archivo

Archivo de la etiqueta: ifai

Cookies! …en el Aviso de Privacidad…

16 diciembre, 2013
Privacy/Protección de Datos
Deja un comentario

Cookie MonsterEl escalonamiento con el que la regulación mexicana en materia de protección de datos personales ha sido emitida ha supuesto para los Responsables del Tratamiento de Datos Personales la necesidad de hacer trabajo adicional para implementar su cumplimiento normativo  correctamente.

Desde el 5 de julio de 2010, fecha en que fue promulgada la Ley Federal de Protección de Datos Personales, y hasta el 21 de diciembre del 2011, mucho después de transcurrido el plazo de un año previsto en el Artículo Tercero Transitorio de esa Ley para que dichos Responsables expidieran sus Avisos de Privaciad, hasta que tras un largo periodo de comentarios públicos en la Comisión Federal de Mejora Regulatoria, fue expedido el Reglamento correspondiente, todos los requisitos para esos Avisos de Privacidad que posteriormente fueron denominados como Integral y Simplificado estaban contenidos en los artículos 8, 15, 16, 36 y 37 de la Ley.

Esos requisitos se limitaban a:

  1. Identidad y domicilio del Responsable;
  2. Información que se recaba de los Titulares de los Datos Personales tratados;
  3. Finalidades del tratamiento de datos;
  4. Ppciones y medios para que los Titulares limiten el uso o divulgación de sus Datos Personales;
  5. Medios para ejercer los Derechos ARCO;
  6. Las Transferencias de datos que se efectúen;
  7. El procedimiento y medio por el cual el Responsable comunicará a los Titulares los cambios al Aviso de Privacidad, y
  8. Consentimiento, ya sea tácito o expreso.

…y fueron incrementados por el citado Reglamento, por ejemplo con la obligación prevista en su Artículo 112, por virtud del cual aquellos Responsables que lleven a cabo el Tratamiento de Datos Personales en procesos de toma de decisiones sin que intervenga la valoración de una persona física deben hacerlo explícito entre la Finalidades de dicho Tratamiento, al igual que el requisito derivado del último párrafo del Artículo 14 del citado Reglamento, de acuerdo con el cual cuando el Responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento se deberá informar al titular sobre el uso de esas tecnologías, que a través de las mismas se obtienen datos personales y la forma en que se podrán deshabilitar..

Lo anterior fue clarificado a través de los Lineamientos para el contenido y alcances de los Avisos de Privacidad, emitidos por la Secretaría de Economía con fundamento en el artículo 43, fracción III, de la Ley, el cual la facultó para coadyuvar con el IFAI en la emisión de los mismos, cuyo Lineamiento Trigésimo Primero requiere que cuando el Responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento deberá informar al titular, a través de una comunicación o advertencia colocada en un lugar visible, sobre el uso de esas tecnologías y sobre el hecho de que a través de las mismas se obtienen datos personales, así como la forma en que se podrán deshabilitar, salvo que dichas tecnologías sean necesarias por motivos técnicos, obligando asimismo a incluir en el Aviso de Privacidad la información requerida por el Reglamento de la Ley y la de los propios Lineamientos, entre ella, los datos personales que se recaban y las finalidades del tratamiento.

Una de las maneras más obvias para darse cuenta de que un Responsable ha mantenido en uso un Aviso de Privacidad Integral en medios remotos, como una página de Internet, desde la promulgación de la LFPDPPP o el vencimiento del plazo para implementar ese medio de cumplimiento con el Principio de Información es la omisión de la referencia al uso de cookies, web beacons y otros recursos similares en el referido Aviso.

¿Por qué la necesidad de incluir la mención del uso de mecanismos como las «Cookies» en el Aviso de Privacidad? La entrada en Wikipedia para Cookies explica que estos archivos fueron concebidos originalmente para identificar a los usuarios y diferenciar el comportamiento de los sitios de comercio electrónico al realizar compras en sitios de comercio electrónico; por ejemplo pueden ser usadas para «…control de usuario: cuando se introduce el nombre de usuario y contraseña, se almacena una cookie para que no tenga que estar introduciéndolas para cada página del servidor. Sin embargo, una cookie no identifica solo a una persona, sino a una combinación de computador-navegador-usuario», pero que además de pueden ser usadas para rastrear el movimiento del usuario a lo largo de las páginas web visitadas, búsquedas realizadas, etc.

Desde que Internet se volvió un medio financiado fundamentalmente a través de la venta de publicidad el perfilamiento de usuarios se ha vuelto una necesidad para compañías como Google, Yahoo! y Microsoft. Sin embargo puede tener implicaciones importantes para los usuarios en cuanto a privacidad y acceso a oportunidades. El perfilamiento de usuarios podría

Una nota del Wall Street Journal el año pasado explica, por ejemplo, cómo Orbitz distingue entre usuarios de PC y de Mac para ofrecer antes a estos últimos servicios con precios más altos que a los primeros, asumiendo que quien invierte en una Mac es más proclive a optar por servicios «high-end» y, por lo tanto, más caros. Se han hecho también estudios que apuntan al incremento en el riesgo de que el perfilamiento de usuarios a través de diversos medios, incluyendo Internet, podrían resultar en discriminación. La posibilidad de combinar información de fuentes como registros públicos, reportes de crédito, historial de consumos y ubicación podría prestarse a limitar el acceso a bienes y servicios buscados en Internet si sus oferentes optaran por segmentar ese acceso en función del género, edad, nivel socio-económico y consumo de los usuarios.

De ahí que para lograr una verdadera autodeterminación informativa la autoridad de protección de datos personales haya requerido a los Responsables revelar el uso de tecnologías para obtener datos personales a través de Internet y la manera para deshabilitarlas.

El siguiente video de YouTube ilustra, por ejemplo, cómo Google utiliza y almacena las cookies e información obtenida de ellas en su motor de búsqueda. Por otra parte, el Washington Post publicó hace unos días una nota sobre cómo la Agencia de Seguridad Nacional de los EE.UU.A. se vale de esas mismas cookies para identificar y ubicar blancos de hackeo y vigilancia. De particular relevancia es lo indicado en los siguientes párrafos de la nota, que daría tranquilidad a la inmensa mayoría de los usuarios de Internet:

«The intelligence agencies have found particular use for a part of a Google-specific tracking mechanism known as the “PREF” cookie. These cookies typically don’t contain personal information, such as someone’s name or e-mail address, but they do contain numeric codes that enable Web sites to uniquely identify a person’s browser…

The NSA’s use of cookies isn’t a technique for sifting through vast amounts of information to find suspicious behavior; rather, it lets NSA home in on someone already under suspicion«

Multa el IFAI a Afore XXI Banorte con $1’246,000.00

2 diciembre, 2013
Privacy/Protección de Datos
Deja un comentario

La sanción más recientemente publicada por el IFAI correspondió a la Afore de Grupo Financiero Banorte, por el tratamiento de datos personales financieros y patrimoniales que dicha Responsable llevó a cabo en contravención a los Principios de Licitud y Consentimiento que informan a la LFPDPPP y violando los artículos 6, 7, párrafo primero y 8, párrafos primero, segundo y cuarto, del citado ordenamiento. Lo anterior no obstante que de acuerdo con un comunicado del propio Instituto fechado en marzo de este año, se llevó a cabo un taller para capacitar a representantes de la Asociación Mexicana de Administradoras de Fondos para el Retiro (AMAFORE) en materia de cumplimiento normativo de la LFPDPPP.

El caso se originó con el traspaso de un cuentahabiente de Afore Metlife a la Afore Bancomer en noviembre del 2012, operación que fue negada por el Titular denunciante, quien solicitó la intervención del referido Instituto para dilucidar quién habría estampado sus huellas dactilares y puesto su fotografía en la hoja de firmas correspondiente. Un caso más de traspaso no autorizado, situación que desafortunadamente ha sido común en el medio del ahorro para el retiro. Ahora bien, el que la Responsable sancionada haya sido una Afore distinta de la nombrada en la denuncia se debe a que Afore Bancomer fue fusionada por Afore XXI Banorte, quien dio contestación como Responsable al requerimiento del Director de Verificación del IFAI.

En suma, dicho Instituto resolvió que la Responsable había dado Tratamiento a los Datos Personales del denunciante violando los Principios de Licitud y Consentimiento previstos en la LFPDPPP, por haber utilizado los Datos Personales financieros y patrimoniales de dicho Titular sin contar con su consentimiento expreso, respecto de lo cual el inciso C) del Considerando Cuarto refiere el oficio No. D00/200/0148/2011, fechado el 22 de diciembre de 2011, por el cual se dio a conocer a PROCESAR, S.A. de C.V., empresa operadora de la base de datos nacional del SAR, el «Modelo de Medios Electrónicos de Traspasos por Internet», mismo que prevé como requisito indispensable el consentimiento expreso del trabajado para el traspaso de su cuenta individual.

Del asunto mismo conviene destacar una mención en el párrafo segundo del inciso B) del Considerando Cuarto, en que se menciona la confesión expresa de la Responsable en el sentido que «…el promotor de nombre ___________ (mismo que fue dado de baja el pasado 26 de febrero de 2013), haciendo alusión que dentro de sus funciones está la recabación (sic) de información personal y confidencial y utilizar la misma para promover el traspaso de los recursos de su cuenta individual […] que sin consentimiento del C. ________ y sin conocimiento de esta administradora utilizó dichos datos para solicitar el traspaso de sus recursos […]».

El IFAI resolvió que la conducta infractora había sido realizada de manera intencional, y consultando la página de internet de Afore Banorte constató que sus estados financieros al 30 de junio de 2013 indicaban un capital contable del orden de $23,178’000,000.00, lo que motivó una multa por la cantidad de $1’246,000.00.

El caso es úitl para enfatizar la importancia de la debida capacitación del personal de las empresas en materia de protección de Datos Personales, puesto que atento al Principio de Responsabilidad  el Responsable del Tratamiento de Datos Personales lo es ante el Titular y la autoridad de protección de datos, independientemente de que lleve a cabo el Tratamiento por medio de su staff, Encargados o Terceros.

Un punto interesante a considerar al respecto es el de las vías que el patrón tiene como Responsable por el Tratamiento de Datos Personales que realizan sus empleados. El art. 48 del Reglamento de la LFPDPPP prevé en sus fracciones I, III y IV que entre las medidas para la observancia del Principio de Responsabilidad se encuentra el diseño, implementación y aplicación de una Política de Privacidad al interior de la empresa. Dicha Política debería ser una especie de Reglamento Interior en materia de protección de Datos Personales, de forma tal que su transgresión pudiera dar pie a sanciones o incluso a la rescisión de la relación laboral sin responsabilidad para el patrón, con base en diversas fracciones del art. 47 de la Ley Federal del Trabajo.

Adicionalmente existe una disposición en el Código Civil Federal que prevé que en caso de que el patrón enfrentara el pago de daños y perjuicios causados por algún Trabajador a una tercera persona, dicho patrón podría requerir a tal trabajador las cantidades que hubiere pagado al afectado. Si bien esa disposición choca contra las normas protectoras del salario en la Ley Federal del Trabajo, su aplicación podría ser un disuasor efectivo para evitar mayores riesgos al patrón por los actos u omisiones de sus trabajadores.

Establece IFAI Sistema Electrónico para presentar Solicitudes de Protección de Derechos y Denuncias, así como para Sustanciar Procedimientos

29 noviembre, 2013
Privacy/Protección de Datos
Deja un comentario

El día de ayer fue publicado en el Diario Oficial de la Federación el Acuerdo por el cual el IFAI estableció un sistema electrónico para la presentación de solicitudes de protección de derechos, denuncias por presuntos incumplimientos a la LFPDPPP, así como para sustanciar los procedimientos previstos en dicho ordenamiento, a saber de protección de derechos, verificación e imposición de sanciones, valiéndose para ello del uso de la Firma Electrónica Avanzada (FIEL).

A ese último respecto es convieniente recordar que si bien en un principio y de acuerdo con el Capítulo II del Título I del Código Fiscal de la Federación los Certificados de Firma Electrónica emitidos por el Servicio de Administración Tributaria sólo eran válidos para su uso en promociones hechas ante la autoridad exactora, a pesar de que la figura había sido regulada también en el Capítulo I del Título II del Código de Comercio, y posteriormente su uso fue ampliado a las funciones propias de la Secretaría de la Función Pública, la utilización de ese medio de autenticación fue ampliada exponencialmente por virtud de la Ley de Firma Electrónica Avanzada promulgada el 11 de enero del 2012.

La medida será sin duda un medio fundamental para expandir la capacidad de actuación del IFAI, misma que era restringida por el hecho de no tener delegaciones regionales en el interior de la República, lo que motivaba la necesidad de recurrir a su Centro de Atención a la Sociedad para la presentación de solicitudes de protección de derechos, denuncias y sustanciación de procedimientos.

Con la implementación de este Sistema Electrónico, y sumado a su Generador de Avisos de Privacidad, el IFAI ha dado un paso más para ponerse a la vanguardia entre las Agencias de Protección de Datos del Mundo, ejemplo de las cuales son la Canadiense y Británica, cuyas páginas Web contienen además materiales y medios para que los sujetos obligados al cumplimiento en la materia puedan capacitarse y desarrollar medios de cumplimiento propios.

Lo dicho: datos publicados por Internet podrían haber salido del padrón electoral

9 noviembre, 2013
Privacy/Protección de Datos
Deja un comentario

En alcance a las 2 entradas inmediatas anteriores en este blog corresponde actualizar que en palabras del Srio. de Protección de Datos del IFAI, el Dr. Alfonso Oñate Laborde, citado por Reforma, «La responsabilidad pudiera recaer en diversas personas, pero pensamos que en un primer momento puede ser en el IFE porque todo apunta a que sea el padrón electoral la base de datos madre, sin embargo, es preciso que tengamos en mente que el padrón electoral, por disposiciones de la propia regulación electoral, se pone a disposición de los partidos políticos«.

Lo anterior reforzaría el punto hecho por un servidor en la entrada intitulada ¿Y la Protección de Datos, apá?, (jugando con el meme del comercial de la Chevrolet Cheyenne): las fallas de otros no justifican las propias, de manera que el sector privado debe cumplir con la Ley Federal de Protección de Datos Personales no obstante las filtraciones que pudieran provenir del sector público. Más aun, la debida implementación de medidas de trazabilidad que requiere la fracción X del artículo 48 de su Reglamento para la observancia del Principio de Responsabilidad permitirían deslindar responsabilidades y esclarecer casos como este.

Además el caso podría ser una ocasión propicia para que se revise la cantidad de datos personales contenida en esa identificación que se ha hecho indispensable en cualquier trámite en México. Ya antes se ha postulado la eliminación del dato del domicilio indicado en esas credenciales, pero posteriormente se abrió la posibilidad a que se indicara en ellas, a petición del ciudadano, su tipo sanguineo (útil ante una emergencia) y si es o no donador de órganos.

¿En cuántas recepciones de edificios o ventanillas bancarias se pueden ver exhibidas cotidianamente credenciales de elector de personas que las han dejado olvidadas, quedando sus datos personales expuestos?

 

 

Actualización a ¿y la Protección de Datos, apá?

7 noviembre, 2013
Privacy/Protección de Datos
Deja un comentario

En alcance a la nota inmediata anterior, debe mencionarse que el IFAI no sólo está actuandocomo autoridad de protección de datos personales a petición de parte, sancionando a los Responsables infractores de la Ley Federal de Protección de Datos en Posesión de los Particulares y su Reglamento, sino que también lo ha hecho y hace de oficio, confor.

Desde el caso reportado en el mes de junio por el diario Reforma (ver nota del 4 de junio del 2013) dicho Instituto ha ejercido de oficio las facultades que le confieren las fracciones I, VI y VII del artículo 39 de dicho ordenamiento, así como el 39 del mismo, y en el que figuró en primera plana de dicho rotativo el día de hoy ya ha iniciado un expediente de verificación y formulado una denuncia ante la Procuraduría General de la República, lo cual también fue dado a conocer al público mediante un comunicado en su página de Internet. Ahora bien, no debería dejar de considerarse la actuación del propio Instituto también podría llevarse a cabo con fundamento en artículo 37, fracción V, de la Ley Federal para la Transparencia y Acceso a la Información Pública Gubernamental, si la información presuntamente difundida de manera ilegal por el sitio buscardatos.com hubiera provenido de instituciones del sector público, en cuyo caso además debería tener intervención la Secretaría de la Función Pública.

¿Y la Protección de Datos, apá?

7 noviembre, 2013
Privacy/Protección de Datos
2 comentarios

El 18 de julio de este año en Capitanes de Reforma se escribió sobre una llamada que el autor de la columna habría recibido de un ejecutivo del call center de una compañía telefónica para proponerle migrar su línea a dicha compañía de telefonía móvil, ante lo cual dicho autor cuestionó a su interlocutor sobre la fuente de sus datos de contacto, y habría recibido como respuesta que le habrían sido proporcionados a dicha empresa por la COFETEL (en aquél entonces).

Además del cuestionamiento obvio sobre la forma en que una entidad gubernamental podría haber transferido a un particular datos que para ella, conforme a la Ley Federal para la Transparencia y Acceso a la Información Pública Gubernamental, tienen el carácter de confidencial habría que considerar que la base de datos de usuarios de telefonía móvil que si existió, el desafortunado y lamentable RENAUT, nunca estuvo bajo el control de la COFETEL, sino de la Secretaría de Gobernación, y a la postre fue destruido en 2012, hecho que certificaron la COFETEL y el mismísimo IFAI.

Antes de ello, el 3 de junio de este año, el mismo rotativo daba cuenta de la venta a través del mercado negro de copias del Padrón Electoral, así como de cuenta y tarjetahabientes de dos instituciones de crédito de renombre en México.

Hoy día el propio diario reporta la existencia de un sitio bajo el dominio buscardatos.com, a través del cual se difunden por Internet datos de identificación y contacto de ciudadanos mexicanos, argentinos, paraguayos. En el caso de ciudadanos mexicanos, los datos disponibles son nombre(s), fecha de nacimiento, edad, domicilio completo, clave de elector, CURP, RFC y ocupación, todos ellos datos que obran en poder de instituciones de la administración pública federal.

La pregunta (retórica) que seguramente tendrán los Responsables del cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento sería: ¿qué caso tiene que haga la inversión de implementar el cumplimiento normativo en materia de protección de datos personales cuando a pesar de ello la información de todos nosotros anda circulando libremente por Internet?

La primera y más obvia respuesta sería que el incumplimiento de otros no excusaría el propio y, por lo tanto, no sería algo que alegar ante el IFAI ni ante el Tribunal Federal de Justicia Fiscal y Administrativa. Segunda, que el cumplimiento normativo propio prevendría un riesgo reputacional a la empresa y sus marcas como el que ya experimentaron las empresas referidas en los párrafos primero y tercero de la presente. Tercero, que por el detalle de la información consultable en el sitio citado, podría ser que el material proviniera de fuentes del sector público y no del sector privado.

En suma, acontecimientos como éste no deberían ser pretexto ni obstáculo para que las empresas del sector privado se ocupen en el cumplimiento y observancia de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Ahora sí, en COFEMER el proyecto de Recomendaciones de Seguridad del IFAI

3 octubre, 2013
Privacy/Protección de Datos
Deja un comentario

El 26 de agosto publiqué una nota sobre el primer proyecto que el IFAI presentó a la COFEMER de las Recomendaciones en materia de Medidas de Seguridad, previstas en el artículo 58 del Reglamento de la Ley, cuya adopción podrá ser tomada en consideración por el IFAI para determinar la atenuación de la sanción que pudieran corresponder por las infracciones a la LFPDPPP que llegaran a ser determinadas por ese Instituto. Sin embargo, el propio IFAI solicitó la baja del expediente al día siguiente, y transcurrió un mes para que presentara la que sería su versión definitiva.

Se trata de un instrumento importante, puesto que conforme al Artículo Cuarto Transitorio del citado Reglamento, el cumplimiento de lo dispuesto en su Capítulo III en materia de medidas de seguridad es obligatorio a partir del 20 de junio de este año, y su omisión podría dar pie, cuando menos, a la sanción genérica de la fracción XIX del artículo 63 de la Ley, consistente en multa de 200 a 320,000 días de salario mínimo general vigente en el D.F.

Ahora tengo oportunidad de referirles que a partir del 26 de septiembre el expediente de la nueva versión de esas recomendaciones, mismas que son esenciales para preparar el documento a que se refiere el último párrafo del artículo 61 del Reglamento. Es un instrumento de gran importancia para la práctica de la materia, pues por muchas formalidades que se cumplan en cuanto a publicación de Avisos de Privacidad, documentación de relaciones con Encargados o de Transferencias a Terceros, la protección de Datos Personales no puede ser efectiva si no se cuenta con las medidas de seguridad física, administrativas y técnicas suficientes para el resguardo de los activos integrantes del Sistema de Gestión de Protección de Datos Personals que todo Responsable debe implementar. Además es, o debería ser, de gran interés para quienes somos abogados pero no expertos en mitigación de riesgos o seguridad informática.

Las diferencias entre el primer proyecto y el actualmente difundido son considerables, y ello se hace patente tan sólo por el número de páginas de que consta cada documento; éste más reciente es 1/4 del anterior, y eso incluyendo una cuartilla dedicada al borrador de la publicación en el Diario Oficial de la Federación y otra de portada. Es decir, hablamos de 13 páginas de contenido del actual contra 66 del anterior.

Si bien la versión que prevalecerá una vez sorteado el proceso de consulta pública en la mencionada Comisión será el publicado el 26 de septiembre, recomiendo ampliamente la lectura y comprensión del proyecto más rico y amplio del 15 de agosto, pues las tablas y matrices con que cuenta permiten entender con gran claridad los aspectos técnicos de una materia que apenas va despegando en México. Y esa es de las cosas que más me gustan de esta práctica: la oportunidad de salirme de los temas estrictamente juríicos para involucrarme con el trabajo de otros especialistas.

Sería interesante conocer las razones por las que el IFAI sustituyó un proyecto por otro. Mi personal apreciación es que el primero era demasiado extenso y complejo para que el grueso de los Responsables pudiera entenderlo y aplicarlo; éste nuevo es exponencialmente más breve y simple, lo cual facilita su comprensión y aplicación incluso por los Responsables menos sofisticados.

Principio de Proporcionalidad y Criterio de Minimización; Servicios de Telefonía Móvil

29 septiembre, 2013
Privacy/Protección de Datos
Deja un comentario

Hoy día Forbes publicó una nota http://onforb.es/14UM4L3 muy interesante sobre la cantidad de datos que T-Mobile, empresa de telefonía móvil en los EE.UU.A., requiere para el servicio de post-pago en aquél país, incluyendo el número de seguridad social del suscriptor.

Igualmente la nota refiere una consulta hecha a la Administración de Seguridad Social de aquél país, que respondió que si un negocio pregunta el Número de Seguridad Social se tiene el derecho a negarlo, o cuando menos a preguntar: (1) por qué se requiere; (2) cómo y para qué será usado, (3) con fundamento en qué norma se le solicita y (4) las consecuencias de negarlo.

Claramente el parangón no es el más simétrico, puesto que el régimen mexicano de protección de datos personales dista mucho del estadounidense; de hecho es mejor. Nuestro marco normativo en la materia sigue un modelo híbrido, muy similar al canadiense, aunque con un sesgo hacia el europeo y una cada vez más fuerte influencia española. Sin embargo se pueden aprender lecciones importantes del caso, tanto del lado del Titular como del del Responsable.

El autor de la nota menciona que al no estar dispuesto a comunicar ese dato personal a T-Mobile no pudo suscribirse al servicio por Internet, por lo que acudió a un centro de servicio para llevar a cabo la contratación. Ahí le dijeron que de hecho la contratación no estaba condicionada a la entrega del dato, puesto que solicitaban un depósito de US$100 y no consultaban historial crediticio. En México esto último requiere que el otorgante del crédito obtenga la autorización expresa del Titular para acceder a su información conservada por cualquier Sociedad de Información Crediticia, y la consulta de ésta sería justificada en tanto que las empresas de telefonía móvil son usuarias de tales servicios, puesto que los cargos hechos a la línea de usuarios de postpago representan un pasivo a cargo de estos.

Sin embargo, los títulos de concesión otorgados a las operadoras de telefonía móvil que operan hoy día contienen, en general, una disposición conforme a la cual dichas concesionarias «deberán asegurar la confidencialidad de la información proporcionada por los usuarios o generada por la red pública concesionada al prestar servicios a dichos usuarios, y a no divulgarla si no existe consentimiento previo para su uso», elemento que no me parece haber visto considerado en la resolución del IFAI en el procedimiento de imposición de sanciones a Telcel, misma que sería interesante fuera considerada por el IFETEL de oficio, por ser dicho caso información que obra en el dominio público.

También del lado del Responsable esto ofrece lecciones importantes. Primero, atender al Principio de Proporcionalidad al diseñar formatos de solicitud y contratos, puesto que de acuerdo con los artículos 11, primer párrafo, de la LFPDPPP y 45 de su Reglamento, sólo podrán ser objeto de tratamiento los datos personales que resulten necesarios, adecuados y relevantes en relación con las finalidades para las que se hayan obtenido. Luego entonces, si no es preciso consultar el RFC del Titular, su fecha de nacimiento u otra información, el Responsable debería abstenerse de solicitársela.

Ello además impactará en la magnitud y costo de su cumplimiento normativo y, sobre todo, medidas de seguridad, puesto que las mismas deberán ser mucho más robustas en la medida que, por ejemplo, dé Tratamiento a Datos Personales con Riesgo Inherente Alto o Reforzado, y no solamente a los que tengan Riesgo Inherente Bajo o Medio.

En concordancia con lo anterior, debería asegurarse de que los datos personales que solicite a los Titulares sean los mínimos necesarios de acuerdo con la Finalidad del Tratamiento que tenga lugar, conforme al Criterio de Minimización dispuesto en el artículo 46 de dicho Reglamento. Con ello al menos podrá reducir el riesgo legal de incurrir en la infracción prevista en el artículo 63, fracción IV, de la LFPDPPP, consistente en tratar datos personales en contravención a los principios de dicha Ley.

IFAI Multa a Telcel con $6’264,165.00 por cobranza extrajudicial injustificada

27 septiembre, 2013
Privacy/Protección de Datos
Deja un comentario

La más reciente resolución en un procedimiento de imposición de sanciones por parte del IFAI correspondió a Radiomóvil Dipsa, S.A. de C.V., que opera bajo la marca Telcel, a quien le ha sido impuesta una multa que asciende a $6,264,165, por dos conductas infractoras:

  1. $3’272,325, con base en los Artículos 63, fracción VIII, y 64, fracción III, por incumplir el deber de confidencialidad establecido en el artículo 21 de la LFPDPPP, y
  2. $2’991,840, con base en los artículos 63, fracción IX, y 64, fracción III, por cambiar sustancialmente la finalidad originaria del tratamiento de los datos, sin observar lo dispuesto por el artículo 12 del propio estatuto.

Los dispositivos citados prevén, respectivamente, lo siguiente:

  • Artículo 21.- El responsable o terceros que intervengan en cualquier fase del tratamiento de datos personales deberán guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.
  • Artículo 12.- El tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas en el aviso de privacidad. Si el responsable pretende tratar los datos para un fin distinto que no resulte compatible o análogo a los fines establecidos en aviso de privacidad, se requerirá obtener nuevamente el consentimiento del titular.

A eso último habría que agregar que el Artículo 40 del Reglamento de la LFPDPPP prevé que:

«Los datos personales sólo podrán ser tratados para el cumplimiento de la finalidad o finalidades establecidas en el aviso de privacidad, en términos del artículo 12 de la Ley. Para efectos del párrafo anterior, la finalidad o las finalidades establecidas en el aviso de privacidad deberán ser determinadas, lo cual se logra cuando con claridad, sin lugar a confusión y de manera objetiva se especifica para qué objeto serán tratados los datos personales».

¿De dónde derivaron las conductas infractoras? Pues de que a no obstante la confidencialidad ordenada por la Ley, a Telcel «se le hizo fácil» recurrir a los números frecuentes de la Titular denunciante para realizar gestiones de cobro a través de terceros mediante llamadas y mensajes de texto dirigidos a ellos, conducta que fue considerada como de «gravedad alta» por la Comisionada Ponente, Ma. Elena Pérez-Jáen Zermeño, «en virtud de la afectación que con ello pudiera causar a la titular».

De ello derivó que, además, se encontraran violaciones al Principio de Finalidad, puesto que el correspondiente Aviso de Privacidad no determinaba tal uso de los datos de la Titular, de manera que operó un cambio sustancial en las Finalidades originarias del Tratamiento de esos datos, cambio que no fue consentido por la Titular y que también fue considerado como potencialmente causante de una grave afectación a la Titular.

Siempre que multas de tal magnitud son difundidas surge la pregunta sobre qué podrían esperar otros Responsables si llegaran a incurrir en infracciones a la LFPDPPP; la respuesta es que entre otros factores el IFAI consideraría su capacidad económica, pues así lo requiere el Artículo 65, fracción IV, de ese ordenamiento. En la resolución consta que la Responsable omitió proporcionarle a la autoridad elementos para determinarla, por lo que ésta accedió a una fuente de consulta pública, concretamente la página de Internet de la Comisión Federal de Competencia Económica, y accedió a la versión pública de la resolución del 7 de abrill de 2001 dictada en su expediente DE-37-2006, que tiene carácter de documental pública, en la que éste último organismo impuso a la propia Responsable una multa del orden de $11,989’653,276.40, equivalentes al 10% de sus activos totales al momento, cifra de la cual derivó el monto de la sanción, mismo que fue considerado como proporcinal a la capacidad económica de la Responsable, de manera que no afectaría el desarrollo de sus actividades.

Habría que considerar además la intencionalidad de la conducta infractora, como lo determinó la autoridad respecto de la violación de lo previsto por los Artículos 6, 7, 12, 13, 15 y 21 de la LFPDPPP, con relación a las infracciones determinadas en las fracciiones IV, VIII y IX de la propia Ley.

Ahora bien, aunque en los resolutivos no figura la conducta infractora prevista en el artículo 63, fracción IV, consistente en dar tratamiento a los datos personales en contravención a los principios establecidos en la presente Ley, los considerandos si refieren al Principio de Lealtad dispuesto en los artículo 6 de la LFPDPPP, y 9, fracción III, y 44 de su Reglamento, atento a los cuales:

  • «En todo tratamiento de datos personales, se presume que existe la expectativa razonable de privacidad, entendida como la confianza que deposita cualquier persona en otra, respecto de que los datos personales proporcionados entre ellos serán tratados conforme a lo que acordaron las partes en los términos establecidos por esta Ley», y 
  • El Principio de Lealtad establece la obligación de tratar los datos personales privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad, en los términos establecidos en el artículo 7 de la Ley.
    No se podrán utilizar medios engañosos o fraudulentos para recabar y tratar datos personales. Existe una actuación fraudulenta o engañosa cuando:
    I. Exista dolo, mala fe o negligencia en la información proporcionada al titular sobre el tratamiento;
    II. Se vulnere la expectativa razonable de privacidad del titular a la que refiere el artículo 7 de la Ley, o
    III. Las finalidades no son las informadas en el aviso de privacidad.

La Responsable pretendió controvertir lo anterior argumentando que las gestiones de cobranza estaban previstas en el respectivo Aviso de Privacidad, y que la falta de consentimiento de la Titular era irrelevante puesto que, en su teoría de las cosas, operaba la excepción al consentimiento prevista en la fracción V del artículo 10 de la Ley, que exime de obtenerlo en los casos en que «exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes», lo cual fue desestimado por la autoridad.

Entre otros argumentos la autoridad sostuvo la violación a los Principios de Información, al no haber puesto a disposición del Titular el Aviso de Privacidad cuando renovó su plan tarifario, así como el de Proporcionalidad, al haber dado tratamiento a datos que no eran necesarios, adecuados ni relevantes en relación con la Finalidad para los que fueron obtenidos.

Aunque de la lectura de la resolución me parece que la naturaleza del dato no fue considerada de relevancia para la imposición de sanciones, toda vez que la fracción IV del Artículo 64 de la LFPDPPP sólo refiere a los de naturaleza sensible para el incremento de las sanciones, será interesante ver el criterio que adopta el IFAI en otros casos en que las infracciones se refieran a datos personales patrimoniales, como me parece es el caso, ya que mediante las gestiones de cobro a través de terceros se divulgaron datos relativos al adeudo de la Titular con la Responsable, mismos que por versar sobre su haber y deber habrían de ser considerados como tales.

Otro aspecto relevante a mencionar en un caso como éste, y es algo que me preguntan mucho en consultas y presentaciones, es que la Titular no percibirá un centavo de lo que el fisco recaude como aprovechamiento por la multa, de manera que el procedimiento de imposición de sanciones por parte del IFAI no se puede volver un medio de extracción de recursos de los Responsables por parte de los Titulares.

Sin embargo hay que atender al artículo 58 de la Ley, conforme a l cual los titulares que consideren que han sufrido un daño o lesión en sus bienes o derechos como consecuencia del incumplimiento a lo dispuesto en la LFPDPPP por el Responsable o el Encargado, podrán ejercer los derechos que estimen pertinentes para efectos de la indemnización que proceda, en términos de las disposiciones legales correspondientes.

Lo que es un hecho es que en los casos en que se resuelva en contra del Responsable y pudiera configurarse alguna teoría como el daño moral, el Titular estará en posibilidad de iniciar el procedimiento respectivo por la vía correspondiente y ofrecer el expediente del IFAI como prueba instrumental pública, mismo que haría prueba plena con tal carácter de la actuación ilegal del Responsable, restando que el Titular actor probara la afectación sufrida en la consideración que tiene de si o la que los demás le tienen. Y es sabido que desde el caso de Martha Zahagún contra Olga Wornat los criterios judiciales en México sobre daño moral han cambiado sustancialmente, por lo que sería menos complicado que antes lograr una indemnización por esa vía.

El IFAI lanza su GAP; lista una obligación, ¿y las demás?

23 septiembre, 2013
Privacy/Protección de Datos
Deja un comentario

Com IFAI Generadores Aviso Privacidad 1 Com IFAI Generadores Aviso Privacidad 2

La semana antepasada el IFAI lanzó su Generador de Avisos de Privacidad con bombo y platillo, agitando bastante las aguas en el medio de la protección de datos personales, no obstante que se inscribe en las atribuciones que el artículo 39, fracción III, de la LFPDPPP le otorga a ese Instituto, para «proporcionar apoyo técnico a los responsables que lo soliciten, para el cumplimiento de las obligaciones establecidas en la presente Ley». Incluso debería ser considerado como un avance del propio IFAI, pues lo acerca al nivel de trabajo que tienen instituciones como la Oficina del Comisionado de Privacidad del Canadá, que cuenta con herramientas online para apoyar a los Responsables en el cumplimiento de sus obligaciones, en tanto que la Agencia Española de Protección de Datos ofrece en su mayoría formatos en PDF para tales fines.

El proceso de creación del GAP parece haber sido bastante largo; el propio IFAI lo refirió en la página 14 de su Análisis del Ejercicio del Presupuesto Programático en la Cuenta de la Hacienda Pública Federal de 2012, como «… una herramienta en línea que permita a los responsables elaborar avisos de privacidad, de acuerdo con la normatividad», cuyo contenido fue elaborado en aquél año.

Lo que ha llamado la atención de varios de quienes ejercemos en esta área son las diferencias en la postura del IFAI que podrían inferirse de la comunicación que ha tenido con el público respecto del trabajo de elaboración de avisos de Privacidad. Si bien siempre aclaró que las herramientas existentes anteriormente, como la del despacho R1OS Abogados, el de ProDato y Contratos Fácil (aclaración, jamás las refirió literalmente) no tenían aval alguno del IFAI, y que éste lanzaría la suya en el futuro, en un principio apuntó, en uno de los comunicados que pueden ver en la presente entrada, que «En el mercado de la consultoría existen empresas que de manera legítima ofrecen sus servicios tanto de asesoría como para la elaboración de los avisos de privacidad pero no tienen ninguna relación con el IFAI, ni la autorización o aval de este Instituto». Sin embargo, de acuerdo con el comunicado de lanzamiento del GAP, el Comisionado Presidente habría manifestado que con ese Generador de Avisos de Privacidad «…las personas físicas y morales de carácter privado que tratan datos personales pueden generar ya sus avisos de privacidad sin necesidad de pagar miles de pesos a empresas o despachos especializados».

Así nace la duda en el medio sobre si es que basta con el uso del GAP para generar avisos de privacidad acordes con la LFPDPPP, su Reglamento y los Lineamientos del Aviso de Privacidad sin hacer la inversión en servicios profesionales para ello, o si aún es necesario, o cuando menos conveniente, contar con asesoría profesional al respecto, considerando que el GAP IFAI es una herramienta desarrollada por la autoridad; y siéndolo, ¿con eso se puede estar a salvo de la sanción  prevista en la fracción II del artículo 64 de la LFPDPPP, consistente en multa de 100 a 160,000 días de salario mínimo general vigente por la infracción de la fracción V del artículo 63: «omitir en el aviso de privacidad, alguno o todos los elementos a que se refiere el artículo 16 de la Ley»?

El tema de suyo me remite al caso del Banco de México, que dejó de operar con el público en general en los ’60s, pues se llegó a considerar que esa actividad representaba competencia desleal para la banca comercial, puesto que el público favorecía al Instituto Central por la percepción de mayor solidez y confianza que generaba en el público ahorrador e inversionista. Sin embargo, creo que lejos de ser motivo de estress y preocupación para los profesionales de protección de datos personales el desarrollo de ésta y otras herramientas por parte del IFAI nos debe motivar a esmerarnos más en nuestro trabajo y ofrecer a nuestros clientes mayor calidad y honorarios competitivos, aunque no castigados, por el trabajo de la que sólo es una de las obligaciones que deben cumplir en su carácter de Responsables del Tratamiento de Datos Personales.

La única manera de hacer un juicio de valor al respecto es probar el GAP. Aclaro enfáticamente que en mi despacho no uso, ni usaré, el GAP para generar los materiales correspondentes al servicio que ofrezco a mis clientes; yo hago mi trabajo a pulso, y el valor agregado por el que mis clientes pagan no sólo es el esfuerzo de un profesionista calificado en la materia, sino un servicio individualizado.

El primer punto que llama la atención en el ejercicio es que se asume que el Responsable debe tener claridad suficiente para determinar por sí solo las Finalidades del Tratamiento de Datos Pesonales que lleva a cabo y para el cual genera el Aviso de Privacidad, y de que podría requerir más de un Aviso de Privacidad, pues en atención al Principio de Finalidad, por ejemplo, el Aviso de Privacidad para sus clientes no valdría también para sus empleados.

Además se asume que el Responsable tendrá capacidad para determinar por sí solo én qué casos establecerá una relación jurídica con el Titular, así como cuáles de las Finalidades que haya determinado son necesarias para esa relación jurídica, lo cual requiere de conocimiento jurídico y experiencia en la práctica, que pueden o no estar disponibles en la organización del Responsable a través de sus áreas de administración o contabilidad. Pero de no tenerlas el dicho Responsable poría requerir de todas formas asesoría incluso para hacer uso del GAP, ya que éste no explica por sí mismo los Principios de Proporcionalidad y/o de Finalidad.

Algo que llama mi atención es, por ejemplo, que en Reactivo 5 de la sección VII se contiene un espacio para indicar el nombre de la persona o departamento de datos personales, requisito que corresponde a lo previsto en el Lineamiento Vigésimo Octavo, fracción II, conforme al cual deben indicarse los datos de identificación y contacto de la persona o departamento de datos personales que dará trámite a las solicitudes de los titulares para el ejercicio de los derechos ARCO, al que refiere el artículo 30 de la Ley.

Si bien esto se corresponde con requerimientos como el de identificación del responsalbe de la oficina de atención al cliente de las Entidades Financieras. Sin embargo uno de los aspectos prácticos a considerar debe ser incluso la seguridad del personal dedicado a estas tareas, pues identificarlos puntualmente podría hacerlos víctimas de ataques o agresiones. Además la norma coloca a las personas que sean funcionarios a cargo de datos personales en desventaja con relación a los departamentos de datos personales, cuyos integrantes pueden gozar del beneficio del anonimato.

Es similar el caso de los Responsables personas físicas, quienes de acuerdo con el Lineamiento Vigésimo Primero deben identificarse con nombres y apellidos, lo cual también podría exponerlos en sus personas, al dar a conocer su identidad en documentos de amplia circulación sin el beneficio del velo corporativo. El IFAI haría bien en reconsiderar el requisito, más aún tomando en cuenta que la relación jurídica derivada del Tratamiento de los Datos Personales se establece entre el Titular y el Responsable, no con el personal de éste último.

Además de lo mencionado respecto de la determinación de las Finalidades del Tratamiento y la necesidad de las mismas para la relación jurídica, hay muchas preguntas abiertas que el Responsable no siempre estará en condiciones de responder adecuadamente por si solo, como el caso de los medios para el ejecicio de derechos ARCO que elija poner a disposición del Tiular. El Reglamento de la Ley y los Lineamientos del Aviso de Privacidad prevén que podrán ser aquellos que el Responsable considere pertinentes, y que serán sencillos y gratuitos, sin que el Responsable pueda establecer como única vía para la presentación de las solicitudes del ejercicio de los derechos ARCO algún servicio o medio con costo, y estando el Titular obligado a cubrir únicamente los gastos de envío, reproducción y, en su caso, certificación de documentos, con una excepción, además de que dichos costos de reproducción no podrán ser mayores a los costos de recuperación del material correspondiente.

Podría abundarse más sobre el particular, pero lo ya mencionado bastaría para autorizar a afirmar que no obstante las bondades del GAP, y el hecho que es el primer paso para colocar al IFAI al nivel de las autoridades de protección de datos personales más progresistas y avanzadas en la práctica, realmente no es un sustituto para la asesoría profesional en la instrumentación de un cumplimiento normativo integral y sólido.

Lo anterior más aún considerando que en adición al Aviso de Privacidad, la designación del Funcionario a Cargo de Protección de Datos Personales y los procesos para responder solicitudes ARCO, así como aquellos para la revocación del consentimiento y la limitación del Tratamiento de Datos Personales de acuerdo con el artículo 48, fracción I, del Reglamento es nesario redactar una Política de Privacidad, y conforme al artículo 61 del propio estatuto se debe redactar también una Relación de Medidas de Seguridad, además de llevar a cabo capacitación en materia de protección de datos como lo manda la fracción II del citado artículo 48.

En resumen, defintivamente la disponibilidad del GAP obliga a que los profesionales en protección de datos personales nos pulamos y esforcemos más en nuestro trabajo y ofrezcamos un mejor servicio al cliente, pero no necesariamente cerrará áreas de trabajo en la materia.

Compliance Report

Xavier Ribas

Derecho de las TIC y Compliance

Marcus Kazmierczak

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace

Cedric's Privacy Blog

Blog de la Asociación Mexicana de Restaurantes