archivo

Archivo de la etiqueta: Ley Federal de Protección de Datos Personales

bigbro - CopyA pesar de que como pueblo nos guste pensar lo contrario, y diversos juristas e infinidad de funcionarios públicos se empeñen en sostener que México es un país de Derechos Humanos y libertades, la verdad es que eso es sólo un dicho que en los hechos varía de régimen en régimen, y en cada uno ha tenido sus matices. En muchos sentidos, la legislación parece tender a convertir al nuestro en un Estado policía.

Durante la pasada administración panista y “de derecha”, contra todo sentido común y la opinión de numerosos expertos. nuestros legisladores crearon una cosa llamada “Registro Nacional de Usuarios de Telecomunicaciones” o “RENAUT”, que requería al usuario de un equipo de telefonía móvil vincular el número del mismo a su Clave Única del Registro de Población (CURP), con la intención de mitigar el uso de tales equipos en la comisión de ilícitos como extorsión o secuestro, siendo sabido que numerosos grupos delincuenciales se valen de los mismos para operar incluso desde el interior de los “Centros de Readaptación Social”, al grado que se ha tenido que establecer un número de emergencia (089) para que la ciudadanía denuncie de forma (relativamente) anónima las llamadas recibidas en tales circunstancias. Sin embargo la evaluación (ex post facto) de riesgos contra beneficios llevó a que el RENAUT viviera poco tiempo y fuera destruido definitivamente el año pasado.

En la presente administración priista y “de centro-izquierda”, dentro del acalorado debate de la Ley Federal de Telecomunicaciones, en el que la atención se centra en la discusión de los aspectos de negocio en un mercado prácticamente duopólico, y si no al menos catelizado, y la disyuntiva sobre atacar la preponderancia en el mismo mediante regulación por servicio o por sector, Joel Gómez Treviño y José Carlos Méndez resaltan en entrevista con CNN Expansión un par de “bolas rápidas” dentro de la iniciativa de la Ley Federal de Telecomunicaciones y Radiodifusión, cuyo dictamen ya fue aprobado en Comisiones del Senado, y hoy será discutido en lo particular en el seno de dicha Cámara.

¿En qué consisten esas “bolas rápidas”, y de qué manera impactarían a nuestra privacidad y la protección de nuestros datos personales? En que,  no obstante que la fracción II de su artículo 191 reconoce nuestro derecho a la protección de nuestros datos personales, “en términos de las leyes aplicables” (menos mal, considerando que es un derecho humano reconocido por el artículo 6, apartado A, fracción II, y 16, párrafo segundo de la Constitución Política de los Estados Unidos Mexicanos) y que el segundo párrafo de la fracción XI del artículo 190 del propio ordenamiento reitera la inviolabilidad de las comunicaciones privadas igualmente tutelada por el párrafo decimosegundo de nuestra Ley Fundamental, el citado atrículo dispone en su fracción II y el primer párrafo de la citada fracción XI que los concesionarios y autorizados de telecomunicaciones deberán:

II. Conservar un registro y control de comunicaciones que se realicen desde cualquier tipo de
línea que utilice numeración propia o arrendada, bajo cualquier modalidad, que permitan
identificar con precisión los siguientes datos:
a) Nombre, denominación o razón social y domicilio del suscriptor;
b) Tipo de comunicación (transmisión de voz, buzón vocal, conferencia, datos), servicios suplementarios (incluidos el reenvío o transferencia de llamada) o servicios de mensajería o multimedia empleados (incluidos los servicios de mensajes cortos, servicios multimedia y
avanzados);
c) Datos necesarios para rastrear e identificar el origen y destino de las comunicaciones de telefonía móvil: número de destino, modalidad de líneas con contrato o plan tarifario, como en la modalidad de líneas de prepago;
d) Datos necesarios para determinar la fecha, hora y duración de la comunicación, así como el servicio de mensajería o multimedia;
e) Además de los datos anteriores, se deberá conservar la fecha y hora de la primera activación del servicio y la etiqueta de localización (identificador de celda) desde la que se haya activado el servicio;
f) En su caso, identificación y características técnicas de los dispositivos, incluyendo, entre otros, los códigos internacionales de identidad de fabricación del equipo y del suscriptor;
g) La ubicación digital del posicionamiento geográfico de las líneas telefónicas, y
h) La obligación de conservación de datos, comenzará a contarse a partir de la fecha en que se haya producido la comunicación.

Para tales efectos, el concesionario deberá conservar los datos referidos en el párrafo anterior durante los primeros doce meses en sistemas que permitan su consulta y entrega en tiempo real a las autoridades competentes, a través de medios electrónicos. Concluido el plazo referido, el concesionario deberá conservar dichos datos por doce meses adicionales en sistemas de almacenamiento electrónico, en cuyo caso, la entrega de la información a las autoridades competentes se realizará dentro de las cuarenta y ocho horas siguientes, contadas a partir de la notificación de la solicitud.
La solicitud y entrega en tiempo real de los datos referidos en este inciso (OJO, PROBABLE ERROR DE CONCORDANCIA, PORQUE YA NO ESTÁ EN INCISO ALGUNO, SINO QUE ES UN PÁRRAFO SUBSECUENTE), se realizará mediante los mecanismos que determinen las autoridades a que se refiere el artículo 189 de esta Ley, los cuales deberán informarse al Instituto para los efectos de lo dispuesto en el párrafo tercero, fracción I del presente artículo.
Los concesionarios de telecomunicaciones y, en su caso, los autorizados, tomarán las medidas técnicas necesarias respecto de los datos objeto de conservación, que garanticen su conservación, cuidado, protección, no manipulación o acceso ilícito, destrucción, alteración o cancelación, así como el personal autorizado para su manejo y control.
Sin perjuicio de lo establecido en esta Ley, respecto a la protección, tratamiento y control de los datos personales en posesión de los concesionarios o de los autorizados, será aplicable lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los
Particulares;
III. Entregar los datos conservados a las autoridades a que se refiere el artículo 189 de esta Ley, que así lo requieran, conforme a sus atribuciones, de conformidad con las leyes aplicables.
Queda prohibida la utilización de los datos conservados para fines distintos a los previstos en este capítulo, cualquier uso distinto será sancionado por las autoridades competentes en términos administrativos y penales que resulten.
Los concesionarios de telecomunicaciones y, en su caso, los autorizados, están obligados a entregar la información dentro de un plazo máximo de veinticuatro horas siguientes, contado a partir de la notificación, siempre y cuando no exista otra disposición expresa de autoridad competente; 

XI. Realizar bajo la coordinación del Instituto los estudios e investigaciones que tengan por objeto el desarrollo de soluciones tecnológicas que permitan inhibir y combatir la utilización de equipos de telecomunicaciones para la comisión de delitos o actualización de riesgos o
amenazas a la seguridad nacional. Los concesionarios que operen redes públicas de telecomunicaciones podrán voluntariamente constituir una organización que tenga como fin la realización de los citados estudios e investigaciones. Los resultados que se obtengan se registrarán en un informe anual que se remitirá al Instituto, al Congreso de la Unión y al Ejecutivo Federal.

¿Y cuáles son las autoridades a que se refiere el artículo 189?

Artículo 189. Los concesionarios de telecomunicaciones y, en su caso, los autorizados y proveedores de servicios de aplicaciones y contenidos están obligados a atender todo mandamiento por escrito, fundado y motivado de la autoridad competente en los términos que establezcan las leyes.
Los titulares de las instancias de seguridad y procuración de justicia designarán a los servidores públicos encargados de gestionar los requerimientos que se realicen a los concesionarios y recibir la información correspondiente, mediante acuerdos publicados en el Diario Oficial de la Federación.

En suma, si bien la iniciativa preserva la inviolabilidad constitucional de las comunicaciones privadas, de manera que sólo pueden intervenidas por mandamiento judicial, la iniciativa de Ley la reduce al contenido de la comunicación misma, facultando a las autoridades de la rama Ejecutiva del Poder Federal para requerir a los concesionarios o autorizados los metadatos de tales comunicaciones relacionados en los incisos a) al g) de la fracción II del artículo 190. Es decir, que dichas autoridades administrativas podrán acceder por un lapso de al menos 24 meses a la informacion relativa a quién se comunicó desde dónde con quién más, a qué hora y por qué medio, aunque no puedan conocer el contenido mismo de dichas comunicaciones sin contar con una orden judicial.

Lo anterior es precisamente lo que en gran parte motivó la indignación del público estadounidense ante las revelaciones que Edward Snowden hizo respecto de la vigilancia que la National Security Agency de aquél gobierno ejercía sobre las comunicaciones de sus ciudadanos realizadas a través de redes públicas de telecomunicaciones, ya fuera por medio del teléfono o servicios de Internet, particularmente el correo electrónico. Llama la atención que los legisladores mexicanos incorporen disposiciones así mientras que en los EE.UU.A. la Cámara de Representantes aprobó medidas que limitan la facultad de aquélla agencia de Inteligencia para acceder a similar información sin una orden judicial y la Suprema Corte resolvió que las autoridades de procuración de justicia también requieren de una orden judicial para acceder al contenido del teléfono móvil de un presunto responsable arrestado.

Claramente en aquél país no se libra una guerra contra el crimen organizado como la que se libra aquí; pero si libran una guerra contra el terrorismo. Tampoco se padecen los secuestros ni extorsiones telefónicas que lamentablemente se han vuelto frecuentes en México. Pero aún así mantienen los pesos y contrapesos de su marco jurídico para preservar los derechos de sus ciudadanos.

También la fracción XI del citado artículo 190, que requiere a los concesionarios y autorizados realizar estudios e investigaciones para desarrollar soluciones tecnológicas para inhibir y combatir el uso de equipos de telecomunicaciones para la comisión de delitos o actualización de riesgos o amenazas a la seguridad nacional, va a contrapelo de las tendencias en la materia en los EE.UU.A., al convertir a dichos concesionarios y autorizados en coadyuvantes del gobierno en tales actividades, cuando tras las revelaciones de la vigilancia lograda a través del acceso a sus sistemas empresas como Google, Microsoft, AT&T y Vodaphone han buscado robustecer sus sistemas para evitar la vigilancia no autorizada, y se rehúsan a colaborar con las autoridades si no es mediante orden judicial.

La tutela que pudiera lograrse por la remisión que la fracción II del artículo 191 hace a “las leyes aplicables” para efectos de la protección de datos personales de los usuarios de telecomunicaciones es muy relativa; tal obligatoriedad está dada de suyo por el capítulo de Datos Personales de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, así como por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, que norman la materia respecto de los sectores público y privado, pues si bien la primera dispone como confidenciales los datos personales en posesión de los Sujetos Regulados (entes del gobierno federal) y la reserva de las investigaciones y procedimientos judiciales hasta en tanto no hayan sido resueltos, no exige un mandamiento judicial para que puedan acceder a tal información.

Vistos estos acontecimientos legislativos en nuestro país conviene preguntarnos si estamos en un punto en el que se ha vuelto verdaderamente necesario bajar el nivel de dificultad que el gobierno requiere para el acceso a nuestra información en aras de lograr los objetivos planteados por las medidas propuestas.

 

Imagen

Hace tiempo me topé con este letrero en un edificio de la Ciudad de México, el cual motiva la duda sobre el régimen para proteger el derecho a la imagen de las personas.

Antes de la entrada en vigor de la Ley Federal de Protección de Datos Personales, cuyo Reglamento prevé en su artículo 3, párrafo tercero, que los datos personales podrán estar expresados en forma numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, la materia del derecho a la imagen estaba regulada a nivel federal en el artículo 87 de la Ley Federal del Derecho de Autor bajo 4 premisas elementales:

  • El retrato de una persona sólo podía ser usado o publicado con su consentimiento expreso, o con el de sus representantes o los titulares de los derechos correspondientes, siendo tal autorización revocable en todo momento.
  • Se presumía que quien se debaja retratar por remuneración había otorgado tal consentimiento y que no podría revocarlo  era utilizado en los términos y para los fines pactados.
  • El consentimiento del retratado no era necesario cuando se tratara del retrato de una persona que fuera parte menor de un conjunto, o la fotografía hubiera sido tomada en un lugar público y con fines informativos o periodísticos.
  • Los derechos establecidos para las personas retratadas durarían 50 años después de su muerte.

Por otra parte, el 19 de mayo de 2006 fue publicada en la Gaceta Oficial del Distrito Federal la “Ley de Responsabilidad Civil para la Protección del Derecho a la Vida Privada, el Honor y la Propia Imagen en el Distrito Federal“,  a la que alude la imagen de esta nota, la cual prevé que:

  • “(propia) Imagen” es la reproducción identificable de los rasgos físicos de una persona sobre cualquier soporte material… con lo cual dejaron de lado la fotografía digital.
  • Toda persona tenía derecho sobre su imagen: la facultad para disponer de su apariencia autorizando, o no, la captación o difusión de la misma, por lo que la difusión o comercialización de la imagen de una persona sin su consentimiento expreso constituiría un acto ilícito (que no delictivo).
  • Además la captación, reproducción o publicación por fotografía, filme o cualquier otro procedimiento (que por la limitante de la primera viñeta en el presente,  debería ser analógico), de la imagen de una persona en lugares o momentos de su vida privada o fuera de ellos sin la autorización de la persona constituía una afectación al patrimonio moral.
  • La imagen de una persona no debería ser publicada, reproducida, expuesta o vendida en forma alguna si no era con su consentimiento, a menos que dicha reproducción estuviera justificada por la notoriedad de aquélla, por la función pública que desempeñe o cuando la reproducción se hubiera hecho en relación con hechos, acontecimientos o ceremonias de interés público o que hubieran tenido lugar en público y hubieran sido de interés público.
  • Cuando la imagen de una persona fuera expuesta o publicada sin haber sido consentida, con perjuicio de la reputación de la persona, la autoridad judicial podría disponer a petición de parte que cesara el abuso y se reparasen los daños ocasionados.

Visto lo anterior, ¿qué ordenamiento deberían aplicar establecimientos como centros comerciales, restaurantes, hoteles o nosocomios, en los que cotidianamente transcurren hechos de gozo y tristeza en la vida cotidiana de quienes entran y salen de ellos?¿De qué nivel de protección gozaremos las personas respecto de nuestra imagen captada en tales espacios?

Para tales respuestas es preciso atender al Artículo Quinto Transitorio de la Ley Federal de Protección de Datos Personales en Posesión de Particulares, conforme al cual en cumplimiento a lo dispuesto por el artículo Tercero Transitorio del Decreto por el que se adiciona la fracción XXIX-O al artículo 73 de la Constitución Política de los Estados Unidos Mexicanos, disposiciones locales en materia de protección de datos personales en posesión de los particulares como la arriba citada quedaron abrogadas, por lo que aquélla no debería ser ya materia de aplicación.

Ahora bien, considerando que la misma norma Transitoria prevé la derogación de las demás disposiciones que se opusieran a la la referida Ley Federal de Protección de Datos Personales en Posesión de Particulares, nos encontramos en un régimen bajo el cual:

  1. El consentimiento expreso ya no es necesario para hacer uso de la imagen de una persona. Toda vez que no se trata de un dato personal sensible (y eso con sus bemoles, dado que generalmente por el retrato se puede identificar el origen étnico o racial de la persona), el Tratamiento de la imagen no requiere del consentimiento expreso del Titular de ese dato, de manera que para el aviso de privacidad correspondiente bastaría el consentimiento tácito.
  2. Más aún, cual escribí anteriormente, de acuerdo con el criterio del IFAI, tratándose de video-vigilancia basta un aviso de privacidad corto.
  3. Aún cuando baste que sean expresados de manera tácita y la práctica prudente en “copyright clearing” ha sido obtener autorización de todos los retratados, el número de consentimientos requeridos para el Tratamiento de una fotografía de grupo se ha multiplicado, puesto que se requiere el de cada persona que aparezca en la imagen.
  4. La Ley Federal de Protección de Datos Personales en Posesión de Particulares resultaría aplicable aún cuando la imagen hubiera sido captada en un lugar público, toda vez que ni ella ni su Reglamento distinguen en cuanto a la fuente (el artículo 7 del Reglamento enumera aquéllas consideradas como de acceso público), sólo en cuanto a la materia.
  5. En ese orden de ideas, y la disposición del párrafo segundo del artículo 87 de la Ley Federal del Derecho de Autor de acuerdo con la cual cuando a cambio de una remuneración, una persona se dejare retratar, se presume que ha otorgado el consentimiento a que se refiere el párrafo anterior y no tendrá derecho a revocarlo, siempre que se utilice en los términos y para los fines pactados, el Titular tendría siempre expedita la facultad para revocar tal consentimiento por virtud del artículo 20 del Reglamento de la LFPDPPP, sin que la revocación pudiera tener efectos retroactivos de acuerdo con el último párrafo del artículo 7 de la propia Ley.
  6. De acuerdo con los artículos 42 y 109 del Reglamento de la LFPDPPP, el derecho de Oposición sería eficaz para cesar el Tratamiento, pero no podría tener efectos retroactivos, cuando el Tratamiento fuera necesario para el mantenimiento de una relación jurídica entre el Titular y el Responsable.

Será sumamente interesante ver cómo resuelve el Poder Judicial de la Federación los casos que se presenten respecto de uso de la imagen versus libertades de expresión, información e imprenta. Entretanto, debería considerarse la derogación tácita del artículo 87 de la Ley Federal del Derecho de Autor y la abrogación de la Ley de Responsabilidad Civil para la Protección del Derecho a la Vida Privada, el Honor y la Propia Imagen en el Distrito Federal.

Hoy día venció el úlitmo de los plazos concedidos por el marco jurídico que norma la protección de datos personales para el cumplimiento de las obligaciones previstas para los Responsables del Tratamiento de Datos Personales: la elaboración de su Relación de Medidas de Seguridad.

Recordemos que los Avisos de Privacidad y los nombramientos de los Funcionarios o Departamento a Cargo de Datos Personales por parte de los Responsables debieron haber sido publicados y hechos, respectivamente, para el 6 de julio del 2011 (a pesar de no haberse expedido para esa fecha el Reglamento de la Ley), y que los medios para el ejercicio de derechos ARCO tendrían que haber estado disponibles para los Titulares de Datos Personales el 6 de enero del 2012.

El artículo 19 de la LFPDPPP prevé que todo Responsable del Tratamiento de Datos Personales tiene obligación de establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales a los que dé tratamiento contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado (eventos que, de acuerdo conal artículo 63 del Reglamento aplicable constituyen vulneraciones generalmente notificables a los Titulares de los Datos Personales tratados).

A la postre las referidas medidas de seguridad deben actualizarse según manda el artículo 62 del propio Reglamento, lo cual reitera el hecho que la instrumentación del cumplimiento normativo de protección de datos personales no es un proyecto que se agote con la publicación de un aviso de privacidad, sino un proceso continuo y cambiante.

Dichas medidas de seguridad deben constar, de acuerdo con lo previsto en el último párrafo del artículo 61 del Reglamento de la Ley, en una relación de las mismas, para cuya elaboración se gozó, conforme al artículo Cuarto Transitorio del citado Reglamento, de un plazo de 18 meses contados a partir del mismo, y que feneció el día de hoy.

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site