Archivo de la etiqueta: ifai

google-law-gavel - Copy

Timing is of the essence, and the release of the communiqué by IFAI, Mexico’s data protection authority, announcing its decision to fine Google Mexico for failing to comply with an individual’s objection to the processing of his data and IFAI subsequent order thereto, is no exception. It was released exactly one week ago, right on the eve of international data privacy day, and therefore remarked upon almost every single one of the participants in the conferences organized for that date. It was also very timely released less than 20 days after the political analysis magazine “Proceso” questioned IFAI’s unwillingness to act against Google, on grounds that it was near and dear to the current administration’s digital agenda, seemingly implying that afforded the search giant some measure of immunity.

However now IFAI ranks up there with countries such as the United States, Germany, the Netherlands and Spain, which have in one way or another acted against Google for transgressions to their privacy frameworks; however it is not the first time that Google has come before IFAI’s crosshairs, and also while many privacy commentators and scholars opine that this case bears a strong resemblance to the “Costeja Case” of the Spanish Privacy Agency and European Court of Justice regarding the “right to be forgotten”, there are important nuances to it.

Key ideas following here folks: as of June 2002 there is a “FOIA-equivalent” Transparency Law in force in Mexico, which includes provisions on privacy regarding personal information in the power of agencies and instrumentalities of the Federal government. In 2009 the Mexican Constitution was amended for the right to data protection to be included among the human rights protected by it, and afford Federal Congress the power to pass laws thereupon. About a year thereafter Mexico’s federal privacy law (Ley Federal de Protección de Datos Personales en Posesión de los Particulares or LFPDPPP) was enacted. The amendment to the Constitution and both Federal statutes follow the model set by the European Union’s Privacy Directive, providing for 4 fundamental appurtenances of individuals as concerns the processing of their personal information:

  1. Access thereto;
  2. Rectification thereof;
  3. Cancellation thereof, and
  4. Opposition (to the processing thereof).

Having outlined the above, this is not the first time Google and IFAI have met face to face. In March 2011 IFAI ruled on case 4198/09, concerning the petition of an individual to the Federal Labor Board (the administrative court that hears labor cases in Mexico) for its online-searchable daily bulletin of cases to be heard on a given date to not include his name, so as to prevent him from being rejected by future employers on grounds of having sued a former employer.The petitioner had to sue in Federal court in order for his request to be honored by said Board and IFAI itself, following which the latter found on review that the measures proposed by the Board had been appropiate and in compliance with the rulin in the case wherein the Board proposed to:

  • Modify the format o the files used to publish the Bulletin on the Board’s website, so that search engines cannot find and index the individual’s name with regards to the labor case concerned, and
  • Directly request Google to delete from its indexes the information concerning the individual’s name with regards to the labor case concerned.

The record shows that the Board did reach out to Google therefor; however it remains unknown whether or not Google complied with the Boards request.

Then on March 2014, IFAI ruled on a verification proceeding initiated relative to Google for its caché of a website under the domain, which belongs to Nexus World LLP in the UK, for which a person complained about on grounds that the original source for the infringing information had removed it, but Google had not.

Google Mexico was served with a request for information to which it replied in terms that are relevant for the sanctions case at hand, so bear this in mid: it responded that as per its current bylaws its corporate purpose includes (bylaws in Mexico have these ridiculously long listings of things the corporation may do in pursuing its corporate purpose)…

1. Commercializing and selling online advertising and products and services for direct commercialization, in Mexico or abroad, on its own behalf or the behalf of third parties, as well as to provide all kinds of services through electronic means, including but not limited to, search engine, instant messaging, email, storage, reproduction and broadcast and retransmission of of data, and similar, annex and related services.

However another key concept is also quoted on that reply from Google Mexico to IFAI:

Notwithstanding the breadth of its corporate purpose, the activities that my principal in fact performs in Mexico center on those described in numeral 7 of article Third in its bylaws, particularly in the purveyance of administrative, financial, advisory and consulting services for corporations.

7. Receiving from other persons, individuals or corporations, as well as providing said individual or corporations whichever services necessary to comply with their corporate purposes, including but not limited to, administrative, financial, technical assistance, advisory and consulting services.

And then it underscored:

My principal does not provide the search engine service, as said service is provided by Google, Inc., an American corporation that owns the corresponding technological platform, with domicile at 1600 Amphitheatre Parkway, Mountain View…which operates and provides, amongst others, the search engine service for its users using its own servers and equipment. Therefore my principal does not gather nor process personal information of the users of the services provided by Google Inc.

Consequently,…Google Mexico, s de R.L. de C.V., is not the corporation that owns nor is responsible for the operation of the search engine service, as said services is offered and managed by Google, Inc. …Google, Inc., and Google Mexico, S. de R.L. de C.V., are different corporations, besides Google Mexico, S. de R.L. de C.V. is not a liaison office, branch or representative office of Google, Inc.

It further underscored that “Google Mexico only processes personal information of its employees and the databases that include physical files that contain them are the only elements that are protected pursuant to the LFPDPPP, and that exist in its facilities, and so it has been attested by the Verifiers…”

What follows is material for the instant case; in the Third finding (“Considerando Tercero”) to IFAI’s resolution in the verification proceeding said data protection authority stated that “[f]rom the information in the file being acted upon it is found that as regards the services relative to the search engine and email that in their time gave rise to the opening of the file that is acted upon, as well as the statements of the Complainant in his writ of February 6, 2014, these are provided by Google, Inc., a corporation domiciled in the United States of America, over which this Institute lacks jurisdiction by territory, as it escapes the content of the LFPDPPP, as provided for in its article 1 and is not within the provisions of article 4 of its Regulations…”

Based on the foregoing, IFAI found that there had been no violations of Google to the LFPDPPP, and resolved to have the file archived without further consequence thereto.

Bearing the above in mind, now consider that the instant case was initiated by a complaint dated July 22, 2014, wherein an individual referred having exercised his rights to the cancellation of his data and opposition to the processing thereof before Google with regards to 3 URLs found through its search engine, but having had no reply thereto, whatsoever, from Google Mexico, which is in and of itself a violation of the LFPDPPP. He claims that the information which deletion he requested included his name, his brothers’ (however the record does not refer that the complainant had authority and standing to represent his siblings) and his late father’s (also no reference to standing as executor of the gentleman’s estate), as well as “…clipped and out-of-context information on my activities as a businessman and merchant, which not only affects my most intimate sphere (honor and private life), but also current commercial and financial relationships…said information entails a grave risk to my personal security and physical integrity, as it is information linked to financial, patrimonial and judicial aspects…said information was uploaded and published to the “Google” search engine without my consent”.

The above assertions by the complainant are interesting, insofar as Roman numeral II in article 5 in the Regulations to the LFPDPPP exempt information concerning individuals in their capacity as merchants from its provisions; while that poses legality issues that could lend themselves to successful challenges thereto in court, fact is that IFAI is bound by said Regulations and should therefore not have considered that information as protected under them and the LFPDPP. However it decided to move forward with the case, as per the complainant’s assertions Google failed to respond to his petition, which under the LFPDPP provides for a cause of action before said Institute under a “Rights Protection Proceeding”, whereby IFAI may find for fault on the part of the Data Controller and order for the request to be complied with, but also mediate between the parties involved.

The bold assertions by the claimant’s counsel include statements that “Google (Mexico) possesses, controls, processes, authorizes, facilitates, shares, provides, makes possible, distributes, aids and abets the undue processing of sensitive personal data of our client, by allowing for information that does not comply with the requirements of the law, and much less with the principles… that govern the processing of personal information, to be uploaded, published and displayed through its “Google” search engine…”.

Anecdotally, it seems that an inappropriately redacted public version of the file was released at some point and has been blogged and reposted by a number of commentators (just as in the Liverpool department store breach case, this blog deals in legal scholarship and not news, so it refrains from further facilitating access to information that was or is not meant to be made public by its originators and thus no hyperlinks to the leaked copy of the file are included), wherein enough information of the search results was visible to allow readers to trace the allegedly infringing URLs the complainant complained about and realize that it had to do with a transport company and allegations that it was one of many favored by the bank bailout of the mid-90s (re: “Fobaproa”). In this sense the case may have the same ironic, undesirable and unexpected collateral effect as the Costeja Case: instead of achieving oblivion, the complainant’s identity and data involved in the case will become pervasive in future discussions and comments on the case. Perhaps there are instances where a good SEO strategy yields better results than the law?

IFAI’s requests for information regarding the instant case, regarding it relationship to Google International, LLC, and Google, Inc., as well as the search engine services it provides, whether it has servers of its own, how its services are, or are not, linked to the aforesaid partners, etc., were responded much in the same way as those in the verification case previously discussed, with Google Mexico reiterating that it does not operate or provide in any way services on behalf of Google Inc., does not have servers of its own and doesn’t provide, in any way, search engine services, which are provided by Google Inc.

However IFAI departed from its criteria set in the previous case, and the Second finding in the ruling for this one established as the cornerstone for the decision to sanction Google Mexico exactly what the Third finding established as the cornerstone to absolve it: regardless that Google Mexico has no servers of its own and does not actually provide the search engine service in and of its own, as there is a provision in its bylaws whereby its corporate purpose includes the purveyance of such services it therefore does provide them and is consequently bound by the LFPDPPP with regards to them. To support this statement IFAI’s verification officers certified screenshots of searches of the complainant’s name made through, as well as of Google’s pages dealing with its Terms and Conditions, “About”, “Locations”, etc., on which grounds said Institute found that Google Mexico did provide search engine services that amount to processing of personal data, and is therefore bound by the LFPDPPP, under obligation to comply with the claimant’s petition and subject to that proceeding.

In this point one might wonder if the whole thing could have been prevented if Google Mexico had replied to the claimant’s petition; the answer, for short, is “NO”: under the LFPDPPP an individual has cause for action in a Rights Protection Proceeding not only if the Data Controller does not respond to his petition, but also if he’s in disagreement with the response. However, even if Google Mexico weren’t the Data Controller, it should have responded to the claimant, as articles 95 and 98 of the Regulations to the LFPDPPP state that all petitions by individuals must be responded by Data Controllers, whether or not they possess personal data of the petitioning individuals. IFAI further found that Google Mexico was in fact the Controller of the Data processed as concerns the instant case, and that it failed to invoke any of the exceptions in the law to the obligation to respond to an individual’s petition, or a legal impediment thereto.

It consequently ordered Google Mexico to perform the actions necessary to implement the complainants rights to have his personal data cancelled from its search results and to oppose such processing thereof, within the 10 business days following notice of the ruling, by abstaining from processing said data in such a way that after typing the complainant’s name the URLs quoted in the initial complaint no longer show up, and by having said details cancelled from its databases…although there is record from another case that Google Mexico has no such databases.

Google Mexico could not possibly (technically nor materially) comply with the foregoing; but  in addition to the above, IFAI found that Google Mexico did not comply with the complainants initial petition and carried on with the illegitimate processing of his personal data, so that there were grounds to initiate a sanctioning proceeding against Google Mexico, which the latter would appear may have ample chances of successfully challenging if it came to a fine being assessed against it.

As other privacy practitioners and commentators have remarked and underscored, this case bears an inextricable nexus with the aforementioned Costeja Case, so much so that IFAI itself quoted the ruling thereupon by the European Court of Justice (page 34 of the file). However, as the usual length for a blog entry has been exceeded by far herein, comments on that particular issue will be made tomorrow, in the next entry hereto.

ofis - CopyEn los 18 meses de haber escrito por este medio 96 entradas sobre mis áreas de práctica han habido 4 entradas (derechos ARCO, multa a SOFOM Banamex, multa a TELCEL y reglas de CONDUSEF para despachos de cobranza) relativas tanto a los aspectos de regulación financiera como de protección de datos en la actividad de cobranza extrajudicial. El tema es complejo no sólo por aspectos jurídicos que fueron considerados en la “miscelánea de garantías” del 2003 como en la “reforma financiera” de este año, sino probablemente también por la ideosincrasia y experiencia nacionales en materia de recuperación de adeudos, de la que son parte las lamentablemente consabidas prácticas de los despachos de cobranza contratados por instituciones financieras y “gestoras de activos” que adquieren a descuento su cartera vencida.

El tema cobra relevancia de nuevo por la presentación de la Guía para orientar el debido tratamiento de datos personales en la actividad de cobranza extrajudicial del IFAI y CONDUSEF, elaborada por el primero con la opinión técnica de la segunda y concebida como “…una herramienta que permite a las entidades financieras y despachos de cobranza cumplir con los principios y deberes de la LeyFederal de Protección de Datos Personales en Posesión de los Particulares”, que “…representará un importante referente para orientar el debido tratamiento de los datos personales en laactividad de cobranza extrajudicial, sin invadir la privacidad de las personas ni violar las disposiciones en materia de datos personales vigentes en el país.”

Sin duda el documento contribuirá en gran medida al mejor entendimiento de la práctica en materia de protección de datos personales dentro del marco de la cobranza extrajudicial, facilitando discenir los casos en que un despacho trata los datos personales de los deudores de aquéllas entidades financieras que contratan sus servicios como Engargado y, por lo tanto, mediante la remisión de los mismos, de aquellos en los que dicho tratamiento deriva de la transferencia de tales datos y, por lo tanto, el despacho de cobranza o gestora de activos que hubiera adquirido la cartera de que se trate es, en si y por si, un ulterior Responsable de dichos datos (vid. pág. 37).

Para ello son particularmente importantes las siguientes indicaciones:

  • Es importante tener en cuenta que la comunicación de datos personales a Despachos de Cobranza, cuando éstos no sean dueños de la cartera, sino que presten el servicio de cobranza a nombre y por cuenta de la Entidad que otorgó el crédito, préstamo o financiamiento, no se considera transferencia, sino remisión, por lo que no existe obligación de informarla en el aviso de privacidad, ni de obtener elconsentimiento del Titular para que ésta ocurra.
  • En cambio, cuando hay una comunicación de datos personales entre la Entidad y un Despacho de Cobranza, con motivo de una venta de cartera a este último, dicha comunicación se considera una transferencia, por lo que es necesario informarla en el aviso de privacidad y cumplir con las obligacionesprevistas en esta sección (pág. 37).
  • En materia de Cobranza Extrajudicial, el tema del Encargado del tratamiento tiene especial relevancia, ya que la figura se utiliza de manera recurrente entre los acreedores y los Despachos de Cobranza, cuando éstos últimos NO son dueños de la cartera de crédito, préstamo o  financiamiento, y actúan a nombre y cuenta de la Entidad responsable de los datos personales (pág 40).

Sin embargo la Guía es sólo y precisamente eso: un documento que orienta, pero no obliga en forma alguna a las Entidades Financieras ni a sus despachos de cobranza, por lo que dista de ser una instancia de regulación por parte de la CONDUSEF armonizada con la normatividad del IFAI y la Secretaría de Economía en materia de protección de datos personales, como prevé el artículo 40 de la Ley Federal de Protección de Datos Personales, y fue presentada más de 2 meses después de la expedición de las Disposiciones de carácter general aplicables a las entidades financieras en materia de Despachos de Cobranza de dicha Comisión, que lacónicamente refieren en el último párrafo de su Disposición Sexta, que se deberá observar lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y, en su caso la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamentalen al convenir la cesión o venta de cartera. Lo deseable hubiera sido que ambas autoridades hubieran realizado este esfuerzo de coordinación antes de que la CONDUSEF expidiera las citadas Reglas, a fin de que dicho instrumento normativo contuviera disposiciones vinculantes para la debida protección de los datos personales de los deudores de las Entidades Financieras. Sin embargo, y sin duda, es un avance hacia la armonización normativa de la regulación general en materia de protección de datos personales con la de las múltiples materias que se relacionan con ella.

Precisamente en materia de cobranza extrajudicial, tan sólo 6 días antes de la presentación de la citada Guía el Pleno del IFAI votó la sanción impuesta a Corporativo Especializado en Recuperación de Cartera, justo por un caso derivado de ello, que asciende a un total de $2’169,460.00, por las siguientes infracciones:

  1. Contravenir los Principios de Licitud y Lealtad: $259,040.00
  2. Incumplir el deber de confidencialidad: $777,120.00
  3. Cambiar sustancialmente la finalidad del tratamiento de los datos: $679,980.00
  4. Tratamiento de datos financieros y patrimoniales: $453,320.00

Lo anterior atendiendo tanto a la intencionalidad de las conductas infractoras, como a la capacidad económica de la Integra Capital, determinada con base en sus estados financieros al 31 de diciembre y 31 de julio de 2014, que arrojaban un capital de $29’078,700.00.

El asunto se originó con la contratación de un crédito “Autoestrena Banorte” en el año de 2011 por quien parece ser (o haber sido) empleado del gobierno del Estado de Nuevo León y habría incurrido en atraso en sus pagos, lo cual motivó que empezara a recibir correos electrónicos de Integra Capital, con copia para sus compañeros de trabajo, por lo cual el Titular denunciante adujo la indebida transferencia de sus datos personales por parte de Banorte a la empresa referida, en tanto que el IFAI planteó:

  • La vulneración a su expectativa razonable de privacidad;
  • El incumplimiento al deber de confidencialidad por la divulgación del nombre, número de crédito y saldo del adeudo del Titular, violando con ello su privacidad y derecho a la autodeterminación informativa;
  • Varió sustancialmente la finalidad del tratamiento de los datos arriba mencionados, y
  • Divulgó tales datos a terceros sin consentimiento del referido Titular.

Tema importante en el caso: precisamente de acuerdo con el expediente y según la Guía, Integra Capital es un Encargado de Banorte, pero a diferencia del caso de Banamex y Revoware, el Banco Responsable no fue sancionado por los hechos y omisiones de su Encargado. ¿En qué radica la distinción que le evitó a Banorte ser multado en esta ocasión? La respuesta está en el párrafo tercero del Considerando Sexto, en donde de expone que Integra Capital adquirió el carácter de Responsable en si y por si al variar sustancialmente las finalidades de tratamiento de los datos personales que Banorte le habría remitido. Sin embargo, salvo por la cláusula de confidencialidad, en el expediente de sanción se omite analizar el texto del contrato de prestación de servicios suscrito entre Banorte en Integra Capital, de manera que no resulta del mismo un criterio sobre el cumplimiento con u omisión respecto de los requisitos que disponen los artículos 50 y 51 del Reglamento de la Ley tratándose de la relación entre el Responsable y el Encargado del tratamiento de los datos personales que interesan.




El mes pasado Forbes México publicó una nota de mi autoría sobre los aspectos que se deben cubrir para implementar debidamente el cumplimiento normativo en materia de protección de datos personales que todos quienes traten tal información están obligados a observar. A lo largo de más de 4 años de trabajar con responsables en sectores de servicios financieros, de salud, educación, hospitalidad y restauración, etc., he tenido ocasión de ver el valor que se le asigna a la protección de datos, no solamente como otro requisito a cumplir para evitar una sanción onerosa, sino como medio para transmitir una imagen positiva de la empresa, lo mismo que escuchar referencias al tema como una burocracia adicional que no aporta al negocio.

Comunicar lo primero para cambiar lo segundo fue parte del objetivo de los “Roadshows” que ProSoft 3.0, el IFAI y NYCE llevaron a cabo entre noviembre y los primeros días de noviembre desde Tijuana hasta Mérida, en los que nuestro despacho fue invitado para exponer los aspectos jurídicos y prácticos de los esquemas de autorregulación vinculante que empezarán a operar el año entrante, sobre lo cual a continuación se encuentran algunas de las láminas que exponen cómo y por qué la confianza que la protección de datos personales genera es fundamental para el éxito de un negocio.


Las reformas constitucionales de 2009 en materia de privacidad, la Ley del 2010, el Reglamento del 2011 y los Lineamientos del 2013 se inscriben en un proyecto mayor y de más importancia para impulsar la competitividad de las empresas y los negocios en México, que en el beve plazo de 4.5 años de vigencia de la Ley Federal de Protección de Datos Personales ya se ha logrado colocar en el #9 del “Top 10” de países líderes en protección de datos de acuerdo con el Global Data Protection Index de EMC Corporation, lo cual es muy meritorio, considerando lo mucho que falta por hacer por parte del amplísimo universo de Responsables que hay en el país, y el desconocimiento de la materia que aún existe entre ellos, los Titulares e incluso profesionales del derecho.

Sea como fuere, tal posicionamiento de México es sumamente positivo pero todavía deja camino por andar.

stack-image 1


QRO - CopyComo parte de los esfuerzos por difundir el valor y la importancia de los Esquemas de Autorregulación Vinculante previstos en los artículos 43, fracción V, y 44 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, así como en el artículo 47 y en el Capítulo VI de su Reglamento, cuyos Parámetros fueron publicados en el Diario Oficial de la Federación el 29 de mayo del presente año, la Secretaría de Economía ha llevado a cabo, junto con el Instituto Federal de Acceso a la Información Pública y Protección de Datos y Normalización y Certificación Electrónica, S.C., han llevado a cabo presentaciones en el Distrito Federal, Tijuana, Puebla, Mérida, y recientemente Guadalajara.

Este miércoles 26 de noviembre se llevará a cabo en las instalaciones de la Cámara Nacional de Comercio en la Ciudad de Querétaro otra presentación sobre la materia en general y los aspectos relevantes y ventajas de los esquemas de autorregulación en materia de protección de datos, en la que estaremos presentes junto con:

  • Lic. Damaris Moreno, Líder del Componente Legal de PROSOFT de la Secretaría de Economía.
  • Mtra. María Adriana Báez Ricárdez – Directora General de Autorregulación en el IFAI.
  • Ing. Pablo Corona, Gerente de Certificación de Tecnologías de la Información en NYCE

El registro de participantes e información adicional sobre dichas presentaciones está disponible en


La materia de protección de datos personales tiene más de 40 años de vigencia en Europa, e incluso los EE.UU.A. comenzaron a regularla y legislarla mucho antes que México, donde aún es novedosa y prevalece un gran desconocimiento al respecto tanto entre los Responsables del Tratamiento de Datos Personales, sus Encargados, Terceros con los que tienen relación, pero además inclusive entre los profesionales del derecho que están llamados a asesorarlos para el debido cumplimiento de sus obligaciones al respecto.

En un país como el nuestro, donde la colegiación no es obligatoria, ello supone un obstáculo adicional para que dichos Responsables y Encargados accedan a servicios de la calidad y nivel necesarios para contar con la debida asesoría en la implementación del cumplimiento normativo con el que deben contar. Además es preciso considerar que el ámbito personal de aplicación de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares es tan amplio, que abarca no sólo a las grandes empresas que dan Tratamiento a grandes volúmenes de Datos Personales, incluso de carácter personal y patrimonial, sino también a micro y pequeñas empresas que difícilmente podrían sufragar los honorarios de una asesoría externa.

Una solución práctica que existe para ambos dilemas radica en los esquemas de certificación, tanto de profesionales implementados por instituciones privadas, como de los esquemas de que la Secretaría de Economía se ha dado la tarea de promover luego de la publicación en el Diario Oficial de la Federación de la segunda versión de los Parámetros de Autorregulación en Materia de Protección de Datos Personales.

La certificación de profesionales existe en otras jurisdicciones desde hace varios años. La International Association of Privacy Professionals (IAPP)  ofrece cursos y exámenes para obtener la certificación como profesional en información y privacidad tanto en materia jurídica como de operaciones y tecnología en los regímenes europeo, estadounidense y canadiense. Sin embargo, aunque esperamos que pronto extienda también tal certificación tratándose del régimen jurídico mexicano, Normalización y Certificación Electrónica, S.C., es la primera organización en México que ofrece un curso de capacitación en materia de protección de datos personales, en adición al cual un examen y la resolución de un caso práctico permiten obtener la Certificación como Profesional en Protección de Datos Personales en niveles básico, Junior y Senior.

Por su parte, los Parámetros de Autorregulación expedidos por la Secretaría de Economía ofrecen importantes ventajas para los Responsables y Encargados: el más obvio es que por disposición del artículo 81 del Reglamento de la LFPDPPP, cuando un responsable adopte y cumpla un esquema de autorregulación, dicha circunstancia será tomada en consideración para determinar la atenuación de la sanción que correspondiera, en caso de no obstante haber cumplido con dicho esquema de autorregulación tuviera lugar alguna infracción a la normatividad en materia de protección de datos personales, sin perjuicio de que el IFAI determine otros incentivos para la adopción de dichos esquemas de autorregulación.

Además su desarrollo permitirá a los Responsables que se adhieran a tales esquemas armonizar el cumplimiento normativo al que están obligados en materia de protección de datos personales con el de las disposiciones de otras materias que también deban observar, lo cual no se ha llevado a cabo a la fecha aunque ya debería haber sido hecho por las diversas autoridades administrativas en cuyas materias se lleva a cabo el Tratamiento de Datos Personales, pues el artículo 40 de la Ley dispone que la misma es un marco normativo que esas dependencias deberán observar, en el ámbito de sus propias atribuciones, para la emisión de la regulación que corresponda. Como ejemplo de estas omisiones regulatorias se pueden destacar 3 ejemplos:

  1. En materia de propiedad intelectual, mercadotecnia y publicidad no es absolutamente claro si para el uso de la imagen de una persona debe atenderse aun al artículo 87 de la Ley Federal del Derecho de Autor o a la LFPDPPP;
  2. Tratándose de servicios de salud, la Ley General de Salud, sus Reglamentos y diversas Normas Oficiales Mexicanas obligan al prestador de tales servicios a obtener el consentimiento informado de sus pacientes, sin que se haya dispuesto si su consentimiento expreso respecto del aviso de privacidad debiera ser obtenido en paralelo, o si conforme a los artículos 10, fracción IV, de la LFPDPPP y 17 de su Reglamento tal consentimiento informado dispensa la expresión del mismo en el Aviso de Privacidad, y
  3. Los oferentes de productos y servicios crediticios están obligados, conforme a la Ley para la Transparencia y Ordenamiento de los Servicios Financieros, así como a las Disposiciones de la PROFECO y/o CONDUSEF en esa materia a adjuntar a sus contratos una carátula que prevea la autorización del cliente para que se haga uso de sus datos personales para fines de mercadotecnia y publicidad, lo cual es también un elemento requerido en el Aviso de Privacidad conforme al Reglamento y los Lineamientos igualmente expedidos por la Secretaría de Economía.

Toda vez que los esquemas de autorregulación vinculante se basan en códigos, buenas prácticas profesionales, políticas de privacidad, reglas de privacidad corporativas, lineamientos, etc., aplicables a sus adherentes, estos no necesitarían desarrollar de la nada el total de su cumplimiento normativo, sino que contarían ya con bases y guías a seguir para ello, lo cual podría abatir en alguna medida el costo de la asesoría e implementación, beneficiando particularmente a las micro y pequeñas empresas que se adhieran a tales esquemas.

Retomando lo escrito al inicio de esta entrada, y como fue dicho por en el XXI Encuentro Iberoamericano de Protección de Datos Personales, celebrado en las instalaciones del IFAI la semana pasada, así como en el foro de Knowledgenet de la IAPP este miércoles, México empezó tarde con la regulación de la protección de datos personales, lo cual ofrece la ventaja de poder abrevar de la experiencia de otras jurisdicciones y evitar sus errores. En el marco de la certificación de esquemas de autorregulación, el caso de TRUSTe es ejemplo de aquello con lo que deberá tenerse cuidado en la experiencia mexicana en materia de autorregulación.



TRUSTe es una empresa estadounidense que ofrece servicios de sistemas para la protección de datos personales y audita a empresas de aquél país dedicadas al comercio electrónico respecto de su cumplimiento normativo en materia de privacidad/protección de datos personales, y extiende a aquéllas que cumplen con el marco normativo que deben observar (COPPA, Reglas APEC, Convenio USA-EU de Puerto Seguro, etc.) un “sello de confianza” a aquéllas que han satisfecho su auditoría de cumplimiento. Su marca ha sido ampliamente reconocida por más de una década en el comercio electrónico de aquél país.

Sin embargo ésta misma semana la prensa estadounidense dio cuenta del acuerdo por US$200,00.00 al que dicha empresa llegó con la Federal Trade Commission de aquél país con motivo irregularidades que fueron detectadas tanto en su programa de re-certificación como en su imagen pública. En materia de re-certificación, se concluyó que entre 2006 y 2013 TRUSTe había omitido realizar auditorías anuales a unas 1,000 de las empresas que certifica, a pesar de que afirmaba que lo había hecho, a lo cual TRUSTe respondió que ello sólo había ocurrido en menos del 10% de los casos, únicamente respecto de sus clientes con contratos multi-anuales que eran certicados cada tercer año. Tratándose de su imagen pública, el hallazgo fue que en tanto que la empresa inició en 1997 como una organización sin fines de lucro, en 2008 se convirtió en una empresa lucrativa, lo cual fue considerado como publicidad engañosa.

El caso es una gran lección para México antes incluso de iniciar el desarrollo y registro de esquemas de autorregulación, pues el trabajo de protección de datos personales se basa esencialmente en la confianza, de manera que los verificadores, certificadores y auditores en la materia deben ser probos y transparentes en sus labores, a fin de ser merecedores de la confianza que las certificaciones y sellos que extiendan participen de la misma en beneficio de quienes las reciban.

El año pasado se abrió un periodo para el registro ante el IFAI de esquemas de autorregulación vinculante, sin que haya habido (hasta donde tengo conocimiento) una sola solicitud al respecto. Conforme a los artículos Transitorios de la publicación de los Parámetros comentados al inicio de esta nota la “segunda etapa” para el desarrollo de esos esquemas de autorregulación iniciará en marzo del 2015; es una oportunidad que las Asociaciones, Cámaras y demás agrupaciones gremiales no deberían dejar pasar, para que sus afiliados, miembros o agremiados den cumplimiento de una manera asequible y eficiente a las obligaciones que la Constitución, LFPDPPP, su Reglamento y Lineamientos del Aviso de Privacidad les imponen.

Como expresó el pasado miércoles José Luis Rodríguez Álvarez, Director de la Agencia Española de Protección de Datos Personales, “La privacidad es una condición necesaria para el desarrollo económico, porque sin ella no hay confianza, y sin confianza no hay modelo de negocios viable”.

El comunicado de TRUSTe sobre su acuerdo con la FTC puede ser visto aquí:

Chris Babel, CEO

At TRUSTe we take very seriously the role we play in the privacy ecosystem and our commitment to supporting our customers. And if we fall short, we admit it, we address the issue, and we move forward.

Today, an agreement was announced with the Federal Trade Commission (FTC) settling a complaint about two of our prior business processes. The FTC did not find any issues with TRUSTe’s privacy practices, but there were two processes that needed to be fixed – and we have addressed both.

The first item is that we did not ensure all certified websites removed a reference to TRUSTe as a non-profit entity in their privacy policies after we transitioned to a for-profit enterprise in 2008. The second is that we did not complete the annual review step of certification from 2006 until January 2013 for clients who had signed up for multi-year agreements. This represents less than 10% of the total number of annual reviews we were scheduled to conduct during that time.

Multi-year clients that did not undergo the annual review step of their certification were reviewed when their agreements were up for renewal. Because over 90% of multi-year clients signed two-year contracts, the vast majority were reviewed every other year. Additionally, all clients continued to receive all other services included in their TRUSTe certification – including our privacy advisory services, guidance on any proposed changes to their privacy procedures, and dispute resolution service so any potential consumer complaints regarding their privacy policy or practices were fully investigated.

We have taken swift action to address the process issues covered by the agreement. In late 2013, we started requiring the non-profit reference to be removed from all active client websites as a condition of re-certification. We also identified and fixed the process for annual reviews in January 2013, and implemented new controls to ensure that every client receives the annual review step of their certification. We regret that, in these two cases, our processes did not live up to our own standards.

I am proud of the dedicated TRUSTe team that continues to work hard to develop new technology, products and services to keep pace with the rapid evolution in privacy laws, regulations and practices. We are delivering products and services to a growing customer base around the globe. The role we play today and going forward has never been more important for our clients and the customers they serve. In the weeks and months ahead, I look forward to focusing our energies on helping businesses address these rapidly evolving data privacy management challenges.

Thank you.

logo-CONDUSEF2 - CopyLa cobranza extrajudicial ha sido un tema muy llevado y traido en México desde hace tiempo, que necesariamente se relaciona con el Tratamiento de Datos Personales y el Principio de Calidad además del Principio de Lealtad que informan a la Ley de la materia, por lo cual empresas como Telcel y la SOFOM de tarjetas de Banamex han sido sancionadas por el IFAI. Se trata de un asunto al que los Responsables deben poner atención, puesto que sus agencias o despachos de cobranza obran como Encargados suyos, por lo que sus actos u omisiones podrían repercutirles, por virtud del Principio de Responsabilidad, dado que por definición un Encargado obra por cuenta y orden del Responsable.

Las prácticas de algunos despachos de cobranza también han representado por mucho tiempo un problema para el público, ya sea porque aquellos recurren a prácticas cuestionables, por decir lo menos, dirigiendo a los domicilios registrados de los acreditados documentos que pretenden hacer pasar por mandamientos judiciales de embargo, o porque ante la falta de actualización de sus bases de datos o directorios (ojo con el Principio de Calidad) insisten en comunicarse, muchas veces a deshoras o con lenguaje agresivo e incluso vulgar, a los números telefónicos que tuvieran registrados para los deudores morosos.

No se había encontrado una solución sólida para estas situaciones, por una parte debido a que la colegiación no es obligatoria en México, por lo que no existe un organismo con facultades para sancionar a los profesionales del derecho que incurran en prácticas como las arriba mencionadas, y por otra dado que la CONDUSEF no contaba con facultades para proceder en contra de tales abusos. La única vía que existía, mencionada en la entrada del 30 de julio del 2013, era la verificación del caso, para determinar si resultaba o no en una violación del Código de Ética de las Obligaciones para con los Deudores y Público en General, pactado por tal Comisión y por la Asociación Mexicana de Profesionales en Cobranza y Servicios Jurídicos, A.C., que al final de cuentas era una solución basada en soft law, por lo que dependía de su adopción voluntaria por el despacho de cobranza y difícilmente era sancionable.

Probablemente las cosas cambien a ese respecto a partir de hoy, pues como lo anunció la CONDUSEF el día de ayer fueron publicadas en el Diario Oficial de la Federación las Disposiciones de carácter general aplicables a las entidades financieras en materia de Despachos de Cobranza, que dicha Comisión expidió con fundamento en las facultades que le fueron conferidas mediante las recientes reformas a la Ley para la Transparencia y Ordenamiento de los Servicios Financieros, Disposiciones que entraron en vigor a partir de hoy, sin perjuicio de los plazos de 90 días que sus Disposiciones Transitorias otorgan para dar cumplimiento a las obligaciones derivadas de las mismas, así como para adecuar, en lo conducente, los contratos que ya deberían tener inscritos ante el Registro de Contratos de Adhesión de dicha Comisión.

Esto decididamente significa un avance en el manejo de estos asuntos, pero en cuanto a protección de datos personales da la impresión que ni ésta ni otras entidades reguladoras “le entran” de lleno a la materia y, por lo tanto, no llevan a cabo la emisión de la regulación secundaria correspondiente a sus sectores. Esto se observa en la fracción VIII de la Disposición Cuarta, que se limita a requerir a las Entidades Financieras a “Tratar los datos personales de conformidad con la normativa aplicable en la materia”, sin disponer de manera más clara al respecto, puesto que sólo hay 2 referencias de relevancia a la LFPDPPP:

  1. En la fracción I de la propia Disposición se hace a las Entidades Financieras responsables de que al contratar Despachos de Cobranza (según dicho término es definido) para realizar gestiones de cobro, negociación o reestructuración de sus créditos, préstamos o financiamientos, se tengan establecidos mecanismos que permitan la plena identificación del Deudor, obligado solidario o aval, antes de establecer el primer contacto, y a que en el primero contacto que establezcan con dicho Deudor (momento en el cual deberían
  2. Último párrafo de la Disposición Sexta, que les requiere observar lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y, en su caso la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamentalen al convenir la cesión o venta de cartera, lo cual no aporta gran cosa, puesto que dichos ordenamientos son de orden público y observancia general, por lo que no hacía falta que una norma secundaria reiterase su obligatoriedad.

Sin perjuicio de lo anterior, destaca la previsión contenida en la fracción VII, inciso f), de dichas Disposiciones, que  requiere a los Despachos de Cobranza que se abstenga de establecer registros especiales, distintos a los ya existentes, listas negras, cartelones, o anuncios, que hagan del conocimiento del público la negativa de pago de los Deudores. Tales prácticas podrían también ser sancionadas por el IFAI, en virtud de que las obligaciones del Encargado previstas en el artículo 50 del Reglamento de la LFPDPPP: le obligan a:

  • Guardar confidencialidad respecto de los Datos Personales tratados, confidencialidad que sería transgredida por la práctica de colocar cartelones o anuncios que comuniquen a terceros la mora del Deudor;
  • Abstenerse de transferir (por definición a Terceros) los Datos Personales a los que den Tratamiento, lo cual también sería violatorio del antedicho deber de confidencialidad;
  • Tratar los Datos Personales únicamente conforme a las instrucciones del Responsable, y
  • Suprimir los Datos Personales objeto de Tratamiento una vez cumplida la relación jurídica con el responsable o por instrucciones de éste, obligaciones que serían incumplidas si el Despacho de Cobranza mantuviera su propia bases de datos en paralelo a los registros proporcionados o generados por instrucciones de la Entidad Financiera Responsable, más aún si la ofreciera posterioremente a otro de sus clientes.

También obliga a los Despachos de Cobranza a ser inscritos por las Entidades Financieras en el Registro de Despachos de Cobranza que llevará dicha Comisión.

Para el público representan los siguientes beneficios en tanto que los Despachos de Cobranza:

  • Deberán identificarse plenamente en el contacto con el Deudor, y brindarle información suficiente sobre el motivo de su actuación;
  • Deberán comunicarse de manera respetuosa y educada, en un horario de 7:00 a 22:00 horas;
  • No podrán ostentarse como instituciones públicas, utilizar números telefónicos ocultos al identificador de llamadas,
  • Amenazar, ofender o intimidar al Deudor, sus familiares, compañeros de trabajo o cualquier otra persona que no tenga relación con la deuda, realizar gestiones de cobro a terceros, incluidas las referencias personales y beneficiarios, con excepción de Deudores solidarios o avales, ni con menores de edad o adultos mayores, salvo que dichos adultos sean los Deudores, ni enviar documentos que aparenten ser escritos judiciales u ostentarse como representantes de algún órgano jurisdiccional o autoridad.

Para efectos del Principio de Calidad es relevante que también se les ha prohibido realizar las gestiones de cobro, negociación o reestructuración, de los créditos, préstamos o financiamientos, en un domicilio, teléfono o correo electrónico distinto al proporcionado por la Entidad Financiera o el Deudor, obligado solidario o aval, lo cual les obligará a dar un seguimiento más puntual a la ubicación de sus Deudores, avales u obligados solidarios, aunque también podría hacerles recurrir a otros medios para mantener sus bases de datos actualizadas, como la consulta de fuentes de acceso público, lo cual debería verse reflejado en el momento de poner sus Avisos de Privacidad a disposición de aquellos Titulares cuyos Datos Personales hubieran obtenido indirectamente.

Habrá que esperar y ver si la PROFECO expide Disposiciones en similar sentido que resulten aplicables a las Entidades Comerciales que también otorgan créditos, préstamos o financiamientos.


cctv3 - CopyPrevio a la promulgación de la Ley Federal de Telecomunicaciones, diversos medios publicaron múltiples comentarios sobre la afectación que los artículos 189 y 190 del proyecto de Decreto aprobado por el Congreso de la Unión suponen para la protección de datos consagrada en el artículo 16, párrafo segundo, de la Constitución Política de los Estados Unidos Mexicanos, sobre lo cual se comentó en este blog el 4 y 28 de julio de este año.

El tema se resume en que los artículos referidos obligan a los autorizadosy proveedores de servicios de aplicaciones y contenidos a atender todo mandamiento por escrito, fundado y motivado de la autoridad competente, referida de manera muy genérica como “instancias de seguridad y procuración de justicia”, cuyos titulares podrán designar, mediante acuerdos publicados en el Diario Oficial de la Federación, a los servidores públicos encargados de gestionar tales requerimientos que se realicen y recibir la información correspondiente a la localización geográfica, en tiempo real, de los equipos de comunicación móvil, so pena de sanción de la autoridad por desacato.

Hoy día el Reforma reporta que la Unidad de Inteligencia Financiera de la Secretaría de Hacienda y Crédito Público presentó a la Comisión Federal de Mejora Regulatoria el proyecto de Acuerdo por el que el Titular de esa Unidad designa a los Servidores Públicos que se mencionan en el mismo, para efecto de lo dispuesto en el citado artículo 189 de la #LeyTelecomm, designando como tales a los titulares de la propia Unidad de Inteligencia Financiera, y a su Dirección General de Procesos Legales.

El encabezado de prensa pareciera ser sensacionalista y amedrentar a muchos: “Rastreará SHCP a evasores por celular“. Al respecto hay que considerar si las facultades de la UIF atañen a la seguridad y procuración de justicia; naturalmente dicha Unidad lo estima así, y por ello motiva el proyecto presentado a COFEMER indicando que el artículo 15 del Reglamento Interior de la SHCP le otorga competencia para denunciar ante el Ministerio Público Federal las conductas que pudieran favorecer, prestar ayuda, auxilio o cooperación de cualquier especie para la comisión de esos delitos (art. 15, fracción XIII), por lo que se ajustaría al extremo previsto en el citado artículo 189 de la Ley Federal de Telecomunicaciones y Radiodifusión.

Al respecto debe considerarse que los tipos penales referidos en la norma del Reglamento Interior que se cita, comúnmente conocidos como “lavado de dinero”, son esencialmente accesorios; es decir, aunque son penados en sí mismos aunque sirven como medio para la comisión de otros actos previstos como delito por los artículos 139 Quáter y 400 Bis del Código Penal Federal, y de la lectura del proyecto de Acuerdo se podría interpretar que la intención del Titular de la UIF sería acotar su ejercicio de la facultad prevista en el referido artículo 189 a su actuación respecto de los mismos. Adicionalmente, la fracción XI del citado artículo del Reglamento Interior la faculta también para “coordinarse con las autoridades fiscales para la práctica de los actos de fiscalización que resulten necesarios con motivo del ejercicio de las facultades conferidas conforme al citado artículo; por lo tanto, el rastreo mediante geolocalización en tiempo real de dispositivos de telecomunicación móvil debería darse solamente en los casos en que la “evasión fiscal” hubiera sido una de las conductas punibles de las que se hubieran obtenido los recursos con los que se hubieran realizado las operaciones investigadas hubieran derivado de alguna de las conductas previstas en el artículo 400 Bis del Código Penal Federal hubieran sido producto de la comisión de alguna de las conductas previstas en los artículos 108 a 111 del Código Fiscal de la Federación.

En los meses siguientes se verá, sin duda, a muchas otras autoridades administrativas presentar ante la COFEMER sus respectivos proyectos de Acuerdo para los mismos efectos. Posiblemente ello contribuya para paliar, en la práctica y de manera fáctica, la falta de claridad y ambigüedad del multicitado artículo 189 de la Ley Federal de Telecomunicaciones y Radiodifusión, aunque no debiera ser el caso.

Por otra parte, en breve se verá si el IFAI, en su nueva integración, resuelve afianzar su papel de garanta del acceso a la información pública y protección de datos personales, pues su pleno resolverá en su sesión del día de hoy sobre el ejercicio de la acción de inconstitucional que le fue conferido por virtud de la reciente reforma constitucional publicada en el Diario Oficial de la Federación el 7 de febrero del año en curso. La discusión se escucha reñida, y sin lugar a dudas los votos de sus Comisionados aportarán indicaciones sobre sus criterios y lo que podría esperarse de su actuación en esos puestos y de la del Instituto mismo.





Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions


Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business


Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace