archivo

Archivo de la etiqueta: Google

google-law-gavel - Copy

Timing is of the essence, and the release of the communiqué by IFAI, Mexico’s data protection authority, announcing its decision to fine Google Mexico for failing to comply with an individual’s objection to the processing of his data and IFAI subsequent order thereto, is no exception. It was released exactly one week ago, right on the eve of international data privacy day, and therefore remarked upon almost every single one of the participants in the conferences organized for that date. It was also very timely released less than 20 days after the political analysis magazine “Proceso” questioned IFAI’s unwillingness to act against Google, on grounds that it was near and dear to the current administration’s digital agenda, seemingly implying that afforded the search giant some measure of immunity.

However now IFAI ranks up there with countries such as the United States, Germany, the Netherlands and Spain, which have in one way or another acted against Google for transgressions to their privacy frameworks; however it is not the first time that Google has come before IFAI’s crosshairs, and also while many privacy commentators and scholars opine that this case bears a strong resemblance to the “Costeja Case” of the Spanish Privacy Agency and European Court of Justice regarding the “right to be forgotten”, there are important nuances to it.

Key ideas following here folks: as of June 2002 there is a “FOIA-equivalent” Transparency Law in force in Mexico, which includes provisions on privacy regarding personal information in the power of agencies and instrumentalities of the Federal government. In 2009 the Mexican Constitution was amended for the right to data protection to be included among the human rights protected by it, and afford Federal Congress the power to pass laws thereupon. About a year thereafter Mexico’s federal privacy law (Ley Federal de Protección de Datos Personales en Posesión de los Particulares or LFPDPPP) was enacted. The amendment to the Constitution and both Federal statutes follow the model set by the European Union’s Privacy Directive, providing for 4 fundamental appurtenances of individuals as concerns the processing of their personal information:

  1. Access thereto;
  2. Rectification thereof;
  3. Cancellation thereof, and
  4. Opposition (to the processing thereof).

Having outlined the above, this is not the first time Google and IFAI have met face to face. In March 2011 IFAI ruled on case 4198/09, concerning the petition of an individual to the Federal Labor Board (the administrative court that hears labor cases in Mexico) for its online-searchable daily bulletin of cases to be heard on a given date to not include his name, so as to prevent him from being rejected by future employers on grounds of having sued a former employer.The petitioner had to sue in Federal court in order for his request to be honored by said Board and IFAI itself, following which the latter found on review that the measures proposed by the Board had been appropiate and in compliance with the rulin in the case wherein the Board proposed to:

  • Modify the format o the files used to publish the Bulletin on the Board’s website, so that search engines cannot find and index the individual’s name with regards to the labor case concerned, and
  • Directly request Google to delete from its indexes the information concerning the individual’s name with regards to the labor case concerned.

The record shows that the Board did reach out to Google therefor; however it remains unknown whether or not Google complied with the Boards request.

Then on March 2014, IFAI ruled on a verification proceeding initiated relative to Google for its caché of a website under the domain abctelefonos.com., which belongs to Nexus World LLP in the UK, for which a person complained about on grounds that the original source for the infringing information had removed it, but Google had not.

Google Mexico was served with a request for information to which it replied in terms that are relevant for the sanctions case at hand, so bear this in mid: it responded that as per its current bylaws its corporate purpose includes (bylaws in Mexico have these ridiculously long listings of things the corporation may do in pursuing its corporate purpose)…

1. Commercializing and selling online advertising and products and services for direct commercialization, in Mexico or abroad, on its own behalf or the behalf of third parties, as well as to provide all kinds of services through electronic means, including but not limited to, search engine, instant messaging, email, storage, reproduction and broadcast and retransmission of of data, and similar, annex and related services.

However another key concept is also quoted on that reply from Google Mexico to IFAI:

Notwithstanding the breadth of its corporate purpose, the activities that my principal in fact performs in Mexico center on those described in numeral 7 of article Third in its bylaws, particularly in the purveyance of administrative, financial, advisory and consulting services for corporations.

7. Receiving from other persons, individuals or corporations, as well as providing said individual or corporations whichever services necessary to comply with their corporate purposes, including but not limited to, administrative, financial, technical assistance, advisory and consulting services.

And then it underscored:

My principal does not provide the search engine service, as said service is provided by Google, Inc., an American corporation that owns the corresponding technological platform, with domicile at 1600 Amphitheatre Parkway, Mountain View…which operates and provides, amongst others, the search engine service for its users using its own servers and equipment. Therefore my principal does not gather nor process personal information of the users of the services provided by Google Inc.

Consequently,…Google Mexico, s de R.L. de C.V., is not the corporation that owns nor is responsible for the operation of the search engine service, as said services is offered and managed by Google, Inc. …Google, Inc., and Google Mexico, S. de R.L. de C.V., are different corporations, besides Google Mexico, S. de R.L. de C.V. is not a liaison office, branch or representative office of Google, Inc.

It further underscored that “Google Mexico only processes personal information of its employees and the databases that include physical files that contain them are the only elements that are protected pursuant to the LFPDPPP, and that exist in its facilities, and so it has been attested by the Verifiers…”

What follows is material for the instant case; in the Third finding (“Considerando Tercero”) to IFAI’s resolution in the verification proceeding said data protection authority stated that “[f]rom the information in the file being acted upon it is found that as regards the services relative to the search engine and email that in their time gave rise to the opening of the file that is acted upon, as well as the statements of the Complainant in his writ of February 6, 2014, these are provided by Google, Inc., a corporation domiciled in the United States of America, over which this Institute lacks jurisdiction by territory, as it escapes the content of the LFPDPPP, as provided for in its article 1 and is not within the provisions of article 4 of its Regulations…”

Based on the foregoing, IFAI found that there had been no violations of Google to the LFPDPPP, and resolved to have the file archived without further consequence thereto.

Bearing the above in mind, now consider that the instant case was initiated by a complaint dated July 22, 2014, wherein an individual referred having exercised his rights to the cancellation of his data and opposition to the processing thereof before Google with regards to 3 URLs found through its search engine, but having had no reply thereto, whatsoever, from Google Mexico, which is in and of itself a violation of the LFPDPPP. He claims that the information which deletion he requested included his name, his brothers’ (however the record does not refer that the complainant had authority and standing to represent his siblings) and his late father’s (also no reference to standing as executor of the gentleman’s estate), as well as “…clipped and out-of-context information on my activities as a businessman and merchant, which not only affects my most intimate sphere (honor and private life), but also current commercial and financial relationships…said information entails a grave risk to my personal security and physical integrity, as it is information linked to financial, patrimonial and judicial aspects…said information was uploaded and published to the “Google” search engine without my consent”.

The above assertions by the complainant are interesting, insofar as Roman numeral II in article 5 in the Regulations to the LFPDPPP exempt information concerning individuals in their capacity as merchants from its provisions; while that poses legality issues that could lend themselves to successful challenges thereto in court, fact is that IFAI is bound by said Regulations and should therefore not have considered that information as protected under them and the LFPDPP. However it decided to move forward with the case, as per the complainant’s assertions Google failed to respond to his petition, which under the LFPDPP provides for a cause of action before said Institute under a “Rights Protection Proceeding”, whereby IFAI may find for fault on the part of the Data Controller and order for the request to be complied with, but also mediate between the parties involved.

The bold assertions by the claimant’s counsel include statements that “Google (Mexico) possesses, controls, processes, authorizes, facilitates, shares, provides, makes possible, distributes, aids and abets the undue processing of sensitive personal data of our client, by allowing for information that does not comply with the requirements of the law, and much less with the principles… that govern the processing of personal information, to be uploaded, published and displayed through its “Google” search engine…”.

Anecdotally, it seems that an inappropriately redacted public version of the file was released at some point and has been blogged and reposted by a number of commentators (just as in the Liverpool department store breach case, this blog deals in legal scholarship and not news, so it refrains from further facilitating access to information that was or is not meant to be made public by its originators and thus no hyperlinks to the leaked copy of the file are included), wherein enough information of the search results was visible to allow readers to trace the allegedly infringing URLs the complainant complained about and realize that it had to do with a transport company and allegations that it was one of many favored by the bank bailout of the mid-90s (re: “Fobaproa”). In this sense the case may have the same ironic, undesirable and unexpected collateral effect as the Costeja Case: instead of achieving oblivion, the complainant’s identity and data involved in the case will become pervasive in future discussions and comments on the case. Perhaps there are instances where a good SEO strategy yields better results than the law?

IFAI’s requests for information regarding the instant case, regarding it relationship to Google International, LLC, and Google, Inc., as well as the search engine services it provides, whether it has servers of its own, how its services are, or are not, linked to the aforesaid partners, etc., were responded much in the same way as those in the verification case previously discussed, with Google Mexico reiterating that it does not operate or provide in any way services on behalf of Google Inc., does not have servers of its own and doesn’t provide, in any way, search engine services, which are provided by Google Inc.

However IFAI departed from its criteria set in the previous case, and the Second finding in the ruling for this one established as the cornerstone for the decision to sanction Google Mexico exactly what the Third finding established as the cornerstone to absolve it: regardless that Google Mexico has no servers of its own and does not actually provide the search engine service in and of its own, as there is a provision in its bylaws whereby its corporate purpose includes the purveyance of such services it therefore does provide them and is consequently bound by the LFPDPPP with regards to them. To support this statement IFAI’s verification officers certified screenshots of searches of the complainant’s name made through http://www.google.com.mx, as well as of Google’s pages dealing with its Terms and Conditions, “About”, “Locations”, etc., on which grounds said Institute found that Google Mexico did provide search engine services that amount to processing of personal data, and is therefore bound by the LFPDPPP, under obligation to comply with the claimant’s petition and subject to that proceeding.

In this point one might wonder if the whole thing could have been prevented if Google Mexico had replied to the claimant’s petition; the answer, for short, is “NO”: under the LFPDPPP an individual has cause for action in a Rights Protection Proceeding not only if the Data Controller does not respond to his petition, but also if he’s in disagreement with the response. However, even if Google Mexico weren’t the Data Controller, it should have responded to the claimant, as articles 95 and 98 of the Regulations to the LFPDPPP state that all petitions by individuals must be responded by Data Controllers, whether or not they possess personal data of the petitioning individuals. IFAI further found that Google Mexico was in fact the Controller of the Data processed as concerns the instant case, and that it failed to invoke any of the exceptions in the law to the obligation to respond to an individual’s petition, or a legal impediment thereto.

It consequently ordered Google Mexico to perform the actions necessary to implement the complainants rights to have his personal data cancelled from its search results and to oppose such processing thereof, within the 10 business days following notice of the ruling, by abstaining from processing said data in such a way that after typing the complainant’s name the URLs quoted in the initial complaint no longer show up, and by having said details cancelled from its databases…although there is record from another case that Google Mexico has no such databases.

Google Mexico could not possibly (technically nor materially) comply with the foregoing; but  in addition to the above, IFAI found that Google Mexico did not comply with the complainants initial petition and carried on with the illegitimate processing of his personal data, so that there were grounds to initiate a sanctioning proceeding against Google Mexico, which the latter would appear may have ample chances of successfully challenging if it came to a fine being assessed against it.

As other privacy practitioners and commentators have remarked and underscored, this case bears an inextricable nexus with the aforementioned Costeja Case, so much so that IFAI itself quoted the ruling thereupon by the European Court of Justice (page 34 of the file). However, as the usual length for a blog entry has been exceeded by far herein, comments on that particular issue will be made tomorrow, in the next entry hereto.

BABYWALLS-master675-v3

What could be more innocent than a baby’s picture, or more moving that one of a mother or parents holding their newborn for the first time? Perhaps for the new family and the healthcare providers, but not necessarily for every beholder. Few things can make someone more personally identifiable than a photograph, and the care of a child, even more so a newborn, goes beyond healthcare. Less than a year ago a columnist for Slate wrote a piece on the pitfalls and perils for a child’s privacy and safety that may stem from posting her across social networks (there’s abundant literature to that regard online). Parents have certainly been keen since forever in capturing the fleeting moments of childhood for endearing recollection in later years, and sharing them on networks such as Facebook, Instagram, Flickr and the like may seem like the day in age equivalent of having your guests at social gatherings look at the Kodak carrousel slides or 8mm films of yesteryear… only it’s not. Those viewings remained in the privacy and care of the venues where they were held and of the people who attended; nowadays

For sure products such as Google’s make it possible to store for posterity heaps of cherished memories that would otherwise be lost to the mists of time. But parents should also consider that the processing of data with new capabilities for its mining, facial recognition, etc, and asymmetry in privacy regulation make it hard to foretell what may become of an image or video that you may believe is cute, but that their child could regard as humiliating or offensive later in her life.

Now those involved in the miracle of birth (starting with parents) have a duty to be mindful of what they do with the personal data of the child and her family, as it is then that they are the more vulnerable. I recall that sometime about 12 or 13 years ago, when some of the first bills that were mashed up into Mexico’s current data protection law were being discussed in the Commerce Committee of the Chamber of Deputies a representative of the Secretariat of Economy, who had recently become a mother, voiced her personal concern for having received an unsolicited basket with gender-specific baby care products at her home shortly after her delivery.

The New York Times ran a piece on how the accustomed collages of baby pictures in the offices of the obstetricians and midwives who assisted in their delivery are being moved out of the sight of the public or stored with their files and charts, as their display absent a properly executed consent form drafted under the Health Information Portability and Accountability Act (HIPAA), cutting against an age-old practice for a line of work that’s largely built on word of mouth, but founded on trust. As per that piece, heaps of baby pictures that used to go on walls are now filed with patient charts in times when “selfies” in the most varied of contexts are commonplace.

Mexico has yet to harmonize the statutes and regulations that intersect with its novel privacy law, but it’s a fact that pictures also constitute personal data covered under the Federal Law for the Protection of Personal Data in Possession of Private Parties and Regulations thereto. There’s an entry in this blog where I go over the issues for legal interpretation and practice in dealing with images that stem out of this; in the particular case of celebratory baby pictures in the context of the privacy of health information and records, the Mexican Official Norm 004-SSA3-2012  only has one provision referring to the publication of photographs in health records that make it possible for the patient to be identified, limiting it to medical literature, teaching or research, stating that written consent from the patient shall be required, and that necessary measures shall be taken so that said patient may not be identified, which must be written into informed consent notices for the purpose of providing health services, but which anonymization would undermine the whole purpose of baby or delivery pictures displayed as the newspiece from the Times refers.

Therefore, and until health authorities in Mexico undertake and conclude the aforesaid work of harmonizing privacy laws and issue express criteria on such matters, it could be assumed that pictures taken by the parents, or by health care providers at their request, to commemorate the birth of their children might not be regarded as materials comprised with the definition of “Health Record” under said Norm, as they are not intended for recording, annotating, attesting or certifying the part of the health care providers in the patient’s care and, therefore, could be thought of as not subject to it, but to the more general privacy law, whereby individuals are to be explicitly informed as to the use of their images for purposes of promotion and/or marketing, and their express consent therefore is required since all information concerning health is provided to be sensitive, regardless of how obvious or not pregnancy or birth could be.

URE 08-20URE 08-20(2)Uno de los principios de mi práctica profesional es que decir que algo no es posible no requiere estudio; se puede decir que “no” siendo absolutamente ignorante, pero un abogado competente debe explicar claramente el por qué del “no”, y al menos intentar concebir una estructura conforme a la que sí sea posible, salvo que la materia de la consulta sea ilegal.

Para ser competente como abogado de empresas de tecnología, sean o no start-ups, no basta ser capaz en derecho corporativo, “cyberlaw” o protección de datos; un interesante artículo en el número 73 de Stanford Lawyer Magazine contiene (vid. pp. 14-23) entrevistas con los entonces abogados internos de Microsoft, Google, Cisco, eBay, Yahoo!, Qualcomm, Autodesk y Oracle (TODOS egresados de STANFORD LAW SCHOOL), que ilustran la necesidad de ser también capaz en el ámbito de la propiedad intelectual, la competencia económica, incluso derecho fiscal y comercio exterior, como lo hacen los casos de competencia económica que han enfrentado Microsoft y Google, ya sea por la esctructura de su sistema operativo o su negocio de búsquedas y anuncios, respectivamente. Claramente no es posible que un solo abogado maneje todas esas materias en todas las jurisdicciones en las que compañías globales como esa tienen operaciones, pero es importante entenderlas y mantenerse actualizado.

En línea con ese afán de actualización, el martes 8 de julio del presente año el IFAI fue anfitrión de una conferencia dictada por el Dr. Oscar Puccinelli, quien expuso los aspectos relevantes y consideraciones que le merece la sentencia en contra de Google dictada por el Tribunal de Justicia de las Comunidades Europeas en materia del llamado “Derecho al Olvido“; es decir, la facultad reconocida al individuo para ejercer su autodeterminación informativa de forma tal que, dentro de ciertos límites, la información de su pasado no lo persiga indefinidamente, afectándolo en sus relaciones o en el acceso que pudiera o no llegar a tener a ciertas prestaciones.

Antes de la entrada en vigor de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares dicha prerrogativa era reflejada en el artículo de la Ley para Regular las Sociedades de Información Crediticia (conocidas coloquialmente como “burós de crédito”), cuyo artículo 23 prevé  tanto la obligación de dichas Sociedades de conservar los historiales crediticios de personas físicas y morales que les sean proporcionados por sus Usuarios durante al menos 6 años (72 meses), y de eliminar una vez transcurrido ese plazo la información que refleje el incumplimiento de cualquier obligación, lo cual atiende al Principio de Calidad que informa a la LFPDPPP. A dicho respecto conviene destacar que la fracción I, del artículo 2 de la LFPDPPP excluye de su aplicación a las Sociedades de Información Crediticia.

Actualmente la disposición citada tiene su correlativa más general en el artículo en el párrafo tercero del artículo 11 de la LFPDPPP, conforme al cual:

“El responsable de la base de datos estará obligado a eliminar la información relativa al incumplimiento de obligaciones contractuales, una vez que transcurra un plazo de setenta y dos meses, contado a partir de la fecha calendario en que se presente el mencionado incumplimiento.”

Ahora bien, el caso materia de la conferencia del Dr. Puccinelli, que como apuntó él tuvo el efecto contrario al que perseguía el Titular de los Datos Personales en cuestión (pues además de haber sido ampliamente reportado en la prensa, ahora será recordado siempre en análisis académicos y doctrinarios como éste), versó sobre la interpretación de los siguientes artículos de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, del 24 de octubre de 1995, relativa a la protección de las personas físicas respecto del Tratamiento de Datos Personales y libre circulación de estos:

  • 2, incisos b) y d),
  • 4, apartado 1, incisos a) y c);
  • 12, inciso b), y
  • 14, párrafo primero, inciso a).

Lo anterior con relación al litigio entre ambas empresas de Google Inc., Google Spain, S.L. y la Agencia Española de Protección de Datos y el Sr. Mario Costeja González con motivo de la resolución de la AEPD que consideró procedente la reclamación de dicho Titullar contra aquéllas sociedades, ordenándoles retirar los datos del Titular de su índice e imposibilitar el acceso futuro a ellos. El caso se originó porque el Titular presentó una reclamación contra el diario La Vanguardia Ediciones, Google Spain y Google Inc., puesto que al realizar una búsqueda con su nombre aparecían vínculos hacia los ejemplares del 19 de enero (atención cinéfilos, el aviso de la almoneda que originó el caso fue publicado junto a una nota del caso de Ramón Samperio, que inspiró la película “Mar Adentro“)  y 9 de marzo del ’98, en que aparecían anuncios de la subasta de inmuebles propiedad del Titular con motivo de un adeudo con la Seguridad Social española, los cuales exigió a La Vanguardia eliminar o modificar de forma que sus datos no fueran visibles, y a Google eliminarlos u ocultarlos para que dejaran de aparecer en los resultados de búsqueda y de estar ligados a los enlaces de La Vanguardia, puesto que el embargo de mérito había sido resuelto y, por lo tanto, los datos ya no eran relevantes.

La AEPD desestimó la reclamación contra La Vanguardia, por considerar a las publicaciones como justificadas, al haber sido realizadas por orden del Ministerio de Trabajo y Asuntos sociales, para dar publicidad a la subasta. Por el contrario, consideró procedente la reclamación contra las empresas Google, que administran motores de búsqueda sujetos a las normas de protección de datos personales, pues llevan a cabo el Tratamiento de tal información, por lo que son Responsables “…y actúan como intermediarios de la sociedad de la información”, por lo que dicha Agencia contaba con facultades para ordenar que se retiraran los Datos y se imposibilitara el acceso a ellos en caso de lesionar los derechos a la protección de datos y dignidad de la persona.

Los aspectos relevantes que resultan del fallo del Tribunal son los siguientes:

  1. Jurisdicción y Aplicación Territorial: Por principio, si es que una oficina de venta de publicidad, nombrada representante y responsable del Tratamiento de archivos y para atender solicitudes de protección de datos, constituye o no un “Establecimiento”, para efectos de la Directiva y la Ley nacional, y la interpretación de “recurso a medios situados en el territorio del Estado miembro” respecto del uso de programas robot para localización e indexación e información o el uso de un nombre de dominio de un Estado miembro, dirigiendo sus búsquedas y resultados en el idioma de ese Estado. A pesar de que Google Spain argumentó ser sólo la oficina en un Estado miembro para efectos de venta de publicidad, por lo que no opera el buscador, el Tribunal consideró que esa es una actividad comercial estrechamente vinculada a Google Search, por existir un vínculo indisociable entre la publicidad y las búsquedas. Al realizar tal actividad comercial un Responsable establecido en varios Estados miembros debe garantizar que c/u de sus establecimientos cumpla las obligaciones impuestas por el Derecho nacional aplicable a sus actividades. Fijó 3 criterios para definir si un establecimiento del Responsable lleva a cabo Tratamiento de Datos Personales en un Estado: (i) el proveedor del motor de búsqueda crea en un Estado una oficina o filial para promover  o vender publicidad dirigida a los habitantes de ese Edo., lo cual fue juzgado como cumplido, considerando además que la Directiva no exige que el Tratamiento sea realizado materialmente por el establecimiento, sino en el marco de sus actividades, que están indisolublemente ligadas; (ii) cuando la matris designa a su filial en ese Estado como representante/responsable del Tratamiento de archivo relacionados con quienes contrataron la publicidad, o (iii) cuando la oficina o filial traslada a la matriz fuera de la UE solicitudes y requerimientos de Titulares y autoridades sobre protección de datos.
  2. Obligaciones de los Administradores de Motores de Búsqueda: Si debería interpretarse como “recurso a medios, el almacenamiento termporal de información indexada por buscadores de Internet, si es que tal actividad debiera ser interpretada como Tratamiento de Datos Personales, y en la afirmativa si es que la administradora de las búsquedas sería Responsable del Tratamiento de los Datos Personales encontrados en las páginas que indexa, al igual que si podría la autoridad de control exigirle que retire la información publicada por terceros, sin exigírselo a esos terceros, o si quedaría relevada de responsabilidad si dichos terceros hubieran publicado y mantenido los datos en su página web. Las empresas Google sostuvieron que su actividad no puede ser Tratamiento, porque no discriminan entre Datos Personales y otra información, ni ejercen control sobre ellos. Sin embargo el Titular, 5 gobiernos nacionales y la Comisión Europea sostuvieron lo contrario, puesto que los motores de búsqueda determinan la Finalidad y medios del Tratamiento, lo cual confirmó el Tribunal, puesto que recoger, extraer, registrar y organizar, conservar, comunicar y facilitar el acceso a Datos Personales consituye su Tratamiento. Asimismo consideró al motor de búsqueda como Responsable de tal Tratamiento, puesto que determina los fines y medios del mismo, independientemente de la falta de control que tenga sobre el contenido de las páginas de terceros, por llo que debe garantizar que su actividad cumple con la Directiva 95/46. Las empresas Google sostuvieron que por Proporcionalidad la petición para eliminar los Datos Personales debería dirigirse a la fuente, por ser quien puede analizar la licitud de la publicación y cuenta con medios para evitar el acceso a la información. Sin embargo el Tribunal consideró que el Tratamiento controvertido podría afectar significativamente los derechos fundamentales del titular, por permitir a cualquiera obtener una lista de resultados con información del Titular, en cuya vida privada no se justifica la injerencia del motor de búsqueda por su interés económico, sin perjuicio de lo cual expresó la necesidad de atender a las repercusiones en el interés legítimo de los internautas interesados en la informació y encontrar su justo equilibrio respecto de los derechos del Titular afectado. Determinó que tanto la autoridad de control como judicial pueden ordenar al administrador que elimine de la lista de resultados con el nombre de una persona vínculos a las páginas de terceros que contenga información de esa persona, sin que por ello sean eliminados previa o simultáneamente de la página, dado que la información de un sitio (posiblemente publicada al amparo de alguna excepción legla) puede ser reproducida en otros, cuyos Responsables no siempre estarán sujetos al Derecho de la Unión, lo cual impediría la protección integral de los Titulares, si estos tuvieran que obtener previa o simultáneamente la eliminación de la información que les afecta. Concluyó que el administrador del motor de búsqueda tiene obligación de eliminar de los resultados los vínculos a páginas web publicadas por terceros que es hubieran encontrado por la búsqueda de su nombre y contenga información relativa a él, aunque tal información no sea borrada de las páginas web y su publicación en ella hubiera sido lícita.
  3. Derecho de Cancelación/Oposición con relación al Derecho al Olvido: Si es que la supresión y bloqueo facultan al Titular para dirigirse a los buscadores para impedir la indexación de sus Datos Personales publicada en páginas de terceros. Las empresas Google, 3 gobiernos y la Comisión Europea consideraron que debería responderse negativamente, pues los Titualres no tienen derechos conferidos por el solo caso de considerar que el Tratamiento puede perjudicarles o quieran que sus Datos queden en el olvido, en tanto que el titular, España e Italia sostuvieron que aquél podía oponerse a la indexación de sus datos porque su derecho a la protección de estos y el respeto a su vida privada deberían prevalecer sobre los intereses del Responsable y la libertad de información. El Tribunal estimó que la información debería ser eliminada cuando por las circunstancias hubiera dejado de ser adecuada, pertinente o proporcional a los fines del Tratamiento. Incluso sostuvo que el derecho del Titular prevalece sobre el interés del público en encontrar información de la persona en una búsqueda con su nombre, salvo que el Titular fuera una figura pública, interés que no encontró en este caso por la antigüedad de la información.

En resumen:

  • La actividad del motor de búsqueda debe considerarse como Tratamiento de Datos Personales, y su administrador debe considerarse como Responsable de ese Tratamiento.
  • Se realiza el Tratamiento de Datos Personales en las actividades de un establecimiento del Responsable en territorio de un Estado miembro cuando el administrador crea una sucursal o filial en ese Estado para promover o vender publicidad dirigida a los habitantes de ese Estado miembro.
  • El respeto a los derechos del Titular exige del Responsable eliminar de la lista de resultados que entrega con el nombre de una persona los vínculos a páginas de terceros con información de esa persona cuando los Datos no se borren de manera previa o simultánea de ellas, aunque su publicación hubiera sido lícita.
  • Es preciso analizar si el titular tiene derecho a que su información ya no sea vinculada a la lista de resultados, sin presuponer que la mera inclusión le perjudique, pues sus derechos prevalecen sobre el interés económico del administrador del motor y del del público para acceder a la información, salvo que el Titular sea una figura pública tal que la injerencia en su vida se ameritase por el interés del público.

Por novedoso que parezca el tema, el Dr. Puccinelli expuso que el derecho al olvido ha sido considerado desde 1981, en el Convenio de Estrasburgo; 1990, en la Resolución 45/95 de la ONU, y que en 1992 la Corte Constitucional de Colombia había resuelto, aun sin una ley positiva aplicable, sore la “caducidad del dato financiero negativo” en su sentencia T-414-92, destacando la asimetría en la regulación nacional que fija el plazo de supresión a 6 años en España, 5 en Dinamarca y 3 en Suecia. Posteriormente resumió los puntos de la sentencia expuestos párrafos arriba , y destacó sobre el resultado del caso el que se haya dejado como optativo para la fuente original el conservar o suprimir la información misma, no obstante la obligación a cargo del motor de búsqueda por suprimirla de sus listas de resultados, así como el riesgo que supone para las empresas de tecnología la posiblidad de afrontar sanciones económicas determinadas con base en su ingreso global, no sólo en el país en que se hubiera originado el caso, ante el desacato de una resolución como la que se comenta.

Jonathan Zittrain escribió en su blog sobre El Futuro de Internet algunas opiniones interesantes sobre el caso. Por principio, en adición a la ironía que el Dr. Puccinelli mencionó en su conferencia, plantea la posibilidad de que la omisión del nombre de una persona en los resultados de una búsqueda que debiera incluirlo genere una impresión más negativa que su inclusión. Plantea la posibilidad de un repositorio central, por el cual investigadores y académicos pudieran analizar las causas de la supresión de los datos. Además expone que la sentencia del Tribunal ha tenido como resultado un recurso por el cual los Titulares pueden lograr la supresión de su información a juicio suyo y de Google, sin revisión de una autoridad que pondere la relevancia pública de la persona, excepción planteada por el propio Tribunal, lo cual resulta en una incongruencia, pues lleva al mismo punto que inició la controversia: que personas de derecho privado decidan sobre la procedencia o improcedencia de las solicitudes de supresión, convirtiendo el ejercicio de los derechos fundamentales que se pretende tutelar en un asunto de atención al cliente, y socavando a la autoridad europea. Considera atinado el que Google hubiera notificado a fuentes europeas de la eliminación de enlaces a sus publicaciones, aunque ello hubiera motivado un manejo negativo ante la opinión pública, como se dio a través ciertos encabezados. Finalmente, postula un sistema parecido al registro de copyright en los EE.UU.A., mediante el cual los Titulares interesados deberían proporcionar datos de contacto para ser notificados de cuándo la caducidad de una eliminación estuviera próxima.

Otro aspecto que vale la pena destacar es que el numeral 3 del artículo 28 de la Directiva confiere a la autoridad de control “…poderes efectivos de intervención, como, por ejemplo, el de… ordenar el bloqueo, la supresión o la destrucción de datos, o incluso prohibir provisional o definitivamente un tratamiento…”. Ello puesto que el texto citado le otorga a dichas autoridades facultades ejecutivas para realizar actos de molestia y/o privación en contra de los Responsables del Tratamiento de Datos Personales, en tanto que la LFPDPPP es únicamente punitiva, puesto que sólo faculta al IFAI para imponer sanciones administrativas monetarias por la contravención de dicho estatuto y las normas que emanan de él.

Llama la atención el prounuciamiento del Tribunal en cuanto que “…toda vez que dicha presentación de resultados está acompañada, en la misma página, de la presentación de publicidad vinculada a los términos de búsqueda, es obligado declarar que el tratamiento de datos personales controvertido se lleva a cabo en el marco de la actividad publicitaria y comercial del establecimiento del responsable del tratamiento en territorio de un Estado miembro…” por lo que “…no se puede acpetar que el tratamiento de datos personales…se sustraiga a las obligaciones y a las garantías previstas por la Directiva…”

Claramente la motivación de tal pronunciamiento radica en la esencia garantista de la Directiva (vid párrafo 66: “…la Directiva 95/46 tiene por objeto garantizar un nivel elevado de protección de las libertades…de las personas físicas… sobre todo de su vida privada, en relación con el tratamiento de datos personales…”) y la legislación nacional que se desprende de ella. Sin embargo, el fondo del mismo remite a casos como los ya mencionados de antaño (Ligue contre le Racisme et l’Antisemitisme c. Yahoo! Inc), más recientemente del propio Google y la supresión de vínculos ordenada por una corte canadiense, así como el de Microsoft, tratando de oponerse a una orden judicial estadounidense para hacer entrega de información en su data center en Irlanda, que ilustran el estira-y-afloja entre gobiernos nacionales y empresas transnacionales en el sector de tecnologías de la información; mientras aquellos buscan por todos los medios posibles encontrar argumentos coherentes para justificar el ejercicio de jurisdicción personal o territorial sobre éstas, dichas empresas ven sus modelos de negocios presionados, incluso amenazados, por múltiples frentes, al menos con incremento de costos o incluso con el riesgo de perder clientela ante competidores menos expuestos a tales acciones.

Por principio, es cierto que en tanto derecho humano reconocido en y tutelado por múltiples instrumentos jurídicos internacionales y nacionales, la protección de datos y facultades que de ella emanan debe ser protegida en la mayor medida posible por los diversos Estados en los que compañías de tal complejidad y sofisticación operan. Por otra parte, es necesario ponerlo en una balanza, y en justa proporción y medida, con los beneficios que la actividad innovativa de dichas empresas reportan a la sociedad en general, e incluso en particular a los individuos cuyos datos personales y privacidad ameritan dicha protección.

En todo caso, nada en tecnología e Internet es un “juego de suma cero”; la pérdida u obstáculo para uno es la ganacia de otro. Mientras que Google ha tenido que invertir en el desarrollo e implementación de medios para cumplir con el fallo del Tribunal, empresas como Hit Search, Reputation.com, etc., dedicadas a la “administración de reputación”, comienzan a ver un área de oportunidad para el crecimiento y desarrollo de sus negocios.

FB-AlmightyYes, the image that tries to illustrate this post is really crude and concocted; it’s not meant to be a meme, and it wasn’t even made using proper imaging software. Perhaps someone with the time and skills may take it upon his/herself to improve on it. However it might help get a point across.

Since Monday last week media outlets, ranging from Forbes, the Times and the WSJ to CNN EXPANSIÓN, have reported on a so-called “study” conducted by Facebook’s data scientists on hundreds of thousands of “randomly selected users”, by manipulating the amount of positively or negatively charged posts made visible to them in their timelines, with which they were allegedly looking to establish how emotions spread on social media.

Although this remark’s probably been flogged to death already, I’m certain that social science and literature majors across the world are (again) going: “If he were alive, George Orwell would say “I hate to say I told, BUT I TOLD YOU!””. The machinery of the “Minitrue” in his novel “1984” would pale in comparison to the Web 2.0, and even more so the “Internet of Things”.Episodes such as the panic raised by Orson Welles’s broadcast of “War of the Worlds” or the viral hoaxes of the late 90s and early XXth Century seem like child’s play now, compared to the episodes of panic and the threats to privacy posed by social media.

Facebook’s lawyers ought to be smelling a(nother) class action brewing miles away…Oh, no, wait! The Electronic Privacy Information Center has already filed a complaint with the Federal Trade Commission on account of this episode,claiming that “At the time of the experiment, Facebook did not stat in the Data Use Policy that user data would be used for research purposes. Facebook also failed to inform users that their personal information would be shared with researchers”. So where exactly does that fin in the “How We Use Information we Receive” section of their Data Use Policy?

“For example, in addition to helping people see and find things that you do and share, we may use the information we receive about you:
  • as part of our efforts to keep Facebook products, services and integrations safe and secure;
  • to protect Facebook’s or others’ rights or property;
  • to provide you with location features and services, like telling you and your friends when something is going on nearby;
  • to measure or understand the effectiveness of ads you and others see, including to deliver relevant ads to you;
  • to make suggestions to you and other users on Facebook, such as: suggesting that your friend use our contact importer because you found friends using it, suggesting that another user add you as a friend because the user imported the same email address as you did, or suggesting that your friend tag you in a picture they have uploaded with you in it; and
  • for internal operations, including troubleshooting, data analysis, testing, research and service improvement.”

This episode just adds to the social network’s poor privacy track record, tracing back to the “Beacon” shortly after its inception, which has now again put it in hot water, as it did in the episode that ended with the 2012 consent decree entered into with said FTC, and adds to privacy and ethics concerns raised by other technology companies and seemingly rouge scientists in their employment, such as the one about Google Street View picking up information from unencripted WiFi networks, which got it fined by Germany, and Orbitz’s profiling of PC and Mac users, pointing to how easily (and perhaps even dangerously) online media could manipulate us users on a global scale.

While it seems likely for Facebook to hold that the study was fair game under the blanket consent that must be granted to sign up for and continue to use the service (when its Terms of Use and/or Privacy Policy are modified or updated), privacy activists and common sense are likely to contend that notion. This instance will undoubtedly be hotly debated in court in more than one jurisdiction; that raises (again) a question of Internet law that has been debated since its early days: whether or not Internet-based businesses are under obligation to abide on a global scale by the laws of each and every jurisdiction their operations might extend to, which is a daunting thought for undertakings that can reach any corner of the world with Web access. That point of law has been taken a stab at by courts since the Tribunal de la Grand Instance ruled against Yahoo! in the 2000 case of la Ligue contre le Racisme et l’Antisemitisme c. Yahoo! Inc, to the more recent one where the Supreme Court of British Columbia enjoined Google from displaying links to search results for the sale of infringing software.

However the issues at the core of those cases are more complex than Facebook’s instance. I see no difficulty in Facebook sorting out where the users singled out for its trials reside in order to secure their consent prior to their engagement in them. And that’s the question at the core here: whether or not Facebook erred by not having done so. General consensus, whether stemming from public opinion, ethical guidelines or the law is it did. While product testing is an every-day need and reality in business, when a product or service has the ability to mess with people’s minds there ought to be a heightened duty of care, and of accountability, on the part of the product or service provider, given the harm it may inflict upon the subjects involved, the people near them and even their communities.

The atrocities of World War II yielded the Nuremberg Code, which lays down the principles of ethics to be met in all human experimentation that are (to be) followed in such undertakings and extend to everyday medical practice, and which cornerstone is voluntary and duly informed consent of the subject(s), which appears to have been largely absent here. Granted, whereas psychiatry is medical practice, psychology is not. However Standards 3.10 and 8.02 of the Ethics Code of the American Psychological Association prescribe as follows:

3.10 informed consent

(a) When psychologists conduct research or provide assessment, therapy, counseling, or consulting services in person or via electronic transmission or other forms of communication, they obtain the informed consent of the individual or individuals using language that is reasonably understandable to that person or persons except when conducting such activities without consent is mandated by law or governmental regulation or as otherwise provided in this Ethics Code.

8.02 informed consent to research

(a) When obtaining informed consent as required in Standard 3.10, Informed Consent, psychologists inform participants about (1) the purpose of the research, expected duration, and procedures; (2) their right to decline to participate and to withdraw from the research once participation has begun; (3) the foreseeable consequences of declining or withdrawing; (4) reasonably foreseeable factors that may be expected to influence their willingness to participate such as potential risks, discomfort, or adverse effects; (5) any prospective research benefits; (6) limits of confidentiality; (7) incentives for participation; and (8) whom to contact for questions about the research and research participants’ rights. They provide opportunity for the prospective participants to ask questions and receive answers.

An important conclusion stems from the above: informed consent in the practice of psychology is not the same as a privacy notice under US laws, regulations and/or ethical standards. The same is true under the Code of Ethics of the Mexican Psychology Society, which article 118 states that informed consent must be obtained whether for therapy, research or other procedures. It is also not the same as a “consent notice” or “aviso de privacidad” as provided for in the Mexican privacy law. This refers back to the question a few paragraphs above: was Facebook under obligation to abide by the laws and regulations of the domicile of each and every single one of its almost 700,000 users targeted in its “study”? That will be the subject matter of another entry herein; at this point the last idea I want to convey as far as Mexican privacy law and practice go is the following:

Although the requirements of voluntary informed consent in the practice of medicine and psychology may overlap, as the investigation and MXN$485,700.00 fine assessed by IFAI, the Mexican data protection authority, fined WTC Sports Clinic, a physical therapy and outpatient surgery clinic, show, the means to secure such consent as per each of the laws and regulations governing each area of practice do not suffice to meet with the requirements of the others, so that practitioners in the aforesaid fields need proper legal advice in order to avoid failing to comply with the novel legal framework for privacy, which provides for a consent notice as additional to that mandated by the Regulations (Normas Oficiales Mexicanas) which require that letters of written informed consent be included in each patient’s file and that such consent be included in human research protocols as a requisite for their authorization by the Mexican health authority, which is also a mandate of the Regulations to the General Health Law in Health Research (article 14, Roman numeral V).

bigbro - CopyA pesar de que como pueblo nos guste pensar lo contrario, y diversos juristas e infinidad de funcionarios públicos se empeñen en sostener que México es un país de Derechos Humanos y libertades, la verdad es que eso es sólo un dicho que en los hechos varía de régimen en régimen, y en cada uno ha tenido sus matices. En muchos sentidos, la legislación parece tender a convertir al nuestro en un Estado policía.

Durante la pasada administración panista y “de derecha”, contra todo sentido común y la opinión de numerosos expertos. nuestros legisladores crearon una cosa llamada “Registro Nacional de Usuarios de Telecomunicaciones” o “RENAUT”, que requería al usuario de un equipo de telefonía móvil vincular el número del mismo a su Clave Única del Registro de Población (CURP), con la intención de mitigar el uso de tales equipos en la comisión de ilícitos como extorsión o secuestro, siendo sabido que numerosos grupos delincuenciales se valen de los mismos para operar incluso desde el interior de los “Centros de Readaptación Social”, al grado que se ha tenido que establecer un número de emergencia (089) para que la ciudadanía denuncie de forma (relativamente) anónima las llamadas recibidas en tales circunstancias. Sin embargo la evaluación (ex post facto) de riesgos contra beneficios llevó a que el RENAUT viviera poco tiempo y fuera destruido definitivamente el año pasado.

En la presente administración priista y “de centro-izquierda”, dentro del acalorado debate de la Ley Federal de Telecomunicaciones, en el que la atención se centra en la discusión de los aspectos de negocio en un mercado prácticamente duopólico, y si no al menos catelizado, y la disyuntiva sobre atacar la preponderancia en el mismo mediante regulación por servicio o por sector, Joel Gómez Treviño y José Carlos Méndez resaltan en entrevista con CNN Expansión un par de “bolas rápidas” dentro de la iniciativa de la Ley Federal de Telecomunicaciones y Radiodifusión, cuyo dictamen ya fue aprobado en Comisiones del Senado, y hoy será discutido en lo particular en el seno de dicha Cámara.

¿En qué consisten esas “bolas rápidas”, y de qué manera impactarían a nuestra privacidad y la protección de nuestros datos personales? En que,  no obstante que la fracción II de su artículo 191 reconoce nuestro derecho a la protección de nuestros datos personales, “en términos de las leyes aplicables” (menos mal, considerando que es un derecho humano reconocido por el artículo 6, apartado A, fracción II, y 16, párrafo segundo de la Constitución Política de los Estados Unidos Mexicanos) y que el segundo párrafo de la fracción XI del artículo 190 del propio ordenamiento reitera la inviolabilidad de las comunicaciones privadas igualmente tutelada por el párrafo decimosegundo de nuestra Ley Fundamental, el citado atrículo dispone en su fracción II y el primer párrafo de la citada fracción XI que los concesionarios y autorizados de telecomunicaciones deberán:

II. Conservar un registro y control de comunicaciones que se realicen desde cualquier tipo de
línea que utilice numeración propia o arrendada, bajo cualquier modalidad, que permitan
identificar con precisión los siguientes datos:
a) Nombre, denominación o razón social y domicilio del suscriptor;
b) Tipo de comunicación (transmisión de voz, buzón vocal, conferencia, datos), servicios suplementarios (incluidos el reenvío o transferencia de llamada) o servicios de mensajería o multimedia empleados (incluidos los servicios de mensajes cortos, servicios multimedia y
avanzados);
c) Datos necesarios para rastrear e identificar el origen y destino de las comunicaciones de telefonía móvil: número de destino, modalidad de líneas con contrato o plan tarifario, como en la modalidad de líneas de prepago;
d) Datos necesarios para determinar la fecha, hora y duración de la comunicación, así como el servicio de mensajería o multimedia;
e) Además de los datos anteriores, se deberá conservar la fecha y hora de la primera activación del servicio y la etiqueta de localización (identificador de celda) desde la que se haya activado el servicio;
f) En su caso, identificación y características técnicas de los dispositivos, incluyendo, entre otros, los códigos internacionales de identidad de fabricación del equipo y del suscriptor;
g) La ubicación digital del posicionamiento geográfico de las líneas telefónicas, y
h) La obligación de conservación de datos, comenzará a contarse a partir de la fecha en que se haya producido la comunicación.

Para tales efectos, el concesionario deberá conservar los datos referidos en el párrafo anterior durante los primeros doce meses en sistemas que permitan su consulta y entrega en tiempo real a las autoridades competentes, a través de medios electrónicos. Concluido el plazo referido, el concesionario deberá conservar dichos datos por doce meses adicionales en sistemas de almacenamiento electrónico, en cuyo caso, la entrega de la información a las autoridades competentes se realizará dentro de las cuarenta y ocho horas siguientes, contadas a partir de la notificación de la solicitud.
La solicitud y entrega en tiempo real de los datos referidos en este inciso (OJO, PROBABLE ERROR DE CONCORDANCIA, PORQUE YA NO ESTÁ EN INCISO ALGUNO, SINO QUE ES UN PÁRRAFO SUBSECUENTE), se realizará mediante los mecanismos que determinen las autoridades a que se refiere el artículo 189 de esta Ley, los cuales deberán informarse al Instituto para los efectos de lo dispuesto en el párrafo tercero, fracción I del presente artículo.
Los concesionarios de telecomunicaciones y, en su caso, los autorizados, tomarán las medidas técnicas necesarias respecto de los datos objeto de conservación, que garanticen su conservación, cuidado, protección, no manipulación o acceso ilícito, destrucción, alteración o cancelación, así como el personal autorizado para su manejo y control.
Sin perjuicio de lo establecido en esta Ley, respecto a la protección, tratamiento y control de los datos personales en posesión de los concesionarios o de los autorizados, será aplicable lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los
Particulares;
III. Entregar los datos conservados a las autoridades a que se refiere el artículo 189 de esta Ley, que así lo requieran, conforme a sus atribuciones, de conformidad con las leyes aplicables.
Queda prohibida la utilización de los datos conservados para fines distintos a los previstos en este capítulo, cualquier uso distinto será sancionado por las autoridades competentes en términos administrativos y penales que resulten.
Los concesionarios de telecomunicaciones y, en su caso, los autorizados, están obligados a entregar la información dentro de un plazo máximo de veinticuatro horas siguientes, contado a partir de la notificación, siempre y cuando no exista otra disposición expresa de autoridad competente; 

XI. Realizar bajo la coordinación del Instituto los estudios e investigaciones que tengan por objeto el desarrollo de soluciones tecnológicas que permitan inhibir y combatir la utilización de equipos de telecomunicaciones para la comisión de delitos o actualización de riesgos o
amenazas a la seguridad nacional. Los concesionarios que operen redes públicas de telecomunicaciones podrán voluntariamente constituir una organización que tenga como fin la realización de los citados estudios e investigaciones. Los resultados que se obtengan se registrarán en un informe anual que se remitirá al Instituto, al Congreso de la Unión y al Ejecutivo Federal.

¿Y cuáles son las autoridades a que se refiere el artículo 189?

Artículo 189. Los concesionarios de telecomunicaciones y, en su caso, los autorizados y proveedores de servicios de aplicaciones y contenidos están obligados a atender todo mandamiento por escrito, fundado y motivado de la autoridad competente en los términos que establezcan las leyes.
Los titulares de las instancias de seguridad y procuración de justicia designarán a los servidores públicos encargados de gestionar los requerimientos que se realicen a los concesionarios y recibir la información correspondiente, mediante acuerdos publicados en el Diario Oficial de la Federación.

En suma, si bien la iniciativa preserva la inviolabilidad constitucional de las comunicaciones privadas, de manera que sólo pueden intervenidas por mandamiento judicial, la iniciativa de Ley la reduce al contenido de la comunicación misma, facultando a las autoridades de la rama Ejecutiva del Poder Federal para requerir a los concesionarios o autorizados los metadatos de tales comunicaciones relacionados en los incisos a) al g) de la fracción II del artículo 190. Es decir, que dichas autoridades administrativas podrán acceder por un lapso de al menos 24 meses a la informacion relativa a quién se comunicó desde dónde con quién más, a qué hora y por qué medio, aunque no puedan conocer el contenido mismo de dichas comunicaciones sin contar con una orden judicial.

Lo anterior es precisamente lo que en gran parte motivó la indignación del público estadounidense ante las revelaciones que Edward Snowden hizo respecto de la vigilancia que la National Security Agency de aquél gobierno ejercía sobre las comunicaciones de sus ciudadanos realizadas a través de redes públicas de telecomunicaciones, ya fuera por medio del teléfono o servicios de Internet, particularmente el correo electrónico. Llama la atención que los legisladores mexicanos incorporen disposiciones así mientras que en los EE.UU.A. la Cámara de Representantes aprobó medidas que limitan la facultad de aquélla agencia de Inteligencia para acceder a similar información sin una orden judicial y la Suprema Corte resolvió que las autoridades de procuración de justicia también requieren de una orden judicial para acceder al contenido del teléfono móvil de un presunto responsable arrestado.

Claramente en aquél país no se libra una guerra contra el crimen organizado como la que se libra aquí; pero si libran una guerra contra el terrorismo. Tampoco se padecen los secuestros ni extorsiones telefónicas que lamentablemente se han vuelto frecuentes en México. Pero aún así mantienen los pesos y contrapesos de su marco jurídico para preservar los derechos de sus ciudadanos.

También la fracción XI del citado artículo 190, que requiere a los concesionarios y autorizados realizar estudios e investigaciones para desarrollar soluciones tecnológicas para inhibir y combatir el uso de equipos de telecomunicaciones para la comisión de delitos o actualización de riesgos o amenazas a la seguridad nacional, va a contrapelo de las tendencias en la materia en los EE.UU.A., al convertir a dichos concesionarios y autorizados en coadyuvantes del gobierno en tales actividades, cuando tras las revelaciones de la vigilancia lograda a través del acceso a sus sistemas empresas como Google, Microsoft, AT&T y Vodaphone han buscado robustecer sus sistemas para evitar la vigilancia no autorizada, y se rehúsan a colaborar con las autoridades si no es mediante orden judicial.

La tutela que pudiera lograrse por la remisión que la fracción II del artículo 191 hace a “las leyes aplicables” para efectos de la protección de datos personales de los usuarios de telecomunicaciones es muy relativa; tal obligatoriedad está dada de suyo por el capítulo de Datos Personales de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, así como por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, que norman la materia respecto de los sectores público y privado, pues si bien la primera dispone como confidenciales los datos personales en posesión de los Sujetos Regulados (entes del gobierno federal) y la reserva de las investigaciones y procedimientos judiciales hasta en tanto no hayan sido resueltos, no exige un mandamiento judicial para que puedan acceder a tal información.

Vistos estos acontecimientos legislativos en nuestro país conviene preguntarnos si estamos en un punto en el que se ha vuelto verdaderamente necesario bajar el nivel de dificultad que el gobierno requiere para el acceso a nuestra información en aras de lograr los objetivos planteados por las medidas propuestas.

 

Cookie MonsterEl escalonamiento con el que la regulación mexicana en materia de protección de datos personales ha sido emitida ha supuesto para los Responsables del Tratamiento de Datos Personales la necesidad de hacer trabajo adicional para implementar su cumplimiento normativo  correctamente.

Desde el 5 de julio de 2010, fecha en que fue promulgada la Ley Federal de Protección de Datos Personales, y hasta el 21 de diciembre del 2011, mucho después de transcurrido el plazo de un año previsto en el Artículo Tercero Transitorio de esa Ley para que dichos Responsables expidieran sus Avisos de Privaciad, hasta que tras un largo periodo de comentarios públicos en la Comisión Federal de Mejora Regulatoria, fue expedido el Reglamento correspondiente, todos los requisitos para esos Avisos de Privacidad que posteriormente fueron denominados como Integral y Simplificado estaban contenidos en los artículos 8, 15, 16, 36 y 37 de la Ley.

Esos requisitos se limitaban a:

  1. Identidad y domicilio del Responsable;
  2. Información que se recaba de los Titulares de los Datos Personales tratados;
  3. Finalidades del tratamiento de datos;
  4. Ppciones y medios para que los Titulares limiten el uso o divulgación de sus Datos Personales;
  5. Medios para ejercer los Derechos ARCO;
  6. Las Transferencias de datos que se efectúen;
  7. El procedimiento y medio por el cual el Responsable comunicará a los Titulares los cambios al Aviso de Privacidad, y
  8. Consentimiento, ya sea tácito o expreso.

…y fueron incrementados por el citado Reglamento, por ejemplo con la obligación prevista en su Artículo 112, por virtud del cual aquellos Responsables que lleven a cabo el Tratamiento de Datos Personales en procesos de toma de decisiones sin que intervenga la valoración de una persona física deben hacerlo explícito entre la Finalidades de dicho Tratamiento, al igual que el requisito derivado del último párrafo del Artículo 14 del citado Reglamento, de acuerdo con el cual cuando el Responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento se deberá informar al titular sobre el uso de esas tecnologías, que a través de las mismas se obtienen datos personales y la forma en que se podrán deshabilitar..

Lo anterior fue clarificado a través de los Lineamientos para el contenido y alcances de los Avisos de Privacidad, emitidos por la Secretaría de Economía con fundamento en el artículo 43, fracción III, de la Ley, el cual la facultó para coadyuvar con el IFAI en la emisión de los mismos, cuyo Lineamiento Trigésimo Primero requiere que cuando el Responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento deberá informar al titular, a través de una comunicación o advertencia colocada en un lugar visible, sobre el uso de esas tecnologías y sobre el hecho de que a través de las mismas se obtienen datos personales, así como la forma en que se podrán deshabilitar, salvo que dichas tecnologías sean necesarias por motivos técnicos, obligando asimismo a incluir en el Aviso de Privacidad la información requerida por el Reglamento de la Ley y la de los propios Lineamientos, entre ella, los datos personales que se recaban y las finalidades del tratamiento.

Una de las maneras más obvias para darse cuenta de que un Responsable ha mantenido en uso un Aviso de Privacidad Integral en medios remotos, como una página de Internet, desde la promulgación de la LFPDPPP o el vencimiento del plazo para implementar ese medio de cumplimiento con el Principio de Información es la omisión de la referencia al uso de cookies, web beacons y otros recursos similares en el referido Aviso.

¿Por qué la necesidad de incluir la mención del uso de mecanismos como las “Cookies” en el Aviso de Privacidad? La entrada en Wikipedia para Cookies explica que estos archivos fueron concebidos originalmente para identificar a los usuarios y diferenciar el comportamiento de los sitios de comercio electrónico al realizar compras en sitios de comercio electrónico; por ejemplo pueden ser usadas para “…control de usuario: cuando se introduce el nombre de usuario y contraseña, se almacena una cookie para que no tenga que estar introduciéndolas para cada página del servidor. Sin embargo, una cookie no identifica solo a una persona, sino a una combinación de computador-navegador-usuario”, pero que además de pueden ser usadas para rastrear el movimiento del usuario a lo largo de las páginas web visitadas, búsquedas realizadas, etc.

Desde que Internet se volvió un medio financiado fundamentalmente a través de la venta de publicidad el perfilamiento de usuarios se ha vuelto una necesidad para compañías como Google, Yahoo! y Microsoft. Sin embargo puede tener implicaciones importantes para los usuarios en cuanto a privacidad y acceso a oportunidades. El perfilamiento de usuarios podría

Una nota del Wall Street Journal el año pasado explica, por ejemplo, cómo Orbitz distingue entre usuarios de PC y de Mac para ofrecer antes a estos últimos servicios con precios más altos que a los primeros, asumiendo que quien invierte en una Mac es más proclive a optar por servicios “high-end” y, por lo tanto, más caros. Se han hecho también estudios que apuntan al incremento en el riesgo de que el perfilamiento de usuarios a través de diversos medios, incluyendo Internet, podrían resultar en discriminación. La posibilidad de combinar información de fuentes como registros públicos, reportes de crédito, historial de consumos y ubicación podría prestarse a limitar el acceso a bienes y servicios buscados en Internet si sus oferentes optaran por segmentar ese acceso en función del género, edad, nivel socio-económico y consumo de los usuarios.

De ahí que para lograr una verdadera autodeterminación informativa la autoridad de protección de datos personales haya requerido a los Responsables revelar el uso de tecnologías para obtener datos personales a través de Internet y la manera para deshabilitarlas.

El siguiente video de YouTube ilustra, por ejemplo, cómo Google utiliza y almacena las cookies e información obtenida de ellas en su motor de búsqueda. Por otra parte, el Washington Post publicó hace unos días una nota sobre cómo la Agencia de Seguridad Nacional de los EE.UU.A. se vale de esas mismas cookies para identificar y ubicar blancos de hackeo y vigilancia. De particular relevancia es lo indicado en los siguientes párrafos de la nota, que daría tranquilidad a la inmensa mayoría de los usuarios de Internet:

The intelligence agencies have found particular use for a part of a Google-specific tracking mechanism known as the “PREF” cookie. These cookies typically don’t contain personal information, such as someone’s name or e-mail address, but they do contain numeric codes that enable Web sites to uniquely identify a person’s browser…

The NSA’s use of cookies isn’t a technique for sifting through vast amounts of information to find suspicious behavior; rather, it lets NSA home in on someone already under suspicion

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site