Card&Phone - CopyThe position of the United States at the vanguard of fields such as finance and technology may lend itself to create the impression that its legal framework is as progressive as its companies in those lines of business. However that’s not always the case; following are three instances where Mexico actually moved ahead of the USA, regulation-wise:

  • Mexico created an agency mandated to protect users of financial services in instances where their purveyors of financial services were not compliant with the law.

Following the financial meltdown nearly 20 years ago interest rates for financial products, whether credit cards, car loans or mortgages, skyrocketed in Mexico; people were unable to comply with their financial commitments and lost their homes, had their cars repossessed or their assets garnished. Of course this prompted widespread protests, and many politicians reaped dividends by demonizing financial institutions, but the national conversation on those issues brought about the creation of an “Ombudsman” in the financial services industry: the National Commission for the Protection and Defense of Users of Financial Services (CONDUSEF as per its acronym in Spanish).

This agency has faced many challenges, and still does; mainly its “teeth” are not sharp enough, its last three Chairs have steered it more towards facilitating financial education and information to the public. For instance, it recently instituted a Financial Institution Rating Website, where users can check for information on how the banks to which they would apply for credit rate relative to each other compliance-wise, sort of in the same way those institutions can assess applicants based on their credit rating.

Apparently such legislative developments are only brought about by widespread financial turmoil: conversely the United Stated created its financial services Ombudsman, the Bureau of Consumer Financial Protection (CFPB) after the Dodd–Frank Wall Street Reform and Consumer Protection Act was passed in 2010, and began working until 2011 following heated debates over President Obama’s proposal to appoint Harvard Law Professor Elizabeth Warren, who first proposed one such agency, to Chair it.

In sum, Mexico has been over a decade ahead of the United States as concerns the enforcement of financial regulations relative to the public.

  • Banks in Mexico are obligated to issue credit cards which are safer than those issues by banks in the USA. Bank cards the world over are made following ISO 7810 and ISO 7813 standards; that’s how come it’s possible for your card to be swiped at point-of-sale terminals and work in ATMs the world over. Those standards cover aspects such as toxicity of materials, flammability, stiffness (how much the card should bend), how characters (your name, the issuer’s identification number) are embossed onto it, their magnetic stripes, integrated circuits and the track data in them, etc.

Disclosures on data breaches at large retailers such as Target, last year, and more recently The Home Depot, have put credit card and point-of-sale terminal technology on the spotlight. In addition to apparent negligence in implementing security controls, one rather large issue is also the common denominator: that bank cards issued by banks in the United States still rely on magnetic stripes for the storage of data that authenticates the transaction, and that is easily copied or stolen by thieves or hackers. As WIRED Magazine explains in a recent piece:

The fatal problem with the credit card magstripe is that it’s only a container for unchanging, static data. And if static data is compromised anywhere in the processing chain, it can be passed around, copied, bought and sold at will.

Now, after resisting it for 10 years because of the formidable transition costs, the US is about to finally embrace the secure chip-based authentication system called EMV—the standard was pioneered by Europay, MasterCard, and Visa—that the rest of the world has already adopted. Pushed by mounting fraud costs, credit card companies have crafted incentives for merchants to switch to the sophisticated readers needed to accept the cards.

While the New York Times piece in the link above on the Target breach underscores that “The new debit and credit card technology, called chip and PIN, is widely used in Europe and considered to be far more secure than most cards used in the United States, which rely on magnetic strips,” it should be noted that Mexico’s National Banking and Securities Commission has steered banks towards substituting magnetic stripe with integrated circuits for over 4.8 years now: as per its General Provisions Applicable to Credit Institutions that approve transactions made without the use of integrated circuits, whether in ATMS or point-of-sale terminals are bound to agree with their Users (in their respective service agreements) that they (the banks) shall undertake the risks, and therefore the costs, of transactions disavowed by said Users when using such cards, and that the claims from such transactions shall be credited to those Users, at the latest, 48 hours after the filing of the respective claim.

The flip side is that the banks are allowed by regulation to regard the information in such integrated circuits as a Category-3 Authentication Factor for transactions made through ATMs and POS terminals, which obtain the cards’ information through such circuits; that is to say, transactions which require for the card with the circuit to have been present in the moment of the transaction. At that point one could assume that the situation would be no different from one in which a card with a magstripe were involved; however the key here is that information in the circuits is not static and is encrypted, so that even if it had been copied during one transaction it still could not be used for others afterwards.

So to that regard Mexico will have been a good 5 years ahead of the United States in credit card security by the time the US transitions from magstripe cards to cards with integrated circuits.

  • Mexico passed regulations making unlocking of mobile phones legal before the USA did.

For years now mobile carriers have entrenched themselves by offering handsets which price is bundled with the fee for their service plans; but once the mandatory term for the plan is over the user is faced with the choice between continuing to cope with her former carrier, usually upgrading to a newer (and hopefully) better handset (which Apple facilitates a lot by releasing a new iPhone every year and a half or so), or moving onto another carrier and having to procure another handset from it, as the old one would only work in the network of the previous carrier. That is evidently a pain and unfair to consumers; after all, one the term for the plan is over and done, the handset has been paid for (often in excess), so the user ought to be able to keep using it, even with a competitor of the carrier.

For sure “jailbeaking” has been possible for awhile now, and even ruled by the Copyright Office of the United States to be an exception to the Digital Millennium Copyright Act (the DMCA). but it is not without risk, as it may impair you from access to essential updates or applications, and removing the protections originally put in place by the developer can put the device and information contained in it at significant risk. However unlocking your device is an entirely different proposition.

Acknowledging a basic right of consumers, Mexico’s Ministry of Economy passed on August 28th, 2012, Mexican Official Norm NOM-184-SCFI-2012, an administrative regulation whereby carriers are under obligation to inform if the handset provided to the consumer is blocked to only be used in its network, and how it can be unlocked, at no additional cost, to be used on other networks once the consumer has acquired title to the handset, whether for the mandatory term of the service agreement having lapsed or having paid for it in full. For sure, as in many other instances, at the outset and notwithstanding there were hurdles to overcome in getting a device unlocked, such as alleged ignorance or misinformation at service centers.

Conversely, it wasn’t until after a long time of public comment and the EFF’s activism that this year President Obama signed into law the “Unlocking Consumer Choice and Wireless Competition Act“, which affords users the right to have their handsets unlocked to be further used on another carrier’s network.

Overall, at least in these three items Mexico moved way ahead of the United States.


applewatch - CopyTuesday September 9th was the day that follower of Apple’s hoopla looked forward to, as the company from Cupertino had, as customary, gotten folks the world over hooked on its ballyhoo (performance and release of album by U2 included) over the iPhone 6 and its wearable device, which everybody expected would be named as “iWatch”, following the branding convention set since the iMac, the first iPhone, the iPod (which will now be laid to rest -apparently Apple finally conceded that its devices were overlapping-), the iPad, and the service platform attached to them, such as the desecrated (since the “#CelebGate”) iCloud and even the “iForgot” password retrieval feature.

However this wearable device, the thing of science fiction less than 30 years ago (when the Dick Tracy film was released), did not follow that branding convention. The New York Times ran a piece on it today, and so did I over a year ago. It essentially boils down to a matter of intellectual property, more specifically of trademark prosecution: the Times reports that since Apple was about to launch its TV product and Steve Jobs hinted it might be called “iTV”, the British broadcaster ITV PLC would oppose it. Apparently now Swatch followed suit and took preemptive measures with the trademark offices of the world to make it known that Apple’s attempts to brand this device as an “iWatch” could lead to confusion relative to their iSwatch product (registered with Mexico’s Trademark Office “IMPI” -you can look them up through their MARCANET service-) for products under NCL 14 (clocks and watches), 35 (advertising and retail sales thereof) as well as 37 (repair thereof),

In the case of Mexico, as noted in that post herein from July 4th, 2013 and reported by news journal Reforma, a third party filed to register iWatch in advance of Apple, and ultimately both ran into a prior registration granted in 2011 to an Italian company “I’m, SpA”, which began selling its I’m Watch in 2013. And that has not been the only case in which Apple found such obstacles to the pursuit of its naming convention; since last year the press in Mexico reported extensively on the case that mobile carriers here lost against a Mexican company that had secured the registration for “iFone” since 2002, under which resolution hefty fines were assessed against all three then-major carriers but not against Apple, as iFone, S.A. de C.V., had secured said registration for the head-class of Telecomm Services (NCL 38), but apparently not for equipment therefor (NCL 9).

In sum this case illustrates quite clearly how challenging it can be for a global company to follow and implement a branding convention the world over. For sure a company can file for “preemptive” or “defensive” registrations, but unlike domain names trade and service marks cannot be stockpiled indefinetly; both US and Mexican trademark law provide for a term of 3 years for a registered trade or service mark to be effectively used in commerce, or otherwise registrations thereof may be cancelled. It may be difficult for design and development departments to meet with that time window in getting products or services to the market.

Also it often happens that legal and marketing don’t see eye-to-eye, and that is generally a matter of mindsets. Whereas MKT would love for its brands to be the top of mind of consumers in their market niche, for legal that would mean risking the loss of registrations thereof on account of such marks becoming generic, and that would result in loss of valuable intangible assets. This day in age its essential for MKT to regard legal as an allied and an enabler, and for legal to guide MKT through the intricacies and nuances of intellectual property law in a way that affords the company’s intangible assets the best protection possible.

This video from “Magic Circle” London firm Freshfields, Bruckhaus, Deringer illustrates how and why privacy compliance is much less costly than risking a cyber-attack, and some preemptive measures against such attacks.

Steps outlined to be taken are the following:

  1.  Assess your businesses’s relevant information, where it’s at and how it is protected;
  2. Be joined (by a cross-functional committee) in managing risk;
  3. Have contractual protections, allocating and excluding liability if and where applicable, including insurance if possible;
  4. Readiness: rehearse responses.

The dire consequences of cyber-attacks have been illustrated in current affairs media by Sony’s settlement of a class action suit for the breach of its PlayStation userbase, as well as by the attack against Target, which even lead to the ousting of Board members, and more recently Home Depot’s.

You try and do the math as to which is more costly between investing in privacy compliance and having your business take its chances in an equation where the variable for the cost (financial and reputational) of a breach cannot be determined ex ante, but the laws do provide for parameters to assess fines.


logoBanorte - CopyHace 9 meses escribí en este Blog sobre la multa de $1’246,000.00 que el IFAI impuso a la Administradora de Fondos para el Retiro de Grupo Financiero Banorte con motivo del traspaso ilegal de un derechohabiente del SAR hacia dicha AFORE, práctica que lamentablemente fue y sigue siendo muy común en el mercado de tales servicios. Por alguna razón el caso motiva gran interés, pues las estadísticas muestran que ha sido la entrada más consultada aquí, pues al día de hoy ha sido leída por 973. Tal vez también se deba a que Afore XXI Banorte encabeza la estadística de reclamaciones presentadas por usuarios de afores ante la CONDUSEF, según reporta en su Buró de Entidades Financieras.

El caso se repite, pues conforme al expediente PS.0018/13 en marzo de este año dicha autoridad de protección de datos impuso a esa AFORE 2 multas por una situación similar:

  • $1’558,250.00, por recabar datos personales patrimoniales y financieros sin el consentimiento requerido, y
  • $1’246,000.00 (nuevamente), por trangredir los artículos 6, 7 y 8 de la Ley, debido a la transgresión de los principios que informan la Ley.

De acuerdo con el expediente, el caso fue originado por la denunicia de un cuenthabiente de Afore Inbursa, quien manifestó haber dado seguimiento a la omisión en la entrega de sus estados de cuenta mediante SARTEL, con lo cual descubrió que había sido transferido, sin su consentimiento o conocimiento, a Afore XXI Banorte, de quien obtuvo un estado de cuenta con información que no cumplía con el principio de calidad que informa a la Ley, y cuyo Gerente alegó que los hechos serían imputables a un “JACKER” (sic).

La responsable respondió negando el tratamiento de los datos personales del titular denunciante, pues habría recibido su solicitud por Procesar, S.A. de C.V, empresa operadora de la base de datos nacional del SAR, para el traspaso de su cuenta, lo cual conlleva la transferencia de dichos datos, habiendo sido dicha transferencia consecuencia del cumplimiento de una obligación derivada de la LFPDPPP, por lo que devendrían aplicables las excepciones al principio del consentimiento previstas en las fracciones I, IV y VII de la referida Ley. El IFAI le negó la razón al respecto exponiendo un criterio que resulta relevante en la práctica para estimar la eficacia y alcance de dichas normas:

…del (sic) articulado de la LFPDPPP y su Reglamento, en ninguna parte prevé que dicha excepción sea aplicable per se a la información transferida, es decir, que no exceptúa a la Afore receptora (Afore XXI Banorte…) de obtener el consentimiento expreso para el tratamiento de datos personales patrimoniales y financieros. Si bien es cierto que la Afore receptora… no puede negarse a tratar la información… dicho hecho no lo (sic) excluye de cumplir también con la LFPDPPP, por lo cual también tiene que observar su deber de obtener el consentimiento expreso para el tratamiento de datos personales patrimoniales y financieros… es necesario resaltar el hecho que el Responsable qu transfiere los datos personales… trata los mismos… para realizar el traspaso de la cuenta individual, mientras que la Afore receptora… evidentemente los tratará para una finalidad distinta… administrar la cuenta individual… De tal forma, el cambio de finalidad refuerza el hecho de que la presunta infractora debió obtener el consentimiento expreso del Titular… no existe ningún impedimento legal para obtener el consentimiento expreso del titular para el tratamiento de sus datos personales… por el contrario, está obligada a obtener dicho consentimiento expreso previo a su tratamiento, para que éste sea lícito.

A dicho respecto debería ser obvio el incumplimiento de lo previsto por el párrafo segundo del artículo 14 y la fracción II del artículo 29 del Reglamento de la Ley, conforme a los cuales En los casos en que los datos personales se obtengan de manera indirecta del titular y tenga lugar un cambio de las finalidades que fueron consentidas en la transferencia, el responsable deberá poner a disposición del titular el aviso de privacidad previo al aprovechamiento de los datos personales.

Consecuentemente el IFAI encontró que Afore XXI Banorte no había observado los principios de consentimiento y licitud previstos por la Ley y su Reglamento, conducta sancionable conforme al artículo 63, fracción IV, de la propia Ley.

Conviene notar que ante el alegato de dicha Afore en el sentido que el titular habría otorgado su consentimiento a través de la solicitud de traspaso en el sistema METI operado por PROCESAR, el IFAI estimó que ello no constituía una manifestación de consentimiento libre, específica e informada ni inequívoca de parte de aquél, sino “…un mero elemento de soporte y trámite para la solicitud de traspaso…”, y que “…las medidas impelmentadas en el sistema METI no pueden ser equiparadas al consentimiento…toda vez que la normativa que rige ese sistema y sus operaciones, así como la que regula la protección de datos personales… son diversas”, lo cual remite a los comentarios anteriormente hechos por el suscrito tanto en el proceso de comentarios públicos al proyecto de Regalmento como sobre aspectos de la prestación de servicios e investigación en materia de salud, respecto de la concurrencia de diversos ordenamientos en materia del consentimiento necesario para el tratamiento de sus datos personales en distintas materias, y hace necesario enfatizar que el principio de información no admite excepciones; es indispensable poner un aviso de privacidad a disposicion del titular aun a pesar de que dicho tratamiento de datos sea realizad con motivo del cumplimiento de una obligación establecida en un ordenamiento que rija a otra materia.

Precisamente por ello el IFAI destaca que “…En ningún momento ninguna de las dos personas morales mencionadas (PROCESAR y Afore XXI Banorte) manifestó que a través de dicho sistema (el Sistema METI) se comunicaba el aviso de privacidad en el cual se indicaran las finalidades del tratamiento de los datos personales, por lo cual es evidente que el consentimiento otorgado a través del sistema referido, no es un consentimiento para el tratamiento de datos personales, sino únicamente para el traspaso de la cuenta individual”. Con relación a ello no debe dejar de tomarse en cuenta que conforme los artículos 20 y 31 del Reglamento, la carga de la prueba para demostrar tanto la obtención del consentimiento como la puesta a disposición del aviso de privacidad recae, en todos los casos, en el responsable.

Analizando, para efectos de determinar la sanción, la intencionalidad de la acción u omisión constitutiva de la infracción, el IFAI encontró que Afore XXI Banorte se ubicó en las hipótesis de las fracciones IV y XIII, por transgredir los artículos indicados en la segunda viñeta de esta entrada, pues a pesar de conocer sus obligaciones en la materia transgredió esas normas.

Algo más que vale la pena destacar es que al igual que muchos otros responsables sujetos a verificación por el IFAI, Afore XXI Banorte omitió exhibir ante dicho Instituto documentación que acreditara su situación financiera actual… como si ello impidiera a dicha autoridad allegarse de elementos para determinarla, más aun en el caso de responsables cuyas actividades se enmarcan en sectores regulados y/o que cotizan en mercados bursátiles.

Igualmente destacable es la labor de la Dirección General de Sustanciación y Sanción, que recurre a todos los medios posibles para obtener la información requerida a pesar de tales omisiones, y que en este caso nuevamente (vid. caso de Telcel) accedió a la misma a través de la página Web de la responsable a ser sancionada, a través de la cual obtuvo los estados financieros de dicha Afore al 30 de septiembre de 2013, que procesalmente son documentos provenientes de dicha parte y, por lo tanto, cuyo contenido se tiene por confesado por ella y le perjudica, en donde consta un capital contable de $23,835’254,225.00 M.N.

Adicionalmente el IFAI consideró a Afore XXI Banorte como reincidente, en virtud de las resoluciones dictadas en su contra en el expdiente citado en el primer párrafo de la presente entrada, sin poder tomarlo en cuenta en el caso que se refiere en virtud de la defensa del caso que esa institución financiera lleva a cabo. Sin embargo, si consideró la infracción cometida por esa responsable como de gravedad alta, por la afectación que causó al titular al tratar sus datos personales financieros y patrimoniales sin su consentimiento, y a la omisión en observar los principios de licitud y consentimiento como de gravedad media.

Algo del caso que llama poderosamente la atención es la referencia en la denuncia del titular afectado en el sentido que, a decir del personal de Afore Inbursa, “…el personal de correos tiene vínculos con personal de otras afores y estos les están entregando los estados de cuenta para jalar a las personas que les conviene monetariamente hablando.” Al respecto es relevante considerar que el Capítulo II del Título Primero de la Ley del Servicio Postal Mexicano, relativo a la Inviolabilidad y Sigilo, prevé que la correspondencia estará libre de todo registro y no deberá ser violada, prihibiendo a quienes intervengan en la prestación del servicio de correos y de los servicios diversos, proporcionar informes acerca de las personas que los utilizan, salvo por aquellos casos en que se acaten órdenes judiciales o del Ministerio Público, al rendir datos estadísticos requeridos por las leyes o en otros casos previstos legislativamente.

Además, el Título Quinto, Capítulo II, del Código Penal Federal prevé como pena jornadas en favor de la comunidad para quien(es) abran indebidamente una comunicación escrita que no esté dirigida a ellos y a quien(es) indebidamente intercepten una comunicación escrita que no esté dirigida a ellos, aunque la conserven cerrada y no se impongan de su contenido. Y también debe atenderse al hecho que conforme a la antedicha Ley del Servicio Postal Mexicano, la recepción, transportación y entrega de la correspondencia, está a cargo del Gobierno Federal, de manera que los empleados de su organismo descentralizado denominado Servicio Postal Mexicano son servidores públicos, de acuerdo con el Título Cuarto de la Constitución, la Ley Orgánica de la Administración Pública Federal y la Ley Federal de Entidades Paraestatales, de tal forma que aquellos que hubieran incurrido en las conductas descritas en la narración contenida en la relatoría contenida en la denuncia que motivó el expediente analizado no sólo podrían haber incurrido en violación de correspondencia, sino en alguno de los tipos previstos en el Título Décimo del Código Penal Federal, además de la responsabilidad administrativa prevista en la Ley de la materia.

Sin embargo, y a pesar de la atención mediática que atrae la actividad del IFAI tanto en materia de transparencia y acceso a la información pública como de protección de datos, no parece que las demás autoridades estén al pendiente ni le den seguimiento a ésta última, no obstante que más de una de las denuncias presentadas ante dicho organismo autónomo refirieran hechos que pudieran haber sido materia del ejercicio de facultades por parte de la CONDUSEF, la CNBV o, como en este caso, el Ministerio Público de la Federación, ocupado como está.


En la entrada inmediata anterior de este blog fue comentada la nota periodística sobre la presunción de que la Sra. Soledad Félix sería quien aparece en uno de los pictogramas que quienes comercializan productos de tabaco están obligados a incluir en el empaquetado de sus productos, pero no habría dado su consentimiento para tal uso de su imagen. También se menciona en esa nota la intención de dicha persona en el sentido de ejercer acciones con motivo del uso no autorizado de dicha imagen por parte de las empresas tabacaleras.

Como se expone en dicha entrada, tal uso no resulta de una decisión unilateral de las mencionadas empresas, sino de un requisito regulatorio derivado de la legislación y regulación sanitarias que aplica la Secretaría de Salud. Pues hoy día fue publicado en el Diario Oficial de la Federación el “Acuerdo por el que se dan a conocer la serie de leyendas, imágenes, pictogramas, mensajes sanitarios e información que deberá figurar en todos los paquetes de productos del tabaco, y en todo empaquetado y etiquetado externo de los mismos a partir del 24 de septiembre del 2014“, que reduce a 2 el número de pictogramas cuyo uso es impuesto a las mismas, omitiendo el alusivo al infarto al miocardio que contenía la imagen presuntamente infractora.

El motivo del cambio podría ser dicho caso, aunque es un hecho que las disposiciones normativas de la materia prevén la rotación de dichos pictogramas cada 12 meses. Por el período de septiembre del año en curso a marzo del siguiente, serán sólo el relativo a mortandad de recién nacidos y EPOC (Enfermedad Pulmonar Obstructiva Crónica) los que deberán figurar en los referidos empaques y etiquetas. Mientras tanto, será muy interesante dar seguimiento al caso de la Sra. Félix, y el impacto que pueda tener en dichas obligaciones de etiquetado.


pictograma - Copysoledadfelix - CopyVan a ser 4 años desde que la regulación en materia de publicidad para productos del tabaco hizo obligatorio incluir en las cajetillas de esos productos las atroces imágenes o “pictogramas” con los que se busca desincentivar el consumo del tabajo. Pues hoy día El Financiero y La Jornada dan cuenta de que la Sra. Soledad Félix, de 72 años y residente en Ciudad Juárez, Chihuahua, cayó en cuenta de que es ella quien figura en las imagenes utilizadas para uno de tales pictorgramas, y por ese motivo ha presentado una queja ante la Comisión Estatal de los Derechos Humanos (CEDH) en Ciudad Juárez, pues la fotografía correspondiente habría sido obtenida sin su consentimiento mientras se encontraba internada en un hospital del Instituto Mexicano del Seguro Social en aquélla Ciudad, entre finales de 2009 e inicios del 2010, por causa de un infarto.

A decir de la oficina del Ombudsman chihuahuense, el hecho constituye una afectación el Derecho de Privacidad de la señora, y podrían resultar otros como discriminación y daño moral por aparecer en esa fotografía, donde se encuentra acostada en la sala de terapia intensiva (2010). Sin embargo, reconocen que el uso de los pictogramas obedece a un mandato de la Secretaría de Salud y no a una decisión propia de las tabacaleras, por lo que el asunto se circunscribe al ámbito de la Ley Federal para la Transparencia y Acceso a la Información Pública Gubernamental, y no al de la Ley Federal de Protección de Datos Personales, toda vez que la imagen está contenida en el “Acuerdo por el que se dan a conocer la serie de leyendas, imágenes, pictogramas, mensajes sanitarios e información que deberá figurar en todos los paquetes de productos del tabaco y en todo empaquetado y etiquetado externo de los mismos a partir del 24 de marzo de 2013“, mismo que contiene como “Pictograma 5 la imagen controvertida, y fundamenta el requerimiento de su uso en la Ley General de Salud, la Ley General para el Control del Tabaco y el Reglamento de esa Ley General.

Naturalmente una acción en contra de diversas empresas tabacaleras podría ser más interesante para quien se viera afectado en similares términos por el hecho propio y directo de un particular, puesto que una demanda por daño moral e infracción en materia de comercio a la Ley Federal del Derecho de Autor resultaría en una idemnización de al menos el 40% del precio de venta al público del producto original (nótese que en este caso no hay producto original), por la reparación del daño material y/o moral, así como indemnización por daños y perjuicios (art. 216 Bis) por la violación a los derechos conferidos por esa Ley, entre los cuales está incluído el derecho a la propia imagen (art. 87). El tema del derecho a la imagen ya ha sido explorado anteriormente en este blog, y concluyéndose que no existe a la fecha claridad suficiente sobre las normas que deberían ser observadas para el debido tratamiento de la imagen de una persona, debido a la omisión regulatoria que prevalece en materia de propiedad intelectual, además de muchas otras, con respecto a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Tratándose de un caso motivado por hechos ocurridos en un centro hospitalario a cargo del Estado, la indemnización que en su caso llegara a resolver como procedente la autoridad jurisdiccional estaría acotada, por virtud del artículo 14, fracción II, párrafo segundo de la Ley Federal de Responsabilidad Patrimonial del Estado a 20,000 días de salarí mínimo general vigente en el D.F., y preliminarmente podría asumirse pagadera por el Instituto Mexicano del Seguro Social, en tanto operador del referido centro hospitalario y que se habría debido a omisiones o actos de personal al servicio de dicho Instituto, quienes además podrían haber incurrido en transgresiones a la Ley Federal de Responsabilidades Administrativas de los Servidores Públicos, al menos y en principio por la omisión en el cuidado de la información y datos personales de la paciente quejosa, incluyendo imagen y estado de salud (la leyenda encabezado del pictograma incluso refiere puntualmente “INFARTO AL MIOCARDIO”, motivo por el cual ella se encontraba internada en el nosocomio), de la Sra. Soledad Félix.

Es un hecho que la industria tabacalera se ha encontrado bajo ataque desde hace tiempo; incluso en los Estados Unidos de América se le ha vapuleado, a pesar de que el tabaco fue un cultivo clave en la etapa fundacional de la economía estadounidense. Hace 3 años que en Australia entró en vigor el Tobacco Plain Packaging Act, que para efectos constituyó una medida expropiatoria de la propiedad industrial de las tabacaleras, por impedirles hacer uso de sus marcas en los empaques, lo cual motivó que dichas empresas intentaran recurrir la medida ante la High Court de aquél país, aunque de manera infructusa.

Al respecto llama la atención el comentario de Leticia Félix, la hija de la Sra. Soledad, en el sentido que “la gente no se fija cuando abren las cajetillas de cigarros, porque tienen diferentes fotografías…”, y si es que el uso de los pictogramas y leyendas precautorias en las cajeitllas de cigarrillos cumplen o no su finalidad y propósito. Ante ello, vale la pena considerar la utilidad y bondad de este tipo de requerimientos regulatorios y la carga administrativa que se impone a las industrias reguladas y que pagan impuestos, respecto de otras alternativas para lograr los objetivos de salubridad pública y bienestar de la población que se persiguen con medidas como éstas.


pictograma 5 - Copypictograma2 - Copy


cctv3 - CopyPrevio a la promulgación de la Ley Federal de Telecomunicaciones, diversos medios publicaron múltiples comentarios sobre la afectación que los artículos 189 y 190 del proyecto de Decreto aprobado por el Congreso de la Unión suponen para la protección de datos consagrada en el artículo 16, párrafo segundo, de la Constitución Política de los Estados Unidos Mexicanos, sobre lo cual se comentó en este blog el 4 y 28 de julio de este año.

El tema se resume en que los artículos referidos obligan a los autorizadosy proveedores de servicios de aplicaciones y contenidos a atender todo mandamiento por escrito, fundado y motivado de la autoridad competente, referida de manera muy genérica como “instancias de seguridad y procuración de justicia”, cuyos titulares podrán designar, mediante acuerdos publicados en el Diario Oficial de la Federación, a los servidores públicos encargados de gestionar tales requerimientos que se realicen y recibir la información correspondiente a la localización geográfica, en tiempo real, de los equipos de comunicación móvil, so pena de sanción de la autoridad por desacato.

Hoy día el Reforma reporta que la Unidad de Inteligencia Financiera de la Secretaría de Hacienda y Crédito Público presentó a la Comisión Federal de Mejora Regulatoria el proyecto de Acuerdo por el que el Titular de esa Unidad designa a los Servidores Públicos que se mencionan en el mismo, para efecto de lo dispuesto en el citado artículo 189 de la #LeyTelecomm, designando como tales a los titulares de la propia Unidad de Inteligencia Financiera, y a su Dirección General de Procesos Legales.

El encabezado de prensa pareciera ser sensacionalista y amedrentar a muchos: “Rastreará SHCP a evasores por celular“. Al respecto hay que considerar si las facultades de la UIF atañen a la seguridad y procuración de justicia; naturalmente dicha Unidad lo estima así, y por ello motiva el proyecto presentado a COFEMER indicando que el artículo 15 del Reglamento Interior de la SHCP le otorga competencia para denunciar ante el Ministerio Público Federal las conductas que pudieran favorecer, prestar ayuda, auxilio o cooperación de cualquier especie para la comisión de esos delitos (art. 15, fracción XIII), por lo que se ajustaría al extremo previsto en el citado artículo 189 de la Ley Federal de Telecomunicaciones y Radiodifusión.

Al respecto debe considerarse que los tipos penales referidos en la norma del Reglamento Interior que se cita, comúnmente conocidos como “lavado de dinero”, son esencialmente accesorios; es decir, aunque son penados en sí mismos aunque sirven como medio para la comisión de otros actos previstos como delito por los artículos 139 Quáter y 400 Bis del Código Penal Federal, y de la lectura del proyecto de Acuerdo se podría interpretar que la intención del Titular de la UIF sería acotar su ejercicio de la facultad prevista en el referido artículo 189 a su actuación respecto de los mismos. Adicionalmente, la fracción XI del citado artículo del Reglamento Interior la faculta también para “coordinarse con las autoridades fiscales para la práctica de los actos de fiscalización que resulten necesarios con motivo del ejercicio de las facultades conferidas conforme al citado artículo; por lo tanto, el rastreo mediante geolocalización en tiempo real de dispositivos de telecomunicación móvil debería darse solamente en los casos en que la “evasión fiscal” hubiera sido una de las conductas punibles de las que se hubieran obtenido los recursos con los que se hubieran realizado las operaciones investigadas hubieran derivado de alguna de las conductas previstas en el artículo 400 Bis del Código Penal Federal hubieran sido producto de la comisión de alguna de las conductas previstas en los artículos 108 a 111 del Código Fiscal de la Federación.

En los meses siguientes se verá, sin duda, a muchas otras autoridades administrativas presentar ante la COFEMER sus respectivos proyectos de Acuerdo para los mismos efectos. Posiblemente ello contribuya para paliar, en la práctica y de manera fáctica, la falta de claridad y ambigüedad del multicitado artículo 189 de la Ley Federal de Telecomunicaciones y Radiodifusión, aunque no debiera ser el caso.

Por otra parte, en breve se verá si el IFAI, en su nueva integración, resuelve afianzar su papel de garanta del acceso a la información pública y protección de datos personales, pues su pleno resolverá en su sesión del día de hoy sobre el ejercicio de la acción de inconstitucional que le fue conferido por virtud de la reciente reforma constitucional publicada en el Diario Oficial de la Federación el 7 de febrero del año en curso. La discusión se escucha reñida, y sin lugar a dudas los votos de sus Comisionados aportarán indicaciones sobre sus criterios y lo que podría esperarse de su actuación en esos puestos y de la del Instituto mismo.






What could be more innocent than a baby’s picture, or more moving that one of a mother or parents holding their newborn for the first time? Perhaps for the new family and the healthcare providers, but not necessarily for every beholder. Few things can make someone more personally identifiable than a photograph, and the care of a child, even more so a newborn, goes beyond healthcare. Less than a year ago a columnist for Slate wrote a piece on the pitfalls and perils for a child’s privacy and safety that may stem from posting her across social networks (there’s abundant literature to that regard online). Parents have certainly been keen since forever in capturing the fleeting moments of childhood for endearing recollection in later years, and sharing them on networks such as Facebook, Instagram, Flickr and the like may seem like the day in age equivalent of having your guests at social gatherings look at the Kodak carrousel slides or 8mm films of yesteryear… only it’s not. Those viewings remained in the privacy and care of the venues where they were held and of the people who attended; nowadays

For sure products such as Google’s make it possible to store for posterity heaps of cherished memories that would otherwise be lost to the mists of time. But parents should also consider that the processing of data with new capabilities for its mining, facial recognition, etc, and asymmetry in privacy regulation make it hard to foretell what may become of an image or video that you may believe is cute, but that their child could regard as humiliating or offensive later in her life.

Now those involved in the miracle of birth (starting with parents) have a duty to be mindful of what they do with the personal data of the child and her family, as it is then that they are the more vulnerable. I recall that sometime about 12 or 13 years ago, when some of the first bills that were mashed up into Mexico’s current data protection law were being discussed in the Commerce Committee of the Chamber of Deputies a representative of the Secretariat of Economy, who had recently become a mother, voiced her personal concern for having received an unsolicited basket with gender-specific baby care products at her home shortly after her delivery.

The New York Times ran a piece on how the accustomed collages of baby pictures in the offices of the obstetricians and midwives who assisted in their delivery are being moved out of the sight of the public or stored with their files and charts, as their display absent a properly executed consent form drafted under the Health Information Portability and Accountability Act (HIPAA), cutting against an age-old practice for a line of work that’s largely built on word of mouth, but founded on trust. As per that piece, heaps of baby pictures that used to go on walls are now filed with patient charts in times when “selfies” in the most varied of contexts are commonplace.

Mexico has yet to harmonize the statutes and regulations that intersect with its novel privacy law, but it’s a fact that pictures also constitute personal data covered under the Federal Law for the Protection of Personal Data in Possession of Private Parties and Regulations thereto. There’s an entry in this blog where I go over the issues for legal interpretation and practice in dealing with images that stem out of this; in the particular case of celebratory baby pictures in the context of the privacy of health information and records, the Mexican Official Norm 004-SSA3-2012  only has one provision referring to the publication of photographs in health records that make it possible for the patient to be identified, limiting it to medical literature, teaching or research, stating that written consent from the patient shall be required, and that necessary measures shall be taken so that said patient may not be identified, which must be written into informed consent notices for the purpose of providing health services, but which anonymization would undermine the whole purpose of baby or delivery pictures displayed as the newspiece from the Times refers.

Therefore, and until health authorities in Mexico undertake and conclude the aforesaid work of harmonizing privacy laws and issue express criteria on such matters, it could be assumed that pictures taken by the parents, or by health care providers at their request, to commemorate the birth of their children might not be regarded as materials comprised with the definition of “Health Record” under said Norm, as they are not intended for recording, annotating, attesting or certifying the part of the health care providers in the patient’s care and, therefore, could be thought of as not subject to it, but to the more general privacy law, whereby individuals are to be explicitly informed as to the use of their images for purposes of promotion and/or marketing, and their express consent therefore is required since all information concerning health is provided to be sensitive, regardless of how obvious or not pregnancy or birth could be.



12345Las “Medidas de Seguridad” (Reglamento, art. 57: “control o grupo de controles de seguridad para proteger los datos personales”) es uno de los temas de protección de datos personales que probablemente presenten mayor complejidad en la práctica e implementación, no obstante las Recomendaciones en materia de Seguridad de Datos Personales del IFAI y su Metodología de Análisis de Riesgo BAA. La LFPDPPP es “tecnológicamente neutra”, en tanto que no requiere la implementación de medidas específicas, lo cual tiene todo sentido considerando la amplitud de su ámbito de aplicación, que abarca desde Responsables cuyo Tratamiento de Datos es sumamente elemental, como una tienda que entregue a domicilio o un salón de belleza que tome citas por teléfono, hasta el de aquellos que es sumamente sofisticado, complejo e intensivo en cuanto a datos personales patrimoniales y/o sensibles, como instituciones de crédito o seguros, o prestadores de servicios de salud.

El requerimiento mínimo contemplado en la LFPDPPP (art. 19) es que los Responsables establezcan y mantengan medidas de seguridad administrativas, técnicas y físicas que protejan los datos personales contra daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, medidas que no deberán ser menores a las que mantengan para el manejo de su propia información, y  ser determinadas conforme al riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico. Ello sin perjuicio de que los responsables tuvieran que implementar medidas de seguridad dispuestas específicamente por las autoridades del sector en el que aquellos operen, si éstas contemplasen una protección mayor para el titular que la dispuesta por la LFPDPPP y su Reglamento.

El hecho es que el cumplimiento normativo en protección de datos personales no se limita a, ni se agota en, la redacción e implementación de avisos de privacidad, de una política de privacidad y la designación de una persona o área a cargo de la protección de datos personales en la organización; el art. 9 del Reglamento hace al deber de seguridad tan obligatorio y vinculante como los son los 8 principios que informan a la Ley. Dependiendo de la complejidad y/o sofisticación del Responsable, puede ser necesario involucrar a uno o más expertos en mitigación de riesgos, seguridad perimetral y/o informática; esto último particularmente considerando la facilidad con la que incluso negocios pequeños o emprendimientos modestos pueden acceder a medios y recursos para lograr presencia en Internet. Por ejemplo, el New York Times reportó desde enero de 2012 sobre vulnerabilidades encontradas en sistemas de videoconferencia en salas de consejo en todo el mundo en los términos siguientes:

Rapid7 discovered that hundreds of thousands of businesses were investing in top-quality videoconferencing units, but were setting them up on the cheap… The most popular units, sold by Polycom and Cisco, can cost as much as $25,000 and feature encryption, high-definition video capture, and audio that can pick up the sound of a door opening 300 feet away. But administrators are setting them up outside the firewall and are configuring them with a false sense of security that hackers can use against them“.

De acuerdo con la citada Metodología BAA, Internet es el entorno de accesos que ofrece mayor nivel de anonimidad (Nivel 5) a un atacante, tal que las tablas matriciales para nivel de riesgo por tipo de dato, nivel de accesibilidad y de anonimidad contenidas en esa Metodología indican con respecto a ellos que “…no se recomienda que existan (tales escenarios). En caso de que su organización presente estos escenarios, es necesario que impida que se presenten accesos directos a estos tipos de datos personales desde redes de terceros, Internet o redes inalámbricas”.

Ello puede poner a los responsables entre la espada y la pared, ya que por una parte la conectividad por medio de Internet incrementa el riesgo al que estén expuestos los datos personales a los que dan tratamiento, y por otra es una necesidad en muchos casos, no sólo por permitir el acceso a un auditorio mayor o a mercados más extensos, sino también por facilitar la realización del trabajo en organizaciones que así lo requieren, ya sea por desplegar a su personal en campo o para facilitar prestaciones de carácter laboral, como licencias de maternidad/paternidad. De ahí la necesidad de ejercer un mínimo deber de cuidado en su implementación y concientizar, mediante una adecuada capacitación, a todo el personal de la organización en las medidas de seguridad que deben cumplir en el desarrollo de sus labores, lo cual atiende precisamente al principio de responsabilidad y deber de cuidado que tienen obligación de observar. Por ejemplo, el New York Times reportó hace 2 semanas que sistemas tales como Microsoft’s Remote Desktop, Apple Remote Desktop and Chrome Remote Desktop, que permiten el “teletrabajo” o “home office”, son escaneados por hackers, quienes al descubrirlos lanzan programas que adivinan credenciales de acceso hasta obtener las correctas, lo cual podría haber sido el medio por el cual se consumaron vulneraciones como las que sufrieron el año pasado las cadenas comerciales Target y Neiman Marcus.

Al respecto debe tenerse en cuenta que los factores de autenticación, tales como nombres de usuario y/o contraseñas de acceso, son también datos personales, categorizados precisamente como “datos de autenticación”, considerados como con “Riesgo Inherente Medio” por la Metodología BAA con la advertencia de “…que las categorías antes descritas se desarrollaron exclusivamente para la aplicación de esta metodología, y no pueden ser consideradas como un criterio emitido por el IFAI. Más aún, el Pleno del Instituto no ha emitido criterios institucionales al respecto, además de que ciertos datos personales que en principio no se consideran sensibles, podrían llegar a serlo dependiendo del contexto en que se trata la información”, y consecuentemente tanto los de los trabajadores o prestadores de servicios de los responsables como los de sus clientes, referencias personales, etc., son objeto de responsabilidad para ellos, por lo que deben ser incorporados en su Sistema de Gestión de Seguridad de Datos Personales.

Hace menos de un mes escribí en este blog sobre la posibilidad de que el uso de factores de autenticación inadecuados o poco robustos (ej. simplemente nombre y apellido, fechas de nacimiento propias o de terceros cercanos, letras o dígitos secuenciales, etc.) podría resultar en la transgresión al principio de responsabilidad que informa a la LFPDPPP y su Reglamento. Lo mismo podría resultar del diseño inadecuado de los sistemas informáticos y/o telemáticos mediante los cuales se dé tratamiento a datos personales; por ejemplo, en un evento de la Asociación Nacional de Abogados de Empresa (ANADE) realizado este año, el Ing. Oscar Lira, jefe del Departamento de Telecomunicaciones e Informática de la Dirección General de Coordinación de Servicios Periciales (DGCSP) de la Procuraduría General de la República (PGR) comentó que uno de los principales aspectos a considerar para la seguridad informática es precisamente que, no obstante ser creados mediante suites como Dreamweaver u otras similares, los sitios web estén “armados” de tal manera que el flujo de la información entre sus partes sea debidamente asegurado. En su opinión, invertir en la contratación de personas debidamente capacitadas para ello es tanto o más importante que invertir en herramientas informáticas, como lo ilustra la nota del New York Times sobre la vulnerabilidad de diversos sistemas de videoconferencia debido a su mala instalación.

Ahora bien, ¿qué sucedería, o qué se debería hacer en caso de que a pesar de haber invertido lo necesario para contar con los recursos necesarios para la correcta implementación del sistema de gestión de seguridad de datos personales se detectaran u ocurrieran vulneraciones al mismo por destrucción, alteración, acceso, sustración o uso no autorizados de los datos de autenticación del personal del responsable y/o de sus clientes? Por ejemplo, hace unos meses fue difundido el caso de “Heartbleed“, una vulnerabilidad encontrada en la biblioteca de criptografía del “Open SSL“, que exponía la llave privada de los servidores usados para implementar medidas de Transport Layer Security, que permiten la comunicación segura en Internet. Básicamente se trata de la tecnología que hace que la indicación “http” en la barra de direcciones del navegador cambie a “https” y se active el conocido ícono del candado, señalando que la comunicación contaba con esa medida de seguridad, y la vulnerabilidad permitía decodificar la información utilizada para proporcionar seguridad a esas comunicaciones, permitiendo montar diversos ataques o usurpar la identidad de los usuarios.

Por otra parte, anteayer medios como el propio New York Times, TIME y El País reportaron que Hold Security descubrió que una organización de hackers llamados CyberVors, presumiblemente rusos, había sustraído los factores de autenticación de 1,200 millones de usuarios de 420,000 sitios de Internet en todo el mundo, así como 500 millones de direcciones de correo electrónico, que también son datos personales, atacándolos con “inyección SQL” realizada mediante “botnets” que “auditaban” los sitios atacados en búsqueda de vulnerabilidades al SQL. De momento parece que los hackers sólo han usado esos datos personales para el envío de spam, pero ello no obstaría para que el día de mañana tal información sea vendida en el mercado negro; en enero de este año una pareja de mexicanos fue detenida en McAllen, TX, con tarjetas de crédito que tenían información producto del ya mencionado ataque que sufrió la minorista Target.

Respecto de ambos casos deben ser considerados los artículos 20 de la Ley así como 64 a 66 de su Reglamento, los cuales respectivamente disponen que:

  • las vulneraciones de seguridad en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares (de datos personales) habrán de serles informadas de forma inmediata por el responsable, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos;
  • se deberá informar al titular las vulneraciones que afecten de forma significativa sus derechos patrimoniales o morales, en cuanto confirme que ocurrió la vulneración y haya tomado las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, y sin dilación alguna, a fin de que los titulares afectados puedan tomar las medidas correspondientes.
  • dichas notificaciones deben informarle a los titulares cuando menos: (i) la naturaleza del incidente; (ii) los datos personales comprometidos; (iii) las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses; (iv) las acciones correctivas realizadas de forma inmediata, y (v) los medios donde puede obtener más información al respecto.
  • el responsable deberá analizar las causas por las cuales se presentó e implementar las acciones correctivas, preventivas y de mejora para adecuar las medidas de seguridad correspondientes, a efecto de evitar que la vulneración se repita.

La lectura de los artículos arriba citados es importante, puesto que evidencia un módicum de responsabilidad compartida entre el responsable y los titulares ante una vulneración de seguridad, que debe llevarnos a un cambio cultural importante en la protección de datos personales: por una parte, el responsable debe analizar cómo fue que se produjo la vulneración, e implementar las acciones preventivas y correctivas procedentes, además de notificar a los titulares afectados, o potencialmente afectados, al respecto, de manera que estos a su vez puedan reaccionar en protección de sus derechos morales, patrimoniales (nótese que son términos no definidos por la LFPDPPP ni por su Reglamento, y que se encuentran en la Ley Federal del Derecho de Autor), e intereses. En casos así sería interesante analizar la medida en que la culpa o negligencia del responsable, su personal y/o encargados pudieran motivar la imposición de una condena indemnizatoria por vía civil o mercantil.

La citada Guía del IFAI prevé que ante una vulneración los responsables deben identificar: a. Los activos de su sistema de gestión de seguridad afectados; b. Los titulares afectados; c. Las partes interesadas que requieran estar informadas y/o puedan tomar parte en la
toma de decisiones para mitigar las consecuencias de la vulneración. Identificada la vulneración, se debe notificar a los titulares, a través de a través de medios masivos, electrónicos o digitales, incluso de manera personalizada, para que puedan tomar medidas que mitiguen o eviten una posible afectación. Podría también notificarse a las autoridades de protección de datos y/o procuración y/o impartición de justicia, como partes interesadas, para que auxilien en el proceso de mitigación del incidente. Además de la información pertinente sobre la naturaleza del incidente y los datos personales comprometidos, se deben notificar las acciones inmediatas que está tomando el responsable, así como proporcionar mecanismos de atención para que los titulares estén informados y reciban recomendaciones al respecto. Identificada la vulneración y realizadas las notificaciones mencionadas, habrá que profundizar en el análisis de las causas del incidente para establecer medidas correctivas, que incluyan medidas inmediatas para reducir los efectos de la vulneración.

Aunque hay debates en el medio y la práctica, particularmente en los EE.UU.A. sobre si se debería notificar de inmediato o del todo a los titulares sobre un evento de vulneración de seguridad, en un escenario como el de Heartbleed el responsable debería proceder de inmediato a la revocación y renovación de los certificados de seguridad de los sitios web que se supieran o presumieran atacados, recomendando a los titulares de los datos personales tratados por medio suyo actualizar su información y dar seguimiento al uso que pudiera haberse hecho de la misma (compras por internet, modificación del contenido de perfiles en redes sociales, etc.).

En el escenario del ataque de los “CyberVor”, los responsables deberían auditar sus páginas para determinar si eran, o son susceptibles a un ataque por inyección SQL, y de serlo averiguar si fueron afectadas o no. De haberlo sido o serlo, se puede consultar a Hold Security para asesoría en cuanto a si se encuentran entre las empresas afectadas; de estarlo, se debería notificar a los titulares de los datos personales a los que dieran tratamiento a la brevedad posible, recomendándoles modificar sus contraseñas de acceso u otros factores de autenticación, y estar al pendiente de sus tarjetas de crédito, tal vez incluso solicitar la sustitución de las mismas, para monitorear o prevenir su uso indebido. Como titulares, haríamos bien en asumir que nuestros datos personales de autenticación y/o correo electrónico fueron parte del botín de los CyberVor y cambiarlos cuanto antes por nuevos y más robustos, en la medida de lo posible (no todos los sitios permiten cambiar el nombre de usuario, o hacerlo más de una vez).



Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions


Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business


Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace