archivo

Privacy/Protección de Datos

logo-CONDUSEF2 - CopyLa cobranza extrajudicial ha sido un tema muy llevado y traido en México desde hace tiempo, que necesariamente se relaciona con el Tratamiento de Datos Personales y el Principio de Calidad además del Principio de Lealtad que informan a la Ley de la materia, por lo cual empresas como Telcel y la SOFOM de tarjetas de Banamex han sido sancionadas por el IFAI. Se trata de un asunto al que los Responsables deben poner atención, puesto que sus agencias o despachos de cobranza obran como Encargados suyos, por lo que sus actos u omisiones podrían repercutirles, por virtud del Principio de Responsabilidad, dado que por definición un Encargado obra por cuenta y orden del Responsable.

Las prácticas de algunos despachos de cobranza también han representado por mucho tiempo un problema para el público, ya sea porque aquellos recurren a prácticas cuestionables, por decir lo menos, dirigiendo a los domicilios registrados de los acreditados documentos que pretenden hacer pasar por mandamientos judiciales de embargo, o porque ante la falta de actualización de sus bases de datos o directorios (ojo con el Principio de Calidad) insisten en comunicarse, muchas veces a deshoras o con lenguaje agresivo e incluso vulgar, a los números telefónicos que tuvieran registrados para los deudores morosos.

No se había encontrado una solución sólida para estas situaciones, por una parte debido a que la colegiación no es obligatoria en México, por lo que no existe un organismo con facultades para sancionar a los profesionales del derecho que incurran en prácticas como las arriba mencionadas, y por otra dado que la CONDUSEF no contaba con facultades para proceder en contra de tales abusos. La única vía que existía, mencionada en la entrada del 30 de julio del 2013, era la verificación del caso, para determinar si resultaba o no en una violación del Código de Ética de las Obligaciones para con los Deudores y Público en General, pactado por tal Comisión y por la Asociación Mexicana de Profesionales en Cobranza y Servicios Jurídicos, A.C., que al final de cuentas era una solución basada en soft law, por lo que dependía de su adopción voluntaria por el despacho de cobranza y difícilmente era sancionable.

Probablemente las cosas cambien a ese respecto a partir de hoy, pues como lo anunció la CONDUSEF el día de ayer fueron publicadas en el Diario Oficial de la Federación las Disposiciones de carácter general aplicables a las entidades financieras en materia de Despachos de Cobranza, que dicha Comisión expidió con fundamento en las facultades que le fueron conferidas mediante las recientes reformas a la Ley para la Transparencia y Ordenamiento de los Servicios Financieros, Disposiciones que entraron en vigor a partir de hoy, sin perjuicio de los plazos de 90 días que sus Disposiciones Transitorias otorgan para dar cumplimiento a las obligaciones derivadas de las mismas, así como para adecuar, en lo conducente, los contratos que ya deberían tener inscritos ante el Registro de Contratos de Adhesión de dicha Comisión.

Esto decididamente significa un avance en el manejo de estos asuntos, pero en cuanto a protección de datos personales da la impresión que ni ésta ni otras entidades reguladoras “le entran” de lleno a la materia y, por lo tanto, no llevan a cabo la emisión de la regulación secundaria correspondiente a sus sectores. Esto se observa en la fracción VIII de la Disposición Cuarta, que se limita a requerir a las Entidades Financieras a “Tratar los datos personales de conformidad con la normativa aplicable en la materia”, sin disponer de manera más clara al respecto, puesto que sólo hay 2 referencias de relevancia a la LFPDPPP:

  1. En la fracción I de la propia Disposición se hace a las Entidades Financieras responsables de que al contratar Despachos de Cobranza (según dicho término es definido) para realizar gestiones de cobro, negociación o reestructuración de sus créditos, préstamos o financiamientos, se tengan establecidos mecanismos que permitan la plena identificación del Deudor, obligado solidario o aval, antes de establecer el primer contacto, y a que en el primero contacto que establezcan con dicho Deudor (momento en el cual deberían
  2. Último párrafo de la Disposición Sexta, que les requiere observar lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y, en su caso la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamentalen al convenir la cesión o venta de cartera, lo cual no aporta gran cosa, puesto que dichos ordenamientos son de orden público y observancia general, por lo que no hacía falta que una norma secundaria reiterase su obligatoriedad.

Sin perjuicio de lo anterior, destaca la previsión contenida en la fracción VII, inciso f), de dichas Disposiciones, que  requiere a los Despachos de Cobranza que se abstenga de establecer registros especiales, distintos a los ya existentes, listas negras, cartelones, o anuncios, que hagan del conocimiento del público la negativa de pago de los Deudores. Tales prácticas podrían también ser sancionadas por el IFAI, en virtud de que las obligaciones del Encargado previstas en el artículo 50 del Reglamento de la LFPDPPP: le obligan a:

  • Guardar confidencialidad respecto de los Datos Personales tratados, confidencialidad que sería transgredida por la práctica de colocar cartelones o anuncios que comuniquen a terceros la mora del Deudor;
  • Abstenerse de transferir (por definición a Terceros) los Datos Personales a los que den Tratamiento, lo cual también sería violatorio del antedicho deber de confidencialidad;
  • Tratar los Datos Personales únicamente conforme a las instrucciones del Responsable, y
  • Suprimir los Datos Personales objeto de Tratamiento una vez cumplida la relación jurídica con el responsable o por instrucciones de éste, obligaciones que serían incumplidas si el Despacho de Cobranza mantuviera su propia bases de datos en paralelo a los registros proporcionados o generados por instrucciones de la Entidad Financiera Responsable, más aún si la ofreciera posterioremente a otro de sus clientes.

También obliga a los Despachos de Cobranza a ser inscritos por las Entidades Financieras en el Registro de Despachos de Cobranza que llevará dicha Comisión.

Para el público representan los siguientes beneficios en tanto que los Despachos de Cobranza:

  • Deberán identificarse plenamente en el contacto con el Deudor, y brindarle información suficiente sobre el motivo de su actuación;
  • Deberán comunicarse de manera respetuosa y educada, en un horario de 7:00 a 22:00 horas;
  • No podrán ostentarse como instituciones públicas, utilizar números telefónicos ocultos al identificador de llamadas,
  • Amenazar, ofender o intimidar al Deudor, sus familiares, compañeros de trabajo o cualquier otra persona que no tenga relación con la deuda, realizar gestiones de cobro a terceros, incluidas las referencias personales y beneficiarios, con excepción de Deudores solidarios o avales, ni con menores de edad o adultos mayores, salvo que dichos adultos sean los Deudores, ni enviar documentos que aparenten ser escritos judiciales u ostentarse como representantes de algún órgano jurisdiccional o autoridad.

Para efectos del Principio de Calidad es relevante que también se les ha prohibido realizar las gestiones de cobro, negociación o reestructuración, de los créditos, préstamos o financiamientos, en un domicilio, teléfono o correo electrónico distinto al proporcionado por la Entidad Financiera o el Deudor, obligado solidario o aval, lo cual les obligará a dar un seguimiento más puntual a la ubicación de sus Deudores, avales u obligados solidarios, aunque también podría hacerles recurrir a otros medios para mantener sus bases de datos actualizadas, como la consulta de fuentes de acceso público, lo cual debería verse reflejado en el momento de poner sus Avisos de Privacidad a disposición de aquellos Titulares cuyos Datos Personales hubieran obtenido indirectamente.

Habrá que esperar y ver si la PROFECO expide Disposiciones en similar sentido que resulten aplicables a las Entidades Comerciales que también otorgan créditos, préstamos o financiamientos.

 

http://play.buto.tv/5cmRY

This video from “Magic Circle” London firm Freshfields, Bruckhaus, Deringer illustrates how and why privacy compliance is much less costly than risking a cyber-attack, and some preemptive measures against such attacks.

Steps outlined to be taken are the following:

  1.  Assess your businesses’s relevant information, where it’s at and how it is protected;
  2. Be joined (by a cross-functional committee) in managing risk;
  3. Have contractual protections, allocating and excluding liability if and where applicable, including insurance if possible;
  4. Readiness: rehearse responses.

The dire consequences of cyber-attacks have been illustrated in current affairs media by Sony’s settlement of a class action suit for the breach of its PlayStation userbase, as well as by the attack against Target, which even lead to the ousting of Board members, and more recently Home Depot’s.

You try and do the math as to which is more costly between investing in privacy compliance and having your business take its chances in an equation where the variable for the cost (financial and reputational) of a breach cannot be determined ex ante, but the laws do provide for parameters to assess fines.

 

logoBanorte - CopyHace 9 meses escribí en este Blog sobre la multa de $1’246,000.00 que el IFAI impuso a la Administradora de Fondos para el Retiro de Grupo Financiero Banorte con motivo del traspaso ilegal de un derechohabiente del SAR hacia dicha AFORE, práctica que lamentablemente fue y sigue siendo muy común en el mercado de tales servicios. Por alguna razón el caso motiva gran interés, pues las estadísticas muestran que ha sido la entrada más consultada aquí, pues al día de hoy ha sido leída por 973. Tal vez también se deba a que Afore XXI Banorte encabeza la estadística de reclamaciones presentadas por usuarios de afores ante la CONDUSEF, según reporta en su Buró de Entidades Financieras.

El caso se repite, pues conforme al expediente PS.0018/13 en marzo de este año dicha autoridad de protección de datos impuso a esa AFORE 2 multas por una situación similar:

  • $1’558,250.00, por recabar datos personales patrimoniales y financieros sin el consentimiento requerido, y
  • $1’246,000.00 (nuevamente), por trangredir los artículos 6, 7 y 8 de la Ley, debido a la transgresión de los principios que informan la Ley.

De acuerdo con el expediente, el caso fue originado por la denunicia de un cuenthabiente de Afore Inbursa, quien manifestó haber dado seguimiento a la omisión en la entrega de sus estados de cuenta mediante SARTEL, con lo cual descubrió que había sido transferido, sin su consentimiento o conocimiento, a Afore XXI Banorte, de quien obtuvo un estado de cuenta con información que no cumplía con el principio de calidad que informa a la Ley, y cuyo Gerente alegó que los hechos serían imputables a un “JACKER” (sic).

La responsable respondió negando el tratamiento de los datos personales del titular denunciante, pues habría recibido su solicitud por Procesar, S.A. de C.V, empresa operadora de la base de datos nacional del SAR, para el traspaso de su cuenta, lo cual conlleva la transferencia de dichos datos, habiendo sido dicha transferencia consecuencia del cumplimiento de una obligación derivada de la LFPDPPP, por lo que devendrían aplicables las excepciones al principio del consentimiento previstas en las fracciones I, IV y VII de la referida Ley. El IFAI le negó la razón al respecto exponiendo un criterio que resulta relevante en la práctica para estimar la eficacia y alcance de dichas normas:

…del (sic) articulado de la LFPDPPP y su Reglamento, en ninguna parte prevé que dicha excepción sea aplicable per se a la información transferida, es decir, que no exceptúa a la Afore receptora (Afore XXI Banorte…) de obtener el consentimiento expreso para el tratamiento de datos personales patrimoniales y financieros. Si bien es cierto que la Afore receptora… no puede negarse a tratar la información… dicho hecho no lo (sic) excluye de cumplir también con la LFPDPPP, por lo cual también tiene que observar su deber de obtener el consentimiento expreso para el tratamiento de datos personales patrimoniales y financieros… es necesario resaltar el hecho que el Responsable qu transfiere los datos personales… trata los mismos… para realizar el traspaso de la cuenta individual, mientras que la Afore receptora… evidentemente los tratará para una finalidad distinta… administrar la cuenta individual… De tal forma, el cambio de finalidad refuerza el hecho de que la presunta infractora debió obtener el consentimiento expreso del Titular… no existe ningún impedimento legal para obtener el consentimiento expreso del titular para el tratamiento de sus datos personales… por el contrario, está obligada a obtener dicho consentimiento expreso previo a su tratamiento, para que éste sea lícito.

A dicho respecto debería ser obvio el incumplimiento de lo previsto por el párrafo segundo del artículo 14 y la fracción II del artículo 29 del Reglamento de la Ley, conforme a los cuales En los casos en que los datos personales se obtengan de manera indirecta del titular y tenga lugar un cambio de las finalidades que fueron consentidas en la transferencia, el responsable deberá poner a disposición del titular el aviso de privacidad previo al aprovechamiento de los datos personales.

Consecuentemente el IFAI encontró que Afore XXI Banorte no había observado los principios de consentimiento y licitud previstos por la Ley y su Reglamento, conducta sancionable conforme al artículo 63, fracción IV, de la propia Ley.

Conviene notar que ante el alegato de dicha Afore en el sentido que el titular habría otorgado su consentimiento a través de la solicitud de traspaso en el sistema METI operado por PROCESAR, el IFAI estimó que ello no constituía una manifestación de consentimiento libre, específica e informada ni inequívoca de parte de aquél, sino “…un mero elemento de soporte y trámite para la solicitud de traspaso…”, y que “…las medidas impelmentadas en el sistema METI no pueden ser equiparadas al consentimiento…toda vez que la normativa que rige ese sistema y sus operaciones, así como la que regula la protección de datos personales… son diversas”, lo cual remite a los comentarios anteriormente hechos por el suscrito tanto en el proceso de comentarios públicos al proyecto de Regalmento como sobre aspectos de la prestación de servicios e investigación en materia de salud, respecto de la concurrencia de diversos ordenamientos en materia del consentimiento necesario para el tratamiento de sus datos personales en distintas materias, y hace necesario enfatizar que el principio de información no admite excepciones; es indispensable poner un aviso de privacidad a disposicion del titular aun a pesar de que dicho tratamiento de datos sea realizad con motivo del cumplimiento de una obligación establecida en un ordenamiento que rija a otra materia.

Precisamente por ello el IFAI destaca que “…En ningún momento ninguna de las dos personas morales mencionadas (PROCESAR y Afore XXI Banorte) manifestó que a través de dicho sistema (el Sistema METI) se comunicaba el aviso de privacidad en el cual se indicaran las finalidades del tratamiento de los datos personales, por lo cual es evidente que el consentimiento otorgado a través del sistema referido, no es un consentimiento para el tratamiento de datos personales, sino únicamente para el traspaso de la cuenta individual”. Con relación a ello no debe dejar de tomarse en cuenta que conforme los artículos 20 y 31 del Reglamento, la carga de la prueba para demostrar tanto la obtención del consentimiento como la puesta a disposición del aviso de privacidad recae, en todos los casos, en el responsable.

Analizando, para efectos de determinar la sanción, la intencionalidad de la acción u omisión constitutiva de la infracción, el IFAI encontró que Afore XXI Banorte se ubicó en las hipótesis de las fracciones IV y XIII, por transgredir los artículos indicados en la segunda viñeta de esta entrada, pues a pesar de conocer sus obligaciones en la materia transgredió esas normas.

Algo más que vale la pena destacar es que al igual que muchos otros responsables sujetos a verificación por el IFAI, Afore XXI Banorte omitió exhibir ante dicho Instituto documentación que acreditara su situación financiera actual… como si ello impidiera a dicha autoridad allegarse de elementos para determinarla, más aun en el caso de responsables cuyas actividades se enmarcan en sectores regulados y/o que cotizan en mercados bursátiles.

Igualmente destacable es la labor de la Dirección General de Sustanciación y Sanción, que recurre a todos los medios posibles para obtener la información requerida a pesar de tales omisiones, y que en este caso nuevamente (vid. caso de Telcel) accedió a la misma a través de la página Web de la responsable a ser sancionada, a través de la cual obtuvo los estados financieros de dicha Afore al 30 de septiembre de 2013, que procesalmente son documentos provenientes de dicha parte y, por lo tanto, cuyo contenido se tiene por confesado por ella y le perjudica, en donde consta un capital contable de $23,835’254,225.00 M.N.

Adicionalmente el IFAI consideró a Afore XXI Banorte como reincidente, en virtud de las resoluciones dictadas en su contra en el expdiente citado en el primer párrafo de la presente entrada, sin poder tomarlo en cuenta en el caso que se refiere en virtud de la defensa del caso que esa institución financiera lleva a cabo. Sin embargo, si consideró la infracción cometida por esa responsable como de gravedad alta, por la afectación que causó al titular al tratar sus datos personales financieros y patrimoniales sin su consentimiento, y a la omisión en observar los principios de licitud y consentimiento como de gravedad media.

Algo del caso que llama poderosamente la atención es la referencia en la denuncia del titular afectado en el sentido que, a decir del personal de Afore Inbursa, “…el personal de correos tiene vínculos con personal de otras afores y estos les están entregando los estados de cuenta para jalar a las personas que les conviene monetariamente hablando.” Al respecto es relevante considerar que el Capítulo II del Título Primero de la Ley del Servicio Postal Mexicano, relativo a la Inviolabilidad y Sigilo, prevé que la correspondencia estará libre de todo registro y no deberá ser violada, prihibiendo a quienes intervengan en la prestación del servicio de correos y de los servicios diversos, proporcionar informes acerca de las personas que los utilizan, salvo por aquellos casos en que se acaten órdenes judiciales o del Ministerio Público, al rendir datos estadísticos requeridos por las leyes o en otros casos previstos legislativamente.

Además, el Título Quinto, Capítulo II, del Código Penal Federal prevé como pena jornadas en favor de la comunidad para quien(es) abran indebidamente una comunicación escrita que no esté dirigida a ellos y a quien(es) indebidamente intercepten una comunicación escrita que no esté dirigida a ellos, aunque la conserven cerrada y no se impongan de su contenido. Y también debe atenderse al hecho que conforme a la antedicha Ley del Servicio Postal Mexicano, la recepción, transportación y entrega de la correspondencia, está a cargo del Gobierno Federal, de manera que los empleados de su organismo descentralizado denominado Servicio Postal Mexicano son servidores públicos, de acuerdo con el Título Cuarto de la Constitución, la Ley Orgánica de la Administración Pública Federal y la Ley Federal de Entidades Paraestatales, de tal forma que aquellos que hubieran incurrido en las conductas descritas en la narración contenida en la relatoría contenida en la denuncia que motivó el expediente analizado no sólo podrían haber incurrido en violación de correspondencia, sino en alguno de los tipos previstos en el Título Décimo del Código Penal Federal, además de la responsabilidad administrativa prevista en la Ley de la materia.

Sin embargo, y a pesar de la atención mediática que atrae la actividad del IFAI tanto en materia de transparencia y acceso a la información pública como de protección de datos, no parece que las demás autoridades estén al pendiente ni le den seguimiento a ésta última, no obstante que más de una de las denuncias presentadas ante dicho organismo autónomo refirieran hechos que pudieran haber sido materia del ejercicio de facultades por parte de la CONDUSEF, la CNBV o, como en este caso, el Ministerio Público de la Federación, ocupado como está.

 

pictograma - Copysoledadfelix - CopyVan a ser 4 años desde que la regulación en materia de publicidad para productos del tabaco hizo obligatorio incluir en las cajetillas de esos productos las atroces imágenes o “pictogramas” con los que se busca desincentivar el consumo del tabajo. Pues hoy día El Financiero y La Jornada dan cuenta de que la Sra. Soledad Félix, de 72 años y residente en Ciudad Juárez, Chihuahua, cayó en cuenta de que es ella quien figura en las imagenes utilizadas para uno de tales pictorgramas, y por ese motivo ha presentado una queja ante la Comisión Estatal de los Derechos Humanos (CEDH) en Ciudad Juárez, pues la fotografía correspondiente habría sido obtenida sin su consentimiento mientras se encontraba internada en un hospital del Instituto Mexicano del Seguro Social en aquélla Ciudad, entre finales de 2009 e inicios del 2010, por causa de un infarto.

A decir de la oficina del Ombudsman chihuahuense, el hecho constituye una afectación el Derecho de Privacidad de la señora, y podrían resultar otros como discriminación y daño moral por aparecer en esa fotografía, donde se encuentra acostada en la sala de terapia intensiva (2010). Sin embargo, reconocen que el uso de los pictogramas obedece a un mandato de la Secretaría de Salud y no a una decisión propia de las tabacaleras, por lo que el asunto se circunscribe al ámbito de la Ley Federal para la Transparencia y Acceso a la Información Pública Gubernamental, y no al de la Ley Federal de Protección de Datos Personales, toda vez que la imagen está contenida en el “Acuerdo por el que se dan a conocer la serie de leyendas, imágenes, pictogramas, mensajes sanitarios e información que deberá figurar en todos los paquetes de productos del tabaco y en todo empaquetado y etiquetado externo de los mismos a partir del 24 de marzo de 2013“, mismo que contiene como “Pictograma 5 la imagen controvertida, y fundamenta el requerimiento de su uso en la Ley General de Salud, la Ley General para el Control del Tabaco y el Reglamento de esa Ley General.

Naturalmente una acción en contra de diversas empresas tabacaleras podría ser más interesante para quien se viera afectado en similares términos por el hecho propio y directo de un particular, puesto que una demanda por daño moral e infracción en materia de comercio a la Ley Federal del Derecho de Autor resultaría en una idemnización de al menos el 40% del precio de venta al público del producto original (nótese que en este caso no hay producto original), por la reparación del daño material y/o moral, así como indemnización por daños y perjuicios (art. 216 Bis) por la violación a los derechos conferidos por esa Ley, entre los cuales está incluído el derecho a la propia imagen (art. 87). El tema del derecho a la imagen ya ha sido explorado anteriormente en este blog, y concluyéndose que no existe a la fecha claridad suficiente sobre las normas que deberían ser observadas para el debido tratamiento de la imagen de una persona, debido a la omisión regulatoria que prevalece en materia de propiedad intelectual, además de muchas otras, con respecto a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Tratándose de un caso motivado por hechos ocurridos en un centro hospitalario a cargo del Estado, la indemnización que en su caso llegara a resolver como procedente la autoridad jurisdiccional estaría acotada, por virtud del artículo 14, fracción II, párrafo segundo de la Ley Federal de Responsabilidad Patrimonial del Estado a 20,000 días de salarí mínimo general vigente en el D.F., y preliminarmente podría asumirse pagadera por el Instituto Mexicano del Seguro Social, en tanto operador del referido centro hospitalario y que se habría debido a omisiones o actos de personal al servicio de dicho Instituto, quienes además podrían haber incurrido en transgresiones a la Ley Federal de Responsabilidades Administrativas de los Servidores Públicos, al menos y en principio por la omisión en el cuidado de la información y datos personales de la paciente quejosa, incluyendo imagen y estado de salud (la leyenda encabezado del pictograma incluso refiere puntualmente “INFARTO AL MIOCARDIO”, motivo por el cual ella se encontraba internada en el nosocomio), de la Sra. Soledad Félix.

Es un hecho que la industria tabacalera se ha encontrado bajo ataque desde hace tiempo; incluso en los Estados Unidos de América se le ha vapuleado, a pesar de que el tabaco fue un cultivo clave en la etapa fundacional de la economía estadounidense. Hace 3 años que en Australia entró en vigor el Tobacco Plain Packaging Act, que para efectos constituyó una medida expropiatoria de la propiedad industrial de las tabacaleras, por impedirles hacer uso de sus marcas en los empaques, lo cual motivó que dichas empresas intentaran recurrir la medida ante la High Court de aquél país, aunque de manera infructusa.

Al respecto llama la atención el comentario de Leticia Félix, la hija de la Sra. Soledad, en el sentido que “la gente no se fija cuando abren las cajetillas de cigarros, porque tienen diferentes fotografías…”, y si es que el uso de los pictogramas y leyendas precautorias en las cajeitllas de cigarrillos cumplen o no su finalidad y propósito. Ante ello, vale la pena considerar la utilidad y bondad de este tipo de requerimientos regulatorios y la carga administrativa que se impone a las industrias reguladas y que pagan impuestos, respecto de otras alternativas para lograr los objetivos de salubridad pública y bienestar de la población que se persiguen con medidas como éstas.

 

pictograma 5 - Copypictograma2 - Copy

 

cctv3 - CopyPrevio a la promulgación de la Ley Federal de Telecomunicaciones, diversos medios publicaron múltiples comentarios sobre la afectación que los artículos 189 y 190 del proyecto de Decreto aprobado por el Congreso de la Unión suponen para la protección de datos consagrada en el artículo 16, párrafo segundo, de la Constitución Política de los Estados Unidos Mexicanos, sobre lo cual se comentó en este blog el 4 y 28 de julio de este año.

El tema se resume en que los artículos referidos obligan a los autorizadosy proveedores de servicios de aplicaciones y contenidos a atender todo mandamiento por escrito, fundado y motivado de la autoridad competente, referida de manera muy genérica como “instancias de seguridad y procuración de justicia”, cuyos titulares podrán designar, mediante acuerdos publicados en el Diario Oficial de la Federación, a los servidores públicos encargados de gestionar tales requerimientos que se realicen y recibir la información correspondiente a la localización geográfica, en tiempo real, de los equipos de comunicación móvil, so pena de sanción de la autoridad por desacato.

Hoy día el Reforma reporta que la Unidad de Inteligencia Financiera de la Secretaría de Hacienda y Crédito Público presentó a la Comisión Federal de Mejora Regulatoria el proyecto de Acuerdo por el que el Titular de esa Unidad designa a los Servidores Públicos que se mencionan en el mismo, para efecto de lo dispuesto en el citado artículo 189 de la #LeyTelecomm, designando como tales a los titulares de la propia Unidad de Inteligencia Financiera, y a su Dirección General de Procesos Legales.

El encabezado de prensa pareciera ser sensacionalista y amedrentar a muchos: “Rastreará SHCP a evasores por celular“. Al respecto hay que considerar si las facultades de la UIF atañen a la seguridad y procuración de justicia; naturalmente dicha Unidad lo estima así, y por ello motiva el proyecto presentado a COFEMER indicando que el artículo 15 del Reglamento Interior de la SHCP le otorga competencia para denunciar ante el Ministerio Público Federal las conductas que pudieran favorecer, prestar ayuda, auxilio o cooperación de cualquier especie para la comisión de esos delitos (art. 15, fracción XIII), por lo que se ajustaría al extremo previsto en el citado artículo 189 de la Ley Federal de Telecomunicaciones y Radiodifusión.

Al respecto debe considerarse que los tipos penales referidos en la norma del Reglamento Interior que se cita, comúnmente conocidos como “lavado de dinero”, son esencialmente accesorios; es decir, aunque son penados en sí mismos aunque sirven como medio para la comisión de otros actos previstos como delito por los artículos 139 Quáter y 400 Bis del Código Penal Federal, y de la lectura del proyecto de Acuerdo se podría interpretar que la intención del Titular de la UIF sería acotar su ejercicio de la facultad prevista en el referido artículo 189 a su actuación respecto de los mismos. Adicionalmente, la fracción XI del citado artículo del Reglamento Interior la faculta también para “coordinarse con las autoridades fiscales para la práctica de los actos de fiscalización que resulten necesarios con motivo del ejercicio de las facultades conferidas conforme al citado artículo; por lo tanto, el rastreo mediante geolocalización en tiempo real de dispositivos de telecomunicación móvil debería darse solamente en los casos en que la “evasión fiscal” hubiera sido una de las conductas punibles de las que se hubieran obtenido los recursos con los que se hubieran realizado las operaciones investigadas hubieran derivado de alguna de las conductas previstas en el artículo 400 Bis del Código Penal Federal hubieran sido producto de la comisión de alguna de las conductas previstas en los artículos 108 a 111 del Código Fiscal de la Federación.

En los meses siguientes se verá, sin duda, a muchas otras autoridades administrativas presentar ante la COFEMER sus respectivos proyectos de Acuerdo para los mismos efectos. Posiblemente ello contribuya para paliar, en la práctica y de manera fáctica, la falta de claridad y ambigüedad del multicitado artículo 189 de la Ley Federal de Telecomunicaciones y Radiodifusión, aunque no debiera ser el caso.

Por otra parte, en breve se verá si el IFAI, en su nueva integración, resuelve afianzar su papel de garanta del acceso a la información pública y protección de datos personales, pues su pleno resolverá en su sesión del día de hoy sobre el ejercicio de la acción de inconstitucional que le fue conferido por virtud de la reciente reforma constitucional publicada en el Diario Oficial de la Federación el 7 de febrero del año en curso. La discusión se escucha reñida, y sin lugar a dudas los votos de sus Comisionados aportarán indicaciones sobre sus criterios y lo que podría esperarse de su actuación en esos puestos y de la del Instituto mismo.

 

 

 

 

BABYWALLS-master675-v3

What could be more innocent than a baby’s picture, or more moving that one of a mother or parents holding their newborn for the first time? Perhaps for the new family and the healthcare providers, but not necessarily for every beholder. Few things can make someone more personally identifiable than a photograph, and the care of a child, even more so a newborn, goes beyond healthcare. Less than a year ago a columnist for Slate wrote a piece on the pitfalls and perils for a child’s privacy and safety that may stem from posting her across social networks (there’s abundant literature to that regard online). Parents have certainly been keen since forever in capturing the fleeting moments of childhood for endearing recollection in later years, and sharing them on networks such as Facebook, Instagram, Flickr and the like may seem like the day in age equivalent of having your guests at social gatherings look at the Kodak carrousel slides or 8mm films of yesteryear… only it’s not. Those viewings remained in the privacy and care of the venues where they were held and of the people who attended; nowadays

For sure products such as Google’s make it possible to store for posterity heaps of cherished memories that would otherwise be lost to the mists of time. But parents should also consider that the processing of data with new capabilities for its mining, facial recognition, etc, and asymmetry in privacy regulation make it hard to foretell what may become of an image or video that you may believe is cute, but that their child could regard as humiliating or offensive later in her life.

Now those involved in the miracle of birth (starting with parents) have a duty to be mindful of what they do with the personal data of the child and her family, as it is then that they are the more vulnerable. I recall that sometime about 12 or 13 years ago, when some of the first bills that were mashed up into Mexico’s current data protection law were being discussed in the Commerce Committee of the Chamber of Deputies a representative of the Secretariat of Economy, who had recently become a mother, voiced her personal concern for having received an unsolicited basket with gender-specific baby care products at her home shortly after her delivery.

The New York Times ran a piece on how the accustomed collages of baby pictures in the offices of the obstetricians and midwives who assisted in their delivery are being moved out of the sight of the public or stored with their files and charts, as their display absent a properly executed consent form drafted under the Health Information Portability and Accountability Act (HIPAA), cutting against an age-old practice for a line of work that’s largely built on word of mouth, but founded on trust. As per that piece, heaps of baby pictures that used to go on walls are now filed with patient charts in times when “selfies” in the most varied of contexts are commonplace.

Mexico has yet to harmonize the statutes and regulations that intersect with its novel privacy law, but it’s a fact that pictures also constitute personal data covered under the Federal Law for the Protection of Personal Data in Possession of Private Parties and Regulations thereto. There’s an entry in this blog where I go over the issues for legal interpretation and practice in dealing with images that stem out of this; in the particular case of celebratory baby pictures in the context of the privacy of health information and records, the Mexican Official Norm 004-SSA3-2012  only has one provision referring to the publication of photographs in health records that make it possible for the patient to be identified, limiting it to medical literature, teaching or research, stating that written consent from the patient shall be required, and that necessary measures shall be taken so that said patient may not be identified, which must be written into informed consent notices for the purpose of providing health services, but which anonymization would undermine the whole purpose of baby or delivery pictures displayed as the newspiece from the Times refers.

Therefore, and until health authorities in Mexico undertake and conclude the aforesaid work of harmonizing privacy laws and issue express criteria on such matters, it could be assumed that pictures taken by the parents, or by health care providers at their request, to commemorate the birth of their children might not be regarded as materials comprised with the definition of “Health Record” under said Norm, as they are not intended for recording, annotating, attesting or certifying the part of the health care providers in the patient’s care and, therefore, could be thought of as not subject to it, but to the more general privacy law, whereby individuals are to be explicitly informed as to the use of their images for purposes of promotion and/or marketing, and their express consent therefore is required since all information concerning health is provided to be sensitive, regardless of how obvious or not pregnancy or birth could be.

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace