archivo

Privacy/Protección de Datos

En COFEMER las Reglas de Operación del Registro de Esquemas de Autorregulación Vinculante

5 septiembre, 2013
Privacy/Protección de Datos
Deja un comentario

¡Fresco del día! El buscador de anteproyectos de Regulación de la Comisión Federal de Mejora Regulatoria muestra que el IFAI presentó ante esa instancia el proyecto de Reglas para la operación del Registro de Esquemas de Autorregulación Vinculante a que se refiere el Artículo 86 del Reglamento de la LFPDPPP. Como saben los mecanismos de autorregulación vinculante fueron previstos en el artículo 44 de la Ley Federal de Protección de Datos Personales como mecanismos complementarios a ésta que facilitarían tanto lograr el cumplimento de la misma a quienes se adhieran a ellos de manera voluntaria, por el uso de cláusulas tipo y documentos estandarizados, como la procuración de dicho cumplimiento al propio IFAI.

Uno de los principales atractivos para Cámaras de Comercio, Asociaciones Profesionales y otros organismos gremiales procuren implantar éste tipo de mecanismos es que, conforme al artículo 81 del citado Reglamento, cuando un responsable adopte y cumpla un esquema de autorregulación, el IFAI tomará dicha circunstancia en cuenta para atenuar la sanción aplicable, si a pesar de contar con el sello de confianza o certificación del mecanismo respectivo el Responsable hubiera incurrido en falta. Ello sin perjuicio de que el propio IFAI determine otros incentivos para la adopción de tales esquemas.

Los parámetros para el desarrollo de estos mecanismos fueron publicados en el Diario Oficial de la Federación del 17 de enero del presente año, y posteriormente modificados, puesto que su redacción original restringía la posibilidad de ser entidad de acreditación a las personas morales constituídas bajo el régimen de Asociación Civil, en tanto que ahora podrán serlo cualesquiera personas morales.

Al día de hoy van menos de 8 meses de los 9 que el Artículo Segundo Transitorio de dichos Parámetros fijó como plazo para la emisión de las Reglas del mencionado Registro. Veremos qué tal marcha la etapa de comentarios públicos en COFEMER, esperando que sean publicados en el Diario Oficial antes de mediados de octubre, fecha en la que de acuerdo con el Tercero Transitorio de los mismos Parámetros el Registro debería comenzar a dar trámite a las solicitudes de inscripción de esquemas de autorregulación vinculante y de autorización para entidades de acreditación.

Ello considerando que, recordarán, para que un Esquema de Autorregulación Vinculante sea válidamente operativo deberá haber sido aprobado por el IFAI y notificado al regulador sectorial de la materia que rija al Responsable.

Conciliaciones ante el IFAI: la otra Solución

3 septiembre, 2013
Privacy/Protección de Datos
Deja un comentario

Luego de llamar al 2011 «el año del aviso de privacidad», tras el cual según cifras del estudio de protección de datos personales entre usuarios y empresas 2012 de la AMIPCI 1/3 del muestreo de empresas consultado no tenía idea de las acciones de cumplimiento a ejecutar para cumplir con la Ley Federal de Protección Datos Personales, el IFAI asumió su función como autoridad de protección de datos personales, y con el Dr. Santiago Oñate Laborde como Secretario de Protección de Datos emprendió acciones de verificación y sanción a tambor batiente.

Los montos de las sanciones impuestas a la fecha son impactantes: desde los $2’000,0045.04 de multa a «Farmacias San Pablo» a los $9’848,140.00 para la SOFOM de Banamex, sin hacer aún de lado la de $16’155,936.00 a esa institución de banca múltiple y, aunque deben ser ponderadas en relación con la capacidad económica del infractor, serían motivo de reflexión con respecto al costo que la implementación de un adecuadoo cumplimiento normativo en la materia hubiera representado en comparación.

Sin embargo no todo procedimiento de protección de datos personales tiene que derivar en la imposición de una multa al Responsable, en términos del artículo 54 del Reglamento de la Ley, el IFAI puede buscar la conciliación entre Titular y Responsable en cualquier momento del procedimiento, y de llegar estos a un acuerdo el mismo será vinculante, dejando a la solicitud de protección de datos sin materia.

Para ello el acuerdo de admisión de la solicitud deberá requerir para que dichas partes manifiesten su voluntad de conciliar dentro de los 10 días hábiles siguientes a que les sea notificado, salvo que el Titular sea menor de edad y se hubiera vulnerado alguno de los derechos previstos en la Ley para la Protección de los Derechos de Niñas, Niños y Adolescentes. La conciliación podría ser realizada en persona o por medios remotos, pero constará por escrito, dentro de los 20 días siguientes a la manifestación de voluntad de las partes, levantándose acta de ello, redactándose el convenio respectivo y dándose por concluido el procedimiento, salvo que el acuerdo sea incumplido, en cuyo caso el IFAI reanudará el procedimiento.

A la fecha se tiene noticia de 3 procedimientos de protección de derechos concluidos por vía de conciliación con los siguientes Responsables:

  1. Autobuses de la Piedad, S.A. de C.V. (parte del Grupo Flecha Amarilla), resuelto mediante respuesta al IFAI y entrega de constancia que detalló los datos personales del Titular en poder del Responsable, que negó la cancelación de tales datos por efectos fiscales y manifestó que la videograbación del Títular había sido retenida sólo 48 hrs., así como que se acataría la oposición del Titular al Tratamiento de sus datos para promoción de productos y servicios u otro fin.
  2. Lomelín Hermanos Bienes Raíces, S.C., resuelto mediante entrega al Titular de fotocopias de su documentación y destrucción de la documentación que el Responsable había recibido del Titular en virtud de la cancelación de la solicitud de arrendamiento que éste último había formulado, por lo que sus datos no fueron capturados en las bases de datos de la Responsable, teniéndose así por cumplida la solicitud de cancelación.
  3. Teléfonos de México, S.A.B. de C.V., resuelto poniendo a disposición de la Titular la infración de 3 llamadas recibidas en su línea telefónica entre junio y julio, dado que ella estaba «…relacionada con un problema legal con la institución de crédito Bancomer…»; su solicitud de protección de derechos habría sido motivada por el entendido de la Responsable en el sentido que la Titular requería el detalle completo de las llamadas recibidas en la línea telefónica, por lo cual aquélla aplica un cobro mensual de $10.40 (al respecto, el pasado 27 de junio publiqué una entrada en cuanto a los costos de la atención de solicitudes ARCO). Sin embargo el caso quedó zanjado con la entrega gratuida de la información solicitada.

En definitiva la conciliación es una vía que debe ser considerada tanto por los Responsables, a fin de evitar mayores inconvenientes y costos, como por los Titulares, para evitar pervertir el mecanismo de protección de derechos como medio para extraer rentas, en tanto sea bajo términos razonables y justos.

 

Protección de Datos y Cobranza Extrajudicial

2 septiembre, 2013
Privacy/Protección de Datos, Regulación Bancaria/Financiera
Deja un comentario

Hace un mes publiqué una entrada sobre cómo la protección de datos personales incide sobre prácticas como la cobranza extrajudicial que llevan a cabo las instituciones financieras para tratar de recuperar los recursos que se les adeudan, más en un contexto como el de México, en el que es sabido que tanto los deudores buscan eludir su responsabilida mediante toda suerte de artificios como que las áreas o despachos de cobranza llegan a adoptar medidas recalcitrantes para lograr su cometido.

Con posterioridad a la multa impuesta a la clínica de terapia Oceánica el IFAI difundió la sanción impuesta a Tarjetas Banamex, S.A. de C.V. SOFOM ER, por la cantidad de $9’848,140.00, derivada de la denuncia hecha a mediados de junio del 2012 por una persona que recibía llamadas de cobranza «incluso con un lenguaje descortés y altanero» de «personas que se identifican como empleados del Corporativo del Banco Nacional de México, BANAMEX, buscando a un supuesto… con la intención de cobrar alguna deuda».

Recordemos que el Banco Nacional de México ya enfrenta una sanción del propio IFAI (el expediente no se encuentra disponible actualmente a causa de una medida cautelar del Tribunal Federal de Justicia Fiscal y Administrativa, ya que Banamex está combatiendo tal multa) del orden de $16’155,936.00 por 5 conductas infractoras a la LFPDPPP. También ya le fue impuesta una sanción a Seguros Banamex, S.A. de C.V., de $3’989,120.00 (por tratar datos personales en contra de los Principios que informan a la Ley, así como por recabar o transferir datos personales sin el consentimiento expreso del titular, en los casos en que éste sea exigible).

Pues ahora su SOFOM operadora de tarjetas de crédito se ganó una sanción con los sugientes fundamentos y costos:

  • Dar tratamiento a los datos personales en contravención a los principios establecidos en la Ley: $1’495,920.00;
  • Mantener datos personales inexactos cuando resulte imputable al Responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de los Titulares: $1’246,600.00
  • Obstruir los actos de verificación de la autoridad: $3’490,480.00 (recuerden que tan sólo esta conducta le costó $2.5MDP a Océanica);
  • Continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del mismo por el Instituto o los Titulares: $3’615,140.00

Pregunta obligada: ¿multará así el IFAI a cualquiera? Respuesta evidente: no. De acuerdo con el artículo 65, fracción IV, el Instituto debe fundar y motivar sus resoluciones considerando, entre otros aspectos, la capacidad económica del infractor. De la lectura de la resolución en este caso se desprende que el Instituto consultó en Internet los estados financieros básicos consolidados de la infractora al primer trimestre de 2013, y encontraron un capital contable reportado del orden de $13,700’000,000.00, y tomó la cifra como referente para la multa.

También resulta interesante que, de acuerdo con el comunicado IFAI/079/13, en el Primer Ciclo de Talleres de Formación de Asesores en Protección de Datos Personales el IFAI habría capacitado a personal de la Asociación de Bancos de México, a pesar de lo cual 3 integrantes del Grupo Financiero Banamex han enfrentado ya sanciones (a Seguros Banamex ya le tocó también), en tanto que Banco Azteca ya logró sortear exitosamente un procedimiento de protección de derechos. O la información no permeó de la ABM a Banamex, o en Banamex mismo «se fueron por la libre».

Multa del IFAI a Oceánica: $2’493,200.00

29 agosto, 2013
Privacy/Protección de Datos
Deja un comentario

Paradójicamente la investigación del que tiene el dudoso honor de ser el primer caso de investigación sobre presuntas violaciones a la Ley Federal de Protección de Datos Personales es de la que deriva la sanción dada a conocer más recientemente.

En noviembre de 2012 se dio a conocer la multa de impuesta a Pharma Plus, S.A. de C.V., también conocida como Farmacias San Pablo, derivada del expediente PS.0002/2012, conforme al cual le fueron impuestas a esa Responsable multas del orden de:

  • 24,066 días de salario mínimo general vigente en el D.F. en el 2012, es decir $1’500,033.78, por contravenir el principio de información en el tratamiento de datos personales, y
  • 8,022 días de salario mínimo general vigente en el D.F. en el 2012, es decir $500,011.26, por omitir el elemento de identidad en su aviso de privacidad.

Apenas en estos días fue dado a conocer el expediente PS.0001/12, iniciado en contra de Océanica Internacional, S.A. de C.V., en que la autoridad de protección de datos determinó la imposición de una multa por el equivalente de 40,000 días de salario mínimo general vigente en el D.F. en 2012, del orden de $2’493,200.00, por la obstrucción en que habría incurrido dicha Responsable respecto de las visitas domiciliarias que el Pleno del IFAI ordenó realizar para constatar el cumplimiento de las disposiciones en materia de protección de datos, dado que no otorgó las facilidades necesarias para que se llevaran a cabo esas visitas (fracción XIV del artículo 63 de la LFPDPPP y III de su artículo 64).

En la resolución consta que para determinar ese monto el IFAI tuvo en consideración el importe del capital social de Océanica; habiéndoselo requerido y al no haber tenido respuesta, obtuvo copia del folio mercantil de la sociedad y constató que conforme a la protocolización de una Asamblea Extraordinaria de Accionistas el capital social de $36’596,000.00.

Sin embargo, el inciso a) del Considerando Sexto (p. 22) de la resolución indica que «[e]n el presente caso no se tomará en cuenta dicho elemento (naturaleza del dato, artículo 65, fracción I, de la LFPDPPP), toda vez que la conducta infractora que se sanciona es la obstrucción de los actos de verificación». Es decir que en virtud de no haber podido tener acceso a la materia de tratamiento por parte de la Responsable, la autoridad optó por la prudencia y decidió no asumir que se llevaba a cabo el tratamiento de datos personales sensibles, aún cuando es del conocimiento público que como centro de trataimiento y rehabilitación Oceanica necesariamente daría tratamiento a datos personales sensibles.

Ello podría motivar duda en cuanto a si el expediente no representaría un precedente de «efficient breach», o incumplimiento eficiente, coloquialmente referido en México como que a Oceánica «le salió barato», dado que en términos del referido artículo 64, fracción IV, de la Ley Federal de Protección de Datos Personales las multas por infracciones cometidas en el tratamiento de datos sensibles pueden incrementarse hasta por 2 veces los montos establecido en las fracciones II y III del ciatdo artículo 64, pudiendo llegar a topes cercanos a los $41.5MDP.

Protección de Datos en Restaurantes de Lujo

28 agosto, 2013
Privacy/Protección de Datos
Deja un comentario

La discreción siempre ha sido esencial para quienes ofrecen bienes y servicios de lujo, y los restaurantes de manteles largos no son la excepción. El riesgo de clonación de tarjetas de crédito, por ejemplo, está siempre presente cuando se atiende a comensales de alto poder adquisitivo que pagan con plásticos que tienen altos límites de crédito, y es algo con lo que el empresario restaurantero debe tener mucho cuidado.

El New York Times publicó un interesante artículo sobre cómo la video-vigilancia reduce la merma y pérdidas, e incluso incrementa la productividad y ventas en restaurantes. A la postre coadyuvaría a la protección de la seguridad de sus comensales, pero tendría que ser referido en los avisos de privacidad correspondientes, así como considerado en las respectivas Política de Privacidad y Relación de Medidas de Seguridad.

 

Por otra parte, en el siguiente enlace podrán encontrar el artículo sobre el tema escrito por un servidor (pp. 42-43) para la Revista Comensales, de la Asociación Mexicana de Restaurantes: http://www.amrdf.org.mx/revista/2013/Comensales13.pdf

Bajo el Radar: Recomendaciones de Seguridad IFAI

26 agosto, 2013
Privacy/Protección de Datos
Deja un comentario

Un hecho que no todos los obligados a la observancia y cumplimiento de la Ley Federal de Protección de Datos Personales parecen tener claro es que el cumplimiento normativo de dicho ordenamiento no se agota con solo publicar uno o varios avisos de privacidad.

El cumplimiento normativo completo en la materia comprende las siguientes acciones:

  1. Designación de un funcionario o departamento a cargo de la protección de datos al interior de la organización (artículo 30 de la Ley);
  2. Elaboración de los avisos de privacidad que sean necesarios, incluyendo su difusión a través de medidas compensatorias, de ser el caso (artículos 15 y 16 de la Ley);
  3. Implementación de una Política de Privacidad al interior de la organización, incluyendo capacitación al personal (artículo 48 del Reglamento), y
  4. Redacción de una relación de medidas de seguridad (artículo 61 del Reglamento).

A éste último respecto consideremos que el marco normativo de protección de datos personales en México es tecnológicamente neutro; es decir, que no requiere el empleo de tecnologías específicas. El artículo 19 de la Ley dispone que los Responsables no adoptarán medidas de seguridad menores a las que mantengan para su propia información. El Capítulo III del Reglamento indica cómo determinar esas medidas de seguridad, e incluye en su artículo 58 una disposición muy importante, conforme a la cual:

En términos de lo dispuesto en el artículo 65, fracción III de la Ley, en los casos en que ocurra una vulneración a la seguridad de los datos personales, el Instituto podrá tomar en consideración el cumplimiento de sus recomendaciones para determinar la atenuación de la sanción que corresponda.

El Artículo Cuarto Transitorio del Reglamento dispuso que la antedicha relación de medidas de seguridad física, administrativa y técnica sería exigible a los 18 meses de su publicación en el Diario Oficial; es decir el 20 de junio del presente año, no obstante no haber sido publicadas en tiempo la recomendaciones del IFAI, tema del cual publiqué una entrada en su momento.

Pues finalmente fueron presentadas a COFEMER las Recomendaciones en Materia de Seguridad en Datos Personales 2013 del IFAI. Aunque parece que no será la versión definitiva, puesto que el propio Instituto solicitó la baja del expediente respectivo. Sin embargo, es un instrumento de consulta obligada para los proyectos de cumplimiento normativo ya implementados y los que vayan andando, en tanto que son publicadas para comentarios las definitivas.

 

 

Derecho a la Imagen; ¿Por Qué Vía?

12 agosto, 2013
IP/Propiedad Intelectual, Privacy/Protección de Datos
Deja un comentario

Imagen

Hace tiempo me topé con este letrero en un edificio de la Ciudad de México, el cual motiva la duda sobre el régimen para proteger el derecho a la imagen de las personas.

Antes de la entrada en vigor de la Ley Federal de Protección de Datos Personales, cuyo Reglamento prevé en su artículo 3, párrafo tercero, que los datos personales podrán estar expresados en forma numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, la materia del derecho a la imagen estaba regulada a nivel federal en el artículo 87 de la Ley Federal del Derecho de Autor bajo 4 premisas elementales:

  • El retrato de una persona sólo podía ser usado o publicado con su consentimiento expreso, o con el de sus representantes o los titulares de los derechos correspondientes, siendo tal autorización revocable en todo momento.
  • Se presumía que quien se debaja retratar por remuneración había otorgado tal consentimiento y que no podría revocarlo  era utilizado en los términos y para los fines pactados.
  • El consentimiento del retratado no era necesario cuando se tratara del retrato de una persona que fuera parte menor de un conjunto, o la fotografía hubiera sido tomada en un lugar público y con fines informativos o periodísticos.
  • Los derechos establecidos para las personas retratadas durarían 50 años después de su muerte.

Por otra parte, el 19 de mayo de 2006 fue publicada en la Gaceta Oficial del Distrito Federal la «Ley de Responsabilidad Civil para la Protección del Derecho a la Vida Privada, el Honor y la Propia Imagen en el Distrito Federal«,  a la que alude la imagen de esta nota, la cual prevé que:

  • «(propia) Imagen» es la reproducción identificable de los rasgos físicos de una persona sobre cualquier soporte material… con lo cual dejaron de lado la fotografía digital.
  • Toda persona tenía derecho sobre su imagen: la facultad para disponer de su apariencia autorizando, o no, la captación o difusión de la misma, por lo que la difusión o comercialización de la imagen de una persona sin su consentimiento expreso constituiría un acto ilícito (que no delictivo).
  • Además la captación, reproducción o publicación por fotografía, filme o cualquier otro procedimiento (que por la limitante de la primera viñeta en el presente,  debería ser analógico), de la imagen de una persona en lugares o momentos de su vida privada o fuera de ellos sin la autorización de la persona constituía una afectación al patrimonio moral.
  • La imagen de una persona no debería ser publicada, reproducida, expuesta o vendida en forma alguna si no era con su consentimiento, a menos que dicha reproducción estuviera justificada por la notoriedad de aquélla, por la función pública que desempeñe o cuando la reproducción se hubiera hecho en relación con hechos, acontecimientos o ceremonias de interés público o que hubieran tenido lugar en público y hubieran sido de interés público.
  • Cuando la imagen de una persona fuera expuesta o publicada sin haber sido consentida, con perjuicio de la reputación de la persona, la autoridad judicial podría disponer a petición de parte que cesara el abuso y se reparasen los daños ocasionados.

Visto lo anterior, ¿qué ordenamiento deberían aplicar establecimientos como centros comerciales, restaurantes, hoteles o nosocomios, en los que cotidianamente transcurren hechos de gozo y tristeza en la vida cotidiana de quienes entran y salen de ellos?¿De qué nivel de protección gozaremos las personas respecto de nuestra imagen captada en tales espacios?

Para tales respuestas es preciso atender al Artículo Quinto Transitorio de la Ley Federal de Protección de Datos Personales en Posesión de Particulares, conforme al cual en cumplimiento a lo dispuesto por el artículo Tercero Transitorio del Decreto por el que se adiciona la fracción XXIX-O al artículo 73 de la Constitución Política de los Estados Unidos Mexicanos, disposiciones locales en materia de protección de datos personales en posesión de los particulares como la arriba citada quedaron abrogadas, por lo que aquélla no debería ser ya materia de aplicación.

Ahora bien, considerando que la misma norma Transitoria prevé la derogación de las demás disposiciones que se opusieran a la la referida Ley Federal de Protección de Datos Personales en Posesión de Particulares, nos encontramos en un régimen bajo el cual:

  1. El consentimiento expreso ya no es necesario para hacer uso de la imagen de una persona. Toda vez que no se trata de un dato personal sensible (y eso con sus bemoles, dado que generalmente por el retrato se puede identificar el origen étnico o racial de la persona), el Tratamiento de la imagen no requiere del consentimiento expreso del Titular de ese dato, de manera que para el aviso de privacidad correspondiente bastaría el consentimiento tácito.
  2. Más aún, cual escribí anteriormente, de acuerdo con el criterio del IFAI, tratándose de video-vigilancia basta un aviso de privacidad corto.
  3. Aún cuando baste que sean expresados de manera tácita y la práctica prudente en «copyright clearing» ha sido obtener autorización de todos los retratados, el número de consentimientos requeridos para el Tratamiento de una fotografía de grupo se ha multiplicado, puesto que se requiere el de cada persona que aparezca en la imagen.
  4. La Ley Federal de Protección de Datos Personales en Posesión de Particulares resultaría aplicable aún cuando la imagen hubiera sido captada en un lugar público, toda vez que ni ella ni su Reglamento distinguen en cuanto a la fuente (el artículo 7 del Reglamento enumera aquéllas consideradas como de acceso público), sólo en cuanto a la materia.
  5. En ese orden de ideas, y la disposición del párrafo segundo del artículo 87 de la Ley Federal del Derecho de Autor de acuerdo con la cual cuando a cambio de una remuneración, una persona se dejare retratar, se presume que ha otorgado el consentimiento a que se refiere el párrafo anterior y no tendrá derecho a revocarlo, siempre que se utilice en los términos y para los fines pactados, el Titular tendría siempre expedita la facultad para revocar tal consentimiento por virtud del artículo 20 del Reglamento de la LFPDPPP, sin que la revocación pudiera tener efectos retroactivos de acuerdo con el último párrafo del artículo 7 de la propia Ley.
  6. De acuerdo con los artículos 42 y 109 del Reglamento de la LFPDPPP, el derecho de Oposición sería eficaz para cesar el Tratamiento, pero no podría tener efectos retroactivos, cuando el Tratamiento fuera necesario para el mantenimiento de una relación jurídica entre el Titular y el Responsable.

Será sumamente interesante ver cómo resuelve el Poder Judicial de la Federación los casos que se presenten respecto de uso de la imagen versus libertades de expresión, información e imprenta. Entretanto, debería considerarse la derogación tácita del artículo 87 de la Ley Federal del Derecho de Autor y la abrogación de la Ley de Responsabilidad Civil para la Protección del Derecho a la Vida Privada, el Honor y la Propia Imagen en el Distrito Federal.

Relación de Medidas de Seguridad; Trabajo que Una Vez Hecho, Abona para Más…

31 julio, 2013
IP/Propiedad Intelectual, Privacy/Protección de Datos
Deja un comentario

Un comentario que recurre de manera común al exponer a los Responsables la necesidad de implementar el cumplimiento normativo en materia de protección de datos personales es que, al parecer de muchos, la entrada en vigor del marco regulatorio correspondiente ha generado una nueva burocracia y tramitología que, a la postre, incrementa su riesgo legal.

Además de mirarlo desde la óptica del incremento que esto reporta en la confianza de los clientes y trabajadores de la empresa, así como un ejercicio valioso en sí por «tener la casa en orden», procuro señalar a mis clientes que hay aspectos de esta labor que pueden abonar a mitigar su riesgo legal en otros aspectos, y uno muy concreto es la observancia de los derechos de propiedad intelectual.

Existe una organización de la sociedad civil llamada Business Software Alliance, integrada por un «quién es quién» del mundo de la tecnología y con alcance global (incluyendo un capítulo en México) que coadyuva con los gobiernos de los países en que tiene sedes para combatir la piratería de software, misma que innegablemente es un problema en México. Dicha organización recibe a través de su página de Internet «denuncias anónimas», que posteriormente se materializarán en correos electrónicos de sus abogados (que son muy buenos) a través de los cuales «requieren» que el denunciado exhiba los documentos justificativos de la propiedad de su hardware (servidores, CPUs, laptops) y del software con el que éste opere.

Tratándose de una organización de la sociedad civil, más no autoridad, en un descuido podría pensarse que ignorar tal «requerimiento» no tendría consecuencias; sin embargo la BSA lleva años manteniendo vigente un conveno de cooperación con el Instituto Mexicano de la Propiedad Industrial por virtud del cual la desatención a la solicitud de aquélla podría derivar en una visita de éste último, mismo que sí es autoridad y puede requerirle a su empresa todos los elementos de prueba necesarios para justificar que no esté incurriendo en una infracción a la Ley de la Propiedad Industrial.

Ahora bien, la fracción IX del artículo 61 del Reglamento de la Ley Federal de Protección de Datos Personales prevé que la Relación de Medidas de Seguridad con que debe contar el Responsable del Tratamiento de Datos Personales debe incluir «…un inventario de los sistemas de tratamiento (de datos personales)… y un registro de los medios de almacenamiento (de los datos personales)».

Tal registro debería incluir precisamente servidores, CPUs de desktops, laptops, incluso smartphones y, de ser posible, USBs entregados a los empleados de la empresa para la realización de sus labores. Al contar con ello el Responsable podrá tener mejor control del Tratamiento de Datos Personales que lleva a cabo, proveerá a la trazabilidad de tales Datos y, a la postre, estará preparado para el caso que llegase a recibir la visita del IMPI y la BSA, conjurando la contingencia de acciones administrativas e incluso tal vez penales derivadas del intento por oponerse a la visita de verificación de dicho Instituto, motivada po la solicitud de BSA.

Para muestra basta un botón; recién se difundió la clausura de una empresa Queretana que se opuso a que el IMPI realizara una inspección de sus sistemas de cómputo. Por el contrario, contar con la Relación de Medidas de Seguridad, que es obligatoria desde el 20 de junio del presente año, mitigará el riesgo legal de una visita del IFAI y le permitirá estar más preparado para atender satisfactoriamente una inspección del IMPI.

Derechos A R C O y Cobranza Extrajudicial

30 julio, 2013
Privacy/Protección de Datos, Regulación Bancaria/Financiera
Deja un comentario

Una pregunta recurrente en los seminarios que he impartido sobre protección de datos personales es si el ejercicio de los derechos ARCO es aplicable a las instituciones de crédito y/o SOFOMes, cuyos prestadores de servicios (usualmente bajo la figura de «Encargado») llaman incesantemente a los teléfonos de personas que podrán ser titulares de la línea telefónica, pero no deudores de la cuenta cuya cobranza procuran dichos Encargados.

Después de haber sido abogado bancario y corporativo transaccional me consta lo difícil, cuando no imposible, que puede ser recuperar en México una cuenta por cobrar de un deudor en  crédito al consumo, e incluso en crédito productivo, aún cuando se tengan otorgadas garantías. En su momento respondí a quejas presentadas ante CONDUSEF contra alguno de mis clientes por casos de suplantación o robo de identidad, por lo que también me constan las penurias que enfrentan personas en tal situación para resolver su situación. También me supongo que debe ser por demás molesto tomar una nueva línea telefónica para darse cuenta, a través de las múltiples llamadas de los ejecutivos de cobranza, que algún moroso era su titular anterior.

La reiterada pregunta habla de la mala gestión que hacen las instituciones financieras por cumplir con el Principio de Calidad que informa a la LFPDPPP, atento al cual los datos personales materia de tratamiento deben ser exactos, completos, pertinentes, correctos y actualizados. También habla de la dificultad que tiene la CONDUSEF para meter en cintura a los servicios de cobranza.

La respuesta a esa pregunta recurrente es que sí; no obstante la existencia de regulación propia del sector financiero, misma que conforme al Artículo 40 de la LFPDPPP deberá ser ajustada al marco normativo que ella prevé, sus disposiciones resultan aplicables a todas las instituciones financieras que traten datos personales para fines comerciales o de divulgación, salvo por las Sociedades de Infromación crediticia, mismas que fuero exceptuadas de la normativa de protección de datos personales. Para muestra basta la multa impuesta por el IFAI a Banamex, del orden de $16’155,936.00

En primer término podría acudirse a la Unidad Especializada que la entidad financiera debería tener en cumplimiento a la Ley de Protección y Defensa al Usuario de Servicios Financieros, aunque lo más probable es que se limiten a consultar su cuenta e ignoren si el número telefónico (que podría ser parte de los factores de autenticación previstos para banca electrónica) está o no asociado a otra cuenta.

También podría formular una denuncia ante la CONDUSEF a través de su Portal de Gestión de Cobranza, a fin de que dicho organismo verifique si el caso resulta o no en una violación del Código de Ética de las Obligaciones para con los Deudores y Público en General, que fue pactado por tal Comisión y por la Asociación Mexicana de Profesionales en Cobranza y Servicios Jurídicos, A.C. Pero dicho Código es soft law, de adopción voluntaria y difícilmente sancionable.

En vía de protección de datos personales, si el Titular afectado efectivamente tuviera una cuenta o producto de la institución de que se trate, pero no el deudor buscado a través de su teléfono o correo electrónico, podría ejercer el derecho de Rectificación, a fin de que su nombre sea asociado a los números telefónico y de cuenta correctos y no a los de alguien más. También podría ejercer su derecho de Oposición, a fin de que se le eviten mayores perjuicios tratando sus datos para la cobranza de una cuenta que no le corresponde.

En caso de no haber sido tarjetahabiente ni cuentahabiente de la institución, tendría expedito el derecho de cancelación, al igual que si los datos personales hubieran sido obtenidos indirectamente por la institución financiera por transferencia de alguien que lo hubiera nombrado como referencia y como consecuencia le llamaran para presionar al referido.

Aviso de Privacidad ¿Múltiple o Monolítico?

23 julio, 2013
Privacy/Protección de Datos
2 comentarios

Una de las discusiones más recurrentes en la práctica de la protección de datos personales en México es la de la disyuntiva entre concentrar el contenido de TODOS los posibles avisos de privacidad del Responsable en un documento, a fin de que los Titulares seleccionen la información relevante para ellos de entre aquélla que no lo fuera, o bien «segmentarlos», de manera que, por ejemplo, se tenga uno para clientes, otro para empleados, y hay quienes incluso adicionan otro más para proveedores (habiendo quienes consideramos que no es necesario en ese caso).

Ejemplos del primer grupo se encuentran en las páginas de Internet de GRUMA y de Roche, en tanto que Sport City (ver esq. inf. izq.) y Walmart se decantan por la segunda.

Será difícil concluir hasta que el IFAI no emita un criterio definido al respecto, y la discusión se centra en la interpretación del artículo 24 del Reglamento de la Ley y el Lineamiento Décimo del Aviso de Privacidad, atento a los cuales dicho documento deberá ser sencillo, eficiente y práctico, con información necesaria, expresado con lenguaje claro en español y comprensible, y con una estructura y diseño que facilite su entendimiento.

Hay quienes sostienen que no sería sencillo para los propios Titulares clasificarse a si mismos entre las diversas categorías para las que el Responsable hubiera dispuesto la redacción de avisos de privacidad, de tal suerte que todos los supuestos posibles deberían ser previstos en un texto monolítico.

También hay quienes dicen que, por ejemplo, la información de datos personales y finalidades del tatamiento de los datos personales de los empleados del Responsable no es necesaria para los clientes del mismo (y tal vez difundir ese listado de datos personales podría suponer un riesgo de seguridad), por lo que lo ideal sería que el Responsable dispusiera uno para cada grupo de finalidades. Me atrevería a decir que en algún momento un alto funcionario del IFAI habría manifestado alguna inclinación por esta postura en una conferencia, pero carezco del soporte documental para ello.

Sea cual fuere el caso, hay más de una forma de matar pulgas y cualquiera será válida hasta que el IFAI no exprese lo contrario.

Mención aparte merece el requisito de redacción en idioma español; si bien es el idioma oficial de los Estados Unidos Mexicanos, esto lo hace indebidamente restrictivo en supuestos como los del artículo 4 del Reglamento de la Ley, bajo los cuales el Tratamiento de datos de residentes en el extranjero podría llevarse a cabo en México (si algún día se logra la certificación de «Puerto Seguro» –Safe Harbor-), no obstante lo cual en los lineamientos no se planteó nada sobre la disponibilidad de traducciones en otros idiomas… como no sea que debiera entenderse implícito en el requisito de la fraccion II del Lineamiento Décimo, que obliga al Responsable a tomar en cuenta para su redacción los perfiles de los Titulares.

Compliance Report

Xavier Ribas

Derecho de las TIC y Compliance

Marcus Kazmierczak

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace

Cedric's Privacy Blog

Blog de la Asociación Mexicana de Restaurantes