#fail de la Banca en Contratos de Tarjeta de Crédito ante CONDUSEF

29 enero, 2014
Regulación Bancaria/Financiera
Deja un comentario

El día de hoy la CONDUSEF dio a conocer el resultado de la supervisión de tarjetas de crédito (presentación de la Comisión) que realiza conforme a la Ley para la Transparencia y Ordenamiento de los Servicios Financieros; la «ley anti-letra chiquita» o «plain Spanish», que junto con la Disposición Única de la Condusef aplicable a las Entidades Financieras dispone los diversos requisitos que las Entidades Financieras (Bancos, SOFOMES -ER y ENR-, SOFIPOS, etc.), deben satisfacer en la documentación que utilicen para formalizar las operaciones que realicen con el público. Dicho marco normativo establece, por ejemplo, el uso de indicadores como el CAT (Costo Anual Total) y la GAT (Ganancia Anual Total) en los contratos de operaciones acitvas y pasivas, respectivamente, así como en la publicidad de la misma.

Dichos requisitos son abundantes, e incluyen entre otros:

  • El uso de carátulas en las que se contenga de manera clara la información esencial de la operación;
  • Limitaciones en ciertos aspectos del clausulado, particularmente en determinación de intereses y comisiones que podrán ser cobradas;
  • Incluir un listado de las comisiones cobradas, existiendo la prohibición de cobrar 2 comisiones por el mismo hecho generador, y
  • Inclusión de elementos numéricos y gráficos en los estados de cuenta (EDC).

Además ese marco normativo establece diversas formalidades que las Entidades Financieras deben cumplir ante dicha Comisión:

  • Inscribirse en el Sistema del Registro de Prestadores de Servicios Financieros (SIPRES);
  • Registrar sus modelos de contratos de adhesión en el Registro de Contratos de Adhesión (RECA);
  • Registrar las comisiones que cobran en el Registro de Comisiones (RECO), y
  • Consultar el Registro de Usuarios (REUS), que es el listado de exclusión que la CONDUSEF estableció a manera de «do-not-call list», en el que los usuarios de los servicios de dichas Entidades pueden inscribirse para no recibir llamadas de ofrecimiento de productos y servicios, mismo que de hecho funge como uno de los medios por el cual se puede ejercer la facultad para limitar el Tratamiento de Datos Personales en el marco de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

De acuerdo con la CONDUSEF, entre enero y marzo del 2013 se requirió información a las Entidades Financieras sobre sus contratos para tarjetas de crédito, de cuya revisión derivaron requerimientos de modificación a dichos instrumentos, hechas las cuales se otorgó una calificación del 0 al 10. En agosto del mismo año se requirió a cada Entidad Financiera supervisada 15 expedientes seleccionados aleatoriamente, a fin de verificar que la documentación utilizada con el público correspondiera a la registrada ante esa Comisión.

A este respecto conviene destacar una diferencia importante entre el cumplimiento normativo en materia de crédito al consumo tratándose de Entidades Financieras y Entidades Comerciales; además de que CONDUSEF es la autoridad aplicadora para aquéllas y PROFECO para éstas últimas, las Entidades Financieras pueden salir al mercado con los contratos para sus productos antes de que CONDUSEF realice una revisión de los mismos, en tanto que la revisión y, en su caso, requerimiento de modificaciones de PROFECO se da ex ante.

El resultado fue que BBVA Bancomer (reprobada), Banamex (7.4), Santander («panzaso»), Banorte (SOFOM Banorte, 8.5; SOFOM IXE, «panzaso»), Scotiabank (7.0), HSBC (8.3) e Inbursa (reprobada), en ese orden, encabezan la lista de Entidades Financieras que registraron incumplimientos como:

  1. Utilizar contratos cuyo texto no corresponde al registrado en el RECA;
  2. La carátula no coincide con los otros documentos de la operación;
  3. Dicha carátula no había sido debidamente personalizada a la operación y/o cliente;
  4. Los EDCs no cumplían con los elementos normativos exigidos, y/o
  5. Carecían de información correcta sobre tasas de interés y/o CAT.

Particularmente BBVA Bancomer, la institución con mayor penetración de mercado en tarjetas de crédito, pasó de una calificación de 9.9 a 2.8, al haber registrado casos de incumplimiento en las 5 conductas arriba listadas; la SOFOM de Banorte sólo perdió 1.2 puntos, registrando sólo omisiones en personalización de la carátula, pues la autorización del cliente para el intercambio de información para fines publicitarios estaba incompleta, pues aunque contaba con la firma del usuario, no indicaba siera para recibirla o no.

Vale la pena mencionar que el anterior requisito es redundante de las disposiciones en materia de protección de datos personales que requieren informar expresamente en el Aviso de Privacidad sobre el uso de información para Finalidades de mercadotecnia, publicitarios y/o de prospección comercial, así como de las Transferencias que realicen de las mismas, hecho que un servidor destacó a título personal en la etapa de comentarios públicos al Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, comentario que fue citado en el Dictamen Total No Final de la COFEMER (página 18, párrafo segundo) a dicho Reglamento.

Algo enfatizado en varios casos fue que los contratos incluían cláusulas de «setoff», por las que se facultaba a la SOFOM acreditante para cobrar adeudos con cargo a cuentas de depósito que el banco depositario llevase a los acreditados morosos.

La causa más probable sería, como indica la CONDUSEF, que los cambios que ésta ordenó tardaron en permear a lo largo de la estructura de las Entidades Financieras, o se perdieron en el camino, lo cual apuntaría a estructuras que demoran demasiado en moverse para implementar en toda su extensión los requerimientos de la autoridad. Sea como fuere, el resultado es que dichas Entidades Financieras habrán de pagar un total de 256 multas que, en agregado, ascienden a $32’000,000.00.

Sería interesante que la CONDUSEF hiciera un análisis similar de la publicidad de los productos revisados en este caso, pues el marco normativo referido contiene disposiciones que norman incluso el mínimo de puntos que la letra debe contener en materiales impresos, espectaculares, características de anuncios por medios sonoros, etc.

Mi conclusión es que, como he dicho siempre, el trabajo de cumplimiento normativo bien hecho generalmente es poco reconocido, porque de haberse hecho bien no se nota sino hasta que el cliente supera exitosamente una verificación o auditoria; pero el mal hecho puede ser sumamente costoso, tanto financiera como reputacionalmente.

Protección de Datos Personales en los Sectores Público y Privado

20 enero, 2014
Privacy/Protección de Datos
Deja un comentario

Nota Reforma 19-01-14Una nota publicada el día de ayer en la primera plana de la sección «Nacional» del diario «REFORMA» intitulada «Usa el IFE Datos sin Autorización», en la que se refiere que el Instituto Federal Electoral habría hecho uso de los datos de Mabel Ivonne Castañaers Leyva en la presentación a los medios en diciembre pasado del nuevo diseño de la credencial para votar con fotografía elaborada por Giesecke y Devrient, superponiendo la fotografía de quien sería empleada de ésta última a la credencial emitida por dicho Instituto a favor de la antedicha ciudadana da oportunidad para comentar sobre la dicotomía que existe en la regulación de la protección de datos personales en posesión de las entidades del sector público y las del sector privado.

En tanto que la nota de referencia cita los artículos 9 y 12 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la «LFPDPPP»),

  1. Debería haber citado la Ley Federal para la Transparencia y Acceso a la Información Pública Gubernamental (la «LFTAIPG»), y
  2. Tratándose del Principio del Consentimiento en aquélla debería haber citado el artículo 8, que contiene las reglas generales del consentimiento para el Tratamiento de Datos Personales, toda vez que la credencial para votar no contiene datos personales que la LFPDPPP considere sensibles.

Esto último debido a que de acuerdo con su artículo 3, fracción VI, son considerados como sensibles «aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual». Si esa mica contuviera datos como grupo y RH sanguíne que, por ejemplo, son visibles en las licencias de conducir de los EE.UU.A., para el caso de una emergencia por un siniestro de tránsito, la referencia al artículo 9 de la LFPDPPP hubiera sido correcta, pero no es el caso; la referencia tendría que haber sido a su artículo 8, que contiene las reglas generales del consentimiento para los datos personales que no son considerados como sensibles.

Pero el aspecto más fundamental respecto de la materia de la nota deriva de la referencia a la LFPDPPP, cuando debería haber sido hecha a la LFTAIPG. Ello debido a que de acuerdo con el artículo 2 de la primera Ley referida, son sujetos regulados por aquélla Ley, los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, en tanto que de acuerdo con la fracción V del artículo 41 de la Constitución Política de los Estados Unidos Mexicanos, «la organización de las elecciones federales es una función estatal que se realiza a través de un organismo público autónomo denominado Instituto Federal Electoral, dotado de personaldiad jurídica y patrimonio propios», y que el artículo 106(1) del Código Federal de Instituciones y Procedimientos Electorales, «el Instituto Federal Electoral es un organismo público autónomo, de carácter permanente, independiente en sus decisiones y funcionamiento, con personalidad jurídica y patrimonio propios».
De un simple silogismo formado con lo anterior podemos concluir que la LFPDPPP no es aplicable al IFE:
  1. PREMISA MAYOR: La LFPDPPP es aplicable a los particulares o personas de carácter privado.
  2. PREMISA MENOR: El IFE no es un particular ni de carácter privado.
  3. CONCLUSIÓN:        La LFPDPPP no le resulta aplicable al IFE.
El estatuto que debió haber sido consultado al respecto es la LFTAIPG, toda vez que de acuerdo con su artículo 1, ésta «…tiene como finalidad proveer lo necesario para garantizar el acceso de toda persona a la información en posesión de los Poderes de la Unión, los órganos constitucionales autónomos o con autonomía legal, y cualquier otra entidad federal», incluyéndose entre los objetivos de dicha Ley dispuestos en su artículo 4, fracción III, «garantizar la protección de los datos personales en posesión de los sujetos obligados», estos últimos definidos como en la fracción XIV de su artículo 3 de manera tal que incluye a los «órganos constitucionales autónomos».
Para tales efectos y otros como los que son materia de la nota a que se ha hecho referencia, el Capítulo IV de la LFTAIPG versa sobre «La Protección de Datos Personales», y la disposición citada con relación al caso planteado debería haber sido su artículo 21, de acuerdo con el cual «los sujetos obligados no podrán difundir, distribuir o comercializar los datos personales contenidos en los sistemas de información, desarrollados en el ejercicio de sus funciones, salvo que haya mediado el consentimiento expreso, por escrito o por un medio de autenticación similar, de los individuos a que haga referencia la información».
Además es importante señalar que el Aviso de Privacidad previsto en la LFPDPPP no resulta aplicable para el Tratamiento de Datos Personales en posesión de instituciones del sector público; en ese caso lo que el Sujeto Obligado debe poner a disposición de los individuos un documento en que establezca los propósitos del Tratamiento de sus Datos Personales a partir del momento en el cual los recabe, de acuerdo con los Lineamientos establecidos por su propio Comité de Información. El Reglamento del IFE en materia de Transparencia y Acceso a la Información Pública Gubernamental puede ser consultado en el siguiente enlace: http://bit.ly/1dH0lRh.
Finalmente, conviene mencionar que, de acuerdo con el artículo 18, fracción II, de la LFTAIPG, se considerará como información confidencial a «los datos personales que requieran el  consentimiento de los individuos para su difusión, distribución o comercialización» en los términos de esa Ley, salvo que «…se halle en los registros públicos o en fuentes de acceso público», excepción que no se surte en el caso reportado por REFORMA, toda vez que conforme al artículo 171(3) del Código Federal Instituciones y Procedimientos Electorales, «los documentos, datos e informes que los ciudadanos proporcionen al Registro Federal de Electores, en cumplimiento de las obligaciones que les impone la Constitución y este Código, serán estrictamente confidenciales y no podrán comunicarse o darse a conocer, salvo cuando se trate de juicios, recursos o procedimientos en que el Instituto Federal Electoral fuese parte, para cumplir con las obligaciones previstas por este Código en materia electoral y por la Ley General de Población en lo referente al Registro Nacional Ciudadano o por mandato de juez competente».
Nota Reforma 20-01-14photo-3

Venció el plazo para el primer Aviso de Actividades Vulnerables

19 enero, 2014
Regulación Bancaria/Financiera
Deja un comentario

Capitanes REFORMA 16012014No hay fecha que no llegue, ni plazo que no se cumpla; luego de prórrogas sucesivas desde noviembre del 2013 hasta el viernes 17 de enero de este año, quienes realizan Actividades Vulnerables tuvieron hasta el pasado viernes para cumplir con sus obligaciones de Registro y Alta, así como con la presentación de los Avisos para sus operaciones realizadas entre los meses de septiembre y diciembre.

Si, el micrositio de PLD es deficiente, por decir lo menos, pero desde luego eso no excusa la omisión en el cumplimiento.

¿De qué tamaño pueden ser las contingencias para quienes no se hubieran registrado u omitan presentar los Avisos a los que están obligadas? Por:

  • Abstenerse de cumplir con los requerimientos que les formule la Secretaría;
  • Incumplir con cualquiera de las obligaciones establecidas en el artículo 18 de la LFPIORPI;
  • Incumplir con la obligación de presentar en tiempo los Avisos a que se refiere el artículo 17 de esa Ley, cuando la presentación del Aviso se realice a más tardar dentro de los 30 días siguientes a la fecha en que debió haber sido presentado. En caso de que la extemporaneidad u omisión exceda este plazo, se aplicará la sanción prevista para el caso de omisión;
  • No presentar los Avisos con los requisitos aplicables;

… multa por el equivalente de 200 hasta 2,000 días de salario mínimo general vigente en el D.F.

  • Omitir presentar los Avisos a que se refiere el artículo 17 de la Ley.

Multa por el equivalente a 10,000 y hasta 65,000 mil días de salario mínimo general vigente en el D.F., o del 10% al 100% del valor del acto u operación, cuando sean cuantificables en dinero, la que resulte mayor.

Si bien el artículo 55 de la «Ley Anti-Lavado» (o LFPIORPI) permite presentar por una vez de manera extemporánea los Avisos requeridos antes de que la autoridad ejerza facultades de verificación, ello no alcanza a la obligación de Alta en el micrositio del SAT. De manera que quienes no la hubieran cumplido en tiempo y forma podrían tener dificultades importantes… y costosas.

Cookies! …en el Aviso de Privacidad…

16 diciembre, 2013
Privacy/Protección de Datos
Deja un comentario

Cookie MonsterEl escalonamiento con el que la regulación mexicana en materia de protección de datos personales ha sido emitida ha supuesto para los Responsables del Tratamiento de Datos Personales la necesidad de hacer trabajo adicional para implementar su cumplimiento normativo  correctamente.

Desde el 5 de julio de 2010, fecha en que fue promulgada la Ley Federal de Protección de Datos Personales, y hasta el 21 de diciembre del 2011, mucho después de transcurrido el plazo de un año previsto en el Artículo Tercero Transitorio de esa Ley para que dichos Responsables expidieran sus Avisos de Privaciad, hasta que tras un largo periodo de comentarios públicos en la Comisión Federal de Mejora Regulatoria, fue expedido el Reglamento correspondiente, todos los requisitos para esos Avisos de Privacidad que posteriormente fueron denominados como Integral y Simplificado estaban contenidos en los artículos 8, 15, 16, 36 y 37 de la Ley.

Esos requisitos se limitaban a:

  1. Identidad y domicilio del Responsable;
  2. Información que se recaba de los Titulares de los Datos Personales tratados;
  3. Finalidades del tratamiento de datos;
  4. Ppciones y medios para que los Titulares limiten el uso o divulgación de sus Datos Personales;
  5. Medios para ejercer los Derechos ARCO;
  6. Las Transferencias de datos que se efectúen;
  7. El procedimiento y medio por el cual el Responsable comunicará a los Titulares los cambios al Aviso de Privacidad, y
  8. Consentimiento, ya sea tácito o expreso.

…y fueron incrementados por el citado Reglamento, por ejemplo con la obligación prevista en su Artículo 112, por virtud del cual aquellos Responsables que lleven a cabo el Tratamiento de Datos Personales en procesos de toma de decisiones sin que intervenga la valoración de una persona física deben hacerlo explícito entre la Finalidades de dicho Tratamiento, al igual que el requisito derivado del último párrafo del Artículo 14 del citado Reglamento, de acuerdo con el cual cuando el Responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento se deberá informar al titular sobre el uso de esas tecnologías, que a través de las mismas se obtienen datos personales y la forma en que se podrán deshabilitar..

Lo anterior fue clarificado a través de los Lineamientos para el contenido y alcances de los Avisos de Privacidad, emitidos por la Secretaría de Economía con fundamento en el artículo 43, fracción III, de la Ley, el cual la facultó para coadyuvar con el IFAI en la emisión de los mismos, cuyo Lineamiento Trigésimo Primero requiere que cuando el Responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento deberá informar al titular, a través de una comunicación o advertencia colocada en un lugar visible, sobre el uso de esas tecnologías y sobre el hecho de que a través de las mismas se obtienen datos personales, así como la forma en que se podrán deshabilitar, salvo que dichas tecnologías sean necesarias por motivos técnicos, obligando asimismo a incluir en el Aviso de Privacidad la información requerida por el Reglamento de la Ley y la de los propios Lineamientos, entre ella, los datos personales que se recaban y las finalidades del tratamiento.

Una de las maneras más obvias para darse cuenta de que un Responsable ha mantenido en uso un Aviso de Privacidad Integral en medios remotos, como una página de Internet, desde la promulgación de la LFPDPPP o el vencimiento del plazo para implementar ese medio de cumplimiento con el Principio de Información es la omisión de la referencia al uso de cookies, web beacons y otros recursos similares en el referido Aviso.

¿Por qué la necesidad de incluir la mención del uso de mecanismos como las «Cookies» en el Aviso de Privacidad? La entrada en Wikipedia para Cookies explica que estos archivos fueron concebidos originalmente para identificar a los usuarios y diferenciar el comportamiento de los sitios de comercio electrónico al realizar compras en sitios de comercio electrónico; por ejemplo pueden ser usadas para «…control de usuario: cuando se introduce el nombre de usuario y contraseña, se almacena una cookie para que no tenga que estar introduciéndolas para cada página del servidor. Sin embargo, una cookie no identifica solo a una persona, sino a una combinación de computador-navegador-usuario», pero que además de pueden ser usadas para rastrear el movimiento del usuario a lo largo de las páginas web visitadas, búsquedas realizadas, etc.

Desde que Internet se volvió un medio financiado fundamentalmente a través de la venta de publicidad el perfilamiento de usuarios se ha vuelto una necesidad para compañías como Google, Yahoo! y Microsoft. Sin embargo puede tener implicaciones importantes para los usuarios en cuanto a privacidad y acceso a oportunidades. El perfilamiento de usuarios podría

Una nota del Wall Street Journal el año pasado explica, por ejemplo, cómo Orbitz distingue entre usuarios de PC y de Mac para ofrecer antes a estos últimos servicios con precios más altos que a los primeros, asumiendo que quien invierte en una Mac es más proclive a optar por servicios «high-end» y, por lo tanto, más caros. Se han hecho también estudios que apuntan al incremento en el riesgo de que el perfilamiento de usuarios a través de diversos medios, incluyendo Internet, podrían resultar en discriminación. La posibilidad de combinar información de fuentes como registros públicos, reportes de crédito, historial de consumos y ubicación podría prestarse a limitar el acceso a bienes y servicios buscados en Internet si sus oferentes optaran por segmentar ese acceso en función del género, edad, nivel socio-económico y consumo de los usuarios.

De ahí que para lograr una verdadera autodeterminación informativa la autoridad de protección de datos personales haya requerido a los Responsables revelar el uso de tecnologías para obtener datos personales a través de Internet y la manera para deshabilitarlas.

El siguiente video de YouTube ilustra, por ejemplo, cómo Google utiliza y almacena las cookies e información obtenida de ellas en su motor de búsqueda. Por otra parte, el Washington Post publicó hace unos días una nota sobre cómo la Agencia de Seguridad Nacional de los EE.UU.A. se vale de esas mismas cookies para identificar y ubicar blancos de hackeo y vigilancia. De particular relevancia es lo indicado en los siguientes párrafos de la nota, que daría tranquilidad a la inmensa mayoría de los usuarios de Internet:

«The intelligence agencies have found particular use for a part of a Google-specific tracking mechanism known as the “PREF” cookie. These cookies typically don’t contain personal information, such as someone’s name or e-mail address, but they do contain numeric codes that enable Web sites to uniquely identify a person’s browser…

The NSA’s use of cookies isn’t a technique for sifting through vast amounts of information to find suspicious behavior; rather, it lets NSA home in on someone already under suspicion«

What makes a good privacy professional?

11 diciembre, 2013
Privacy/Protección de Datos
Deja un comentario

Emma Butler, , published an entry in the blog of the International Association of Privacy Professionals discussing the characteristics that are to be sought in a privacy professional. The key questions she poses to select the right person for such a role are:

«…do you want a lawyer who just advises on the interpretation on the law and leaves decision making on privacy and subsequent implementation to the business? Or do you want a practitioner who can drive the privacy programme from the ground up, making key decisions and delivering privacy effectively across the business

Following she outlines the :

  • Someone who can make decisions.
  • Understand business priorities and limitations.
  • Deliver training.
  • Assist with risk assessment and project manage.
  • Develop and run the privacy programme.
  • Take a strategic view as well as firefight daily.
  • Plan for the medium and long-term but also react quickly to changing demands and deadlines.
  • Unlikely to also be experts in employment law, coding, firewalls or liability caps so they need to be able to successfully co-operate with, and use the expertise of, all facets of the business. And speak their language—whether marketing, IT, legal, audit, risk management or business development.
  • Be leaders.
  • Be able to explain to and influence the senior management to get buy-in for projects, resources and changes to process, policy or even culture.
  • Champion privacy and compliance among the business, often globally, and both lead and support other compliance staff or business champions.
  • Be visible, personable and available to all staff: a source of advice and expertise, and a business enabler.
  • Public speaking skills, presentation skills, diplomacy and the ability to think on your feet.

The mention of the privacy professional as a «business enabler» is key in my line of thinking and practice. I believe it doesn’t take a «highly-pedigreed» lawyer with lots of credentials to say something cannot be done; anyone, whether ignorant or not, can simply say no to something and kill an entire project.

However one such professional should at least be willing to sit and take a long hard look at things in an attempt to find a way for his clients’ projects to work and suggest how to go about it, unless they were definetly contrary to the law.

So when choosing a privacy professional for your organization and/or projects, you may care to consider whether or not that person meets with these characteristics outlined by Ms. Butler, and whether that professional’s attitude is of qualified enablement or incompetent obstruction.

 

Mentor Wayra

11 diciembre, 2013
Sin categoría
Deja un comentario

Wayra Mentor WallMe complace participar que recién inicié mi primera sesión de mentoría con Wayra, la incubadora de emprendedores de Telefónica. Seré mentor de aspectos legales para Vandedroid, quienes producen apagadores de luz que permiten controlar el consumo eléctrico, intensidad de iluminación, incluso los colores de la iluminación a través de un aplicativo móvil.

Afortunadamente se ha tomado conciencia de que México no es un país de grandes empresas… sino de grandes emprendiemientos, y se está empezando a dar acceso a los emprendedores tanto a fondos como a mentoría, e idealmente a «smart money», que es la combinación de ambos.

En cualquier caso, el tema es que los aspectos legales son fundamentales para el emprendimiento; cuando el principal activo es intangible, por tratarse de una idea, la protección de convenios de confidencialidad es fundamental. Asimismo la protección de la propiedad intelectual, derechos de autor, secretos industriales y know-how es primordial en el estado embrionario de una empresa.

Tras años de trabajo como abogado corporativo conozco los aspectos fundamentales del período de arranque de una empresa, su desarrollo y los requerimientos legales que tendrán a lo largo de su operación. Más aun, tratándose de emprendimientos intensivos en tratamiento de datos personales, el cumplimiento normativo de la materia es algo fundamental con lo cual me encuentro capacitado para apoyarles.

Sin duda será un gran proyecto.

Eventos de Tecnologías de la Información en Distrito Federal

9 diciembre, 2013
IP/Propiedad Intelectual, Privacy/Protección de Datos
Deja un comentario

FIDP13_00217La semana pasada tuve oportunidad de asistir a 2 importantes eventos en materia de tecnologías de la información realizados en la Ciudad de México:

  1. El «Encuentro Legislativo con la Sociedad sobre Tecnologías de la Información y Comunicación de la Cámara de Diputados«, organizado por la Comisión Especial de Tecnologías de la Información y Comunicación de dicha Cámara y la Asociación Nacional de Abogados de Empresa (ANADE), y
  2. El Foro Internacional del IFAI sobre Seguridad de Datos Personales, organizado por dicha agencia de protección de datos.

El primer evento fue, en palabras del Dr. Alfredo Reyes Krafft, como «speed dating» en materia de conocimiento de regulación de tecnologías de la información; se organizaron 10 mesas para abordar temas como nombres de dominio, protección de datos personales, protección de la propiedad intelectual, prueba electrónica en juicio e impacto de las TI’s en materia laboral, etc., de manera rotativa con especialistas como la Dra. Isabel Davara, Kiyoshi Tsuru, Joel Gómez y varios más que fueron moviéndose entre las mesas en compañía de un(a) Diputado(a), a fin de comentar los aspectos más relevantes.

Para los asistentes menos versados en esos temas fue, sin duda, una experiencia enriquecedora, al igual que para varios de los legisladores que estuvieron presentes, no obstante que se realizaba una sesión del pleno, quienes demostraron gran interés por empaparse de los temas y entender su impacto en la Agenda Digital de nuestro país, así como el estado de la legislación en esas materias.

El segundo evento, organizado por el IFAI, tuvo como ponentes tanto a funcionarios de la Agencia Española de Protección de Datos, de la Delegatura para la Protección de Datos Personales de Colombia, del Institute of Audit & IT -Governance España y de SM4RT Security, empresa mexicana que estuvo muy cercana al IFAI en el desarrollo de sus Recomendaciones en Materia de Seguridad de Datos Personales.

Uno de los aspectos más relevantes de ese evento fue la explicación de la Metodología de Análisis de Riesgo BAA, siglas para:

  • Beneficio, para el atacante, en cuanto al valor económico, reputacional o estratégico de los datos personales blanco del ataque;
  • Accesibilidad de los datos personales, en cuanto a lo cual se plantea la disyuntiva entre su confidencialidad y la posibilidad de tenerlos a la mano, y
  • Anonimidad del atacante.

La aplicación de esa metodología se orienta a reducir la rentabilidad del atacante, al elevar el riesgo que el ataque le representaría respecto del retorno que podría obtener a través del mismo.

La materia de seguridad de la información es sumamente técnica, y en organizaciones más sofisticadas requiere de la intervención de uno o más especialistas en diversas materias, tales como informática, mitigación de riesgos, seguridad física y perimetral, entre otras, además de requerir de la toma de decisiones muy íntimas para la organización.

En este aspecto la mayor aportación del abogado especialista en protección de datos personales es identificar aquellos aspectos operativos que pudieran significar un incremento del riesgo legal inherente al tratamiento de datos personales, así como tomar las aportaciones de los otros especialistas involucrados y vertirlos en un documento que cumpla con los requisitos determinados por la autoridad de protección de datos personales.

Reproducción de Moneda en Internet

8 diciembre, 2013
Regulación Bancaria/Financiera
Deja un comentario

Es común ver publicidad del sector de servicios financieros ilustrada con imágenes de billetes de cruso legal en el país, o bien notas periodísticas en los diarios en Internet que igualmente usan esos materiales para ilustrar artículos en sus secciones de negocios o finanzas.

Asimismo el púbico tiende a recurrir a la moneda fiduciaria, como producto de la sociedad contemporánea  y particularmente a los billetes, como medios de expresiones diversas. Muchos conocerán aquél ejemplar del billete de MXN$20.00 que circuló por Internet en el sexenio pasado con el águila republicana y la efigie de AMLO en vez de la de Benito Juárez, con denominación de «veitijinco pejos», o la del mismo billete en que el Benemérito de las Américas portaba un cubrebocas, expresión de la contingencia por la influenza AH1N1 vivida en México durante 2009.

Más recientemente vi en Twitter un billete de US$100 que en vez de la efigie de Alexander Hamilton; constitucionalista estadounidense, tenía la del Maestro Yoda y la leyenda «Jedi Master». Lo anterior motiva la pregunta sobre la legalidad de tales conductas, desde la creación del ejemplar inicial hasta el «post» del mismo en una red social, página Web, blog, «retweet», etc.

Al respecto la Ley Monetaria de los Estados Unidos Mexicanos prevé lo siguiente:

Artículo 17.- Queda prohibida la imitación o reproducción total o parcial, de monedas metálicas o de billetes, nacionales o extranjeros, en rótulos, viñetas, anuncios o en cualquiera otra forma, salvo en aquellos casos en que la Secretaría de Hacienda y Crédito Público, oyendo previamente al Banco de México, lo autorice expresamente, por tratarse de imágenes de monedas que carezcan de idoneidad para engañar, que no conduzcan o puedan conducir a la falsificación de dichas piezas ni, en general, afecten la seguridad de la circulación monetaria.

Queda igualmente prohibida la comercialización de reproducciones o imitaciones no autorizadas.

Las personas que contravengan lo dispuesto en este artículo, serán sancionadas administrativamente por la Secretaría de Hacienda y Crédito Público, con multa hasta de un millón de pesos. El importe de la multa respectiva se fijará oyendo al Banco de México y tomando en cuenta el número de las imitaciones o reproducciones, los efectos de éstas en la seguridad de la circulación monetaria, la utilidad percibida por el infractor y las circunstancias de éste.

Para determinar la posiblidad de aplicar la norma citada a los casos referidos es preciso dilucidar el significado de los verbos rectores de la conducta sancionada: «imitar» y/o «reproducir». En el Diccionario de la Real Academia Española «imitar» es la acción o efecto de «ejecutar algo a ejemplo o semejanza de otra cosa», y «reproducir» la de «sacar copia, en uno o en muchos ejemplares, de una obra de arte, objeto arqueológico, texto, etc., por procedimientos calcográficos, electrolíticos, fotolitográficos o mecánicos y también mediante el vaciado; o ser copia de un original».

¿Se llevan a cabo esas conductas cuando se «postea», «retweetea» o «sube» a una página la imagen de una pieza monetaria, haya o no sido modificada en sus elementos gráficos? La Ley Federal del Derecho de Autor define en su artículo 16, fracción V, la Reproducción como: «la realización de uno o varios ejemplares de una obra, de un fonograma o de un videograma, en cualquier forma tangible, incluyendo cualquier almacenamiento permanente o temporal por medios electrónicos, aunque se trate de la realización bidimensional de una obra tridimensional o viceversa

Los billetes, tanto del Banco de México como de otros bancos de emisión, incorporan obras de arte, mismas que son de suyo obras protegidas por la Ley Federal del Derecho de Autor. De tal manera que quien realizara la modificación de los mismos, para empezar, estaría elaborando una obra derivada del billete, que sería la obra primigenia, de acuerdo con el artículo 4, sección C, fracción II de la Ley Federal del Derecho de Autor: «Las obras objeto de protección pueden ser: Derivadas: Aquéllas que resulten de la adaptación, traducción u otra transformación de una obra primigenia».

De tal manera las modificaciones hechas, incluso en broma a los billetes de banco, podrían constituir infracciones al derecho de autor que el banco emisor detenta sobre sus billetes, pues las obras de arte incorporadas en ellos son producto del trabajo de empleados de estos. Pero además podrían resultar en la infracción de lo previsto en el artículo 17 de la Ley Monetaria. ¿Y los «posts», «shares», «retweets», etc.? Pues depende de la forma de operación de la plataforma a través de la cual sean llevados a cabo. Si el creador del «meme» o «hoax» «subiera» los materiales de su máquina a su página, blog o perfil de red social, por la operación de la computadora necesariamente se harían reproducciones del material, lo cual podría hacer aplicable la norma citada.

En el caso de «shares» o «retweets», el material quedaría en los servidores de la red social, sin almacenarse en la computadora de quien los hubiera llevado a cabo… con posibles excepciones por la operación de la memoria caché. Naturalmente lo anterior podría tener sus bemoles ante criterios de libertad de expresión, en ciertos casos.

Ahora bien, de ahí a que pudiera devenir aplicable el artículo 234 del Código Penal Federal, que tipifica el delito de falsificación de moneda como la conducta llevada a cabo por quien «… produzca, almacene, distribuya o introduzca al territorio nacional cualquier documento o pieza que contenga imágenes u otros elementos utilizados en las monedas circulantes, y que por ello resulten idóneos para engañar al público, por ser confundibles con monedas emitidas legalmente».

Jurídicamente los materiales a los que se ha aludido en la presente entrada no constituyen documentos, sino «mensajes de datos», definidos en el artículo 89 del Código de Comercio como «la información generada, enviada, recibida o archivada por medios electrónicos, ópticos o cualquier otra tecnología». A causa de la literalidad que debe privar en la aplicación de la legislación penal y no obstante la equivalencia funcional que el artículo 89 Bis de dicho Código prevé para los mensajes de datos respecto de los documentos escritos en papel («no se negarán efectos jurídicos, validez o fuerza obligatoria a cualquier tipo de información por la sola razón de que esté contenida en un Mensaje de Datos«), el manejo de estos «memes» o «hoaxes» no debería, en principio, hacer aplicables las penas de 5 a 12 ó 4 a 8 años de prisión para quien realizara estas conductas en tanto no realice impresiones de dichos materiales y/o los ponga en circulación o en manos del público.

Finalmente vale la pena mencionar que la multa de MXN$1’000,000.00 establecida en el artículo 17 de la Ley Monetaria sería por MXN$1,000.00, dado que en 1993 la conversión de la unidad monetaria mexicana por la que actualmente tenemos suprimió tres 0s de las cantidades previstas en aquéllas disposiciones promulgadas con antrioridad a ello y que no hubieran sido reformadas para prever dicho cambio.

Multa el IFAI a Afore XXI Banorte con $1’246,000.00

2 diciembre, 2013
Privacy/Protección de Datos
Deja un comentario

La sanción más recientemente publicada por el IFAI correspondió a la Afore de Grupo Financiero Banorte, por el tratamiento de datos personales financieros y patrimoniales que dicha Responsable llevó a cabo en contravención a los Principios de Licitud y Consentimiento que informan a la LFPDPPP y violando los artículos 6, 7, párrafo primero y 8, párrafos primero, segundo y cuarto, del citado ordenamiento. Lo anterior no obstante que de acuerdo con un comunicado del propio Instituto fechado en marzo de este año, se llevó a cabo un taller para capacitar a representantes de la Asociación Mexicana de Administradoras de Fondos para el Retiro (AMAFORE) en materia de cumplimiento normativo de la LFPDPPP.

El caso se originó con el traspaso de un cuentahabiente de Afore Metlife a la Afore Bancomer en noviembre del 2012, operación que fue negada por el Titular denunciante, quien solicitó la intervención del referido Instituto para dilucidar quién habría estampado sus huellas dactilares y puesto su fotografía en la hoja de firmas correspondiente. Un caso más de traspaso no autorizado, situación que desafortunadamente ha sido común en el medio del ahorro para el retiro. Ahora bien, el que la Responsable sancionada haya sido una Afore distinta de la nombrada en la denuncia se debe a que Afore Bancomer fue fusionada por Afore XXI Banorte, quien dio contestación como Responsable al requerimiento del Director de Verificación del IFAI.

En suma, dicho Instituto resolvió que la Responsable había dado Tratamiento a los Datos Personales del denunciante violando los Principios de Licitud y Consentimiento previstos en la LFPDPPP, por haber utilizado los Datos Personales financieros y patrimoniales de dicho Titular sin contar con su consentimiento expreso, respecto de lo cual el inciso C) del Considerando Cuarto refiere el oficio No. D00/200/0148/2011, fechado el 22 de diciembre de 2011, por el cual se dio a conocer a PROCESAR, S.A. de C.V., empresa operadora de la base de datos nacional del SAR, el «Modelo de Medios Electrónicos de Traspasos por Internet», mismo que prevé como requisito indispensable el consentimiento expreso del trabajado para el traspaso de su cuenta individual.

Del asunto mismo conviene destacar una mención en el párrafo segundo del inciso B) del Considerando Cuarto, en que se menciona la confesión expresa de la Responsable en el sentido que «…el promotor de nombre ___________ (mismo que fue dado de baja el pasado 26 de febrero de 2013), haciendo alusión que dentro de sus funciones está la recabación (sic) de información personal y confidencial y utilizar la misma para promover el traspaso de los recursos de su cuenta individual […] que sin consentimiento del C. ________ y sin conocimiento de esta administradora utilizó dichos datos para solicitar el traspaso de sus recursos […]».

El IFAI resolvió que la conducta infractora había sido realizada de manera intencional, y consultando la página de internet de Afore Banorte constató que sus estados financieros al 30 de junio de 2013 indicaban un capital contable del orden de $23,178’000,000.00, lo que motivó una multa por la cantidad de $1’246,000.00.

El caso es úitl para enfatizar la importancia de la debida capacitación del personal de las empresas en materia de protección de Datos Personales, puesto que atento al Principio de Responsabilidad  el Responsable del Tratamiento de Datos Personales lo es ante el Titular y la autoridad de protección de datos, independientemente de que lleve a cabo el Tratamiento por medio de su staff, Encargados o Terceros.

Un punto interesante a considerar al respecto es el de las vías que el patrón tiene como Responsable por el Tratamiento de Datos Personales que realizan sus empleados. El art. 48 del Reglamento de la LFPDPPP prevé en sus fracciones I, III y IV que entre las medidas para la observancia del Principio de Responsabilidad se encuentra el diseño, implementación y aplicación de una Política de Privacidad al interior de la empresa. Dicha Política debería ser una especie de Reglamento Interior en materia de protección de Datos Personales, de forma tal que su transgresión pudiera dar pie a sanciones o incluso a la rescisión de la relación laboral sin responsabilidad para el patrón, con base en diversas fracciones del art. 47 de la Ley Federal del Trabajo.

Adicionalmente existe una disposición en el Código Civil Federal que prevé que en caso de que el patrón enfrentara el pago de daños y perjuicios causados por algún Trabajador a una tercera persona, dicho patrón podría requerir a tal trabajador las cantidades que hubiere pagado al afectado. Si bien esa disposición choca contra las normas protectoras del salario en la Ley Federal del Trabajo, su aplicación podría ser un disuasor efectivo para evitar mayores riesgos al patrón por los actos u omisiones de sus trabajadores.

Java Plug-In en el micrositio del SAT para Informes de Actividades Vulnerables

1 diciembre, 2013
Privacy/Protección de Datos, Regulación Bancaria/Financiera
Deja un comentario

En una entrada anterior de este blog abordé algunas incongruencias que un servidor ha encontrado entre las disposiciones de la Ley Federal de Protección de Datos Personales y la Ley para Prevenir e Identificar Operaciones con Recursos de Procedencia Ilícita.

Dicho lo anterior, si bien es destacable que, contrario a lo que suele suceder con las plataformas de diversas autoridads en Internet (como el Registro de Contratos de Adhesión en Línea de la PROFECO -léase al calce «Esta página no funciona con navegadores como: Firefox, Mozilla, Safari, etc.»-), que el Micrositio del SAT para la captura y envío de los Avisos que quienes realicen Actividades Vulnerables deben presentar ante dicha autoridad haya sido diseñado para operar con los 3 de los navegadores de uso más ampliamente utilizados (Internet Explorer, Mozilla Firefox y Google Chrome, y nótese que se olvidaron del Safari), y sin pretender ser un experto en informática (soy abogado y profesional en protección de datos personales), llama la atención haber recurrido a «plug-ins» de Java, lo cual podría parecer no haber sido la decisión más atinada.

Al pulsar sobre el ícono de Acceso al Sistema del Portal en Internet, además de , Firefox despliega una advertencia en la esquina superior izquierda advirtiendo la existencia de vulnerabilidades del plug-in de Java Deployment Toolkit para ese sitio. Al consultar información del navegador sobre el potencial riesgo, el mismo despliega los siguientes textos:

Java Prevention BlockMozilla Java Toolkit PlugIn WarningBuscando información al respecto, encontré en la página del US-CERT (United States Computer Emergency Readiness Team), que explica lo siguiente: http://www.us-cert.gov/ncas/alerts/TA13-010A

Overview

A vulnerability in the way Java 7 restricts the permissions of Java applets could allow an attacker to execute arbitrary commands on a vulnerable system.

Description

A vulnerability in the Java Security Manager allows a Java applet to grant itself permission to execute arbitrary code. An attacker could use social engineering techniques to entice a user to visit a link to a website hosting a malicious Java applet. An attacker could also compromise a legitimate web site and upload a malicious Java applet (a «drive-by download» attack).
(énfasis añadido)

Any web browser using the Java 7 plug-in is affected. The Java Deployment Toolkit plug-in and Java Web Start can also be used as attack vectors.

Reports indicate this vulnerability is being actively exploited, and exploit code is publicly available.

Further technical details are available in Vulnerability Note VU#625617.

Impact

By convincing a user to load a malicious Java applet or Java Network Launching Protocol (JNLP) file, an attacker could execute arbitrary code on a vulnerable system with the privileges of the Java plug-in process.

Solution

Update Java

De lo anterior habrían tres cosas que destacar:

  1. El SAT debería haber considerado el desarrollo del micrositio para Safari, no sólo para navegadores que corren sobre sistemas operativos de MicroSoft. Sin embargo habiendo hecho la prueba de acceder a través de iOS utilizando Safari el micrositio no presentó dificultad.
  2. También debería haberse considerado utilizar un lenguaje de programación que presentara menos vulnerabilidades, y
  3. La seguridad informática y de información no es sólo tarea de quien desarrolla un sitio o plataforma, sino también de quien accede a ellos; es necesario que el usuario aplique las elementales precauciones de mantener su software actualizado, contar con anti-malware (no sólo anti-virus) y ejerza el mínimo y elemental cuidado de evitar descargar contenidos riesgosos o de dudosa procedencia, así como evitar acceder a URLs desconocidos.

Las opiniones al respecto de expertos en seguridad informática serán bienvenidas.

Compliance Report

Xavier Ribas

Derecho de las TIC y Compliance

Marcus Kazmierczak

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace

Cedric's Privacy Blog

Blog de la Asociación Mexicana de Restaurantes