archivo

Archivo de la etiqueta: Aviso de Privacidad Integral

Cookie MonsterEl escalonamiento con el que la regulación mexicana en materia de protección de datos personales ha sido emitida ha supuesto para los Responsables del Tratamiento de Datos Personales la necesidad de hacer trabajo adicional para implementar su cumplimiento normativo  correctamente.

Desde el 5 de julio de 2010, fecha en que fue promulgada la Ley Federal de Protección de Datos Personales, y hasta el 21 de diciembre del 2011, mucho después de transcurrido el plazo de un año previsto en el Artículo Tercero Transitorio de esa Ley para que dichos Responsables expidieran sus Avisos de Privaciad, hasta que tras un largo periodo de comentarios públicos en la Comisión Federal de Mejora Regulatoria, fue expedido el Reglamento correspondiente, todos los requisitos para esos Avisos de Privacidad que posteriormente fueron denominados como Integral y Simplificado estaban contenidos en los artículos 8, 15, 16, 36 y 37 de la Ley.

Esos requisitos se limitaban a:

  1. Identidad y domicilio del Responsable;
  2. Información que se recaba de los Titulares de los Datos Personales tratados;
  3. Finalidades del tratamiento de datos;
  4. Ppciones y medios para que los Titulares limiten el uso o divulgación de sus Datos Personales;
  5. Medios para ejercer los Derechos ARCO;
  6. Las Transferencias de datos que se efectúen;
  7. El procedimiento y medio por el cual el Responsable comunicará a los Titulares los cambios al Aviso de Privacidad, y
  8. Consentimiento, ya sea tácito o expreso.

…y fueron incrementados por el citado Reglamento, por ejemplo con la obligación prevista en su Artículo 112, por virtud del cual aquellos Responsables que lleven a cabo el Tratamiento de Datos Personales en procesos de toma de decisiones sin que intervenga la valoración de una persona física deben hacerlo explícito entre la Finalidades de dicho Tratamiento, al igual que el requisito derivado del último párrafo del Artículo 14 del citado Reglamento, de acuerdo con el cual cuando el Responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento se deberá informar al titular sobre el uso de esas tecnologías, que a través de las mismas se obtienen datos personales y la forma en que se podrán deshabilitar..

Lo anterior fue clarificado a través de los Lineamientos para el contenido y alcances de los Avisos de Privacidad, emitidos por la Secretaría de Economía con fundamento en el artículo 43, fracción III, de la Ley, el cual la facultó para coadyuvar con el IFAI en la emisión de los mismos, cuyo Lineamiento Trigésimo Primero requiere que cuando el Responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento deberá informar al titular, a través de una comunicación o advertencia colocada en un lugar visible, sobre el uso de esas tecnologías y sobre el hecho de que a través de las mismas se obtienen datos personales, así como la forma en que se podrán deshabilitar, salvo que dichas tecnologías sean necesarias por motivos técnicos, obligando asimismo a incluir en el Aviso de Privacidad la información requerida por el Reglamento de la Ley y la de los propios Lineamientos, entre ella, los datos personales que se recaban y las finalidades del tratamiento.

Una de las maneras más obvias para darse cuenta de que un Responsable ha mantenido en uso un Aviso de Privacidad Integral en medios remotos, como una página de Internet, desde la promulgación de la LFPDPPP o el vencimiento del plazo para implementar ese medio de cumplimiento con el Principio de Información es la omisión de la referencia al uso de cookies, web beacons y otros recursos similares en el referido Aviso.

¿Por qué la necesidad de incluir la mención del uso de mecanismos como las “Cookies” en el Aviso de Privacidad? La entrada en Wikipedia para Cookies explica que estos archivos fueron concebidos originalmente para identificar a los usuarios y diferenciar el comportamiento de los sitios de comercio electrónico al realizar compras en sitios de comercio electrónico; por ejemplo pueden ser usadas para “…control de usuario: cuando se introduce el nombre de usuario y contraseña, se almacena una cookie para que no tenga que estar introduciéndolas para cada página del servidor. Sin embargo, una cookie no identifica solo a una persona, sino a una combinación de computador-navegador-usuario”, pero que además de pueden ser usadas para rastrear el movimiento del usuario a lo largo de las páginas web visitadas, búsquedas realizadas, etc.

Desde que Internet se volvió un medio financiado fundamentalmente a través de la venta de publicidad el perfilamiento de usuarios se ha vuelto una necesidad para compañías como Google, Yahoo! y Microsoft. Sin embargo puede tener implicaciones importantes para los usuarios en cuanto a privacidad y acceso a oportunidades. El perfilamiento de usuarios podría

Una nota del Wall Street Journal el año pasado explica, por ejemplo, cómo Orbitz distingue entre usuarios de PC y de Mac para ofrecer antes a estos últimos servicios con precios más altos que a los primeros, asumiendo que quien invierte en una Mac es más proclive a optar por servicios “high-end” y, por lo tanto, más caros. Se han hecho también estudios que apuntan al incremento en el riesgo de que el perfilamiento de usuarios a través de diversos medios, incluyendo Internet, podrían resultar en discriminación. La posibilidad de combinar información de fuentes como registros públicos, reportes de crédito, historial de consumos y ubicación podría prestarse a limitar el acceso a bienes y servicios buscados en Internet si sus oferentes optaran por segmentar ese acceso en función del género, edad, nivel socio-económico y consumo de los usuarios.

De ahí que para lograr una verdadera autodeterminación informativa la autoridad de protección de datos personales haya requerido a los Responsables revelar el uso de tecnologías para obtener datos personales a través de Internet y la manera para deshabilitarlas.

El siguiente video de YouTube ilustra, por ejemplo, cómo Google utiliza y almacena las cookies e información obtenida de ellas en su motor de búsqueda. Por otra parte, el Washington Post publicó hace unos días una nota sobre cómo la Agencia de Seguridad Nacional de los EE.UU.A. se vale de esas mismas cookies para identificar y ubicar blancos de hackeo y vigilancia. De particular relevancia es lo indicado en los siguientes párrafos de la nota, que daría tranquilidad a la inmensa mayoría de los usuarios de Internet:

The intelligence agencies have found particular use for a part of a Google-specific tracking mechanism known as the “PREF” cookie. These cookies typically don’t contain personal information, such as someone’s name or e-mail address, but they do contain numeric codes that enable Web sites to uniquely identify a person’s browser…

The NSA’s use of cookies isn’t a technique for sifting through vast amounts of information to find suspicious behavior; rather, it lets NSA home in on someone already under suspicion

Imagen

Aparentemente la publicación de los Lineamientos del Aviso de Privacidad no contribuyó mucho a la mejor comprensión de la modalidad de dicho documento a que los Responsables del Tratamiento de Datos Personales pueden recurrir de acuerdo con el momento y medio en que obtengan tales datos.  Incluso el propio IFAI expandió el uso del “Aviso de Privacidad Corto” más allá de los límites originalmente previstos para el mismo.

En la nota del pasado 11 de julio abordé el tema de cómo el Aviso de Privacidad para Video-Vigilancia difundido como de modalidad corta por el IFAI no es congruente con lo dispuesto por el Artículo 28 del Reglamento de la Ley ni con el Decimonoveno de los Lineamientos del Aviso de Privacidad, toda vez que el aviso de privacidad corto fue previsto para medios impresos, no audio-visuales.

Más recientemente en una vuelta para buscar algunos insumos del despacho me llamó la atención que una de las dos grandes cadenas de artículos de papelería y oficina tiene junto a sus cajas registradoras un Aviso de Privacidad Simplificado, cuando lo adecuado sería que tuvieran ahí un Aviso de Privacidad Integral.

De acuerdo con el citado Lineamiento Decimonoveno, cuando los Datos Personales sean obtenidos del Titular Personalmente, se deberá poner a disposición de éste un Aviso de Privacidad Integral. En el caso concreto, si el Titular se toma la molestia de acudir en persona a realizar una compra como la descrita, ese sería el aplicable. Cabría naturalmente el argumento en cuanto a que: (i) si el Titular fuera una persona moral o física dedicada ya sea al comercio o al ejercicio liberal de una profesión, el Responsable estaría exento de la obligación de poner a disposición suya el Aviso de Privacidad conforme al Artículo 5 del Reglamento y al Lineamiento Decimocuarto, y (ii) si tales compras son realizadas normalmente por medio de un(a) asistente del comerciante o profesionista individual (por ejemplo, un médico), los datos de facturación se habrían obtenido indirectamente, haciendo aplicable el Aviso de Privacidad Simplificado de acuerdo con el Lineamiento Decimonoveno, fracción II.

Sin embargo queda la pregunta para el caso de todas las personas que no entren en dicha categoría, como por ejemplo la madre o el padre de familia que entren a comprar útiles escolares y no se encuentren en alguna de los antedichos casos de excepción. Más aun, no me pareció haber visto Avisos de Privacidad para Video-Vigilancia, en modalidad alguna.

Una implementación como la que se muestra en la imagen podría ser útil para un establecimiento que atienda telefónicamente, pero no tenga implementado un centro de atención telefónica en que una grabación pudiera reproducir el scipt del Aviso de Privacidad simplificado, por ejemplo para compras o servicios por teléfono. De no ser el caso, las compras en piso de venta deberían llevarse a cabo al amparo de un Aviso de Privacidad Integral.

Recordemos que la carga de la prueba de la puesta a disposición del Aviso de Privacidad recae sobre el Responsable, y que la omisión en uno o más de los elementos de dicho documento, como podría resultar por el uso de uno simplificado en vez del integral, podría resultar en una multa de 100 a 160,000 veces el salario mínimo general vigente en el Distrito Federal.

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site