archivo

Archivo de la etiqueta: Secretaría de Economía

QRO - CopyComo parte de los esfuerzos por difundir el valor y la importancia de los Esquemas de Autorregulación Vinculante previstos en los artículos 43, fracción V, y 44 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, así como en el artículo 47 y en el Capítulo VI de su Reglamento, cuyos Parámetros fueron publicados en el Diario Oficial de la Federación el 29 de mayo del presente año, la Secretaría de Economía ha llevado a cabo, junto con el Instituto Federal de Acceso a la Información Pública y Protección de Datos y Normalización y Certificación Electrónica, S.C., han llevado a cabo presentaciones en el Distrito Federal, Tijuana, Puebla, Mérida, y recientemente Guadalajara.

Este miércoles 26 de noviembre se llevará a cabo en las instalaciones de la Cámara Nacional de Comercio en la Ciudad de Querétaro otra presentación sobre la materia en general y los aspectos relevantes y ventajas de los esquemas de autorregulación en materia de protección de datos, en la que estaremos presentes junto con:

  • Lic. Damaris Moreno, Líder del Componente Legal de PROSOFT de la Secretaría de Economía.
  • Mtra. María Adriana Báez Ricárdez – Directora General de Autorregulación en el IFAI.
  • Ing. Pablo Corona, Gerente de Certificación de Tecnologías de la Información en NYCE

El registro de participantes e información adicional sobre dichas presentaciones está disponible en http://nyce.org.mx/protecciondedatos/

prosoft3NYCEPDPBannerMicrositioPDP1A

La materia de protección de datos personales tiene más de 40 años de vigencia en Europa, e incluso los EE.UU.A. comenzaron a regularla y legislarla mucho antes que México, donde aún es novedosa y prevalece un gran desconocimiento al respecto tanto entre los Responsables del Tratamiento de Datos Personales, sus Encargados, Terceros con los que tienen relación, pero además inclusive entre los profesionales del derecho que están llamados a asesorarlos para el debido cumplimiento de sus obligaciones al respecto.

En un país como el nuestro, donde la colegiación no es obligatoria, ello supone un obstáculo adicional para que dichos Responsables y Encargados accedan a servicios de la calidad y nivel necesarios para contar con la debida asesoría en la implementación del cumplimiento normativo con el que deben contar. Además es preciso considerar que el ámbito personal de aplicación de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares es tan amplio, que abarca no sólo a las grandes empresas que dan Tratamiento a grandes volúmenes de Datos Personales, incluso de carácter personal y patrimonial, sino también a micro y pequeñas empresas que difícilmente podrían sufragar los honorarios de una asesoría externa.

Una solución práctica que existe para ambos dilemas radica en los esquemas de certificación, tanto de profesionales implementados por instituciones privadas, como de los esquemas de que la Secretaría de Economía se ha dado la tarea de promover luego de la publicación en el Diario Oficial de la Federación de la segunda versión de los Parámetros de Autorregulación en Materia de Protección de Datos Personales.

La certificación de profesionales existe en otras jurisdicciones desde hace varios años. La International Association of Privacy Professionals (IAPP)  ofrece cursos y exámenes para obtener la certificación como profesional en información y privacidad tanto en materia jurídica como de operaciones y tecnología en los regímenes europeo, estadounidense y canadiense. Sin embargo, aunque esperamos que pronto extienda también tal certificación tratándose del régimen jurídico mexicano, Normalización y Certificación Electrónica, S.C., es la primera organización en México que ofrece un curso de capacitación en materia de protección de datos personales, en adición al cual un examen y la resolución de un caso práctico permiten obtener la Certificación como Profesional en Protección de Datos Personales en niveles básico, Junior y Senior.

Por su parte, los Parámetros de Autorregulación expedidos por la Secretaría de Economía ofrecen importantes ventajas para los Responsables y Encargados: el más obvio es que por disposición del artículo 81 del Reglamento de la LFPDPPP, cuando un responsable adopte y cumpla un esquema de autorregulación, dicha circunstancia será tomada en consideración para determinar la atenuación de la sanción que correspondiera, en caso de no obstante haber cumplido con dicho esquema de autorregulación tuviera lugar alguna infracción a la normatividad en materia de protección de datos personales, sin perjuicio de que el IFAI determine otros incentivos para la adopción de dichos esquemas de autorregulación.

Además su desarrollo permitirá a los Responsables que se adhieran a tales esquemas armonizar el cumplimiento normativo al que están obligados en materia de protección de datos personales con el de las disposiciones de otras materias que también deban observar, lo cual no se ha llevado a cabo a la fecha aunque ya debería haber sido hecho por las diversas autoridades administrativas en cuyas materias se lleva a cabo el Tratamiento de Datos Personales, pues el artículo 40 de la Ley dispone que la misma es un marco normativo que esas dependencias deberán observar, en el ámbito de sus propias atribuciones, para la emisión de la regulación que corresponda. Como ejemplo de estas omisiones regulatorias se pueden destacar 3 ejemplos:

  1. En materia de propiedad intelectual, mercadotecnia y publicidad no es absolutamente claro si para el uso de la imagen de una persona debe atenderse aun al artículo 87 de la Ley Federal del Derecho de Autor o a la LFPDPPP;
  2. Tratándose de servicios de salud, la Ley General de Salud, sus Reglamentos y diversas Normas Oficiales Mexicanas obligan al prestador de tales servicios a obtener el consentimiento informado de sus pacientes, sin que se haya dispuesto si su consentimiento expreso respecto del aviso de privacidad debiera ser obtenido en paralelo, o si conforme a los artículos 10, fracción IV, de la LFPDPPP y 17 de su Reglamento tal consentimiento informado dispensa la expresión del mismo en el Aviso de Privacidad, y
  3. Los oferentes de productos y servicios crediticios están obligados, conforme a la Ley para la Transparencia y Ordenamiento de los Servicios Financieros, así como a las Disposiciones de la PROFECO y/o CONDUSEF en esa materia a adjuntar a sus contratos una carátula que prevea la autorización del cliente para que se haga uso de sus datos personales para fines de mercadotecnia y publicidad, lo cual es también un elemento requerido en el Aviso de Privacidad conforme al Reglamento y los Lineamientos igualmente expedidos por la Secretaría de Economía.

Toda vez que los esquemas de autorregulación vinculante se basan en códigos, buenas prácticas profesionales, políticas de privacidad, reglas de privacidad corporativas, lineamientos, etc., aplicables a sus adherentes, estos no necesitarían desarrollar de la nada el total de su cumplimiento normativo, sino que contarían ya con bases y guías a seguir para ello, lo cual podría abatir en alguna medida el costo de la asesoría e implementación, beneficiando particularmente a las micro y pequeñas empresas que se adhieran a tales esquemas.

Retomando lo escrito al inicio de esta entrada, y como fue dicho por en el XXI Encuentro Iberoamericano de Protección de Datos Personales, celebrado en las instalaciones del IFAI la semana pasada, así como en el foro de Knowledgenet de la IAPP este miércoles, México empezó tarde con la regulación de la protección de datos personales, lo cual ofrece la ventaja de poder abrevar de la experiencia de otras jurisdicciones y evitar sus errores. En el marco de la certificación de esquemas de autorregulación, el caso de TRUSTe es ejemplo de aquello con lo que deberá tenerse cuidado en la experiencia mexicana en materia de autorregulación.

 

trustee-privacy-policy

TRUSTe es una empresa estadounidense que ofrece servicios de sistemas para la protección de datos personales y audita a empresas de aquél país dedicadas al comercio electrónico respecto de su cumplimiento normativo en materia de privacidad/protección de datos personales, y extiende a aquéllas que cumplen con el marco normativo que deben observar (COPPA, Reglas APEC, Convenio USA-EU de Puerto Seguro, etc.) un “sello de confianza” a aquéllas que han satisfecho su auditoría de cumplimiento. Su marca ha sido ampliamente reconocida por más de una década en el comercio electrónico de aquél país.

Sin embargo ésta misma semana la prensa estadounidense dio cuenta del acuerdo por US$200,00.00 al que dicha empresa llegó con la Federal Trade Commission de aquél país con motivo irregularidades que fueron detectadas tanto en su programa de re-certificación como en su imagen pública. En materia de re-certificación, se concluyó que entre 2006 y 2013 TRUSTe había omitido realizar auditorías anuales a unas 1,000 de las empresas que certifica, a pesar de que afirmaba que lo había hecho, a lo cual TRUSTe respondió que ello sólo había ocurrido en menos del 10% de los casos, únicamente respecto de sus clientes con contratos multi-anuales que eran certicados cada tercer año. Tratándose de su imagen pública, el hallazgo fue que en tanto que la empresa inició en 1997 como una organización sin fines de lucro, en 2008 se convirtió en una empresa lucrativa, lo cual fue considerado como publicidad engañosa.

El caso es una gran lección para México antes incluso de iniciar el desarrollo y registro de esquemas de autorregulación, pues el trabajo de protección de datos personales se basa esencialmente en la confianza, de manera que los verificadores, certificadores y auditores en la materia deben ser probos y transparentes en sus labores, a fin de ser merecedores de la confianza que las certificaciones y sellos que extiendan participen de la misma en beneficio de quienes las reciban.

El año pasado se abrió un periodo para el registro ante el IFAI de esquemas de autorregulación vinculante, sin que haya habido (hasta donde tengo conocimiento) una sola solicitud al respecto. Conforme a los artículos Transitorios de la publicación de los Parámetros comentados al inicio de esta nota la “segunda etapa” para el desarrollo de esos esquemas de autorregulación iniciará en marzo del 2015; es una oportunidad que las Asociaciones, Cámaras y demás agrupaciones gremiales no deberían dejar pasar, para que sus afiliados, miembros o agremiados den cumplimiento de una manera asequible y eficiente a las obligaciones que la Constitución, LFPDPPP, su Reglamento y Lineamientos del Aviso de Privacidad les imponen.

Como expresó el pasado miércoles José Luis Rodríguez Álvarez, Director de la Agencia Española de Protección de Datos Personales, “La privacidad es una condición necesaria para el desarrollo económico, porque sin ella no hay confianza, y sin confianza no hay modelo de negocios viable”.

El comunicado de TRUSTe sobre su acuerdo con la FTC puede ser visto aquí: http://www.truste.com/blog/2014/11/17/truste-ftc/

Chris Babel, CEO

At TRUSTe we take very seriously the role we play in the privacy ecosystem and our commitment to supporting our customers. And if we fall short, we admit it, we address the issue, and we move forward.

Today, an agreement was announced with the Federal Trade Commission (FTC) settling a complaint about two of our prior business processes. The FTC did not find any issues with TRUSTe’s privacy practices, but there were two processes that needed to be fixed – and we have addressed both.

The first item is that we did not ensure all certified websites removed a reference to TRUSTe as a non-profit entity in their privacy policies after we transitioned to a for-profit enterprise in 2008. The second is that we did not complete the annual review step of certification from 2006 until January 2013 for clients who had signed up for multi-year agreements. This represents less than 10% of the total number of annual reviews we were scheduled to conduct during that time.

Multi-year clients that did not undergo the annual review step of their certification were reviewed when their agreements were up for renewal. Because over 90% of multi-year clients signed two-year contracts, the vast majority were reviewed every other year. Additionally, all clients continued to receive all other services included in their TRUSTe certification – including our privacy advisory services, guidance on any proposed changes to their privacy procedures, and dispute resolution service so any potential consumer complaints regarding their privacy policy or practices were fully investigated.

We have taken swift action to address the process issues covered by the agreement. In late 2013, we started requiring the non-profit reference to be removed from all active client websites as a condition of re-certification. We also identified and fixed the process for annual reviews in January 2013, and implemented new controls to ensure that every client receives the annual review step of their certification. We regret that, in these two cases, our processes did not live up to our own standards.

I am proud of the dedicated TRUSTe team that continues to work hard to develop new technology, products and services to keep pace with the rapid evolution in privacy laws, regulations and practices. We are delivering products and services to a growing customer base around the globe. The role we play today and going forward has never been more important for our clients and the customers they serve. In the weeks and months ahead, I look forward to focusing our energies on helping businesses address these rapidly evolving data privacy management challenges.

Thank you.

Cookie MonsterEl escalonamiento con el que la regulación mexicana en materia de protección de datos personales ha sido emitida ha supuesto para los Responsables del Tratamiento de Datos Personales la necesidad de hacer trabajo adicional para implementar su cumplimiento normativo  correctamente.

Desde el 5 de julio de 2010, fecha en que fue promulgada la Ley Federal de Protección de Datos Personales, y hasta el 21 de diciembre del 2011, mucho después de transcurrido el plazo de un año previsto en el Artículo Tercero Transitorio de esa Ley para que dichos Responsables expidieran sus Avisos de Privaciad, hasta que tras un largo periodo de comentarios públicos en la Comisión Federal de Mejora Regulatoria, fue expedido el Reglamento correspondiente, todos los requisitos para esos Avisos de Privacidad que posteriormente fueron denominados como Integral y Simplificado estaban contenidos en los artículos 8, 15, 16, 36 y 37 de la Ley.

Esos requisitos se limitaban a:

  1. Identidad y domicilio del Responsable;
  2. Información que se recaba de los Titulares de los Datos Personales tratados;
  3. Finalidades del tratamiento de datos;
  4. Ppciones y medios para que los Titulares limiten el uso o divulgación de sus Datos Personales;
  5. Medios para ejercer los Derechos ARCO;
  6. Las Transferencias de datos que se efectúen;
  7. El procedimiento y medio por el cual el Responsable comunicará a los Titulares los cambios al Aviso de Privacidad, y
  8. Consentimiento, ya sea tácito o expreso.

…y fueron incrementados por el citado Reglamento, por ejemplo con la obligación prevista en su Artículo 112, por virtud del cual aquellos Responsables que lleven a cabo el Tratamiento de Datos Personales en procesos de toma de decisiones sin que intervenga la valoración de una persona física deben hacerlo explícito entre la Finalidades de dicho Tratamiento, al igual que el requisito derivado del último párrafo del Artículo 14 del citado Reglamento, de acuerdo con el cual cuando el Responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento se deberá informar al titular sobre el uso de esas tecnologías, que a través de las mismas se obtienen datos personales y la forma en que se podrán deshabilitar..

Lo anterior fue clarificado a través de los Lineamientos para el contenido y alcances de los Avisos de Privacidad, emitidos por la Secretaría de Economía con fundamento en el artículo 43, fracción III, de la Ley, el cual la facultó para coadyuvar con el IFAI en la emisión de los mismos, cuyo Lineamiento Trigésimo Primero requiere que cuando el Responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento deberá informar al titular, a través de una comunicación o advertencia colocada en un lugar visible, sobre el uso de esas tecnologías y sobre el hecho de que a través de las mismas se obtienen datos personales, así como la forma en que se podrán deshabilitar, salvo que dichas tecnologías sean necesarias por motivos técnicos, obligando asimismo a incluir en el Aviso de Privacidad la información requerida por el Reglamento de la Ley y la de los propios Lineamientos, entre ella, los datos personales que se recaban y las finalidades del tratamiento.

Una de las maneras más obvias para darse cuenta de que un Responsable ha mantenido en uso un Aviso de Privacidad Integral en medios remotos, como una página de Internet, desde la promulgación de la LFPDPPP o el vencimiento del plazo para implementar ese medio de cumplimiento con el Principio de Información es la omisión de la referencia al uso de cookies, web beacons y otros recursos similares en el referido Aviso.

¿Por qué la necesidad de incluir la mención del uso de mecanismos como las “Cookies” en el Aviso de Privacidad? La entrada en Wikipedia para Cookies explica que estos archivos fueron concebidos originalmente para identificar a los usuarios y diferenciar el comportamiento de los sitios de comercio electrónico al realizar compras en sitios de comercio electrónico; por ejemplo pueden ser usadas para “…control de usuario: cuando se introduce el nombre de usuario y contraseña, se almacena una cookie para que no tenga que estar introduciéndolas para cada página del servidor. Sin embargo, una cookie no identifica solo a una persona, sino a una combinación de computador-navegador-usuario”, pero que además de pueden ser usadas para rastrear el movimiento del usuario a lo largo de las páginas web visitadas, búsquedas realizadas, etc.

Desde que Internet se volvió un medio financiado fundamentalmente a través de la venta de publicidad el perfilamiento de usuarios se ha vuelto una necesidad para compañías como Google, Yahoo! y Microsoft. Sin embargo puede tener implicaciones importantes para los usuarios en cuanto a privacidad y acceso a oportunidades. El perfilamiento de usuarios podría

Una nota del Wall Street Journal el año pasado explica, por ejemplo, cómo Orbitz distingue entre usuarios de PC y de Mac para ofrecer antes a estos últimos servicios con precios más altos que a los primeros, asumiendo que quien invierte en una Mac es más proclive a optar por servicios “high-end” y, por lo tanto, más caros. Se han hecho también estudios que apuntan al incremento en el riesgo de que el perfilamiento de usuarios a través de diversos medios, incluyendo Internet, podrían resultar en discriminación. La posibilidad de combinar información de fuentes como registros públicos, reportes de crédito, historial de consumos y ubicación podría prestarse a limitar el acceso a bienes y servicios buscados en Internet si sus oferentes optaran por segmentar ese acceso en función del género, edad, nivel socio-económico y consumo de los usuarios.

De ahí que para lograr una verdadera autodeterminación informativa la autoridad de protección de datos personales haya requerido a los Responsables revelar el uso de tecnologías para obtener datos personales a través de Internet y la manera para deshabilitarlas.

El siguiente video de YouTube ilustra, por ejemplo, cómo Google utiliza y almacena las cookies e información obtenida de ellas en su motor de búsqueda. Por otra parte, el Washington Post publicó hace unos días una nota sobre cómo la Agencia de Seguridad Nacional de los EE.UU.A. se vale de esas mismas cookies para identificar y ubicar blancos de hackeo y vigilancia. De particular relevancia es lo indicado en los siguientes párrafos de la nota, que daría tranquilidad a la inmensa mayoría de los usuarios de Internet:

The intelligence agencies have found particular use for a part of a Google-specific tracking mechanism known as the “PREF” cookie. These cookies typically don’t contain personal information, such as someone’s name or e-mail address, but they do contain numeric codes that enable Web sites to uniquely identify a person’s browser…

The NSA’s use of cookies isn’t a technique for sifting through vast amounts of information to find suspicious behavior; rather, it lets NSA home in on someone already under suspicion

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site