archivo

Archivo de la etiqueta: datos personales

El pasado lunes la CONDUSEF emitió ciertas “recomendaciones” para las para las instituciones de crédito (recordemos que estas se subdividen en “banca múltiple”, “banca de nicho” y “sociedades nacionales de crédito”) en materia de protección de datos personales, mismas que se limitan a lo siguiente:

  1. En caso de que las instituciones tengan conocimiento de que los datos personales de alguno de sus clientes se hayan hecho públicos de forma indebida, deberá de informarle y proceder al cambio de su número de cuenta.
  2. Revisar permanentemente las medidas de seguridad de sus sistemas y procesos de manejo de la información, a fin de garantizar la protección de los datos personales de los usuarios.
  3. Verificar que los terceros con los cuales comparten sus bases de datos para fines de mercadotecnia, o cualquier otra actividad relacionada con su operación, se hagan responsables del correcto manejo y reserva de la información en ellas contenida.
  4. En su caso, iniciar las acciones legales procedentes.

La emisión de las recomendaciones citadas no es realmente de mayor utilidad, por lo obvio y limitado de su contenido, pero tampoco es gratuita; se inscribe entre las consecuencias de la nota publicada por el diario Reforma el pasado 3 de junio de 2013, describiendo la disponibilidad en el mercado negro de bases de datos que presuntamente contienen el Padrón Electoral a cargo del IFE, así como la Informacion Sensible de Usuarios de instituciones de crédito como Banamex y American Express. Más aun, el propio Banamex fue el reciente blanco de la segunda multa impuesta por el IFAI con motivo de la violación de las disposiciones de la Ley Federal de Protección de Datos Personales (LFPDPPP) y su Reglamento (RLFPDPPP).

 
En seguimiento a ello y a otras notas que siguieron el suscrito expuso al Reforma que conforme al artículo 20 de la LFPDPPP las vulneraciones de seguridad que afecten de forma significativa los derechos patrimoniales o morales de los Titulares deben ser informadas de inmeidato a estos por el Responsable del tratamiento de los datos de que se trate, a fin de que estos puedan tomar las medidas correspondientes a la defensa de sus derechos.
 
 
El Reglamento de la citada Ley puntualiza que tal notificación debe realizarse: (i) en cuanto el Responsable confirme que ocurrió la vulneración y (ii) haya tomado medidas para llevar a cabo una revisión exhaustiva de la afectación, para que los Titulares puedan tomar las medidas correspondientes. Tales medidas deben incluir un análisis de las causas de la vulneración y la implementación de acciones correctivas, preventivas y de mejora de las medidas de seguridad físicas, administrativas y técnicas, según sea el caso, relacionadas en el documento relativo a ellas que todo Responsable tiene obligación de llevar.
 
 
La notificación que reciban los Titulares debería indicarles: (i) naturaleza del incidente; (ii) datos personales comprometidos; (iii) recomendaciones que el Titular pueda adoptar para proteger sus intereses; (iv) acciones correctivas realizadas de forma inmediata y, (v) medios por los que pueda obtener mayor información al respecto. Lo anterior responde a un cambio que necesariamente debe operarse en materia de protección de datos personales en México; el Titular de los datos comprometidos por la vulneración debe reaccionar de manera proactiva ante una notificación de tal naturaleza y adoptar las acciones recomendadas por el Responsable, o bien aquéllas que él mismo considere prudentes.
 
 
Ahora bien, en el particular caso de las instituciones de crédito la “Circular Única de Bancos” emitida por la CNBV prevé que aquéllas que se valgan de medios electrónicos para celebrar operaciones y prestar serviciós deben implementar medidas de seguridad en la transmisión, almacenamiento y procesamiento llevado a cabo a través de dichos canales, para evitar que caiga en manos de terceros; tales medidas incluyen el cifrado y/o truncamiento de información, restricciones a los medios para su transmisión.
 
 
Dicha regulación obliga además a tales instituciones a tener controles para el acceso a bases de datos de operaciones y servicios realizados a través de medios electrónicos, mismo que sólo debe ser concedido a personas expresamente autorizadas con motivo de sus funciones, de lo cual deberá dejarse constancia que indique el período al que se limite el acceso, además de procedimientos seguros para la destrucción de medios de almacenamiento de las bases de datos que contenga información sensible de los usuarios.
 
 
Conviene destacar que la definición de “Información Sensible” en la Circular Única de Bancos no corresponde con la de Datos Personales Sensibles en la LFPDPPP, puesto que aquélla es más amplia que ésta última. En materia bancaria se considera Información Sensible del Usuario a su nombre, domicilio, teléfono o correo electrónico en conjunto con los números de sus tarjetas bancarias, números de cuenta, límites de crédito, saldos, indentificadores de usuario o información de autenticación, mientras que la referida ley considera como datos personales sensibles a los que atañen a la esfera íntima del Titular, o se prestarían a someterlo a discriminación.
 
 
De manera paralela a las acciones que la Ley Federal de Protección de Datos Personales obiga a todos los Responsables a tomar ante una vulneración, la Circular Única de Bancos requiere que las instituciones que supongan o sospechen de un incidente que involucre acceso no autorizado a la Información Sensible del Usuario deben (i) enviar, dentro de los 5 días naturales del incidente y por escrito a la Dirección General de la CNBV que los supervise determinada información, y llevar a cabo una invetigación para determinar si la información ha sido o pudo haber sido mal utilizada, notificando tal situación a los propios usuarios dentro de los 3 días hábiles siguientes para prevenirles de los reisgos derivados del mal uso de su información extraída, extraviada o comprometida, así como de las medidas que deban tomar.
 
 
Adicionalmente la Circular Única de Bancos contiene disposiciones que norman la contratación con terceros de servicios o comisiones para realizar procesos operativos o de administración de bases de datos y sistemas informáticos; tal contratación requiere de un aviso del Director General del banco a la CNBV indicando, entre otras cosas, las medidas a ser implementadas respecto de la vulnerabilidad de la información relativa a los clientes.
 
 
En conclusión, el caso reportado por Reforma seguramente no sólo será materia de investigación por el IFAI, el IFE y las instituciones de procuración de justicia, sino también por el regulador bancario.

La amplitud de la definición de Tratamiento en la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) y su Reglamento (RLFPDPPP) es tal que abarca a prácticamente todos los giros mercantiles, y la industria restaurantera no es la excepción.

Tomar reservaciones, entregar a domicilio, emitir facturas o contar con videovigilancia como parte de la seguridad del establecimiento constituyen Finalidades del Tratamiento de Datos Personales por los que la empresa o empresario restaurantero, según sea el caso, son Responsables. Más aun, la relación laboral que tenga con los empleados del establecimiento, sean capitán, chef, ayudantes de cocina, meseros, garroteros o galopinas también conlleva necesariamente el Tratamiento de sus Datos Personales, incluyendo datos patrimoniales, concernientes a su ingreso, y sensibles, ya sean relativos al estado de salud o afiliación sindical de dicho personal.

Aunque podría pensarse que, salvo casos de los restaurantes muy renombrados que son visitados por las grandes figuras de la vida pública nacional, sería improbable que establecimientos de menor calado o más sencillos pudieran atraer la atención del IFAI, ninguno está exento de ser visitado cualquier día por una #ladyprofeco u otro comensal difícil que sólo por ánimo deportivo acuda ante dicho organismo para iniciar un procedimiento de protección de datos que ante la total carencia del antedicho cumplimiento normativo y deficiencias en el mismo implicaría la contingencia de multas no menores de $6,476.00 o $12,952.00, de acuerdo a la gravedad de la infracción, que podrían suponer un revés considerable a las finanzas del restaurante.

Por ello es indispensable que los empresarios restauranteros consideren contar con:

  1. Los Avisos de Privacidad integrales, simplificados y/o cortos que correspondan;
  2. Un funcionario a cargo de datos personales al interior de la empresa;
  3. Una política de privacidad que sea conocida por todos los empleados de sus unidades de negocio, aplicada por el mencionado funcionario;
  4. La relacion de medidas de seguridad física, administrativa y técnica que implementen para el resguardo de los Datos Personales a los que den Tratamiento;
  5. Documenten la relación que tengan con Encargados del Tratamiento de Datos Personales de sus clientes, como call centers o empresas de entrega a domicilio, y
  6. Consideren si deben y pueden implementar medidas compensatorias para dar a conocer su aviso de privacidad a los clientes cuyos datos continúen tratando bajo el imperio de la LFPDPPP.

Asimismo es importante que atiendan al criterio de minimización previsto por el RLFPDPPP. Por ejemplo, en caso de atender a comensales que padezcan alergias o intolerancia a ciertos alimentos o condimentos, ¿se consideraría Tratamiento que el comensal le indique a su mesero que es alérgico al gluten? En tal supuesto, ¿el restaurante debería almacenarlo en su base de datos? Porque de hacerlo, el Aviso de Privacidad del restaurante tendría que prever el Tratamiento de Datos Personales Sensibles.

El tratamiento de la imagen de los comensales, por ejemplo al realizar “activaciones” u otras actividades de mercadotecnia y prospección comercial ameritarían mención aparte, por tener también implicaciones en materia de derechos de autor. Adicionalmente en el caso de recurrir a redes sociales para tal fin obliga a atender a los Términos de Uso de cada una de ellas.

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace