archivo

Archivo de la etiqueta: criterio

Aviso de Privacidad ¿Múltiple o Monolítico?

23 julio, 2013
Privacy/Protección de Datos
2 comentarios

Una de las discusiones más recurrentes en la práctica de la protección de datos personales en México es la de la disyuntiva entre concentrar el contenido de TODOS los posibles avisos de privacidad del Responsable en un documento, a fin de que los Titulares seleccionen la información relevante para ellos de entre aquélla que no lo fuera, o bien «segmentarlos», de manera que, por ejemplo, se tenga uno para clientes, otro para empleados, y hay quienes incluso adicionan otro más para proveedores (habiendo quienes consideramos que no es necesario en ese caso).

Ejemplos del primer grupo se encuentran en las páginas de Internet de GRUMA y de Roche, en tanto que Sport City (ver esq. inf. izq.) y Walmart se decantan por la segunda.

Será difícil concluir hasta que el IFAI no emita un criterio definido al respecto, y la discusión se centra en la interpretación del artículo 24 del Reglamento de la Ley y el Lineamiento Décimo del Aviso de Privacidad, atento a los cuales dicho documento deberá ser sencillo, eficiente y práctico, con información necesaria, expresado con lenguaje claro en español y comprensible, y con una estructura y diseño que facilite su entendimiento.

Hay quienes sostienen que no sería sencillo para los propios Titulares clasificarse a si mismos entre las diversas categorías para las que el Responsable hubiera dispuesto la redacción de avisos de privacidad, de tal suerte que todos los supuestos posibles deberían ser previstos en un texto monolítico.

También hay quienes dicen que, por ejemplo, la información de datos personales y finalidades del tatamiento de los datos personales de los empleados del Responsable no es necesaria para los clientes del mismo (y tal vez difundir ese listado de datos personales podría suponer un riesgo de seguridad), por lo que lo ideal sería que el Responsable dispusiera uno para cada grupo de finalidades. Me atrevería a decir que en algún momento un alto funcionario del IFAI habría manifestado alguna inclinación por esta postura en una conferencia, pero carezco del soporte documental para ello.

Sea cual fuere el caso, hay más de una forma de matar pulgas y cualquiera será válida hasta que el IFAI no exprese lo contrario.

Mención aparte merece el requisito de redacción en idioma español; si bien es el idioma oficial de los Estados Unidos Mexicanos, esto lo hace indebidamente restrictivo en supuestos como los del artículo 4 del Reglamento de la Ley, bajo los cuales el Tratamiento de datos de residentes en el extranjero podría llevarse a cabo en México (si algún día se logra la certificación de «Puerto Seguro» –Safe Harbor-), no obstante lo cual en los lineamientos no se planteó nada sobre la disponibilidad de traducciones en otros idiomas… como no sea que debiera entenderse implícito en el requisito de la fraccion II del Lineamiento Décimo, que obliga al Responsable a tomar en cuenta para su redacción los perfiles de los Titulares.

IFAI Publica un Nuevo Aviso de Privacidad… y un Criterio.

11 julio, 2013
Privacy/Protección de Datos
Deja un comentario

Imagen

El espectro de aplicación de la Ley Federal de Protección de Datos Personales es sumamente amplio, de manera tal que impacta a un sinnúmero de Responsables, muchos de los cuales no pueden sufragar una asesoría puntual y sofisticada en la materia. Con la intención de que la propia autoridad facilite medios para que dichos Responsables cumplan con la LFPDPPP, se le facultó para proporcionar apoyo técnico para el cumplimiento de las obligaciones establecidas en esa ley a quienes se lo soliciten.

En uso de tal facultad el IFAI difundió un «Modelo de Aviso de Privacidad Corto para Video Vigilancia», difundido mediante comunicado de fecha 7 de julio del presente año. El documento abona a zanjar una discusión existente desde la promulgación de la Ley; aquélla sobre la necesidad de contar con más de un Aviso de Privacidad, en atención al Principio de Finalidad que informa a la LFPDPPP. Dado que la video vigilancia (V-V) es una Finalidad en sí misma y distinta de otras que el Responsable lleve a cabo, y que por ella se da Tratamiento a Datos Personales es preciso contar con el correspondiente Aviso de Privacidad. Diversos edificios corporativos en la Ciudad de México ya lo tienen, en distintos formatos; otros muchos no.

Lo interesante del caso es que en el documento respectivo el IFAI expuso la consideración, y consecuentemente el criterio respectivo, en el sentido de sugerir a los Responsables el uso del Aviso de Privacidad Corto previsto en la fracción III del Decimoctavo de los Lineamientos del Aviso de Privacidad que la Secretaría de Economía publicó el 17 de enero del presente año, y que también ya había sido referido en el artículo  28 del Reglamento en los siguientes términos:

El responsable podrá poner a disposición del titular el aviso de privacidad en términos del artículo anterior, cuando obtenga los datos personales por medios impresos, siempre que el espacio utilizado para la obtención de los datos personales sea mínimo y limitado, de forma tal que los datos personales obtenidos también sean mínimos.

Es decir, la redacción del Reglamento contiene una condicionante importante, tal que su interpretación debería resultar en que el uso del Aviso de Privacidad Corto sólo sea posible en los casos en que los datos son captados por medios impresos, idea que se refuerza considerando el texto de la fracción III del Decimonoveno de los citados Lineamientos:

Cuando el espacio utilizado para la obtención de los datos personales sea mínimo y limitado, de forma tal que los datos personales recabados o el espacio para la difusión o reproducción del aviso de privacidad también lo sean, se podrá utilizar la modalidad de aviso de privacidad corto.

Es interesante observar cómo el IFAI considera (vid. página 6) que por lo limitado de los datos que las cámaras captan y que el espacio físico para dar a conocer el aviso de privacidad es un espacio más bien restringido, la modalidad del Aviso de Privacidad adecuada para estas finalidades es el Aviso de Privacidad Corto, sin perjuicio de que también se ponga a disposición de los Titulares el correlativo Aviso de Privacidad Integral.

Los modelos propuestos por el IFAI son sumamente gráficos, y hacen evidente incluso de manera gráfia la utilización de cámaras de circuito cerrado. Sin duda contribuyen a ofrecer mayor claridad a los Titulares a cuyas imágenes se dé Tratamiento, pero por otra parte el criterio que expande el uso de la modalidad de Aviso de Privacidad Corto más allá de los medios impresos hasta el video motivará controversias prácticas y de iure en el futuro cercano.

Imagen

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

Xavier Ribas

Derecho de las TIC y Compliance

Marcus Kazmierczak

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace

Cedric's Privacy Blog

SoshiTech - Soshitech.com

Technology News, Startup Information & Social Networking