archivo

Privacy/Protección de Datos

Protección de Datos y (Mal) Marketing II

19 julio, 2013
Privacy/Protección de Datos
Deja un comentario

Ayer redacté una nota sobre la, para mi profesional opinión, mala decisión que tomó Genomma Labs al publicar el nombre de una consumidora de uno de sus productos en medios impresos e Internet (al menos), con relación a la queja formulada por dicha persona respecto de la publicidad de un shampoo de su marca «Tío Nacho».

Website Genomma Lab Tío Nacho PROFECO

Podría ser interesante saber si dicha acción sirvió para mejorar la experiencia de la consumidora quejosa o reforzar la lealtad para con esa marca, y el beneficio que podría haber tenido respecto de la percepción de la misma y de su empresa titular entre el público lector de los medios en que se realizó la publicación.

Más allá de cuestionar prácticas o decisiones de aquélla empresa, el objetivo de la nota fue exponer como hay prácticas de protección de datos personales que pueden obrar en detrimento de la marca y la empresa, en tanto que la adecuada implementación de un debido cumplimiento normativo en la materia es un plus que puede contribuir a mejorar esa imagen, reforzar la lealtad del consumidor y darle una mejor experiencia con el producto adquirido o el servicio contratado.

Ayer la columna de «Capitanes» del Diario Reforma publicó una nota en que refiere lo siguiente:

«Seguramente usted ya recibió una llamada de Telefónica México, empresa dirigida por Juan Abellán, donde le informan que si es cliente de prepago o tarjetas de recarga de cualquier compañía, la mejor opción es cambiarse con ellos.

Y eso no tiene nada de raro ahora que todos se promocionan por teléfono, pero usted debería cuestionarse quién les pasó su número de celular.

Si se anima a preguntarles, los del centro de atención de Telefónica le dirán que lo obtuvieron a través de la Comisión Federal de Telecomunicaciones (Cofetel), que preside Mony de Swaan.

El problema es que, hasta donde se sabe, la Cofetel no tiene números telefónicos de cada usuario y, de acuerdo con la Ley Federal de Datos Personales en Protección de los Particulares, no se pueden usar sus datos sin su autorización.

Juzgue usted.»

Efectivamente llama poderosamente la atención cómo es que cualquier empresa podría contar en el 2013 con la una base de datos así, considerando que hace un año que la Secretaría de Gobernación destruyó la base de datos del Registro de Usuarios de Telefonía Móvil que estuvo en operación entre 2010 2012, acción que fue supervisada por el propio IFAI, organismo garante de la protección a los datos personales en México.

También llama la atención que se le atribuya la proveeduría de los datos de usuarios de estos servicios a la COFETEL, pues aun asumiendo que el origen de los mismos hubiera sido el extinto RENAUT, éste estuvo a cargo de la Secretaría de Gobernación, no del regulador de telecomunicaciones.

Adicionalmente es de considerarse que entre las responsabilidades administrativas a cargo de los servidores públicos federales de este país se encuentra la del debido resguardo de la información a su cargo, y que la Ley Federal para la Transparencia y Acceso a la Información Pública Gubernamental prevé como confidenciales los datos personales contenidos en los sistemas de tratamiento de los sujetos obligados al cumplimiento de ésta última, por lo que la posibilidad de una filtración de dicha base de datos sería algo sumamente delicado.

Finalmente, y considerando la reacción a la nota igualmente difundida por aquél rotativo a principios de junio sobre la disponibilidad en el mercado negro de bases de datos de bancos e incluso del propio Registro Federal de Electores, cabría la pregunta sobre la postura de la autoridad ante la publicación de una nota como la que se cita, dado que el IFAI puede también actuar de oficio.

La conclusión en ambos casos es la misma: antes de decidir implementar una acción o medida es preciso considerar si más allá del beneficio económico ello realmente abonará a la imagen de la empresa o satisfacción del público y los clientes o consumidores, y hoy día es preciso incluir a la protección de datos personales entre los factores para esa toma de decisiones.

Capitanes REFORMA 18072013

Taller sobre cumplimiento normativo de protección de datos personales

18 julio, 2013
Privacy/Protección de Datos
Deja un comentario

 

El próximo jueves 25 de julio impartiré un taller de 4 horas sobre la implementación del cumplimiento normativo normativo de protección de datos personales en posesión de particulares.

Expondré los fundamentos y aspectos prácticos de dicho cumplimiento normativo, cubriendo la redacción de avisos de privacidad, políticas de privacidad y relación de medidas de seguridad. Asimismo abordaré los elementos relevantes de las sanciones impuestas a la fecha por el IFAI.

Los participantes inscritos por referencia del suscrito gozarán de un descuento del 10% en su cuota de inscripción.

Confío en que será del interés de Uds. y les resultará de utilidad.

 

Taller Jul252013

Inicia la Vigencia de la «Ley Anti-Lavado»… sin Reglamento

17 julio, 2013
Privacy/Protección de Datos, Regulación Bancaria/Financiera
Deja un comentario

No hay plazo que no se cumpla, ni fecha que no llegue. Hace un mes publiqué una entrada sobre la proximidad de la entrada en vigor de la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita o «Ley Anti-Lavado», misma que entró en vigor el día de hoy, y cuyo Reglamento debería ser expedido por el Ejecutivo Federal dentro de 30 días, conforme a su artículo Segundo Transitorio.

Aun cuando el párrafo segundo del Artículo Cuarto Transitorio de la Ley prevé que la presentación de los Avisos que deberán realizar quienes lleven a cabo Actividades Vulnerables será por primera vez hasta que el muy esperado Reglamento haya entrado en vigor, la falta del mismo deja a los sujetos obligados al cumplimiento de la Ley en espera de las medidas simplificadas para el cumplimiento de las demás obligaciones de conocimiento del cliente a cargo de quienes realicen Actividades Vulnerables, así como para el establecimiento de las Entidades Colegiadas por conducto de las cuales sus miembros podrán dar cumplimiento a sus obligaciones de presentación de avisos.

En la práctica de cumplimiento normativo nos encontraremos con una situación como la vivida con la Ley Federal de Protección de Datos Personales en Posesión de Particulares, que no obstante haber previsto un plazo de 12 meses para la expedición de su Reglamento no lo tuvo sino hasta 6 meses y medio más tarde. Hoy día una búsqueda en el «buscador de regulaciones» de la Comisión Federal de Mejora Regulatoria no arroja resultado alguno al respecto.

También será interesante ver de qué manera aterriza toda esa información en la práctica, considerando la reciente resolución del IFAI sobre la publicidad de los procedimientos de imposición de sanciones con motivo de violaciones en controles de lavado de dinero impuestas por la CNBV. Desde esa perspectiva, la omisión o deficiencia en el cumplimiento de tales obligaciones podría significar un mayor riesgo reputacional que una deficiente protección de datos personales, materia que se interesecta con la prevención de operaciones con recursos de procedencia ilícita.

Protección de Datos y (mal) Marketing

17 julio, 2013
Privacy/Protección de Datos
Deja un comentario

El público en general podría tener opiniones fuertes sobre ciertas prácticas de algunas empresas farmacéuticas, y Genomma Labs no es la excepción. Llama poderosamente la atención que en noticieros aparezcan cápsulas en que una comunicadora «informa» al público de los «Peligros de la Desidia» y proporciona «información que cura» justo antes del anuncio del producto que debería prevenir aquello de lo que la comunicadora advierte, práctica que por un momento tuvo respuesta en la campaña «Dr. Televisión«.

Hoy día Genomma Labs difundió en la prensa el nombre de una consumidora con motivo de la acción que habría ejercido ante la Procuraduría General del Consumidor. En la prensa del día de hoy y en su página de internet Genomma Labs publicó un «comunicado» en el que hace lo que la propia PROFECO no hizo, y que ni ésta ni el laboratorio deberían hacer: exhibió a la Sra. Denisse Peralta Salazar con motivo de la queja que derivó en una multa de $2’000,000.00 por publicidad engañosa, y añadiendo insulto al daño le «agradecen su queja, puesto que son éste tipo de opiniones las que les permiten mejorar aún más su calidad».

En la imagen de la inserción pagada de la nota se indica como responsable de la misma a Manuel Cruz García, pero dado que valdría la pena revisar esta situación también desde la perspectiva de la protección de datos personales se debe considerar que en el Aviso de Privacidad publicado por esa empresa el Responsable del Tratamiento de Datos Personales es Genomma Lab Internacional, S.A.B. de C.V.

Por principio, sería poco probable que Genomma Lab hubiera obtenido los datos personales de este Titular de manera personal o incluso directa, ya que no vende sus productos directamente al público, sino que los expende a través de diversos canales como supermercados, farmacias, y tiendas minoristas, quienes serían los primeros Responsables de los datos de la compradora que los hubiera adquirido.

Lo más probable es que Genomma Labs no haya tenido conocimiento de la identidad de la consumidora quejosa sino hasta que ésta ejerció, por los motivos que fueran, las acciones que tuvo expeditas conforme a la Ley Federal de Protección al Consumidor con fundamento en su artículo 32 y siguientes, así como 99 de dicho ordenamiento, toda vez que el último artículo referido requiere que el nombre del reclamante sea señalado en la queja escrita, electrónica, telefónica u oral que formule.

Ahora bien, al igual que los demás Sujetos Obligados a la observancia y cumplimiento de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, la PROFECO está obligada a mantener como información reservada la derivada de un procedimiento administrativo como éste, en tanto no hayan causado estado. Pero adicionalmente debió haber conservado los datos personales de la quejosa como confidenciales también con fundamento en esa Ley. De hecho los datos de tal naturaleza permancen como confidenciales aun cuando las resoluciones de estos procedimientos han causado estado, de forma tal que para dar a conocerlas  la autoridad suprime los datos pesonales del texto difundido.

La categorización más lógica del caso es que Genomma Labs habría obtenido los datos personales de la quejosa de manera indirecta; esto fue por el traslado de la queja que la PROFECO le entregó a fin de que se apersonara en el procedimiento. Eso naturalmente autorizaba a esa Responsable a tratar esos datos personales con motivo del procedimiento administrativo, pero no para otras finalidades.

Incluso cabría la duda sobre si la quejosa tuvo siquiera a la vista el aviso de privacidad de Genomma Labs. En términos del artículo 29, fracción I, del Reglamento de la LFPDPPP, cuando los datos personales sean obtenidos de manera indirecta del titular, el responsable deberá observar lo siguiente para la puesta a disposición del aviso de privacidad: «Cuando los datos personales sean tratados para una finalidad prevista en una transferencia consentida o se hayan obtenido de una fuente de acceso público, el aviso de privacidad se deberá dar a conocer en el primer contacto que se tenga con el titular.»

En el contexto del caso concreto, Genomma Labs habría obtenido los datos personales de la quejosa por una transferencia consentida: el traslado que PROFECO le corrió de la queja formulada por ésta última. Para estar en condiciones de proceder a publicarlo como ha hecho, debió haber puesto su aviso de privacidad a disposición de la Titular quejosa previo a la publicación del día de hoy en medios digitales y de la fecha que hubiera sido en su página de Internet.

Más aun, incluso ese aviso de privacidad (cuya conformidad con la LFPDPPP, su Reglamento y los Lineamientos del Aviso de Privacidad resultaría dudosa incluso tras una primera lectura) no prevé qué datos serán materia de tratamiento, ni prevé entre las finalidades del mismo la difusión pública de tales datos. Las finalidades listadas en él son:

  1. Seguimiento y evaluación de la prestación de bienes y/o servicios que nos son suministrados y contactar a los proveedores de dichos servicios;
  2. Cotización de bienes y/o servicios cuyo suministro solicitamos;
  3. Atención de dudas y sugerencias;
  4. Pago y cobro de contraprestaciones y facturación;
  5. Análisis y elaboración de estadísticas o reportes;
  6. Elaboración de contratos derivados de la relación comercial;
  7. Evaluación para determinar si será posible establecer una relación comercial; (viii) comercialización de productos de Genomma; y
  8. Dar cumplimiento a obligaciones contraídas con nuestros clientes.

Éste caso ejemplifica claramente algo que el IFAI ha planteado desde la entrada en vigor de la LFPDPPP; el marco legal de privacidad en México no debe ser visto como un obstáculo para los negocios, sino como un extra que ofrecerle al cliente, paciente o consumidor. Un cumplimiento normativo implementado adecuadamente genera confianza en el Responsable. Por el contrario, acciones como ésta generarían desconfianza entre los consumidores e impactarían negativamente sobre las marcas e imagen del Responsable.

photo(Genomma)

Aviso Privacidad Genomma Labs 17072013

Economía modifica los Parámetros para los esquemas de autorregulación referidos por el artículo 44 de la Ley Federal de Protección de Datos Personales

16 julio, 2013
Privacy/Protección de Datos
Deja un comentario

La Secretaría de Economía llevó a cabo una publicación de gran importancia práctica para la materia de protección de datos personales el pasado 17 de enero de 2013; en la misma ocasión en que publicó los Lineamientos del Aviso de Privacidad previstos en el artículo 43, fracción III, de la LFPDPPP, que sustituyen a la Guía «Recorta, Pega y Colorea» para elaborar el Aviso de Privacidad, y también publicó los parámetros para los esquemas de autorregulación también previstos en la fracción IV del propio artículo.

En consonancia con el dispositivo citado, el artículo 44 de la LFPDPPP prevé la posibilidad de que personas físicas o morales convengan entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulación vinculante en la materia, que complementen a la propia Ley. Dichos esquemas de autorregulación pueden resultar en códigos deontológicos o de buena práctica profesional, sellos de confianza u otros mecanismos, conteniendo reglas o estándares específicos que permitan armonizar los tratamientos de datos efectuados por los adheridos y facilitar el ejercicio de los derechos de los titulares.

Tales esquemas representarán un importante apoyo para la titánica labor que tiene el IFAI en cuanto a procurar el cumplimiento de la LFPDPPP y su reglamento, así como para los adherentes a estos esquemas, quienes podrían gozar del beneficio de la atenuación de sanciones en caso de haber cometido una infracción a dicha Ley, pero contar con el sello de confianza correspondiente.

Ahora bien, para alcanzar dicha certificación y/o sello de confianza tales adherentes deberían haber sido auditados por una entidad certificadora, y la primera publicación citada limitaba en la redacción de su Parámetro Vigésimo Sexto, fracción I, la posibilidad desolicitar ante el IFAI la autorización para fungir como entidad de acreditación a aquéllas personas morales constituidas como ACs, impidiendo a otras personas morales coadyuven con dicho Instituto en la implementación y operación del esquema de certificación.

La publicación del día de hoy corrige eso, abriendo a toda persona moral la posibilidad de solicitar su registro como entidad certificadora; un gran atino y una corrección a tiempo.

 

IFAI Publica un Nuevo Aviso de Privacidad… y un Criterio.

11 julio, 2013
Privacy/Protección de Datos
Deja un comentario

Imagen

El espectro de aplicación de la Ley Federal de Protección de Datos Personales es sumamente amplio, de manera tal que impacta a un sinnúmero de Responsables, muchos de los cuales no pueden sufragar una asesoría puntual y sofisticada en la materia. Con la intención de que la propia autoridad facilite medios para que dichos Responsables cumplan con la LFPDPPP, se le facultó para proporcionar apoyo técnico para el cumplimiento de las obligaciones establecidas en esa ley a quienes se lo soliciten.

En uso de tal facultad el IFAI difundió un «Modelo de Aviso de Privacidad Corto para Video Vigilancia», difundido mediante comunicado de fecha 7 de julio del presente año. El documento abona a zanjar una discusión existente desde la promulgación de la Ley; aquélla sobre la necesidad de contar con más de un Aviso de Privacidad, en atención al Principio de Finalidad que informa a la LFPDPPP. Dado que la video vigilancia (V-V) es una Finalidad en sí misma y distinta de otras que el Responsable lleve a cabo, y que por ella se da Tratamiento a Datos Personales es preciso contar con el correspondiente Aviso de Privacidad. Diversos edificios corporativos en la Ciudad de México ya lo tienen, en distintos formatos; otros muchos no.

Lo interesante del caso es que en el documento respectivo el IFAI expuso la consideración, y consecuentemente el criterio respectivo, en el sentido de sugerir a los Responsables el uso del Aviso de Privacidad Corto previsto en la fracción III del Decimoctavo de los Lineamientos del Aviso de Privacidad que la Secretaría de Economía publicó el 17 de enero del presente año, y que también ya había sido referido en el artículo  28 del Reglamento en los siguientes términos:

El responsable podrá poner a disposición del titular el aviso de privacidad en términos del artículo anterior, cuando obtenga los datos personales por medios impresos, siempre que el espacio utilizado para la obtención de los datos personales sea mínimo y limitado, de forma tal que los datos personales obtenidos también sean mínimos.

Es decir, la redacción del Reglamento contiene una condicionante importante, tal que su interpretación debería resultar en que el uso del Aviso de Privacidad Corto sólo sea posible en los casos en que los datos son captados por medios impresos, idea que se refuerza considerando el texto de la fracción III del Decimonoveno de los citados Lineamientos:

Cuando el espacio utilizado para la obtención de los datos personales sea mínimo y limitado, de forma tal que los datos personales recabados o el espacio para la difusión o reproducción del aviso de privacidad también lo sean, se podrá utilizar la modalidad de aviso de privacidad corto.

Es interesante observar cómo el IFAI considera (vid. página 6) que por lo limitado de los datos que las cámaras captan y que el espacio físico para dar a conocer el aviso de privacidad es un espacio más bien restringido, la modalidad del Aviso de Privacidad adecuada para estas finalidades es el Aviso de Privacidad Corto, sin perjuicio de que también se ponga a disposición de los Titulares el correlativo Aviso de Privacidad Integral.

Los modelos propuestos por el IFAI son sumamente gráficos, y hacen evidente incluso de manera gráfia la utilización de cámaras de circuito cerrado. Sin duda contribuyen a ofrecer mayor claridad a los Titulares a cuyas imágenes se dé Tratamiento, pero por otra parte el criterio que expande el uso de la modalidad de Aviso de Privacidad Corto más allá de los medios impresos hasta el video motivará controversias prácticas y de iure en el futuro cercano.

Imagen

Protección de Datos en Franquicias

10 julio, 2013
IP/Propiedad Intelectual, Privacy/Protección de Datos
Deja un comentario

El modelo de franquicias se ha difundido a lo largo y ancho de México desde finales de los 80s y ha sido bastante exitoso. Datos de la Asociación Mexicana de Franquicias indican que al 2012 habían 1,300 franquicias, de las cuales 500 estaban realmente activas, facturando unos $85,000 MDP anuales, empleando directamente a más de 700,000 personas.

La distribución de esas 500 franquicias muestra una agran atomización, ya que en el 85% de los casos no les fue posible definir el número de unidades por franquicia. Ese universo de franquicias se distribuía en sectores de alimentos y bebidas, comercio y servicio especializados, tecnología y comunicaciones, cuidado personal, salud y bienestar, servicio automotriz, educación y capacitación, entretenimiento y recreación, servicios financieros, casas de empeño, etc. Todos ellos sectores que llevan a cabo el Tratamiento de Datos Personales en términos de la ley de la materia.

La pregunta práctica en las mentes tanto de franquiciatarios como de Titulares de Datos Personales es ¿a quién le corresponde establecer el cumplimiento normativo en materia de datos personales para cada franquicia? El hecho indudable es que cada franquiciatario, ya sea persona física o moral, sería el Responsable del Tratamiento de los Datos Personales de aquellos Titulares a quienes provea los bienes o preste los servicios de la propia franquicia. ¿Pero debería cada franquiciatario, por si mismo, redactar su propio Aviso de Privacidad y Políticas de Privacidad, establecer sus propias Medidas de Seguridad y capacitar por su cuenta a su personal?

La Ley de la Propiedad Industrial prevé que una franquicia consiste en el licenciamiento escrito de una marca,  y la transmisión de conocimientos técnicos o la provisión de asistencia técnica para que a quien se le concede pueda producir o vender bienes o prestar servicios de manera uniforme y con los métodos operativos, comerciales y administrativos establecidos por el titular de la marca, tendientes a mantener la calidad, prestigio e imagen de los productos o servicios a los que ésta distingue.

En tal virtud faculta al franquiciante para tener injerencia en la organización y funcionamiento del franquiciatario en la forma y medida necesaria para garantizar la observancia de los estándares de administración y de imagen de la franquicia conforme a lo establecido en el contrato de franquicia, mismo que, entre otras cosas, debe prever las políticas de inventarios, mercadotecnia y publicidad.

El Reglamento de dicho ordenamiento obliga además  al titular de la franquicia a proporcionar a los interesados diversa informacion que incluye los tipos de asistencia técnica y servicios que el franquiciante debe proporcionar al franquiciatario, y las obligaciones del franquiciatario respecto de la información de tipo confidencial que le proporcione el franquiciante.

Ahora bien, la Ley Federal de Protección de Datos Personales prevé como excepción al Principio del Consentimiento en Transferencias de Datos Personales la posibilidad de que la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas.

El punto fino a ese respecto sería si la estructura de franquicia correspondería a una de las formas reconocidas por el derecho mexicano como aquéllas que confieren control de una persona sobre otra, o bien que establecen la afiliación entre personas morales.

Un punto adicional es el hecho que el Reglamento de la LFPDPPP y los Lineamientos del Aviso de Privacidad prevén que entre los elementos para la observancia de los Principios de Información, Finalidad y Lealtad en su caso se deberá incluir entre las Finalidades del Tratamiento en el Aviso de Privacidad las relativas al Tratamiento para fines mercadotécnicos, publicitarios o de prospección comercial que lleve a cabo el Responsable, aspectos sobre los cuales se expuso el franquiciante puede tener injerencia conforme a la Ley de la Propiedad Industrial.

Por tanto el hecho es que la uniformidad facilitada por el franquiciante en la implementación del cumplimiento normativo en materia de protección de Datos Personales entre los franquiciatarios de una misma franquicia ofrecería a estos mayores facilidades y ventajas, asegurando además la mejoría de la imagen de la propia franquica al evitar asimetrías entre el Tratamiento realizado por cada franquiciatario individual, fomentando con ello la confianza de sus clientes o consumidores.

Reclaim Your Name

2 julio, 2013
Privacy/Protección de Datos
Deja un comentario

México es un país libre, y como tal permite la expresión de todo tipo de opiniones. La Ley Federal de Protección de Datos Personales, tema muy en boga por el reciente inicio de su aplicación, no podría ser la excepción. Puede tenerse la opinión que se guste al respecto, pero el hecho es que a cambio de tan sólo tener 3 años con legislación sobre protección de datos personales, en tanto que en Europa se ha tenido por décadas, en México tenemos una moderna y de vanguardia.

Un parangón importante es el que se podría hacer con la legislación estadounidense, en donde no se tiene una sola Ley Federal para la materia, sino un modelo atomizado de regulación sobre «privacy». Por ejemplo, la confidencialidad de los expedientes médicos es regulada por el Health Insurance Portability and Accountability Act of 1996 (HIPAA), mientras que la de los expedientes académicos lo es por el Family Educational Rights and Privacy Act (FERPA), y las medidas que deben ser adoptadas por quienes capten datos personales de menores de 13 años a través de Internet están contenidas en el Children’s Online Privacy Protection Act, amén de muchas otras disposiciones federals y estatales.

En aquél país primero tuvo que haber un caso llevado ante la Suprema Corte de los EE.UU.A. por AT&T,  para aclarar que las personas morales no podían gozar del derecho a la privacidad en el marco de su Freedom of Information Act (FOIA), en tanto que en México la diferencia siempre fue clara en la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, y más en la Ley Federal de Protección de Datos Personales, en la cual la materia de su protección se circunsccribe, por definición, a los de las personas físicas.

Apenas en 2011, a casi un año de la entrada en vigor de la éste último ordenamiento, los EE.UU.A. apenas tenían en ciernes una iniciativa para que el público pudiera oponerse a que su navegación en Internet fuera seguida sin su conocimiento y consentimiento (Do Not Track Online Act of 2011), en tanto que el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de Particulares obliga a quienes hagan uso de cookies, web beacons u otras tecnologías de rastreo en sus páginas de Internet a explicitarlo en sus avisos de privicacidad, con indicacioines sobre cómo desactivarlas. 

La Constitución Política de los Estados Unidos Mexicanos reconoce desde la reforma de 2009 a su artículo 16 los derechos de Acceso, Rectificación, Cancelación y Oposición previstos en los Lineamientos sobre Privacidad de la OECD. Sin embargo, más recientemente y como corolario a las revelaciones de rastreo a las personas por agencias de seguridad de países del G8, el L.A. Times y el New York Times publicaron la semana pasada y ayer, respectivamente, sobre la mayor de las obviedades en la «Web 2.0»: los sitios de Internet, y a veces las tiendas físicas, que visitan los rastrean a través de sus navegadores, computadoras y/o dispositivos móviles.

Los comentarios en estas notas llaman poderosamente la atención, más a partir del paradigma de la protección de datos en México ahora que el IFAI ha impuesto multas millonarias a diversos responsables:

“Reclaim Your Name would empower the consumer to find out how brokers are collecting and using data; give her access to information that data brokers have amassed about her; allow her to opt-out if she learns a data broker is selling her information for marketing purposes and provide her the opportunity to correct errors in information used for substantive decisions – like credit, insurance, employment, and other benefits,” Ms. Brill said in a speech on Wednesday morning at the Computers, Freedom and Privacy Conference in Washington.

Most Americans emit a stream of personal digital exhaust — what they search for, what they buy, who they communicate with, where they are — that is captured and exploited in a largely unregulated fashion. The information can be used by identity thieves, insurance companies, prospective employers or opponents in a civil lawsuit.

Puede pensarse lo que se quiera de la protección de datos en México, pero mantengo la opinión que expresé en una de mis primeras conferencias sobre la materia: lo que en México tenemos en contra por la demora de una década en la promulgación de nuestra Ley de Protección de Datos Personales, lo tenemos tamibén a favor por tener una ley moderna y vanguardista, aun cuando sea perfectible y su Reglamento presente temas de legalidad importantes.

 

El Costo del Ejercicio de los Derechos ARCO

27 junio, 2013
Privacy/Protección de Datos
Deja un comentario

La Ley Federal de Protección de Datos personales representa un gran avance, pero todo avance tiene un costo. En una entrada anterior (Conciliaciones ante el IFAI) cité la Primera Versión de la Manifestación de Impacto Regulatorio (con antecedente de rechazo) en la etapa de comentarios públicos al proyecto del Reglamento de la Ley Federal de Protección de Datos Personales, donde la COFEMER citó las perspectivas divergentes del IFAI y la American Chamber sobre los costos en que los Responsables podrían incurrir con motivo de la implementación de su cumplimiento normativo en la materia (vid. pp. 17-18 del documento).

En vista de lo anterior, ¿sería legítimo que los Responsables cobraran por la atención de solicitudes para el ejercicio de Derechos ARCO? Es decir, ¿podría ello volverse incluso un mecanismo recaudatorio, tal que lo que aparentmente sería un costo pudiera rendir ingresos?

Consideren, por ejemplo, el comunicado conjunto de COFETEL, PROFECO y el propio IFAI respecto del cobro mensual que TELMEX imponía a sus usuarios con motivo del servicio de número privado, a fin de que su número y nombre no aparecieran en directorios telefónicos ni fueran revelados a terceros por los servicios de operadora (nótese además la importante expresión del criterio sobre el hecho que un número telefónico es un dato personal protegido por la Ley), aun cuando ello constituiría una instancia de ejercico de oposición al tratamiento de los datos personales del titular de la línea.

Lo anterior es abiertamente contrario a lo previsto por el Reglamento de la Ley, conforme a cuyo Artículo 93 el ejercicio de los derechos ARCO deberá ser gratuito, y únicamente se podrá exigir al Titular el pago de los gastos de envío, reproducción o certificación, si hubiera sido solicitado, de documentos, excepto cuando el Titular formule una segunda o ulteriores solicitudes de Acceso a sus datos personales en menos de 12 meses y no hubiera habido modificaciones al Aviso de Privacidad que lo justificaran,en cuyo caso el Titular podría cobrarle hasta 3 días de Salario Mínimo General Vigente en el DF.

Léase que si el Titular solicita copia de su expediente laborar, por ejemplo, podría repercutírsele el costo del centro de copiado, o si pidiera una certificación de su nombre rectificado podría requerírsele el pago de la misma.

Lo anterior sin perjuicio de que el Responsable se valga de las estructuras con que ya contara para atención o servicio al cliente a fin de dar respuesta a las referidas solicitudes ARCO.

Venció el Plazo para tener la Relación de Medidas de Seguridad Requerida por el Reglamento de la LFPDPPP

20 junio, 2013
Privacy/Protección de Datos
Deja un comentario

Hoy día venció el úlitmo de los plazos concedidos por el marco jurídico que norma la protección de datos personales para el cumplimiento de las obligaciones previstas para los Responsables del Tratamiento de Datos Personales: la elaboración de su Relación de Medidas de Seguridad.

Recordemos que los Avisos de Privacidad y los nombramientos de los Funcionarios o Departamento a Cargo de Datos Personales por parte de los Responsables debieron haber sido publicados y hechos, respectivamente, para el 6 de julio del 2011 (a pesar de no haberse expedido para esa fecha el Reglamento de la Ley), y que los medios para el ejercicio de derechos ARCO tendrían que haber estado disponibles para los Titulares de Datos Personales el 6 de enero del 2012.

El artículo 19 de la LFPDPPP prevé que todo Responsable del Tratamiento de Datos Personales tiene obligación de establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales a los que dé tratamiento contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado (eventos que, de acuerdo conal artículo 63 del Reglamento aplicable constituyen vulneraciones generalmente notificables a los Titulares de los Datos Personales tratados).

A la postre las referidas medidas de seguridad deben actualizarse según manda el artículo 62 del propio Reglamento, lo cual reitera el hecho que la instrumentación del cumplimiento normativo de protección de datos personales no es un proyecto que se agote con la publicación de un aviso de privacidad, sino un proceso continuo y cambiante.

Dichas medidas de seguridad deben constar, de acuerdo con lo previsto en el último párrafo del artículo 61 del Reglamento de la Ley, en una relación de las mismas, para cuya elaboración se gozó, conforme al artículo Cuarto Transitorio del citado Reglamento, de un plazo de 18 meses contados a partir del mismo, y que feneció el día de hoy.

Compliance Report

Xavier Ribas

Derecho de las TIC y Compliance

Marcus Kazmierczak

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace

Cedric's Privacy Blog

Blog de la Asociación Mexicana de Restaurantes