archivo

Archivo de la etiqueta: cookies

Cookie MonsterEl escalonamiento con el que la regulación mexicana en materia de protección de datos personales ha sido emitida ha supuesto para los Responsables del Tratamiento de Datos Personales la necesidad de hacer trabajo adicional para implementar su cumplimiento normativo  correctamente.

Desde el 5 de julio de 2010, fecha en que fue promulgada la Ley Federal de Protección de Datos Personales, y hasta el 21 de diciembre del 2011, mucho después de transcurrido el plazo de un año previsto en el Artículo Tercero Transitorio de esa Ley para que dichos Responsables expidieran sus Avisos de Privaciad, hasta que tras un largo periodo de comentarios públicos en la Comisión Federal de Mejora Regulatoria, fue expedido el Reglamento correspondiente, todos los requisitos para esos Avisos de Privacidad que posteriormente fueron denominados como Integral y Simplificado estaban contenidos en los artículos 8, 15, 16, 36 y 37 de la Ley.

Esos requisitos se limitaban a:

  1. Identidad y domicilio del Responsable;
  2. Información que se recaba de los Titulares de los Datos Personales tratados;
  3. Finalidades del tratamiento de datos;
  4. Ppciones y medios para que los Titulares limiten el uso o divulgación de sus Datos Personales;
  5. Medios para ejercer los Derechos ARCO;
  6. Las Transferencias de datos que se efectúen;
  7. El procedimiento y medio por el cual el Responsable comunicará a los Titulares los cambios al Aviso de Privacidad, y
  8. Consentimiento, ya sea tácito o expreso.

…y fueron incrementados por el citado Reglamento, por ejemplo con la obligación prevista en su Artículo 112, por virtud del cual aquellos Responsables que lleven a cabo el Tratamiento de Datos Personales en procesos de toma de decisiones sin que intervenga la valoración de una persona física deben hacerlo explícito entre la Finalidades de dicho Tratamiento, al igual que el requisito derivado del último párrafo del Artículo 14 del citado Reglamento, de acuerdo con el cual cuando el Responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento se deberá informar al titular sobre el uso de esas tecnologías, que a través de las mismas se obtienen datos personales y la forma en que se podrán deshabilitar..

Lo anterior fue clarificado a través de los Lineamientos para el contenido y alcances de los Avisos de Privacidad, emitidos por la Secretaría de Economía con fundamento en el artículo 43, fracción III, de la Ley, el cual la facultó para coadyuvar con el IFAI en la emisión de los mismos, cuyo Lineamiento Trigésimo Primero requiere que cuando el Responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento deberá informar al titular, a través de una comunicación o advertencia colocada en un lugar visible, sobre el uso de esas tecnologías y sobre el hecho de que a través de las mismas se obtienen datos personales, así como la forma en que se podrán deshabilitar, salvo que dichas tecnologías sean necesarias por motivos técnicos, obligando asimismo a incluir en el Aviso de Privacidad la información requerida por el Reglamento de la Ley y la de los propios Lineamientos, entre ella, los datos personales que se recaban y las finalidades del tratamiento.

Una de las maneras más obvias para darse cuenta de que un Responsable ha mantenido en uso un Aviso de Privacidad Integral en medios remotos, como una página de Internet, desde la promulgación de la LFPDPPP o el vencimiento del plazo para implementar ese medio de cumplimiento con el Principio de Información es la omisión de la referencia al uso de cookies, web beacons y otros recursos similares en el referido Aviso.

¿Por qué la necesidad de incluir la mención del uso de mecanismos como las “Cookies” en el Aviso de Privacidad? La entrada en Wikipedia para Cookies explica que estos archivos fueron concebidos originalmente para identificar a los usuarios y diferenciar el comportamiento de los sitios de comercio electrónico al realizar compras en sitios de comercio electrónico; por ejemplo pueden ser usadas para “…control de usuario: cuando se introduce el nombre de usuario y contraseña, se almacena una cookie para que no tenga que estar introduciéndolas para cada página del servidor. Sin embargo, una cookie no identifica solo a una persona, sino a una combinación de computador-navegador-usuario”, pero que además de pueden ser usadas para rastrear el movimiento del usuario a lo largo de las páginas web visitadas, búsquedas realizadas, etc.

Desde que Internet se volvió un medio financiado fundamentalmente a través de la venta de publicidad el perfilamiento de usuarios se ha vuelto una necesidad para compañías como Google, Yahoo! y Microsoft. Sin embargo puede tener implicaciones importantes para los usuarios en cuanto a privacidad y acceso a oportunidades. El perfilamiento de usuarios podría

Una nota del Wall Street Journal el año pasado explica, por ejemplo, cómo Orbitz distingue entre usuarios de PC y de Mac para ofrecer antes a estos últimos servicios con precios más altos que a los primeros, asumiendo que quien invierte en una Mac es más proclive a optar por servicios “high-end” y, por lo tanto, más caros. Se han hecho también estudios que apuntan al incremento en el riesgo de que el perfilamiento de usuarios a través de diversos medios, incluyendo Internet, podrían resultar en discriminación. La posibilidad de combinar información de fuentes como registros públicos, reportes de crédito, historial de consumos y ubicación podría prestarse a limitar el acceso a bienes y servicios buscados en Internet si sus oferentes optaran por segmentar ese acceso en función del género, edad, nivel socio-económico y consumo de los usuarios.

De ahí que para lograr una verdadera autodeterminación informativa la autoridad de protección de datos personales haya requerido a los Responsables revelar el uso de tecnologías para obtener datos personales a través de Internet y la manera para deshabilitarlas.

El siguiente video de YouTube ilustra, por ejemplo, cómo Google utiliza y almacena las cookies e información obtenida de ellas en su motor de búsqueda. Por otra parte, el Washington Post publicó hace unos días una nota sobre cómo la Agencia de Seguridad Nacional de los EE.UU.A. se vale de esas mismas cookies para identificar y ubicar blancos de hackeo y vigilancia. De particular relevancia es lo indicado en los siguientes párrafos de la nota, que daría tranquilidad a la inmensa mayoría de los usuarios de Internet:

The intelligence agencies have found particular use for a part of a Google-specific tracking mechanism known as the “PREF” cookie. These cookies typically don’t contain personal information, such as someone’s name or e-mail address, but they do contain numeric codes that enable Web sites to uniquely identify a person’s browser…

The NSA’s use of cookies isn’t a technique for sifting through vast amounts of information to find suspicious behavior; rather, it lets NSA home in on someone already under suspicion

Un comentario que recurre de manera común al exponer a los Responsables la necesidad de implementar el cumplimiento normativo en materia de protección de datos personales es que, al parecer de muchos, la entrada en vigor del marco regulatorio correspondiente ha generado una nueva burocracia y tramitología que, a la postre, incrementa su riesgo legal.

Además de mirarlo desde la óptica del incremento que esto reporta en la confianza de los clientes y trabajadores de la empresa, así como un ejercicio valioso en sí por “tener la casa en orden”, procuro señalar a mis clientes que hay aspectos de esta labor que pueden abonar a mitigar su riesgo legal en otros aspectos, y uno muy concreto es la observancia de los derechos de propiedad intelectual.

Existe una organización de la sociedad civil llamada Business Software Alliance, integrada por un “quién es quién” del mundo de la tecnología y con alcance global (incluyendo un capítulo en México) que coadyuva con los gobiernos de los países en que tiene sedes para combatir la piratería de software, misma que innegablemente es un problema en México. Dicha organización recibe a través de su página de Internet “denuncias anónimas”, que posteriormente se materializarán en correos electrónicos de sus abogados (que son muy buenos) a través de los cuales “requieren” que el denunciado exhiba los documentos justificativos de la propiedad de su hardware (servidores, CPUs, laptops) y del software con el que éste opere.

Tratándose de una organización de la sociedad civil, más no autoridad, en un descuido podría pensarse que ignorar tal “requerimiento” no tendría consecuencias; sin embargo la BSA lleva años manteniendo vigente un conveno de cooperación con el Instituto Mexicano de la Propiedad Industrial por virtud del cual la desatención a la solicitud de aquélla podría derivar en una visita de éste último, mismo que sí es autoridad y puede requerirle a su empresa todos los elementos de prueba necesarios para justificar que no esté incurriendo en una infracción a la Ley de la Propiedad Industrial.

Ahora bien, la fracción IX del artículo 61 del Reglamento de la Ley Federal de Protección de Datos Personales prevé que la Relación de Medidas de Seguridad con que debe contar el Responsable del Tratamiento de Datos Personales debe incluir “…un inventario de los sistemas de tratamiento (de datos personales)… y un registro de los medios de almacenamiento (de los datos personales)”.

Tal registro debería incluir precisamente servidores, CPUs de desktops, laptops, incluso smartphones y, de ser posible, USBs entregados a los empleados de la empresa para la realización de sus labores. Al contar con ello el Responsable podrá tener mejor control del Tratamiento de Datos Personales que lleva a cabo, proveerá a la trazabilidad de tales Datos y, a la postre, estará preparado para el caso que llegase a recibir la visita del IMPI y la BSA, conjurando la contingencia de acciones administrativas e incluso tal vez penales derivadas del intento por oponerse a la visita de verificación de dicho Instituto, motivada po la solicitud de BSA.

Para muestra basta un botón; recién se difundió la clausura de una empresa Queretana que se opuso a que el IMPI realizara una inspección de sus sistemas de cómputo. Por el contrario, contar con la Relación de Medidas de Seguridad, que es obligatoria desde el 20 de junio del presente año, mitigará el riesgo legal de una visita del IFAI y le permitirá estar más preparado para atender satisfactoriamente una inspección del IMPI.

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site