La materia de protección de datos personales tiene más de 40 años de vigencia en Europa, e incluso los EE.UU.A. comenzaron a regularla y legislarla mucho antes que México, donde aún es novedosa y prevalece un gran desconocimiento al respecto tanto entre los Responsables del Tratamiento de Datos Personales, sus Encargados, Terceros con los que tienen relación, pero además inclusive entre los profesionales del derecho que están llamados a asesorarlos para el debido cumplimiento de sus obligaciones al respecto.

En un país como el nuestro, donde la colegiación no es obligatoria, ello supone un obstáculo adicional para que dichos Responsables y Encargados accedan a servicios de la calidad y nivel necesarios para contar con la debida asesoría en la implementación del cumplimiento normativo con el que deben contar. Además es preciso considerar que el ámbito personal de aplicación de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares es tan amplio, que abarca no sólo a las grandes empresas que dan Tratamiento a grandes volúmenes de Datos Personales, incluso de carácter personal y patrimonial, sino también a micro y pequeñas empresas que difícilmente podrían sufragar los honorarios de una asesoría externa.

Una solución práctica que existe para ambos dilemas radica en los esquemas de certificación, tanto de profesionales implementados por instituciones privadas, como de los esquemas de que la Secretaría de Economía se ha dado la tarea de promover luego de la publicación en el Diario Oficial de la Federación de la segunda versión de los Parámetros de Autorregulación en Materia de Protección de Datos Personales.

La certificación de profesionales existe en otras jurisdicciones desde hace varios años. La International Association of Privacy Professionals (IAPP)  ofrece cursos y exámenes para obtener la certificación como profesional en información y privacidad tanto en materia jurídica como de operaciones y tecnología en los regímenes europeo, estadounidense y canadiense. Sin embargo, aunque esperamos que pronto extienda también tal certificación tratándose del régimen jurídico mexicano, Normalización y Certificación Electrónica, S.C., es la primera organización en México que ofrece un curso de capacitación en materia de protección de datos personales, en adición al cual un examen y la resolución de un caso práctico permiten obtener la Certificación como Profesional en Protección de Datos Personales en niveles básico, Junior y Senior.

Por su parte, los Parámetros de Autorregulación expedidos por la Secretaría de Economía ofrecen importantes ventajas para los Responsables y Encargados: el más obvio es que por disposición del artículo 81 del Reglamento de la LFPDPPP, cuando un responsable adopte y cumpla un esquema de autorregulación, dicha circunstancia será tomada en consideración para determinar la atenuación de la sanción que correspondiera, en caso de no obstante haber cumplido con dicho esquema de autorregulación tuviera lugar alguna infracción a la normatividad en materia de protección de datos personales, sin perjuicio de que el IFAI determine otros incentivos para la adopción de dichos esquemas de autorregulación.

Además su desarrollo permitirá a los Responsables que se adhieran a tales esquemas armonizar el cumplimiento normativo al que están obligados en materia de protección de datos personales con el de las disposiciones de otras materias que también deban observar, lo cual no se ha llevado a cabo a la fecha aunque ya debería haber sido hecho por las diversas autoridades administrativas en cuyas materias se lleva a cabo el Tratamiento de Datos Personales, pues el artículo 40 de la Ley dispone que la misma es un marco normativo que esas dependencias deberán observar, en el ámbito de sus propias atribuciones, para la emisión de la regulación que corresponda. Como ejemplo de estas omisiones regulatorias se pueden destacar 3 ejemplos:

1. En materia de propiedad intelectual, mercadotecnia y publicidad no es absolutamente claro si para el uso de la imagen de una persona debe atenderse aun al artículo 87 de la Ley Federal del Derecho de Autor o a la LFPDPPP;
2. Tratándose de servicios de salud, la Ley General de Salud, sus Reglamentos y diversas Normas Oficiales Mexicanas obligan al prestador de tales servicios a obtener el consentimiento informado de sus pacientes, sin que se haya dispuesto si su consentimiento expreso respecto del aviso de privacidad debiera ser obtenido en paralelo, o si conforme a los artículos 10, fracción IV, de la LFPDPPP y 17 de su Reglamento tal consentimiento informado dispensa la expresión del mismo en el Aviso de Privacidad, y
3. Los oferentes de productos y servicios crediticios están obligados, conforme a la Ley para la Transparencia y Ordenamiento de los Servicios Financieros, así como a las Disposiciones de la PROFECO y/o CONDUSEF en esa materia a adjuntar a sus contratos una carátula que prevea la autorización del cliente para que se haga uso de sus datos personales para fines de mercadotecnia y publicidad, lo cual es también un elemento requerido en el Aviso de Privacidad conforme al Reglamento y los Lineamientos igualmente expedidos por la Secretaría de Economía.

Toda vez que los esquemas de autorregulación vinculante se basan en códigos, buenas prácticas profesionales, políticas de privacidad, reglas de privacidad corporativas, lineamientos, etc., aplicables a sus adherentes, estos no necesitarían desarrollar de la nada el total de su cumplimiento normativo, sino que contarían ya con bases y guías a seguir para ello, lo cual podría abatir en alguna medida el costo de la asesoría e implementación, beneficiando particularmente a las micro y pequeñas empresas que se adhieran a tales esquemas.

Retomando lo escrito al inicio de esta entrada, y como fue dicho por en el XXI Encuentro Iberoamericano de Protección de Datos Personales, celebrado en las instalaciones del IFAI la semana pasada, así como en el foro de Knowledgenet de la IAPP este miércoles, México empezó tarde con la regulación de la protección de datos personales, lo cual ofrece la ventaja de poder abrevar de la experiencia de otras jurisdicciones y evitar sus errores. En el marco de la certificación de esquemas de autorregulación, el caso de TRUSTe es ejemplo de aquello con lo que deberá tenerse cuidado en la experiencia mexicana en materia de autorregulación.

TRUSTe es una empresa estadounidense que ofrece servicios de sistemas para la protección de datos personales y audita a empresas de aquél país dedicadas al comercio electrónico respecto de su cumplimiento normativo en materia de privacidad/protección de datos personales, y extiende a aquéllas que cumplen con el marco normativo que deben observar (COPPA, Reglas APEC, Convenio USA-EU de Puerto Seguro, etc.) un «sello de confianza» a aquéllas que han satisfecho su auditoría de cumplimiento. Su marca ha sido ampliamente reconocida por más de una década en el comercio electrónico de aquél país.

Sin embargo ésta misma semana la prensa estadounidense dio cuenta del acuerdo por US$200,00.00 al que dicha empresa llegó con la Federal Trade Commission de aquél país con motivo irregularidades que fueron detectadas tanto en su programa de re-certificación como en su imagen pública. En materia de re-certificación, se concluyó que entre 2006 y 2013 TRUSTe había omitido realizar auditorías anuales a unas 1,000 de las empresas que certifica, a pesar de que afirmaba que lo había hecho, a lo cual TRUSTe respondió que ello sólo había ocurrido en menos del 10% de los casos, únicamente respecto de sus clientes con contratos multi-anuales que eran certicados cada tercer año. Tratándose de su imagen pública, el hallazgo fue que en tanto que la empresa inició en 1997 como una organización sin fines de lucro, en 2008 se convirtió en una empresa lucrativa, lo cual fue considerado como publicidad engañosa.

El caso es una gran lección para México antes incluso de iniciar el desarrollo y registro de esquemas de autorregulación, pues el trabajo de protección de datos personales se basa esencialmente en la confianza, de manera que los verificadores, certificadores y auditores en la materia deben ser probos y transparentes en sus labores, a fin de ser merecedores de la confianza que las certificaciones y sellos que extiendan participen de la misma en beneficio de quienes las reciban.

El año pasado se abrió un periodo para el registro ante el IFAI de esquemas de autorregulación vinculante, sin que haya habido (hasta donde tengo conocimiento) una sola solicitud al respecto. Conforme a los artículos Transitorios de la publicación de los Parámetros comentados al inicio de esta nota la «segunda etapa» para el desarrollo de esos esquemas de autorregulación iniciará en marzo del 2015; es una oportunidad que las Asociaciones, Cámaras y demás agrupaciones gremiales no deberían dejar pasar, para que sus afiliados, miembros o agremiados den cumplimiento de una manera asequible y eficiente a las obligaciones que la Constitución, LFPDPPP, su Reglamento y Lineamientos del Aviso de Privacidad les imponen.

Como expresó el pasado miércoles José Luis Rodríguez Álvarez, Director de la Agencia Española de Protección de Datos Personales, «La privacidad es una condición necesaria para el desarrollo económico, porque sin ella no hay confianza, y sin confianza no hay modelo de negocios viable».

El comunicado de TRUSTe sobre su acuerdo con la FTC puede ser visto aquí: http://www.truste.com/blog/2014/11/17/truste-ftc/

Chris Babel, CEO

At TRUSTe we take very seriously the role we play in the privacy ecosystem and our commitment to supporting our customers. And if we fall short, we admit it, we address the issue, and we move forward.

Today, an agreement was announced with the Federal Trade Commission (FTC) settling a complaint about two of our prior business processes. The FTC did not find any issues with TRUSTe’s privacy practices, but there were two processes that needed to be fixed – and we have addressed both.

The first item is that we did not ensure all certified websites removed a reference to TRUSTe as a non-profit entity in their privacy policies after we transitioned to a for-profit enterprise in 2008. The second is that we did not complete the annual review step of certification from 2006 until January 2013 for clients who had signed up for multi-year agreements. This represents less than 10% of the total number of annual reviews we were scheduled to conduct during that time.

Multi-year clients that did not undergo the annual review step of their certification were reviewed when their agreements were up for renewal. Because over 90% of multi-year clients signed two-year contracts, the vast majority were reviewed every other year. Additionally, all clients continued to receive all other services included in their TRUSTe certification – including our privacy advisory services, guidance on any proposed changes to their privacy procedures, and dispute resolution service so any potential consumer complaints regarding their privacy policy or practices were fully investigated.

We have taken swift action to address the process issues covered by the agreement. In late 2013, we started requiring the non-profit reference to be removed from all active client websites as a condition of re-certification. We also identified and fixed the process for annual reviews in January 2013, and implemented new controls to ensure that every client receives the annual review step of their certification. We regret that, in these two cases, our processes did not live up to our own standards.

I am proud of the dedicated TRUSTe team that continues to work hard to develop new technology, products and services to keep pace with the rapid evolution in privacy laws, regulations and practices. We are delivering products and services to a growing customer base around the globe. The role we play today and going forward has never been more important for our clients and the customers they serve. In the weeks and months ahead, I look forward to focusing our energies on helping businesses address these rapidly evolving data privacy management challenges.

Thank you.