archivo

Archivo de la etiqueta: Aviso de Privacidad

La discusión de la “reforma laboral” fue uno de los capítulos políticos y legislativos más intensos del cierre del sexenio del Presidente Calderón, y su promulgación una de los actos de bombo y platillo con los que el Presidente Peña abrió el suyo. Dentro de los temas acaloradamente discutidos estuvo el de los intermediarios o “empresas de recursos humanos”, “de prestación de servicios” o “outsourcing”, figura que años atrás generó gran preocupación entre las autoridades laborales y recaudatorias por los casos en que a través de ella se llegaba a privar a los trabajadores de prestaciones, como fue el caso de algunas estructuradas bajo apariencia de “cooperativas”, con el consecuente menoscabo al erario y las instituciones de seguridad social.

Ahora bien, el que no se ha llevado a cabo la emisión de la regulación en materia laboral que el Artículo 40 de la LFPDPPP prevé deberá realizarse con la coadyuvancia del IFAI, pueden motivar algunas preguntas como:

  • ¿Quién sería el Responsable del Tratamiento de los Datos Personales de los empleados Titulares, y por lo tanto quién debería poner el Aviso de Privacidad a su disposición?
  • ¿Cómo debería ser categorizado el movimiento de los Datos Personales de la empresa de recursos humanos hacia la prestataria del servicio: Transferencia a un Tercero, o Remisión a un Encargado?
  • Y si fuera Transferencia a un Tercero, que por lo tanto determinaría sus propias finalidades para el Tratamiento de esos Datos Personales, ¿podría exponerlo ello a responsabilidad laboral, y el Aviso de Privacidad resultar una probanza en los procedimientos para determinarla?

Tengo idea de que posiblementeen alguna conferencia en que hubieran participado funcionarios del IFAI se podría haber dicho que el beneficiario del trabajo de los empleados debería poner a disposición de estos su propio Aviso de Privacidad, pero podría fallarme la memoria, y de ser el caso anticipo disculpas por la poca claridad de recuerdos. 

Las respuestas podrían ser más o menos claras en uno u otro sentido, pero nada estará dicho en definitiva hasta que la Secretaría del Trabajo y Previsión Social y el IFAI expidan la regulación secundaria correspondiente.

 

 

 

 

Com IFAI Generadores Aviso Privacidad 1 Com IFAI Generadores Aviso Privacidad 2

La semana antepasada el IFAI lanzó su Generador de Avisos de Privacidad con bombo y platillo, agitando bastante las aguas en el medio de la protección de datos personales, no obstante que se inscribe en las atribuciones que el artículo 39, fracción III, de la LFPDPPP le otorga a ese Instituto, para “proporcionar apoyo técnico a los responsables que lo soliciten, para el cumplimiento de las obligaciones establecidas en la presente Ley”. Incluso debería ser considerado como un avance del propio IFAI, pues lo acerca al nivel de trabajo que tienen instituciones como la Oficina del Comisionado de Privacidad del Canadá, que cuenta con herramientas online para apoyar a los Responsables en el cumplimiento de sus obligaciones, en tanto que la Agencia Española de Protección de Datos ofrece en su mayoría formatos en PDF para tales fines.

El proceso de creación del GAP parece haber sido bastante largo; el propio IFAI lo refirió en la página 14 de su Análisis del Ejercicio del Presupuesto Programático en la Cuenta de la Hacienda Pública Federal de 2012, como “… una herramienta en línea que permita a los responsables elaborar avisos de privacidad, de acuerdo con la normatividad”, cuyo contenido fue elaborado en aquél año.

Lo que ha llamado la atención de varios de quienes ejercemos en esta área son las diferencias en la postura del IFAI que podrían inferirse de la comunicación que ha tenido con el público respecto del trabajo de elaboración de avisos de Privacidad. Si bien siempre aclaró que las herramientas existentes anteriormente, como la del despacho R1OS Abogados, el de ProDato y Contratos Fácil (aclaración, jamás las refirió literalmente) no tenían aval alguno del IFAI, y que éste lanzaría la suya en el futuro, en un principio apuntó, en uno de los comunicados que pueden ver en la presente entrada, que “En el mercado de la consultoría existen empresas que de manera legítima ofrecen sus servicios tanto de asesoría como para la elaboración de los avisos de privacidad pero no tienen ninguna relación con el IFAI, ni la autorización o aval de este Instituto”. Sin embargo, de acuerdo con el comunicado de lanzamiento del GAP, el Comisionado Presidente habría manifestado que con ese Generador de Avisos de Privacidad “…las personas físicas y morales de carácter privado que tratan datos personales pueden generar ya sus avisos de privacidad sin necesidad de pagar miles de pesos a empresas o despachos especializados”.

Así nace la duda en el medio sobre si es que basta con el uso del GAP para generar avisos de privacidad acordes con la LFPDPPP, su Reglamento y los Lineamientos del Aviso de Privacidad sin hacer la inversión en servicios profesionales para ello, o si aún es necesario, o cuando menos conveniente, contar con asesoría profesional al respecto, considerando que el GAP IFAI es una herramienta desarrollada por la autoridad; y siéndolo, ¿con eso se puede estar a salvo de la sanción  prevista en la fracción II del artículo 64 de la LFPDPPP, consistente en multa de 100 a 160,000 días de salario mínimo general vigente por la infracción de la fracción V del artículo 63: “omitir en el aviso de privacidad, alguno o todos los elementos a que se refiere el artículo 16 de la Ley”?

El tema de suyo me remite al caso del Banco de México, que dejó de operar con el público en general en los ’60s, pues se llegó a considerar que esa actividad representaba competencia desleal para la banca comercial, puesto que el público favorecía al Instituto Central por la percepción de mayor solidez y confianza que generaba en el público ahorrador e inversionista. Sin embargo, creo que lejos de ser motivo de estress y preocupación para los profesionales de protección de datos personales el desarrollo de ésta y otras herramientas por parte del IFAI nos debe motivar a esmerarnos más en nuestro trabajo y ofrecer a nuestros clientes mayor calidad y honorarios competitivos, aunque no castigados, por el trabajo de la que sólo es una de las obligaciones que deben cumplir en su carácter de Responsables del Tratamiento de Datos Personales.

La única manera de hacer un juicio de valor al respecto es probar el GAP. Aclaro enfáticamente que en mi despacho no uso, ni usaré, el GAP para generar los materiales correspondentes al servicio que ofrezco a mis clientes; yo hago mi trabajo a pulso, y el valor agregado por el que mis clientes pagan no sólo es el esfuerzo de un profesionista calificado en la materia, sino un servicio individualizado.

El primer punto que llama la atención en el ejercicio es que se asume que el Responsable debe tener claridad suficiente para determinar por sí solo las Finalidades del Tratamiento de Datos Pesonales que lleva a cabo y para el cual genera el Aviso de Privacidad, y de que podría requerir más de un Aviso de Privacidad, pues en atención al Principio de Finalidad, por ejemplo, el Aviso de Privacidad para sus clientes no valdría también para sus empleados.

Además se asume que el Responsable tendrá capacidad para determinar por sí solo én qué casos establecerá una relación jurídica con el Titular, así como cuáles de las Finalidades que haya determinado son necesarias para esa relación jurídica, lo cual requiere de conocimiento jurídico y experiencia en la práctica, que pueden o no estar disponibles en la organización del Responsable a través de sus áreas de administración o contabilidad. Pero de no tenerlas el dicho Responsable poría requerir de todas formas asesoría incluso para hacer uso del GAP, ya que éste no explica por sí mismo los Principios de Proporcionalidad y/o de Finalidad.

Algo que llama mi atención es, por ejemplo, que en Reactivo 5 de la sección VII se contiene un espacio para indicar el nombre de la persona o departamento de datos personales, requisito que corresponde a lo previsto en el Lineamiento Vigésimo Octavo, fracción II, conforme al cual deben indicarse los datos de identificación y contacto de la persona o departamento de datos personales que dará trámite a las solicitudes de los titulares para el ejercicio de los derechos ARCO, al que refiere el artículo 30 de la Ley.

Si bien esto se corresponde con requerimientos como el de identificación del responsalbe de la oficina de atención al cliente de las Entidades Financieras. Sin embargo uno de los aspectos prácticos a considerar debe ser incluso la seguridad del personal dedicado a estas tareas, pues identificarlos puntualmente podría hacerlos víctimas de ataques o agresiones. Además la norma coloca a las personas que sean funcionarios a cargo de datos personales en desventaja con relación a los departamentos de datos personales, cuyos integrantes pueden gozar del beneficio del anonimato.

Es similar el caso de los Responsables personas físicas, quienes de acuerdo con el Lineamiento Vigésimo Primero deben identificarse con nombres y apellidos, lo cual también podría exponerlos en sus personas, al dar a conocer su identidad en documentos de amplia circulación sin el beneficio del velo corporativo. El IFAI haría bien en reconsiderar el requisito, más aún tomando en cuenta que la relación jurídica derivada del Tratamiento de los Datos Personales se establece entre el Titular y el Responsable, no con el personal de éste último.

Además de lo mencionado respecto de la determinación de las Finalidades del Tratamiento y la necesidad de las mismas para la relación jurídica, hay muchas preguntas abiertas que el Responsable no siempre estará en condiciones de responder adecuadamente por si solo, como el caso de los medios para el ejecicio de derechos ARCO que elija poner a disposición del Tiular. El Reglamento de la Ley y los Lineamientos del Aviso de Privacidad prevén que podrán ser aquellos que el Responsable considere pertinentes, y que serán sencillos y gratuitos, sin que el Responsable pueda establecer como única vía para la presentación de las solicitudes del ejercicio de los derechos ARCO algún servicio o medio con costo, y estando el Titular obligado a cubrir únicamente los gastos de envío, reproducción y, en su caso, certificación de documentos, con una excepción, además de que dichos costos de reproducción no podrán ser mayores a los costos de recuperación del material correspondiente.

Podría abundarse más sobre el particular, pero lo ya mencionado bastaría para autorizar a afirmar que no obstante las bondades del GAP, y el hecho que es el primer paso para colocar al IFAI al nivel de las autoridades de protección de datos personales más progresistas y avanzadas en la práctica, realmente no es un sustituto para la asesoría profesional en la instrumentación de un cumplimiento normativo integral y sólido.

Lo anterior más aún considerando que en adición al Aviso de Privacidad, la designación del Funcionario a Cargo de Protección de Datos Personales y los procesos para responder solicitudes ARCO, así como aquellos para la revocación del consentimiento y la limitación del Tratamiento de Datos Personales de acuerdo con el artículo 48, fracción I, del Reglamento es nesario redactar una Política de Privacidad, y conforme al artículo 61 del propio estatuto se debe redactar también una Relación de Medidas de Seguridad, además de llevar a cabo capacitación en materia de protección de datos como lo manda la fracción II del citado artículo 48.

En resumen, defintivamente la disponibilidad del GAP obliga a que los profesionales en protección de datos personales nos pulamos y esforcemos más en nuestro trabajo y ofrezcamos un mejor servicio al cliente, pero no necesariamente cerrará áreas de trabajo en la materia.

El IFAI inició su función como autoridad de protección de datos con sanciones a Responsables del Tratamiento de Datos Personales que fueron bastante mediáticas y causaron impacto lo mismo por la cuantía de la multa que por la visibilidad del multado; primero Farmacias San Pablo, luego Banamex (Grupo Banamex suma ya 5 multas) y Sport City.

Sin embargo la Ley Federal de Protección de Datos Personales en Posesión de Particulares no aplica solamente a grandes corporativos con grandes recursos; son Responsables de su cumplimiento todas las personas de derecho privado que den Tratamiento a Datos Personales por sí o a través de Encargados o Terceros, y las multas son impuestas considerando la capacidad económica del infractor.

Para muestra el caso en el procedimiento de imposición de sanciones PS 0001/13, en contra de un médico psiquiatra (de ahí que el nombre del infractor no figure en la versión pública, ya que son datos de naturaleza confidencial para el IFAI) quien habría expedido una constancia de “depresión y transtorno de personalidad recurrente y lupus eritematoso sistémico” y recetado medicamentos antidepresivos a una paciente (la Titular), y hecho entrega de esos documentos al marido de ésta sin su autorización, resultando de ahí una transferencia de Datos Personales Sensibles (y, según la regulación del sector salud, confidenciales).

Lo más delicado del asunto: de las constancias se infiere que la Titular y su marido estaban en una situación marital compleja, tanto que según las constancias del caso él inició el procedimiento de divorcio días después de la consulta al profesional de la salud, exhibiendo la antedicha constancia como probanza ante el respectivo Juzgado de lo Familiar.

Dentro del expediente de verificación consta que el IFAI requirió al profesional de la salud Responsable:

  • Manifestara por qué expidió el documento a favor del marido de la Titular dándole a conocer Datos Personales Sensibles de ésta (ojo: ello constituiría una confesión, pues procesalmente los hechos expresados en los documentos provenientes de una parte se tienen por confesados por ésta); explicación: que la Titular llegó a consulta por somnolencia debida a haberse automedicado, y que el marido requirió el documento “a fin de continuar con su atención y tratamiento médico”.
  • Señalar si contaba con el consentimiento de la Titular para la Transferencia de sus Datos Personales Sensibles a su marido; respuesta: no, debido a que la Titular se habría presentado en un estado alterado de conciencia por la ingesta del medicamento.
  • Señalar de forma pormenorizada los Datos Personales a los que da Tratamiento y adjuntar copia del documento que emplea para recabar el consentimiento expreso de sus pacientes para el Tratamiento de sus Datos Personales Sensibles; y aquí es donde se hubiera visto el trabajo de cumplimiento normativo bien hecho, de haberlo habido.
  • Medidas de seguridad que garanticen la confidencialidad de los Datos Personales que se le proporcionan;
  • Si cuenta o no con Aviso de Privacidad y cómo lo pone a disposición de sus pacientes; respondido afirmativamente y que en formato impreso.
  • Si él mismo se encarga de atender las solicitudes ARCO, también respondido afirmativamente.
  • Las Transferencias que realiza; respondido como sólo las autorizadas expresamiente por el Titular y las que por excepción permite la Ley, y
  • Pormenores de las medidas de seguridad físicas (resguardo bajo llave), administrativas (nadie más que el Responsable accede a o manipula sus expedientes), y técnicas (obtención personal de los Datos Personales si utilizar medios electrónicos y bajo la ética de la profesión); parecería un desatino del IFAI haber hecho públicos los detalles de las medidas de seguridad adoptadas por el Responsable, pues ello podría poner en riesgo su práctica profesional y los Datos Personales que trata en ella.

Lo anterior fue seguido por una visita de verificación en la cual el Responsable fue cuestionado sobre su práctica y las respuestas que dio por escrito, manifestando entonces que en el Aviso de Privacidad da oportunidad a los pacientes para aceptar expresamente o no la transferencia de sus Datos Personales, pero que no contaba con consentimiento expreso de la Titular denunciante para transferir sus Datos Personales, justificándolo en el estado en que habría llegado a consulta, y en que conforme a la NOM 168-SSA1-1998, que permitiría a los familiares solicitar el resumen clínico del paciente, además de que no habría dado a conocer al marido de la Titular las limitaciones al Tratamiento de los Datos Personales transferidos.

Las determinaciones relevantes en el proceso de verificación concluyeron que:

  • Hubo incumplimiento de la LFPDPPP por la transferencia de Datos Personales Sensibles sin consentimiento de la Titular y sin comunicar al Responsable receptor el las limitaciones al Tratamiento de esos Datos Personales;
  • El Aviso de Privacidad del Responsable no señala las opciones o medios para que los Titulares Limiten el uso o divulgación de sus Datos Personales, y
  • Tampoco señala los medios para dar a conocer los cambios al Aviso de Privacidad.

Dicho sea de paso, si la iniciativa de la denuncia al IFIA vino del abogado que representa a la Titular en su juicio de divorcio, decididamente ese colega es muy buen abogado, puesto que si el marido y su abogado pretendían fundamentar la causa de divorcio en la salud mental de la Sra., la probanza relevante para esos efectos se debería venir abajo como resultado de la verificación y sanción del IFAI, puesto que tal documento fue obtenido en contravención a la Ley Federal de Protección de Datos Personales, y las normas que rigen al proceso prohiben que en el mismo sean utilizadas probanzas contrarias a la ley.

Por ello el IFAI acordó iniciar el procedimiento de imposición de sanciones, remitiendo el Responsable copia simple de su declaración de impuestos por el ejercicio fiscal 2011 y una constancia de percepciones de 2013 para acreditar su situación financiera, y del que le derivaron las siguientes multas:

  1. Por omitir en su Aviso de Privacidad opciones y medios para que los titulares limiten el uso o divulgación de sus Datos Personales, así como la indicación del medio por el cual comunicaría a los titulares de cambios al aviso de privacidad, $5,982.00
  2. Por transferir datos a terceros sin comunicarles el aviso de privacidad con las limitaciones a que el Titular sujetó la divulgación de los Datos Personales, $11,964.00, multa incrementada en un 50% (+$5,982.00) por tratarse de Datos Personales Sensibles.
  3. Recabar o transferir datos personales sin el consentimiento expreso del titular, cuando éste fuera exigible, $11,964.00, multa incrementada en un 50% (+$5,982.00) por tratarse de Datos Personales Sensibles.

En total, las omisiones de este médico en su cumplimiento normativo en materia de protección de Datos Personales le costaron $41,874.00, recursos que decididamente él podría haber dedicado a otra cosa. Algo más para considerar en cuanto al valor de la inversión en el cumplimiento normativo para protección de datos personales.

Una de las discusiones más recurrentes en la práctica de la protección de datos personales en México es la de la disyuntiva entre concentrar el contenido de TODOS los posibles avisos de privacidad del Responsable en un documento, a fin de que los Titulares seleccionen la información relevante para ellos de entre aquélla que no lo fuera, o bien “segmentarlos”, de manera que, por ejemplo, se tenga uno para clientes, otro para empleados, y hay quienes incluso adicionan otro más para proveedores (habiendo quienes consideramos que no es necesario en ese caso).

Ejemplos del primer grupo se encuentran en las páginas de Internet de GRUMA y de Roche, en tanto que Sport City (ver esq. inf. izq.) y Walmart se decantan por la segunda.

Será difícil concluir hasta que el IFAI no emita un criterio definido al respecto, y la discusión se centra en la interpretación del artículo 24 del Reglamento de la Ley y el Lineamiento Décimo del Aviso de Privacidad, atento a los cuales dicho documento deberá ser sencillo, eficiente y práctico, con información necesaria, expresado con lenguaje claro en español y comprensible, y con una estructura y diseño que facilite su entendimiento.

Hay quienes sostienen que no sería sencillo para los propios Titulares clasificarse a si mismos entre las diversas categorías para las que el Responsable hubiera dispuesto la redacción de avisos de privacidad, de tal suerte que todos los supuestos posibles deberían ser previstos en un texto monolítico.

También hay quienes dicen que, por ejemplo, la información de datos personales y finalidades del tatamiento de los datos personales de los empleados del Responsable no es necesaria para los clientes del mismo (y tal vez difundir ese listado de datos personales podría suponer un riesgo de seguridad), por lo que lo ideal sería que el Responsable dispusiera uno para cada grupo de finalidades. Me atrevería a decir que en algún momento un alto funcionario del IFAI habría manifestado alguna inclinación por esta postura en una conferencia, pero carezco del soporte documental para ello.

Sea cual fuere el caso, hay más de una forma de matar pulgas y cualquiera será válida hasta que el IFAI no exprese lo contrario.

Mención aparte merece el requisito de redacción en idioma español; si bien es el idioma oficial de los Estados Unidos Mexicanos, esto lo hace indebidamente restrictivo en supuestos como los del artículo 4 del Reglamento de la Ley, bajo los cuales el Tratamiento de datos de residentes en el extranjero podría llevarse a cabo en México (si algún día se logra la certificación de “Puerto Seguro” –Safe Harbor-), no obstante lo cual en los lineamientos no se planteó nada sobre la disponibilidad de traducciones en otros idiomas… como no sea que debiera entenderse implícito en el requisito de la fraccion II del Lineamiento Décimo, que obliga al Responsable a tomar en cuenta para su redacción los perfiles de los Titulares.

El público en general podría tener opiniones fuertes sobre ciertas prácticas de algunas empresas farmacéuticas, y Genomma Labs no es la excepción. Llama poderosamente la atención que en noticieros aparezcan cápsulas en que una comunicadora “informa” al público de los “Peligros de la Desidia” y proporciona “información que cura” justo antes del anuncio del producto que debería prevenir aquello de lo que la comunicadora advierte, práctica que por un momento tuvo respuesta en la campaña “Dr. Televisión“.

Hoy día Genomma Labs difundió en la prensa el nombre de una consumidora con motivo de la acción que habría ejercido ante la Procuraduría General del Consumidor. En la prensa del día de hoy y en su página de internet Genomma Labs publicó un “comunicado” en el que hace lo que la propia PROFECO no hizo, y que ni ésta ni el laboratorio deberían hacer: exhibió a la Sra. Denisse Peralta Salazar con motivo de la queja que derivó en una multa de $2’000,000.00 por publicidad engañosa, y añadiendo insulto al daño le “agradecen su queja, puesto que son éste tipo de opiniones las que les permiten mejorar aún más su calidad”.

En la imagen de la inserción pagada de la nota se indica como responsable de la misma a Manuel Cruz García, pero dado que valdría la pena revisar esta situación también desde la perspectiva de la protección de datos personales se debe considerar que en el Aviso de Privacidad publicado por esa empresa el Responsable del Tratamiento de Datos Personales es Genomma Lab Internacional, S.A.B. de C.V.

Por principio, sería poco probable que Genomma Lab hubiera obtenido los datos personales de este Titular de manera personal o incluso directa, ya que no vende sus productos directamente al público, sino que los expende a través de diversos canales como supermercados, farmacias, y tiendas minoristas, quienes serían los primeros Responsables de los datos de la compradora que los hubiera adquirido.

Lo más probable es que Genomma Labs no haya tenido conocimiento de la identidad de la consumidora quejosa sino hasta que ésta ejerció, por los motivos que fueran, las acciones que tuvo expeditas conforme a la Ley Federal de Protección al Consumidor con fundamento en su artículo 32 y siguientes, así como 99 de dicho ordenamiento, toda vez que el último artículo referido requiere que el nombre del reclamante sea señalado en la queja escrita, electrónica, telefónica u oral que formule.

Ahora bien, al igual que los demás Sujetos Obligados a la observancia y cumplimiento de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, la PROFECO está obligada a mantener como información reservada la derivada de un procedimiento administrativo como éste, en tanto no hayan causado estado. Pero adicionalmente debió haber conservado los datos personales de la quejosa como confidenciales también con fundamento en esa Ley. De hecho los datos de tal naturaleza permancen como confidenciales aun cuando las resoluciones de estos procedimientos han causado estado, de forma tal que para dar a conocerlas  la autoridad suprime los datos pesonales del texto difundido.

La categorización más lógica del caso es que Genomma Labs habría obtenido los datos personales de la quejosa de manera indirecta; esto fue por el traslado de la queja que la PROFECO le entregó a fin de que se apersonara en el procedimiento. Eso naturalmente autorizaba a esa Responsable a tratar esos datos personales con motivo del procedimiento administrativo, pero no para otras finalidades.

Incluso cabría la duda sobre si la quejosa tuvo siquiera a la vista el aviso de privacidad de Genomma Labs. En términos del artículo 29, fracción I, del Reglamento de la LFPDPPP, cuando los datos personales sean obtenidos de manera indirecta del titular, el responsable deberá observar lo siguiente para la puesta a disposición del aviso de privacidad: “Cuando los datos personales sean tratados para una finalidad prevista en una transferencia consentida o se hayan obtenido de una fuente de acceso público, el aviso de privacidad se deberá dar a conocer en el primer contacto que se tenga con el titular.”

En el contexto del caso concreto, Genomma Labs habría obtenido los datos personales de la quejosa por una transferencia consentida: el traslado que PROFECO le corrió de la queja formulada por ésta última. Para estar en condiciones de proceder a publicarlo como ha hecho, debió haber puesto su aviso de privacidad a disposición de la Titular quejosa previo a la publicación del día de hoy en medios digitales y de la fecha que hubiera sido en su página de Internet.

Más aun, incluso ese aviso de privacidad (cuya conformidad con la LFPDPPP, su Reglamento y los Lineamientos del Aviso de Privacidad resultaría dudosa incluso tras una primera lectura) no prevé qué datos serán materia de tratamiento, ni prevé entre las finalidades del mismo la difusión pública de tales datos. Las finalidades listadas en él son:

  1. Seguimiento y evaluación de la prestación de bienes y/o servicios que nos son suministrados y contactar a los proveedores de dichos servicios;
  2. Cotización de bienes y/o servicios cuyo suministro solicitamos;
  3. Atención de dudas y sugerencias;
  4. Pago y cobro de contraprestaciones y facturación;
  5. Análisis y elaboración de estadísticas o reportes;
  6. Elaboración de contratos derivados de la relación comercial;
  7. Evaluación para determinar si será posible establecer una relación comercial; (viii) comercialización de productos de Genomma; y
  8. Dar cumplimiento a obligaciones contraídas con nuestros clientes.

Éste caso ejemplifica claramente algo que el IFAI ha planteado desde la entrada en vigor de la LFPDPPP; el marco legal de privacidad en México no debe ser visto como un obstáculo para los negocios, sino como un extra que ofrecerle al cliente, paciente o consumidor. Un cumplimiento normativo implementado adecuadamente genera confianza en el Responsable. Por el contrario, acciones como ésta generarían desconfianza entre los consumidores e impactarían negativamente sobre las marcas e imagen del Responsable.

photo(Genomma)

Aviso Privacidad Genomma Labs 17072013

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site