archivo

Privacy/Protección de Datos

@SE_mx @ifaimexico @NYCE_MX y @OrendayAbogados presentarán Esquemas de Autorregulación Vincultante en @CanacoQro

24 noviembre, 2014
Privacy/Protección de Datos
Deja un comentario

QRO - CopyComo parte de los esfuerzos por difundir el valor y la importancia de los Esquemas de Autorregulación Vinculante previstos en los artículos 43, fracción V, y 44 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, así como en el artículo 47 y en el Capítulo VI de su Reglamento, cuyos Parámetros fueron publicados en el Diario Oficial de la Federación el 29 de mayo del presente año, la Secretaría de Economía ha llevado a cabo, junto con el Instituto Federal de Acceso a la Información Pública y Protección de Datos y Normalización y Certificación Electrónica, S.C., han llevado a cabo presentaciones en el Distrito Federal, Tijuana, Puebla, Mérida, y recientemente Guadalajara.

Este miércoles 26 de noviembre se llevará a cabo en las instalaciones de la Cámara Nacional de Comercio en la Ciudad de Querétaro otra presentación sobre la materia en general y los aspectos relevantes y ventajas de los esquemas de autorregulación en materia de protección de datos, en la que estaremos presentes junto con:

  • Lic. Damaris Moreno, Líder del Componente Legal de PROSOFT de la Secretaría de Economía.
  • Mtra. María Adriana Báez Ricárdez – Directora General de Autorregulación en el IFAI.
  • Ing. Pablo Corona, Gerente de Certificación de Tecnologías de la Información en NYCE

El registro de participantes e información adicional sobre dichas presentaciones está disponible en http://nyce.org.mx/protecciondedatos/

Difusión de la Certificación y Esquemas de Autorregulación en Protección de Datos Personales/Caso Trute

20 noviembre, 2014
Privacy/Protección de Datos
Deja un comentario

prosoft3NYCEPDPBannerMicrositioPDP1A

La materia de protección de datos personales tiene más de 40 años de vigencia en Europa, e incluso los EE.UU.A. comenzaron a regularla y legislarla mucho antes que México, donde aún es novedosa y prevalece un gran desconocimiento al respecto tanto entre los Responsables del Tratamiento de Datos Personales, sus Encargados, Terceros con los que tienen relación, pero además inclusive entre los profesionales del derecho que están llamados a asesorarlos para el debido cumplimiento de sus obligaciones al respecto.

En un país como el nuestro, donde la colegiación no es obligatoria, ello supone un obstáculo adicional para que dichos Responsables y Encargados accedan a servicios de la calidad y nivel necesarios para contar con la debida asesoría en la implementación del cumplimiento normativo con el que deben contar. Además es preciso considerar que el ámbito personal de aplicación de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares es tan amplio, que abarca no sólo a las grandes empresas que dan Tratamiento a grandes volúmenes de Datos Personales, incluso de carácter personal y patrimonial, sino también a micro y pequeñas empresas que difícilmente podrían sufragar los honorarios de una asesoría externa.

Una solución práctica que existe para ambos dilemas radica en los esquemas de certificación, tanto de profesionales implementados por instituciones privadas, como de los esquemas de que la Secretaría de Economía se ha dado la tarea de promover luego de la publicación en el Diario Oficial de la Federación de la segunda versión de los Parámetros de Autorregulación en Materia de Protección de Datos Personales.

La certificación de profesionales existe en otras jurisdicciones desde hace varios años. La International Association of Privacy Professionals (IAPP)  ofrece cursos y exámenes para obtener la certificación como profesional en información y privacidad tanto en materia jurídica como de operaciones y tecnología en los regímenes europeo, estadounidense y canadiense. Sin embargo, aunque esperamos que pronto extienda también tal certificación tratándose del régimen jurídico mexicano, Normalización y Certificación Electrónica, S.C., es la primera organización en México que ofrece un curso de capacitación en materia de protección de datos personales, en adición al cual un examen y la resolución de un caso práctico permiten obtener la Certificación como Profesional en Protección de Datos Personales en niveles básico, Junior y Senior.

Por su parte, los Parámetros de Autorregulación expedidos por la Secretaría de Economía ofrecen importantes ventajas para los Responsables y Encargados: el más obvio es que por disposición del artículo 81 del Reglamento de la LFPDPPP, cuando un responsable adopte y cumpla un esquema de autorregulación, dicha circunstancia será tomada en consideración para determinar la atenuación de la sanción que correspondiera, en caso de no obstante haber cumplido con dicho esquema de autorregulación tuviera lugar alguna infracción a la normatividad en materia de protección de datos personales, sin perjuicio de que el IFAI determine otros incentivos para la adopción de dichos esquemas de autorregulación.

Además su desarrollo permitirá a los Responsables que se adhieran a tales esquemas armonizar el cumplimiento normativo al que están obligados en materia de protección de datos personales con el de las disposiciones de otras materias que también deban observar, lo cual no se ha llevado a cabo a la fecha aunque ya debería haber sido hecho por las diversas autoridades administrativas en cuyas materias se lleva a cabo el Tratamiento de Datos Personales, pues el artículo 40 de la Ley dispone que la misma es un marco normativo que esas dependencias deberán observar, en el ámbito de sus propias atribuciones, para la emisión de la regulación que corresponda. Como ejemplo de estas omisiones regulatorias se pueden destacar 3 ejemplos:

  1. En materia de propiedad intelectual, mercadotecnia y publicidad no es absolutamente claro si para el uso de la imagen de una persona debe atenderse aun al artículo 87 de la Ley Federal del Derecho de Autor o a la LFPDPPP;
  2. Tratándose de servicios de salud, la Ley General de Salud, sus Reglamentos y diversas Normas Oficiales Mexicanas obligan al prestador de tales servicios a obtener el consentimiento informado de sus pacientes, sin que se haya dispuesto si su consentimiento expreso respecto del aviso de privacidad debiera ser obtenido en paralelo, o si conforme a los artículos 10, fracción IV, de la LFPDPPP y 17 de su Reglamento tal consentimiento informado dispensa la expresión del mismo en el Aviso de Privacidad, y
  3. Los oferentes de productos y servicios crediticios están obligados, conforme a la Ley para la Transparencia y Ordenamiento de los Servicios Financieros, así como a las Disposiciones de la PROFECO y/o CONDUSEF en esa materia a adjuntar a sus contratos una carátula que prevea la autorización del cliente para que se haga uso de sus datos personales para fines de mercadotecnia y publicidad, lo cual es también un elemento requerido en el Aviso de Privacidad conforme al Reglamento y los Lineamientos igualmente expedidos por la Secretaría de Economía.

Toda vez que los esquemas de autorregulación vinculante se basan en códigos, buenas prácticas profesionales, políticas de privacidad, reglas de privacidad corporativas, lineamientos, etc., aplicables a sus adherentes, estos no necesitarían desarrollar de la nada el total de su cumplimiento normativo, sino que contarían ya con bases y guías a seguir para ello, lo cual podría abatir en alguna medida el costo de la asesoría e implementación, beneficiando particularmente a las micro y pequeñas empresas que se adhieran a tales esquemas.

Retomando lo escrito al inicio de esta entrada, y como fue dicho por en el XXI Encuentro Iberoamericano de Protección de Datos Personales, celebrado en las instalaciones del IFAI la semana pasada, así como en el foro de Knowledgenet de la IAPP este miércoles, México empezó tarde con la regulación de la protección de datos personales, lo cual ofrece la ventaja de poder abrevar de la experiencia de otras jurisdicciones y evitar sus errores. En el marco de la certificación de esquemas de autorregulación, el caso de TRUSTe es ejemplo de aquello con lo que deberá tenerse cuidado en la experiencia mexicana en materia de autorregulación.

 

trustee-privacy-policy

TRUSTe es una empresa estadounidense que ofrece servicios de sistemas para la protección de datos personales y audita a empresas de aquél país dedicadas al comercio electrónico respecto de su cumplimiento normativo en materia de privacidad/protección de datos personales, y extiende a aquéllas que cumplen con el marco normativo que deben observar (COPPA, Reglas APEC, Convenio USA-EU de Puerto Seguro, etc.) un «sello de confianza» a aquéllas que han satisfecho su auditoría de cumplimiento. Su marca ha sido ampliamente reconocida por más de una década en el comercio electrónico de aquél país.

Sin embargo ésta misma semana la prensa estadounidense dio cuenta del acuerdo por US$200,00.00 al que dicha empresa llegó con la Federal Trade Commission de aquél país con motivo irregularidades que fueron detectadas tanto en su programa de re-certificación como en su imagen pública. En materia de re-certificación, se concluyó que entre 2006 y 2013 TRUSTe había omitido realizar auditorías anuales a unas 1,000 de las empresas que certifica, a pesar de que afirmaba que lo había hecho, a lo cual TRUSTe respondió que ello sólo había ocurrido en menos del 10% de los casos, únicamente respecto de sus clientes con contratos multi-anuales que eran certicados cada tercer año. Tratándose de su imagen pública, el hallazgo fue que en tanto que la empresa inició en 1997 como una organización sin fines de lucro, en 2008 se convirtió en una empresa lucrativa, lo cual fue considerado como publicidad engañosa.

El caso es una gran lección para México antes incluso de iniciar el desarrollo y registro de esquemas de autorregulación, pues el trabajo de protección de datos personales se basa esencialmente en la confianza, de manera que los verificadores, certificadores y auditores en la materia deben ser probos y transparentes en sus labores, a fin de ser merecedores de la confianza que las certificaciones y sellos que extiendan participen de la misma en beneficio de quienes las reciban.

El año pasado se abrió un periodo para el registro ante el IFAI de esquemas de autorregulación vinculante, sin que haya habido (hasta donde tengo conocimiento) una sola solicitud al respecto. Conforme a los artículos Transitorios de la publicación de los Parámetros comentados al inicio de esta nota la «segunda etapa» para el desarrollo de esos esquemas de autorregulación iniciará en marzo del 2015; es una oportunidad que las Asociaciones, Cámaras y demás agrupaciones gremiales no deberían dejar pasar, para que sus afiliados, miembros o agremiados den cumplimiento de una manera asequible y eficiente a las obligaciones que la Constitución, LFPDPPP, su Reglamento y Lineamientos del Aviso de Privacidad les imponen.

Como expresó el pasado miércoles José Luis Rodríguez Álvarez, Director de la Agencia Española de Protección de Datos Personales, «La privacidad es una condición necesaria para el desarrollo económico, porque sin ella no hay confianza, y sin confianza no hay modelo de negocios viable».

El comunicado de TRUSTe sobre su acuerdo con la FTC puede ser visto aquí: http://www.truste.com/blog/2014/11/17/truste-ftc/

Chris Babel, CEO

At TRUSTe we take very seriously the role we play in the privacy ecosystem and our commitment to supporting our customers. And if we fall short, we admit it, we address the issue, and we move forward.

Today, an agreement was announced with the Federal Trade Commission (FTC) settling a complaint about two of our prior business processes. The FTC did not find any issues with TRUSTe’s privacy practices, but there were two processes that needed to be fixed – and we have addressed both.

The first item is that we did not ensure all certified websites removed a reference to TRUSTe as a non-profit entity in their privacy policies after we transitioned to a for-profit enterprise in 2008. The second is that we did not complete the annual review step of certification from 2006 until January 2013 for clients who had signed up for multi-year agreements. This represents less than 10% of the total number of annual reviews we were scheduled to conduct during that time.

Multi-year clients that did not undergo the annual review step of their certification were reviewed when their agreements were up for renewal. Because over 90% of multi-year clients signed two-year contracts, the vast majority were reviewed every other year. Additionally, all clients continued to receive all other services included in their TRUSTe certification – including our privacy advisory services, guidance on any proposed changes to their privacy procedures, and dispute resolution service so any potential consumer complaints regarding their privacy policy or practices were fully investigated.

We have taken swift action to address the process issues covered by the agreement. In late 2013, we started requiring the non-profit reference to be removed from all active client websites as a condition of re-certification. We also identified and fixed the process for annual reviews in January 2013, and implemented new controls to ensure that every client receives the annual review step of their certification. We regret that, in these two cases, our processes did not live up to our own standards.

I am proud of the dedicated TRUSTe team that continues to work hard to develop new technology, products and services to keep pace with the rapid evolution in privacy laws, regulations and practices. We are delivering products and services to a growing customer base around the globe. The role we play today and going forward has never been more important for our clients and the customers they serve. In the weeks and months ahead, I look forward to focusing our energies on helping businesses address these rapidly evolving data privacy management challenges.

Thank you.

Roadshows de los Parámetros para Esquemas de Autorregulación Vinculante

19 noviembre, 2014
Privacy/Protección de Datos
Deja un comentario

P1000748P1000758

He tenido el privilegio de ser invitado a colaborar con la Secretaría de Economía, a través de ProSoft, y Normalización y Certificación Electrónica, S.C., en el «Roadshow» de presentaciones que están siendo realizadas bajo el auspicio del Banco Mundial para difundir el esquema de parámetros de autorregulación vinculante previsto en el marco de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, y promover en distintos sectores de la economía, incluyendo al de Tecnologías de la Información, la certificación de protección de datos personales en las empresas. http://nyce.org.mx/protecciondedatos/#acerca

Los objetivos de estas presentaciones son:

  • Proporcionar a las micro, pequeñas y medianas empresas mayor información y transferencia de conocimiento sobre el esquema de certificación en el marco de la LFPDPPP y los Parámetros de Autorregulación publicados en el Diario Oficial el 29 de mayo de 2014.
  • Difundir los parámetros de autorregulación para las empresas obligadas al cumplimiento de la LFPDPPP, para que las organizaciones interesadas conozcan los requisitos que deberán cumplir para obtener la certificación en protección de datos personales.
  • Promover la protección de datos personales, fortaleciendo la cultura de privacidad y coadyuvando a que las empresas en México aumenten su competitividad internacional.

En ésta primera oportunidad de participar en los roadshows me quedo con la impresión de que falta bastante para que la importancia de la protección de datos personales y los beneficios de las certificaciones en la materia sean conocidos y entendidos en el interior de la República. Parece que, igual que muchas otras cosas, al ser materia federal es considerada como más relevante en el Distrito Federal que en los Estados.

Puede que parte de ello se deba a que, a diferencia de otras instituciones, el IFAI aun no tiene alcance federal, lo cual es un aspecto en el que dicho Institutio está trabajando, y es un orgullo para mí poder contribuir en ello.

$4’079,680 en sanciones de @IFAIMexico para IMM Internet Media México

22 octubre, 2014
Privacy/Protección de Datos
Deja un comentario

La más reciente sanción difundida por el IFAI con motivo de la violación a la Ley Federal de Protección de Datos Personales en Posesión de Particulares se inscribe, al igual que la de Creaciones Textiles de Mérida, en el marco de la aplicación de esa ley a las relaciones laborales, y fue determinada por dicho Instituto debido a la transgresión de los siguientes artículos de la LFPDPPP:

  • 6 (Principios rectores);
  • 7 (Principios de Licitud y de Lealtad);
  • 14 (Principio de Responsabilidad);
  • 15 (Principio de Información);
  • 16 (Idem, entratándose de la obligación de poner el Aviso de Privacidad a disposición de los Titulares, referidas en el caso las fracciones I -requisito de identidad del Responsable, sobre lo cual se puede ver el caso de Farmacias San Pablo-, II -Finalidades del Tratamiento- y III -opciones y medios para que el Titular limite el uso o divulgación de sus Datos Personales, con relación a lo cual remitimos al caso de Sport City en nuestra nota del 14 de junio del 2013-);
  • 17, fracción II (fundamento de la modalidad «simplificada» del Aviso de Privacidad»), y
  • 19 (Medidas de Seguridad).

Concretamente el IFAI encontró que en la especie:

  1. Se había declarado dolosamente la inexistencia de Datos Personales que existían total o parcialmente en las bases de datos de la Responsable, por lo cual se actualizó la hipótesis del art. 63, fracción III, de la LFPDPPP;
  2. La Responsable había incumplido con los Principios de Licitud, Responsabilidad e Información, pues en la verificación manifestó expresamente no contar con procedimientos de conservación, bloqueo y supresión de Datos Personales, ni medidas de seguridad para protegerlos contra vulneraciones consistentes en daño, pérdida, alteración, destrucción o uso, acceso o Tratamiento no autorizados, además de haber omitido cumplir con el requisito de su identidad y Finalidades del Tratamiento a los Datos Personales.
  3. El Aviso de Privacidad de la Responsable carecía de la indicación de opciones y medios para que los Titulares limitaran el uso o divulgación de sus Datos Personales, infringiendo con ello el artículo 63, fracción V.

Entre los hallazgos derivados del procedimiento de verificación se encontró una discrepancia entre los Datos Personales que la Responsable efectivamente recaba de sus 24 trabajadores y los que manifiesta recabar conforme a su Aviso de Privacidad, entre ellos los datos correspondientes a la afiliación de los mismos al Instituto Mexicano del Seguro Social, así como datos jurídicos relativos a su filiación, estado civil y condición migratoria en México, además de datos patrimoniales relativos a cuentas bancarias. Tal hallazgo motivó a la autoridad de protección de datos a resolver que se llevó a cabo un ocultamiento doloso de Datos Personales recabados de los empleados de la Responsable.

Adicionalmente consta en autos de verificación que la Responsable no dió a conocer a dichos Titulares la información de la existencia y características principales del Tratamiento de sus Datos Personales en el Aviso de Privacidad, puesto que mediante correo electrónico recabó diversos datos  de un empleado a quien no informó de los mecanismos para conocer el Aviso de Privacidad en su modalidad Integral, ya que el mismo es puesto a disposición de esos Titulares en el momento de la firma del contrato  de trabajo. A este particular es preciso destacar que, por definición, el Aviso de Privacidad debe ser puesto a disposición de los Titulares previo al Tratamiento de sus Datos Personales (art. 3, fracción I, de la LFPDPPP).

Lo anterior destaca el hecho que aún cuando recién expedida la LFPDPPP hubo quienes pretendían extender la interpretación de la fracción II de su artículo 2, relativa al Tratamiento de datos para «fines personales» y sin finalidad de divulgación a los fines del «Área de Personal», o Recursos Humanos, de las Responsables, interpretación que cayó por tierra cuando fue expedido el Reglamento de la Ley, cuyo artículo 6 dispone que el Tratamiento de Datos Personales para el cumplimiento de una relación jurídica, como es el caso de las relaciones laborales, no se considera para uso exclusivamente personal.

El caso en comentario ilustra un punto relevante en la práctica de los recursos humanos: el Tratamiento de Datos Personales empieza desde que los mismos son captados, sea mediante correo electrónico, una página Web, telefónicamente o en una entrevista presencial. Sin embargo, también motiva cuestionamientos sobre la interpretación y aplicación de la excepción contenida en la fracción II del artículo 5 del Reglamento, que exceptúa de su aplicación a la información que se «refiera a personas físicas en su calidad de comerciantes y profesionistas». Partiendo del hecho que las excepciones no pueden ser extendidas a casos que no estén expresamente contemplados en las normas que las establecen, la disposición citada no resultaría aplicable al personal «operativo», como técnicos o empíricos, sino sólo a los candidatos que tuvieran título, e idealmente cédula profesional con efectos de patente, para el ejercicio de una profesión, y se limitaría a la información relativa a dicho ejercicio profesional, la cual es usualmente materia de las entrevistas en los procesos de selección, y no es sino hasta su contratación que se accede a Datos Personales jurídicos propios de su estado civil, patrimoniales relativos a ingreso pasado o esperado y cuentas bancarias para el depósito de su remuneración, así como sensibles propios de su estado de salud.

Llama la atención que una empresa de Internet hubiera manifestado en el curso de la verificación del IFAI que contaba con 860 registros de clientes, proveedores y empleados, pero que los mismos se encuentran «en un sistema alojado en cómputo en la nube, se intentó acceder a dichos registros, pero nunca se pudo», y que «se desconoce (si fueron destruidos) y se cree que en algún lugar de la red existen.

En cuanto a las medidas de seguridad aplicadas para el resguardo y protección de los Datos Personales, la Responsable manifestó haber «designado a solo (sic) una empleada… para el manejo y almacenamiento de los datos personales», lo cual no parece alcanzar para considerar que hubieran estado a debido resguardo, lo cual redundó en la conclusión de que no cumplía con el principio de legalidad.

El IFAI concluyó que las acciones y omisiones de la Responsable fueron intencionales, puesto que el desconocimiento de la Ley no excusa su observancia y cumplimiento, y con base en su capacidad económica, evidenciada por un capital contable del orden de los $270’845,280.00 M.N., resolvió imponer las siguientes multas:

  • $1’619,000.00 (25,000 días de salario mínimo general en el DF) por la infracción del artículo 63, fracción III, de la Ley, al haber delcarado dolosamente la inexistencia de Datos Personales parcial o totalmente presentes en sus bases de datos, que fue considerada como de gravedad alta;
  • $1’295,000.00 (20,000 días de salario mínimo general vigente en el DF) por la infracción del artículo 63, fracción IV, al dar Tratamiento a los Datos Personales contraviniendo los Principios de Responsabilidad, Información y Licitud, considerada como de gravedad media, y
  • $1’165,680.00 (18,000 días de salario mínimo en el DF) por la infracción del artículo 63, fracción V, al omitir en su Aviso de Privacidad las opciones y medios para que los Titulares limiten el uso o divulgación de sus Datos Personales, considerada como de gravedad media.

Es decir que el caso ha tenido para IMM Internet Media México un costo total de $4’079,680.00, que serán cobrados por vía de un crédito fiscal, a fin de que tales cantidades ingresen a la Tesorería de la Federación como aprovechamientos, conforme al Código Fiscal de la Federación.

 

 

 

 

@condusefMX expide sus Reglas para Despachos de Cobranza

8 octubre, 2014
Privacy/Protección de Datos, Regulación Bancaria/Financiera
Deja un comentario

logo-CONDUSEF2 - CopyLa cobranza extrajudicial ha sido un tema muy llevado y traido en México desde hace tiempo, que necesariamente se relaciona con el Tratamiento de Datos Personales y el Principio de Calidad además del Principio de Lealtad que informan a la Ley de la materia, por lo cual empresas como Telcel y la SOFOM de tarjetas de Banamex han sido sancionadas por el IFAI. Se trata de un asunto al que los Responsables deben poner atención, puesto que sus agencias o despachos de cobranza obran como Encargados suyos, por lo que sus actos u omisiones podrían repercutirles, por virtud del Principio de Responsabilidad, dado que por definición un Encargado obra por cuenta y orden del Responsable.

Las prácticas de algunos despachos de cobranza también han representado por mucho tiempo un problema para el público, ya sea porque aquellos recurren a prácticas cuestionables, por decir lo menos, dirigiendo a los domicilios registrados de los acreditados documentos que pretenden hacer pasar por mandamientos judiciales de embargo, o porque ante la falta de actualización de sus bases de datos o directorios (ojo con el Principio de Calidad) insisten en comunicarse, muchas veces a deshoras o con lenguaje agresivo e incluso vulgar, a los números telefónicos que tuvieran registrados para los deudores morosos.

No se había encontrado una solución sólida para estas situaciones, por una parte debido a que la colegiación no es obligatoria en México, por lo que no existe un organismo con facultades para sancionar a los profesionales del derecho que incurran en prácticas como las arriba mencionadas, y por otra dado que la CONDUSEF no contaba con facultades para proceder en contra de tales abusos. La única vía que existía, mencionada en la entrada del 30 de julio del 2013, era la verificación del caso, para determinar si resultaba o no en una violación del Código de Ética de las Obligaciones para con los Deudores y Público en General, pactado por tal Comisión y por la Asociación Mexicana de Profesionales en Cobranza y Servicios Jurídicos, A.C., que al final de cuentas era una solución basada en soft law, por lo que dependía de su adopción voluntaria por el despacho de cobranza y difícilmente era sancionable.

Probablemente las cosas cambien a ese respecto a partir de hoy, pues como lo anunció la CONDUSEF el día de ayer fueron publicadas en el Diario Oficial de la Federación las Disposiciones de carácter general aplicables a las entidades financieras en materia de Despachos de Cobranza, que dicha Comisión expidió con fundamento en las facultades que le fueron conferidas mediante las recientes reformas a la Ley para la Transparencia y Ordenamiento de los Servicios Financieros, Disposiciones que entraron en vigor a partir de hoy, sin perjuicio de los plazos de 90 días que sus Disposiciones Transitorias otorgan para dar cumplimiento a las obligaciones derivadas de las mismas, así como para adecuar, en lo conducente, los contratos que ya deberían tener inscritos ante el Registro de Contratos de Adhesión de dicha Comisión.

Esto decididamente significa un avance en el manejo de estos asuntos, pero en cuanto a protección de datos personales da la impresión que ni ésta ni otras entidades reguladoras «le entran» de lleno a la materia y, por lo tanto, no llevan a cabo la emisión de la regulación secundaria correspondiente a sus sectores. Esto se observa en la fracción VIII de la Disposición Cuarta, que se limita a requerir a las Entidades Financieras a «Tratar los datos personales de conformidad con la normativa aplicable en la materia», sin disponer de manera más clara al respecto, puesto que sólo hay 2 referencias de relevancia a la LFPDPPP:

  1. En la fracción I de la propia Disposición se hace a las Entidades Financieras responsables de que al contratar Despachos de Cobranza (según dicho término es definido) para realizar gestiones de cobro, negociación o reestructuración de sus créditos, préstamos o financiamientos, se tengan establecidos mecanismos que permitan la plena identificación del Deudor, obligado solidario o aval, antes de establecer el primer contacto, y a que en el primero contacto que establezcan con dicho Deudor (momento en el cual deberían
  2. Último párrafo de la Disposición Sexta, que les requiere observar lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y, en su caso la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamentalen al convenir la cesión o venta de cartera, lo cual no aporta gran cosa, puesto que dichos ordenamientos son de orden público y observancia general, por lo que no hacía falta que una norma secundaria reiterase su obligatoriedad.

Sin perjuicio de lo anterior, destaca la previsión contenida en la fracción VII, inciso f), de dichas Disposiciones, que  requiere a los Despachos de Cobranza que se abstenga de establecer registros especiales, distintos a los ya existentes, listas negras, cartelones, o anuncios, que hagan del conocimiento del público la negativa de pago de los Deudores. Tales prácticas podrían también ser sancionadas por el IFAI, en virtud de que las obligaciones del Encargado previstas en el artículo 50 del Reglamento de la LFPDPPP: le obligan a:

  • Guardar confidencialidad respecto de los Datos Personales tratados, confidencialidad que sería transgredida por la práctica de colocar cartelones o anuncios que comuniquen a terceros la mora del Deudor;
  • Abstenerse de transferir (por definición a Terceros) los Datos Personales a los que den Tratamiento, lo cual también sería violatorio del antedicho deber de confidencialidad;
  • Tratar los Datos Personales únicamente conforme a las instrucciones del Responsable, y
  • Suprimir los Datos Personales objeto de Tratamiento una vez cumplida la relación jurídica con el responsable o por instrucciones de éste, obligaciones que serían incumplidas si el Despacho de Cobranza mantuviera su propia bases de datos en paralelo a los registros proporcionados o generados por instrucciones de la Entidad Financiera Responsable, más aún si la ofreciera posterioremente a otro de sus clientes.

También obliga a los Despachos de Cobranza a ser inscritos por las Entidades Financieras en el Registro de Despachos de Cobranza que llevará dicha Comisión.

Para el público representan los siguientes beneficios en tanto que los Despachos de Cobranza:

  • Deberán identificarse plenamente en el contacto con el Deudor, y brindarle información suficiente sobre el motivo de su actuación;
  • Deberán comunicarse de manera respetuosa y educada, en un horario de 7:00 a 22:00 horas;
  • No podrán ostentarse como instituciones públicas, utilizar números telefónicos ocultos al identificador de llamadas,
  • Amenazar, ofender o intimidar al Deudor, sus familiares, compañeros de trabajo o cualquier otra persona que no tenga relación con la deuda, realizar gestiones de cobro a terceros, incluidas las referencias personales y beneficiarios, con excepción de Deudores solidarios o avales, ni con menores de edad o adultos mayores, salvo que dichos adultos sean los Deudores, ni enviar documentos que aparenten ser escritos judiciales u ostentarse como representantes de algún órgano jurisdiccional o autoridad.

Para efectos del Principio de Calidad es relevante que también se les ha prohibido realizar las gestiones de cobro, negociación o reestructuración, de los créditos, préstamos o financiamientos, en un domicilio, teléfono o correo electrónico distinto al proporcionado por la Entidad Financiera o el Deudor, obligado solidario o aval, lo cual les obligará a dar un seguimiento más puntual a la ubicación de sus Deudores, avales u obligados solidarios, aunque también podría hacerles recurrir a otros medios para mantener sus bases de datos actualizadas, como la consulta de fuentes de acceso público, lo cual debería verse reflejado en el momento de poner sus Avisos de Privacidad a disposición de aquellos Titulares cuyos Datos Personales hubieran obtenido indirectamente.

Habrá que esperar y ver si la PROFECO expide Disposiciones en similar sentido que resulten aplicables a las Entidades Comerciales que también otorgan créditos, préstamos o financiamientos.

 

How Privacy Compliance Helps with Cyber Attacks

9 septiembre, 2014
Privacy/Protección de Datos, Technology Regulation
Deja un comentario

http://play.buto.tv/5cmRY

This video from «Magic Circle» London firm Freshfields, Bruckhaus, Deringer illustrates how and why privacy compliance is much less costly than risking a cyber-attack, and some preemptive measures against such attacks.

Steps outlined to be taken are the following:

  1.  Assess your businesses’s relevant information, where it’s at and how it is protected;
  2. Be joined (by a cross-functional committee) in managing risk;
  3. Have contractual protections, allocating and excluding liability if and where applicable, including insurance if possible;
  4. Readiness: rehearse responses.

The dire consequences of cyber-attacks have been illustrated in current affairs media by Sony’s settlement of a class action suit for the breach of its PlayStation userbase, as well as by the attack against Target, which even lead to the ousting of Board members, and more recently Home Depot’s.

You try and do the math as to which is more costly between investing in privacy compliance and having your business take its chances in an equation where the variable for the cost (financial and reputational) of a breach cannot be determined ex ante, but the laws do provide for parameters to assess fines.

 

Otra sanción de IFAI a la Afore @XXIBanorte; $2’804,250…más las que sigan

8 septiembre, 2014
Privacy/Protección de Datos, Regulación Bancaria/Financiera
Deja un comentario

logoBanorte - CopyHace 9 meses escribí en este Blog sobre la multa de $1’246,000.00 que el IFAI impuso a la Administradora de Fondos para el Retiro de Grupo Financiero Banorte con motivo del traspaso ilegal de un derechohabiente del SAR hacia dicha AFORE, práctica que lamentablemente fue y sigue siendo muy común en el mercado de tales servicios. Por alguna razón el caso motiva gran interés, pues las estadísticas muestran que ha sido la entrada más consultada aquí, pues al día de hoy ha sido leída por 973. Tal vez también se deba a que Afore XXI Banorte encabeza la estadística de reclamaciones presentadas por usuarios de afores ante la CONDUSEF, según reporta en su Buró de Entidades Financieras.

El caso se repite, pues conforme al expediente PS.0018/13 en marzo de este año dicha autoridad de protección de datos impuso a esa AFORE 2 multas por una situación similar:

  • $1’558,250.00, por recabar datos personales patrimoniales y financieros sin el consentimiento requerido, y
  • $1’246,000.00 (nuevamente), por trangredir los artículos 6, 7 y 8 de la Ley, debido a la transgresión de los principios que informan la Ley.

De acuerdo con el expediente, el caso fue originado por la denunicia de un cuenthabiente de Afore Inbursa, quien manifestó haber dado seguimiento a la omisión en la entrega de sus estados de cuenta mediante SARTEL, con lo cual descubrió que había sido transferido, sin su consentimiento o conocimiento, a Afore XXI Banorte, de quien obtuvo un estado de cuenta con información que no cumplía con el principio de calidad que informa a la Ley, y cuyo Gerente alegó que los hechos serían imputables a un «JACKER» (sic).

La responsable respondió negando el tratamiento de los datos personales del titular denunciante, pues habría recibido su solicitud por Procesar, S.A. de C.V, empresa operadora de la base de datos nacional del SAR, para el traspaso de su cuenta, lo cual conlleva la transferencia de dichos datos, habiendo sido dicha transferencia consecuencia del cumplimiento de una obligación derivada de la LFPDPPP, por lo que devendrían aplicables las excepciones al principio del consentimiento previstas en las fracciones I, IV y VII de la referida Ley. El IFAI le negó la razón al respecto exponiendo un criterio que resulta relevante en la práctica para estimar la eficacia y alcance de dichas normas:

«…del (sic) articulado de la LFPDPPP y su Reglamento, en ninguna parte prevé que dicha excepción sea aplicable per se a la información transferida, es decir, que no exceptúa a la Afore receptora (Afore XXI Banorte…) de obtener el consentimiento expreso para el tratamiento de datos personales patrimoniales y financieros. Si bien es cierto que la Afore receptora… no puede negarse a tratar la información… dicho hecho no lo (sic) excluye de cumplir también con la LFPDPPP, por lo cual también tiene que observar su deber de obtener el consentimiento expreso para el tratamiento de datos personales patrimoniales y financieros… es necesario resaltar el hecho que el Responsable qu transfiere los datos personales… trata los mismos… para realizar el traspaso de la cuenta individual, mientras que la Afore receptora… evidentemente los tratará para una finalidad distinta… administrar la cuenta individual… De tal forma, el cambio de finalidad refuerza el hecho de que la presunta infractora debió obtener el consentimiento expreso del Titular… no existe ningún impedimento legal para obtener el consentimiento expreso del titular para el tratamiento de sus datos personales… por el contrario, está obligada a obtener dicho consentimiento expreso previo a su tratamiento, para que éste sea lícito.»

A dicho respecto debería ser obvio el incumplimiento de lo previsto por el párrafo segundo del artículo 14 y la fracción II del artículo 29 del Reglamento de la Ley, conforme a los cuales En los casos en que los datos personales se obtengan de manera indirecta del titular y tenga lugar un cambio de las finalidades que fueron consentidas en la transferencia, el responsable deberá poner a disposición del titular el aviso de privacidad previo al aprovechamiento de los datos personales.

Consecuentemente el IFAI encontró que Afore XXI Banorte no había observado los principios de consentimiento y licitud previstos por la Ley y su Reglamento, conducta sancionable conforme al artículo 63, fracción IV, de la propia Ley.

Conviene notar que ante el alegato de dicha Afore en el sentido que el titular habría otorgado su consentimiento a través de la solicitud de traspaso en el sistema METI operado por PROCESAR, el IFAI estimó que ello no constituía una manifestación de consentimiento libre, específica e informada ni inequívoca de parte de aquél, sino «…un mero elemento de soporte y trámite para la solicitud de traspaso…», y que «…las medidas impelmentadas en el sistema METI no pueden ser equiparadas al consentimiento…toda vez que la normativa que rige ese sistema y sus operaciones, así como la que regula la protección de datos personales… son diversas», lo cual remite a los comentarios anteriormente hechos por el suscrito tanto en el proceso de comentarios públicos al proyecto de Regalmento como sobre aspectos de la prestación de servicios e investigación en materia de salud, respecto de la concurrencia de diversos ordenamientos en materia del consentimiento necesario para el tratamiento de sus datos personales en distintas materias, y hace necesario enfatizar que el principio de información no admite excepciones; es indispensable poner un aviso de privacidad a disposicion del titular aun a pesar de que dicho tratamiento de datos sea realizad con motivo del cumplimiento de una obligación establecida en un ordenamiento que rija a otra materia.

Precisamente por ello el IFAI destaca que «…En ningún momento ninguna de las dos personas morales mencionadas (PROCESAR y Afore XXI Banorte) manifestó que a través de dicho sistema (el Sistema METI) se comunicaba el aviso de privacidad en el cual se indicaran las finalidades del tratamiento de los datos personales, por lo cual es evidente que el consentimiento otorgado a través del sistema referido, no es un consentimiento para el tratamiento de datos personales, sino únicamente para el traspaso de la cuenta individual». Con relación a ello no debe dejar de tomarse en cuenta que conforme los artículos 20 y 31 del Reglamento, la carga de la prueba para demostrar tanto la obtención del consentimiento como la puesta a disposición del aviso de privacidad recae, en todos los casos, en el responsable.

Analizando, para efectos de determinar la sanción, la intencionalidad de la acción u omisión constitutiva de la infracción, el IFAI encontró que Afore XXI Banorte se ubicó en las hipótesis de las fracciones IV y XIII, por transgredir los artículos indicados en la segunda viñeta de esta entrada, pues a pesar de conocer sus obligaciones en la materia transgredió esas normas.

Algo más que vale la pena destacar es que al igual que muchos otros responsables sujetos a verificación por el IFAI, Afore XXI Banorte omitió exhibir ante dicho Instituto documentación que acreditara su situación financiera actual… como si ello impidiera a dicha autoridad allegarse de elementos para determinarla, más aun en el caso de responsables cuyas actividades se enmarcan en sectores regulados y/o que cotizan en mercados bursátiles.

Igualmente destacable es la labor de la Dirección General de Sustanciación y Sanción, que recurre a todos los medios posibles para obtener la información requerida a pesar de tales omisiones, y que en este caso nuevamente (vid. caso de Telcel) accedió a la misma a través de la página Web de la responsable a ser sancionada, a través de la cual obtuvo los estados financieros de dicha Afore al 30 de septiembre de 2013, que procesalmente son documentos provenientes de dicha parte y, por lo tanto, cuyo contenido se tiene por confesado por ella y le perjudica, en donde consta un capital contable de $23,835’254,225.00 M.N.

Adicionalmente el IFAI consideró a Afore XXI Banorte como reincidente, en virtud de las resoluciones dictadas en su contra en el expdiente citado en el primer párrafo de la presente entrada, sin poder tomarlo en cuenta en el caso que se refiere en virtud de la defensa del caso que esa institución financiera lleva a cabo. Sin embargo, si consideró la infracción cometida por esa responsable como de gravedad alta, por la afectación que causó al titular al tratar sus datos personales financieros y patrimoniales sin su consentimiento, y a la omisión en observar los principios de licitud y consentimiento como de gravedad media.

Algo del caso que llama poderosamente la atención es la referencia en la denuncia del titular afectado en el sentido que, a decir del personal de Afore Inbursa, «…el personal de correos tiene vínculos con personal de otras afores y estos les están entregando los estados de cuenta para jalar a las personas que les conviene monetariamente hablando.» Al respecto es relevante considerar que el Capítulo II del Título Primero de la Ley del Servicio Postal Mexicano, relativo a la Inviolabilidad y Sigilo, prevé que la correspondencia estará libre de todo registro y no deberá ser violada, prihibiendo a quienes intervengan en la prestación del servicio de correos y de los servicios diversos, proporcionar informes acerca de las personas que los utilizan, salvo por aquellos casos en que se acaten órdenes judiciales o del Ministerio Público, al rendir datos estadísticos requeridos por las leyes o en otros casos previstos legislativamente.

Además, el Título Quinto, Capítulo II, del Código Penal Federal prevé como pena jornadas en favor de la comunidad para quien(es) abran indebidamente una comunicación escrita que no esté dirigida a ellos y a quien(es) indebidamente intercepten una comunicación escrita que no esté dirigida a ellos, aunque la conserven cerrada y no se impongan de su contenido. Y también debe atenderse al hecho que conforme a la antedicha Ley del Servicio Postal Mexicano, la recepción, transportación y entrega de la correspondencia, está a cargo del Gobierno Federal, de manera que los empleados de su organismo descentralizado denominado Servicio Postal Mexicano son servidores públicos, de acuerdo con el Título Cuarto de la Constitución, la Ley Orgánica de la Administración Pública Federal y la Ley Federal de Entidades Paraestatales, de tal forma que aquellos que hubieran incurrido en las conductas descritas en la narración contenida en la relatoría contenida en la denuncia que motivó el expediente analizado no sólo podrían haber incurrido en violación de correspondencia, sino en alguno de los tipos previstos en el Título Décimo del Código Penal Federal, además de la responsabilidad administrativa prevista en la Ley de la materia.

Sin embargo, y a pesar de la atención mediática que atrae la actividad del IFAI tanto en materia de transparencia y acceso a la información pública como de protección de datos, no parece que las demás autoridades estén al pendiente ni le den seguimiento a ésta última, no obstante que más de una de las denuncias presentadas ante dicho organismo autónomo refirieran hechos que pudieran haber sido materia del ejercicio de facultades por parte de la CONDUSEF, la CNBV o, como en este caso, el Ministerio Público de la Federación, ocupado como está.

 

The #CelebGate Nude Photographs Hack of 2014; stormy skies for the cloud business

2 septiembre, 2014
IP/Propiedad Intelectual, Privacy/Protección de Datos, Technology Regulation
Deja un comentario

kateclouds - Copy(Katherine Heigl may have been among the victimized celebrities)

Despite all conspiracy theories as may abound, the massive hack of any number of celebrities iCloud accounts through which their intimate pictures were made public on Sunday was not the work of President Coriolanus Snow’s minions to attack the character of Katniss Everdeen and undermine her as the icon of the revolt against his oppresive regime. Contrary to many such hoaxes that proliferated in the days of the Web 1.0, back when imaging software was still so primitive you could easily tell that a celeb’s face had been pasted on a naked woman’s body’s picture, this time it’s very much for real.

Througout the past couple of days the attention of the media and public at large (put any of the URLs below into Bitly.com and you’ll see they’re all «Catching Fire» -pun totally intended, as Jeniffer Lawrence has been made into the poster girl for the victims of this attack-) has been captured by a massive breach of the security in Apple’s iCloud by a hacker who leaked into the 4chan message board heaps of snapshots that an A-List of female celebrities had taken in the intimacy of their private spaces for purposes that should not concern the public. The first thing stemming from this we should reflect upon is: does this matter in a world where there are/have been armed conflicts claiming thousands of lives and billions in damages going on in the Ukraine, Israel, the Gaza strip and Irak? Is it relevant when an infectious epidemic for which no efficient cure has yet been discovered spreads throughout Africa and seeps into other continents? Should we give a rat’s ass about these celebrities’ derrieres (and other parts) being so exposed?

In some way, and at some level, the answer is YES. For many lucky people, armed conflict remains something not to be experienced but in the very worst of scenarios, and they may never become exposed to the Ebola virus at all. However a massive leak of nude celebrity pictures powerfully calls the attention, and however out of people’s reach or leagues the inhabitants of the Olympus of stardom might be, the fact that a service they use as most other people do hits very close to home, and brings into question a number of things.

For starters, a word of warning to the E-peepers who would look upon such images: if not out of respect for them or themselves (as Mary E. Winstead has put forth), while the question of «how?» this hacker did it, which is for Apple and the Feds to answer, the question you should have on your mind before you view/download these images ought to be «why did he/she do it?». Do you really think that this person is a benefactor of the lewd and did this so that the lonely guys out there could have something of their liking to «entertain themselves» with? Or just to gain notoriety in hacking circles. I would not think so; it seems unlikely that such an undertaking would have been made just for kicks. Be warned that JPG and PNG images can, have been and are still used to inject systems with malicious codes written into them. So it might be reasonable to entertain the possibility that despite honest confirmations of the authenticity of the images by some of the celebrities involved, these images may have been tampered with prior to them being uploaded all the time knowing that they would have a wide audience precisely because they would have captured the attention of the media and the public. So potentially there is the risk that by perusing these pictures your system could now be part of a very large botnet, or that your personal information has been siphoned off of it.

Having said that, the First matter to address is what a parent is to say to his/her daughter/son about sexting, when it becomes a matter of public record that all these celebrities that youngsters look up to have made it a part of their intimacy? Just a week ago some parents in Virginia turned their daughter in to the police in order to prevent her from further involvement in sexting. For sure, it’s probably been going on since photography was invented (remember the part in Parenthood when Diane Weist gets the nude pictures that Martha Plimpton’s and Keanu Reeves’s characters had shot?), and the easy answer would be: they’re big girls, and they knew (or ought to have known) what they were doing and the risks involved. Even more so of course if the matter was a publicity stunt such as those trite celebrity sex tapes that «accidentally» got out and brought the figure(s) involved back under the spotlight.

The Second matter is that, as usual, public attention and outcry always comes when this happens to the high and mighty, but not so much so when it happens to «Jane Town». For years victims of «revenge porn» have been fighting for legislation to criminalize the act of disseminating intimate images of people without their consent. While anyone has the right to take this up to the authorities for them to attempt and prosecute the poster and those who aided and abetted him/her, as well as to sue to seek redress, it is all the more difficult (and expensive) for the average Jane or Joe on the street, whereas this case has speedily mobilized the Feds to prosecute the culprit.

And even if the culprit is ever apprehended, existing law may still have rather ample loopholes through which that person could elude some measures of liability. Also there’s the difficulty of getting the website operators to take the offending materials down, as many often benefit from exemptions afforded to «passive sites», much needed for the development of the Web and eCommerce as we know them today, which unfortunate collateral effect is sometimes that questionable sites get off the hook through the same avenues available to the reputable sites we all know, whether the «Communications Decency Act» or  §512 of the Copyright Act, supported by case law in law school case books (ie. Zeran v. America Online and Blumenthal v. Drudge) which is the reason these materials often show up on open sites, such as messages boards and other such, and also not on social networks, as their Terms of Use generally provide against sexually explicit, libelous and/or harassing content. I myself have succeed in having such content removed from some social networks in a case or two, and the accounts involved cancelled, but others can prove to not be as cooperative in so doing, or in producing the information of the user concerned. So getting such offending content removed from the Web may be a Herculean feat, or nearly impossible once it has «gone viral».

Another matter to consider is that not only these celebrities’ intimacy and dignity have been breached, but also their privacy as digital photographs have metadata embedded in them that can reveal the location where they were taken. That may not be a big deal if the photo shooting was done in a hotel while on location when a film was being shot; however the proposition is entirely different with pictures shot in the celebrities’ (or anyone elses’) homes.

Third, there’s the damage such instances can wreck on the reputation of the storage provider concerned, maybe even on the lot of them, at a time when all the major tech companies wage a price war in the market for cloud computing services, forcing smaller companies in the business of cloud storage, such as Box, Dropbox and Hightail, to «pivot» their business models. While under a theory of free markets with some antitrust checks such competition and pivoting may work to the benefit of consumers, who will have more innovative products and services at lower and more competitive prices, the fact is that this could be as harmful to Apple, specifically, and to the cloud business, generally, as the ignition switch recall was for General Motors. How could one rely on cloud storage services when an event such as this happens?

What exactly does Apple’s iCloud’s Security and Privacy Overview state?

Data Security

iCloud secures your data by encrypting it when it is sent over the Internet, storing it in an encrypted format when kept on server (review the table below for detail), and using secure tokens for authentication. This means that your data is protected from unauthorized access both while it is being transmitted to your devices and when it is stored in the cloud. iCloud uses a minimum of 128-bit AES encryption—the same level of security employed by major financial institutions—and never provides encryption keys to any third parties.

Security and iCloud Features
The table below summarizes how your data is secured when using various iCloud features:

iCloudChart - CopyBeg your pardon, but I’m a bit confused; right in the line where it says «iCloud.com», the column for Encryption on Server also says «All sessions at iCloud.com are encrypted with SSL. Any data accessed via iCloud.com is encrypted on server as indicated in this table.» so is the data itself encrypted while stored on their server, or is only the access thereto?

And as is customary, the provide as follows:

Your Account

As a registered user of the Service, you may establish an Account. Don’t reveal your Account information to anyone else. You are solely responsible for maintaining the confidentiality and security of your Account and for all activities that occur on or through your Account, and you agree to immediately notify Apple of any security breach of your Account. You further acknowledge and agree that the Service is designed and intended for personal use on an individual basis and you should not share your Account and/or password details with another individual. Provided we have exercised reasonable skill and due care, Apple shall not be responsible for any losses arising out of the unauthorized use of your Account resulting from you not following these rules.

So what exactly happens when it is the media at large, and not the user, that notifies Apple of security breaches to numerous accounts? You are looking at it, ladies and gentlemen.

Disclaimer of Warranties

APPLE DOES NOT REPRESENT OR GUARANTEE THAT THE SERVICE WILL BE FREE FROM LOSS, CORRUPTION, ATTACK, VIRUSES, INTERFERENCE, HACKING, OR OTHER SECURITY INTRUSION, AND APPLE DISCLAIMS ANY LIABILITY RELATING THERETO.

Of course, how could it? No system is impregnable (Spanish speakers, this means something entirely different in English); however, at which point and how should a line be drawn between a reasonable exemption from liability for companies in a business which participants are constantly beset by their own governments and foreign sovereigns, as well as rouge military units, so much so that even the NATO allies are about to include cyberattacks as a trigger for the Alliance’s defense mechanisms.

In sum, issues stemming from this case which are to be discussed and sorted out over the months (or years) to come range from personal issues for the affected celebrities, social issues because of the perception of these icons that youths might develop, as well as from the fact that as has been underscored all victims are female, technical issues for the security and privacy professionals working with and for tech companies (apparently the exploited vulnerability lay in the «Find my iPhone» app in the victims’ handsets), business issues concerning how to salvage the trust of tech users and consumers before the cloud business dissipates, as well as legal and political issues for lawmakers and regulators to respond to.

Preserving privacy and security online and on the cloud is paramount for contemporary life and business. While most people can do without racy/raunchy pictures of themselves and/or their intimate partners, or at least live without having them in digitial formats and available at any place and time, it would seem unfeasible and virtually (pun intended) unbearable to go back to life, work and entertainment the world over as they were in the 1970’s.

To close on a high note, even though some of the women affected by this attack make a (pretty decent) living on their physique, and at least one relies very heavily on her one ASSet and «talent» for selfies, the fact is that they are nevertheless persons and women, and the fact that they are performers does not necessarily mean that they have such thick skin to be 100% OK with their intimate images spread throughout the Web. For example, even though she was playing a stripper in Closer, and the film was quite ghastly, Natalie Portman had her full-frontal nude removed from the film: «Actress Natalie Portman ordered director Mike Nichols to remove her full frontal nude scenes from her latest movie Closer – despite playing a stripper in the film. Nichols is very protective of the 23-year-old beauty and agreed the topless footage was acceptable, but decided raunchy shots of her fully nude were gratuitous and should be deleted from the drama. Portman explains, «He wants to see my bare ass much less than (even) my father would. He’s as or more protective of me than my parents are. So doing sexual, physical stuff for him felt very uncomfortable

Pictogramas en Cajetillas de Cigarros y Derecho a la Imagen

15 agosto, 2014
IP/Propiedad Intelectual, Privacy/Protección de Datos
Deja un comentario

pictograma - Copysoledadfelix - CopyVan a ser 4 años desde que la regulación en materia de publicidad para productos del tabaco hizo obligatorio incluir en las cajetillas de esos productos las atroces imágenes o «pictogramas» con los que se busca desincentivar el consumo del tabajo. Pues hoy día El Financiero y La Jornada dan cuenta de que la Sra. Soledad Félix, de 72 años y residente en Ciudad Juárez, Chihuahua, cayó en cuenta de que es ella quien figura en las imagenes utilizadas para uno de tales pictorgramas, y por ese motivo ha presentado una queja ante la Comisión Estatal de los Derechos Humanos (CEDH) en Ciudad Juárez, pues la fotografía correspondiente habría sido obtenida sin su consentimiento mientras se encontraba internada en un hospital del Instituto Mexicano del Seguro Social en aquélla Ciudad, entre finales de 2009 e inicios del 2010, por causa de un infarto.

A decir de la oficina del Ombudsman chihuahuense, el hecho constituye una afectación el Derecho de Privacidad de la señora, y podrían resultar otros como discriminación y daño moral por aparecer en esa fotografía, donde se encuentra acostada en la sala de terapia intensiva (2010). Sin embargo, reconocen que el uso de los pictogramas obedece a un mandato de la Secretaría de Salud y no a una decisión propia de las tabacaleras, por lo que el asunto se circunscribe al ámbito de la Ley Federal para la Transparencia y Acceso a la Información Pública Gubernamental, y no al de la Ley Federal de Protección de Datos Personales, toda vez que la imagen está contenida en el «Acuerdo por el que se dan a conocer la serie de leyendas, imágenes, pictogramas, mensajes sanitarios e información que deberá figurar en todos los paquetes de productos del tabaco y en todo empaquetado y etiquetado externo de los mismos a partir del 24 de marzo de 2013«, mismo que contiene como «Pictograma 5 la imagen controvertida, y fundamenta el requerimiento de su uso en la Ley General de Salud, la Ley General para el Control del Tabaco y el Reglamento de esa Ley General.

Naturalmente una acción en contra de diversas empresas tabacaleras podría ser más interesante para quien se viera afectado en similares términos por el hecho propio y directo de un particular, puesto que una demanda por daño moral e infracción en materia de comercio a la Ley Federal del Derecho de Autor resultaría en una idemnización de al menos el 40% del precio de venta al público del producto original (nótese que en este caso no hay producto original), por la reparación del daño material y/o moral, así como indemnización por daños y perjuicios (art. 216 Bis) por la violación a los derechos conferidos por esa Ley, entre los cuales está incluído el derecho a la propia imagen (art. 87). El tema del derecho a la imagen ya ha sido explorado anteriormente en este blog, y concluyéndose que no existe a la fecha claridad suficiente sobre las normas que deberían ser observadas para el debido tratamiento de la imagen de una persona, debido a la omisión regulatoria que prevalece en materia de propiedad intelectual, además de muchas otras, con respecto a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Tratándose de un caso motivado por hechos ocurridos en un centro hospitalario a cargo del Estado, la indemnización que en su caso llegara a resolver como procedente la autoridad jurisdiccional estaría acotada, por virtud del artículo 14, fracción II, párrafo segundo de la Ley Federal de Responsabilidad Patrimonial del Estado a 20,000 días de salarí mínimo general vigente en el D.F., y preliminarmente podría asumirse pagadera por el Instituto Mexicano del Seguro Social, en tanto operador del referido centro hospitalario y que se habría debido a omisiones o actos de personal al servicio de dicho Instituto, quienes además podrían haber incurrido en transgresiones a la Ley Federal de Responsabilidades Administrativas de los Servidores Públicos, al menos y en principio por la omisión en el cuidado de la información y datos personales de la paciente quejosa, incluyendo imagen y estado de salud (la leyenda encabezado del pictograma incluso refiere puntualmente «INFARTO AL MIOCARDIO», motivo por el cual ella se encontraba internada en el nosocomio), de la Sra. Soledad Félix.

Es un hecho que la industria tabacalera se ha encontrado bajo ataque desde hace tiempo; incluso en los Estados Unidos de América se le ha vapuleado, a pesar de que el tabaco fue un cultivo clave en la etapa fundacional de la economía estadounidense. Hace 3 años que en Australia entró en vigor el Tobacco Plain Packaging Act, que para efectos constituyó una medida expropiatoria de la propiedad industrial de las tabacaleras, por impedirles hacer uso de sus marcas en los empaques, lo cual motivó que dichas empresas intentaran recurrir la medida ante la High Court de aquél país, aunque de manera infructusa.

Al respecto llama la atención el comentario de Leticia Félix, la hija de la Sra. Soledad, en el sentido que “la gente no se fija cuando abren las cajetillas de cigarros, porque tienen diferentes fotografías…”, y si es que el uso de los pictogramas y leyendas precautorias en las cajeitllas de cigarrillos cumplen o no su finalidad y propósito. Ante ello, vale la pena considerar la utilidad y bondad de este tipo de requerimientos regulatorios y la carga administrativa que se impone a las industrias reguladas y que pagan impuestos, respecto de otras alternativas para lograr los objetivos de salubridad pública y bienestar de la población que se persiguen con medidas como éstas.

 

pictograma 5 - Copypictograma2 - Copy

 

#LeyTelecomm; la Unidad de Inteligencia Financiera se adelanta…

13 agosto, 2014
Privacy/Protección de Datos, Regulación Bancaria/Financiera, Technology Regulation
Deja un comentario

cctv3 - CopyPrevio a la promulgación de la Ley Federal de Telecomunicaciones, diversos medios publicaron múltiples comentarios sobre la afectación que los artículos 189 y 190 del proyecto de Decreto aprobado por el Congreso de la Unión suponen para la protección de datos consagrada en el artículo 16, párrafo segundo, de la Constitución Política de los Estados Unidos Mexicanos, sobre lo cual se comentó en este blog el 4 y 28 de julio de este año.

El tema se resume en que los artículos referidos obligan a los autorizadosy proveedores de servicios de aplicaciones y contenidos a atender todo mandamiento por escrito, fundado y motivado de la autoridad competente, referida de manera muy genérica como «instancias de seguridad y procuración de justicia», cuyos titulares podrán designar, mediante acuerdos publicados en el Diario Oficial de la Federación, a los servidores públicos encargados de gestionar tales requerimientos que se realicen y recibir la información correspondiente a la localización geográfica, en tiempo real, de los equipos de comunicación móvil, so pena de sanción de la autoridad por desacato.

Hoy día el Reforma reporta que la Unidad de Inteligencia Financiera de la Secretaría de Hacienda y Crédito Público presentó a la Comisión Federal de Mejora Regulatoria el proyecto de Acuerdo por el que el Titular de esa Unidad designa a los Servidores Públicos que se mencionan en el mismo, para efecto de lo dispuesto en el citado artículo 189 de la #LeyTelecomm, designando como tales a los titulares de la propia Unidad de Inteligencia Financiera, y a su Dirección General de Procesos Legales.

El encabezado de prensa pareciera ser sensacionalista y amedrentar a muchos: «Rastreará SHCP a evasores por celular«. Al respecto hay que considerar si las facultades de la UIF atañen a la seguridad y procuración de justicia; naturalmente dicha Unidad lo estima así, y por ello motiva el proyecto presentado a COFEMER indicando que el artículo 15 del Reglamento Interior de la SHCP le otorga competencia para denunciar ante el Ministerio Público Federal las conductas que pudieran favorecer, prestar ayuda, auxilio o cooperación de cualquier especie para la comisión de esos delitos (art. 15, fracción XIII), por lo que se ajustaría al extremo previsto en el citado artículo 189 de la Ley Federal de Telecomunicaciones y Radiodifusión.

Al respecto debe considerarse que los tipos penales referidos en la norma del Reglamento Interior que se cita, comúnmente conocidos como «lavado de dinero», son esencialmente accesorios; es decir, aunque son penados en sí mismos aunque sirven como medio para la comisión de otros actos previstos como delito por los artículos 139 Quáter y 400 Bis del Código Penal Federal, y de la lectura del proyecto de Acuerdo se podría interpretar que la intención del Titular de la UIF sería acotar su ejercicio de la facultad prevista en el referido artículo 189 a su actuación respecto de los mismos. Adicionalmente, la fracción XI del citado artículo del Reglamento Interior la faculta también para «coordinarse con las autoridades fiscales para la práctica de los actos de fiscalización que resulten necesarios con motivo del ejercicio de las facultades conferidas conforme al citado artículo; por lo tanto, el rastreo mediante geolocalización en tiempo real de dispositivos de telecomunicación móvil debería darse solamente en los casos en que la «evasión fiscal» hubiera sido una de las conductas punibles de las que se hubieran obtenido los recursos con los que se hubieran realizado las operaciones investigadas hubieran derivado de alguna de las conductas previstas en el artículo 400 Bis del Código Penal Federal hubieran sido producto de la comisión de alguna de las conductas previstas en los artículos 108 a 111 del Código Fiscal de la Federación.

En los meses siguientes se verá, sin duda, a muchas otras autoridades administrativas presentar ante la COFEMER sus respectivos proyectos de Acuerdo para los mismos efectos. Posiblemente ello contribuya para paliar, en la práctica y de manera fáctica, la falta de claridad y ambigüedad del multicitado artículo 189 de la Ley Federal de Telecomunicaciones y Radiodifusión, aunque no debiera ser el caso.

Por otra parte, en breve se verá si el IFAI, en su nueva integración, resuelve afianzar su papel de garanta del acceso a la información pública y protección de datos personales, pues su pleno resolverá en su sesión del día de hoy sobre el ejercicio de la acción de inconstitucional que le fue conferido por virtud de la reciente reforma constitucional publicada en el Diario Oficial de la Federación el 7 de febrero del año en curso. La discusión se escucha reñida, y sin lugar a dudas los votos de sus Comisionados aportarán indicaciones sobre sus criterios y lo que podría esperarse de su actuación en esos puestos y de la del Instituto mismo.

 

 

 

 

Compliance Report

Xavier Ribas

Derecho de las TIC y Compliance

Marcus Kazmierczak

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace

Cedric's Privacy Blog

Blog de la Asociación Mexicana de Restaurantes