La nueva Ley de Transparencia en México

inai_transparencia

Por Aristeo García González

Importancia de la Ley General de Transparencia.

La importancia de la nueva Ley General de Transparencia y Acceso a la información mexicana, es que en ella se recogen las voces y sugerencias emanadas de la sociedad civil  de los órganos garantes, así como el trabajo conjunto de las cámaras del Congreso de la Unión.

Además de lo anterior,  en dicho marco normativo se ha materializa un mayor avance en lo que al acceso a la información en México se refiere, y que va desde la reforma constitucional mexicana de 1977, sin dejar de lado, la de 2007, 2013 y 2014. Años por los que ha transitado la evolución y desarrollo de este derecho, consolidándose como una prerrogativa fundamental para el Estado mexicano. Lo cual, se hace más evidente en su contenido.

Contenido de la Ley

La nueva Ley General de transparencia compuesta de ocho títulos, 216 artículos y 13 transitorios, tiene como objeto es establecer las bases mínimas que regirán los procedimientos para garantizar el ejercicio del derecho de acceso a la información.

Siendo su propósito el de “transparentar el ejercicio de la función pública así como establecer los principios, bases generales y procedimientos para garantizar a toda persona el derecho de acceso a la información en posesión de cualquier autoridad, entidad, órgano y organismo de los poderes Legislativo, Ejecutivo y Judicial, organismos autónomos, partidos políticos, fideicomisos y fondos públicos, así como de cualquier persona física, moral o sindicato que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito federal, estatal, municipal y el Distrito Federal, a fin de lograr una adecuada armonización y homogeneidad a nivel nacional”[1].

Además, dicha Ley reglamentaria del artículo 6o constitucional, busca promover, fomentar y difundir una cultura de transparencia en el ejercicio de la función pública y el acceso a la información, la participación ciudadana, así como lo referente a la rendición d cuentas, a través del establecimiento de políticos públicas y mecanismos que garanticen la publicidad de información oportuna.

De igual manera, se define entre otras cosas, los datos abiertos como la “información pública disponible y accesible en formatos reutilizables, que puede utilizarse para cualquier fin y gratuita para toda persona”. Así como a los formatos abiertos como el conjunto de características técnicas y de presentación de la información que permita su procesamiento y acceso sin restricción de uso por parte de los usuarios.  Se trata de un nuevo concepto, el cual no formaba parte del contenido de la anterior Ley en la materia.

Es de destacarse, la enumeración de los principios rectores por los que se deben regir los organismos garantes (Certeza, Eficacia, Imparcialidad, Legalidad, Máxima publicidad, Objetividad, Profesionalismo y Transparencia), con los cuales se viene a reforzar su labor; así como lo referente a la Prueba de Daño, esto es, “La argumentación y fundamentación tendiente a acreditar que la divulgación de información lesiona el interés jurídicamente protegido por esta Ley, y que el daño que pueda producirse con la publicidad de la información es mayor que el interés de conocerla”.

Aunado a lo anterior, se precisa que el derecho humano de acceso a la información comprende solicitar, investigar, difundir y recabar información; y señala que toda la información generada, obtenida, adquirida, o transformada, en posesión de los sujetos obligados, será pública y accesible a cualquier persona, y sólo podrá ser clasificada como reservada por razones de interés público y seguridad nacional, en los términos de esta ley. Salvo aquella información que esté relacionada con violaciones graves a derechos humanos o delitos de lesa humanidad, en cuyos supuestos en el cuerpo normativo se determinan los medios y mecanismos para su apertura.

Además, se crea un Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos y la Plataforma Nacional de Transparencia, con el fin de que no haya más opacidad en el uso de los recursos públicos.

Así también, se establece la imposibilidad de invocar el carácter de reservado, cuando se trate de violaciones graves a derechos humanos, de delitos de lesa humanidad o información relacionada con actos de corrupción.

En definitiva, una vez que entre en vigor esta Ley y con el paso del tiempo, nos podremos dar cuenta de sus bondades, así como de su verdadero y real cumplimiento. Mientras tanto, sigue pendiente la aprobación de una Ley General de Protección de Datos Personales para México.

[1] Artículo 1º de la Ley General de Transparencia y Acceso a la información Publica

¿Cómo proteger nuestros datos personales durante el Proceso Electoral en México?

mexico_electoral

Por Lilibeth Álvarez Rodríguez

El 7 de junio de 2015 se celebrarán elecciones para elegir a Diputados Federales en todo el país y en algunos Estados se elegirán Gobernadores, Diputados locales, miembros de Ayuntamientos y para el caso del Distrito Federal, se elegirán Diputados a la Asamblea Legislativa y Jefes Delegacionales. En el marco de la contienda electoral, aún y cuando las leyes electorales establecen reglas claras para las campañas y poder influir en el electorado, se ha dado el caso en que los partidos políticos utilizan la información personal de los ciudadanos a la que tienen acceso por mandato legal de una manera inadecuada; es decir, la utilizan para fines distintos a los que originalmente se tenían previstos, basta para recordar el incidente de 2013 en donde los datos de millones de mexicanos provenientes del Registro Federal de Electores y que al parecer fueron transferidos indebidamente por los partidos políticos, se podían consultar a través una página de internet; así también información como el domicilio de los ciudadanos puede ser utilizado para acercarse a ellos, realizar promoción de algún partido o candidato en específico; enviar propaganda, simular una supuesta afiliación a un partido político, intentos de soborno para obtener el voto o realizar algún acto que pudiera en un momento determinado ejercer presión sobre el electorado, además de causar molestia a los ciudadanos.

Ante este escenario surge la duda de ¿Cómo los ciudadanos podemos proteger nuestros datos personales para evitar que los partidos políticos los utilicen sin nuestro consentimiento?

Lo primero que tenemos que saber es ¿Quién les permite accesar a nuestros datos personales? y ¿Por qué se les da acceso? Es importante destacar que el acceso a los datos personales que tienen los partidos políticos está legalmente permitido, siendo la autoridad electoral, quien en el ejercicio de sus atribuciones, les permite acceder a la información personal que está en su poder bajo determinadas reglas. En México una de las bases de datos más grande, fidedigna, que constantemente se actualiza y a través de la cual se puede identificar plenamente a una persona es el padrón electoral que precisamente se encuentra en poder del Instituto Nacional Electoral (INE).

En el padrón electoral consta la información básica de los varones y mujeres mexicanos mayores de 18 años que han presentado su solicitud para la inscripción al mismo y en consecuencia la expedición de la credencial para votar con fotografía. Para realizar dicho trámite se requiere proporcionar a la autoridad electoral en términos de los artículos 135 y 140 de la Ley General de Instituciones y Procedimientos Electorales “una solicitud individual en que consten firma, huellas dactilares y fotografía del ciudadano”, los datos requeridos en la solicitud son “Apellido paterno, apellido materno y nombre completo, lugar y fecha de nacimiento, edad y sexo, domicilio actual y tiempo de residencia, ocupación, en su caso, el número y fecha del certificado de naturalización, entidad federativa, municipio y localidad donde se realice la inscripción, distrito electoral federal y sección electoral correspondiente al domicilio y fecha de la solicitud de inscripción”.

Una vez que los ciudadanos realizaron su trámite de inscripción al padrón electoral y se les entregó su credencial para votar, aparecerán en la lista nominal de electores que es la relación electrónica e impresa que realiza el Instituto Nacional Electoral y que contiene la imagen y nombre entre otros datos de los ciudadanos agrupados por distrito y sección, que estarán autorizados para votar en las elecciones correspondientes; el artículo 148 de la Ley General de Instituciones y Procedimientos Electorales establece que “los partidos políticos tendrán acceso en forma permanente a la base de datos del Padrón Electoral y las listas nominales, exclusivamente para su revisión, y no podrán usar dicha información para fines distintos”, asimismo en el artículo 151 se establece “El 15 de febrero del año en que se celebre el proceso electoral ordinario, la Dirección Ejecutiva del Registro Federal de Electores entregará en medios magnéticos, a cada uno de los partidos políticos las listas nominales de electores divididas en dos apartados, ordenadas alfabéticamente y por secciones correspondientes a cada uno de los distritos electorales. El primer apartado contendrá los nombres de los ciudadanos que hayan obtenido su credencial para votar al 15 de diciembre y el segundo apartado contendrá los nombres de los ciudadanos inscritos en el Padrón Electoral que no hayan obtenido su credencial para votar a esa fecha. Los partidos políticos podrán formular observaciones a dichas listas, señalando hechos y casos concretos e individualizados, hasta el 14 de marzo inclusive”.

De lo anterior resulta que, la única finalidad por la que los partidos políticos tienen acceso a la información personal contenida tanto en el padrón electoral como en la lista nominal, es para verificar y en su caso hacer observaciones a la autoridad electoral sobre los ciudadanos inscritos o excluidos indebidamente de las listas nominales de electores, no obstante de que en el artículo 126 numeral 3 de la Ley, se establece la confidencialidad de la información, es decir, de los datos que los ciudadanos proporcionan a la autoridad electoral para el cumplimiento de sus atribuciones relativas al padrón electoral y la lista nominal.

Por otra parte, durante el proceso electoral, los partidos políticos también tienen acceso a través de las Juntas Distritales del Instituto Nacional Electoral, ubicadas en  los 300 Distritos Electorales en los que se divide el País, a los  datos personales de los ciudadanos que resultan sorteados para que el día de la jornada electoral formen parte de las mesas directivas de casilla, que son las encargadas de recibir la votación de la ciudadanía.

Una vez que sabemos a qué datos personales tienen acceso los partidos políticos, es importante saber los mecanismos jurídicos de protección con los que contamos para que, si en algún momento determinado se realiza un tratamiento de datos personales distinto a la finalidad que se tiene prevista legalmente, podamos ejercer nuestro derecho fundamental a la protección de datos personales; para ello tenemos que analizar el régimen jurídico en dicha materia que actualmente impera en México y la regulación jurídica aplicable a partidos políticos.

La construcción del derecho a la protección de datos personales en México es sui géneris, su nacimiento se encuentra vinculado al derecho de acceso a la información pública previsto en el artículo 6 constitucional, ya que a raíz de la reforma de 2007 se establecieron las primeras menciones constitucionales limitantes al ejercicio del derecho de acceso a la información, relativas a la vida privada y los datos personales.

Fue hasta 2009 que se reconoció como un derecho humano y fundamental independiente del acceso a la información pública al consagrarse en el artículo 16 constitucional  que “toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros”.

Derivado de lo anterior, en 2010 se expidió la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), la cual es aplicable al sector privado. Por otro lado la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental  (LFTAIPG) que entró en vigor desde 2002, contemplaba ya un apartado específico pero muy limitado en su Capítulo IV, relativo a la protección de datos personales aplicable al sector público.

En 2014 se llevó a cabo la reforma constitucional en materia de transparencia, en donde se incorporó a los partidos políticos como sujetos obligados directos para el acceso a la información pública y la protección de datos. Asimismo se estableció la facultad del Congreso para expedir las leyes generales reglamentarias que desarrollen los principios y bases en materia de transparencia gubernamental, acceso a la información y protección de datos personales en posesión de las autoridades, entidades, órganos y organismos gubernamentales de todos los niveles de gobierno, ya que anteriormente el Congreso sólo tenía facultades para legislar en materia de protección de datos personales aplicable al sector privado no al público.

A partir de la reforma, el régimen de protección de datos personales aplicable al sector público se encuentra diferenciado del acceso a la información pública, con la expedición de la Ley General que regulará el tratamiento de datos personales, que realicen las dependencias públicas, el cual incluye también a los partidos políticos, en virtud de que constitucionalmente en el artículo 41, son reconocidos como entidades de interés público; en este sentido el elemento primordial por el que se determina que sean sujetos al régimen jurídico en materia de acceso a la información y de protección de datos aplicable al sector público es porque reciben recursos públicos.

No obstante lo anterior, la Ley General que regule la protección de datos personales aplicable al sector público, aún no se expide, por lo tanto los partidos políticos no son sujetos obligados de manera directa en materia de protección de datos, es decir, su actuar se encuentra limitado a las disposiciones contenidas en la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, que aún se encuentra en vigor, ya que no ha sido reformada para estar en armonía con la reforma constitucional de 2014, y la cual es observada de manera indirecta por los partidos políticos a través del Instituto Nacional Electoral; en virtud de que no son sujetos obligados por la misma. Así también a la Ley General de Partidos Políticos que únicamente establece en su artículo 29 la obligación de garantizar la protección de los datos personales de sus militantes, así como los derechos al acceso, rectificación, cancelación y oposición de éstos”, es decir únicamente se constriñe a las personas que forman parte de un partido político, pero no establece la obligación de proteger los datos personales de los ciudadanos a los que también tienen acceso y dan tratamiento.

Si bien, la autoridad encargada de garantizar la protección de datos personales en México, es el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI), a quien, a raíz de la reforma constitucional de 2014, se le otorgó la facultad para conocer de los asuntos relacionados con el acceso a la información y protección de datos personales en poder de los partidos políticos; al no expedirse aún la Ley General en la materia en la que se establezcan las obligaciones específicas y sanciones respectivas derivado del tratamiento indebido de datos personales, la responsabilidad y competencia para conocer de dichos asuntos recae en el Instituto Nacional Electoral, es decir en la autoridad electoral y no en la autoridad en materia de protección de datos.

De lo anterior se concluye, que tal y como se encuentra actualmente el sistema jurídico mexicano, para poder denunciar un uso indebido de datos personales por parte de partidos políticos la vía que debe seguirse es la electoral, no así en materia de protección de datos; lo anterior, a través del procedimiento sancionador ordinario, que se encuentra previsto en  los capítulos I, II y III del Libro Octavo, Título Primero de la Ley General de Instituciones y Procedimientos Electorales; o en su defecto la Ley General en materia de Delitos Electorales contempla en su artículo 13 como un delito electoral quien “posea, use, adquiera, comercialice, suministre o transmita de manera ilegal, archivos o datos de cualquier naturaleza, relativos al Registro Federal de Electores, Padrón Electoral o Listado de Electores”.

Por lo tanto, para el proceso electoral 2014-2015, el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI), queda imposibilitado de recibir denuncias referentes al tratamiento indebido de datos personales por parte de los partidos políticos, al carecer de facultades para actuar en relación a ello, pues no cuenta con una ley reglamentaria en la materia, aplicable al sector público que contemple a los partidos políticos como sujetos obligados, y por lo tanto, no tiene facultades directas para instaurar los procedimientos respectivos e imponer las sanciones conducentes. Por tal motivo resulta importante que el Congreso expida lo antes posible, la ley en la materia, en virtud de que los ciudadanos no contamos con los mecanismos jurídicos necesarios y suficientes para poder denunciar ante la autoridad competente, el posible uso indebido de nuestra información personal, pues al ser la protección de datos, un derecho fundamental, le corresponde garantizarlo a la autoridad que constitucionalmente cuenta con las atribuciones para tal efecto, es decir, el IFAI y no así la autoridad electoral.

En México, cobranza extrajudicial y tratamiento de datos personales. Experiencias y nueva Guía del IFAI

llamada

Por Héctor E. Guzmán Rodríguez

Poca gente lo sabe, pero hace 20 años trabajé en una “Agencia de Cobranza”. Fue tan poco el tiempo que pasé en este empleo (apenas 4 meses), que ni siquiera figura en mi currículum. Ahora, después de esta “confesión” por escrito, este antecedente laboral y su valor como dato personal ha sido revelado para todo aquél que lea estas líneas… es el riesgo de escribir y compartir.

El valor que dicha experiencia tiene para mí, dedicado ahora a la protección de datos personales en su vertiente legal, no es poco, pues desde que comencé a brindar asesoría legal en México sobre esta materia, y tomando en cuenta la existencia de un principio de información relacionado con el tratamiento de datos personales, materializado (casi en exclusiva) a través de los famosos Avisos de Privacidad, siempre he recomendado incluir la cobranza extrajudicial como parte de las finalidades del tratamiento de datos personales, relacionada con diversas actividades de nuestros clientes, amén de otras obligaciones relacionadas con el resto de principios de protección de datos.

Debo decir que esta recomendación no siempre ha sido bien recibida. La “obviedad” de la actividad, para todos aquellos clientes que prestan servicios financieros o que comercializan bienes, era de tal grado que a éstos les parecía (y les sigue pareciendo) un auténtico despropósito. La sorpresa crece cuando recomiendo someter a revisión el marco contractual de la cobranza, indicando que es necesario determinar si existe una transferencia o una remisión de datos hacia el tercero que la efectúa; o dicho en otros términos: definir si los datos serán comunicados a un Responsable (receptor) o a un Encargado.

Por estas y otras razones, me causó mucho agrado conocer que el Instituto Federal de Acceso a la Información Pública y Protección de Datos (IFAI) publicó (en coordinación con la Comisión Nacional para la Defensa de los Usuarios de las Instituciones Financieras [CONDUSEF]) su “Guía para para orientar el debido tratamiento de datos personales en la actividad de cobranza extrajudicial” (la Guía), la cual puede ser descargada en este link.

Más allá de que esta Guía sirve como vehículo para recordar a sus lectores los principios, derechos y obligaciones que rigen la protección de datos personales, contenidos en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la LFPD); el motivo de su publicación y el análisis específico que sobre la actividad de cobranza extrajudicial contiene, arrojan luz sobre cuestiones que son menos conocidas o publicitadas, tales como la necesidad (o no) de informar sobre la comunicación de los datos personales de los Titulares hacia los “Despachos de Cobranza”, las modalidades en que dicha comunicación puede realizarse (transferencia o remisión), y recomendaciones específicas para el cumplimiento de los principios y los deberes antes referidos.

La publicación de la Guía viene precedida de información recaba por la CONDUSEF, durante los años 2011 a 2013. Durante ese periodo, se dice que dicha Comisión recibió 100,391 quejas relacionadas con la actividad de cobranza extrajudicial. Las quejas recibidas se centraron en tres motivos principales:

  • La persona contactada no era el cliente-deudor (72%),
  • La persona contactada recibió maltratos u ofensas por parte de los “cobradores” (18%),
  • La persona fue contactada en relación un crédito que ya había pagado (7%).

En análisis de esta situación, el IFAI determinó, por obvias razones, que las quejas están directamente vinculadas con la protección de datos personales, encontrando que los principios con mayor incidencia de vulneración eran los de calidad e información.

Para comprensión de la Guía, el IFAI ofrece, entre otras, las siguientes definiciones:

  • Cobranza Extrajudicial: Actividad que realiza una entidad financiera directamente o a través de un Despacho de Cobranza, a fin de requerir el pago de las obligaciones contraídas por el deudor, o para negociar o reestructurar los créditos, préstamos o financiamientos.
  • Despacho de Cobranza: Despacho externo, incluyendo a terceros o representantes, que realiza la cobranza, negociación o reestructuración de los créditos, préstamos o financiamientos, y que actúa como intermediario entre las entidades financieras y comerciales y el deudor, a fin de recuperar los adeudos de la entidad en cuestión.
  • Entidad: Entidad financiera o comercial.

En la Guía que reseñamos, encontraremos recomendaciones específicas (y elementales), tales como:

  • Conocer la normatividad aplicable a la cobranza extrajudicial (principio de licitud),
  • No utilizar identidades falsas con la finalidad de obtener datos personales de los deudores (principio de lealtad),
  • Tratar a deudores y personas que se contacten con motivo de la cobranza con respeto y en horarios adecuados (principio de lealtad),
  • No utilizar información falsa o engañosa, para amenazar a los titulares (principio de lealtad),
  • No enviar documentos que aparenten ser escritos judiciales o hacerse pasar como representantes de órgano judicial u otra autoridad, con el fin de amedrentar al deudor (principio de lealtad),
  • El Responsable (la Entidad) deberá dar a conocer al Titular el Aviso de Privacidad para el otorgamiento del crédito, préstamo o financiamiento, previo a la obtención de los datos personales. Dicho Aviso de Privacidad deberá contener, como una de las finalidades del tratamiento, lo relativo a la actividad de cobranza (principio de información),
  • Los Despachos de Cobranza que adquieran una cartera vencida, y que en ese sentido se conviertan en Responsables, deberán dar a conocer su Aviso de Privacidad en el primer contacto que tengan con los deudores (principio de información).
  • Dado que la actividad de cobranza se enmarca en una relación jurídica entre el Titular y el Responsable, no requiere del consentimiento del Titular (artículo 10 de la LFPD, principio del consentimiento),
  • Si el Responsable obtiene datos personales por medio de una transferencia, para la finalidad de Cobranza Extrajudicial, deberá verificar que la transferencia se haya realizado conforme a los requisitos que establecen la LFPD y su Reglamento (principio del consentimiento),
  • Incluir en el aviso de privacidad, la actividad de cobranza como una finalidad más del tratamiento de datos personales (principio de finalidad),
  • Utilizar y obtener sólo los datos personales que sean necesarios y relevantes para la finalidad de cobranza extrajudicial (principio de proporcionalidad),
  • Instruir a los Despachos de Cobranza que supriman y/o regresen a la Entidad los datos personales de los deudores cuyos asuntos hayan sido resueltos por parte de ésta (principio de calidad),
  • Mantener actualizados los datos relativos al estatus de la deuda, a fin de evitar información errónea en cuanto a la calidad de deudor de una persona que haya cumplido con sus obligaciones (principio de calidad),
  • Supervisar constantemente las actividades realizadas por los Despachos de Cobranza contratados, así como el estado de los reclamos presentados (principio de responsabilidad),
  • Poner en práctica programas de capacitación, actualización y concientización del personal, en materia de protección de datos personales (principio de responsabilidad).

En cuanto a los deberes de seguridad y confidencialidad, el IFAI recomienda, por ejemplo:

  • Consultar herramientas elaboradas por el IFAI en materia de cumplimiento del deber de seguridad, disponibles en la Sección “Documentos de Interés. Seguridad de los Datos Personales” del portal de dicho Instituto,
  • Evitar divulgar, sin consentimiento del deudor, sus datos personales a terceros,
  • Evitar el uso de correos electrónicos, correspondencia, mensajes de texto o voz o cualquier otro, que den a conocer a terceros la condición de deudor o datos relacionados con la actividad de cobranza.

Además, en la Guía se indica que se consideran conductas “inadecuadas”:

  • La divulgación en medios públicos de listas de deudores que se nieguen a pagar una deuda, o
  • La creación de registros especiales, distintos a los que permiten las leyes, para hacer del conocimiento general la negativa de pago de los deudores.

Uno de los aspectos que mayor confusión causan tanto a Entidades como a Despachos de Cobranza, lo constituye la definición de su papel como Responsables o Encargados. En muchas ocasiones, transmitir la diferencia entre una figura y otra (y no sólo en relación con la cobranza extrajudicial) constituye una tarea que requiere varias sesiones o reuniones con las partes interesadas dentro de una organización. La Guía, afortunadamente, también brinda orientación al respecto.

Por una parte, clarifica que la comunicación de datos personales entre la Entidad y un Despacho de Cobranza, con motivo de una venta de cartera a este último, se considera una transferencia, por lo que debe informarse de ella en el Aviso de Privacidad correspondiente (aunque el consentimiento para realizarla no sea necesario).

Por otro lado, se indica de forma clara que la comunicación de datos personales a Despachos de Cobranza, cuando éstos no adquieren la propiedad de la cartera, sino que prestan el servicio de cobranza a nombre y por cuenta de la Entidad, no se considera transferencia, sino remisión, por lo que no existe obligación de informarla a través de un Aviso de Privacidad, ni de obtener el consentimiento del Titular para que ésta ocurra.

Además, la Guía recuerda que los Encargados pasarán a considerarse Responsables (con todas las consecuencias jurídicas que ello implica) si destinan o utilizan los datos personales para una finalidad distinta a la autorizada por el Responsable (la Entidad) o si efectúan una transferencia de los datos en contravención a las instrucciones de dicho Responsable.

Finalmente, en cuanto a la atención de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), cabe destacar que la Guía asume correctamente una realidad evidente: es muy probable que estos derechos van a ser ejercidos frente a los Despachos de Cobranza y que, por lo tanto, sean éstos quienes recibirán las solicitudes de los Titulares al respecto.

Ante dicha realidad, la Guía recomienda la adopción de procedimientos o protocolos de actuación para determinar adecuadamente la forma en que Entidades y Despachos de Cobranza deberán atender las previsibles solicitudes de derechos ARCO que, en este materia, son el pan nuestro de cada día; sin olvidar que en última instancia es el Responsable quien está obligado a dar atención a las solicitudes correspondientes.

Como comentario final, debemos indicar que la Guía es un documento de 48 páginas, por lo que es obvio que aquí no hemos hecho sino un brevísimo resumen de la misma. Su consulta y conocimiento nos parecen elementales tanto para Entidades como para Despachos de Cobranza; sin embargo asumimos que su difusión apenas ha iniciado y que, por lo tanto, como asesores y consultores en la materia, debemos participar en la transmisión de su contenido y, sobre todo, en la recomendación de adopción de sus múltiples acciones de cumplimiento.

Imagen cortesía de imagerymajestic en FreeDigitalPhotos.net

¿Cumples con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares?

cumplimiento_mexicoPor Rodrigo Santisteban Maza

Existen una gran diferencia entre cumplir de forma o fondo con la normatividad de protección de datos personales vigente en nuestro país, la primera puede ayudarte a generar una aparente ventaja competitiva, pero puede generar una disminución importante en las utilidades; y la segunda no sólo puede generar una ventaja competitiva, sino que además puede ayudar al crecimiento del negocio, con el consabido crecimiento a corto y mediano plazo de las utilidades.

Pero ¿cómo se determina sí la empresa, o consultorio o negocio cumplen de fondo con la normatividad de protección de datos personales? la respuesta no es tan sencilla, primero se debe recordar que, el cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares no se centra con tener un aviso de privacidad y una política de privacidad que se encuentran guardas en un cajón de la oficina acumulando polvo.

Supongamos que la empresa, o consultorio, o negocio cuentan con esos dos elementos básicos señalados en el párrafo anterior y que demanda la citada Ley, veamos si con eso se cumple de fondo la normatividad de protección.

El Aviso de Privacidad nos ayuda a cumplir con múltiples principios contemplados en la Ley, pero en específico el de información, que implica, comunicar al titular de los datos personales las finalidades por las que se requieren su información, así como, los datos que serán recabados.

Pero ¿cómo determinar si el Aviso de Privacidad que actualmente cuentan cumple de fondo con lo requerido por la normatividad vigente en materia de protección de datos personales? la respuesta es fácil, el Aviso de Privacidad debe estar dando respuesta a las siguientes preguntas:

  • ¿Quién recaba los datos personales? (el responsable).
  • ¿Cuál es su domicilio?
  • ¿Por qué se requieren los datos personales? (finalidad)
  • ¿Qué datos se requieren?
  • En caso de recabar o dar tratamiento a datos personales de tipo patrimoniales o sensibles ¿cuenta con una casilla de oposición o el señalamiento de un procedimiento para manifestar su oposición?
  • ¿A quién se pueden transferir los datos personales?
  • ¿Cuáles son los motivos de esa transferencia?
  • ¿Cuál es el país de destino en dónde se encuentra la empresa que recibirá los datos personales?
  • ¿Cómo se puede oponer el titular a las transferencias?
  • ¿Cómo y ante quién se ejercitan los Derechos ARCO y revocación del consentimiento?
  • ¿Cómo pueden los titulares de los datos personales controlarlos una vez que se hubieren entregado?

La respuesta que se den a esas preguntas, permitirán dar respuesta a una pregunta recurrente que nos hacen ¿cuántos Aviso de Privacidad se requieren?, la cual, se dará a partir de la respuesta que se de a la pregunta ¿por qué se requieren los datos personales?, con la que se podrá fragmentar el grupo poblacional a los que se recaban los datos personales y cada grupo debe contar con su Aviso de Privacidad, esto con el fin de evitar, tener un aviso de privacidad que confunda a los titulares, ya que no son las mismas finalidades y datos que se requieren en el proceso de selección y reclutamiento de personal, que los que se requieren de un cliente.

Teniendo establecido el alcance de los Aviso de Privacidad, es de recordar que estos no son diseñados para ser guardados en alguna gaveta, sino que se deben poner en práctica, y ser sometidos a revisiones periódicas.

Ahora bien, el segundo elemento de fondo es la política de privacidad, la cual, debe dar evidencia de todos y cada uno de los elementos que establece el artículo 47 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, así como, los procesos de gestión de los datos personales, los cuales, deben estar alineados a las políticas de seguridad y de procesamiento del resto de la información, y a la cultura de Responsabilidad Empresarial o Códigos de Ética.

Adecuarse a la normatividad de datos vigente en nuestro país, significa haber introducido cambios en los procesos de gestión, así como la adopción de una cultura preventiva de riesgos y una socialización del tema entre las personas que colaboran en la empresa, consultorio o negocio.

Esa adecuación, no se limita a dar vida a los Aviso de Privacidad y a la Política de Privacidad, sino que además implica la adopción, en su caso, de convenios de transferencias, de confidencialidad en materia de protección de datos personales aunado a las cartas responsivas, así como a los procesos para la atención de los Derechos ARCO y Revocación del Consentimiento, de atención de brechas de seguridad, de limitación de instalación de cookies en las páginas de internet, etc.

Estos son algunos elementos de fondo que se deben tener en cuenta para determinar si la empresa, negocio, o consultorio, cumplen con la Ley, en caso contrario, se está enfrente de un gran riesgo monetario y de imagen corporativa.

Fuente de la imagen: Potencial PyMES.

Si has compartido tus datos personales, ¿conoces tus Derechos ARCO en México?

arco_comaprtir

Por Joel Gómez Treviño

Desde el mes de julio del año 2010 México cuenta con una “Ley Federal de Protección de Datos Personales en Posesión de Particulares”. Esta ley contiene obligaciones específicas para toda aquella persona física o moral de carácter privado (incluyendo cualquier intermediario) que realice actividades de recolección y/o tratamiento de datos personales. Tiene por objeto la protección de los datos personales, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

Dentro de los contenidos de esta ley y su respectivo reglamento, se encuentran los “Derechos ARCO”, los cuales facultan al titular (todos nosotros) a solicitar al responsable de los datos (particulares o empresas) el acceso, rectificación, cancelación u oposición, respecto de los datos personales que le conciernen.

  1. Derecho de ACCESO.- Los titulares tienen derecho a acceder a sus datos personales que obren en poder del responsable, así como conocer el Aviso de Privacidad, el cual contiene información relativa a las condiciones y generalidades del tratamiento. Tenemos derecho a preguntar a quien tenga o trate nuestros datos personales “¿qué datos tienes de mi persona?”
  2. Derecho de RECTIFICACIÓN.- El titular podrá solicitar en todo momento al responsable que rectifique sus datos personales que resulten ser inexactos o incompletos. Tenemos derecho a decirle a quien tenga o trate nuestros datos: “mis datos son incorrectos, por favor corrígelos de la siguiente manera…”
  3. Derecho de CANCELACIÓN.- El titular tendrá en todo momento el derecho a cancelar sus datos personales. La cancelación implica el cese en el tratamiento por parte del responsable, a partir de un bloqueo de los mismos y su posterior supresión. Tenemos derecho a pedirle a quien tenga o trate nuestros datos: “ya no quiero que trates mis datos, quiero que los borres”.
  4. Derecho de OPOSICIÓN.- El titular tendrá derecho en todo momento y por causa legítima a oponerse al tratamiento de sus datos cuando: (i) exista causa legítima y su situación específica así lo requiera, lo cual debe justificar que aun siendo lícito el tratamiento, el mismo debe cesar para evitar que su persistencia cause un perjuicio al titular, o (ii) requiera manifestar su oposición para el tratamiento de sus datos personales a fin de que no se lleve a cabo el tratamiento para fines específicos. No procederá el ejercicio del derecho de oposición en aquellos casos en los que el tratamiento sea necesario para el cumplimiento de una obligación legal impuesta al responsable (por ejemplo, cuando nos opongamos al tratamiento de nuestros datos frente a un banco mientras tenemos vigente un contrato con dicha institución). De resultar procedente la solicitud de oposición, el responsable no podrá tratar los datos relativos al titular.

Para hacer valer nuestros Derechos ARCO debemos hacerlo a través de una “solicitud de acceso, rectificación, cancelación u oposición”, la cual deberá contener y acompañar lo siguiente:

  • El nombre del titular y domicilio u otro medio para comunicarle la respuesta a su solicitud;
  • Los documentos que acrediten la identidad o, en su caso, la representación legal del titular;
  • La descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos antes mencionados, y
  • Cualquier otro elemento o documento que facilite la localización de los datos personales.

Es muy importante que tengas alguna prueba de que entregaste esa solicitud ante el responsable de los datos, lo cual puedes lograr solicitando que te firmen y sellen de recibido una copia de la misma. Nuestros datos son muy valiosos para todos los comerciantes, empresas y profesionistas con los que tenemos relación. Sin ellos no podrían contactarnos para ofrecernos sus productos y servicios. Defendamos vigorosamente nuestra información personal, pues afortunadamente contamos con herramientas legales para hacerlo. El órgano garante de esta ley es el Instituto Federal de Acceso a la Información Pública y Protección de Datos (IFAI), el cual en su página web tiene mucha información para orientarnos en esta materia.

En México: retos para la adaptación a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares

lopd_mexico

Por Héctor E. Guzmán Rodríguez

1. Introducción

Desde una posición que considero privilegiada, soy testigo de la entrada en vigor en México de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPD) y asisto por vía de colaboración a los retos inherentes a la puesta en marcha de proyectos de adaptación de este ordenamiento en un Estado que hasta hace poco no contemplaba como derecho fundamental la protección de los datos personales.[1]

México se encuentra frente al gran reto de insertar a las personas físicas y jurídicas sujetas a la LFPD en el marco de cumplimiento de una normativa similar a la que hoy en día es aceptada y valorada tanto en España como en el resto de la Unión Europea.

Este reto viene acompañado de varios factores que afloran conforme los plazos transitorios de entrada en vigor de la LFPD se van sucediendo, dando origen a una mayor demanda de este tipo de servicios, a la vez que generando sorpresas en aquellos interesados que los solicitan.

Con este escrito pretendo transmitir experiencias de primera mano que a muchos de mis compañeros en España sonarán a “viejos tiempos” de la “LOPD”[2], así como dar a conocer algunos aspectos relevantes de esta nueva disposición mexicana.

2. Cultura de protección de los datos personales: El reto de la concienciación

Si, como hemos indicado anteriormente, México introdujo como derecho fundamental la protección de datos personales en junio de 2009, es fácil concluir que el país apenas comienza a transitar por un cambio de idiosincrasia en relación con los derechos que derivan a favor de los ciudadanos en esta materia y las obligaciones recíprocas que ahora deben cumplir los “particulares” que tratan dichos datos en el curso de sus actividades.

El valor intrínseco de esta protección y la percepción de que el ciudadano tiene derechos en relación con sus datos personales aún debe permear en la sociedad mexicana; esta sociedad ahora pasa a ser consciente del derecho que le asiste para exigir la protección y seguridad de sus datos frente a aquellas organizaciones que durante mucho tiempo los han tratado sin estar obligadas a informar sobre las finalidades o usos de aquéllos, ni obligadas tampoco a adoptar medidas concretas y verificables que permitan proteger los datos personales contra daños, pérdidas, alteraciones, destrucciones o el uso, acceso o tratamiento no autorizado de los mismos.

En este escenario, de sobra es conocido que la aplicación efectiva y puntual de la ley constituye un pilar esencial para impulsar el conocimiento y la conciencia sobre la importancia que reviste una legislación sobre esta materia; de la misma manera que los profesionales dedicados a ella constituyen otra base de impulso mediante la debida difusión, formación y asesoría de aquellos que ya han asumido el cumplimiento de este nuevo ordenamiento. De ahí que sea necesario asumir desde ahora que el camino no será fácil ni corto.

3. Publicación y entrada en vigor: El espejismo del Aviso de Privacidad.

La LFPD fue publicada el 5 de julio de 2010,[3] indicando el primer artículo transitorio de su Decreto de expedición que entraría en vigor al día siguiente. Se estableció además que el reglamento de la LFPD debería ser expedido dentro del año siguiente a su publicación,[4] aunque dicho plazo ha vencido y su publicación se espera a finales de 2011 o principios de 2012.

En cuanto al sub-tema de este apartado, debemos atender a que el artículo tercero transitorio de la LFPD estableció:

“Los responsables designarán a la persona o departamento de datos personales a que se refiere el artículo 30 de la Ley y expedirán sus avisos de privacidad a los titulares de datos personales de conformidad a lo dispuesto por los artículos 16 y 17 a más tardar un año después de la entrada en vigor de la presente Ley.”[5]

Esta disposición transitoria, que se refiere únicamente a dos obligaciones, ha sido el punto de partida para posponer acciones concretas de adaptación y para ceñir su alcance, de forma un tanto incomprensible, al cumplimiento de una obligación formal como la “expedición” de los denominados “Avisos de Privacidad”.

Pocos profesionales mexicanos que hayan decidido incursionar en proyectos de consultoría de adecuación a la LFPD pueden negar haber recibido alguna llamada a través de la cual el interesado solicitó la redacción de dichos avisos “para cumplir con la LFPD”. En ocasiones, los interesados se limitan a solicitar “el” aviso de privacidad. Otros clientes más ambiciosos han solicitado asesoría para cumplir con la expedición de sus avisos de privacidad y para nombrar a la persona o departamento de datos personales.

Estas llamadas han ido en aumento, pues el plazo concedido por el legislador para cumplir con esa dos obligaciones venció el pasado 6 de julio de 2011.

En todo caso, lo cierto es que los consultores en México se enfrentan a la creencia generalizada de que la implementación de “el aviso de privacidad” constituye la más importante obligación a su cargo (si no la única) como consecuencia de la entrada en vigor de la LFPD.

De ahí que ante este error de apreciación nos encontremos con el desconcierto de quienes quieren cumplir con la LFPD en el momento en que son informados de que la adopción de los avisos de privacidad no es la única obligación a cumplir, y de que una correcta adaptación de su organización debe pasar un proyecto de consultoría con vertientes jurídicas y técnicas.

El “Efecto Aviso de Privacidad” ha pasado factura: algunos interesados retiran su interés para cumplir con la LFPD o aplazan la decisión, otros optan por acudir a otros profesionales con la esperanza de escuchar que no son tantas las obligaciones a su cargo. En el mejor de los casos, el cliente se muestra dispuesto a recibir una oferta que explique las acciones que deben emprenderse para cumplir con la LFPD; pero el efecto aviso de privacidad estará presente, dado que el coste del proyecto aparecerá como desproporcionado si se le compara con las expectativas iniciales, que sólo contemplaban pedir, recibir y expedir dicho aviso.

4. El reto del conocimiento profundo del cliente

Uno de los mayores retos que atestiguamos a día de hoy (quizás el mayor), es la reticencia de los clientes a que el proyecto de adaptación se desarrolle de tal forma que permita conocer en profundidad a la organización: Se cuestiona la pertinencia o relevancia de entrevistas con los jefes de unidades organizativas de la entidad y la revisión del entorno físico; iniciativas que algunas veces son calificadas como intrusivas. Desafortunadamente, el interés de los consultores por conocer íntegramente al cliente que debe ser adaptado aún no se percibe como algo enteramente positivo.

Además del nivel básico de cultura sobre datos personales, atribuyo esta resistencia al “Efecto Aviso de Privacidad”. Como ya he indicado anteriormente, la idea de que la expedición de los avisos de privacidad constituye la obligación principal que dimana de la LFPD, predispone el concepto de los clientes sobre el objeto y alcance de un proyecto de adaptación, sorprendiéndoles en muchas ocasiones el número de acciones que se desean emprender, así como la cantidad de información y documentación solicitada y la propia duración del proyecto.

De ahí que el uso de cuestionarios constituya, en este momento, una vía alternativa para conocer de la mejor forma posible a la organización que se desea adaptar; careciendo como es obvio de la posibilidad de contacto personal y la transmisión de conocimientos hacia los entrevistados, que siempre permite “descubrir” tratamientos de datos personales ahí donde nadie pensaba que los hubiere.

Responder a los clientes si tratan datos personales, quiénes los tratan y en qué contexto, identificar los canales de entrada y salida, comprobar por ejemplo si existe un registro de visitantes o cámaras de seguridad; todo ello se vuelve una tarea que requiere del consultor un mayor grado de atención a la hora de desarrollar sus cuestionarios y dirigir cualquier requerimiento de información adicional a los “entrevistados”.

Es por ello que la experiencia y conocimientos del consultor son factores críticos en el entorno incipiente en que actualmente se prestan los servicios de adaptación a la LFPD, pues de aquéllos dependerá el correcto planteamiento de aquellas cuestiones y aspectos que deberán ser analizados antes, durante y a la conclusión del proyecto.

5. Principios de protección de datos personales

De la mano con la Directiva 95/46/CE[6] y las diversas leyes nacionales europeas que la han implementado, la ley de protección de datos mexicana ha hecho suyos diversos principios relacionados con el tratamiento de los datos personales. Ello lo corrobora el artículo 6 de la LFPD, que enumera dichos principios de la siguiente forma: “Los responsables en el tratamiento de datos personales, deberán observar los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, previstos en la Ley.”

Evaluar el entorno, las circunstancias, las finalidades, los motivos y las condiciones en que el tratamiento de datos personales se desarrolla, de cara a verificar si la entidad responsable cumple con dichos principios, constituye una tarea de elevado cuidado en el escenario a que se refiere el apartado anterior. La oportunidad (necesidad) que constituyen las entrevistas a los responsables de las diversas áreas que tratan datos personales en una organización es de sobra conocida por el tipo de conocimiento que brindan y por la economía de tiempo que representan frente a la opción del levantamiento de cuestionarios.

La falta de este contacto directo puede significar también una oportunidad perdida para transmitir a la organización la importancia de revisar y actualizar todas aquellas recomendaciones y medidas que el proyecto aporte a su conclusión, transmitir que el cumplimiento de los principios es algo cotidiano y permanente, que no se agota con la publicación de avisos de privacidad ni mediante la adopción de medidas por una vez, sino que es algo continuo y que ahora debe formar parte de la organización.

Sin embargo, ha de asumirse en este momento que el contacto directo con los responsables funcionales no será posible en todos los casos; los consultores deberán ser capaces de convencer a los clientes interesados de la necesidad de efectuar estas entrevistas en beneficio de la calidad final del proyecto, a la vez que deberán concentrar esfuerzos adicionales en aquellos casos en que éstas no puedan llevarse a cabo con el objeto de no pasar por alto cuestiones relevantes para la evaluación del grado de cumplimiento de los principios previstos por la LFPD.

 6. Sin registro de bases de datos personales (ficheros)

Si bien es cierto que actualmente se propugna en la Unión Europea por la desaparición o revisión del sistema de notificación de operaciones de tratamiento de datos personales,[7] lo cierto es que esta propuesta resulta razonable en un entorno que, a nuestro gusto, ya goza de un nivel de madurez suficiente para cuestionar el valor intrínseco de dicho sistema.

Nos encontramos frente a un trámite administrativo que en España, por ejemplo, se viene exigiendo desde los tiempo de la “LORTAD”[8] y que ya comienza a ser objeto de dudas a la vista de las consultas efectivas que se realizan al Registro General de Protección de Datos.

Sin embargo, considero que visto con perspectiva es posible concluir que uno de los efectos derivados de la existencia de este deber de registro lo constituye el “incentivo” externo que el incumplimiento de esta obligación acarrea para los responsables (infracciones leves o graves y las multas correspondientes), que se corresponde con el interés en solicitar la asesoría apropiada no sólo para registrar ficheros que tratan datos personales, sino además para que las inscripciones correspondientes sean veraces y estén actualizadas.

Este “incentivo” no existe en México, pues la LFPD no prevé la obligación de registrar las bases de datos personales en posesión de los particulares. Existen muchas razones para ponderar los beneficios e inconvenientes que hubiera conllevado la adición de una carga administrativa adicional en un país que durante mucho tiempo ha sobrecargado de trámites a personas físicas y jurídicas; sin embargo, a la vista de la necesidad que existe por interesar a los responsables en el cumplimiento de esta nueva ley durante su etapa inicial y como refuerzo a la cultura de la protección de los datos personales, nuestro punto de vista es que dicho registro hubiera sido deseable para reforzar las labores de difusión y concienciación sobre la materia.

Con ello, sólo indicar que los profesionales carecen del argumento de la “obligación de inscripción” como refuerzo para motivar el interés y la puesta en marcha de proyectos de adaptación a la LFPD, dado que no existe un incumplimiento inmediato a sus disposiciones proveniente de la falta de inscripción de las bases de datos correspondientes; y de ahí la relativización que hemos detectado hacia el valor de un inventario adecuado de las bases de datos personales que cada organización trata en el seno de sus actividades.

7. Derechos ARCO

Como contrapartida al punto anterior, a partir del 6 de enero de 2012 los titulares de datos personales en México podrán ejercer frente a los particulares los derechos ARCO[9] reconocidos por la LFPD.

Esta fecha viene establecida a través del artículo cuarto transitorio del Decreto que expidió la LFPD,  que fijó en dieciocho meses desde de su fecha publicación el momento a partir del cual los titulares de datos personales “podrán ejercer ante los responsables sus derechos de acceso, rectificación, cancelación y oposición contemplados en el Capítulo IV”. A partir de dicho momento, los titulares también podrán dar inicio, en su caso, al procedimiento de protección de derechos que la misma ley establece (Capítulo VII).

A día de hoy, sigue siendo un misterio el motivo por el cual este plazo ha sido fuente de interpretaciones que, en última instancia y en algunos casos, han comprometido la integridad de los proyectos de adecuación, puesto que algunas empresas interesadas en un proyecto de adecuación a la LFPD no han considerado indispensable abordar de inmediato el diseño y adopción de los procedimientos internos que garanticen la adecuada atención de las solicitudes de ejercicio de los derechos ARCO, ya que consideran abiertamente que si a día de los titulares no pueden ejercer estos derechos, los procedimientos internos no son inmediatamente necesarios.

Evidentemente, esta percepción se traduce en el retraso de toma de decisiones e del inicio de acciones al interior de la organización para asegurar que, precisamente el 6 de enero de 2012, los obligados estén listos para recibir solicitudes de los titulares de datos personales.

El propio Instituto Federal de Acceso a la Información y Datos Personales (IFAI) lo ha marcado así en sus “Recomendaciones para la Designación de la Persona o Departamento de Datos Personales” expresamente indica:

“La persona o departamento de datos personales deberá atender las solicitudes de derechos de acceso, rectificación, cancelación y oposición hasta enero de 2012, de conformidad con el Cuarto Transitorio de la Ley. Por lo tanto, es importante que entre el 6 de julio de 2011 y enero de 2012, se establezcan todos los procedimientos internos para la atención de solicitudes de derechos ARCO.”[10]

8. La persona o departamento de datos personales (designación de un DPO)

Un punto en extremo favorable de la nueva LFPD es la obligación establecida  para que los responsables designen a una persona o departamento de datos personales, que tendrá a su cargo la tramitación de las solicitudes de los titulares, para el ejercicio de los derechos a que se refiere dicha ley. Asimismo, se establece que esta persona o departamento deberá fomentar la protección de datos personales al interior de la organización (artículo 30 de la LFPD).

Por vía de las “Recomendaciones para la Designación de la Persona o Departamento de Datos Personales” que hemos citado, el IFAI describe un perfil y clarifica las funciones que se espera desempeñe la persona o departamento que a partir de ahora será la encargada de responder en tiempo y forma a las solicitudes de derechos ARCO o de dar a conocer al interior de su organización aquellas medidas, acciones o políticas que aseguren el cumplimiento de la ley y fomenten la protección de datos personales.

Algunas funciones destacables que el IFAI recomienda debe asumir la persona o departamento de datos personales, son:

“Establecer y administrar procedimientos para la recepción, tramitación, seguimiento y atención oportuna de las solicitudes para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, […],

Monitorear los avances o cambios legislativos en materia de privacidad y protección de datos personales que pudieran impactar en los ejes rectores y acciones desarrolladas en este tema al interior de la organización, haciendo las adecuaciones necesarias […]

Diseñar y ejecutar una política y/o prácticas de protección de datos personales al interior de la organización, o bien, adecuar y mejorar las prácticas ya existentes en el marco de la Ley;

Difundir y comunicar la política y/o prácticas de protección de datos personales implementadas al interior de la organización, así como capacitar a todo el personal sobre las mismas;

Promover la adopción de esquemas de autorregulación,

Ser el representante de la organización en materia de protección de datos personales ante otros actores.”[11]

Por otro lado, y a través de una aclaración pertinente a la vista de la novedad legislativa de que se trata, el IFAI indica que las funciones de protección de datos personales se podrán realizar a través de:

“1. El propio responsable, cuando se trate de una persona física;

2. Una persona designada por el responsable, que puede ser parte de la estructura o negocio del responsable, o bien un encargado, o

3. Un departamento de la organización.”[12]

Podemos prever dos necesidades inmediatas, que surgen a partir del artículo 30 de la LFPD: (i) formación para el personal de aquellas organizaciones que por su tamaño decidan asumir las funciones mencionadas a través de un departamento ad hoc y (ii) profesionales cualificados que, como encargados del tratamiento, asuman esta responsabilidad en nombre de aquellos responsables que decidan externalizarla (encargado).

En ambos casos, los consultores a cargo de adaptar a cualquier responsable tienen el reto de transmitir la importancia de este rol y de asistir a la organización en la definición o identificación del mejor perfil para asumirlo.

Finalmente, indicar que en la legislación española no existe una figura a fin con las responsabilidades específicas y labores de fomento que la legislación mexicana encarga a esta persona o departamento. En todo caso, es posible considerar que sus funciones encuentran reflejo – si bien en ámbitos distintos- en el “responsable de la protección de datos” a que se refiere el artículo 24 del Reglamento (CE) No 45/2001 del Parlamento Europeo y del  Consejo,[13] que constituye el cuerpo legal en materia de protección de datos de aplicación directa a las instituciones y organismos comunitarios.

 9. Medidas de seguridad

Como en los “viejos tiempos” de la LORTAD (y en cierta medida, de la LOPD),[14] la ley mexicana de protección de datos ha dispuesto que “[t]odo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado”;[15] sin que a día de hoy haya sido publicado el reglamento que establezca o defina cuáles son dichas medidas. En todo caso, justo es indicar nuevamente que la publicación de este reglamento se espera en México a finales de 2011 o principios de 2012.

La existencia de la obligación de establecer y mantener medidas de seguridad, indefinidas para la mayoría de los sujetos de la LFPD, supone un reto para la exposición concreta de este capítulo en cualquier proyecto de adecuación a la Ley: ¿Debemos explicar que dichas medidas eventualmente serán publicadas?; ¿debemos indicar que existen estándares internacionales que prevén este tipo de medidas? o ¿debemos explicar que conocemos el tipo de medidas que se exigen en otros países?

Sin refuerzo reglamentario, la tarea es complicada. Además, no podemos pasar por alto que desde un punto de vista jurídico no resulta adecuado adelantar vísperas sobre el contenido de una disposición, sin conocer su contenido definitivo en la publicación correspondiente y los plazos transitorios que pudieran establecerse.

Con independencia de que a lo largo del proyecto de adecuación se puedan transmitir conocimientos específicos sobre las medidas de seguridad necesarias para el tipo de datos personales tratados, queda por el momento indicar a los responsables que su primera referencia legal en relación con las medidas de seguridad que deben implementar las “marca” la LFPD, de la siguiente forma:

“Los responsables no adoptarán medidas de seguridad menores a aquellas que mantengan para el manejo de su información. Asimismo se tomará en cuenta el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico.”[16]

 10. Conclusiones

La introducción del derecho fundamental a la protección de los datos personales y la entrada en vigor de la LFPD marcarán un hito en la forma en que las organizaciones y los ciudadanos conciben este valor en México. Estamos frente a un cambio significativo en relación con una materia que hasta hace muy poco tiempo ni siquiera formaba parte de la esfera jurídica de dichos ciudadanos.

Como tal, es importante identificar y asumir los retos existentes y los que se avecinan. En México existen enormes condicionantes (económicas, sociales, jurídicas) que pueden dificultar tanto la labor de los profesionales dedicados a este tipo de proyectos, como de la propia autoridad que ya trabaja en labores de concienciación y difusión.

Sin embargo, estoy convencido que la experiencia internacional puede ser una referencia importante -entro otras- para encarar retos como los que en este espacio he descrito. Queda por comprobar si en los próximos años asistiremos a la vigencia plena de la cultura de la protección de datos en México. Yo soy optimista al respecto.

11. Agradecimiento.

No quiero dejar de mencionar el artículo “Claves para identificar un proyecto adecuado de consultoría para implementar la LOPD de forma integral”, publicado por la Asociación Profesional Española de Privacidad (APEP), cuya lectura y reflexión dio paso a algunas de las ideas que aquí he plasmado. En: http://www.apep.es/claves-para-identificar-un-proyecto-adecuado-de-consultora-para-implementar-la-lopd-de-forma-integral/.

Este artículo fue originalmente publicado en: “Agencia de Protección de Datos de la Comunidad de Madrid. Revista digital Datospersonales.org” [fuera de línea]. Madrid: APDCM, 11 de enero de 2012, Número 54.

Fuente de la imagen: Paco Olvera Monterd, shot on June 26, image aviable at Flickr, licensed under a Creative Commons Attribution “Attribution-ShareAlike 2.0 Generic”



[1] El “derecho a la protección de los datos personales” se integró al orden jurídico mexicano como derecho fundamental mediante el “DECRETO por el que se adiciona un segundo párrafo, recorriéndose los subsecuentes en su orden, al artículo 16 de la Constitución Política de los Estados Unidos Mexicanos”, Diario Oficial de la Federación (DOF-México) de 1 de junio de 2009.

[2] Ley Orgánica 15/1999, de 13 de diciembre, de Protección a los Datos de Carácter Personal, Boletín Oficial del Estado de 14 de diciembre de 1999.

[3] DECRETO por el que se expide la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y se reforman los artículos 3, fracciones II y VII, y 33, así como la denominación del Capítulo II, del Título Segundo, de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, DOF-México de 5 de julio de 2010.

[4] Idem, artículo segundo transitorio.

[5] Idem, artículo tercero transitorio (Las negritas son nuestras).

[6] Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, DO L 281 de 23.11.1995, p. 31/50.

[7] “COMUNICACIÓN DE LA COMISIÓN AL PARLAMENTO EUROPEO, AL CONSEJO, AL COMITÉ ECONÓMICO Y SOCIAL EUROPEO Y AL COMITÉ DE LAS REGIONES – Un enfoque global de la protección de los datos personales en la Unión Europea”, Comisión Europea, 4 de noviembre de 2010, Sección 2.2.2. p. 11, .

[8] Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, derogada por la LOPD.

[9] En México, el acrónimo derechos “ARCO” ha sido adoptado y su uso comienza a ser difundido por profesionales en la materia y por la propia administración encargada de aplicar la LFPD, lo cual resulta “normal” si tomamos en consideración el contenido del artículo 28 de la LFPD: “El titular o su representante legal podrán solicitar al responsable en cualquier momento el acceso, rectificación, cancelación u oposición, respecto de los datos personales que le conciernen.”.

[10] “Recomendaciones para la Designación de la Persona o Departamento de Datos Personales”, IFAI, Junio 2011, p. 13, . (Las negritas son nuestras).

[11] Idem, pp. 10-11.

[12] Idem, p. 8. (Las negritas son nuestras).

[13] REGLAMENTO (CE) No 45/2001 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos, DO L 8, 12.01.2001, p. 1.

[14] La LORTAD fue publicada el 31 de octubre de 1992 y el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal fue publicado el 25 de junio de 1999. Por su parte, el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal fue publicado el 19 de enero de 2008.

[15] LFPD, artículo 19.

[16] Idem.

Diciembre, mes emblemático para Instituciones Financieras en protección de datos

bancos_mexicoPor Rodrigo Santisteban Maza

Diciembre de 2013, el Instituto Federal de Acceso a la Información y Protección de Datos ha resuelto dos asuntos que dejan un antecedente importante en la materia del Derecho Humano de Protección de Datos Personales, en este caso, en posesión del sector privado, en específico en poder del sector financiero de nuestro país.

El primer caso, deviene de la solicitud de protección de derechos interpuesto por un particular en contra de Scotiabank Inverlat, S.A. Institución de Banca Múltiple, en virtud de que dicha institución no dio atención dentro del plazo de los 20 días señalados en el artículo 32 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares,  a su solicitud de rectificación.

Dicho caso, a pesar de que fue sobreseído por el órgano garante en virtud de quedarse sin materia el procedimiento; destaca por dos grandes elementos, el primero de estos elementos reside en uno de los alegatos dados por el grupo de abogados de dicha institución financiera, al señalar que el procedimiento de protección de derechos era improcedente por competencia del Instituto Federal de Acceso a la Información y Protección de Datos.

El argumento central de esa incompetencia radicó en el señalamiento que:

“… Resulta incompetente para conocer de la presente solicitud el Instituto Federal de Acceso a la Información y Protección de Datos […], toda vez que, la entidad competente para conocer del presente asunto es la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros…”[1]

Lo anterior, en virtud de que la controversia versa sobre una controversia entre un usuario financiero y el banco.

Al respecto, el Instituto Federal de Acceso a la Información y Protección de Datos en el Considerando Tercero de la resolución (PPD.0098/13),  después del análisis del artículo 38 de la Ley, que establece su obligación como órgano garante de la materia, de vigilar su observancia, y citar el artículo 2 de la LFPDPPP, determinó que el titular presentó su solicitud de rectificación de datos ante la institución financiera, que tiene el estatus de sujeto obligado o de responsable, ya que ésta es la que llevó a cabo el tratamiento de los datos personales.

Agregando, que el ejercicio del derecho de rectificación de datos personales, bajo el amparo de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, no implica, en ningún caso, que el titular de los datos personales se encuentre ejerciendo un derecho como usuario de los servicios financieros de nuestro país.

El segundo elemento que destaca del presente caso, y que a pesar de que no fue analizado a profundidad por el órgano garante, es la evidente inobservancia por parte de los funcionarios del Banco de un procedimiento interno para dar atención a las solicitudes presentadas al amparo de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y en los términos de su Aviso de Privacidad.

Al respecto el Instituto Federal de Acceso a la Información y Protección de Datos señaló:

“… que el Titular presentó su solicitud de ejercicio del derecho de rectificación de datos personales dirigida a la Unidad Especializadas de Aclaraciones (UNE) del Responsable, la cual, según el propio aviso, se encargaría de notificarla al Área de privacidad para su debido trámite, es claro que la referida solicitud fue presentada correctamente ante el Responsable en la forma y por los medios señalados en su aviso de privacidad, motivo por el cual se encontraba obligado a darle trámite y respuesta…”

Ahora bien, esta aparente omisión por parte de los funcionarios adscritos a la UNE del Banco, denota otra posible violación al principio de responsabilidad contemplado en el artículo 6 de la LFPDPPP y desarrollado en el artículo 48 del Reglamento que impone la obligación al Responsable de poner en práctica un programa de capacitación en la materia y sobre todo de los procesos implementados al interior para dar atención a las múltiples obligaciones que devienen de la citada Ley.

Por otro lado, el segundo caso resuelto en el mes de diciembre de 2013 por parte Instituto Federal de Acceso a la Información y Protección de Datos, es en virtud de una denuncia interpuesta por un particular en contra de BBVA Bancomer S.A., Institución de Banca Múltiple, que en resumen fue presentada en virtud de que dicha institución bancaria utilizó sus datos personales sin su consentimiento para tramitar servicios que no requirió, es decir, el trámite de una tarjeta de crédito.

El objeto y alcance de la denuncia, fue fijada por el IFAI, de la siguiente forma:

“… A efecto de constatar el cumplimiento de la LFPDPPP, se ordena el inicio del procedimiento de verificación a la Responsable, cuyo objeto y alcance está dirigido a: 1) verificar la adecuación del aviso de privacidad de la Responsable a la LFPDPPP; 2) verificar la manera en que recaba los datos personales de los titulares; 3) verificar que la Responsable obtenga el consentimiento de los titulares para tratar sus datos personales, de conformidad con el principio de consentimiento previsto en los artículo 8 de la LFPDPPP y 11 y 20 de su Reglamento; 3) [sic] verificar que el tratamiento de los datos personales que da la Responsable se apegue a la legislación en materia de protección de datos personales, en atención a los principios a que se refieren los artículo 6 de la LFPDPPP y 9 fracción I a VIII de su Reglamento…”[2]

En el desarrollo de la denuncia, BBVA Bancomer manifestó que el consentimiento del titular de los datos personales, deriva de una relación jurídica previa al tratamiento objeto de la denuncia –que a saber, el tratamiento consistió en el otorgamiento de una tarjeta de crédito-, y por lo expresado en los correo electrónicos enviados por el particular previamente, configurándose, a su criterio, el consentimiento tácito en virtud de que  el aviso de privacidad correspondiente se encontraba a su disposición  en los carteles o posters colocados en las sucursales, cajeros automáticos, líneas telefónicas, estados de cuenta y en su página de internet; añadiendo que, el titular no ejercito en ningún momento su oposición o revocación de su consentimiento y se le invitó a que conociera su aviso de privacidad mediante su estado de cuenta.

Para poder entender los alcances de la denuncia y la configuración de la violación de algunos principios contemplados en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, es necesario recordar los alcances del principio de información y algunas reglas que debemos observar al momento de recabar el consentimiento de los titulares de los datos personales.

El principio de información, implica la obligación que tienen todos los responsables de informar al titular de los datos personales, sobre la existencia y las principales características del tratamiento a que será sometido sus datos personales, así como las finalidades que se buscan con su obtención; dicho principio, se materializa con los avisos de privacidad,  que es definido por la fracción I, del  artículo 3 de la Ley, como:

“… Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales…”

Como podemos desprender de la anterior cita, por regla general el aviso de privacidad debe ser puesto a disposición del titular previo a  la recolección de sus datos personales, lo que supone que, el titular se encuentra físicamente ante el Responsable; pero cuando, esa información es obtenida por medios electrónicos, óptico, sonoro, visual, o cualquier otra tecnología, de forma inmediata el responsable deberá dar a conocer al titular de los datos personales:

  1. Su identidad y domicilio.
  2. La o las finalidades del tratamiento.
  3. La forma en que puede acceder al aviso de privacidad aplicable al caso[3].

Lo anterior, tiene una lógica muy básica, es evitar que el consentimiento que otorgue el titular de los datos personales, por el cual, nos permita dar tratamiento a su información, se encuentre viciado, ya que éste se debe obtener previo a que sea recabada.

El consentimiento, en términos de la Ley, puede ser manifestado de dos formas: tácito y expreso; este último, será requerido cuando se pretenda recabar datos financieros, patrimoniales, o sensibles, salvo que el tratamiento de los datos, encuadre en alguno de los supuestos establecidos en el artículo 10 de la LFPDPP.

Dentro de la información que fue proporcionada por el titular al responsable, se encuentra, entre otros datos:

Datos recabados Tipo de datos Medio de obtención

Numero de cuenta o tarjeta

Dato patrimonial y financiero

Correo electrónico

Número de cliente Dato financiero Indirecto (se obtiene al momento de ingresar el número de cuenta o tarjeta)
Copia de la credencial para votar expedida por el extinto Instituto Federal Electoral, ahora Instituto Nacional Electoral. Dato identificativo Correo electrónico
Registro Federal de Contribuyentes. Dato fiscal Correo electrónico
Ingreso mensual. Dato patrimonial No se puede determinar la forma de su obtención.

Como hemos señalado, cuando se obtienen datos personales de manera electrónica, como es el caso en concreto, existe la obligación del responsable de comunicar de manera inmediata al titular, su identidad, domicilio, finalidad y mecanismos por medio de los cuales puede conocer el aviso de privacidad; al respecto, el Instituto Federal de Acceso a la Información y Protección de Datos después de analizar las evidencias proporcionadas por las partes, pudo determinar que tal obligación no se vio cumplida por parte de BBVA Bancomer[4], violentando por ende, el principio de información.

Del cuadro anterior, podemos observar que BBVA Bancomer obtuvo diversos datos que requieren en términos de la Ley, la obtención del consentimiento expreso, al respecto, recordemos que uno de los argumentos vertidos por el responsable con respecto a este tema fue:

“… que cuenta con el consentimiento […], derivado de una relación jurídica [preexistente]…”[5].

El Instituto Federal de Acceso a la Información y Protección de Datos, después de analizar los documentos aportados por el Responsable, determinó que:

“… también se desprende que los datos requeridos a la denunciante, no tenían por finalidad cumplir con algún propósito concerniente a la relación jurídica a la que se refiere la Responsable, pues dicha relación a la fecha en que se solicitaron nuevos datos, ya se encontraba plenamente formalizada. En consecuencia, dicha circunstancia no eximía a la Responsable de recabar el consentimiento de la titular para dar tratamiento a los nuevos datos personales…”[6]

Lo que conllevó, a la violación por parte del Banco, del principio del consentimiento, en virtud de que no pudo demostrar fehacientemente su otorgamiento, y sobre todo, que éste hubiere sido otorgado de manera libre, específica e informado, y que hubiere sido inequívoco, es decir, que existan elementos que demuestren su otorgamiento y así se acredite ante el IFAI.

Al violentar ambos principios, a saber, el de información y consentimiento, automáticamente se configuró la violación de otro principio contemplado en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, que es el de licitud.

El principio de licitud, impone la obligación a los responsables de ajustar el tratamiento de los datos personales a lo previsto en la legislación mexicana, en el caso concreto, a la LFPDPPP.

Este caso, aún se encuentra en proceso, por así señalarlo, en virtud de que, a  raíz de ésta denuncia, se ha iniciado el procedimiento de imposición de sanciones contemplado en la Ley, tendremos que esperar unos meses más, para poder conocer a cuanto ascenderán estas infracciones.

En conclusión, podemos señalar que en ambos casos, se hubieren podido evitar sí, la fracción II del artículo 48 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, en virtud de que, si el personal que se encontró involucrado en los procesos hubiere recibido una capacitación constante y especializada en la materia, los riesgos de caer en estos supuestos se hubieren visto disminuido, o en el caso concreto de BBVA Bancomer, no tuviere que enfrentarse al proceso de imposición de sanciones, ya que, hubiere recolectado su ejecutiva(o) de cuenta el consentimiento expreso al inicio del proceso, previo disposición del Aviso de Privacidad.

Otro elemento destacable de ambas resoluciones, radica en que el tema del cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, no se circunscribe exclusivamente en la publicación del Aviso de Privacidad, sino que existe múltiples obligaciones que se deben de observar.

Un punto fundamental de la resolución contra BBVA Bancomer, consiste en que el consentimiento es necesario, a pesar de que exista una relación preexistente, cuando el titular de los datos personales y/o el responsable, persigan la formalización de una nueva relación, cuyo objeto directo o indirecto implique el tratamiento de los datos personales del primero.

[1] Resolución del Expediente PPD.0098/13,. p.p  17 y 18

[2] Resolución: ACT-PRIV/27/11/2013.03.02.01, pág. 8

[3] Artículos 16, 17 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares; y 27 de su Reglamento.

[4] Op. Cit. pág. 15

[5] Op. Cit. pág. 14

[6] Op. Cit. pág. 18

Un paso adelante, el futuro de la transparencia en México

transperncia_mexico

Por Aristeo García González

Hace tan solo algunos días y, luego de varias discusiones por parte de Senadores y Diputados se llegó a un consenso y, finalmente fue aprobado una nueva reforma en materia de transparencia y acceso a la información en México.

Recordemos que,  con la reforma hecha en el año 2007, el Estado mexicano se convirtió en uno de los países pioneros en los temas de transparencia, convirtiéndose en un referente no sólo para otros países, sino incluso, a nivel internacional, como en el caso de la Organización de los Estado Americanos.

Ahora, en el año de 2013, tal parece que México, quiere tomar nuevamente la iniciativa, a fin de consolidar uno de los temas principales para el buen desarrollo de un gobierno democrático, como es el caso de la transparencia y la rendición de cuentas[1]. Motivo por el cual, la reforma aprobada por el Congreso mexicano establece nuevas medidas para fortalecer la rendición de cuentas de aquellas instituciones y sujetos que reciben y hacen uso de recursos públicos.

Dicha reforma aprobada el 26 de noviembre de 2013 y, a la espera de ser avalada por los Congreso de los Estados, entre otras cosas, amplia la transparencia y rendición de cuentas, otorga autonomía plena al Instituto de este organismo y sus resoluciones “serán inatacables, para que el ciudadano cuente con mejores herramientas para evaluar a sus funcionarios y representantes[2].

Pero, veamos algunas de las incorporaciones y adecuaciones que formarán parte del  contenido del artículo 6º de la Constitución mexicana y que, seguramente, se convertirán nuevamente en un referente internacional.

Un primer aspecto a destacar con dicha reforma, lo constituye el hecho de se busca una mayor transparencia con la publicación de toda información que se encuentre en posesión de cualquier autoridad, entidad, partido, institución, órgano, sindicato, fideicomiso o persona moral o física que reviva o ejerza recursos públicos. Lo cual quedará recogido en el apartado A, fracción I, en los siguientes términos:

“Toda la información en posesión de cualquier autoridad, entidad, órgano y organismo de los Poder Ejecutivo, Legislativo y Judicial, órganos  autónomos, partidos políticos, fideicomisos y fondos públicos, así como de cualquier persona física, moral o sindicato que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito federal, estatal y municipal, es publica…”.

De igual manera, pero esta vez en su fracción V, se establece que los sujetos obligados, “…deberán preservar sus documentos en archivos administrativos actualizados y publicaran, a través de los electrónicos disponibles la información completa sobre el ejercicio de los recursos públicos…”.

No cabe duda, con esta nueva modalidad de publicación de la información se pone en evidencia, el futuro próximo de la transparencia y el acceso a la información, esto es, su disponibilidad en medios electrónicos, con lo que se facilitara su uso, el acceso y consulta.

Otro de los aspectos destacados y que se contempla en dicha reforma, es el reconocimiento de autonomía a la institución encargada de garantizar la transparencia y el acceso a la información, como es el caso del Instituto de Transparencia y Acceso a la Información (IFAI), lo cual le permitirá tener una mayor libertad técnica y de gestión. Esto es:

“La Federación contará con un organismo autónomo, especializado, imparcial, colegiado con personalidad jurídica y patrimonio propio, con plena autonomía técnica y de gestión, capacidad para decidir sobre el ejercicio de su presupuesto y determinar su organización interna…”.

En definitiva, el IFAI se  unirá a la lista de órganos autónomos existentes en México, tal es el caso del Instituto Federal Electoral (IFE), la Comisión Nacional de los Derechos Humanos (CNDH), el Banco de México (Banxico).

Asimismo, el nuevo IFAI podrá intervenir en las resoluciones que emitan los institutos de transparencia de los Estados y del Distrito Federal, a petición de los ciudadanos, de los propios órganos o por voluntad propia.

 “También conocerá de los recursos que interpongan los particulares respecto de las resoluciones de los organismos autónomos especializados de los Estados y el Distrito Federal que determinen la reserva, confidencialidad, inexistencia o negativa de la información”. Lo cual se recoge en el texto.

Aspecto también a destacar, lo constituye el hecho de que las resoluciones del IFAI serán vinculantes, definitivas e inatacables por parte de los sujetos obligados, excepto en los casos que se considere que habría afectaciones a la seguridad pública.

De igual manera, la información pública objeto de reserva temporal, solo lo será por razones de interés público y seguridad nacional, en los términos que fijen las leyes.

Finalmente, se amplía el número de integrantes del IFAI pasando de cinco a siete, quienes deberán ser ratificados por el Senado y, cuya duración de su encargo será de siete años. De igual manera, se incorpora la creación de un Consejo Consultivo, mismo que estará integrado por diez miembros electos por mayoría calificada del Senado.

En definitiva, aún y cuando dicha reforma deberá ser avalada por los Congresos estatales y, posteriormente ser promulgada por el Ejecutivo Federal. Una vez lo anterior, tendremos que darle tiempo al tiempo para poder ver la efectividad de las instituciones y, sí los gobiernos acatan estas nuevas disposiciones.

Aunque, seguramente a varios de ellos, no les hará gracia el hecho de que ahora le IFAI podrá atraer los casos en que los ciudadanos se sienta que en sus Estados no les respondieron adecuadamente.

No queda más que esperar y ver si realmente el IFAI se consolida como un organismo autónomo e independiente.


[1] Situación por ejemplo que no ha acontecido en el Estado español, donde el Congreso de los Diputados aprobó la primera Ley de Transparencia, acceso a la información y buen gobierno. Sin embargo, diversos sectores han  manifestado que dicho texto es insuficiente y contiene graves carencias y contradicciones. Mas sobre dichas opiniones pueden verse en la página web:  http://www.access-info.org

[2] El texto completo de la misma puede verse en la Gaceta Parlamentaria de la Cámara de Diputados, año XVII, número 3914-IIm de 26 de noviembre de 2013. Consultable en la página web: www.diputados.gob.mx

México, inseguridad y protección de datos

mexico_lopd_3

Por Alberto Cuesta Ureña

Es sabido que la actual situación de este precioso país norteamericano es conflictiva a nivel social, la delincuencia es un grave problema para nuestros hermanos mejicanos. Puede ser cuestión de vida o muerte para una persona, que determinadas bandas conozcan sus datos personales. Por este motivo, adquiere suma importancia limitar la difusión pública y no consentida de datos como dirección postal, teléfono, profesión, hábitos, posicionamientos personales originados por la geolocalización, etc, para evitar que puedan ser usados con fines delicitivos.
Esta razón, entre otras de carácter económico, han provocado que desde 2010 México cuente con la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) y desde diciembre de2012, del Reglamento que la desarrolla. Dicha legislación se basa a nivel constitucional en el artículo 16 de dicho texto legal.
Respecto a la legislación española de protección de datos, no existen diferencias en los siguientes puntos: los datos pertenecen al titular; la autodeterminación informativa es un derecho de las personas, es decir, éstas tienen derecho a saber para qué finalidades se usan sus datos y que datos posee una organización; concurre la figura del encargado del tratamiento; se promueven la autorregulación vinculante en forma de códigos éticos, buenas prácticas y sellos de confianza;  rigen el principio consentimiento, proporcionalidad en la recogida, licitud en la recogida de datos.
Aunque sí encontramos una gran diferencia a nivel sancionador. Observamos que el ordenamiento mejicano contempla la imposición de sanciones civiles y penales y no sólo administrativas como en España.  El órgano regulador, el Instituto Federal de Acceso a la Información y protección de datos (IFAI), órgano análogo a nuestra AEPD, es el encargado de la imposición de sanciones en caso de incumplimiento, las cuales son de orden administrativo, civil y penal, ya que se contemplan multas desde 100 a 320 días de salario mínimo (unos 19,945,600 pesos). También se contemplan sanciones civiles que resultan aplicables tras un tratamiento indebido de la información. Y llegamos a lo más sorprendente desde el punto de vista europeo, se regulan  penas de cárcel por incumplimientos de protección de datos, que van de los 3 meses a los 10 años de prisión, por la infracción más grave.
Desde mi perspectiva, la inclusión de penas de prisión es debido a la alta delincuencia existente hoy día en la nación mexicana y el grave riesgo de sufrir un ataque que supone para la población la falta de control de la información personal. Se han producido supuestos en los que el robo de información personal ha facilitado la muerte de una persona y con esta Ley y Reglamento, se intenta atajar este hecho.
Como conclusión, una vez más, observamos que la normativa de reciente creación en un estado latinoamericano, vuelve a beber del derecho europeo de protección de datos, confirmándose como ejemplo para numerosas regulaciones del planeta.

IFAI impone multas por $24.8mdp a Telcel, Universidad Intercontinental y Tarjetas Banamex

banamex

Por Joel Gómez Treviño

En actuaciones que siguen sorprendiendo a la industria, el Instituto Federal de Acceso a la Información y Protección de Datos Personales (IFAI) recientemente ha publicado en su portal diversas multas por violaciones en materia de datos personales impuestas a:

  • Universidad Intercontinental –UIC– (7 multas en dos procedimientos que suman $8,725,750).
  • Radiomovil Dipsa –TELCEL– (2 multas que suman $6,264,165).
  • Tarjetas Banamex –BANAMEX– (4 multas que suman $9,848,140).

Resulta el hecho más notorio el relacionado con la Universidad Intercontinental. Durante los meses de junio a septiembre de 2011 el afectado tomó terapia psicológica en el Centro Universitario de Salud Mental Área de Psicoterapia Psicoanalítica de la citada universidad. Durante las sesiones el titular de los datos reveló temas relacionados con la esfera más íntima de su persona, respecto a su vida familiar, amigos, trabajo, compañeros de trabajo, sexual, así como buenas y malas experiencias de su infancia. Un año después de haber finalizado las terapias, la esposa del afectado se encontró en Google la transcripción completa de todas y cada una de las sesiones tomadas en la UIC, publicadas en el sitio “scribd.com”. Ello implicaba que el titular fue grabado (sin su consentimiento) para que posteriormente pudiesen transcribir dichas sesiones. Al tratarse de datos personales sensibles los que estuvieron involucrados en estos malos manejos, las multas fueron considerables.

No menos importante fue el caso de TELCEL. El IFAI informó que sin autorización del titular, Radiomovil Dipsa accedió a cuatro de sus contactos (ubicados en su teléfono celular), a quienes hizo llamadas y envió mensajes para conocer el nombre, número de celular y número de cuenta del cliente, a fin de ponerlos al tanto del adeudo y gestionar por medio de ellos la cobranza del servicio.

También relacionado con asuntos de cobranza es el caso de BANAMEX. El IFAI recibió la denuncia de un particular contra Tarjetas Banamex, argumentando que la empresa entregó sus datos personales a un despacho jurídico, el cual hablaba por teléfono al particular para reclamar adeudos de otra persona. La institución bancaria se había comprometido a cesar las llamadas telefónicas de cobranza, sin embargo, no cumplió.

Pese a que otra empresa del grupo Banamex había sido multado con anterioridad por el monto más grande que ha fincado el IFAI ($16,155,936), en esta ocasión la institución bancaria vuelve a incumplir con la ley. Sin duda Banamex confía en su equipo legal, pues ya anunció que promoverá  una demanda de nulidad para evadir estas multas.

Las razones específicas que motivaron al IFAI a imponer estas multas son las siguientes:

UIC Universidad Intercontinental, A.C. (PS.0011/13)

$1,246,600 pesos por dar tratamiento a los datos personales en contravención a los principios establecidos en la presente Ley.

$934,500 pesos por omitir en el aviso de privacidad, alguno o todos los elementos a que se refiere el artículo 16 de esta Ley.

$1,558,250 pesos por incumplir el deber de confidencialidad establecido en el artículo 21 de esta Ley.

$1,558,250 pesos por tratarse de datos personales sensibles, la multa anterior se incrementó en un 100%.

Radiomovil Dipsa, S.A. de C.V. (PS.0009/13)

$3,272,325 pesos por incumplir el deber de confidencialidad establecido en el artículo 21 de esta Ley.

$2,991,840 pesos por cambiar sustancialmente la finalidad originaria del tratamiento de los datos, sin observar lo dispuesto por el artículo 12 (El tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas en el aviso de privacidad).

UIC Universidad Intercontinental, A.C. (PS.0008/13)

$934,950 pesos al evidenciar el dolo en la tramitación de la solicitud de acceso y cancelación de los datos personales y datos personales sensibles del Titular.

$1,246,600 pesos por no efectuar la cancelación de los datos personales y datos personales sensibles que legalmente procedan cuando resulten afectados los derechos del Titular.

$1,246,600 pesos por tratarse de datos personales sensibles, la multa anterior se incrementa en un 100%.

Tarjetas Banamex, S.A. de C.V., SOFOM, E.R. (PS.0007/13)

$1,495,920 pesos por dar tratamiento a los datos personales en contravención a los principios establecidos en la presente Ley.

$1,246,600 pesos por mantener datos personales inexactos cuando resulte imputable al responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de los titulares.

$3,490,480 pesos por obstruir los actos de verificación de la autoridad.

$3,615,140 pesos por continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del mismo por el Instituto o los titulares.

Estimado lector, ¿sigues pensando que no hay nada de qué preocuparse en esta materia? A la fecha el IFAI ha impuesto multas por un total de $48,957,260 pesos por incumplimiento a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Recuerda que tener tus Avisos de Privacidad ¡no es suficiente! Son muchas las obligaciones que hay que cumplir en esta materia. Más vale prevenir que lamentar.