archivo

Archivo de la etiqueta: Principio de Responsabilidad

volaris

Tras largo tiempo sin difundir versiones públicas de procedimientos en materia de datos personales en posesión de los particulares, en un medio ávido de criterios que orienten la todavía naciente práctica de protección de datos personales en México, el INAI actualizó en algo su página de Resoluciones con algunas de entre las cuales amerita mención el proceso de verificación en contra de Concesionaria Vuela Compañía de Aviación, S.A.P.I. de C.V., conocida por su marca “VOLARIS“.

La industria aeronáutica es una de las más intensivas y complejas en tratamiento de datos personales, pues el desplazamiento de pasajeros dentro de territorio nacional y hacia el extranjero requiere de una cantidad de información que puede comprender datos sensibles relativos a estado de salud y creencias religiosas (dando pie a discusiones sobre el perfilamiento de pasajeros) además de prácticas que inciden sobre la privacidad de los viajeros en procesos previos, como los escáneres de cuerpo completo en terminales aéreas.

Muestra de tal complejidad es que hace un año la intención de la autoridad tributaria mexicana por obtener el Registro de Nombre de Pasajeros (Passenger Name Record) de los viajeros aéreos detonó una discusión de proporciones internacionales puesto que las aerolíneas europeas se encontraban impedidas para hacer entrega de dicha información pues los términos de la normatividad mexicana contravenían los límites de la correlativa regulación europea en la matera. La entrada en vigor de la normatividad referida fue suspendida y sigue pendiente a la fecha mientras la UE negocia acuerdos en la misma materia con otros países.

Sin embargo el reciente caso de Volaris no deriva de algo siquiera remotamente tan complejo; es más, resultó de mera torpeza pero evidencia las consecuencias del cumplimiento normativo mal implementado y del mal seguimiento del caso.

La denunciante había llevado ya un procedimiento de protección de derechos en contra de la aerolínea derivado del que ésta habría bloqueado sus datos personales, lo cual se hace previo a la supresión definitiva de tal información. No obstante lo anterior dicha Titular manifestó haber recibido correos electrónicos de Volaris, además de “sospechar” que habrían transferido sus datos personales toda vez que habría recibido llamadas de terceras personas, concretamente de Banco Invex, que podría haber sido el caso considerando el plástico que ambas empresas tienen en cobranding, lo cual fue negado por la Responsable denunciada.

Volaris declaró ante el INAI haber obtenido los datos personales de la denunciante “…en un evento de activación o patrocinio, información que para su mejor manejo y cuidado fue almacenda dentro de nuestro sistema”, y que “…la información a la que se hace referencia…no ha sido transferida o remitida a ningún tercero”. En cuanto al fondo del asunto, pretendió justificar la omisión en el cumplimiento del Acuerdo fechado el 17 de octubre de 2013 en el expediente PPD.0095/13, en que se obligó a bloquear los datos de dicha Titular, y el envío de los correos electrónicos que detonaron su acción en que:

“…atendiendo al bloqueo que existe en el sistema respecto de los datos de la titular, y conforme al tiempo transcurrido se procedería a la eliminación de dichos datos, sin embargo al momento de proceder a su eliminación, por un error humano involuntario se activó el envío automatizado de correos promocionales, lo que ocasionó el envío de los correos referidos, situaciónque ha sido debidamente atendida”.

“Es de precisar que lo anterior se debió sólo a un error humano involuntario, sin que en ningún momento se comprometiera la seguridad de los datos de la titular, error humano que solo provocó el nevío de lo (sic) correos promocionales referidos son (sic) otro efecto adicional”.

Cabe preguntarse qué pensaba Volaris, o sus representantes, lograr con tal respuesta. Los principios generales del Derecho establecen que nadie puede alegar en su favor su propio dolo ni su propia torpeza; el error sólo beneficia a los terceros de buena fe, no así a la parte que incurre en él. Además, que yo entienda, todo error es involuntario, pues de no serlo hay dolo en vez de culpa, lo cual nos lleva a que la culpa por la omisión de un deber de cuidado también es sancionada. Igualmente cabe cuestionarse de qué manera estará armado el sistema de gestión, CRM o la herramienta que sea que tuviera Volaris para estos efectos que “…al momento de proceder a su eliminación (de los datos”) por un error humano involuntario se activó el envío automatizado de correos promocionales…”. ¿El ícono para la función de “Eliminar” estaba junto al de “Enviar Correos de Todos Modos”, o cómo fue que se causó el error”?

Páginas adelante la denunciada manifiesta que el error humano consistió “…en que al momento de proceder a la eliminación, se activó de manera involuntaria por la persona que operaba el sistema el envío automatizado de correos promocionales…resulta importante precisar que se han tomado las medidas y acciones pertinentes para atender la anterior situación, en tanto que los datos de la peticionaria ya no figuran dentro del sistema activo y han sido exluidos de éste, por lo que dicha situación no volverá a generarse”.

Lo anterior a pesar de que declaró también ante el INAI que “una vez que tuvo conocimiento del inicio del procedimiento de protección de derechos…procedió a informar al área responsable del contenido del mismo a efecto de proceder a la confirmación del bloqueo de los datos de la titular…el área resonsable confirmó el referido bloqueo…”, lo cual o no es cierto o no fue ejecutado por el área referida, puesto que es obvia la incongruencia entre la manifestación de que los datos bloqueados hubieran estado al alcance del operador del sistema automatizado de correos promocionales y que no fue tras la primera solicitud ARCO ni del procedimiento de protección de derechos sino hasta después de recibida la denuncia que los datos de la Titular fueron excluidos del sistema activo; esto podría leerse como indicativo de que Volaris no había dado cumplimiento al Acuerdo tomado en el procedimiento de protección de derechos y podría haber sido considerada como reincidente, para los efectos de la determinación de la multa conforme al artículo 65, fracción V, de la Ley.

Lo más que podría abonar el alegato de torpeza que esgrimió la aerolínea es a intentar abordar el criterio para la determinación de la multa se refiere a la intencionalidad de la conducta infractora según la fracción III del artículo 65 de la Ley, pero no deja de parecer absurda en un contexto en que la misma Titular refiere haber llevado un procedimiento de protección de derechos ante el propio INAI derivado de un inicial incumplimiento de una solicitud ARCO anterior, reiterándose el alegato del error en el bloqueo de la información que interesa.

La propia denunciante expresó lo que el caso pone en evidencia: “…esta situación sólo da a entender que esta empresa no tiene control sobre la información que tiene y sobre el tratamiento que le da, ya que es la tercera vez que cometen esta clase de errores, y mi información está vulnerada y propensa a sus errores”.

La resolución del INAI fue en el sentido que Volaris incurrió en la infracción prevista en la fracción XVI del artículo 63 de la Ley, consistente en continuar conn el uso iletítimo de los datos personales cuando se ha solicitado el cese de los mismos, la cual conforme al artículo 64, fracción III, de la propia Ley es de las consideradas como “graves” pues el margen para la sanción respectiva oscila entre las 200 a 320,000 veces el salario mínimo vigente en la Ciudad de México, habiéndose transgredido los principios de Licitud y Responsabilidad motivo por el cual se iniciará el procedimiento de imposición de sanciones en contra de Volaris.

La conclusión del caso es que la  debida implementación del cumplimiento normativo de protección de datos personales no puede quedar en meras formalidades, y muchas veces es indispensable involucrarse, hasta donde sea posible, en el desarrollo de las herramientas que nuestros clientes utilizan para la gestión de los datos personales por cuyo tratamiento son responsables. El propio INAI citó el articulado relativo al principio de Responsabilidad que a su juicio Volaris dejó de observar en el caso, al no haber contado con políticas y programas de privacidad, carecer de un sistema de supervisión y vigilancia interna, ni haber llevado a cabo la capacitación y concientización de su personal sobre la protección de datos personales que están obligados a observar. También al parecer de la autoridad de protección de datos Volairs no tenía mecanismos para el cumplimiento de sus omisas políticas de privacidad ni estableció medidas para el aseguramiento de los datos personales.

Es de esperarse que la sanción sea de una cuantía elevada, considerando que la infracción determinada se encuentra entre las de mayor margen, más incluso si el INAI considera a Volaris como reincidente. Sin duda una experiencia costosa.

logo-CONDUSEF2 - CopyLa cobranza extrajudicial ha sido un tema muy llevado y traido en México desde hace tiempo, que necesariamente se relaciona con el Tratamiento de Datos Personales y el Principio de Calidad además del Principio de Lealtad que informan a la Ley de la materia, por lo cual empresas como Telcel y la SOFOM de tarjetas de Banamex han sido sancionadas por el IFAI. Se trata de un asunto al que los Responsables deben poner atención, puesto que sus agencias o despachos de cobranza obran como Encargados suyos, por lo que sus actos u omisiones podrían repercutirles, por virtud del Principio de Responsabilidad, dado que por definición un Encargado obra por cuenta y orden del Responsable.

Las prácticas de algunos despachos de cobranza también han representado por mucho tiempo un problema para el público, ya sea porque aquellos recurren a prácticas cuestionables, por decir lo menos, dirigiendo a los domicilios registrados de los acreditados documentos que pretenden hacer pasar por mandamientos judiciales de embargo, o porque ante la falta de actualización de sus bases de datos o directorios (ojo con el Principio de Calidad) insisten en comunicarse, muchas veces a deshoras o con lenguaje agresivo e incluso vulgar, a los números telefónicos que tuvieran registrados para los deudores morosos.

No se había encontrado una solución sólida para estas situaciones, por una parte debido a que la colegiación no es obligatoria en México, por lo que no existe un organismo con facultades para sancionar a los profesionales del derecho que incurran en prácticas como las arriba mencionadas, y por otra dado que la CONDUSEF no contaba con facultades para proceder en contra de tales abusos. La única vía que existía, mencionada en la entrada del 30 de julio del 2013, era la verificación del caso, para determinar si resultaba o no en una violación del Código de Ética de las Obligaciones para con los Deudores y Público en General, pactado por tal Comisión y por la Asociación Mexicana de Profesionales en Cobranza y Servicios Jurídicos, A.C., que al final de cuentas era una solución basada en soft law, por lo que dependía de su adopción voluntaria por el despacho de cobranza y difícilmente era sancionable.

Probablemente las cosas cambien a ese respecto a partir de hoy, pues como lo anunció la CONDUSEF el día de ayer fueron publicadas en el Diario Oficial de la Federación las Disposiciones de carácter general aplicables a las entidades financieras en materia de Despachos de Cobranza, que dicha Comisión expidió con fundamento en las facultades que le fueron conferidas mediante las recientes reformas a la Ley para la Transparencia y Ordenamiento de los Servicios Financieros, Disposiciones que entraron en vigor a partir de hoy, sin perjuicio de los plazos de 90 días que sus Disposiciones Transitorias otorgan para dar cumplimiento a las obligaciones derivadas de las mismas, así como para adecuar, en lo conducente, los contratos que ya deberían tener inscritos ante el Registro de Contratos de Adhesión de dicha Comisión.

Esto decididamente significa un avance en el manejo de estos asuntos, pero en cuanto a protección de datos personales da la impresión que ni ésta ni otras entidades reguladoras “le entran” de lleno a la materia y, por lo tanto, no llevan a cabo la emisión de la regulación secundaria correspondiente a sus sectores. Esto se observa en la fracción VIII de la Disposición Cuarta, que se limita a requerir a las Entidades Financieras a “Tratar los datos personales de conformidad con la normativa aplicable en la materia”, sin disponer de manera más clara al respecto, puesto que sólo hay 2 referencias de relevancia a la LFPDPPP:

  1. En la fracción I de la propia Disposición se hace a las Entidades Financieras responsables de que al contratar Despachos de Cobranza (según dicho término es definido) para realizar gestiones de cobro, negociación o reestructuración de sus créditos, préstamos o financiamientos, se tengan establecidos mecanismos que permitan la plena identificación del Deudor, obligado solidario o aval, antes de establecer el primer contacto, y a que en el primero contacto que establezcan con dicho Deudor (momento en el cual deberían
  2. Último párrafo de la Disposición Sexta, que les requiere observar lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y, en su caso la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamentalen al convenir la cesión o venta de cartera, lo cual no aporta gran cosa, puesto que dichos ordenamientos son de orden público y observancia general, por lo que no hacía falta que una norma secundaria reiterase su obligatoriedad.

Sin perjuicio de lo anterior, destaca la previsión contenida en la fracción VII, inciso f), de dichas Disposiciones, que  requiere a los Despachos de Cobranza que se abstenga de establecer registros especiales, distintos a los ya existentes, listas negras, cartelones, o anuncios, que hagan del conocimiento del público la negativa de pago de los Deudores. Tales prácticas podrían también ser sancionadas por el IFAI, en virtud de que las obligaciones del Encargado previstas en el artículo 50 del Reglamento de la LFPDPPP: le obligan a:

  • Guardar confidencialidad respecto de los Datos Personales tratados, confidencialidad que sería transgredida por la práctica de colocar cartelones o anuncios que comuniquen a terceros la mora del Deudor;
  • Abstenerse de transferir (por definición a Terceros) los Datos Personales a los que den Tratamiento, lo cual también sería violatorio del antedicho deber de confidencialidad;
  • Tratar los Datos Personales únicamente conforme a las instrucciones del Responsable, y
  • Suprimir los Datos Personales objeto de Tratamiento una vez cumplida la relación jurídica con el responsable o por instrucciones de éste, obligaciones que serían incumplidas si el Despacho de Cobranza mantuviera su propia bases de datos en paralelo a los registros proporcionados o generados por instrucciones de la Entidad Financiera Responsable, más aún si la ofreciera posterioremente a otro de sus clientes.

También obliga a los Despachos de Cobranza a ser inscritos por las Entidades Financieras en el Registro de Despachos de Cobranza que llevará dicha Comisión.

Para el público representan los siguientes beneficios en tanto que los Despachos de Cobranza:

  • Deberán identificarse plenamente en el contacto con el Deudor, y brindarle información suficiente sobre el motivo de su actuación;
  • Deberán comunicarse de manera respetuosa y educada, en un horario de 7:00 a 22:00 horas;
  • No podrán ostentarse como instituciones públicas, utilizar números telefónicos ocultos al identificador de llamadas,
  • Amenazar, ofender o intimidar al Deudor, sus familiares, compañeros de trabajo o cualquier otra persona que no tenga relación con la deuda, realizar gestiones de cobro a terceros, incluidas las referencias personales y beneficiarios, con excepción de Deudores solidarios o avales, ni con menores de edad o adultos mayores, salvo que dichos adultos sean los Deudores, ni enviar documentos que aparenten ser escritos judiciales u ostentarse como representantes de algún órgano jurisdiccional o autoridad.

Para efectos del Principio de Calidad es relevante que también se les ha prohibido realizar las gestiones de cobro, negociación o reestructuración, de los créditos, préstamos o financiamientos, en un domicilio, teléfono o correo electrónico distinto al proporcionado por la Entidad Financiera o el Deudor, obligado solidario o aval, lo cual les obligará a dar un seguimiento más puntual a la ubicación de sus Deudores, avales u obligados solidarios, aunque también podría hacerles recurrir a otros medios para mantener sus bases de datos actualizadas, como la consulta de fuentes de acceso público, lo cual debería verse reflejado en el momento de poner sus Avisos de Privacidad a disposición de aquellos Titulares cuyos Datos Personales hubieran obtenido indirectamente.

Habrá que esperar y ver si la PROFECO expide Disposiciones en similar sentido que resulten aplicables a las Entidades Comerciales que también otorgan créditos, préstamos o financiamientos.

 

ReformaContraseñas

Incorrect PasswordEl martes Reforma publicó una nota sobre lo común que es el uso de contraseñas poco robustas en empresas que, de suyo, son responsables del tratamiento de dado personales. Empresas especializadas en seguridad y protección informática como Symantec y Mattica reportan amplia y frecuentemente al respecto; y si, en efecto es muy común que la gente use “password”, su nombre o fecha de nacimiento, o los de una persona cercana a ellos, como contraseña.  El asunto no es de poca importancia, ya que podría exponer a tales responsables a sanciones por el IFAI.

Ello dado que la Ley y su Reglamento consagran 8 principios rectores en sus artículos 6 y 9, respectivamente; uno de ellos es el de Responsabilidad, desarrollado en los artículos 14 y 47 de la Ley y Reglamento, respectivamente, el cual consiste, esencialmente, en que el respnsable lo es ante los titulares de los datos tratados y ante la autoridad por el tratamiento que lleva a cabo, y ello incluye la seguridad de tales datos, que debe ser implementada a través de medidas físicas, administrativas y técnicas tendientes a prevenir o evitar que ocurran las vulneraciones de seguridad previstas en su artículo 63, a saber:

  1. La pérdida o destrucción no autorizada;
  2. El robo, extravío o copia no autorizada;
  3. El uso, acceso o tratamiento no autorizado, o
  4. El daño, la alteración o modificación no autorizada.
Con la intención de orientar a los Responsables en la determinación de las medidas de seguridad que deberían implementar en el Sistema de Gestión de Seguridad de Datos Personales con el que deberían contar de acuerdo con sus Recomendaciones en Materia de Seguridad de Datos Personales, a fin de poder acogerse al beneficio de atenuación de sanciones previsto por el artículo 58 del Reglamento, el IFAI desarrolló una Metodología de Análisis de Riesgo “BAA”, que son las siglas para “Beneficio (para el atacante), Accesibilidad (para dicho atacante) y Anonimidad (del atacante)”. El asunto de las contraseñas inseguras se relaciona directamente con el tema de Acceso a los Sistemas de Tratamiento de Datos Personales.
Para empezar, las contraseñas se denominan técnicamente “Factores de Autenticación“: mecanismos, tangibles o intangibles, basados en dispositivos, o en características del Usuario o información que sólo éste posea o conozca que se utilizan en las técnicas y procedimientos para verificar su identidad y facultad para reaizar operaciones en tales Sistemas. A este respecto es importante mencionar que en términos de los artículos 89 y 90, fracción II, del Código de Comercio, la combinación de un nombre de usuario y su contraseña constituyen una Firma Electrónica, y como tal su uso produce los mismos efectos jurídicos que la firma autógrafa, generando la presunción de que quien hizo uso de ellos era el respectivo Usuario. Dicho de otro modo, no proteger debidamente el nombre de Usuario y contraseña de acceso a un Sistema expone a dicho Usuario al riesgo de que las acciones realizadas por el tercero le sean atribuidas, y por ello pudiera ser sujeto de responsabilidad laboral, civil o incluso penal.
De acuerdo con la Metodología de Análisis de Riesgo BAA del IFAI, las medidas de seguridad deben ser determinadas considerando, además del Nivel de Riesgo Inherente de los datos personales tratados, y el Riesgo por Tipo de Dato, el Nivel de Anonimidad del Entorno desde el cual se acceda a los Sistemas de Tratamiento del Responsable. Para ello se determinaron 5 clases de Entornos, gradados de menor a mayor anonimidad:
  1. Físico;
  2. Red Interna;
  3. Red Inalámbrica;
  4. Red de Terceros, e
  5. Internet.

De tal manera, si el Responsable únicamente da Tratamiento a los Datos Personales a través de Sistemas en medios Físicos, como expedientes impresos, archiveros, directorios, etc., debería determinar qué Usuarios pueden o deben tener derecho para acceder a ellos, con qué nivel, y conservar un registro de los accesos realizados.

Por otra parte, si el Responsable da Tratamiento a los Datos Personales a través de Sistemas en una Red Interna, debería asignar a los Usuarios un identificador único (nombre de Usuario), y requerirles el uso de contraseñas de mínimo 10 a 12 caracteres, determinadas siguiendo buenas prácticas de seguridad.Si el acceso a los Sistemas de Tratamiento se lleva a cabo por medio de alta anonimidad, como redes inalámbricas o Internet, además se debe identificar a los Usuarios por medio de la dirección MAC o IP mediante la cual acceden, entre otras medidas.

Ahora bien, en caso de que la falta de constraseñas de acceso adecuadas provoque una vulneración de seguridad, la obligación de los Responsables es notificar a los Titulares afectados sobre (i) la naturaleza del incidente; (ii) los datos personales comprometidos; (iii) las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses; (iv) las acciones correctivas realizadas de forma inmediata, y (v) los medios donde puede obtener más información al respecto.

Por ejemplo, un banco o SOFOM notificaría a sus tarjetahabientes que se dio un acceso no autorizado a sus sistemas de administración de cartera de crédito al consumo, por el que fueron sustraídos números de tarjeta de crédito y datos de identificación y ubicación de sus titulares (los cuales son considerados como de “riesgo reforzado” en las Recomendaciones de Seguridad del IFAI), por lo que las vulnerabilidades explotadas por el atacante están siendo resueltas y se les expidrán nuevos plásticos, a fin de evitar que el uso indebido de la información sustraída les provoque perjuicios patrimoniales.

¿Cuál es el riesgo al que se exponen los Responsables que no implementen una Política de Privacidad, incluyendo debida capacitación, ni Medidas de Seguridad que requieran a sus trabajadores o prestadores de servicio para resguardar debidamente sus Factores de Autenticación y tener contraseñas robustas? Una multa de 100 a 160,000 veces el salario mínimo general vigente en el D.F., con fundamento en el artículo 64, fracción II, de la Ley (dependiendo de la capacidad económica del infractor, la naturaleza de los datos vulnerados y el carácter intencional de la infracción conforme a su artículo 65), por dar tratamiento a los datos personales en contravención al citado Principio de Responsabilidad, infracción prevista en el artículo 63, fracción IV, de dicha Ley.

 

En alcance a las 2 entradas inmediatas anteriores en este blog corresponde actualizar que en palabras del Srio. de Protección de Datos del IFAI, el Dr. Alfonso Oñate Laborde, citado por Reforma, “La responsabilidad pudiera recaer en diversas personas, pero pensamos que en un primer momento puede ser en el IFE porque todo apunta a que sea el padrón electoral la base de datos madre, sin embargo, es preciso que tengamos en mente que el padrón electoral, por disposiciones de la propia regulación electoral, se pone a disposición de los partidos políticos“.

Lo anterior reforzaría el punto hecho por un servidor en la entrada intitulada ¿Y la Protección de Datos, apá?, (jugando con el meme del comercial de la Chevrolet Cheyenne): las fallas de otros no justifican las propias, de manera que el sector privado debe cumplir con la Ley Federal de Protección de Datos Personales no obstante las filtraciones que pudieran provenir del sector público. Más aun, la debida implementación de medidas de trazabilidad que requiere la fracción X del artículo 48 de su Reglamento para la observancia del Principio de Responsabilidad permitirían deslindar responsabilidades y esclarecer casos como este.

Además el caso podría ser una ocasión propicia para que se revise la cantidad de datos personales contenida en esa identificación que se ha hecho indispensable en cualquier trámite en México. Ya antes se ha postulado la eliminación del dato del domicilio indicado en esas credenciales, pero posteriormente se abrió la posibilidad a que se indicara en ellas, a petición del ciudadano, su tipo sanguineo (útil ante una emergencia) y si es o no donador de órganos.

¿En cuántas recepciones de edificios o ventanillas bancarias se pueden ver exhibidas cotidianamente credenciales de elector de personas que las han dejado olvidadas, quedando sus datos personales expuestos?

 

 

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site