archivo

Archivo de la etiqueta: Ley Federal para la Transparencia y acceso a la Información Pública Gubernamental

¿Y si tu empresa hubiera hecho lo del #PadrónElectoral?

26 abril, 2016
Privacy/Protección de Datos, Sin categoría
Deja un comentario

México es un país de múltiples y muy grandes desigualdades; pero mientras el discurso del gobierno y de muchas organizaciones de la sociedad civil se centra en las desigualdades económico-sociales (lo cual es obvio, porque en eso enfocan su actividad ambos), pocas veces se atiende a una que pienso es de las mayores inequidades que enfrentamos y que tiene un inmenso impacto: la desigualdad normativa entre gobierno y gobernados, y casi nadie atiende a las consecuencias que ello tiene. No me refiero siquiera a cosas como el hecho que las entidades gubernamentales estén exentas de otorgar garantías en el proceso de amparo por ser consideradas de acreditada solvenica (ejem…¿¡PEMEX?!), sino a temas mucho más básicos.

Un ejemplo muy elemental es que para abrir un establecimiento mercantil en la #CDMX, y que en función del impacto que el mismo tenga en la demarcación donde se ubique, es indispensable contar con estacionamiento propio, o acreditar la disponibilidad de otro por contrato celebrado con una empresa para ello. Por el contrario ¿cuándo ha visto Ud. que un edificio de gobierno tenga instalaciones de aparcamiento? El IMPI tuvo, recién mudado a sus oficinas de Arenal… hasta que ampliaron el archivo y construyeron más oficinas, y creo que juzgados administrativos federales en Las Flores, no más.

Muy guardadas proporciones lo mismo sucede con la protección de datos personales; la Ley aplicable en la materia a las instituciones públicas es la Ley Federal para la Transparencia y Acceso a la Información Pública Gubernamental, que data del 2002 y tiene unas escasas disposiciones sobre datos personales para normar el uso que de nuestra información hacen los Poderes Ejecutivo, Legislativo y Judicial así como demás organismos Federales, la PGR y los organismos constitucionales autónomos, como el @INEMEXICO e @INAIMEXICO.

Una de las muchas carencias de esa Ley es que entre otros muchos no le es aplicable a diversos organismos públicos y «de interés público» como los partidos políticos (art. 41, fracción I, de la CPEUM) que también «manejan» (técnicamente «dan tratamiento») a los datos personales de todos nosotros. ¿Recuerdan los «kits escolares» y los boletos de cine que distribuyó el Partido Verde Ecologista de México antes de los procesos del 2015? ¿ O sus tarjetas «VIP» (porque, claro, siendo del PVEM tenían que ser VIP y «Platino» -antes no las hicieron «black»-)?

Todo ello implica el «manejo» o tratamiento de datos personales, que en términos de iniciativa privada serían considerados como mercadotecnia y prospeccción comercial, tendrían que ser expliciatados así en el aviso de privacidad correspondiente y seguramente implicarían transferencias que requiriesen del consentimiento expreso de la persona en ese mismo documento. Sin embargo el sector público está sujeto a menos requisitos al respecto, y los partidos políticos estaban en un vacío legal de suerte tal que la normatividad de protección de datos no les era aplicable al respecto, solamente la electoral. Ese tipo de lagunas legales lleva a supuestos de «incumplimiento eficiente» o efficient breach, como se llama en teoría de los contratos anglosajona a la idea de que el costo de oportunidad puede ser mayor que el costo normativo y, por tanto, la utilidad de romper la ley es más rentable que mantener el Estado de Derecho.

¿Consecuencia? La Sala Regional Especializada del Tribunal Electoral del Poder Judicial de la Federación multó al PVEM con la exhorbitante cantidad de $24,535.00 (veinticuatromil quinientos treinta y cinco Pesos)  con letra por si no creyó los dígitos, y eso fue con el peso abajito de los MXN$16.00. Ahora veamos, ¿por cuánto ha sido la menor de las multas que el INAI ha impuesto por transgredir la Ley Federal de Protección de Datos Personales en Posesión de los Particulares? Por unos $41,874.00 (cuarenta y un mil ochocientos setenta y cuatro Pesos) a un médico psiquiatra (Exp. IFAI ps 0001/13) que tansfirió indebidamente los datos personales de una paciente, nada más y nada menos…que a su marido. Es decir que violar la ley electoral en materia de protección de datos personales puede costar aproximadamente 1/3 de lo que cuesta violar la Ley Federal de Protección de Datos.

Tal deficiencia se pretende solventar, en alguna forma y medida, con la Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados, que conforme al decreto de reforma constitucional en materia de transparencia debió haber sido expedida desde febrero del 2015, y que a escasas 2 sesiones (hoy y el jueves 28) de que termine el periodo ordinario de sesiones apenas está como dictamen de primera lectura en el @senadomexicano como Cámara de Origen, restando aún la Cámara de Diputados como Revisora y la posiblidad de que el Ejecutivo Federal modifique el texto y dilate todavía más su expedición.

La finalidad esencial de esa nueva Ley es fijar el nivel mínimo de cumplimiento normativo que los «Sujetos Obligados» (contrapartes de los «Responsables» en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares) deben observar a nivel Federal, estatal y municipal en materia de protección de datos personales. Sin embargo el dicamen discutido hoy en el Senado prevé que «ante el incumplimiento por parte de los partidos políticos el Instituto u organismo garante competente dará vista, según corresponda, al INE o a los organismos públicos locales electorales…para qu resuelvan lo conducente», y  los «dientes» de ese ordenamiento siguen siendo limitados; si bien alcanzan a la persona física inmediata y personalmente, no alcanzan a la institución.

Un caso como el más reciente (que ya van varios) del #PadrónElectoral hubiera supuesto, de haber hecho el Legislativo Federal su trabajo en tiempo y forma, cuando menos la divulgación (fracción III del artículo 163) indebida de los datos personales bajo custodia del Partido (¿o Instituto?) que resulte responsable, además de incumplir con el deber de confideancialidad establecido en la propia Ley (ibid., fracción VIII) o incluso llevar a cabo la transferencia (ibid. fracción X) de datos personales en contravención a la Ley citada, ésta última considerada como grave. Sin embargo todas estas son responsabilidades administrativas de los servidores públicos involucrados, no del Sujeto Obligado a la protección de los datos personales bajo su resguardo.

Detalle importante: el último párrafo de la Ley prevé que «las sanciones de carácter económico no podrán ser cubiertas con recursos públicos»; dicho de otro modo, el presupuesto de las entidades públicas (o de interés público infractoras») no sufrirá por este motivo. ¿Sería «pasar el dinero de un bolsillo del fisco al otro»? considerando que incluso las instituciones públicas federales, estatales y municipales están obligadas al pago de contribuciones, tanto impuestos como derechos, ¿por qué no también de sanciones por la vulneración de nuestros datos personales?

En conclusión, en el estado que se encuentra y que va la Ley General de Protección de Datos en posesión de «organismos gubernamentales» -por llamarlos así-, el costo para estos por su incumplimiento y la vulneración a la seguridad y confidencialidad de nuestros datos ajenos al padrón electoral es cercano a cero, y en el caso del servidor público personal y directamente responsable se determinaría en función del beneficio económico que hubiera obtenido por el ilícito.

Para establecer un margen objetivo de comparación, de acuerdo con las fracciones II y III del artículo 64 de la Ley Federal de Protección de Datos Personales en Posesión de los particulares, las multas por infracciones «no graves» a dicho estatuto son del orden de 100 a 160,000 días de salario mínimo general vigente y por infracciones «graves» van de 200 a 320,000 días de tal salario, que se traducen a bandas que oscilan entre $7,340.00 (siete mil trescientos cuarenta Pesos) y $11’686,400.00 (once millones, seiscientos ochenta y seis mil cuatrocientos Pesos), y  entre $14,680.00 (catorce mil seiscientos ochenta Pesos) y $23,372,800.00 (veintitrés millones trescientos setenta y dos mil ochocientos Pesos), mismas que podrían incluso duplicarse tratándose de datos personales sensibles según lo prevé la fracción IV del propio artículo 64.

La violación al deber de confidencialidad respecto de los datos personales bajo responsabilidad del particular es la primera entre las referidas «infracciones graves»; transferir datos a terceros sin informarles las limitaciones impuestas al tratamiento de esos datos y vulnerar la seguridad de las bases de datos, locales, programas o equipos de cómputo también son infracciones graves, que estarían dentro del rango máximo de las sanciones pecuniarias que una empresa responsable del tratamiento de datos personales podría enfrentar en un escenario como el del ya denominado #INEGATE, más las correlativas por el incumplimiento de los Principios que conforme a los artículos 6 de la Ley y 9 del Reglamento informan a dichos ordenamientos, éstas últimas dentro del rango de las multas de menor cuantía. En agregado, podrían llevar a la responsable a la quiebra.

Comparativamente, el funcionario electoral (no el INE) que sustituya, destruya, comercialice o haga uso ilítico de documentos del Registro Federal de Electores, Padrón Electoral o Lista de Electores, como se presume fue el caso del #INEGATE le correspondería una multa de 50 a 250 días de salario: $3,652 (tres mil seiscientos cincuenta y dos Pesos) a $14,608.00 (catorce mil seiscientos ocho Pesos), eso si, con prision de 2 a 6 años.

En conclusión, el bajo nivel de exigencia para el tratamiento de datos personales en posesión de instituciones gubernamentales ha sido un lastre para el desarrollo de la cultura de protección de datos en la sociedad mexicana, que no necesariamente será resuelto tan sólo por exigir el mismo nivel de formalidades y seguridad para el manejo de datos personales en manos de los gobiernos federal, estatales y municipales, puesto que es un hecho que de no haber el mismo nivel de costo por incumplimiento para el sector público del que hay para el sector privado, tal asimetría regulatoria se prestará al arbitraje regulatorio entre un medio y otro, además de ser inequitativo para la iniciativa privada que, además de estar expuesta a contingencias más onerosas invierte recursos considerables en su cumplimiento normativo en tanto que las entidades públicas generalmente llevan a cabo su implementación utilizando recursos existentes en nómina.

Una situación dispar e inequtiativa a todas luces.

 

 

 

Protección de Datos Personales en los Sectores Público y Privado

20 enero, 2014
Privacy/Protección de Datos
Deja un comentario

Nota Reforma 19-01-14Una nota publicada el día de ayer en la primera plana de la sección «Nacional» del diario «REFORMA» intitulada «Usa el IFE Datos sin Autorización», en la que se refiere que el Instituto Federal Electoral habría hecho uso de los datos de Mabel Ivonne Castañaers Leyva en la presentación a los medios en diciembre pasado del nuevo diseño de la credencial para votar con fotografía elaborada por Giesecke y Devrient, superponiendo la fotografía de quien sería empleada de ésta última a la credencial emitida por dicho Instituto a favor de la antedicha ciudadana da oportunidad para comentar sobre la dicotomía que existe en la regulación de la protección de datos personales en posesión de las entidades del sector público y las del sector privado.

En tanto que la nota de referencia cita los artículos 9 y 12 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la «LFPDPPP»),

  1. Debería haber citado la Ley Federal para la Transparencia y Acceso a la Información Pública Gubernamental (la «LFTAIPG»), y
  2. Tratándose del Principio del Consentimiento en aquélla debería haber citado el artículo 8, que contiene las reglas generales del consentimiento para el Tratamiento de Datos Personales, toda vez que la credencial para votar no contiene datos personales que la LFPDPPP considere sensibles.

Esto último debido a que de acuerdo con su artículo 3, fracción VI, son considerados como sensibles «aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual». Si esa mica contuviera datos como grupo y RH sanguíne que, por ejemplo, son visibles en las licencias de conducir de los EE.UU.A., para el caso de una emergencia por un siniestro de tránsito, la referencia al artículo 9 de la LFPDPPP hubiera sido correcta, pero no es el caso; la referencia tendría que haber sido a su artículo 8, que contiene las reglas generales del consentimiento para los datos personales que no son considerados como sensibles.

Pero el aspecto más fundamental respecto de la materia de la nota deriva de la referencia a la LFPDPPP, cuando debería haber sido hecha a la LFTAIPG. Ello debido a que de acuerdo con el artículo 2 de la primera Ley referida, son sujetos regulados por aquélla Ley, los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, en tanto que de acuerdo con la fracción V del artículo 41 de la Constitución Política de los Estados Unidos Mexicanos, «la organización de las elecciones federales es una función estatal que se realiza a través de un organismo público autónomo denominado Instituto Federal Electoral, dotado de personaldiad jurídica y patrimonio propios», y que el artículo 106(1) del Código Federal de Instituciones y Procedimientos Electorales, «el Instituto Federal Electoral es un organismo público autónomo, de carácter permanente, independiente en sus decisiones y funcionamiento, con personalidad jurídica y patrimonio propios».
De un simple silogismo formado con lo anterior podemos concluir que la LFPDPPP no es aplicable al IFE:
  1. PREMISA MAYOR: La LFPDPPP es aplicable a los particulares o personas de carácter privado.
  2. PREMISA MENOR: El IFE no es un particular ni de carácter privado.
  3. CONCLUSIÓN:        La LFPDPPP no le resulta aplicable al IFE.
El estatuto que debió haber sido consultado al respecto es la LFTAIPG, toda vez que de acuerdo con su artículo 1, ésta «…tiene como finalidad proveer lo necesario para garantizar el acceso de toda persona a la información en posesión de los Poderes de la Unión, los órganos constitucionales autónomos o con autonomía legal, y cualquier otra entidad federal», incluyéndose entre los objetivos de dicha Ley dispuestos en su artículo 4, fracción III, «garantizar la protección de los datos personales en posesión de los sujetos obligados», estos últimos definidos como en la fracción XIV de su artículo 3 de manera tal que incluye a los «órganos constitucionales autónomos».
Para tales efectos y otros como los que son materia de la nota a que se ha hecho referencia, el Capítulo IV de la LFTAIPG versa sobre «La Protección de Datos Personales», y la disposición citada con relación al caso planteado debería haber sido su artículo 21, de acuerdo con el cual «los sujetos obligados no podrán difundir, distribuir o comercializar los datos personales contenidos en los sistemas de información, desarrollados en el ejercicio de sus funciones, salvo que haya mediado el consentimiento expreso, por escrito o por un medio de autenticación similar, de los individuos a que haga referencia la información».
Además es importante señalar que el Aviso de Privacidad previsto en la LFPDPPP no resulta aplicable para el Tratamiento de Datos Personales en posesión de instituciones del sector público; en ese caso lo que el Sujeto Obligado debe poner a disposición de los individuos un documento en que establezca los propósitos del Tratamiento de sus Datos Personales a partir del momento en el cual los recabe, de acuerdo con los Lineamientos establecidos por su propio Comité de Información. El Reglamento del IFE en materia de Transparencia y Acceso a la Información Pública Gubernamental puede ser consultado en el siguiente enlace: http://bit.ly/1dH0lRh.
Finalmente, conviene mencionar que, de acuerdo con el artículo 18, fracción II, de la LFTAIPG, se considerará como información confidencial a «los datos personales que requieran el  consentimiento de los individuos para su difusión, distribución o comercialización» en los términos de esa Ley, salvo que «…se halle en los registros públicos o en fuentes de acceso público», excepción que no se surte en el caso reportado por REFORMA, toda vez que conforme al artículo 171(3) del Código Federal Instituciones y Procedimientos Electorales, «los documentos, datos e informes que los ciudadanos proporcionen al Registro Federal de Electores, en cumplimiento de las obligaciones que les impone la Constitución y este Código, serán estrictamente confidenciales y no podrán comunicarse o darse a conocer, salvo cuando se trate de juicios, recursos o procedimientos en que el Instituto Federal Electoral fuese parte, para cumplir con las obligaciones previstas por este Código en materia electoral y por la Ley General de Población en lo referente al Registro Nacional Ciudadano o por mandato de juez competente».
Nota Reforma 20-01-14photo-3
Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

Xavier Ribas

Derecho de las TIC y Compliance

Marcus Kazmierczak

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace

Cedric's Privacy Blog

SoshiTech - Soshitech.com

Technology News, Startup Information & Social Networking