archivo

Privacy/Protección de Datos

¿Y la Protección de Datos, apá?

7 noviembre, 2013
Privacy/Protección de Datos
2 comentarios

El 18 de julio de este año en Capitanes de Reforma se escribió sobre una llamada que el autor de la columna habría recibido de un ejecutivo del call center de una compañía telefónica para proponerle migrar su línea a dicha compañía de telefonía móvil, ante lo cual dicho autor cuestionó a su interlocutor sobre la fuente de sus datos de contacto, y habría recibido como respuesta que le habrían sido proporcionados a dicha empresa por la COFETEL (en aquél entonces).

Además del cuestionamiento obvio sobre la forma en que una entidad gubernamental podría haber transferido a un particular datos que para ella, conforme a la Ley Federal para la Transparencia y Acceso a la Información Pública Gubernamental, tienen el carácter de confidencial habría que considerar que la base de datos de usuarios de telefonía móvil que si existió, el desafortunado y lamentable RENAUT, nunca estuvo bajo el control de la COFETEL, sino de la Secretaría de Gobernación, y a la postre fue destruido en 2012, hecho que certificaron la COFETEL y el mismísimo IFAI.

Antes de ello, el 3 de junio de este año, el mismo rotativo daba cuenta de la venta a través del mercado negro de copias del Padrón Electoral, así como de cuenta y tarjetahabientes de dos instituciones de crédito de renombre en México.

Hoy día el propio diario reporta la existencia de un sitio bajo el dominio buscardatos.com, a través del cual se difunden por Internet datos de identificación y contacto de ciudadanos mexicanos, argentinos, paraguayos. En el caso de ciudadanos mexicanos, los datos disponibles son nombre(s), fecha de nacimiento, edad, domicilio completo, clave de elector, CURP, RFC y ocupación, todos ellos datos que obran en poder de instituciones de la administración pública federal.

La pregunta (retórica) que seguramente tendrán los Responsables del cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento sería: ¿qué caso tiene que haga la inversión de implementar el cumplimiento normativo en materia de protección de datos personales cuando a pesar de ello la información de todos nosotros anda circulando libremente por Internet?

La primera y más obvia respuesta sería que el incumplimiento de otros no excusaría el propio y, por lo tanto, no sería algo que alegar ante el IFAI ni ante el Tribunal Federal de Justicia Fiscal y Administrativa. Segunda, que el cumplimiento normativo propio prevendría un riesgo reputacional a la empresa y sus marcas como el que ya experimentaron las empresas referidas en los párrafos primero y tercero de la presente. Tercero, que por el detalle de la información consultable en el sitio citado, podría ser que el material proviniera de fuentes del sector público y no del sector privado.

En suma, acontecimientos como éste no deberían ser pretexto ni obstáculo para que las empresas del sector privado se ocupen en el cumplimiento y observancia de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Multa el IFAI a Consultoría Financiera

4 noviembre, 2013
Privacy/Protección de Datos, Regulación Bancaria/Financiera
Deja un comentario

La más reciente sanción del IFAI fue para SOLUFINTE, empresa dedicada a intermediar entre personas físicas solicitantes de préstamos de dinero en efectivo e instituciones de crédito, derivado de la denuncia de un Titular dado que dicha Responsable habría omitido contar con el Aviso de Privacidad correspondiente y manifestado al afectado que «…no tenían ninguna prohibición ni restricción alguna para dar información a terceras personas que ellos consideraran pertinentes…».

Los elementos contenidos en el expediente PS 0010/13 muestran que esa Responsable habría:

  1. Recabado Datos Personales Financieros, relativos a ingreso, si su casa-habitación es propia, rentada o de un familiar, ingreso mensual mancomunado, gastos mensuales, monto y destino del crédito, mensualidad ideal, compromisos financieros e historial crediticio, sin el consentimiento de sus Titulares, sin indicar las finalidades que justifican el Tratamiento de los Datos Personales en mérito y sin haber obtenido su consentimiento expreso, por lo cual la multa fue de $230,621.00.
  2. Obstruido los actos de  verificación del IFAI, lo cual motivó multa por $311,650.00.

Con relación al numeral 1 anterior, el representante de la Responsable manifestó en una visita de verificación que los Datos Personales mencionados son recabados mediante el formato de solicitud de crédito que. de acuerdo con dicho Instituto «no cumple con las características de ser un documento específico e informado para recabar el consentimiento…», puesto que «…no se establecen la finalidades que justifican el tratamiento de los datos, de tal suerte que dicho documento carece de los elementos que demuestran que se otorgó el consentimiento», agregando que «…dicha «solicitud de crédito no es el medio idóneo a través del cual los titulares manifiesten de manera expresa su consentimiento para el Tratamiento de sus datos personales financieros y patrimoniales, en virtud de que no contiene un señalamiento en dicho sentido, por lo que del referido formato no se desprende que los titulares otorgaran su consentimiento expreso, para el tratamiento de sus datos».

A ese respecto, y sin el más mínimo afán de tomar en forma ni medida alguna partido con la Responsable sancionada, creo conveniente mencionar que en la etapa de comentarios públicos al Reglamento de la Ley Federal de Protección de Datos Personales, un servidor envió a COFEMER un memorandum resaltando los aspectos en que las actividades crediticias enfrentaban una carga regulatoria reiterativa en materia de autorización para el uso de los datos personales de los titulares solicitantes de crédito derivado de los requisitos de expresión del consentimiento previstos en la Ley para la Transparencia y Ordenamiento de los Servicios Financieros (la «LTOSF») y la LFPDPPP y su Reglamento, mismo que si bien fue citado en el Dictamen Total No Final de la COFEMER (página 18, párrafo segundo) parece no haber tenido la atención de los reguladores financieros ni del de de protección de datos personales. Me parece indispensable que las diversas cabezas de sector de la administración pública federal emprendan los trabajos de regulación sectorial a que se refiere el artículo 40 de la LFPDPPP.

El tema es que tanto la referida LTOSF y las correspondientes Reglas de PROFECO y CONDUSEF para la misma requieren que las carátulas de los contratos de crédito incluyan espacios específicos para la manifestación del consentimiento del solicitante respecto de diversos elementos del contrato de crédito respectivo, particularmente del uso de tales datos para fines de mercadotecnia,por lo que se podría haber considerado solventado el elemento del Aviso de Privacidad a que se refiere el artículo 30 del citado Reglamento en tanto que el Tratamiento de los Datos Personales fuera realizado por Entidades obligadas a cumplir con la LTOSF, lo cual no parece haber sido el caso de Solufinte, pues esa Responsable aparentemente sería un intermediario y no un otorgante de crédito.

Por lo que corresponde al numeral 2, aparentemente se habría tratado de localizar a Solufinte en diversos domicilios, sin que el IFAI lo hubiera logrado, actualizándose la infracción prevista en el artículo 63, fracción XIV.

En suma, Solufinte deberá pagar multas por un total de $542,271.00, cantidad que aparece como determinada sin haber tenido la autoridad a la vista información financiera de dicha Responsable.

Ley Anti-Lavado y Protección de Datos Personales

1 noviembre, 2013
Privacy/Protección de Datos, Regulación Bancaria/Financiera
Deja un comentario

El día de ayer llevé a cabo una presentación sobre cumplimiento normativo en materia de Prevención e Identificaciónde Operaciones con Recursos de Procedencia Ilícita («Ley Anti-Lavado») a un nutrido auditorio de Profesionales Inmobiliarios (realtors), y dado que dicha ley versa esencialmente sobre el tratamiento de datos personales para la prevención de ciertos delitos fue necesario e inevitable hacer precisiones sobre la intersección de ambos ordenamientos.

La primera es que la presentación de los Avisos por la realización de operaciones derivadas de las Actividads Vulnerables previstas en el Artículo 17 de la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI) no implica violación alguna a la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP). Para empezar habría que considerar que conforme a los principios generales del Derecho generalmente el cumplimiento de las obligaciones derivadas de un ordenamiento no podrían, o al menos no deberían, resultar en la violación de otro, y mucho menos en responsabilidad por ello.

Pero para claridad absoluta, el artículo 22 de la LFPIORPI dispone expresamente que: «la presentación …de los Avisos, información y documentación a que se refiere esta Ley, por parte de quienes realicen las Actividades Vulnerables no implicará para éstos, transgresión alguna a las obligaciones de confidencialidad o secreto legal, profesional, fiscal, bancario, fiduciario o cualquier otro que prevean las leyes, ni podrá ser objeto de cláusula de confidencialidad en convenio, contrato o acto jurídico alguno».

A lo anterior habría que agregar que el Artículo 10, fracción I, de la LFPDPPP prevé como excepción al Principio del Consentimiento que el Tratamiento de Datos Personales que el Responsable pretenda realizar esté previsto en una Ley, como sería el caso de la presentación de Avisos conforme a la LFPIORPI. Adicionalmente el artículo 37, fracciones I y V, de la citada Ley exime de cumplir con el referido Principio en el caso de aquéllas Transferencias de Datos Personales que estén previstas en una Ley o Tratado, o que sean necesarias o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia.

Partiendo de la base que conforme a sus Artículos 1 y 2 la LFPIORPI es de interés público, y tiene por objeto establecer medidas y procedimientos para prevenir y detectar actos u operaciones que involucren recursos de procedencia ilícita… para investigar y perseguir los delitos de tales operaciones, los relacionados con estos últimos, las estructuras financieras de las organizaciones delictivas y evitar el uso de los recursos para su financiamiento, sería acertado encuadrar la presentación de los Avisos dispuestos por esta última Ley en las citadas excepciones al mencionado Principio del Consentimiento.

Sin embargo es importante atender también a los Principios de Información y Finalidad igualmente dispuestos en el artículo 6 de la LFPDPPP y 9, fracciones III y V de la LFPDPPP, de acuerdo con los cuales:

  • El Responsable debe dar a conocer al Titular la información relativa a la existencia y características principales del Tratamiento de sus Datos Personales a través del Aviso de Privacidad, de conformidad con lo previsto en la LFPDPPP y su Reglamento (Art. 23), y
  • Los Datos Personales sólo podrán ser tratados para el cumplimiento de la(s) finalidad(es) determinada(s) que con claridad, sin lugar a confusión y de manera objetiva especifiquen en el Aviso de Privacidad para qué objeto serán tratados los datos personales (Art. 40).

Partiendo de las premisas que:

  1. El Principio de Información no admitiría excepciones, y
  2. El Lineamiento 24 del Aviso de Privacidad requiere para cumplir con el Principio de Finalidad que
  • El listado de Finalidades descritas sea completo y no utilice frases inexactas, ambiguas o
    vagas, como “entre otras finalidades”, “otros fines análogos” o “por ejemplo”, y
  • Las Finalidades descritas en el aviso de privacidad sean determinadas; que cuando con claridad, sin lugar a confusión y de manera objetiva se especifica para qué objeto serán tratados los datos
    personales.

De manera que siendo en extremo puristas, el apartado o capítulo de Finalidades del Tratamiento en los Avisos de Privacidad debería explicitar incluso que los Datos Personales de los Clientes o Usuarios de quienes realicen operaciones con personas dedicadas a Actividades Vulnerables serían usados para el cumplimiento de las obligaciones de tales Responsables conforme a la LFPIORPI.

Sin embargo, el Artículo 31 de las Reglas de Carácter General a que se refiere la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita prohíbe a quienes realicen Actividades Vulnerables alertar o dar aviso a sus Clientes o Usuarios respecto de cualquier referencia que sobre éstos se haga en los Avisos, o a algún tercero, así como a dichas personas respecto de cualquiera de los requerimientos de información, documentación, datos o imágenes previstos en la Ley y en el Reglamento.

Asi nos encontramos con una contradicción entre la LFPDPPP, que en principio requeriría la referencia al cumplimiento de la LFPIORPI entre las Finalidades que deberían ser determinadas en los Avisos de Privacidad, y las Reglas de Carácter General derivadas de ésta última, que prohíben hacerlo. Siendo la primera referida una ley de carácter general anterior en tiempo, en tanto que la segunda es particular posterior en tiempo, evidentemente la solución debe ser cumplir con ésta última, sin que ello pudiera suponer violación a aquélla.

Pero ese no es el único punto de desencuentro entre ambos ordenamientos; una pregunta más a considerar sería si es que el cumplimiento y aplicación de la LFPIORPI y su Reglamento y Reglas haría nugativa las excepciones de los artículos 36 y 37, fracción III, de la LFPDPPP, que permite llevar a cabo la Transferencia de Datos Personales entre sociedades controladoras, subsidiarias o afiliadas bajo el control común del Responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del Responsable que opere bajo los mismos procesos y políticas internas sin el consentimiento del Titular de los Datos Tratados.

Lo anterior debido a que el Artículo 14, fracción I, de las citadas Reglas de la LFPIORPI prevén que para aquéllas personas morales que realicen Actividades Vulnerables y formen parte de Grupos Empresariales, podrán integrar y conservar el expediente de identificación del Cliente o Usuario mediante cualquiera de las otras personas morales que formen parte del mismo Grupo Empresarial, aun cuando no realicen la misma Actividad Vulnerable, siempre que cuenten con «el consentimiento expreso del Cliente o Usuario para que dicha persona moral proporcione (Transfiera) los datos y documentos relativos a su identificación a cualquiera de las personas morales que conforman el Grupo Empresarial con la que pretenda realizar una Actividad Vulnerable.

En tal virtud, siguiendo el razonamiento aplicado para resolver la duda sobre la necesidad/obligación de incluir expresamente la presentación de Avisos respecto de operaciones celebradas en la realización de Actividades Vulnerables, quienes las realicen y pertenezcan a un mismo Grupo Empresarial no gozarían de la excepción para la Transferencia que implicaría el compartir el expediente único de sus clientes.

Algo más para considerar de cara a una eventual reforma de la LFPDPPP.

 

 

Rizándole el Rizo a la Ley Federal de Protección de Datos Personales

26 octubre, 2013
Privacy/Protección de Datos
Deja un comentario

Quienes nos dedicamos a la práctica del derecho en materia de protección de datos personales sabemos, y en algunos casos participamos en, el largo parto de la Ley de la materia, nacida de una amalgama de 6 iniciativas de ley que fueron presentadas en la Cámara de Diputados entre el 2001 y el 2008. Un proceso así de complejo no podía estar exento de ciertas fallas, y muestra de ello es que para hacer operativa la dinámica de ciertos giros se hubieran tenido que incrementar en el artículo 5 del Reglamento 3 excepciones adicionales a las 2 originalmente dispuestas en el artículo 2 de la Ley, lo cual motiva obvias dificultades por temas de legalidad en tanto que podría suponer violaciones a los principios de subordinación jerárquica y reserva de ley, y que haya una infracción prevista en el artículo 63, fracción XIX, que no puede ser ejecutada por carecer de fracción correlativa en el artículo 64 de la Ley citada, que disponga la cuantía de la misma.

Desafortunadamente la pulcritud en la técnica legislativa parece no ser una mayor preocupación, ya que de un lado la autoridad de protección de datos claramente tiene cosas más importantes en qué pensar de cara a la reforma constitucional en la materia, que llevaría a modificar la integración de su órgano de gobierno, y nuestros legisladores parecen no haber considerado que las iniciativas de reforma a la Ley Federal de Protección de Datos Personales en Posesión de Particulares serían el medio propicio para remediar deficiencias como las anteriormente apuntadas.

A la fecha tengo conocimiento de 3 iniciativas de reforma a dicho ordenamiento:

  1. La que reforma los artículos 67 y 68 de la Ley Federal de Protección de Datos Personales en Posesión de Particulares, presentada por la Diputada Tomasa Vives Preciado, del PAN, publicada el número 3242-II de la Gaceta Parlamentaria de dicha Cámara el jueves 14 de abril de 2011;
  2. La del Senador Javier Orozco Gómez, del Grupo Parlamentario del PVEM, publicada en la Gaceta Parlamentaria No. 346 del Senado de la República el 23 de febrero de 2012, mediante la cual se adicionaría un artículo 8 Bis al ordenamiento citado, a fin de regular de manera particular el Tratamiento de los Datos Personales de los menores de edad, y
  3. La que reforma los artículos 3o. y 8o. de la referida Ley, presentada por los diputados del PRI Arely Madrid Tovilla y Manuel Añorve Baños, mediante la cual se pretende fijar mayores requisitos para el Tratamiento de los datos biométricos de las personas, y la protección de los menores de edad en sus datos personales, publicada enla Gaceta Parlamentaria de la Cámara de Diputados número 3757-IX, el jueves 25 de abril de 2013 .

Las últimas dos llaman la atención por el manejo que pretenden se dé a los datos personales de los menores de edad. Claramente en un pais como México, en que el robo de infantes y trata de menores de edad va a la alza, y en el que desafortunadamente ellos, los más débiles, son más propensos a actos de violencia podría considerarse que las medidas para exigir mayores formalidades en el Tratamiento de sus Datos Personales coadyuvaría a su protección.

La iniciativa del Senador Orozco Gómez resulta más o menos conforme al derecho familiar; lo mismo que un menor de 18 pero mayor de 14 puede ser escuchado para definir su tutela, dicha iniciativa considera que los menores en ese grupo de edad podrían manifestar su consentimiento para el Tratamiento de sus Datos Personales.

Sin embargo, la iniciativa de dicho Senador pretende, al igual que la de la Diputada Arely Madrid y del Diputado Manuel Añorve, que en todos los casos en que se dé Tratamiento a Datos Personales de menores de edad se recabe el consentimiento expreso de sus padres o tutores, y que el Responsable verifique la validez de dicho consentimiento. Si esas iniciativas de reforma fueran aprobadas y promulgadas, la prestación de servicios a menores de edad se complicaría exponencialmente.

Desde luego en los centros de enseñanza cuentan con recursos para definir los aspectos relevantes del cuidado del menor con respecto a sus padres en casos en los que hay controversias del orden familiar; comúnmente se hacen asesorar por un especialista en derecho familiar ante casos de divorcio de los padres de los alumnos menores de edad y pueden discernir aspectos del cumplimiento de requerimientos judiciales por información o medidas cautelares en esos casos.

Pero bajo otro tipo de circunstancias el cumplimiento de lo anterior podría ser más complicado. ¿Recuerdan las modificaciones de septiembre del 2012 al Reglamento de la Ley de Migración, conforme a las cuales las empresas prestadoras de servicios de transporte internacional de pasajeros vía marítima o aérea, tendrán la obligación de verificar que aquellos niñas, niños o adolescentes o personas bajo tutela jurídica en términos de la legislación civil que vayan acompañados por un tercero mayor de edad o viajen solos, deberán presenten documento otorgado ante fedatario público o por autoridad que tenga facultad para ello en el que conste la autorización para que el menor de edad pueda salir del territorio nacional otorgada por ambos padres o por quienes ejerzan sobre ellos la patria potestad o la tutela?

Bueno, pues si cualquiera de las dos últimas iniciativas citadas es aprobada, vayan agendando cita con su Notario de confianza para que dé fe del consentimiento de su cónyuge y suyo para que los Datos Personales de su(s) menor(es) hijo(s) sean Tratados por lugares como el cine, parque de diversiones (Six Flags, La Feria, Kidzania), etc., pues en esos lugares por lo menos habrá video-vigilancia que capte las imágenes de los menores, mismas que consisten en Datos Personales conforme a la Ley y su Reglamento. ¿Inscribirá a su nena en clases de ballet, y a su niño en karate? Las escuelas o clubes respectivos tambíen requerirán de un documento así para poder llevar a cabo el Tratamiento propio de la inscripción y prestarle el servicio.

Esta última iniciativa también contiene una propuesta de modificación a la fracción VI del artículo 3 de la Ley, conforme a la cual los datos biométricos deberían ser considerados como sensibles, de manera que se requeriría del consentimiento expreso del Titular para darles Tratamiento, al menos en aquellos casos en que no se establezca una relación jurídica con su Titular.

¿Aportaría algo al respecto la modificación? Probablemente poco; el Tratamiento de Datos Personales biométricos generalmente se da en contextos en los cuales hay una relación jurídica entre el Titular y el Responsable, como sería el caso de lectura de huellas digitales para registrar entrada a los locales del centro de trabajo, o reconocimiento de voz en servicios de banca electrónica. ¿Daría Tratamiento a Datos Personales biométricos, por ejemplo, un restaurante, por las huellas digitales que dejaría en los cubiertos y/o vasos? ¿O a Datos Personales Sensibles relativos a código genético por la saliva que queda en dichos utensilios? ¿Estéticas y salones de belleza darían Tratamiento a Datos Personales de esa naturaleza por el cabello y uñas que cortan todos los días? Probablemente no, dado que no los almacenan ni procesan; pero la pregunta retórica ilustra el punto del exceso.

Incluso en el primer borrador de las Recomendaciones de Seguridad que el IFAI presentó ante la COFEMER se mencionaba a los datos de autenticación biométrica como de riesgo inherente medio por si mismos, en tanto que los Datos Personales Sensibles fueron incluidos en la clasificación de riesgo inherente alto, con la aclaración de que «las categorías antes descritas son sólo una orientación, ya que el Pleno del IFAI no ha emitido criterios institucionales al respecto, además de que ciertos datos personales que en principio no se consideran sensibles, podrían llegar a serlo dependiendo del contexto en que se trate la información.»

Probablemente sería más prudente permitir que la autoridad de protección de datos personales determinara si los datos biométricos deberían o no ser considerados como Sensibles, mediante sus resoluciones o criterios, que hacerlo a través de la propia ley.

La presente nota lleva un agradecimiento a la Lic. Silvia Rosales, seguidora de este blog quien amablemente llamó mi atención hacia la iniciativa de los Dips. Madrid y Añorve.

Ahora sí, en COFEMER el proyecto de Recomendaciones de Seguridad del IFAI

3 octubre, 2013
Privacy/Protección de Datos
Deja un comentario

El 26 de agosto publiqué una nota sobre el primer proyecto que el IFAI presentó a la COFEMER de las Recomendaciones en materia de Medidas de Seguridad, previstas en el artículo 58 del Reglamento de la Ley, cuya adopción podrá ser tomada en consideración por el IFAI para determinar la atenuación de la sanción que pudieran corresponder por las infracciones a la LFPDPPP que llegaran a ser determinadas por ese Instituto. Sin embargo, el propio IFAI solicitó la baja del expediente al día siguiente, y transcurrió un mes para que presentara la que sería su versión definitiva.

Se trata de un instrumento importante, puesto que conforme al Artículo Cuarto Transitorio del citado Reglamento, el cumplimiento de lo dispuesto en su Capítulo III en materia de medidas de seguridad es obligatorio a partir del 20 de junio de este año, y su omisión podría dar pie, cuando menos, a la sanción genérica de la fracción XIX del artículo 63 de la Ley, consistente en multa de 200 a 320,000 días de salario mínimo general vigente en el D.F.

Ahora tengo oportunidad de referirles que a partir del 26 de septiembre el expediente de la nueva versión de esas recomendaciones, mismas que son esenciales para preparar el documento a que se refiere el último párrafo del artículo 61 del Reglamento. Es un instrumento de gran importancia para la práctica de la materia, pues por muchas formalidades que se cumplan en cuanto a publicación de Avisos de Privacidad, documentación de relaciones con Encargados o de Transferencias a Terceros, la protección de Datos Personales no puede ser efectiva si no se cuenta con las medidas de seguridad física, administrativas y técnicas suficientes para el resguardo de los activos integrantes del Sistema de Gestión de Protección de Datos Personals que todo Responsable debe implementar. Además es, o debería ser, de gran interés para quienes somos abogados pero no expertos en mitigación de riesgos o seguridad informática.

Las diferencias entre el primer proyecto y el actualmente difundido son considerables, y ello se hace patente tan sólo por el número de páginas de que consta cada documento; éste más reciente es 1/4 del anterior, y eso incluyendo una cuartilla dedicada al borrador de la publicación en el Diario Oficial de la Federación y otra de portada. Es decir, hablamos de 13 páginas de contenido del actual contra 66 del anterior.

Si bien la versión que prevalecerá una vez sorteado el proceso de consulta pública en la mencionada Comisión será el publicado el 26 de septiembre, recomiendo ampliamente la lectura y comprensión del proyecto más rico y amplio del 15 de agosto, pues las tablas y matrices con que cuenta permiten entender con gran claridad los aspectos técnicos de una materia que apenas va despegando en México. Y esa es de las cosas que más me gustan de esta práctica: la oportunidad de salirme de los temas estrictamente juríicos para involucrarme con el trabajo de otros especialistas.

Sería interesante conocer las razones por las que el IFAI sustituyó un proyecto por otro. Mi personal apreciación es que el primero era demasiado extenso y complejo para que el grueso de los Responsables pudiera entenderlo y aplicarlo; éste nuevo es exponencialmente más breve y simple, lo cual facilita su comprensión y aplicación incluso por los Responsables menos sofisticados.

Principio de Proporcionalidad y Criterio de Minimización; Servicios de Telefonía Móvil

29 septiembre, 2013
Privacy/Protección de Datos
Deja un comentario

Hoy día Forbes publicó una nota http://onforb.es/14UM4L3 muy interesante sobre la cantidad de datos que T-Mobile, empresa de telefonía móvil en los EE.UU.A., requiere para el servicio de post-pago en aquél país, incluyendo el número de seguridad social del suscriptor.

Igualmente la nota refiere una consulta hecha a la Administración de Seguridad Social de aquél país, que respondió que si un negocio pregunta el Número de Seguridad Social se tiene el derecho a negarlo, o cuando menos a preguntar: (1) por qué se requiere; (2) cómo y para qué será usado, (3) con fundamento en qué norma se le solicita y (4) las consecuencias de negarlo.

Claramente el parangón no es el más simétrico, puesto que el régimen mexicano de protección de datos personales dista mucho del estadounidense; de hecho es mejor. Nuestro marco normativo en la materia sigue un modelo híbrido, muy similar al canadiense, aunque con un sesgo hacia el europeo y una cada vez más fuerte influencia española. Sin embargo se pueden aprender lecciones importantes del caso, tanto del lado del Titular como del del Responsable.

El autor de la nota menciona que al no estar dispuesto a comunicar ese dato personal a T-Mobile no pudo suscribirse al servicio por Internet, por lo que acudió a un centro de servicio para llevar a cabo la contratación. Ahí le dijeron que de hecho la contratación no estaba condicionada a la entrega del dato, puesto que solicitaban un depósito de US$100 y no consultaban historial crediticio. En México esto último requiere que el otorgante del crédito obtenga la autorización expresa del Titular para acceder a su información conservada por cualquier Sociedad de Información Crediticia, y la consulta de ésta sería justificada en tanto que las empresas de telefonía móvil son usuarias de tales servicios, puesto que los cargos hechos a la línea de usuarios de postpago representan un pasivo a cargo de estos.

Sin embargo, los títulos de concesión otorgados a las operadoras de telefonía móvil que operan hoy día contienen, en general, una disposición conforme a la cual dichas concesionarias «deberán asegurar la confidencialidad de la información proporcionada por los usuarios o generada por la red pública concesionada al prestar servicios a dichos usuarios, y a no divulgarla si no existe consentimiento previo para su uso», elemento que no me parece haber visto considerado en la resolución del IFAI en el procedimiento de imposición de sanciones a Telcel, misma que sería interesante fuera considerada por el IFETEL de oficio, por ser dicho caso información que obra en el dominio público.

También del lado del Responsable esto ofrece lecciones importantes. Primero, atender al Principio de Proporcionalidad al diseñar formatos de solicitud y contratos, puesto que de acuerdo con los artículos 11, primer párrafo, de la LFPDPPP y 45 de su Reglamento, sólo podrán ser objeto de tratamiento los datos personales que resulten necesarios, adecuados y relevantes en relación con las finalidades para las que se hayan obtenido. Luego entonces, si no es preciso consultar el RFC del Titular, su fecha de nacimiento u otra información, el Responsable debería abstenerse de solicitársela.

Ello además impactará en la magnitud y costo de su cumplimiento normativo y, sobre todo, medidas de seguridad, puesto que las mismas deberán ser mucho más robustas en la medida que, por ejemplo, dé Tratamiento a Datos Personales con Riesgo Inherente Alto o Reforzado, y no solamente a los que tengan Riesgo Inherente Bajo o Medio.

En concordancia con lo anterior, debería asegurarse de que los datos personales que solicite a los Titulares sean los mínimos necesarios de acuerdo con la Finalidad del Tratamiento que tenga lugar, conforme al Criterio de Minimización dispuesto en el artículo 46 de dicho Reglamento. Con ello al menos podrá reducir el riesgo legal de incurrir en la infracción prevista en el artículo 63, fracción IV, de la LFPDPPP, consistente en tratar datos personales en contravención a los principios de dicha Ley.

IFAI Multa a Telcel con $6’264,165.00 por cobranza extrajudicial injustificada

27 septiembre, 2013
Privacy/Protección de Datos
Deja un comentario

La más reciente resolución en un procedimiento de imposición de sanciones por parte del IFAI correspondió a Radiomóvil Dipsa, S.A. de C.V., que opera bajo la marca Telcel, a quien le ha sido impuesta una multa que asciende a $6,264,165, por dos conductas infractoras:

  1. $3’272,325, con base en los Artículos 63, fracción VIII, y 64, fracción III, por incumplir el deber de confidencialidad establecido en el artículo 21 de la LFPDPPP, y
  2. $2’991,840, con base en los artículos 63, fracción IX, y 64, fracción III, por cambiar sustancialmente la finalidad originaria del tratamiento de los datos, sin observar lo dispuesto por el artículo 12 del propio estatuto.

Los dispositivos citados prevén, respectivamente, lo siguiente:

  • Artículo 21.- El responsable o terceros que intervengan en cualquier fase del tratamiento de datos personales deberán guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.
  • Artículo 12.- El tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas en el aviso de privacidad. Si el responsable pretende tratar los datos para un fin distinto que no resulte compatible o análogo a los fines establecidos en aviso de privacidad, se requerirá obtener nuevamente el consentimiento del titular.

A eso último habría que agregar que el Artículo 40 del Reglamento de la LFPDPPP prevé que:

«Los datos personales sólo podrán ser tratados para el cumplimiento de la finalidad o finalidades establecidas en el aviso de privacidad, en términos del artículo 12 de la Ley. Para efectos del párrafo anterior, la finalidad o las finalidades establecidas en el aviso de privacidad deberán ser determinadas, lo cual se logra cuando con claridad, sin lugar a confusión y de manera objetiva se especifica para qué objeto serán tratados los datos personales».

¿De dónde derivaron las conductas infractoras? Pues de que a no obstante la confidencialidad ordenada por la Ley, a Telcel «se le hizo fácil» recurrir a los números frecuentes de la Titular denunciante para realizar gestiones de cobro a través de terceros mediante llamadas y mensajes de texto dirigidos a ellos, conducta que fue considerada como de «gravedad alta» por la Comisionada Ponente, Ma. Elena Pérez-Jáen Zermeño, «en virtud de la afectación que con ello pudiera causar a la titular».

De ello derivó que, además, se encontraran violaciones al Principio de Finalidad, puesto que el correspondiente Aviso de Privacidad no determinaba tal uso de los datos de la Titular, de manera que operó un cambio sustancial en las Finalidades originarias del Tratamiento de esos datos, cambio que no fue consentido por la Titular y que también fue considerado como potencialmente causante de una grave afectación a la Titular.

Siempre que multas de tal magnitud son difundidas surge la pregunta sobre qué podrían esperar otros Responsables si llegaran a incurrir en infracciones a la LFPDPPP; la respuesta es que entre otros factores el IFAI consideraría su capacidad económica, pues así lo requiere el Artículo 65, fracción IV, de ese ordenamiento. En la resolución consta que la Responsable omitió proporcionarle a la autoridad elementos para determinarla, por lo que ésta accedió a una fuente de consulta pública, concretamente la página de Internet de la Comisión Federal de Competencia Económica, y accedió a la versión pública de la resolución del 7 de abrill de 2001 dictada en su expediente DE-37-2006, que tiene carácter de documental pública, en la que éste último organismo impuso a la propia Responsable una multa del orden de $11,989’653,276.40, equivalentes al 10% de sus activos totales al momento, cifra de la cual derivó el monto de la sanción, mismo que fue considerado como proporcinal a la capacidad económica de la Responsable, de manera que no afectaría el desarrollo de sus actividades.

Habría que considerar además la intencionalidad de la conducta infractora, como lo determinó la autoridad respecto de la violación de lo previsto por los Artículos 6, 7, 12, 13, 15 y 21 de la LFPDPPP, con relación a las infracciones determinadas en las fracciiones IV, VIII y IX de la propia Ley.

Ahora bien, aunque en los resolutivos no figura la conducta infractora prevista en el artículo 63, fracción IV, consistente en dar tratamiento a los datos personales en contravención a los principios establecidos en la presente Ley, los considerandos si refieren al Principio de Lealtad dispuesto en los artículo 6 de la LFPDPPP, y 9, fracción III, y 44 de su Reglamento, atento a los cuales:

  • «En todo tratamiento de datos personales, se presume que existe la expectativa razonable de privacidad, entendida como la confianza que deposita cualquier persona en otra, respecto de que los datos personales proporcionados entre ellos serán tratados conforme a lo que acordaron las partes en los términos establecidos por esta Ley», y 
  • El Principio de Lealtad establece la obligación de tratar los datos personales privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad, en los términos establecidos en el artículo 7 de la Ley.
    No se podrán utilizar medios engañosos o fraudulentos para recabar y tratar datos personales. Existe una actuación fraudulenta o engañosa cuando:
    I. Exista dolo, mala fe o negligencia en la información proporcionada al titular sobre el tratamiento;
    II. Se vulnere la expectativa razonable de privacidad del titular a la que refiere el artículo 7 de la Ley, o
    III. Las finalidades no son las informadas en el aviso de privacidad.

La Responsable pretendió controvertir lo anterior argumentando que las gestiones de cobranza estaban previstas en el respectivo Aviso de Privacidad, y que la falta de consentimiento de la Titular era irrelevante puesto que, en su teoría de las cosas, operaba la excepción al consentimiento prevista en la fracción V del artículo 10 de la Ley, que exime de obtenerlo en los casos en que «exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes», lo cual fue desestimado por la autoridad.

Entre otros argumentos la autoridad sostuvo la violación a los Principios de Información, al no haber puesto a disposición del Titular el Aviso de Privacidad cuando renovó su plan tarifario, así como el de Proporcionalidad, al haber dado tratamiento a datos que no eran necesarios, adecuados ni relevantes en relación con la Finalidad para los que fueron obtenidos.

Aunque de la lectura de la resolución me parece que la naturaleza del dato no fue considerada de relevancia para la imposición de sanciones, toda vez que la fracción IV del Artículo 64 de la LFPDPPP sólo refiere a los de naturaleza sensible para el incremento de las sanciones, será interesante ver el criterio que adopta el IFAI en otros casos en que las infracciones se refieran a datos personales patrimoniales, como me parece es el caso, ya que mediante las gestiones de cobro a través de terceros se divulgaron datos relativos al adeudo de la Titular con la Responsable, mismos que por versar sobre su haber y deber habrían de ser considerados como tales.

Otro aspecto relevante a mencionar en un caso como éste, y es algo que me preguntan mucho en consultas y presentaciones, es que la Titular no percibirá un centavo de lo que el fisco recaude como aprovechamiento por la multa, de manera que el procedimiento de imposición de sanciones por parte del IFAI no se puede volver un medio de extracción de recursos de los Responsables por parte de los Titulares.

Sin embargo hay que atender al artículo 58 de la Ley, conforme a l cual los titulares que consideren que han sufrido un daño o lesión en sus bienes o derechos como consecuencia del incumplimiento a lo dispuesto en la LFPDPPP por el Responsable o el Encargado, podrán ejercer los derechos que estimen pertinentes para efectos de la indemnización que proceda, en términos de las disposiciones legales correspondientes.

Lo que es un hecho es que en los casos en que se resuelva en contra del Responsable y pudiera configurarse alguna teoría como el daño moral, el Titular estará en posibilidad de iniciar el procedimiento respectivo por la vía correspondiente y ofrecer el expediente del IFAI como prueba instrumental pública, mismo que haría prueba plena con tal carácter de la actuación ilegal del Responsable, restando que el Titular actor probara la afectación sufrida en la consideración que tiene de si o la que los demás le tienen. Y es sabido que desde el caso de Martha Zahagún contra Olga Wornat los criterios judiciales en México sobre daño moral han cambiado sustancialmente, por lo que sería menos complicado que antes lograr una indemnización por esa vía.

El IFAI lanza su GAP; lista una obligación, ¿y las demás?

23 septiembre, 2013
Privacy/Protección de Datos
Deja un comentario

Com IFAI Generadores Aviso Privacidad 1 Com IFAI Generadores Aviso Privacidad 2

La semana antepasada el IFAI lanzó su Generador de Avisos de Privacidad con bombo y platillo, agitando bastante las aguas en el medio de la protección de datos personales, no obstante que se inscribe en las atribuciones que el artículo 39, fracción III, de la LFPDPPP le otorga a ese Instituto, para «proporcionar apoyo técnico a los responsables que lo soliciten, para el cumplimiento de las obligaciones establecidas en la presente Ley». Incluso debería ser considerado como un avance del propio IFAI, pues lo acerca al nivel de trabajo que tienen instituciones como la Oficina del Comisionado de Privacidad del Canadá, que cuenta con herramientas online para apoyar a los Responsables en el cumplimiento de sus obligaciones, en tanto que la Agencia Española de Protección de Datos ofrece en su mayoría formatos en PDF para tales fines.

El proceso de creación del GAP parece haber sido bastante largo; el propio IFAI lo refirió en la página 14 de su Análisis del Ejercicio del Presupuesto Programático en la Cuenta de la Hacienda Pública Federal de 2012, como «… una herramienta en línea que permita a los responsables elaborar avisos de privacidad, de acuerdo con la normatividad», cuyo contenido fue elaborado en aquél año.

Lo que ha llamado la atención de varios de quienes ejercemos en esta área son las diferencias en la postura del IFAI que podrían inferirse de la comunicación que ha tenido con el público respecto del trabajo de elaboración de avisos de Privacidad. Si bien siempre aclaró que las herramientas existentes anteriormente, como la del despacho R1OS Abogados, el de ProDato y Contratos Fácil (aclaración, jamás las refirió literalmente) no tenían aval alguno del IFAI, y que éste lanzaría la suya en el futuro, en un principio apuntó, en uno de los comunicados que pueden ver en la presente entrada, que «En el mercado de la consultoría existen empresas que de manera legítima ofrecen sus servicios tanto de asesoría como para la elaboración de los avisos de privacidad pero no tienen ninguna relación con el IFAI, ni la autorización o aval de este Instituto». Sin embargo, de acuerdo con el comunicado de lanzamiento del GAP, el Comisionado Presidente habría manifestado que con ese Generador de Avisos de Privacidad «…las personas físicas y morales de carácter privado que tratan datos personales pueden generar ya sus avisos de privacidad sin necesidad de pagar miles de pesos a empresas o despachos especializados».

Así nace la duda en el medio sobre si es que basta con el uso del GAP para generar avisos de privacidad acordes con la LFPDPPP, su Reglamento y los Lineamientos del Aviso de Privacidad sin hacer la inversión en servicios profesionales para ello, o si aún es necesario, o cuando menos conveniente, contar con asesoría profesional al respecto, considerando que el GAP IFAI es una herramienta desarrollada por la autoridad; y siéndolo, ¿con eso se puede estar a salvo de la sanción  prevista en la fracción II del artículo 64 de la LFPDPPP, consistente en multa de 100 a 160,000 días de salario mínimo general vigente por la infracción de la fracción V del artículo 63: «omitir en el aviso de privacidad, alguno o todos los elementos a que se refiere el artículo 16 de la Ley»?

El tema de suyo me remite al caso del Banco de México, que dejó de operar con el público en general en los ’60s, pues se llegó a considerar que esa actividad representaba competencia desleal para la banca comercial, puesto que el público favorecía al Instituto Central por la percepción de mayor solidez y confianza que generaba en el público ahorrador e inversionista. Sin embargo, creo que lejos de ser motivo de estress y preocupación para los profesionales de protección de datos personales el desarrollo de ésta y otras herramientas por parte del IFAI nos debe motivar a esmerarnos más en nuestro trabajo y ofrecer a nuestros clientes mayor calidad y honorarios competitivos, aunque no castigados, por el trabajo de la que sólo es una de las obligaciones que deben cumplir en su carácter de Responsables del Tratamiento de Datos Personales.

La única manera de hacer un juicio de valor al respecto es probar el GAP. Aclaro enfáticamente que en mi despacho no uso, ni usaré, el GAP para generar los materiales correspondentes al servicio que ofrezco a mis clientes; yo hago mi trabajo a pulso, y el valor agregado por el que mis clientes pagan no sólo es el esfuerzo de un profesionista calificado en la materia, sino un servicio individualizado.

El primer punto que llama la atención en el ejercicio es que se asume que el Responsable debe tener claridad suficiente para determinar por sí solo las Finalidades del Tratamiento de Datos Pesonales que lleva a cabo y para el cual genera el Aviso de Privacidad, y de que podría requerir más de un Aviso de Privacidad, pues en atención al Principio de Finalidad, por ejemplo, el Aviso de Privacidad para sus clientes no valdría también para sus empleados.

Además se asume que el Responsable tendrá capacidad para determinar por sí solo én qué casos establecerá una relación jurídica con el Titular, así como cuáles de las Finalidades que haya determinado son necesarias para esa relación jurídica, lo cual requiere de conocimiento jurídico y experiencia en la práctica, que pueden o no estar disponibles en la organización del Responsable a través de sus áreas de administración o contabilidad. Pero de no tenerlas el dicho Responsable poría requerir de todas formas asesoría incluso para hacer uso del GAP, ya que éste no explica por sí mismo los Principios de Proporcionalidad y/o de Finalidad.

Algo que llama mi atención es, por ejemplo, que en Reactivo 5 de la sección VII se contiene un espacio para indicar el nombre de la persona o departamento de datos personales, requisito que corresponde a lo previsto en el Lineamiento Vigésimo Octavo, fracción II, conforme al cual deben indicarse los datos de identificación y contacto de la persona o departamento de datos personales que dará trámite a las solicitudes de los titulares para el ejercicio de los derechos ARCO, al que refiere el artículo 30 de la Ley.

Si bien esto se corresponde con requerimientos como el de identificación del responsalbe de la oficina de atención al cliente de las Entidades Financieras. Sin embargo uno de los aspectos prácticos a considerar debe ser incluso la seguridad del personal dedicado a estas tareas, pues identificarlos puntualmente podría hacerlos víctimas de ataques o agresiones. Además la norma coloca a las personas que sean funcionarios a cargo de datos personales en desventaja con relación a los departamentos de datos personales, cuyos integrantes pueden gozar del beneficio del anonimato.

Es similar el caso de los Responsables personas físicas, quienes de acuerdo con el Lineamiento Vigésimo Primero deben identificarse con nombres y apellidos, lo cual también podría exponerlos en sus personas, al dar a conocer su identidad en documentos de amplia circulación sin el beneficio del velo corporativo. El IFAI haría bien en reconsiderar el requisito, más aún tomando en cuenta que la relación jurídica derivada del Tratamiento de los Datos Personales se establece entre el Titular y el Responsable, no con el personal de éste último.

Además de lo mencionado respecto de la determinación de las Finalidades del Tratamiento y la necesidad de las mismas para la relación jurídica, hay muchas preguntas abiertas que el Responsable no siempre estará en condiciones de responder adecuadamente por si solo, como el caso de los medios para el ejecicio de derechos ARCO que elija poner a disposición del Tiular. El Reglamento de la Ley y los Lineamientos del Aviso de Privacidad prevén que podrán ser aquellos que el Responsable considere pertinentes, y que serán sencillos y gratuitos, sin que el Responsable pueda establecer como única vía para la presentación de las solicitudes del ejercicio de los derechos ARCO algún servicio o medio con costo, y estando el Titular obligado a cubrir únicamente los gastos de envío, reproducción y, en su caso, certificación de documentos, con una excepción, además de que dichos costos de reproducción no podrán ser mayores a los costos de recuperación del material correspondiente.

Podría abundarse más sobre el particular, pero lo ya mencionado bastaría para autorizar a afirmar que no obstante las bondades del GAP, y el hecho que es el primer paso para colocar al IFAI al nivel de las autoridades de protección de datos personales más progresistas y avanzadas en la práctica, realmente no es un sustituto para la asesoría profesional en la instrumentación de un cumplimiento normativo integral y sólido.

Lo anterior más aún considerando que en adición al Aviso de Privacidad, la designación del Funcionario a Cargo de Protección de Datos Personales y los procesos para responder solicitudes ARCO, así como aquellos para la revocación del consentimiento y la limitación del Tratamiento de Datos Personales de acuerdo con el artículo 48, fracción I, del Reglamento es nesario redactar una Política de Privacidad, y conforme al artículo 61 del propio estatuto se debe redactar también una Relación de Medidas de Seguridad, además de llevar a cabo capacitación en materia de protección de datos como lo manda la fracción II del citado artículo 48.

En resumen, defintivamente la disponibilidad del GAP obliga a que los profesionales en protección de datos personales nos pulamos y esforcemos más en nuestro trabajo y ofrezcamos un mejor servicio al cliente, pero no necesariamente cerrará áreas de trabajo en la materia.

Google Person Finder y la Protección de Datos Personales en Desastres Naturales

19 septiembre, 2013
Privacy/Protección de Datos
Deja un comentario

El fin de semana largo por los festejos de la Independencia de México en 2013 será, probable y tristemente, tan memorable como el sismo de 1985, cuyo vigesimoctavo aniversario se conmemora el día de hoy. Sin duda este tipo de acontecimientos siempre hacen que la solidaridad de los mexicanos se manifieste, tanto en el esfuerzo por acopiar víveres y materiales para socorrer a los damnificados como por encontrar a las personas extraviadas o desaparecidas. Para esto último hoy día se cuenta con herramientas como el Google Person Finder que el gigante tecnológico desarrolló tras el sismo de Haití en 2010, y que ha puesto a funcionar para ayudar a encontrar gente en las zonas inundadas de Acapulco, lo mismo que en el caso de otros desastres naturales http://bit.ly/16iX4hN.

La herramienta permite al público aportar la información con que cuente de sí misma o de terceras personas para que quienes estén buscando a personas que se encontraran en la zona de desastre puedan tratar de ubicar su paradero. Para ello se llena un formato en que se indica el nombre de la persona, su domicilio, edad, género, descripción y de contar con ella se sube una foto suya, así como su última localización conocida, todos ellos datos personales.

A pesar de sonar más papista que el Papa, un ejercico meramente académico motivaría preguntar si el aportar esos datos personales para su difusión a través de Google Person Finder sería una acción regulada por la Ley Federal de Protección de Datos Personales en Posesión de Particulares.

Para ello es preciso atender a los artículos 2, fracción II; 10, fracción V, y 37, fracciones II y V, así como al 4 del Reglamento de dicha Ley. Éste último dispositivo contiene las normas territoriales de aplicación de la LFPDPPP, conforme a las cuales habría que definir si la LFPDPPP le resulta aplicable a Google. Dicha empresa tiene una oficina en México, pero no es claro que el tratamiento de los datos aportados por el público mexicano se lleve a cabo en dicho establecimiento, para efectos de la fracción I, pero cabría la posiblidad de que utilice medios situados en México, que excedan los fines de mero tránsito, para llevar a cabo ese tratamiento.

Asumiendo que el anterior fuera el caso, y de resolver la aplicabilidad de la LFPDPPP y su Reglamento al tratamiento de datos que Google hace para su aplicación Person Finder, habría que considerar las excepciones previstas en el artículo 2 de dicha Ley, de las cuales sólo la de la fracción II podría ser analizada, pues prevé como sujetos regulados por ella a los particulares personas físicas o morales de derecho privado que lleven a cabo el tratamiento de datos personales, con excepción de quienes lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial. En el caso de Google Person Finder, claramente no es el caso, puesto que esta información está destinada a ser divulgada al público.

No obstante lo anterior, la fracción V del Artículo 10 de la LFPDPPP prevé que no será necesario el consentimiento para el tratamiento de los datos personales cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes, cual es el caso en Acapulco. Sin embargo esa es una excepción al principio del consentimiento, no al de información, y por tanto, al menos en principio y siendo en extremo formalistas, debería haber un aviso de privacidad para el Person Finder, obligación cumplida parcialmente a través de su Política de Privacidad.

Considerando además la transferencia hecha mediante la difusión de los datos personales tratados a través de Google Person Finder habría que atender a las excepciones en las fracciones II y V del Artículo 37 de la LFPDPPP, que autorizan a realizarlas sin consentimiento del Titular cuando sean necesarias para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios, así como cuando sean necesarias o legalmente exigidas para la salvaguarda de un interés público, situaciones que claramente se presentan en un escenario como el que se enfrenta en Acapulco.

Adiconalmente, y no obstante que de acuerdo con el Artículo 11 del Código Civil Federal, las excepciones sólo son aplicables a los casos previstos expresamente en la norma que las contiene, serían aplicables criterios de derecho penal, como la no exigibilidad de otra conducta, es decir, exponerse a violar la Ley Federal de Protección de Datos Personales para lograr un bien mayor, consistente en la ubicación de gente extraviada o desaparecida, así como de la deontología jurídica, al optar por ese mal menor en aras de éste último bien mayor.

En conclusión, el Google Person Finder no sólo ha probado ser uno de esos productos de la bonhomia de Google, sino que a diferencia de Street View, caso que le ha costado investigaciones y multas en la Unión Europea y Estados Unidos, goza del beneficio de excepciones en materia de protección que lo aislarían de tales riesgos legales… aunque francamente habría que tener prioridades muy mal ubicadas para ir a por Google con motivo de su Person Finder en un escenario de catástrofe.

La Primera Multa del IFAI a una Persona Física

13 septiembre, 2013
Privacy/Protección de Datos
Deja un comentario

El IFAI inició su función como autoridad de protección de datos con sanciones a Responsables del Tratamiento de Datos Personales que fueron bastante mediáticas y causaron impacto lo mismo por la cuantía de la multa que por la visibilidad del multado; primero Farmacias San Pablo, luego Banamex (Grupo Banamex suma ya 5 multas) y Sport City.

Sin embargo la Ley Federal de Protección de Datos Personales en Posesión de Particulares no aplica solamente a grandes corporativos con grandes recursos; son Responsables de su cumplimiento todas las personas de derecho privado que den Tratamiento a Datos Personales por sí o a través de Encargados o Terceros, y las multas son impuestas considerando la capacidad económica del infractor.

Para muestra el caso en el procedimiento de imposición de sanciones PS 0001/13, en contra de un médico psiquiatra (de ahí que el nombre del infractor no figure en la versión pública, ya que son datos de naturaleza confidencial para el IFAI) quien habría expedido una constancia de «depresión y transtorno de personalidad recurrente y lupus eritematoso sistémico» y recetado medicamentos antidepresivos a una paciente (la Titular), y hecho entrega de esos documentos al marido de ésta sin su autorización, resultando de ahí una transferencia de Datos Personales Sensibles (y, según la regulación del sector salud, confidenciales).

Lo más delicado del asunto: de las constancias se infiere que la Titular y su marido estaban en una situación marital compleja, tanto que según las constancias del caso él inició el procedimiento de divorcio días después de la consulta al profesional de la salud, exhibiendo la antedicha constancia como probanza ante el respectivo Juzgado de lo Familiar.

Dentro del expediente de verificación consta que el IFAI requirió al profesional de la salud Responsable:

  • Manifestara por qué expidió el documento a favor del marido de la Titular dándole a conocer Datos Personales Sensibles de ésta (ojo: ello constituiría una confesión, pues procesalmente los hechos expresados en los documentos provenientes de una parte se tienen por confesados por ésta); explicación: que la Titular llegó a consulta por somnolencia debida a haberse automedicado, y que el marido requirió el documento «a fin de continuar con su atención y tratamiento médico».
  • Señalar si contaba con el consentimiento de la Titular para la Transferencia de sus Datos Personales Sensibles a su marido; respuesta: no, debido a que la Titular se habría presentado en un estado alterado de conciencia por la ingesta del medicamento.
  • Señalar de forma pormenorizada los Datos Personales a los que da Tratamiento y adjuntar copia del documento que emplea para recabar el consentimiento expreso de sus pacientes para el Tratamiento de sus Datos Personales Sensibles; y aquí es donde se hubiera visto el trabajo de cumplimiento normativo bien hecho, de haberlo habido.
  • Medidas de seguridad que garanticen la confidencialidad de los Datos Personales que se le proporcionan;
  • Si cuenta o no con Aviso de Privacidad y cómo lo pone a disposición de sus pacientes; respondido afirmativamente y que en formato impreso.
  • Si él mismo se encarga de atender las solicitudes ARCO, también respondido afirmativamente.
  • Las Transferencias que realiza; respondido como sólo las autorizadas expresamiente por el Titular y las que por excepción permite la Ley, y
  • Pormenores de las medidas de seguridad físicas (resguardo bajo llave), administrativas (nadie más que el Responsable accede a o manipula sus expedientes), y técnicas (obtención personal de los Datos Personales si utilizar medios electrónicos y bajo la ética de la profesión); parecería un desatino del IFAI haber hecho públicos los detalles de las medidas de seguridad adoptadas por el Responsable, pues ello podría poner en riesgo su práctica profesional y los Datos Personales que trata en ella.

Lo anterior fue seguido por una visita de verificación en la cual el Responsable fue cuestionado sobre su práctica y las respuestas que dio por escrito, manifestando entonces que en el Aviso de Privacidad da oportunidad a los pacientes para aceptar expresamente o no la transferencia de sus Datos Personales, pero que no contaba con consentimiento expreso de la Titular denunciante para transferir sus Datos Personales, justificándolo en el estado en que habría llegado a consulta, y en que conforme a la NOM 168-SSA1-1998, que permitiría a los familiares solicitar el resumen clínico del paciente, además de que no habría dado a conocer al marido de la Titular las limitaciones al Tratamiento de los Datos Personales transferidos.

Las determinaciones relevantes en el proceso de verificación concluyeron que:

  • Hubo incumplimiento de la LFPDPPP por la transferencia de Datos Personales Sensibles sin consentimiento de la Titular y sin comunicar al Responsable receptor el las limitaciones al Tratamiento de esos Datos Personales;
  • El Aviso de Privacidad del Responsable no señala las opciones o medios para que los Titulares Limiten el uso o divulgación de sus Datos Personales, y
  • Tampoco señala los medios para dar a conocer los cambios al Aviso de Privacidad.

Dicho sea de paso, si la iniciativa de la denuncia al IFIA vino del abogado que representa a la Titular en su juicio de divorcio, decididamente ese colega es muy buen abogado, puesto que si el marido y su abogado pretendían fundamentar la causa de divorcio en la salud mental de la Sra., la probanza relevante para esos efectos se debería venir abajo como resultado de la verificación y sanción del IFAI, puesto que tal documento fue obtenido en contravención a la Ley Federal de Protección de Datos Personales, y las normas que rigen al proceso prohiben que en el mismo sean utilizadas probanzas contrarias a la ley.

Por ello el IFAI acordó iniciar el procedimiento de imposición de sanciones, remitiendo el Responsable copia simple de su declaración de impuestos por el ejercicio fiscal 2011 y una constancia de percepciones de 2013 para acreditar su situación financiera, y del que le derivaron las siguientes multas:

  1. Por omitir en su Aviso de Privacidad opciones y medios para que los titulares limiten el uso o divulgación de sus Datos Personales, así como la indicación del medio por el cual comunicaría a los titulares de cambios al aviso de privacidad, $5,982.00
  2. Por transferir datos a terceros sin comunicarles el aviso de privacidad con las limitaciones a que el Titular sujetó la divulgación de los Datos Personales, $11,964.00, multa incrementada en un 50% (+$5,982.00) por tratarse de Datos Personales Sensibles.
  3. Recabar o transferir datos personales sin el consentimiento expreso del titular, cuando éste fuera exigible, $11,964.00, multa incrementada en un 50% (+$5,982.00) por tratarse de Datos Personales Sensibles.

En total, las omisiones de este médico en su cumplimiento normativo en materia de protección de Datos Personales le costaron $41,874.00, recursos que decididamente él podría haber dedicado a otra cosa. Algo más para considerar en cuanto al valor de la inversión en el cumplimiento normativo para protección de datos personales.

Compliance Report

Xavier Ribas

Derecho de las TIC y Compliance

Marcus Kazmierczak

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace

Cedric's Privacy Blog

Blog de la Asociación Mexicana de Restaurantes