archivo

Archivo de la etiqueta: Protección de Datos Personales

bigbro - CopyA pesar de que como pueblo nos guste pensar lo contrario, y diversos juristas e infinidad de funcionarios públicos se empeñen en sostener que México es un país de Derechos Humanos y libertades, la verdad es que eso es sólo un dicho que en los hechos varía de régimen en régimen, y en cada uno ha tenido sus matices. En muchos sentidos, la legislación parece tender a convertir al nuestro en un Estado policía.

Durante la pasada administración panista y “de derecha”, contra todo sentido común y la opinión de numerosos expertos. nuestros legisladores crearon una cosa llamada “Registro Nacional de Usuarios de Telecomunicaciones” o “RENAUT”, que requería al usuario de un equipo de telefonía móvil vincular el número del mismo a su Clave Única del Registro de Población (CURP), con la intención de mitigar el uso de tales equipos en la comisión de ilícitos como extorsión o secuestro, siendo sabido que numerosos grupos delincuenciales se valen de los mismos para operar incluso desde el interior de los “Centros de Readaptación Social”, al grado que se ha tenido que establecer un número de emergencia (089) para que la ciudadanía denuncie de forma (relativamente) anónima las llamadas recibidas en tales circunstancias. Sin embargo la evaluación (ex post facto) de riesgos contra beneficios llevó a que el RENAUT viviera poco tiempo y fuera destruido definitivamente el año pasado.

En la presente administración priista y “de centro-izquierda”, dentro del acalorado debate de la Ley Federal de Telecomunicaciones, en el que la atención se centra en la discusión de los aspectos de negocio en un mercado prácticamente duopólico, y si no al menos catelizado, y la disyuntiva sobre atacar la preponderancia en el mismo mediante regulación por servicio o por sector, Joel Gómez Treviño y José Carlos Méndez resaltan en entrevista con CNN Expansión un par de “bolas rápidas” dentro de la iniciativa de la Ley Federal de Telecomunicaciones y Radiodifusión, cuyo dictamen ya fue aprobado en Comisiones del Senado, y hoy será discutido en lo particular en el seno de dicha Cámara.

¿En qué consisten esas “bolas rápidas”, y de qué manera impactarían a nuestra privacidad y la protección de nuestros datos personales? En que,  no obstante que la fracción II de su artículo 191 reconoce nuestro derecho a la protección de nuestros datos personales, “en términos de las leyes aplicables” (menos mal, considerando que es un derecho humano reconocido por el artículo 6, apartado A, fracción II, y 16, párrafo segundo de la Constitución Política de los Estados Unidos Mexicanos) y que el segundo párrafo de la fracción XI del artículo 190 del propio ordenamiento reitera la inviolabilidad de las comunicaciones privadas igualmente tutelada por el párrafo decimosegundo de nuestra Ley Fundamental, el citado atrículo dispone en su fracción II y el primer párrafo de la citada fracción XI que los concesionarios y autorizados de telecomunicaciones deberán:

II. Conservar un registro y control de comunicaciones que se realicen desde cualquier tipo de
línea que utilice numeración propia o arrendada, bajo cualquier modalidad, que permitan
identificar con precisión los siguientes datos:
a) Nombre, denominación o razón social y domicilio del suscriptor;
b) Tipo de comunicación (transmisión de voz, buzón vocal, conferencia, datos), servicios suplementarios (incluidos el reenvío o transferencia de llamada) o servicios de mensajería o multimedia empleados (incluidos los servicios de mensajes cortos, servicios multimedia y
avanzados);
c) Datos necesarios para rastrear e identificar el origen y destino de las comunicaciones de telefonía móvil: número de destino, modalidad de líneas con contrato o plan tarifario, como en la modalidad de líneas de prepago;
d) Datos necesarios para determinar la fecha, hora y duración de la comunicación, así como el servicio de mensajería o multimedia;
e) Además de los datos anteriores, se deberá conservar la fecha y hora de la primera activación del servicio y la etiqueta de localización (identificador de celda) desde la que se haya activado el servicio;
f) En su caso, identificación y características técnicas de los dispositivos, incluyendo, entre otros, los códigos internacionales de identidad de fabricación del equipo y del suscriptor;
g) La ubicación digital del posicionamiento geográfico de las líneas telefónicas, y
h) La obligación de conservación de datos, comenzará a contarse a partir de la fecha en que se haya producido la comunicación.

Para tales efectos, el concesionario deberá conservar los datos referidos en el párrafo anterior durante los primeros doce meses en sistemas que permitan su consulta y entrega en tiempo real a las autoridades competentes, a través de medios electrónicos. Concluido el plazo referido, el concesionario deberá conservar dichos datos por doce meses adicionales en sistemas de almacenamiento electrónico, en cuyo caso, la entrega de la información a las autoridades competentes se realizará dentro de las cuarenta y ocho horas siguientes, contadas a partir de la notificación de la solicitud.
La solicitud y entrega en tiempo real de los datos referidos en este inciso (OJO, PROBABLE ERROR DE CONCORDANCIA, PORQUE YA NO ESTÁ EN INCISO ALGUNO, SINO QUE ES UN PÁRRAFO SUBSECUENTE), se realizará mediante los mecanismos que determinen las autoridades a que se refiere el artículo 189 de esta Ley, los cuales deberán informarse al Instituto para los efectos de lo dispuesto en el párrafo tercero, fracción I del presente artículo.
Los concesionarios de telecomunicaciones y, en su caso, los autorizados, tomarán las medidas técnicas necesarias respecto de los datos objeto de conservación, que garanticen su conservación, cuidado, protección, no manipulación o acceso ilícito, destrucción, alteración o cancelación, así como el personal autorizado para su manejo y control.
Sin perjuicio de lo establecido en esta Ley, respecto a la protección, tratamiento y control de los datos personales en posesión de los concesionarios o de los autorizados, será aplicable lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los
Particulares;
III. Entregar los datos conservados a las autoridades a que se refiere el artículo 189 de esta Ley, que así lo requieran, conforme a sus atribuciones, de conformidad con las leyes aplicables.
Queda prohibida la utilización de los datos conservados para fines distintos a los previstos en este capítulo, cualquier uso distinto será sancionado por las autoridades competentes en términos administrativos y penales que resulten.
Los concesionarios de telecomunicaciones y, en su caso, los autorizados, están obligados a entregar la información dentro de un plazo máximo de veinticuatro horas siguientes, contado a partir de la notificación, siempre y cuando no exista otra disposición expresa de autoridad competente; 

XI. Realizar bajo la coordinación del Instituto los estudios e investigaciones que tengan por objeto el desarrollo de soluciones tecnológicas que permitan inhibir y combatir la utilización de equipos de telecomunicaciones para la comisión de delitos o actualización de riesgos o
amenazas a la seguridad nacional. Los concesionarios que operen redes públicas de telecomunicaciones podrán voluntariamente constituir una organización que tenga como fin la realización de los citados estudios e investigaciones. Los resultados que se obtengan se registrarán en un informe anual que se remitirá al Instituto, al Congreso de la Unión y al Ejecutivo Federal.

¿Y cuáles son las autoridades a que se refiere el artículo 189?

Artículo 189. Los concesionarios de telecomunicaciones y, en su caso, los autorizados y proveedores de servicios de aplicaciones y contenidos están obligados a atender todo mandamiento por escrito, fundado y motivado de la autoridad competente en los términos que establezcan las leyes.
Los titulares de las instancias de seguridad y procuración de justicia designarán a los servidores públicos encargados de gestionar los requerimientos que se realicen a los concesionarios y recibir la información correspondiente, mediante acuerdos publicados en el Diario Oficial de la Federación.

En suma, si bien la iniciativa preserva la inviolabilidad constitucional de las comunicaciones privadas, de manera que sólo pueden intervenidas por mandamiento judicial, la iniciativa de Ley la reduce al contenido de la comunicación misma, facultando a las autoridades de la rama Ejecutiva del Poder Federal para requerir a los concesionarios o autorizados los metadatos de tales comunicaciones relacionados en los incisos a) al g) de la fracción II del artículo 190. Es decir, que dichas autoridades administrativas podrán acceder por un lapso de al menos 24 meses a la informacion relativa a quién se comunicó desde dónde con quién más, a qué hora y por qué medio, aunque no puedan conocer el contenido mismo de dichas comunicaciones sin contar con una orden judicial.

Lo anterior es precisamente lo que en gran parte motivó la indignación del público estadounidense ante las revelaciones que Edward Snowden hizo respecto de la vigilancia que la National Security Agency de aquél gobierno ejercía sobre las comunicaciones de sus ciudadanos realizadas a través de redes públicas de telecomunicaciones, ya fuera por medio del teléfono o servicios de Internet, particularmente el correo electrónico. Llama la atención que los legisladores mexicanos incorporen disposiciones así mientras que en los EE.UU.A. la Cámara de Representantes aprobó medidas que limitan la facultad de aquélla agencia de Inteligencia para acceder a similar información sin una orden judicial y la Suprema Corte resolvió que las autoridades de procuración de justicia también requieren de una orden judicial para acceder al contenido del teléfono móvil de un presunto responsable arrestado.

Claramente en aquél país no se libra una guerra contra el crimen organizado como la que se libra aquí; pero si libran una guerra contra el terrorismo. Tampoco se padecen los secuestros ni extorsiones telefónicas que lamentablemente se han vuelto frecuentes en México. Pero aún así mantienen los pesos y contrapesos de su marco jurídico para preservar los derechos de sus ciudadanos.

También la fracción XI del citado artículo 190, que requiere a los concesionarios y autorizados realizar estudios e investigaciones para desarrollar soluciones tecnológicas para inhibir y combatir el uso de equipos de telecomunicaciones para la comisión de delitos o actualización de riesgos o amenazas a la seguridad nacional, va a contrapelo de las tendencias en la materia en los EE.UU.A., al convertir a dichos concesionarios y autorizados en coadyuvantes del gobierno en tales actividades, cuando tras las revelaciones de la vigilancia lograda a través del acceso a sus sistemas empresas como Google, Microsoft, AT&T y Vodaphone han buscado robustecer sus sistemas para evitar la vigilancia no autorizada, y se rehúsan a colaborar con las autoridades si no es mediante orden judicial.

La tutela que pudiera lograrse por la remisión que la fracción II del artículo 191 hace a “las leyes aplicables” para efectos de la protección de datos personales de los usuarios de telecomunicaciones es muy relativa; tal obligatoriedad está dada de suyo por el capítulo de Datos Personales de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, así como por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, que norman la materia respecto de los sectores público y privado, pues si bien la primera dispone como confidenciales los datos personales en posesión de los Sujetos Regulados (entes del gobierno federal) y la reserva de las investigaciones y procedimientos judiciales hasta en tanto no hayan sido resueltos, no exige un mandamiento judicial para que puedan acceder a tal información.

Vistos estos acontecimientos legislativos en nuestro país conviene preguntarnos si estamos en un punto en el que se ha vuelto verdaderamente necesario bajar el nivel de dificultad que el gobierno requiere para el acceso a nuestra información en aras de lograr los objetivos planteados por las medidas propuestas.

 

El día de hoy la CONDUSEF dio a conocer el resultado de la supervisión de tarjetas de crédito (presentación de la Comisión) que realiza conforme a la Ley para la Transparencia y Ordenamiento de los Servicios Financieros; la “ley anti-letra chiquita” o “plain Spanish”, que junto con la Disposición Única de la Condusef aplicable a las Entidades Financieras dispone los diversos requisitos que las Entidades Financieras (Bancos, SOFOMES -ER y ENR-, SOFIPOS, etc.), deben satisfacer en la documentación que utilicen para formalizar las operaciones que realicen con el público. Dicho marco normativo establece, por ejemplo, el uso de indicadores como el CAT (Costo Anual Total) y la GAT (Ganancia Anual Total) en los contratos de operaciones acitvas y pasivas, respectivamente, así como en la publicidad de la misma.

Dichos requisitos son abundantes, e incluyen entre otros:

  • El uso de carátulas en las que se contenga de manera clara la información esencial de la operación;
  • Limitaciones en ciertos aspectos del clausulado, particularmente en determinación de intereses y comisiones que podrán ser cobradas;
  • Incluir un listado de las comisiones cobradas, existiendo la prohibición de cobrar 2 comisiones por el mismo hecho generador, y
  • Inclusión de elementos numéricos y gráficos en los estados de cuenta (EDC).

Además ese marco normativo establece diversas formalidades que las Entidades Financieras deben cumplir ante dicha Comisión:

  • Inscribirse en el Sistema del Registro de Prestadores de Servicios Financieros (SIPRES);
  • Registrar sus modelos de contratos de adhesión en el Registro de Contratos de Adhesión (RECA);
  • Registrar las comisiones que cobran en el Registro de Comisiones (RECO), y
  • Consultar el Registro de Usuarios (REUS), que es el listado de exclusión que la CONDUSEF estableció a manera de “do-not-call list”, en el que los usuarios de los servicios de dichas Entidades pueden inscribirse para no recibir llamadas de ofrecimiento de productos y servicios, mismo que de hecho funge como uno de los medios por el cual se puede ejercer la facultad para limitar el Tratamiento de Datos Personales en el marco de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

De acuerdo con la CONDUSEF, entre enero y marzo del 2013 se requirió información a las Entidades Financieras sobre sus contratos para tarjetas de crédito, de cuya revisión derivaron requerimientos de modificación a dichos instrumentos, hechas las cuales se otorgó una calificación del 0 al 10. En agosto del mismo año se requirió a cada Entidad Financiera supervisada 15 expedientes seleccionados aleatoriamente, a fin de verificar que la documentación utilizada con el público correspondiera a la registrada ante esa Comisión.

A este respecto conviene destacar una diferencia importante entre el cumplimiento normativo en materia de crédito al consumo tratándose de Entidades Financieras y Entidades Comerciales; además de que CONDUSEF es la autoridad aplicadora para aquéllas y PROFECO para éstas últimas, las Entidades Financieras pueden salir al mercado con los contratos para sus productos antes de que CONDUSEF realice una revisión de los mismos, en tanto que la revisión y, en su caso, requerimiento de modificaciones de PROFECO se da ex ante.

El resultado fue que BBVA Bancomer (reprobada), Banamex (7.4), Santander (“panzaso”), Banorte (SOFOM Banorte, 8.5; SOFOM IXE, “panzaso”), Scotiabank (7.0), HSBC (8.3) e Inbursa (reprobada), en ese orden, encabezan la lista de Entidades Financieras que registraron incumplimientos como:

  1. Utilizar contratos cuyo texto no corresponde al registrado en el RECA;
  2. La carátula no coincide con los otros documentos de la operación;
  3. Dicha carátula no había sido debidamente personalizada a la operación y/o cliente;
  4. Los EDCs no cumplían con los elementos normativos exigidos, y/o
  5. Carecían de información correcta sobre tasas de interés y/o CAT.

Particularmente BBVA Bancomer, la institución con mayor penetración de mercado en tarjetas de crédito, pasó de una calificación de 9.9 a 2.8, al haber registrado casos de incumplimiento en las 5 conductas arriba listadas; la SOFOM de Banorte sólo perdió 1.2 puntos, registrando sólo omisiones en personalización de la carátula, pues la autorización del cliente para el intercambio de información para fines publicitarios estaba incompleta, pues aunque contaba con la firma del usuario, no indicaba siera para recibirla o no.

Vale la pena mencionar que el anterior requisito es redundante de las disposiciones en materia de protección de datos personales que requieren informar expresamente en el Aviso de Privacidad sobre el uso de información para Finalidades de mercadotecnia, publicitarios y/o de prospección comercial, así como de las Transferencias que realicen de las mismas, hecho que un servidor destacó a título personal en la etapa de comentarios públicos al Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, comentario que fue citado en el Dictamen Total No Final de la COFEMER (página 18, párrafo segundo) a dicho Reglamento.

Algo enfatizado en varios casos fue que los contratos incluían cláusulas de “setoff”, por las que se facultaba a la SOFOM acreditante para cobrar adeudos con cargo a cuentas de depósito que el banco depositario llevase a los acreditados morosos.

La causa más probable sería, como indica la CONDUSEF, que los cambios que ésta ordenó tardaron en permear a lo largo de la estructura de las Entidades Financieras, o se perdieron en el camino, lo cual apuntaría a estructuras que demoran demasiado en moverse para implementar en toda su extensión los requerimientos de la autoridad. Sea como fuere, el resultado es que dichas Entidades Financieras habrán de pagar un total de 256 multas que, en agregado, ascienden a $32’000,000.00.

Sería interesante que la CONDUSEF hiciera un análisis similar de la publicidad de los productos revisados en este caso, pues el marco normativo referido contiene disposiciones que norman incluso el mínimo de puntos que la letra debe contener en materiales impresos, espectaculares, características de anuncios por medios sonoros, etc.

Mi conclusión es que, como he dicho siempre, el trabajo de cumplimiento normativo bien hecho generalmente es poco reconocido, porque de haberse hecho bien no se nota sino hasta que el cliente supera exitosamente una verificación o auditoria; pero el mal hecho puede ser sumamente costoso, tanto financiera como reputacionalmente.

Paradójicamente la investigación del que tiene el dudoso honor de ser el primer caso de investigación sobre presuntas violaciones a la Ley Federal de Protección de Datos Personales es de la que deriva la sanción dada a conocer más recientemente.

En noviembre de 2012 se dio a conocer la multa de impuesta a Pharma Plus, S.A. de C.V., también conocida como Farmacias San Pablo, derivada del expediente PS.0002/2012, conforme al cual le fueron impuestas a esa Responsable multas del orden de:

  • 24,066 días de salario mínimo general vigente en el D.F. en el 2012, es decir $1’500,033.78, por contravenir el principio de información en el tratamiento de datos personales, y
  • 8,022 días de salario mínimo general vigente en el D.F. en el 2012, es decir $500,011.26, por omitir el elemento de identidad en su aviso de privacidad.

Apenas en estos días fue dado a conocer el expediente PS.0001/12, iniciado en contra de Océanica Internacional, S.A. de C.V., en que la autoridad de protección de datos determinó la imposición de una multa por el equivalente de 40,000 días de salario mínimo general vigente en el D.F. en 2012, del orden de $2’493,200.00, por la obstrucción en que habría incurrido dicha Responsable respecto de las visitas domiciliarias que el Pleno del IFAI ordenó realizar para constatar el cumplimiento de las disposiciones en materia de protección de datos, dado que no otorgó las facilidades necesarias para que se llevaran a cabo esas visitas (fracción XIV del artículo 63 de la LFPDPPP y III de su artículo 64).

En la resolución consta que para determinar ese monto el IFAI tuvo en consideración el importe del capital social de Océanica; habiéndoselo requerido y al no haber tenido respuesta, obtuvo copia del folio mercantil de la sociedad y constató que conforme a la protocolización de una Asamblea Extraordinaria de Accionistas el capital social de $36’596,000.00.

Sin embargo, el inciso a) del Considerando Sexto (p. 22) de la resolución indica que “[e]n el presente caso no se tomará en cuenta dicho elemento (naturaleza del dato, artículo 65, fracción I, de la LFPDPPP), toda vez que la conducta infractora que se sanciona es la obstrucción de los actos de verificación”. Es decir que en virtud de no haber podido tener acceso a la materia de tratamiento por parte de la Responsable, la autoridad optó por la prudencia y decidió no asumir que se llevaba a cabo el tratamiento de datos personales sensibles, aún cuando es del conocimiento público que como centro de trataimiento y rehabilitación Oceanica necesariamente daría tratamiento a datos personales sensibles.

Ello podría motivar duda en cuanto a si el expediente no representaría un precedente de “efficient breach”, o incumplimiento eficiente, coloquialmente referido en México como que a Oceánica “le salió barato”, dado que en términos del referido artículo 64, fracción IV, de la Ley Federal de Protección de Datos Personales las multas por infracciones cometidas en el tratamiento de datos sensibles pueden incrementarse hasta por 2 veces los montos establecido en las fracciones II y III del ciatdo artículo 64, pudiendo llegar a topes cercanos a los $41.5MDP.

Ayer redacté una nota sobre la, para mi profesional opinión, mala decisión que tomó Genomma Labs al publicar el nombre de una consumidora de uno de sus productos en medios impresos e Internet (al menos), con relación a la queja formulada por dicha persona respecto de la publicidad de un shampoo de su marca “Tío Nacho”.

Website Genomma Lab Tío Nacho PROFECO

Podría ser interesante saber si dicha acción sirvió para mejorar la experiencia de la consumidora quejosa o reforzar la lealtad para con esa marca, y el beneficio que podría haber tenido respecto de la percepción de la misma y de su empresa titular entre el público lector de los medios en que se realizó la publicación.

Más allá de cuestionar prácticas o decisiones de aquélla empresa, el objetivo de la nota fue exponer como hay prácticas de protección de datos personales que pueden obrar en detrimento de la marca y la empresa, en tanto que la adecuada implementación de un debido cumplimiento normativo en la materia es un plus que puede contribuir a mejorar esa imagen, reforzar la lealtad del consumidor y darle una mejor experiencia con el producto adquirido o el servicio contratado.

Ayer la columna de “Capitanes” del Diario Reforma publicó una nota en que refiere lo siguiente:

“Seguramente usted ya recibió una llamada de Telefónica México, empresa dirigida por Juan Abellán, donde le informan que si es cliente de prepago o tarjetas de recarga de cualquier compañía, la mejor opción es cambiarse con ellos.

Y eso no tiene nada de raro ahora que todos se promocionan por teléfono, pero usted debería cuestionarse quién les pasó su número de celular.

Si se anima a preguntarles, los del centro de atención de Telefónica le dirán que lo obtuvieron a través de la Comisión Federal de Telecomunicaciones (Cofetel), que preside Mony de Swaan.

El problema es que, hasta donde se sabe, la Cofetel no tiene números telefónicos de cada usuario y, de acuerdo con la Ley Federal de Datos Personales en Protección de los Particulares, no se pueden usar sus datos sin su autorización.

Juzgue usted.”

Efectivamente llama poderosamente la atención cómo es que cualquier empresa podría contar en el 2013 con la una base de datos así, considerando que hace un año que la Secretaría de Gobernación destruyó la base de datos del Registro de Usuarios de Telefonía Móvil que estuvo en operación entre 2010 2012, acción que fue supervisada por el propio IFAI, organismo garante de la protección a los datos personales en México.

También llama la atención que se le atribuya la proveeduría de los datos de usuarios de estos servicios a la COFETEL, pues aun asumiendo que el origen de los mismos hubiera sido el extinto RENAUT, éste estuvo a cargo de la Secretaría de Gobernación, no del regulador de telecomunicaciones.

Adicionalmente es de considerarse que entre las responsabilidades administrativas a cargo de los servidores públicos federales de este país se encuentra la del debido resguardo de la información a su cargo, y que la Ley Federal para la Transparencia y Acceso a la Información Pública Gubernamental prevé como confidenciales los datos personales contenidos en los sistemas de tratamiento de los sujetos obligados al cumplimiento de ésta última, por lo que la posibilidad de una filtración de dicha base de datos sería algo sumamente delicado.

Finalmente, y considerando la reacción a la nota igualmente difundida por aquél rotativo a principios de junio sobre la disponibilidad en el mercado negro de bases de datos de bancos e incluso del propio Registro Federal de Electores, cabría la pregunta sobre la postura de la autoridad ante la publicación de una nota como la que se cita, dado que el IFAI puede también actuar de oficio.

La conclusión en ambos casos es la misma: antes de decidir implementar una acción o medida es preciso considerar si más allá del beneficio económico ello realmente abonará a la imagen de la empresa o satisfacción del público y los clientes o consumidores, y hoy día es preciso incluir a la protección de datos personales entre los factores para esa toma de decisiones.

Capitanes REFORMA 18072013

El público en general podría tener opiniones fuertes sobre ciertas prácticas de algunas empresas farmacéuticas, y Genomma Labs no es la excepción. Llama poderosamente la atención que en noticieros aparezcan cápsulas en que una comunicadora “informa” al público de los “Peligros de la Desidia” y proporciona “información que cura” justo antes del anuncio del producto que debería prevenir aquello de lo que la comunicadora advierte, práctica que por un momento tuvo respuesta en la campaña “Dr. Televisión“.

Hoy día Genomma Labs difundió en la prensa el nombre de una consumidora con motivo de la acción que habría ejercido ante la Procuraduría General del Consumidor. En la prensa del día de hoy y en su página de internet Genomma Labs publicó un “comunicado” en el que hace lo que la propia PROFECO no hizo, y que ni ésta ni el laboratorio deberían hacer: exhibió a la Sra. Denisse Peralta Salazar con motivo de la queja que derivó en una multa de $2’000,000.00 por publicidad engañosa, y añadiendo insulto al daño le “agradecen su queja, puesto que son éste tipo de opiniones las que les permiten mejorar aún más su calidad”.

En la imagen de la inserción pagada de la nota se indica como responsable de la misma a Manuel Cruz García, pero dado que valdría la pena revisar esta situación también desde la perspectiva de la protección de datos personales se debe considerar que en el Aviso de Privacidad publicado por esa empresa el Responsable del Tratamiento de Datos Personales es Genomma Lab Internacional, S.A.B. de C.V.

Por principio, sería poco probable que Genomma Lab hubiera obtenido los datos personales de este Titular de manera personal o incluso directa, ya que no vende sus productos directamente al público, sino que los expende a través de diversos canales como supermercados, farmacias, y tiendas minoristas, quienes serían los primeros Responsables de los datos de la compradora que los hubiera adquirido.

Lo más probable es que Genomma Labs no haya tenido conocimiento de la identidad de la consumidora quejosa sino hasta que ésta ejerció, por los motivos que fueran, las acciones que tuvo expeditas conforme a la Ley Federal de Protección al Consumidor con fundamento en su artículo 32 y siguientes, así como 99 de dicho ordenamiento, toda vez que el último artículo referido requiere que el nombre del reclamante sea señalado en la queja escrita, electrónica, telefónica u oral que formule.

Ahora bien, al igual que los demás Sujetos Obligados a la observancia y cumplimiento de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, la PROFECO está obligada a mantener como información reservada la derivada de un procedimiento administrativo como éste, en tanto no hayan causado estado. Pero adicionalmente debió haber conservado los datos personales de la quejosa como confidenciales también con fundamento en esa Ley. De hecho los datos de tal naturaleza permancen como confidenciales aun cuando las resoluciones de estos procedimientos han causado estado, de forma tal que para dar a conocerlas  la autoridad suprime los datos pesonales del texto difundido.

La categorización más lógica del caso es que Genomma Labs habría obtenido los datos personales de la quejosa de manera indirecta; esto fue por el traslado de la queja que la PROFECO le entregó a fin de que se apersonara en el procedimiento. Eso naturalmente autorizaba a esa Responsable a tratar esos datos personales con motivo del procedimiento administrativo, pero no para otras finalidades.

Incluso cabría la duda sobre si la quejosa tuvo siquiera a la vista el aviso de privacidad de Genomma Labs. En términos del artículo 29, fracción I, del Reglamento de la LFPDPPP, cuando los datos personales sean obtenidos de manera indirecta del titular, el responsable deberá observar lo siguiente para la puesta a disposición del aviso de privacidad: “Cuando los datos personales sean tratados para una finalidad prevista en una transferencia consentida o se hayan obtenido de una fuente de acceso público, el aviso de privacidad se deberá dar a conocer en el primer contacto que se tenga con el titular.”

En el contexto del caso concreto, Genomma Labs habría obtenido los datos personales de la quejosa por una transferencia consentida: el traslado que PROFECO le corrió de la queja formulada por ésta última. Para estar en condiciones de proceder a publicarlo como ha hecho, debió haber puesto su aviso de privacidad a disposición de la Titular quejosa previo a la publicación del día de hoy en medios digitales y de la fecha que hubiera sido en su página de Internet.

Más aun, incluso ese aviso de privacidad (cuya conformidad con la LFPDPPP, su Reglamento y los Lineamientos del Aviso de Privacidad resultaría dudosa incluso tras una primera lectura) no prevé qué datos serán materia de tratamiento, ni prevé entre las finalidades del mismo la difusión pública de tales datos. Las finalidades listadas en él son:

  1. Seguimiento y evaluación de la prestación de bienes y/o servicios que nos son suministrados y contactar a los proveedores de dichos servicios;
  2. Cotización de bienes y/o servicios cuyo suministro solicitamos;
  3. Atención de dudas y sugerencias;
  4. Pago y cobro de contraprestaciones y facturación;
  5. Análisis y elaboración de estadísticas o reportes;
  6. Elaboración de contratos derivados de la relación comercial;
  7. Evaluación para determinar si será posible establecer una relación comercial; (viii) comercialización de productos de Genomma; y
  8. Dar cumplimiento a obligaciones contraídas con nuestros clientes.

Éste caso ejemplifica claramente algo que el IFAI ha planteado desde la entrada en vigor de la LFPDPPP; el marco legal de privacidad en México no debe ser visto como un obstáculo para los negocios, sino como un extra que ofrecerle al cliente, paciente o consumidor. Un cumplimiento normativo implementado adecuadamente genera confianza en el Responsable. Por el contrario, acciones como ésta generarían desconfianza entre los consumidores e impactarían negativamente sobre las marcas e imagen del Responsable.

photo(Genomma)

Aviso Privacidad Genomma Labs 17072013

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site