archivo

Archivo de la etiqueta: reforma

cctv3 - CopyPrevio a la promulgación de la Ley Federal de Telecomunicaciones, diversos medios publicaron múltiples comentarios sobre la afectación que los artículos 189 y 190 del proyecto de Decreto aprobado por el Congreso de la Unión suponen para la protección de datos consagrada en el artículo 16, párrafo segundo, de la Constitución Política de los Estados Unidos Mexicanos, sobre lo cual se comentó en este blog el 4 y 28 de julio de este año.

El tema se resume en que los artículos referidos obligan a los autorizadosy proveedores de servicios de aplicaciones y contenidos a atender todo mandamiento por escrito, fundado y motivado de la autoridad competente, referida de manera muy genérica como “instancias de seguridad y procuración de justicia”, cuyos titulares podrán designar, mediante acuerdos publicados en el Diario Oficial de la Federación, a los servidores públicos encargados de gestionar tales requerimientos que se realicen y recibir la información correspondiente a la localización geográfica, en tiempo real, de los equipos de comunicación móvil, so pena de sanción de la autoridad por desacato.

Hoy día el Reforma reporta que la Unidad de Inteligencia Financiera de la Secretaría de Hacienda y Crédito Público presentó a la Comisión Federal de Mejora Regulatoria el proyecto de Acuerdo por el que el Titular de esa Unidad designa a los Servidores Públicos que se mencionan en el mismo, para efecto de lo dispuesto en el citado artículo 189 de la #LeyTelecomm, designando como tales a los titulares de la propia Unidad de Inteligencia Financiera, y a su Dirección General de Procesos Legales.

El encabezado de prensa pareciera ser sensacionalista y amedrentar a muchos: “Rastreará SHCP a evasores por celular“. Al respecto hay que considerar si las facultades de la UIF atañen a la seguridad y procuración de justicia; naturalmente dicha Unidad lo estima así, y por ello motiva el proyecto presentado a COFEMER indicando que el artículo 15 del Reglamento Interior de la SHCP le otorga competencia para denunciar ante el Ministerio Público Federal las conductas que pudieran favorecer, prestar ayuda, auxilio o cooperación de cualquier especie para la comisión de esos delitos (art. 15, fracción XIII), por lo que se ajustaría al extremo previsto en el citado artículo 189 de la Ley Federal de Telecomunicaciones y Radiodifusión.

Al respecto debe considerarse que los tipos penales referidos en la norma del Reglamento Interior que se cita, comúnmente conocidos como “lavado de dinero”, son esencialmente accesorios; es decir, aunque son penados en sí mismos aunque sirven como medio para la comisión de otros actos previstos como delito por los artículos 139 Quáter y 400 Bis del Código Penal Federal, y de la lectura del proyecto de Acuerdo se podría interpretar que la intención del Titular de la UIF sería acotar su ejercicio de la facultad prevista en el referido artículo 189 a su actuación respecto de los mismos. Adicionalmente, la fracción XI del citado artículo del Reglamento Interior la faculta también para “coordinarse con las autoridades fiscales para la práctica de los actos de fiscalización que resulten necesarios con motivo del ejercicio de las facultades conferidas conforme al citado artículo; por lo tanto, el rastreo mediante geolocalización en tiempo real de dispositivos de telecomunicación móvil debería darse solamente en los casos en que la “evasión fiscal” hubiera sido una de las conductas punibles de las que se hubieran obtenido los recursos con los que se hubieran realizado las operaciones investigadas hubieran derivado de alguna de las conductas previstas en el artículo 400 Bis del Código Penal Federal hubieran sido producto de la comisión de alguna de las conductas previstas en los artículos 108 a 111 del Código Fiscal de la Federación.

En los meses siguientes se verá, sin duda, a muchas otras autoridades administrativas presentar ante la COFEMER sus respectivos proyectos de Acuerdo para los mismos efectos. Posiblemente ello contribuya para paliar, en la práctica y de manera fáctica, la falta de claridad y ambigüedad del multicitado artículo 189 de la Ley Federal de Telecomunicaciones y Radiodifusión, aunque no debiera ser el caso.

Por otra parte, en breve se verá si el IFAI, en su nueva integración, resuelve afianzar su papel de garanta del acceso a la información pública y protección de datos personales, pues su pleno resolverá en su sesión del día de hoy sobre el ejercicio de la acción de inconstitucional que le fue conferido por virtud de la reciente reforma constitucional publicada en el Diario Oficial de la Federación el 7 de febrero del año en curso. La discusión se escucha reñida, y sin lugar a dudas los votos de sus Comisionados aportarán indicaciones sobre sus criterios y lo que podría esperarse de su actuación en esos puestos y de la del Instituto mismo.

 

 

 

 

Nota Reforma 19-01-14Una nota publicada el día de ayer en la primera plana de la sección “Nacional” del diario “REFORMA” intitulada “Usa el IFE Datos sin Autorización”, en la que se refiere que el Instituto Federal Electoral habría hecho uso de los datos de Mabel Ivonne Castañaers Leyva en la presentación a los medios en diciembre pasado del nuevo diseño de la credencial para votar con fotografía elaborada por Giesecke y Devrient, superponiendo la fotografía de quien sería empleada de ésta última a la credencial emitida por dicho Instituto a favor de la antedicha ciudadana da oportunidad para comentar sobre la dicotomía que existe en la regulación de la protección de datos personales en posesión de las entidades del sector público y las del sector privado.

En tanto que la nota de referencia cita los artículos 9 y 12 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la “LFPDPPP”),

  1. Debería haber citado la Ley Federal para la Transparencia y Acceso a la Información Pública Gubernamental (la “LFTAIPG”), y
  2. Tratándose del Principio del Consentimiento en aquélla debería haber citado el artículo 8, que contiene las reglas generales del consentimiento para el Tratamiento de Datos Personales, toda vez que la credencial para votar no contiene datos personales que la LFPDPPP considere sensibles.

Esto último debido a que de acuerdo con su artículo 3, fracción VI, son considerados como sensibles “aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual”. Si esa mica contuviera datos como grupo y RH sanguíne que, por ejemplo, son visibles en las licencias de conducir de los EE.UU.A., para el caso de una emergencia por un siniestro de tránsito, la referencia al artículo 9 de la LFPDPPP hubiera sido correcta, pero no es el caso; la referencia tendría que haber sido a su artículo 8, que contiene las reglas generales del consentimiento para los datos personales que no son considerados como sensibles.

Pero el aspecto más fundamental respecto de la materia de la nota deriva de la referencia a la LFPDPPP, cuando debería haber sido hecha a la LFTAIPG. Ello debido a que de acuerdo con el artículo 2 de la primera Ley referida, son sujetos regulados por aquélla Ley, los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, en tanto que de acuerdo con la fracción V del artículo 41 de la Constitución Política de los Estados Unidos Mexicanos, “la organización de las elecciones federales es una función estatal que se realiza a través de un organismo público autónomo denominado Instituto Federal Electoral, dotado de personaldiad jurídica y patrimonio propios”, y que el artículo 106(1) del Código Federal de Instituciones y Procedimientos Electorales, “el Instituto Federal Electoral es un organismo público autónomo, de carácter permanente, independiente en sus decisiones y funcionamiento, con personalidad jurídica y patrimonio propios”.
De un simple silogismo formado con lo anterior podemos concluir que la LFPDPPP no es aplicable al IFE:
  1. PREMISA MAYOR: La LFPDPPP es aplicable a los particulares o personas de carácter privado.
  2. PREMISA MENOR: El IFE no es un particular ni de carácter privado.
  3. CONCLUSIÓN:        La LFPDPPP no le resulta aplicable al IFE.
El estatuto que debió haber sido consultado al respecto es la LFTAIPG, toda vez que de acuerdo con su artículo 1, ésta “…tiene como finalidad proveer lo necesario para garantizar el acceso de toda persona a la información en posesión de los Poderes de la Unión, los órganos constitucionales autónomos o con autonomía legal, y cualquier otra entidad federal”, incluyéndose entre los objetivos de dicha Ley dispuestos en su artículo 4, fracción III, “garantizar la protección de los datos personales en posesión de los sujetos obligados”, estos últimos definidos como en la fracción XIV de su artículo 3 de manera tal que incluye a los “órganos constitucionales autónomos”.
Para tales efectos y otros como los que son materia de la nota a que se ha hecho referencia, el Capítulo IV de la LFTAIPG versa sobre “La Protección de Datos Personales”, y la disposición citada con relación al caso planteado debería haber sido su artículo 21, de acuerdo con el cual “los sujetos obligados no podrán difundir, distribuir o comercializar los datos personales contenidos en los sistemas de información, desarrollados en el ejercicio de sus funciones, salvo que haya mediado el consentimiento expreso, por escrito o por un medio de autenticación similar, de los individuos a que haga referencia la información”.
Además es importante señalar que el Aviso de Privacidad previsto en la LFPDPPP no resulta aplicable para el Tratamiento de Datos Personales en posesión de instituciones del sector público; en ese caso lo que el Sujeto Obligado debe poner a disposición de los individuos un documento en que establezca los propósitos del Tratamiento de sus Datos Personales a partir del momento en el cual los recabe, de acuerdo con los Lineamientos establecidos por su propio Comité de Información. El Reglamento del IFE en materia de Transparencia y Acceso a la Información Pública Gubernamental puede ser consultado en el siguiente enlace: http://bit.ly/1dH0lRh.
Finalmente, conviene mencionar que, de acuerdo con el artículo 18, fracción II, de la LFTAIPG, se considerará como información confidencial a “los datos personales que requieran el  consentimiento de los individuos para su difusión, distribución o comercialización” en los términos de esa Ley, salvo que “…se halle en los registros públicos o en fuentes de acceso público”, excepción que no se surte en el caso reportado por REFORMA, toda vez que conforme al artículo 171(3) del Código Federal Instituciones y Procedimientos Electorales, “los documentos, datos e informes que los ciudadanos proporcionen al Registro Federal de Electores, en cumplimiento de las obligaciones que les impone la Constitución y este Código, serán estrictamente confidenciales y no podrán comunicarse o darse a conocer, salvo cuando se trate de juicios, recursos o procedimientos en que el Instituto Federal Electoral fuese parte, para cumplir con las obligaciones previstas por este Código en materia electoral y por la Ley General de Población en lo referente al Registro Nacional Ciudadano o por mandato de juez competente”.
Nota Reforma 20-01-14photo-3

En alcance a las 2 entradas inmediatas anteriores en este blog corresponde actualizar que en palabras del Srio. de Protección de Datos del IFAI, el Dr. Alfonso Oñate Laborde, citado por Reforma, “La responsabilidad pudiera recaer en diversas personas, pero pensamos que en un primer momento puede ser en el IFE porque todo apunta a que sea el padrón electoral la base de datos madre, sin embargo, es preciso que tengamos en mente que el padrón electoral, por disposiciones de la propia regulación electoral, se pone a disposición de los partidos políticos“.

Lo anterior reforzaría el punto hecho por un servidor en la entrada intitulada ¿Y la Protección de Datos, apá?, (jugando con el meme del comercial de la Chevrolet Cheyenne): las fallas de otros no justifican las propias, de manera que el sector privado debe cumplir con la Ley Federal de Protección de Datos Personales no obstante las filtraciones que pudieran provenir del sector público. Más aun, la debida implementación de medidas de trazabilidad que requiere la fracción X del artículo 48 de su Reglamento para la observancia del Principio de Responsabilidad permitirían deslindar responsabilidades y esclarecer casos como este.

Además el caso podría ser una ocasión propicia para que se revise la cantidad de datos personales contenida en esa identificación que se ha hecho indispensable en cualquier trámite en México. Ya antes se ha postulado la eliminación del dato del domicilio indicado en esas credenciales, pero posteriormente se abrió la posibilidad a que se indicara en ellas, a petición del ciudadano, su tipo sanguineo (útil ante una emergencia) y si es o no donador de órganos.

¿En cuántas recepciones de edificios o ventanillas bancarias se pueden ver exhibidas cotidianamente credenciales de elector de personas que las han dejado olvidadas, quedando sus datos personales expuestos?

 

 

En alcance a la nota inmediata anterior, debe mencionarse que el IFAI no sólo está actuandocomo autoridad de protección de datos personales a petición de parte, sancionando a los Responsables infractores de la Ley Federal de Protección de Datos en Posesión de los Particulares y su Reglamento, sino que también lo ha hecho y hace de oficio, confor.

Desde el caso reportado en el mes de junio por el diario Reforma (ver nota del 4 de junio del 2013) dicho Instituto ha ejercido de oficio las facultades que le confieren las fracciones I, VI y VII del artículo 39 de dicho ordenamiento, así como el 39 del mismo, y en el que figuró en primera plana de dicho rotativo el día de hoy ya ha iniciado un expediente de verificación y formulado una denuncia ante la Procuraduría General de la República, lo cual también fue dado a conocer al público mediante un comunicado en su página de Internet. Ahora bien, no debería dejar de considerarse la actuación del propio Instituto también podría llevarse a cabo con fundamento en artículo 37, fracción V, de la Ley Federal para la Transparencia y Acceso a la Información Pública Gubernamental, si la información presuntamente difundida de manera ilegal por el sitio buscardatos.com hubiera provenido de instituciones del sector público, en cuyo caso además debería tener intervención la Secretaría de la Función Pública.

Ayer redacté una nota sobre la, para mi profesional opinión, mala decisión que tomó Genomma Labs al publicar el nombre de una consumidora de uno de sus productos en medios impresos e Internet (al menos), con relación a la queja formulada por dicha persona respecto de la publicidad de un shampoo de su marca “Tío Nacho”.

Website Genomma Lab Tío Nacho PROFECO

Podría ser interesante saber si dicha acción sirvió para mejorar la experiencia de la consumidora quejosa o reforzar la lealtad para con esa marca, y el beneficio que podría haber tenido respecto de la percepción de la misma y de su empresa titular entre el público lector de los medios en que se realizó la publicación.

Más allá de cuestionar prácticas o decisiones de aquélla empresa, el objetivo de la nota fue exponer como hay prácticas de protección de datos personales que pueden obrar en detrimento de la marca y la empresa, en tanto que la adecuada implementación de un debido cumplimiento normativo en la materia es un plus que puede contribuir a mejorar esa imagen, reforzar la lealtad del consumidor y darle una mejor experiencia con el producto adquirido o el servicio contratado.

Ayer la columna de “Capitanes” del Diario Reforma publicó una nota en que refiere lo siguiente:

“Seguramente usted ya recibió una llamada de Telefónica México, empresa dirigida por Juan Abellán, donde le informan que si es cliente de prepago o tarjetas de recarga de cualquier compañía, la mejor opción es cambiarse con ellos.

Y eso no tiene nada de raro ahora que todos se promocionan por teléfono, pero usted debería cuestionarse quién les pasó su número de celular.

Si se anima a preguntarles, los del centro de atención de Telefónica le dirán que lo obtuvieron a través de la Comisión Federal de Telecomunicaciones (Cofetel), que preside Mony de Swaan.

El problema es que, hasta donde se sabe, la Cofetel no tiene números telefónicos de cada usuario y, de acuerdo con la Ley Federal de Datos Personales en Protección de los Particulares, no se pueden usar sus datos sin su autorización.

Juzgue usted.”

Efectivamente llama poderosamente la atención cómo es que cualquier empresa podría contar en el 2013 con la una base de datos así, considerando que hace un año que la Secretaría de Gobernación destruyó la base de datos del Registro de Usuarios de Telefonía Móvil que estuvo en operación entre 2010 2012, acción que fue supervisada por el propio IFAI, organismo garante de la protección a los datos personales en México.

También llama la atención que se le atribuya la proveeduría de los datos de usuarios de estos servicios a la COFETEL, pues aun asumiendo que el origen de los mismos hubiera sido el extinto RENAUT, éste estuvo a cargo de la Secretaría de Gobernación, no del regulador de telecomunicaciones.

Adicionalmente es de considerarse que entre las responsabilidades administrativas a cargo de los servidores públicos federales de este país se encuentra la del debido resguardo de la información a su cargo, y que la Ley Federal para la Transparencia y Acceso a la Información Pública Gubernamental prevé como confidenciales los datos personales contenidos en los sistemas de tratamiento de los sujetos obligados al cumplimiento de ésta última, por lo que la posibilidad de una filtración de dicha base de datos sería algo sumamente delicado.

Finalmente, y considerando la reacción a la nota igualmente difundida por aquél rotativo a principios de junio sobre la disponibilidad en el mercado negro de bases de datos de bancos e incluso del propio Registro Federal de Electores, cabría la pregunta sobre la postura de la autoridad ante la publicación de una nota como la que se cita, dado que el IFAI puede también actuar de oficio.

La conclusión en ambos casos es la misma: antes de decidir implementar una acción o medida es preciso considerar si más allá del beneficio económico ello realmente abonará a la imagen de la empresa o satisfacción del público y los clientes o consumidores, y hoy día es preciso incluir a la protección de datos personales entre los factores para esa toma de decisiones.

Capitanes REFORMA 18072013

El pasado lunes la CONDUSEF emitió ciertas “recomendaciones” para las para las instituciones de crédito (recordemos que estas se subdividen en “banca múltiple”, “banca de nicho” y “sociedades nacionales de crédito”) en materia de protección de datos personales, mismas que se limitan a lo siguiente:

  1. En caso de que las instituciones tengan conocimiento de que los datos personales de alguno de sus clientes se hayan hecho públicos de forma indebida, deberá de informarle y proceder al cambio de su número de cuenta.
  2. Revisar permanentemente las medidas de seguridad de sus sistemas y procesos de manejo de la información, a fin de garantizar la protección de los datos personales de los usuarios.
  3. Verificar que los terceros con los cuales comparten sus bases de datos para fines de mercadotecnia, o cualquier otra actividad relacionada con su operación, se hagan responsables del correcto manejo y reserva de la información en ellas contenida.
  4. En su caso, iniciar las acciones legales procedentes.

La emisión de las recomendaciones citadas no es realmente de mayor utilidad, por lo obvio y limitado de su contenido, pero tampoco es gratuita; se inscribe entre las consecuencias de la nota publicada por el diario Reforma el pasado 3 de junio de 2013, describiendo la disponibilidad en el mercado negro de bases de datos que presuntamente contienen el Padrón Electoral a cargo del IFE, así como la Informacion Sensible de Usuarios de instituciones de crédito como Banamex y American Express. Más aun, el propio Banamex fue el reciente blanco de la segunda multa impuesta por el IFAI con motivo de la violación de las disposiciones de la Ley Federal de Protección de Datos Personales (LFPDPPP) y su Reglamento (RLFPDPPP).

 
En seguimiento a ello y a otras notas que siguieron el suscrito expuso al Reforma que conforme al artículo 20 de la LFPDPPP las vulneraciones de seguridad que afecten de forma significativa los derechos patrimoniales o morales de los Titulares deben ser informadas de inmeidato a estos por el Responsable del tratamiento de los datos de que se trate, a fin de que estos puedan tomar las medidas correspondientes a la defensa de sus derechos.
 
 
El Reglamento de la citada Ley puntualiza que tal notificación debe realizarse: (i) en cuanto el Responsable confirme que ocurrió la vulneración y (ii) haya tomado medidas para llevar a cabo una revisión exhaustiva de la afectación, para que los Titulares puedan tomar las medidas correspondientes. Tales medidas deben incluir un análisis de las causas de la vulneración y la implementación de acciones correctivas, preventivas y de mejora de las medidas de seguridad físicas, administrativas y técnicas, según sea el caso, relacionadas en el documento relativo a ellas que todo Responsable tiene obligación de llevar.
 
 
La notificación que reciban los Titulares debería indicarles: (i) naturaleza del incidente; (ii) datos personales comprometidos; (iii) recomendaciones que el Titular pueda adoptar para proteger sus intereses; (iv) acciones correctivas realizadas de forma inmediata y, (v) medios por los que pueda obtener mayor información al respecto. Lo anterior responde a un cambio que necesariamente debe operarse en materia de protección de datos personales en México; el Titular de los datos comprometidos por la vulneración debe reaccionar de manera proactiva ante una notificación de tal naturaleza y adoptar las acciones recomendadas por el Responsable, o bien aquéllas que él mismo considere prudentes.
 
 
Ahora bien, en el particular caso de las instituciones de crédito la “Circular Única de Bancos” emitida por la CNBV prevé que aquéllas que se valgan de medios electrónicos para celebrar operaciones y prestar serviciós deben implementar medidas de seguridad en la transmisión, almacenamiento y procesamiento llevado a cabo a través de dichos canales, para evitar que caiga en manos de terceros; tales medidas incluyen el cifrado y/o truncamiento de información, restricciones a los medios para su transmisión.
 
 
Dicha regulación obliga además a tales instituciones a tener controles para el acceso a bases de datos de operaciones y servicios realizados a través de medios electrónicos, mismo que sólo debe ser concedido a personas expresamente autorizadas con motivo de sus funciones, de lo cual deberá dejarse constancia que indique el período al que se limite el acceso, además de procedimientos seguros para la destrucción de medios de almacenamiento de las bases de datos que contenga información sensible de los usuarios.
 
 
Conviene destacar que la definición de “Información Sensible” en la Circular Única de Bancos no corresponde con la de Datos Personales Sensibles en la LFPDPPP, puesto que aquélla es más amplia que ésta última. En materia bancaria se considera Información Sensible del Usuario a su nombre, domicilio, teléfono o correo electrónico en conjunto con los números de sus tarjetas bancarias, números de cuenta, límites de crédito, saldos, indentificadores de usuario o información de autenticación, mientras que la referida ley considera como datos personales sensibles a los que atañen a la esfera íntima del Titular, o se prestarían a someterlo a discriminación.
 
 
De manera paralela a las acciones que la Ley Federal de Protección de Datos Personales obiga a todos los Responsables a tomar ante una vulneración, la Circular Única de Bancos requiere que las instituciones que supongan o sospechen de un incidente que involucre acceso no autorizado a la Información Sensible del Usuario deben (i) enviar, dentro de los 5 días naturales del incidente y por escrito a la Dirección General de la CNBV que los supervise determinada información, y llevar a cabo una invetigación para determinar si la información ha sido o pudo haber sido mal utilizada, notificando tal situación a los propios usuarios dentro de los 3 días hábiles siguientes para prevenirles de los reisgos derivados del mal uso de su información extraída, extraviada o comprometida, así como de las medidas que deban tomar.
 
 
Adicionalmente la Circular Única de Bancos contiene disposiciones que norman la contratación con terceros de servicios o comisiones para realizar procesos operativos o de administración de bases de datos y sistemas informáticos; tal contratación requiere de un aviso del Director General del banco a la CNBV indicando, entre otras cosas, las medidas a ser implementadas respecto de la vulnerabilidad de la información relativa a los clientes.
 
 
En conclusión, el caso reportado por Reforma seguramente no sólo será materia de investigación por el IFAI, el IFE y las instituciones de procuración de justicia, sino también por el regulador bancario.
Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site