estos y el respeto a su vida privada deberían prevalecer sobre los intereses del Responsable y la libertad de información. El Tribunal estimó que la información debería ser eliminada cuando por las circunstancias hubiera dejado de ser adecuada, pertinente o proporcional a los fines del Tratamiento. Incluso sostuvo que el derecho del Titular prevalece sobre el interés del público en encontrar información de la persona en una búsqueda con su nombre, salvo que el Titular fuera una figura pública, interés que no encontró en este caso por la antigüedad de la información.

En resumen:

  • La actividad del motor de búsqueda debe considerarse como Tratamiento de Datos Personales, y su administrador debe considerarse como Responsable de ese Tratamiento.
  • Se realiza el Tratamiento de Datos Personales en las actividades de un establecimiento del Responsable en territorio de un Estado miembro cuando el administrador crea una sucursal o filial en ese Estado para promover o vender publicidad dirigida a los habitantes de ese Estado miembro.
  • El respeto a los derechos del Titular exige del Responsable eliminar de la lista de resultados que entrega con el nombre de una persona los vínculos a páginas de terceros con información de esa persona cuando los Datos no se borren de manera previa o simultánea de ellas, aunque su publicación hubiera sido lícita.
  • Es preciso analizar si el titular tiene derecho a que su información ya no sea vinculada a la lista de resultados, sin presuponer que la mera inclusión le perjudique, pues sus derechos prevalecen sobre el interés económico del administrador del motor y del del público para acceder a la información, salvo que el Titular sea una figura pública tal que la injerencia en su vida se ameritase por el interés del público.

Por novedoso que parezca el tema, el Dr. Puccinelli expuso que el derecho al olvido ha sido considerado desde 1981, en el Convenio de Estrasburgo; 1990, en la Resolución 45/95 de la ONU, y que en 1992 la Corte Constitucional de Colombia había resuelto, aun sin una ley positiva aplicable, sore la «caducidad del dato financiero negativo» en su sentencia T-414-92, destacando la asimetría en la regulación nacional que fija el plazo de supresión a 6 años en España, 5 en Dinamarca y 3 en Suecia. Posteriormente resumió los puntos de la sentencia expuestos párrafos arriba , y destacó sobre el resultado del caso el que se haya dejado como optativo para la fuente original el conservar o suprimir la información misma, no obstante la obligación a cargo del motor de búsqueda por suprimirla de sus listas de resultados, así como el riesgo que supone para las empresas de tecnología la posiblidad de afrontar sanciones económicas determinadas con base en su ingreso global, no sólo en el país en que se hubiera originado el caso, ante el desacato de una resolución como la que se comenta.

Jonathan Zittrain escribió en su blog sobre El Futuro de Internet algunas opiniones interesantes sobre el caso. Por principio, en adición a la ironía que el Dr. Puccinelli mencionó en su conferencia, plantea la posibilidad de que la omisión del nombre de una persona en los resultados de una búsqueda que debiera incluirlo genere una impresión más negativa que su inclusión. Plantea la posibilidad de un repositorio central, por el cual investigadores y académicos pudieran analizar las causas de la supresión de los datos. Además expone que la sentencia del Tribunal ha tenido como resultado un recurso por el cual los Titulares pueden lograr la supresión de su información a juicio suyo y de Google, sin revisión de una autoridad que pondere la relevancia pública de la persona, excepción planteada por el propio Tribunal, lo cual resulta en una incongruencia, pues lleva al mismo punto que inició la controversia: que personas de derecho privado decidan sobre la procedencia o improcedencia de las solicitudes de supresión, convirtiendo el ejercicio de los derechos fundamentales que se pretende tutelar en un asunto de atención al cliente, y socavando a la autoridad europea. Considera atinado el que Google hubiera notificado a fuentes europeas de la eliminación de enlaces a sus publicaciones, aunque ello hubiera motivado un manejo negativo ante la opinión pública, como se dio a través ciertos encabezados. Finalmente, postula un sistema parecido al registro de copyright en los EE.UU.A., mediante el cual los Titulares interesados deberían proporcionar datos de contacto para ser notificados de cuándo la caducidad de una eliminación estuviera próxima.

Otro aspecto que vale la pena destacar es que el numeral 3 del artículo 28 de la Directiva confiere a la autoridad de control «…poderes efectivos de intervención, como, por ejemplo, el de… ordenar el bloqueo, la supresión o la destrucción de datos, o incluso prohibir provisional o definitivamente un tratamiento…». Ello puesto que el texto citado le otorga a dichas autoridades facultades ejecutivas para realizar actos de molestia y/o privación en contra de los Responsables del Tratamiento de Datos Personales, en tanto que la LFPDPPP es únicamente punitiva, puesto que sólo faculta al IFAI para imponer sanciones administrativas monetarias por la contravención de dicho estatuto y las normas que emanan de él.

Llama la atención el prounuciamiento del Tribunal en cuanto que «…toda vez que dicha presentación de resultados está acompañada, en la misma página, de la presentación de publicidad vinculada a los términos de búsqueda, es obligado declarar que el tratamiento de datos personales controvertido se lleva a cabo en el marco de la actividad publicitaria y comercial del establecimiento del responsable del tratamiento en territorio de un Estado miembro…» por lo que «…no se puede acpetar que el tratamiento de datos personales…se sustraiga a las obligaciones y a las garantías previstas por la Directiva…»

Claramente la motivación de tal pronunciamiento radica en la esencia garantista de la Directiva (vid párrafo 66: «…la Directiva 95/46 tiene por objeto garantizar un nivel elevado de protección de las libertades…de las personas físicas… sobre todo de su vida privada, en relación con el tratamiento de datos personales…») y la legislación nacional que se desprende de ella. Sin embargo, el fondo del mismo remite a casos como los ya mencionados de antaño (Ligue contre le Racisme et l’Antisemitisme c. Yahoo! Inc), más recientemente del propio Google y la supresión de vínculos ordenada por una corte canadiense, así como el de Microsoft, tratando de oponerse a una orden judicial estadounidense para hacer entrega de información en su data center en Irlanda, que ilustran el estira-y-afloja entre gobiernos nacionales y empresas transnacionales en el sector de tecnologías de la información; mientras aquellos buscan por todos los medios posibles encontrar argumentos coherentes para justificar el ejercicio de jurisdicción personal o territorial sobre éstas, dichas empresas ven sus modelos de negocios presionados, incluso amenazados, por múltiples frentes, al menos con incremento de costos o incluso con el riesgo de perder clientela ante competidores menos expuestos a tales acciones.

Por principio, es cierto que en tanto derecho humano reconocido en y tutelado por múltiples instrumentos jurídicos internacionales y nacionales, la protección de datos y facultades que de ella emanan debe ser protegida en la mayor medida posible por los diversos Estados en los que compañías de tal complejidad y sofisticación operan. Por otra parte, es necesario ponerlo en una balanza, y en justa proporción y medida, con los beneficios que la actividad innovativa de dichas empresas reportan a la sociedad en general, e incluso en particular a los individuos cuyos datos personales y privacidad ameritan dicha protección.

En todo caso, nada en tecnología e Internet es un «juego de suma cero»; la pérdida u obstáculo para uno es la ganacia de otro. Mientras que Google ha tenido que invertir en el desarrollo e implementación de medios para cumplir con el fallo del Tribunal, empresas como Hit Search, Reputation.com, etc., dedicadas a la «administración de reputación», comienzan a ver un área de oportunidad para el crecimiento y desarrollo de sus negocios.

Usar Contraseñas Inadecuadas Expondría a Multas del IFAI

10 julio, 2014
IP/Propiedad Intelectual, Technology Regulation
Deja un comentario

ReformaContraseñas

Incorrect PasswordEl martes Reforma publicó una nota sobre lo común que es el uso de contraseñas poco robustas en empresas que, de suyo, son responsables del tratamiento de dado personales. Empresas especializadas en seguridad y protección informática como Symantec y Mattica reportan amplia y frecuentemente al respecto; y si, en efecto es muy común que la gente use «password», su nombre o fecha de nacimiento, o los de una persona cercana a ellos, como contraseña.  El asunto no es de poca importancia, ya que podría exponer a tales responsables a sanciones por el IFAI.

Ello dado que la Ley y su Reglamento consagran 8 principios rectores en sus artículos 6 y 9, respectivamente; uno de ellos es el de Responsabilidad, desarrollado en los artículos 14 y 47 de la Ley y Reglamento, respectivamente, el cual consiste, esencialmente, en que el respnsable lo es ante los titulares de los datos tratados y ante la autoridad por el tratamiento que lleva a cabo, y ello incluye la seguridad de tales datos, que debe ser implementada a través de medidas físicas, administrativas y técnicas tendientes a prevenir o evitar que ocurran las vulneraciones de seguridad previstas en su artículo 63, a saber:

  1. La pérdida o destrucción no autorizada;
  2. El robo, extravío o copia no autorizada;
  3. El uso, acceso o tratamiento no autorizado, o
  4. El daño, la alteración o modificación no autorizada.
Con la intención de orientar a los Responsables en la determinación de las medidas de seguridad que deberían implementar en el Sistema de Gestión de Seguridad de Datos Personales con el que deberían contar de acuerdo con sus Recomendaciones en Materia de Seguridad de Datos Personales, a fin de poder acogerse al beneficio de atenuación de sanciones previsto por el artículo 58 del Reglamento, el IFAI desarrolló una Metodología de Análisis de Riesgo «BAA», que son las siglas para «Beneficio (para el atacante), Accesibilidad (para dicho atacante) y Anonimidad (del atacante)». El asunto de las contraseñas inseguras se relaciona directamente con el tema de Acceso a los Sistemas de Tratamiento de Datos Personales.
Para empezar, las contraseñas se denominan técnicamente «Factores de Autenticación«: mecanismos, tangibles o intangibles, basados en dispositivos, o en características del Usuario o información que sólo éste posea o conozca que se utilizan en las técnicas y procedimientos para verificar su identidad y facultad para reaizar operaciones en tales Sistemas. A este respecto es importante mencionar que en términos de los artículos 89 y 90, fracción II, del Código de Comercio, la combinación de un nombre de usuario y su contraseña constituyen una Firma Electrónica, y como tal su uso produce los mismos efectos jurídicos que la firma autógrafa, generando la presunción de que quien hizo uso de ellos era el respectivo Usuario. Dicho de otro modo, no proteger debidamente el nombre de Usuario y contraseña de acceso a un Sistema expone a dicho Usuario al riesgo de que las acciones realizadas por el tercero le sean atribuidas, y por ello pudiera ser sujeto de responsabilidad laboral, civil o incluso penal.
De acuerdo con la Metodología de Análisis de Riesgo BAA del IFAI, las medidas de seguridad deben ser determinadas considerando, además del Nivel de Riesgo Inherente de los datos personales tratados, y el Riesgo por Tipo de Dato, el Nivel de Anonimidad del Entorno desde el cual se acceda a los Sistemas de Tratamiento del Responsable. Para ello se determinaron 5 clases de Entornos, gradados de menor a mayor anonimidad:
  1. Físico;
  2. Red Interna;
  3. Red Inalámbrica;
  4. Red de Terceros, e
  5. Internet.

De tal manera, si el Responsable únicamente da Tratamiento a los Datos Personales a través de Sistemas en medios Físicos, como expedientes impresos, archiveros, directorios, etc., debería determinar qué Usuarios pueden o deben tener derecho para acceder a ellos, con qué nivel, y conservar un registro de los accesos realizados.

Por otra parte, si el Responsable da Tratamiento a los Datos Personales a través de Sistemas en una Red Interna, debería asignar a los Usuarios un identificador único (nombre de Usuario), y requerirles el uso de contraseñas de mínimo 10 a 12 caracteres, determinadas siguiendo buenas prácticas de seguridad.Si el acceso a los Sistemas de Tratamiento se lleva a cabo por medio de alta anonimidad, como redes inalámbricas o Internet, además se debe identificar a los Usuarios por medio de la dirección MAC o IP mediante la cual acceden, entre otras medidas.

Ahora bien, en caso de que la falta de constraseñas de acceso adecuadas provoque una vulneración de seguridad, la obligación de los Responsables es notificar a los Titulares afectados sobre (i) la naturaleza del incidente; (ii) los datos personales comprometidos; (iii) las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses; (iv) las acciones correctivas realizadas de forma inmediata, y (v) los medios donde puede obtener más información al respecto.

Por ejemplo, un banco o SOFOM notificaría a sus tarjetahabientes que se dio un acceso no autorizado a sus sistemas de administración de cartera de crédito al consumo, por el que fueron sustraídos números de tarjeta de crédito y datos de identificación y ubicación de sus titulares (los cuales son considerados como de «riesgo reforzado» en las Recomendaciones de Seguridad del IFAI), por lo que las vulnerabilidades explotadas por el atacante están siendo resueltas y se les expidrán nuevos plásticos, a fin de evitar que el uso indebido de la información sustraída les provoque perjuicios patrimoniales.

¿Cuál es el riesgo al que se exponen los Responsables que no implementen una Política de Privacidad, incluyendo debida capacitación, ni Medidas de Seguridad que requieran a sus trabajadores o prestadores de servicio para resguardar debidamente sus Factores de Autenticación y tener contraseñas robustas? Una multa de 100 a 160,000 veces el salario mínimo general vigente en el D.F., con fundamento en el artículo 64, fracción II, de la Ley (dependiendo de la capacidad económica del infractor, la naturaleza de los datos vulnerados y el carácter intencional de la infracción conforme a su artículo 65), por dar tratamiento a los datos personales en contravención al citado Principio de Responsabilidad, infracción prevista en el artículo 63, fracción IV, de dicha Ley.

 

#FACEBOOK ALMIGHTY??!! #FacebookExperiment Above the Law in Psychology Research and Privacy?

9 julio, 2014
IP/Propiedad Intelectual, Privacy/Protección de Datos, Technology Regulation
Deja un comentario

FB-AlmightyYes, the image that tries to illustrate this post is really crude and concocted; it’s not meant to be a meme, and it wasn’t even made using proper imaging software. Perhaps someone with the time and skills may take it upon his/herself to improve on it. However it might help get a point across.

Since Monday last week media outlets, ranging from Forbes, the Times and the WSJ to CNN EXPANSIÓN, have reported on a so-called «study» conducted by Facebook’s data scientists on hundreds of thousands of «randomly selected users», by manipulating the amount of positively or negatively charged posts made visible to them in their timelines, with which they were allegedly looking to establish how emotions spread on social media.

Although this remark’s probably been flogged to death already, I’m certain that social science and literature majors across the world are (again) going: «If he were alive, George Orwell would say «I hate to say I told, BUT I TOLD YOU!»». The machinery of the «Minitrue» in his novel «1984» would pale in comparison to the Web 2.0, and even more so the «Internet of Things».Episodes such as the panic raised by Orson Welles’s broadcast of «War of the Worlds» or the viral hoaxes of the late 90s and early XXth Century seem like child’s play now, compared to the episodes of panic and the threats to privacy posed by social media.

Facebook’s lawyers ought to be smelling a(nother) class action brewing miles away…Oh, no, wait! The Electronic Privacy Information Center has already filed a complaint with the Federal Trade Commission on account of this episode,claiming that «At the time of the experiment, Facebook did not stat in the Data Use Policy that user data would be used for research purposes. Facebook also failed to inform users that their personal information would be shared with researchers». So where exactly does that fin in the «How We Use Information we Receive» section of their Data Use Policy?

«For example, in addition to helping people see and find things that you do and share, we may use the information we receive about you:
  • as part of our efforts to keep Facebook products, services and integrations safe and secure;
  • to protect Facebook’s or others’ rights or property;
  • to provide you with location features and services, like telling you and your friends when something is going on nearby;
  • to measure or understand the effectiveness of ads you and others see, including to deliver relevant ads to you;
  • to make suggestions to you and other users on Facebook, such as: suggesting that your friend use our contact importer because you found friends using it, suggesting that another user add you as a friend because the user imported the same email address as you did, or suggesting that your friend tag you in a picture they have uploaded with you in it; and
  • for internal operations, including troubleshooting, data analysis, testing, research and service improvement.»

This episode just adds to the social network’s poor privacy track record, tracing back to the «Beacon» shortly after its inception, which has now again put it in hot water, as it did in the episode that ended with the 2012 consent decree entered into with said FTC, and adds to privacy and ethics concerns raised by other technology companies and seemingly rouge scientists in their employment, such as the one about Google Street View picking up information from unencripted WiFi networks, which got it fined by Germany, and Orbitz’s profiling of PC and Mac users, pointing to how easily (and perhaps even dangerously) online media could manipulate us users on a global scale.

While it seems likely for Facebook to hold that the study was fair game under the blanket consent that must be granted to sign up for and continue to use the service (when its Terms of Use and/or Privacy Policy are modified or updated), privacy activists and common sense are likely to contend that notion. This instance will undoubtedly be hotly debated in court in more than one jurisdiction; that raises (again) a question of Internet law that has been debated since its early days: whether or not Internet-based businesses are under obligation to abide on a global scale by the laws of each and every jurisdiction their operations might extend to, which is a daunting thought for undertakings that can reach any corner of the world with Web access. That point of law has been taken a stab at by courts since the Tribunal de la Grand Instance ruled against Yahoo! in the 2000 case of la Ligue contre le Racisme et l’Antisemitisme c. Yahoo! Inc, to the more recent one where the Supreme Court of British Columbia enjoined Google from displaying links to search results for the sale of infringing software.

However the issues at the core of those cases are more complex than Facebook’s instance. I see no difficulty in Facebook sorting out where the users singled out for its trials reside in order to secure their consent prior to their engagement in them. And that’s the question at the core here: whether or not Facebook erred by not having done so. General consensus, whether stemming from public opinion, ethical guidelines or the law is it did. While product testing is an every-day need and reality in business, when a product or service has the ability to mess with people’s minds there ought to be a heightened duty of care, and of accountability, on the part of the product or service provider, given the harm it may inflict upon the subjects involved, the people near them and even their communities.

The atrocities of World War II yielded the Nuremberg Code, which lays down the principles of ethics to be met in all human experimentation that are (to be) followed in such undertakings and extend to everyday medical practice, and which cornerstone is voluntary and duly informed consent of the subject(s), which appears to have been largely absent here. Granted, whereas psychiatry is medical practice, psychology is not. However Standards 3.10 and 8.02 of the Ethics Code of the American Psychological Association prescribe as follows:

3.10 informed consent

(a) When psychologists conduct research or provide assessment, therapy, counseling, or consulting services in person or via electronic transmission or other forms of communication, they obtain the informed consent of the individual or individuals using language that is reasonably understandable to that person or persons except when conducting such activities without consent is mandated by law or governmental regulation or as otherwise provided in this Ethics Code.

8.02 informed consent to research

(a) When obtaining informed consent as required in Standard 3.10, Informed Consent, psychologists inform participants about (1) the purpose of the research, expected duration, and procedures; (2) their right to decline to participate and to withdraw from the research once participation has begun; (3) the foreseeable consequences of declining or withdrawing; (4) reasonably foreseeable factors that may be expected to influence their willingness to participate such as potential risks, discomfort, or adverse effects; (5) any prospective research benefits; (6) limits of confidentiality; (7) incentives for participation; and (8) whom to contact for questions about the research and research participants’ rights. They provide opportunity for the prospective participants to ask questions and receive answers.

An important conclusion stems from the above: informed consent in the practice of psychology is not the same as a privacy notice under US laws, regulations and/or ethical standards. The same is true under the Code of Ethics of the Mexican Psychology Society, which article 118 states that informed consent must be obtained whether for therapy, research or other procedures. It is also not the same as a «consent notice» or «aviso de privacidad» as provided for in the Mexican privacy law. This refers back to the question a few paragraphs above: was Facebook under obligation to abide by the laws and regulations of the domicile of each and every single one of its almost 700,000 users targeted in its «study»? That will be the subject matter of another entry herein; at this point the last idea I want to convey as far as Mexican privacy law and practice go is the following:

Although the requirements of voluntary informed consent in the practice of medicine and psychology may overlap, as the investigation and MXN$485,700.00 fine assessed by IFAI, the Mexican data protection authority, fined WTC Sports Clinic, a physical therapy and outpatient surgery clinic, show, the means to secure such consent as per each of the laws and regulations governing each area of practice do not suffice to meet with the requirements of the others, so that practitioners in the aforesaid fields need proper legal advice in order to avoid failing to comply with the novel legal framework for privacy, which provides for a consent notice as additional to that mandated by the Regulations (Normas Oficiales Mexicanas) which require that letters of written informed consent be included in each patient’s file and that such consent be included in human research protocols as a requisite for their authorization by the Mexican health authority, which is also a mandate of the Regulations to the General Health Law in Health Research (article 14, Roman numeral V).

Eventos de Tecnologías de la Información en Distrito Federal

9 diciembre, 2013
IP/Propiedad Intelectual, Privacy/Protección de Datos
Deja un comentario

FIDP13_00217La semana pasada tuve oportunidad de asistir a 2 importantes eventos en materia de tecnologías de la información realizados en la Ciudad de México:

  1. El «Encuentro Legislativo con la Sociedad sobre Tecnologías de la Información y Comunicación de la Cámara de Diputados«, organizado por la Comisión Especial de Tecnologías de la Información y Comunicación de dicha Cámara y la Asociación Nacional de Abogados de Empresa (ANADE), y
  2. El Foro Internacional del IFAI sobre Seguridad de Datos Personales, organizado por dicha agencia de protección de datos.

El primer evento fue, en palabras del Dr. Alfredo Reyes Krafft, como «speed dating» en materia de conocimiento de regulación de tecnologías de la información; se organizaron 10 mesas para abordar temas como nombres de dominio, protección de datos personales, protección de la propiedad intelectual, prueba electrónica en juicio e impacto de las TI’s en materia laboral, etc., de manera rotativa con especialistas como la Dra. Isabel Davara, Kiyoshi Tsuru, Joel Gómez y varios más que fueron moviéndose entre las mesas en compañía de un(a) Diputado(a), a fin de comentar los aspectos más relevantes.

Para los asistentes menos versados en esos temas fue, sin duda, una experiencia enriquecedora, al igual que para varios de los legisladores que estuvieron presentes, no obstante que se realizaba una sesión del pleno, quienes demostraron gran interés por empaparse de los temas y entender su impacto en la Agenda Digital de nuestro país, así como el estado de la legislación en esas materias.

El segundo evento, organizado por el IFAI, tuvo como ponentes tanto a funcionarios de la Agencia Española de Protección de Datos, de la Delegatura para la Protección de Datos Personales de Colombia, del Institute of Audit & IT -Governance España y de SM4RT Security, empresa mexicana que estuvo muy cercana al IFAI en el desarrollo de sus Recomendaciones en Materia de Seguridad de Datos Personales.

Uno de los aspectos más relevantes de ese evento fue la explicación de la Metodología de Análisis de Riesgo BAA, siglas para:

  • Beneficio, para el atacante, en cuanto al valor económico, reputacional o estratégico de los datos personales blanco del ataque;
  • Accesibilidad de los datos personales, en cuanto a lo cual se plantea la disyuntiva entre su confidencialidad y la posibilidad de tenerlos a la mano, y
  • Anonimidad del atacante.

La aplicación de esa metodología se orienta a reducir la rentabilidad del atacante, al elevar el riesgo que el ataque le representaría respecto del retorno que podría obtener a través del mismo.

La materia de seguridad de la información es sumamente técnica, y en organizaciones más sofisticadas requiere de la intervención de uno o más especialistas en diversas materias, tales como informática, mitigación de riesgos, seguridad física y perimetral, entre otras, además de requerir de la toma de decisiones muy íntimas para la organización.

En este aspecto la mayor aportación del abogado especialista en protección de datos personales es identificar aquellos aspectos operativos que pudieran significar un incremento del riesgo legal inherente al tratamiento de datos personales, así como tomar las aportaciones de los otros especialistas involucrados y vertirlos en un documento que cumpla con los requisitos determinados por la autoridad de protección de datos personales.

Branding y Dominios de IFETEL: #fail

20 octubre, 2013
IP/Propiedad Intelectual
Deja un comentario

Uno de los desarrollos legislativos más trascendentales para quienes nos dedicamos al ejercicio de la profesión en la intersección del Derecho y la tecnología sin duda fueron las reformas constitucionales en materia de telecomunicaciones del 11 de junio de este año, mediante las cuales fue creado el Instituto Federal de Telecomunicaciones («IFETEL»), como un organismo descentralizado y encargado del desarrollo eficiente de la radiodifusión y las telecomunicaciones en nuestro país. Muchos comentarios fueron hechos sobre la designación de los Comisionados integrantes de su órgano de gobierno, mismo que fue integrado el 10 de septiembre del presente año.

Sin embargo, parece que se le dio poca o ninguna atención a los aspectos de comunicación del IFETEL con el público. Por principio, el Instituto Federal Electoral tiene desde hace años una línea de atención al público denominada, precisamente, IFETEL (01 800 IFE 2000 (01 800 433 2000), y no parece haber habido mayor difusión sobre algún cambio en la denominación de ese servicio.

Además de lo anterior, parece que tampoco se prestó mucha atención al desarrollo de una página de Internet del nuevo y flamante IFETEL, pues no hay tal, aunque el dominio http://www.ifetel.gob.mx ya está registrado con Akky.mx, quien indica como Registrante de éste a la Comisión Federal de Telecomunicaciones a partir de agosto de 2013; es decir 2 meses después de las citadas reformas constitucionales, aunque uno antes de la promulgación del Estatuto Orgánico de dicho Instituto.

Algo que parece una omisión importante es que dicha Comisión no haya procurado obtener registros defensivos para la denominación del IFETEL. Conforme a las Políticas para el registro de dominios de Akky (o NIC México), los dominios registrados bajo el ccTLD .mx están sujetos a clasificaciones que, en principio, se fundamentan en el RFC 1591 (originalmente escrito por el «late, great» John Postel), y conforme al mismo los dominios .edu.mx y .gob.mx están reservados para entidades que acrediten ser de naturaleza educativa o de gobierno. Para ello en algún tiempo se requirió que los solicitantes del registro de esos dominios presentaran una copia de sus solicitudes impresa en papel membretado de la instutición respectiva.

Con  base en dicha clasificación, la autoridad de telecomunicaciones podría haber considerado que la existencia de una clasificación «.gob» debería bastar para que el publico no pensara encontrar a la autoridad de telecomunicaciones en una dirección .com.mx, .mx ni .org.mx. Podría considerarse un razonamiento válido, al menos para quienes estamos acostumbrados a que por regla general los dominios de instituciones gubernamentales sean .gob.mx, no obstante que otros como el del IFAI y del IFE o del Banco de México se encuentren en clasificación .org.mx. Una pregunta importante a considerar es qué tan claro o evidente pudiera ser lo anterior para residentes en el extranjero que se encuentren con que la denominación del IFETEL directamente bajo .mx está en parking… y el lucro que tales domainers podrían estar logran a través de la denominación de una institución del gobierno mexicano a través del «pay-per-click» de la publicidad que obtienen mediante los esquemas de parking que siguen.

Esto último es un hecho; los «domainers» (eufemísticamente «domain name investors») no se hicieron esperar, y http://www.ifetel.com.mx, aparece registrado por una persona que supuestamente viviría en Panamá, encontrándose dicho dominio en venta y «parking» con SEDO.COM; http://www.ifetel.mx aparece como registrado por un residente de Monterrey, N.L., y http://www.ifetel.org.mx está registrado por un residente de Ecatepec, EdoMex.

¿Qué vías de acción podria tener el IFETEL para resolver tal situación? La conocida LDRP del NIC México? Las Políticas de Resolución de Controversias en Materia de Nombres de Dominio para .MX prevé como primer requisito de procedibilidad que el dominio presuntamente infractor sea «…idéntico o semejante en grado de confusión con respecto a una marca de productos o de servicios registrada, aviso comercial registrado, denominación de origen o reserva de derechos sobre la que el promovente tiene derechos». Si bien el artículo 90, fracción, fracción VII, de la Ley de la Propiedad Industrial dispone que no serán registrables como marca «…las denominaciones, siglas, símbolos o emblemas de organizaciones internacionales, gubernamentales, no gubernamentales o de cualquier otra organización reconocida oficialmente, así como la designación verbal de los mismos». Sin embargo, parecería haber cierta distancia entre ello y que el IFETEL tuviera una marca registrada para su denominación.

¿Sería buena práctica que las instituciones públicas mexicanas registraran sus marcas ante el IMPI? Pensaría que si, no sólo por casos como éste, sino porque en otros países, como los EE.UU.A., las instituciones gubernamentales si registran y procuran sus marcas de servicios como cualquier ciudadano debería hacerlo. Ante tal omisión, la opción más clara del IFETEL probablemente sería optar por una Disputa por Titularidad de los nombres de dominio que considerase contravinieran los derechos que pudiera tener sobre su denominación.

En todo caso, cuando menos sería importante que dicho Instituto subiera a Internet a la brevedad posible y a través del dominio con el que cuenta una página que despejara las dudas del público sobre la existencia de una página oficial del IFETEL, procurando restarle con ello credibilidad a los dominios que fueron registrados con su denominación, pero que no guardan relación alguna con él.

Derecho a la Imagen; ¿Por Qué Vía?

12 agosto, 2013
IP/Propiedad Intelectual, Privacy/Protección de Datos
Deja un comentario

Imagen

Hace tiempo me topé con este letrero en un edificio de la Ciudad de México, el cual motiva la duda sobre el régimen para proteger el derecho a la imagen de las personas.

Antes de la entrada en vigor de la Ley Federal de Protección de Datos Personales, cuyo Reglamento prevé en su artículo 3, párrafo tercero, que los datos personales podrán estar expresados en forma numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, la materia del derecho a la imagen estaba regulada a nivel federal en el artículo 87 de la Ley Federal del Derecho de Autor bajo 4 premisas elementales:

  • El retrato de una persona sólo podía ser usado o publicado con su consentimiento expreso, o con el de sus representantes o los titulares de los derechos correspondientes, siendo tal autorización revocable en todo momento.
  • Se presumía que quien se debaja retratar por remuneración había otorgado tal consentimiento y que no podría revocarlo  era utilizado en los términos y para los fines pactados.
  • El consentimiento del retratado no era necesario cuando se tratara del retrato de una persona que fuera parte menor de un conjunto, o la fotografía hubiera sido tomada en un lugar público y con fines informativos o periodísticos.
  • Los derechos establecidos para las personas retratadas durarían 50 años después de su muerte.

Por otra parte, el 19 de mayo de 2006 fue publicada en la Gaceta Oficial del Distrito Federal la «Ley de Responsabilidad Civil para la Protección del Derecho a la Vida Privada, el Honor y la Propia Imagen en el Distrito Federal«,  a la que alude la imagen de esta nota, la cual prevé que:

  • «(propia) Imagen» es la reproducción identificable de los rasgos físicos de una persona sobre cualquier soporte material… con lo cual dejaron de lado la fotografía digital.
  • Toda persona tenía derecho sobre su imagen: la facultad para disponer de su apariencia autorizando, o no, la captación o difusión de la misma, por lo que la difusión o comercialización de la imagen de una persona sin su consentimiento expreso constituiría un acto ilícito (que no delictivo).
  • Además la captación, reproducción o publicación por fotografía, filme o cualquier otro procedimiento (que por la limitante de la primera viñeta en el presente,  debería ser analógico), de la imagen de una persona en lugares o momentos de su vida privada o fuera de ellos sin la autorización de la persona constituía una afectación al patrimonio moral.
  • La imagen de una persona no debería ser publicada, reproducida, expuesta o vendida en forma alguna si no era con su consentimiento, a menos que dicha reproducción estuviera justificada por la notoriedad de aquélla, por la función pública que desempeñe o cuando la reproducción se hubiera hecho en relación con hechos, acontecimientos o ceremonias de interés público o que hubieran tenido lugar en público y hubieran sido de interés público.
  • Cuando la imagen de una persona fuera expuesta o publicada sin haber sido consentida, con perjuicio de la reputación de la persona, la autoridad judicial podría disponer a petición de parte que cesara el abuso y se reparasen los daños ocasionados.

Visto lo anterior, ¿qué ordenamiento deberían aplicar establecimientos como centros comerciales, restaurantes, hoteles o nosocomios, en los que cotidianamente transcurren hechos de gozo y tristeza en la vida cotidiana de quienes entran y salen de ellos?¿De qué nivel de protección gozaremos las personas respecto de nuestra imagen captada en tales espacios?

Para tales respuestas es preciso atender al Artículo Quinto Transitorio de la Ley Federal de Protección de Datos Personales en Posesión de Particulares, conforme al cual en cumplimiento a lo dispuesto por el artículo Tercero Transitorio del Decreto por el que se adiciona la fracción XXIX-O al artículo 73 de la Constitución Política de los Estados Unidos Mexicanos, disposiciones locales en materia de protección de datos personales en posesión de los particulares como la arriba citada quedaron abrogadas, por lo que aquélla no debería ser ya materia de aplicación.

Ahora bien, considerando que la misma norma Transitoria prevé la derogación de las demás disposiciones que se opusieran a la la referida Ley Federal de Protección de Datos Personales en Posesión de Particulares, nos encontramos en un régimen bajo el cual:

  1. El consentimiento expreso ya no es necesario para hacer uso de la imagen de una persona. Toda vez que no se trata de un dato personal sensible (y eso con sus bemoles, dado que generalmente por el retrato se puede identificar el origen étnico o racial de la persona), el Tratamiento de la imagen no requiere del consentimiento expreso del Titular de ese dato, de manera que para el aviso de privacidad correspondiente bastaría el consentimiento tácito.
  2. Más aún, cual escribí anteriormente, de acuerdo con el criterio del IFAI, tratándose de video-vigilancia basta un aviso de privacidad corto.
  3. Aún cuando baste que sean expresados de manera tácita y la práctica prudente en «copyright clearing» ha sido obtener autorización de todos los retratados, el número de consentimientos requeridos para el Tratamiento de una fotografía de grupo se ha multiplicado, puesto que se requiere el de cada persona que aparezca en la imagen.
  4. La Ley Federal de Protección de Datos Personales en Posesión de Particulares resultaría aplicable aún cuando la imagen hubiera sido captada en un lugar público, toda vez que ni ella ni su Reglamento distinguen en cuanto a la fuente (el artículo 7 del Reglamento enumera aquéllas consideradas como de acceso público), sólo en cuanto a la materia.
  5. En ese orden de ideas, y la disposición del párrafo segundo del artículo 87 de la Ley Federal del Derecho de Autor de acuerdo con la cual cuando a cambio de una remuneración, una persona se dejare retratar, se presume que ha otorgado el consentimiento a que se refiere el párrafo anterior y no tendrá derecho a revocarlo, siempre que se utilice en los términos y para los fines pactados, el Titular tendría siempre expedita la facultad para revocar tal consentimiento por virtud del artículo 20 del Reglamento de la LFPDPPP, sin que la revocación pudiera tener efectos retroactivos de acuerdo con el último párrafo del artículo 7 de la propia Ley.
  6. De acuerdo con los artículos 42 y 109 del Reglamento de la LFPDPPP, el derecho de Oposición sería eficaz para cesar el Tratamiento, pero no podría tener efectos retroactivos, cuando el Tratamiento fuera necesario para el mantenimiento de una relación jurídica entre el Titular y el Responsable.

Será sumamente interesante ver cómo resuelve el Poder Judicial de la Federación los casos que se presenten respecto de uso de la imagen versus libertades de expresión, información e imprenta. Entretanto, debería considerarse la derogación tácita del artículo 87 de la Ley Federal del Derecho de Autor y la abrogación de la Ley de Responsabilidad Civil para la Protección del Derecho a la Vida Privada, el Honor y la Propia Imagen en el Distrito Federal.

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

Xavier Ribas

Derecho de las TIC y Compliance

Marcus Kazmierczak

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace

Cedric's Privacy Blog

SoshiTech - Soshitech.com

Technology News, Startup Information & Social Networking