archivo

Archivo de la etiqueta: ifai

La Primera Multa del IFAI a una Persona Física

13 septiembre, 2013
Privacy/Protección de Datos
Deja un comentario

El IFAI inició su función como autoridad de protección de datos con sanciones a Responsables del Tratamiento de Datos Personales que fueron bastante mediáticas y causaron impacto lo mismo por la cuantía de la multa que por la visibilidad del multado; primero Farmacias San Pablo, luego Banamex (Grupo Banamex suma ya 5 multas) y Sport City.

Sin embargo la Ley Federal de Protección de Datos Personales en Posesión de Particulares no aplica solamente a grandes corporativos con grandes recursos; son Responsables de su cumplimiento todas las personas de derecho privado que den Tratamiento a Datos Personales por sí o a través de Encargados o Terceros, y las multas son impuestas considerando la capacidad económica del infractor.

Para muestra el caso en el procedimiento de imposición de sanciones PS 0001/13, en contra de un médico psiquiatra (de ahí que el nombre del infractor no figure en la versión pública, ya que son datos de naturaleza confidencial para el IFAI) quien habría expedido una constancia de «depresión y transtorno de personalidad recurrente y lupus eritematoso sistémico» y recetado medicamentos antidepresivos a una paciente (la Titular), y hecho entrega de esos documentos al marido de ésta sin su autorización, resultando de ahí una transferencia de Datos Personales Sensibles (y, según la regulación del sector salud, confidenciales).

Lo más delicado del asunto: de las constancias se infiere que la Titular y su marido estaban en una situación marital compleja, tanto que según las constancias del caso él inició el procedimiento de divorcio días después de la consulta al profesional de la salud, exhibiendo la antedicha constancia como probanza ante el respectivo Juzgado de lo Familiar.

Dentro del expediente de verificación consta que el IFAI requirió al profesional de la salud Responsable:

  • Manifestara por qué expidió el documento a favor del marido de la Titular dándole a conocer Datos Personales Sensibles de ésta (ojo: ello constituiría una confesión, pues procesalmente los hechos expresados en los documentos provenientes de una parte se tienen por confesados por ésta); explicación: que la Titular llegó a consulta por somnolencia debida a haberse automedicado, y que el marido requirió el documento «a fin de continuar con su atención y tratamiento médico».
  • Señalar si contaba con el consentimiento de la Titular para la Transferencia de sus Datos Personales Sensibles a su marido; respuesta: no, debido a que la Titular se habría presentado en un estado alterado de conciencia por la ingesta del medicamento.
  • Señalar de forma pormenorizada los Datos Personales a los que da Tratamiento y adjuntar copia del documento que emplea para recabar el consentimiento expreso de sus pacientes para el Tratamiento de sus Datos Personales Sensibles; y aquí es donde se hubiera visto el trabajo de cumplimiento normativo bien hecho, de haberlo habido.
  • Medidas de seguridad que garanticen la confidencialidad de los Datos Personales que se le proporcionan;
  • Si cuenta o no con Aviso de Privacidad y cómo lo pone a disposición de sus pacientes; respondido afirmativamente y que en formato impreso.
  • Si él mismo se encarga de atender las solicitudes ARCO, también respondido afirmativamente.
  • Las Transferencias que realiza; respondido como sólo las autorizadas expresamiente por el Titular y las que por excepción permite la Ley, y
  • Pormenores de las medidas de seguridad físicas (resguardo bajo llave), administrativas (nadie más que el Responsable accede a o manipula sus expedientes), y técnicas (obtención personal de los Datos Personales si utilizar medios electrónicos y bajo la ética de la profesión); parecería un desatino del IFAI haber hecho públicos los detalles de las medidas de seguridad adoptadas por el Responsable, pues ello podría poner en riesgo su práctica profesional y los Datos Personales que trata en ella.

Lo anterior fue seguido por una visita de verificación en la cual el Responsable fue cuestionado sobre su práctica y las respuestas que dio por escrito, manifestando entonces que en el Aviso de Privacidad da oportunidad a los pacientes para aceptar expresamente o no la transferencia de sus Datos Personales, pero que no contaba con consentimiento expreso de la Titular denunciante para transferir sus Datos Personales, justificándolo en el estado en que habría llegado a consulta, y en que conforme a la NOM 168-SSA1-1998, que permitiría a los familiares solicitar el resumen clínico del paciente, además de que no habría dado a conocer al marido de la Titular las limitaciones al Tratamiento de los Datos Personales transferidos.

Las determinaciones relevantes en el proceso de verificación concluyeron que:

  • Hubo incumplimiento de la LFPDPPP por la transferencia de Datos Personales Sensibles sin consentimiento de la Titular y sin comunicar al Responsable receptor el las limitaciones al Tratamiento de esos Datos Personales;
  • El Aviso de Privacidad del Responsable no señala las opciones o medios para que los Titulares Limiten el uso o divulgación de sus Datos Personales, y
  • Tampoco señala los medios para dar a conocer los cambios al Aviso de Privacidad.

Dicho sea de paso, si la iniciativa de la denuncia al IFIA vino del abogado que representa a la Titular en su juicio de divorcio, decididamente ese colega es muy buen abogado, puesto que si el marido y su abogado pretendían fundamentar la causa de divorcio en la salud mental de la Sra., la probanza relevante para esos efectos se debería venir abajo como resultado de la verificación y sanción del IFAI, puesto que tal documento fue obtenido en contravención a la Ley Federal de Protección de Datos Personales, y las normas que rigen al proceso prohiben que en el mismo sean utilizadas probanzas contrarias a la ley.

Por ello el IFAI acordó iniciar el procedimiento de imposición de sanciones, remitiendo el Responsable copia simple de su declaración de impuestos por el ejercicio fiscal 2011 y una constancia de percepciones de 2013 para acreditar su situación financiera, y del que le derivaron las siguientes multas:

  1. Por omitir en su Aviso de Privacidad opciones y medios para que los titulares limiten el uso o divulgación de sus Datos Personales, así como la indicación del medio por el cual comunicaría a los titulares de cambios al aviso de privacidad, $5,982.00
  2. Por transferir datos a terceros sin comunicarles el aviso de privacidad con las limitaciones a que el Titular sujetó la divulgación de los Datos Personales, $11,964.00, multa incrementada en un 50% (+$5,982.00) por tratarse de Datos Personales Sensibles.
  3. Recabar o transferir datos personales sin el consentimiento expreso del titular, cuando éste fuera exigible, $11,964.00, multa incrementada en un 50% (+$5,982.00) por tratarse de Datos Personales Sensibles.

En total, las omisiones de este médico en su cumplimiento normativo en materia de protección de Datos Personales le costaron $41,874.00, recursos que decididamente él podría haber dedicado a otra cosa. Algo más para considerar en cuanto al valor de la inversión en el cumplimiento normativo para protección de datos personales.

Conciliaciones ante el IFAI: la otra Solución

3 septiembre, 2013
Privacy/Protección de Datos
Deja un comentario

Luego de llamar al 2011 «el año del aviso de privacidad», tras el cual según cifras del estudio de protección de datos personales entre usuarios y empresas 2012 de la AMIPCI 1/3 del muestreo de empresas consultado no tenía idea de las acciones de cumplimiento a ejecutar para cumplir con la Ley Federal de Protección Datos Personales, el IFAI asumió su función como autoridad de protección de datos personales, y con el Dr. Santiago Oñate Laborde como Secretario de Protección de Datos emprendió acciones de verificación y sanción a tambor batiente.

Los montos de las sanciones impuestas a la fecha son impactantes: desde los $2’000,0045.04 de multa a «Farmacias San Pablo» a los $9’848,140.00 para la SOFOM de Banamex, sin hacer aún de lado la de $16’155,936.00 a esa institución de banca múltiple y, aunque deben ser ponderadas en relación con la capacidad económica del infractor, serían motivo de reflexión con respecto al costo que la implementación de un adecuadoo cumplimiento normativo en la materia hubiera representado en comparación.

Sin embargo no todo procedimiento de protección de datos personales tiene que derivar en la imposición de una multa al Responsable, en términos del artículo 54 del Reglamento de la Ley, el IFAI puede buscar la conciliación entre Titular y Responsable en cualquier momento del procedimiento, y de llegar estos a un acuerdo el mismo será vinculante, dejando a la solicitud de protección de datos sin materia.

Para ello el acuerdo de admisión de la solicitud deberá requerir para que dichas partes manifiesten su voluntad de conciliar dentro de los 10 días hábiles siguientes a que les sea notificado, salvo que el Titular sea menor de edad y se hubiera vulnerado alguno de los derechos previstos en la Ley para la Protección de los Derechos de Niñas, Niños y Adolescentes. La conciliación podría ser realizada en persona o por medios remotos, pero constará por escrito, dentro de los 20 días siguientes a la manifestación de voluntad de las partes, levantándose acta de ello, redactándose el convenio respectivo y dándose por concluido el procedimiento, salvo que el acuerdo sea incumplido, en cuyo caso el IFAI reanudará el procedimiento.

A la fecha se tiene noticia de 3 procedimientos de protección de derechos concluidos por vía de conciliación con los siguientes Responsables:

  1. Autobuses de la Piedad, S.A. de C.V. (parte del Grupo Flecha Amarilla), resuelto mediante respuesta al IFAI y entrega de constancia que detalló los datos personales del Titular en poder del Responsable, que negó la cancelación de tales datos por efectos fiscales y manifestó que la videograbación del Títular había sido retenida sólo 48 hrs., así como que se acataría la oposición del Titular al Tratamiento de sus datos para promoción de productos y servicios u otro fin.
  2. Lomelín Hermanos Bienes Raíces, S.C., resuelto mediante entrega al Titular de fotocopias de su documentación y destrucción de la documentación que el Responsable había recibido del Titular en virtud de la cancelación de la solicitud de arrendamiento que éste último había formulado, por lo que sus datos no fueron capturados en las bases de datos de la Responsable, teniéndose así por cumplida la solicitud de cancelación.
  3. Teléfonos de México, S.A.B. de C.V., resuelto poniendo a disposición de la Titular la infración de 3 llamadas recibidas en su línea telefónica entre junio y julio, dado que ella estaba «…relacionada con un problema legal con la institución de crédito Bancomer…»; su solicitud de protección de derechos habría sido motivada por el entendido de la Responsable en el sentido que la Titular requería el detalle completo de las llamadas recibidas en la línea telefónica, por lo cual aquélla aplica un cobro mensual de $10.40 (al respecto, el pasado 27 de junio publiqué una entrada en cuanto a los costos de la atención de solicitudes ARCO). Sin embargo el caso quedó zanjado con la entrega gratuida de la información solicitada.

En definitiva la conciliación es una vía que debe ser considerada tanto por los Responsables, a fin de evitar mayores inconvenientes y costos, como por los Titulares, para evitar pervertir el mecanismo de protección de derechos como medio para extraer rentas, en tanto sea bajo términos razonables y justos.

 

Protección de Datos y Cobranza Extrajudicial

2 septiembre, 2013
Privacy/Protección de Datos, Regulación Bancaria/Financiera
Deja un comentario

Hace un mes publiqué una entrada sobre cómo la protección de datos personales incide sobre prácticas como la cobranza extrajudicial que llevan a cabo las instituciones financieras para tratar de recuperar los recursos que se les adeudan, más en un contexto como el de México, en el que es sabido que tanto los deudores buscan eludir su responsabilida mediante toda suerte de artificios como que las áreas o despachos de cobranza llegan a adoptar medidas recalcitrantes para lograr su cometido.

Con posterioridad a la multa impuesta a la clínica de terapia Oceánica el IFAI difundió la sanción impuesta a Tarjetas Banamex, S.A. de C.V. SOFOM ER, por la cantidad de $9’848,140.00, derivada de la denuncia hecha a mediados de junio del 2012 por una persona que recibía llamadas de cobranza «incluso con un lenguaje descortés y altanero» de «personas que se identifican como empleados del Corporativo del Banco Nacional de México, BANAMEX, buscando a un supuesto… con la intención de cobrar alguna deuda».

Recordemos que el Banco Nacional de México ya enfrenta una sanción del propio IFAI (el expediente no se encuentra disponible actualmente a causa de una medida cautelar del Tribunal Federal de Justicia Fiscal y Administrativa, ya que Banamex está combatiendo tal multa) del orden de $16’155,936.00 por 5 conductas infractoras a la LFPDPPP. También ya le fue impuesta una sanción a Seguros Banamex, S.A. de C.V., de $3’989,120.00 (por tratar datos personales en contra de los Principios que informan a la Ley, así como por recabar o transferir datos personales sin el consentimiento expreso del titular, en los casos en que éste sea exigible).

Pues ahora su SOFOM operadora de tarjetas de crédito se ganó una sanción con los sugientes fundamentos y costos:

  • Dar tratamiento a los datos personales en contravención a los principios establecidos en la Ley: $1’495,920.00;
  • Mantener datos personales inexactos cuando resulte imputable al Responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de los Titulares: $1’246,600.00
  • Obstruir los actos de verificación de la autoridad: $3’490,480.00 (recuerden que tan sólo esta conducta le costó $2.5MDP a Océanica);
  • Continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del mismo por el Instituto o los Titulares: $3’615,140.00

Pregunta obligada: ¿multará así el IFAI a cualquiera? Respuesta evidente: no. De acuerdo con el artículo 65, fracción IV, el Instituto debe fundar y motivar sus resoluciones considerando, entre otros aspectos, la capacidad económica del infractor. De la lectura de la resolución en este caso se desprende que el Instituto consultó en Internet los estados financieros básicos consolidados de la infractora al primer trimestre de 2013, y encontraron un capital contable reportado del orden de $13,700’000,000.00, y tomó la cifra como referente para la multa.

También resulta interesante que, de acuerdo con el comunicado IFAI/079/13, en el Primer Ciclo de Talleres de Formación de Asesores en Protección de Datos Personales el IFAI habría capacitado a personal de la Asociación de Bancos de México, a pesar de lo cual 3 integrantes del Grupo Financiero Banamex han enfrentado ya sanciones (a Seguros Banamex ya le tocó también), en tanto que Banco Azteca ya logró sortear exitosamente un procedimiento de protección de derechos. O la información no permeó de la ABM a Banamex, o en Banamex mismo «se fueron por la libre».

Multa del IFAI a Oceánica: $2’493,200.00

29 agosto, 2013
Privacy/Protección de Datos
Deja un comentario

Paradójicamente la investigación del que tiene el dudoso honor de ser el primer caso de investigación sobre presuntas violaciones a la Ley Federal de Protección de Datos Personales es de la que deriva la sanción dada a conocer más recientemente.

En noviembre de 2012 se dio a conocer la multa de impuesta a Pharma Plus, S.A. de C.V., también conocida como Farmacias San Pablo, derivada del expediente PS.0002/2012, conforme al cual le fueron impuestas a esa Responsable multas del orden de:

  • 24,066 días de salario mínimo general vigente en el D.F. en el 2012, es decir $1’500,033.78, por contravenir el principio de información en el tratamiento de datos personales, y
  • 8,022 días de salario mínimo general vigente en el D.F. en el 2012, es decir $500,011.26, por omitir el elemento de identidad en su aviso de privacidad.

Apenas en estos días fue dado a conocer el expediente PS.0001/12, iniciado en contra de Océanica Internacional, S.A. de C.V., en que la autoridad de protección de datos determinó la imposición de una multa por el equivalente de 40,000 días de salario mínimo general vigente en el D.F. en 2012, del orden de $2’493,200.00, por la obstrucción en que habría incurrido dicha Responsable respecto de las visitas domiciliarias que el Pleno del IFAI ordenó realizar para constatar el cumplimiento de las disposiciones en materia de protección de datos, dado que no otorgó las facilidades necesarias para que se llevaran a cabo esas visitas (fracción XIV del artículo 63 de la LFPDPPP y III de su artículo 64).

En la resolución consta que para determinar ese monto el IFAI tuvo en consideración el importe del capital social de Océanica; habiéndoselo requerido y al no haber tenido respuesta, obtuvo copia del folio mercantil de la sociedad y constató que conforme a la protocolización de una Asamblea Extraordinaria de Accionistas el capital social de $36’596,000.00.

Sin embargo, el inciso a) del Considerando Sexto (p. 22) de la resolución indica que «[e]n el presente caso no se tomará en cuenta dicho elemento (naturaleza del dato, artículo 65, fracción I, de la LFPDPPP), toda vez que la conducta infractora que se sanciona es la obstrucción de los actos de verificación». Es decir que en virtud de no haber podido tener acceso a la materia de tratamiento por parte de la Responsable, la autoridad optó por la prudencia y decidió no asumir que se llevaba a cabo el tratamiento de datos personales sensibles, aún cuando es del conocimiento público que como centro de trataimiento y rehabilitación Oceanica necesariamente daría tratamiento a datos personales sensibles.

Ello podría motivar duda en cuanto a si el expediente no representaría un precedente de «efficient breach», o incumplimiento eficiente, coloquialmente referido en México como que a Oceánica «le salió barato», dado que en términos del referido artículo 64, fracción IV, de la Ley Federal de Protección de Datos Personales las multas por infracciones cometidas en el tratamiento de datos sensibles pueden incrementarse hasta por 2 veces los montos establecido en las fracciones II y III del ciatdo artículo 64, pudiendo llegar a topes cercanos a los $41.5MDP.

Derechos A R C O y Cobranza Extrajudicial

30 julio, 2013
Privacy/Protección de Datos, Regulación Bancaria/Financiera
Deja un comentario

Una pregunta recurrente en los seminarios que he impartido sobre protección de datos personales es si el ejercicio de los derechos ARCO es aplicable a las instituciones de crédito y/o SOFOMes, cuyos prestadores de servicios (usualmente bajo la figura de «Encargado») llaman incesantemente a los teléfonos de personas que podrán ser titulares de la línea telefónica, pero no deudores de la cuenta cuya cobranza procuran dichos Encargados.

Después de haber sido abogado bancario y corporativo transaccional me consta lo difícil, cuando no imposible, que puede ser recuperar en México una cuenta por cobrar de un deudor en  crédito al consumo, e incluso en crédito productivo, aún cuando se tengan otorgadas garantías. En su momento respondí a quejas presentadas ante CONDUSEF contra alguno de mis clientes por casos de suplantación o robo de identidad, por lo que también me constan las penurias que enfrentan personas en tal situación para resolver su situación. También me supongo que debe ser por demás molesto tomar una nueva línea telefónica para darse cuenta, a través de las múltiples llamadas de los ejecutivos de cobranza, que algún moroso era su titular anterior.

La reiterada pregunta habla de la mala gestión que hacen las instituciones financieras por cumplir con el Principio de Calidad que informa a la LFPDPPP, atento al cual los datos personales materia de tratamiento deben ser exactos, completos, pertinentes, correctos y actualizados. También habla de la dificultad que tiene la CONDUSEF para meter en cintura a los servicios de cobranza.

La respuesta a esa pregunta recurrente es que sí; no obstante la existencia de regulación propia del sector financiero, misma que conforme al Artículo 40 de la LFPDPPP deberá ser ajustada al marco normativo que ella prevé, sus disposiciones resultan aplicables a todas las instituciones financieras que traten datos personales para fines comerciales o de divulgación, salvo por las Sociedades de Infromación crediticia, mismas que fuero exceptuadas de la normativa de protección de datos personales. Para muestra basta la multa impuesta por el IFAI a Banamex, del orden de $16’155,936.00

En primer término podría acudirse a la Unidad Especializada que la entidad financiera debería tener en cumplimiento a la Ley de Protección y Defensa al Usuario de Servicios Financieros, aunque lo más probable es que se limiten a consultar su cuenta e ignoren si el número telefónico (que podría ser parte de los factores de autenticación previstos para banca electrónica) está o no asociado a otra cuenta.

También podría formular una denuncia ante la CONDUSEF a través de su Portal de Gestión de Cobranza, a fin de que dicho organismo verifique si el caso resulta o no en una violación del Código de Ética de las Obligaciones para con los Deudores y Público en General, que fue pactado por tal Comisión y por la Asociación Mexicana de Profesionales en Cobranza y Servicios Jurídicos, A.C. Pero dicho Código es soft law, de adopción voluntaria y difícilmente sancionable.

En vía de protección de datos personales, si el Titular afectado efectivamente tuviera una cuenta o producto de la institución de que se trate, pero no el deudor buscado a través de su teléfono o correo electrónico, podría ejercer el derecho de Rectificación, a fin de que su nombre sea asociado a los números telefónico y de cuenta correctos y no a los de alguien más. También podría ejercer su derecho de Oposición, a fin de que se le eviten mayores perjuicios tratando sus datos para la cobranza de una cuenta que no le corresponde.

En caso de no haber sido tarjetahabiente ni cuentahabiente de la institución, tendría expedito el derecho de cancelación, al igual que si los datos personales hubieran sido obtenidos indirectamente por la institución financiera por transferencia de alguien que lo hubiera nombrado como referencia y como consecuencia le llamaran para presionar al referido.

¿Qué Modalidad de Aviso de Privacidad usar Cuándo?

29 julio, 2013
Sin categoría
Deja un comentario

Imagen

Aparentemente la publicación de los Lineamientos del Aviso de Privacidad no contribuyó mucho a la mejor comprensión de la modalidad de dicho documento a que los Responsables del Tratamiento de Datos Personales pueden recurrir de acuerdo con el momento y medio en que obtengan tales datos.  Incluso el propio IFAI expandió el uso del «Aviso de Privacidad Corto» más allá de los límites originalmente previstos para el mismo.

En la nota del pasado 11 de julio abordé el tema de cómo el Aviso de Privacidad para Video-Vigilancia difundido como de modalidad corta por el IFAI no es congruente con lo dispuesto por el Artículo 28 del Reglamento de la Ley ni con el Decimonoveno de los Lineamientos del Aviso de Privacidad, toda vez que el aviso de privacidad corto fue previsto para medios impresos, no audio-visuales.

Más recientemente en una vuelta para buscar algunos insumos del despacho me llamó la atención que una de las dos grandes cadenas de artículos de papelería y oficina tiene junto a sus cajas registradoras un Aviso de Privacidad Simplificado, cuando lo adecuado sería que tuvieran ahí un Aviso de Privacidad Integral.

De acuerdo con el citado Lineamiento Decimonoveno, cuando los Datos Personales sean obtenidos del Titular Personalmente, se deberá poner a disposición de éste un Aviso de Privacidad Integral. En el caso concreto, si el Titular se toma la molestia de acudir en persona a realizar una compra como la descrita, ese sería el aplicable. Cabría naturalmente el argumento en cuanto a que: (i) si el Titular fuera una persona moral o física dedicada ya sea al comercio o al ejercicio liberal de una profesión, el Responsable estaría exento de la obligación de poner a disposición suya el Aviso de Privacidad conforme al Artículo 5 del Reglamento y al Lineamiento Decimocuarto, y (ii) si tales compras son realizadas normalmente por medio de un(a) asistente del comerciante o profesionista individual (por ejemplo, un médico), los datos de facturación se habrían obtenido indirectamente, haciendo aplicable el Aviso de Privacidad Simplificado de acuerdo con el Lineamiento Decimonoveno, fracción II.

Sin embargo queda la pregunta para el caso de todas las personas que no entren en dicha categoría, como por ejemplo la madre o el padre de familia que entren a comprar útiles escolares y no se encuentren en alguna de los antedichos casos de excepción. Más aun, no me pareció haber visto Avisos de Privacidad para Video-Vigilancia, en modalidad alguna.

Una implementación como la que se muestra en la imagen podría ser útil para un establecimiento que atienda telefónicamente, pero no tenga implementado un centro de atención telefónica en que una grabación pudiera reproducir el scipt del Aviso de Privacidad simplificado, por ejemplo para compras o servicios por teléfono. De no ser el caso, las compras en piso de venta deberían llevarse a cabo al amparo de un Aviso de Privacidad Integral.

Recordemos que la carga de la prueba de la puesta a disposición del Aviso de Privacidad recae sobre el Responsable, y que la omisión en uno o más de los elementos de dicho documento, como podría resultar por el uso de uno simplificado en vez del integral, podría resultar en una multa de 100 a 160,000 veces el salario mínimo general vigente en el Distrito Federal.

Aviso de Privacidad ¿Múltiple o Monolítico?

23 julio, 2013
Privacy/Protección de Datos
2 comentarios

Una de las discusiones más recurrentes en la práctica de la protección de datos personales en México es la de la disyuntiva entre concentrar el contenido de TODOS los posibles avisos de privacidad del Responsable en un documento, a fin de que los Titulares seleccionen la información relevante para ellos de entre aquélla que no lo fuera, o bien «segmentarlos», de manera que, por ejemplo, se tenga uno para clientes, otro para empleados, y hay quienes incluso adicionan otro más para proveedores (habiendo quienes consideramos que no es necesario en ese caso).

Ejemplos del primer grupo se encuentran en las páginas de Internet de GRUMA y de Roche, en tanto que Sport City (ver esq. inf. izq.) y Walmart se decantan por la segunda.

Será difícil concluir hasta que el IFAI no emita un criterio definido al respecto, y la discusión se centra en la interpretación del artículo 24 del Reglamento de la Ley y el Lineamiento Décimo del Aviso de Privacidad, atento a los cuales dicho documento deberá ser sencillo, eficiente y práctico, con información necesaria, expresado con lenguaje claro en español y comprensible, y con una estructura y diseño que facilite su entendimiento.

Hay quienes sostienen que no sería sencillo para los propios Titulares clasificarse a si mismos entre las diversas categorías para las que el Responsable hubiera dispuesto la redacción de avisos de privacidad, de tal suerte que todos los supuestos posibles deberían ser previstos en un texto monolítico.

También hay quienes dicen que, por ejemplo, la información de datos personales y finalidades del tatamiento de los datos personales de los empleados del Responsable no es necesaria para los clientes del mismo (y tal vez difundir ese listado de datos personales podría suponer un riesgo de seguridad), por lo que lo ideal sería que el Responsable dispusiera uno para cada grupo de finalidades. Me atrevería a decir que en algún momento un alto funcionario del IFAI habría manifestado alguna inclinación por esta postura en una conferencia, pero carezco del soporte documental para ello.

Sea cual fuere el caso, hay más de una forma de matar pulgas y cualquiera será válida hasta que el IFAI no exprese lo contrario.

Mención aparte merece el requisito de redacción en idioma español; si bien es el idioma oficial de los Estados Unidos Mexicanos, esto lo hace indebidamente restrictivo en supuestos como los del artículo 4 del Reglamento de la Ley, bajo los cuales el Tratamiento de datos de residentes en el extranjero podría llevarse a cabo en México (si algún día se logra la certificación de «Puerto Seguro» –Safe Harbor-), no obstante lo cual en los lineamientos no se planteó nada sobre la disponibilidad de traducciones en otros idiomas… como no sea que debiera entenderse implícito en el requisito de la fraccion II del Lineamiento Décimo, que obliga al Responsable a tomar en cuenta para su redacción los perfiles de los Titulares.

Inicia la Vigencia de la «Ley Anti-Lavado»… sin Reglamento

17 julio, 2013
Privacy/Protección de Datos, Regulación Bancaria/Financiera
Deja un comentario

No hay plazo que no se cumpla, ni fecha que no llegue. Hace un mes publiqué una entrada sobre la proximidad de la entrada en vigor de la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita o «Ley Anti-Lavado», misma que entró en vigor el día de hoy, y cuyo Reglamento debería ser expedido por el Ejecutivo Federal dentro de 30 días, conforme a su artículo Segundo Transitorio.

Aun cuando el párrafo segundo del Artículo Cuarto Transitorio de la Ley prevé que la presentación de los Avisos que deberán realizar quienes lleven a cabo Actividades Vulnerables será por primera vez hasta que el muy esperado Reglamento haya entrado en vigor, la falta del mismo deja a los sujetos obligados al cumplimiento de la Ley en espera de las medidas simplificadas para el cumplimiento de las demás obligaciones de conocimiento del cliente a cargo de quienes realicen Actividades Vulnerables, así como para el establecimiento de las Entidades Colegiadas por conducto de las cuales sus miembros podrán dar cumplimiento a sus obligaciones de presentación de avisos.

En la práctica de cumplimiento normativo nos encontraremos con una situación como la vivida con la Ley Federal de Protección de Datos Personales en Posesión de Particulares, que no obstante haber previsto un plazo de 12 meses para la expedición de su Reglamento no lo tuvo sino hasta 6 meses y medio más tarde. Hoy día una búsqueda en el «buscador de regulaciones» de la Comisión Federal de Mejora Regulatoria no arroja resultado alguno al respecto.

También será interesante ver de qué manera aterriza toda esa información en la práctica, considerando la reciente resolución del IFAI sobre la publicidad de los procedimientos de imposición de sanciones con motivo de violaciones en controles de lavado de dinero impuestas por la CNBV. Desde esa perspectiva, la omisión o deficiencia en el cumplimiento de tales obligaciones podría significar un mayor riesgo reputacional que una deficiente protección de datos personales, materia que se interesecta con la prevención de operaciones con recursos de procedencia ilícita.

IFAI Publica un Nuevo Aviso de Privacidad… y un Criterio.

11 julio, 2013
Privacy/Protección de Datos
Deja un comentario

Imagen

El espectro de aplicación de la Ley Federal de Protección de Datos Personales es sumamente amplio, de manera tal que impacta a un sinnúmero de Responsables, muchos de los cuales no pueden sufragar una asesoría puntual y sofisticada en la materia. Con la intención de que la propia autoridad facilite medios para que dichos Responsables cumplan con la LFPDPPP, se le facultó para proporcionar apoyo técnico para el cumplimiento de las obligaciones establecidas en esa ley a quienes se lo soliciten.

En uso de tal facultad el IFAI difundió un «Modelo de Aviso de Privacidad Corto para Video Vigilancia», difundido mediante comunicado de fecha 7 de julio del presente año. El documento abona a zanjar una discusión existente desde la promulgación de la Ley; aquélla sobre la necesidad de contar con más de un Aviso de Privacidad, en atención al Principio de Finalidad que informa a la LFPDPPP. Dado que la video vigilancia (V-V) es una Finalidad en sí misma y distinta de otras que el Responsable lleve a cabo, y que por ella se da Tratamiento a Datos Personales es preciso contar con el correspondiente Aviso de Privacidad. Diversos edificios corporativos en la Ciudad de México ya lo tienen, en distintos formatos; otros muchos no.

Lo interesante del caso es que en el documento respectivo el IFAI expuso la consideración, y consecuentemente el criterio respectivo, en el sentido de sugerir a los Responsables el uso del Aviso de Privacidad Corto previsto en la fracción III del Decimoctavo de los Lineamientos del Aviso de Privacidad que la Secretaría de Economía publicó el 17 de enero del presente año, y que también ya había sido referido en el artículo  28 del Reglamento en los siguientes términos:

El responsable podrá poner a disposición del titular el aviso de privacidad en términos del artículo anterior, cuando obtenga los datos personales por medios impresos, siempre que el espacio utilizado para la obtención de los datos personales sea mínimo y limitado, de forma tal que los datos personales obtenidos también sean mínimos.

Es decir, la redacción del Reglamento contiene una condicionante importante, tal que su interpretación debería resultar en que el uso del Aviso de Privacidad Corto sólo sea posible en los casos en que los datos son captados por medios impresos, idea que se refuerza considerando el texto de la fracción III del Decimonoveno de los citados Lineamientos:

Cuando el espacio utilizado para la obtención de los datos personales sea mínimo y limitado, de forma tal que los datos personales recabados o el espacio para la difusión o reproducción del aviso de privacidad también lo sean, se podrá utilizar la modalidad de aviso de privacidad corto.

Es interesante observar cómo el IFAI considera (vid. página 6) que por lo limitado de los datos que las cámaras captan y que el espacio físico para dar a conocer el aviso de privacidad es un espacio más bien restringido, la modalidad del Aviso de Privacidad adecuada para estas finalidades es el Aviso de Privacidad Corto, sin perjuicio de que también se ponga a disposición de los Titulares el correlativo Aviso de Privacidad Integral.

Los modelos propuestos por el IFAI son sumamente gráficos, y hacen evidente incluso de manera gráfia la utilización de cámaras de circuito cerrado. Sin duda contribuyen a ofrecer mayor claridad a los Titulares a cuyas imágenes se dé Tratamiento, pero por otra parte el criterio que expande el uso de la modalidad de Aviso de Privacidad Corto más allá de los medios impresos hasta el video motivará controversias prácticas y de iure en el futuro cercano.

Imagen

Conciliaciones ante el IFAI; Historias no Contadas Aun

19 junio, 2013
Privacy/Protección de Datos
Deja un comentario

En fechas recientes las sanciones impuestas por el IFAI a empresas como Farmacias San Pablo, Banamex y Sport City han acaparado la atención del público y causado impacto por su magnitud, más considerando su cuantía respecto del costo de la implementación del cumplimiento normativo.

Sin embargo, poco se ha difundido sobre las conciliaciones alcanzadas hasta la fecha en procedimientos de protección de datos en los que, a instancia de dicho Instituto y con fundamento en los artículo 54 de la Ley y 120 de su Reglamento, el Titular y Responsable involucrados han transigido los casos presentados ante la mencionada autoridad, dejando sin materia la solicitud de protección de datos del Titular y, por lo tanto, conjurando la sanción administrativa.

Por principio, en el acta de la sesión del pleno del IFAI celebrada el 17 de abril del 2013 dicho cuerpo colegiado aprobó la conciliación alcanzada en los procedimientos de protección de derechos iniciados en contra de Teléfonos de México, Autobuses la Piedad y Lomelín Hermanos Bienes Raíces.

Los términos de estas conciliaciones no han recibido igual difusión que los de las antedichas sanciones, pero convendría tenerlos en cuenta con relación a la consideración de los costos que puede implicar la omisión o deficiencia en los costos de implementación.

¿Cuál es el costo de la implementación del cumplimiento normativo en materia de protección de datos personales? La respuesta depende; desde la Primera Versión de la Manifestación de Impacto Regulatorio (con antecedente de rechazo) en la etapa de comentarios públicos al proyecto del Reglamento de la Ley Federal de Protección de Datos Personales el IFAI y la iniciativa privada expresaron consideraciones divergentes al respecto.

Por ejemplo, la American Chamber (vid. pp. 17-18 del documento arriba citado) consideró que dependiendo del tamaño de la empresa Responsable del Tratamiento de Datos Personales, los costos de asesoría legal en la materia podrían alcanzar hasta $1’875,000.00, hasta $4’000,000.00 por asesoría técnica y $1’000,000.00 para la implementación de avisos de privacidad. Claramente dichas cifras se asumen referidas a Responsables sofisticados y «de gran calado», como instituciones financieras o de salud que tratan datos patrimoniales o sensibles mediante estructuras de gran complejidad. 

Bajo esa perspectiva y en tales casos, el costo de la sanción podría resultar comparable al costo de implementación; sin embargo, habría que considerar también el riesgo reputacional que podría representar un caso seguido ante el IFAI en contra del Responsable.

Compliance Report

Xavier Ribas

Derecho de las TIC y Compliance

Marcus Kazmierczak

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace

Cedric's Privacy Blog

Blog de la Asociación Mexicana de Restaurantes