En México, cobranza extrajudicial y tratamiento de datos personales. Experiencias y nueva Guía del IFAI

llamada

Por Héctor E. Guzmán Rodríguez

Poca gente lo sabe, pero hace 20 años trabajé en una “Agencia de Cobranza”. Fue tan poco el tiempo que pasé en este empleo (apenas 4 meses), que ni siquiera figura en mi currículum. Ahora, después de esta “confesión” por escrito, este antecedente laboral y su valor como dato personal ha sido revelado para todo aquél que lea estas líneas… es el riesgo de escribir y compartir.

El valor que dicha experiencia tiene para mí, dedicado ahora a la protección de datos personales en su vertiente legal, no es poco, pues desde que comencé a brindar asesoría legal en México sobre esta materia, y tomando en cuenta la existencia de un principio de información relacionado con el tratamiento de datos personales, materializado (casi en exclusiva) a través de los famosos Avisos de Privacidad, siempre he recomendado incluir la cobranza extrajudicial como parte de las finalidades del tratamiento de datos personales, relacionada con diversas actividades de nuestros clientes, amén de otras obligaciones relacionadas con el resto de principios de protección de datos.

Debo decir que esta recomendación no siempre ha sido bien recibida. La “obviedad” de la actividad, para todos aquellos clientes que prestan servicios financieros o que comercializan bienes, era de tal grado que a éstos les parecía (y les sigue pareciendo) un auténtico despropósito. La sorpresa crece cuando recomiendo someter a revisión el marco contractual de la cobranza, indicando que es necesario determinar si existe una transferencia o una remisión de datos hacia el tercero que la efectúa; o dicho en otros términos: definir si los datos serán comunicados a un Responsable (receptor) o a un Encargado.

Por estas y otras razones, me causó mucho agrado conocer que el Instituto Federal de Acceso a la Información Pública y Protección de Datos (IFAI) publicó (en coordinación con la Comisión Nacional para la Defensa de los Usuarios de las Instituciones Financieras [CONDUSEF]) su “Guía para para orientar el debido tratamiento de datos personales en la actividad de cobranza extrajudicial” (la Guía), la cual puede ser descargada en este link.

Más allá de que esta Guía sirve como vehículo para recordar a sus lectores los principios, derechos y obligaciones que rigen la protección de datos personales, contenidos en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la LFPD); el motivo de su publicación y el análisis específico que sobre la actividad de cobranza extrajudicial contiene, arrojan luz sobre cuestiones que son menos conocidas o publicitadas, tales como la necesidad (o no) de informar sobre la comunicación de los datos personales de los Titulares hacia los “Despachos de Cobranza”, las modalidades en que dicha comunicación puede realizarse (transferencia o remisión), y recomendaciones específicas para el cumplimiento de los principios y los deberes antes referidos.

La publicación de la Guía viene precedida de información recaba por la CONDUSEF, durante los años 2011 a 2013. Durante ese periodo, se dice que dicha Comisión recibió 100,391 quejas relacionadas con la actividad de cobranza extrajudicial. Las quejas recibidas se centraron en tres motivos principales:

  • La persona contactada no era el cliente-deudor (72%),
  • La persona contactada recibió maltratos u ofensas por parte de los “cobradores” (18%),
  • La persona fue contactada en relación un crédito que ya había pagado (7%).

En análisis de esta situación, el IFAI determinó, por obvias razones, que las quejas están directamente vinculadas con la protección de datos personales, encontrando que los principios con mayor incidencia de vulneración eran los de calidad e información.

Para comprensión de la Guía, el IFAI ofrece, entre otras, las siguientes definiciones:

  • Cobranza Extrajudicial: Actividad que realiza una entidad financiera directamente o a través de un Despacho de Cobranza, a fin de requerir el pago de las obligaciones contraídas por el deudor, o para negociar o reestructurar los créditos, préstamos o financiamientos.
  • Despacho de Cobranza: Despacho externo, incluyendo a terceros o representantes, que realiza la cobranza, negociación o reestructuración de los créditos, préstamos o financiamientos, y que actúa como intermediario entre las entidades financieras y comerciales y el deudor, a fin de recuperar los adeudos de la entidad en cuestión.
  • Entidad: Entidad financiera o comercial.

En la Guía que reseñamos, encontraremos recomendaciones específicas (y elementales), tales como:

  • Conocer la normatividad aplicable a la cobranza extrajudicial (principio de licitud),
  • No utilizar identidades falsas con la finalidad de obtener datos personales de los deudores (principio de lealtad),
  • Tratar a deudores y personas que se contacten con motivo de la cobranza con respeto y en horarios adecuados (principio de lealtad),
  • No utilizar información falsa o engañosa, para amenazar a los titulares (principio de lealtad),
  • No enviar documentos que aparenten ser escritos judiciales o hacerse pasar como representantes de órgano judicial u otra autoridad, con el fin de amedrentar al deudor (principio de lealtad),
  • El Responsable (la Entidad) deberá dar a conocer al Titular el Aviso de Privacidad para el otorgamiento del crédito, préstamo o financiamiento, previo a la obtención de los datos personales. Dicho Aviso de Privacidad deberá contener, como una de las finalidades del tratamiento, lo relativo a la actividad de cobranza (principio de información),
  • Los Despachos de Cobranza que adquieran una cartera vencida, y que en ese sentido se conviertan en Responsables, deberán dar a conocer su Aviso de Privacidad en el primer contacto que tengan con los deudores (principio de información).
  • Dado que la actividad de cobranza se enmarca en una relación jurídica entre el Titular y el Responsable, no requiere del consentimiento del Titular (artículo 10 de la LFPD, principio del consentimiento),
  • Si el Responsable obtiene datos personales por medio de una transferencia, para la finalidad de Cobranza Extrajudicial, deberá verificar que la transferencia se haya realizado conforme a los requisitos que establecen la LFPD y su Reglamento (principio del consentimiento),
  • Incluir en el aviso de privacidad, la actividad de cobranza como una finalidad más del tratamiento de datos personales (principio de finalidad),
  • Utilizar y obtener sólo los datos personales que sean necesarios y relevantes para la finalidad de cobranza extrajudicial (principio de proporcionalidad),
  • Instruir a los Despachos de Cobranza que supriman y/o regresen a la Entidad los datos personales de los deudores cuyos asuntos hayan sido resueltos por parte de ésta (principio de calidad),
  • Mantener actualizados los datos relativos al estatus de la deuda, a fin de evitar información errónea en cuanto a la calidad de deudor de una persona que haya cumplido con sus obligaciones (principio de calidad),
  • Supervisar constantemente las actividades realizadas por los Despachos de Cobranza contratados, así como el estado de los reclamos presentados (principio de responsabilidad),
  • Poner en práctica programas de capacitación, actualización y concientización del personal, en materia de protección de datos personales (principio de responsabilidad).

En cuanto a los deberes de seguridad y confidencialidad, el IFAI recomienda, por ejemplo:

  • Consultar herramientas elaboradas por el IFAI en materia de cumplimiento del deber de seguridad, disponibles en la Sección “Documentos de Interés. Seguridad de los Datos Personales” del portal de dicho Instituto,
  • Evitar divulgar, sin consentimiento del deudor, sus datos personales a terceros,
  • Evitar el uso de correos electrónicos, correspondencia, mensajes de texto o voz o cualquier otro, que den a conocer a terceros la condición de deudor o datos relacionados con la actividad de cobranza.

Además, en la Guía se indica que se consideran conductas “inadecuadas”:

  • La divulgación en medios públicos de listas de deudores que se nieguen a pagar una deuda, o
  • La creación de registros especiales, distintos a los que permiten las leyes, para hacer del conocimiento general la negativa de pago de los deudores.

Uno de los aspectos que mayor confusión causan tanto a Entidades como a Despachos de Cobranza, lo constituye la definición de su papel como Responsables o Encargados. En muchas ocasiones, transmitir la diferencia entre una figura y otra (y no sólo en relación con la cobranza extrajudicial) constituye una tarea que requiere varias sesiones o reuniones con las partes interesadas dentro de una organización. La Guía, afortunadamente, también brinda orientación al respecto.

Por una parte, clarifica que la comunicación de datos personales entre la Entidad y un Despacho de Cobranza, con motivo de una venta de cartera a este último, se considera una transferencia, por lo que debe informarse de ella en el Aviso de Privacidad correspondiente (aunque el consentimiento para realizarla no sea necesario).

Por otro lado, se indica de forma clara que la comunicación de datos personales a Despachos de Cobranza, cuando éstos no adquieren la propiedad de la cartera, sino que prestan el servicio de cobranza a nombre y por cuenta de la Entidad, no se considera transferencia, sino remisión, por lo que no existe obligación de informarla a través de un Aviso de Privacidad, ni de obtener el consentimiento del Titular para que ésta ocurra.

Además, la Guía recuerda que los Encargados pasarán a considerarse Responsables (con todas las consecuencias jurídicas que ello implica) si destinan o utilizan los datos personales para una finalidad distinta a la autorizada por el Responsable (la Entidad) o si efectúan una transferencia de los datos en contravención a las instrucciones de dicho Responsable.

Finalmente, en cuanto a la atención de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), cabe destacar que la Guía asume correctamente una realidad evidente: es muy probable que estos derechos van a ser ejercidos frente a los Despachos de Cobranza y que, por lo tanto, sean éstos quienes recibirán las solicitudes de los Titulares al respecto.

Ante dicha realidad, la Guía recomienda la adopción de procedimientos o protocolos de actuación para determinar adecuadamente la forma en que Entidades y Despachos de Cobranza deberán atender las previsibles solicitudes de derechos ARCO que, en este materia, son el pan nuestro de cada día; sin olvidar que en última instancia es el Responsable quien está obligado a dar atención a las solicitudes correspondientes.

Como comentario final, debemos indicar que la Guía es un documento de 48 páginas, por lo que es obvio que aquí no hemos hecho sino un brevísimo resumen de la misma. Su consulta y conocimiento nos parecen elementales tanto para Entidades como para Despachos de Cobranza; sin embargo asumimos que su difusión apenas ha iniciado y que, por lo tanto, como asesores y consultores en la materia, debemos participar en la transmisión de su contenido y, sobre todo, en la recomendación de adopción de sus múltiples acciones de cumplimiento.

Imagen cortesía de imagerymajestic en FreeDigitalPhotos.net

Desde México … censura y espionaje en puerta

spy_mexicoPor Viridiana López Ávila

Estamos despidiendo el año 2014, un año importante para nuestro país en materia de telecomunicaciones, porque esta ley representa la apertura de la competencia en el sector, pero también puede ser la que ponga en riesgo la libertad de expresión en México y promueva de forma indirecta la censura de periodistas, blogueros, ciber activistas, y usuarios de redes sociales en internet.

La nueva Ley de Telecomunicaciones y Radiodifusión logró despertar un amplio debate nacional, desde su génesis un año antes con las reformas constitucionales, a través de las que se visualizaba un México comprometido con el sistema democrático, sin embargo nos pusieron una trampa con el contenido de los artículos 189 y 190 de la citada norma.

Esto porque el tema de rastreabilidad y acceso a datos personales de los usuarios de telecomunicaciones serán efectivos a partir de enero, induciendo de forma indirecta a la censura y censura previa, porque “Los concesionarios de telecomunicaciones y, en su caso, los autorizados deberán: 1.  Colaborar con las instancias de seguridad, procuración y administración de justicia, en la localización geográfica, en tiempo real, de los equipos de comunicación móvil, en los términos que establezcan las leyes. Cualquier omisión o desacato a estas disposiciones será sancionada por la autoridad, en los términos de lo previsto por la legislación penal aplicable”. (El subrayado es propio)

Otorgar este poder a las instancias de procuración de justicia y seguridad es riesgoso porque las instituciones podrían abusar de esta facultad, sobre todo considerando el escenario adverso de la política y el reclamo social hacia el presidente Enrique Peña Nieto. Y es que estos instrumentos legales pueden ser utilizados para callar voces.

Organizaciones y activistas de derechos humanos promovieron amparos y han advertido del riesgo que supone la entrada en vigor de este punto de la Ley Telecom, toda vez que vulnera otros derechos humanos a parte de la libertad de expresión.

En México, 2014 se caracterizó por el hartazgo social generalizado hacia la ejecución del poder, tanto las calles como la red de internet han sido los espacios para manifestar el descontento del sistema de gobierno y político del país.

Este año cierra con nuevas batallas que pelear, y es que un Estado que no apuesta por el respeto a los derechos humanos condena a su población a continuar en la marginación, pobreza y subdesarrollo.

¿Cumples con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares?

cumplimiento_mexicoPor Rodrigo Santisteban Maza

Existen una gran diferencia entre cumplir de forma o fondo con la normatividad de protección de datos personales vigente en nuestro país, la primera puede ayudarte a generar una aparente ventaja competitiva, pero puede generar una disminución importante en las utilidades; y la segunda no sólo puede generar una ventaja competitiva, sino que además puede ayudar al crecimiento del negocio, con el consabido crecimiento a corto y mediano plazo de las utilidades.

Pero ¿cómo se determina sí la empresa, o consultorio o negocio cumplen de fondo con la normatividad de protección de datos personales? la respuesta no es tan sencilla, primero se debe recordar que, el cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares no se centra con tener un aviso de privacidad y una política de privacidad que se encuentran guardas en un cajón de la oficina acumulando polvo.

Supongamos que la empresa, o consultorio, o negocio cuentan con esos dos elementos básicos señalados en el párrafo anterior y que demanda la citada Ley, veamos si con eso se cumple de fondo la normatividad de protección.

El Aviso de Privacidad nos ayuda a cumplir con múltiples principios contemplados en la Ley, pero en específico el de información, que implica, comunicar al titular de los datos personales las finalidades por las que se requieren su información, así como, los datos que serán recabados.

Pero ¿cómo determinar si el Aviso de Privacidad que actualmente cuentan cumple de fondo con lo requerido por la normatividad vigente en materia de protección de datos personales? la respuesta es fácil, el Aviso de Privacidad debe estar dando respuesta a las siguientes preguntas:

  • ¿Quién recaba los datos personales? (el responsable).
  • ¿Cuál es su domicilio?
  • ¿Por qué se requieren los datos personales? (finalidad)
  • ¿Qué datos se requieren?
  • En caso de recabar o dar tratamiento a datos personales de tipo patrimoniales o sensibles ¿cuenta con una casilla de oposición o el señalamiento de un procedimiento para manifestar su oposición?
  • ¿A quién se pueden transferir los datos personales?
  • ¿Cuáles son los motivos de esa transferencia?
  • ¿Cuál es el país de destino en dónde se encuentra la empresa que recibirá los datos personales?
  • ¿Cómo se puede oponer el titular a las transferencias?
  • ¿Cómo y ante quién se ejercitan los Derechos ARCO y revocación del consentimiento?
  • ¿Cómo pueden los titulares de los datos personales controlarlos una vez que se hubieren entregado?

La respuesta que se den a esas preguntas, permitirán dar respuesta a una pregunta recurrente que nos hacen ¿cuántos Aviso de Privacidad se requieren?, la cual, se dará a partir de la respuesta que se de a la pregunta ¿por qué se requieren los datos personales?, con la que se podrá fragmentar el grupo poblacional a los que se recaban los datos personales y cada grupo debe contar con su Aviso de Privacidad, esto con el fin de evitar, tener un aviso de privacidad que confunda a los titulares, ya que no son las mismas finalidades y datos que se requieren en el proceso de selección y reclutamiento de personal, que los que se requieren de un cliente.

Teniendo establecido el alcance de los Aviso de Privacidad, es de recordar que estos no son diseñados para ser guardados en alguna gaveta, sino que se deben poner en práctica, y ser sometidos a revisiones periódicas.

Ahora bien, el segundo elemento de fondo es la política de privacidad, la cual, debe dar evidencia de todos y cada uno de los elementos que establece el artículo 47 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, así como, los procesos de gestión de los datos personales, los cuales, deben estar alineados a las políticas de seguridad y de procesamiento del resto de la información, y a la cultura de Responsabilidad Empresarial o Códigos de Ética.

Adecuarse a la normatividad de datos vigente en nuestro país, significa haber introducido cambios en los procesos de gestión, así como la adopción de una cultura preventiva de riesgos y una socialización del tema entre las personas que colaboran en la empresa, consultorio o negocio.

Esa adecuación, no se limita a dar vida a los Aviso de Privacidad y a la Política de Privacidad, sino que además implica la adopción, en su caso, de convenios de transferencias, de confidencialidad en materia de protección de datos personales aunado a las cartas responsivas, así como a los procesos para la atención de los Derechos ARCO y Revocación del Consentimiento, de atención de brechas de seguridad, de limitación de instalación de cookies en las páginas de internet, etc.

Estos son algunos elementos de fondo que se deben tener en cuenta para determinar si la empresa, negocio, o consultorio, cumplen con la Ley, en caso contrario, se está enfrente de un gran riesgo monetario y de imagen corporativa.

Fuente de la imagen: Potencial PyMES.

Tips legales para realizar promociones publicitarias

publi_webPor Joel Gómez Treviño

Una de las actividades más recurrentes de toda área de marketing que busca fomentar la compra de un producto o servicio es el lanzamiento de promociones dirigidas al mercado meta.

Para la Ley Federal de Protección al Consumidor, se consideran promociones las prácticas comerciales consistentes en el ofrecimiento al público de bienes o servicios:

  1. Con el incentivo de proporcionar adicionalmente otro bien o servicio iguales o diversos, en forma gratuita, a precio reducido o a un solo precio;
  1. Con un contenido adicional en la presentación usual de un producto, en forma gratuita o a precio reducido;
  1. Con figuras o leyendas impresas en las tapas, etiquetas, o envases de los productos o incluidas dentro de aquéllos, distintas a las que obligatoriamente deben usarse; y
  1. Bienes o servicios con el incentivo de participar en sorteos, concursos y otros eventos similares.

Si bien la ley mencionada establece que “No se necesitará autorización ni aviso para llevar a cabo promociones, excepto cuando así lo dispongan las normas oficiales mexicanas, en los casos en que se lesionen o se puedan lesionar los intereses de los consumidores”, es importante considerar que la “NORMA Oficial Mexicana NOM-028-SCFI-2007, Prácticas comerciales – Elementos de información en las promociones coleccionables y/o promociones por medio de sorteos y concursos” es de observancia obligatoria para las personas físicas o morales que lleven a cabo promociones coleccionables o mediante sorteos y concursos dentro de la República Mexicana. En virtud de esta NOM es indispensable presentar un “Aviso de Promoción” ante la Procuraduría Federal de Protección al Consumidor, cuando menos tres días hábiles antes del inicio de éstas.

En las promociones y ofertas se observarán las siguientes reglas:

  1. En los anuncios respectivos deberán indicarse las condiciones, así como el plazo de duración o el volumen de los bienes o servicios ofrecidos; dicho volumen deberá acreditarse a solicitud de la autoridad. Si no se fija plazo ni volumen, se presume que son indefinidos hasta que se haga del conocimiento público la revocación de la promoción o de la oferta, de modo suficiente y por los mismos medios de difusión, y
  1. Todo consumidor que reúna los requisitos respectivos tendrá derecho a la adquisición, durante el plazo previamente determinado o en tanto exista disponibilidad, de los bienes o servicios de que se trate.

En resumen, es importante tomar en cuenta las siguientes recomendaciones en el lanzamiento de cualquier promoción:

  • Toda promoción debe tener reglas claras y cumplir con lo que a tal efecto establece la Ley Federal de Protección al Consumidor y la NOM-028-SCFI-2007 (Aviso de Promoción e Información al Consumidor).
  • Toda promoción que se lleve a cabo por internet debe además considerar cumplir con las reglas particulares que cada red social establece en temas de publicidad y promoción. Recuerda, “el que todo mundo haga algo” de determinada manera, no significa que sea lo correcto.
  • Toda promoción que involucre el tratamiento de datos personales (cualquier operación que se realice con datos personales, como su obtención, uso, divulgación, almacenamiento, cancelación y supresión) requiere cumplir con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, particularmente debe contar con un Aviso de Privacidad y respetar los principios de tratamiento de datos personales que marca la ley.
  • Por último, es indispensable que toda promoción sea revisada por un abogado especialista en la materia antes de comunicarla al público.

Hace poco un cliente me pidió que revisara si su promoción cumplía con todas las legislaciones aplicables en América Latina, pues la misma se iba a implementar regionalmente. Cuando le dije cuáles serían los honorarios correspondientes me dijo, “no mejor revisa que cumpla nada más con lo de México”. No obstante, a los pocos meses me entere que fueron multados en Brasil con $10,000 dólares por no cumplir con la legislación local. Si no quieres gastar en asesoría legal especializada, asume las consecuencias. Lo peor no son las multas, sino el impacto reputacional que puede sufrir la marca si se hace público una multa o un incumplimiento a la ley.

El derecho a la información y la protección de los datos personales. Dos valores complementarios: el caso mexicano

mexico_pd

Por Aristeo García González

Acceso a la información y protección de datos en México.

La protección de datos personales en México hasta hace algunos años había sido una tarea pendiente por parte del legislador mexicano. En el año del 2007 se reabriría un viejo debate por virtud de la reforma al Artículo 6º de la Constitución Política de los Estados Unidos Mexicanos[1] –en adelante, Constitución Mexicana– y, en donde por primera vez se incorporaría una mención expresa a los datos personales[2].

Sin embargo, con dicha incorporación se aludiría más a una “garantía institucional” que al reconocimiento de un nuevo derecho, como lo es la protección de los datos personales. En virtud de que se trataba más bien de un mandato al legislador, quien a partir de él es que debería proteger otros bienes jurídicos, entre los que se encontraban los datos personales[3].

En un sentido lato y, previo a dicha reforma de 2007 se había incorporado en la parte última del citado artículo constitucional el siguiente texto: el “derecho a la información será garantizado por el Estado” allá por 1977[4].

A partir de entonces, es que se vendrían a reformular las libertades tradicionales de expresión e imprenta, con la firme intención de adaptarlas a la situación actual, constituyendo así, el moderno contenido (reciente) del derecho a la información[5]. Ya que a partir del derecho a la libertad de expresión –donde todo individuo tiene el derecho a la libertad de opinión y expresión, y comprende el derecho a no ser molestado, el de investigar y recibir informaciones y opiniones, sin limitación de fronteras, por cualquier medio de expresión– se iba a desprender su contenido.

Fue entonces que en 1977, en México, el derecho a la información había nacido para atribuir potestad a los partidos políticos para que estos pudieran acceder a los medios de comunicación[6]. Posteriormente, este mismo derecho adquiriría un matiz social, y consecuentemente un carácter individual.

En palabras de LÓPEZ AYLLÓN, el derecho a la información comprende tres facultades interrelacionadas: la de buscar (investigar), de recibir o difundir informaciones, opiniones o ideas[7]. En lato sensu viene a constituir una “prerrogativa fundamental” en donde toda persona posee a: atraerse información, a informar y a ser informado”[8]. Es decir, se está frente a una potestad o facultad que el Estado reconoce u otorga a sus gobernados[9].

De donde se desprende que, frente al acto concreto de una autoridad, debe establecerse la relación con el gobernado y sí este acto arbitrario vulnera directamente el derecho de informar o el de estar informado, se estará ante a un derecho fundamental –derecho a la libertad de información– y si se requiere de la implementación de una serie de medidas a través de la legislación ordinaria, se estará frente a uno de carácter social derecho de acceso a la información pública–.

Mientras que, a nivel jurisprudencial el Alto Tribunal Mexicano –Suprema Corte de Justicia de la Nación– aunque con alguna imprecisión identificaría, por un lado, a la información como un derecho en sentido lato, manifestando que se trataba de “… un derecho fundamental que toda persona posee para atraerse información, informar y a ser informado”. Por su parte, el acceso a la información pública dicho tribunal señalo que lo era derecho en strictu sensu, toda vez que se trataba de una prerrogativa estrechamente vinculado con el derecho a conocer la verdad y como todo derecho se halla sujeto a limitaciones[10].

A lo que la propia Suprema Corte de Justicia de la Nación mexicana, agregaría lo siguiente: “puesto que sí el Derecho a la información es una garantía social, correlativa a la libertad de expresión, […] que consiste en que el Estado permita el que, a través de los diversos medios de comunicación, se manifiesten de manera regular la diversidad de opiniones de los partidos políticos”, por lo que una definición del citado derecho, en palabras de la Corte de Justicia “ […] queda a la legislación secundaría”, concluye manifestando “ que no se pretendió establecer una garantía individual consistente en que cualquier gobernado, en el momento en que lo estime oportuno, solicite y obtenga de órganos del Estado determinada información […], es decir, el derecho a la información no crea a favor del particular la facultad de elegir arbitrariamente la vía mediante la cual pide conocer ciertos datos de la actividad realizada por las autoridades, sino que esa facultad debe ejercerse por el medio que al respecto se señale legalmente[11].

Con base en lo anterior, se puede destacar que, el Alto Tribunal Mexicano al tratar de identificar el derecho a la información con el derecho de acceso a la información pública, dejaría esta tarea para que sea la normativa sectorial la encargada en especificar y desarrollar el segundo de los preceptos, tal como aconteció con la aprobación de la Ley Federal Transparencia y Acceso a la Información Pública Gubernamental (LFTAIP)[12].

Siendo uno de los objetos de la LFTAIP el garantizar la protección de los datos personales que estén en posesión de sujetos públicos, sin embargo, en la misma no se alude a los datos personales que obren en poder de los particulares. Para ello, se aprobó una legislación diferente a la ya citada[13].

De ahí que, la protección de datos personales, en un principio, al constituirse como un límite al derecho de acceso a la información y, dada la necesidad de proteger la privacidad de los ciudadanos por virtud del uso vertiginoso de las tecnologías de la información, posteriormente sería incorporado al texto constitucional como un derecho fundamental, con contenido propio.

Del derecho a la información a la protección de los datos personales como derechos fundamentales: Origen y desarrollo.

La Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (LFTAIPG)[14], contiene los criterios a partir de los cuales puede ejercerse el derecho de acceso a la información pública en México.

Sin embargo, tras su aprobación en el año 2002 y, luego de que todos los Estados aprobaran sus propias leyes en la materia, iba iniciarse un nuevo camino, toda vez que los requisitos que en ellas se recogían iban a variar de un Estado a otro, lo cual originó que se planteará nuevamente en el año 2007 una nueva reforma al artículo 6º del texto constitucional, esto es, la adición de varios numerales, entre los que se encontraba la protección de los datos personales como una limitante al ejercicio del derecho de acceso a la información.

Tras un largo camino, sería calificada como histórica, no solo porque a partir de ella se inscribe un antes y un después el derecho a la información, sino porque además estaba contribuyendo al reconocimiento de lo que más tarde sería conocido como el derecho a la protección de los datos personales.

Dicha reforma fue publicada el 20 de julio de 2007 en el Diario Oficial de la Federación y tuvo como objetivo el dotar de unas herramientas jurídicas a todas las personales para que estas pudieran ejercer el derecho de acceso a la información pública en el sentido más amplio del término. Pues como se había manifestado el derecho a la información que se recogía en el citado precepto constitucional era bastante escueta. Ahora con esta reforma se iban a establecer las condiciones mínimas que aseguran el derecho a toda persona para que tenga acceso a la información pública, lo cual se haría en los siguientes términos:

“… Para el ejercicio del derecho de acceso a la información, la Federación, los Estados y el Distrito Federal, en el ámbito de sus respectivas competencias, se regirán por los siguientes principios y bases:

  1. Toda la información en posesión de cualquier autoridad, entidad, órgano y organismo federal estatal y municipal, es pública y sólo podrá ser reservada temporalmente por razones de interés público en los términos que fijen las leyes. En la interpretación de este derecho deberá prevalecer el principio de máxima publicidad.
  2. La información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que fijen las leyes.
  • Toda persona, sin necesidad de acreditar interés alguno o justificar su utilización, tendrá acceso gratuito a la información pública, a sus datos personales o a la rectificación de éstos.
  1. Se establecerán mecanismos de acceso a la información y procedimientos de revisión expeditos. Estos procedimientos se sustanciarán ante órganos u organismos especializados e imparciales, y con autonomía operativa, de gestión y de decisión…”

Cabe destacar, que con dicha reforma se recogería por primera vez una alusión expresa al término datos personales, el cual se iba convertir en el referente para su posterior reconocimiento como un derecho fundamental dentro del artículo 16 del texto constitucional mexicano.

Sin embargo y, en sus inicios se iba a constituir como una “garantía institucional”, es decir, se trataba más bien de un mandato al legislador, que de un derecho fundamental, a partir del cual debían protegerse otros bienes jurídicos, entre los que se encontraban los datos personales[15], por lo que su protección se llevaría a cabo en base a los “términos y con las excepciones que fijen las leyes”, las cuales se encontraban recogidas en el marco de la LFTAIPG. Razón por la cual, la alusión a la protección de los datos personales que se había recogido en la Constitución, no era la de un derecho fundamental, sino el de una garantía institucional de la que el legislador no podía desentenderse.

Este sería el argumento que llevaría al legislador mexicano a plantearse la necesidad de elevar a rango constitucional un derecho que estuviera acorde con los tiempos modernos de la sociedad, en este caso, se trataba del reconocimiento del derecho a la protección de los datos personales, como una prerrogativa fundamental. El cual llegaría tras una reforma constitucional, pero esta vez en el marco de un precepto constitucional distinto en el cual, se habían recogido sus primeras referencias. Pues ahora, se trataba de derecho que mantenía una relación con la privacidad de las personas, más que con el derecho de acceso a la información pública.

Fue entonces que el pasado 5 de julio del 2010, se expide en México la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDP), con la cual se estaba dando cumplimiento al mandato constitucional recogido en el marco del artículo 73, fracción XXXIX-O que a la letra señala: “El Congreso de la Unión tiene facultades para legislar en materia de protección de datos personales en posesión de particulares”[16].

Ya que anteriormente, los datos personales —no como derecho fundamental— en México sólo se encontraban garantizados en base a lo establecido en la LFTAIPG[17], es decir, sólo se protegían aquellos datos que estaban en posesión de cualquier autoridad, entidad, órgano y organismo federal, estatal y municipal[18].

Tras la aprobación de la Ley Federal de Protección de Datos Personales en México, se venía a llenar el vacío legislativo que a nivel federal existía en esta materia, el cual había comenzado a ser llenado por algunos Estados, quienes desde hace algún tiempo habían comenzado a aprobado su propia ley en esta materia, como en el caso de los Estados de Colima[19] y Tlaxcala[20]. Mientras que, Estado como el Distrito Federal[21], Guanajuato[22] y Oaxaca[23], había aprobado sus respectivas leyes, pues a diferencia de las anteriores, en ellas solo se protegían los datos que estuviesen en posesión de alguna autoridad pública y de manera más reciente, Campeche[24], Veracruz[25], Chihuahua[26], Durango[27], Puebla[28] y el Estado de México[29].

De donde se aprecia que, a diferencia de otros textos legales de otros países[30], en México, la protección de los datos se encuentra recogida en dos textos normativos diferentes. Por un lado, la protección de los datos en posesión de los sujetos públicos se encuentra recogida en la LFTAIPG; de otro, los que están en posesión de particulares se van a proteger en la reciente LFPDP, puesto que con la misma se busca proteger “a la persona en relación con el tratamiento que se da a su información en el desarrollo de las actividades que día a día, realizan los entes privados.

A pesar de ello, cabe destacar uno de los argumentos que se dieron previo a la aprobación de la LFPDP en México:

 “…nuestro país se haría más competitivo en el ámbito mundial, ubicándose en posición de privilegiado en el aspecto económico, ya que al contar con una ley específica en la materia, no sólo se permitirá al gobernado ejercer eficazmente un nuevo derecho fundamental, sino que también traerá consigo que nuestro país, pueda ampliar su relación comercial con bloques económicos de la importancia de la Unión Europea, toda vez que nos encontraremos en posibilidades de garantizar conforme a los estándares internacionales, un nivel de protección de datos personales adecuado al prever principios y derechos de protección y una autoridad independiente que los garantice[31].

Cabe mencionar que, tras la aparición de las normas en materia de protección de datos personales, al menos en el Estado mexicano ha correspondido a un tiempo y a una etapa específica, dado que en cada momento la realidad ha sido distinta, por lo que ofrecer unas garantías a los ciudadanos, iba a obedecer a cada momento en que se hacía presenten la necesidad de garantizar los datos personales de los ciudadanos.

La importancia del reconocimiento a la Protección de los Datos Personales en la Ley Fundamental.

Tras la publicación en el Diario Oficial de la Federación del “Decreto por el que se adiciona un segundo párrafo al artículo 16 constitucional…”[32], se estaba reconociendo la existencia de un nuevo derecho, distinto a los que ya se encontraban recogidos en Ley Fundamental mexicana. Poniéndose con ello fin al camino que se había iniciado años atrás[33].

El nuevo texto que aludía a la existencia de un nuevo derecho se ha recogido en los siguientes términos:

“Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros…”

El camino para llegar a este texto no fue fácil, pues, el legislador tuvo que reconocer la existencia de un catálogo abierto de derechos, en este caso, estaba dotando de un nuevo derecho a los ciudadanos, a fin de que ellos pudieran tener pleno poder de disposición sobre sus datos personales. Puesto que, además de tratarse de una prerrogativa fundamental, con la misma podría generarse una mayor seguridad a los datos que estuviesen en posesión de entes tanto públicos como privados y con la cual podría garantizarse una mayor protección a la privacidad de las personales.

Lo anterior, además tiene su razón de ser en la necesidad de amparar los derechos y libertades de las personas físicas, para hacer frente a los nuevos riesgos y amenazas que surgen como consecuencia del uso e implementación de las nuevas tecnologías de la información y comunicación en la sociedad actual. Tal como se puso de manifiesto en el Dictamen emitido por la Comisión de Puntos Constitucionales de la Cámara de Diputados[34], donde se puso de manifestó que:

“… Sin duda, es necesario la protección jurídica de los datos personales, ya que el tratamiento por mecanismos electrónicos y computarizados que se han incorporado de manera creciente a la vida social y comercial, ha conformado una cuantiosa red de datos que, sin alcanzar a ser protegidos por la ley, son susceptibles de ser usados de ilícita, indebida o en el mejor de los casos inconvenientemente para quienes afectan. Si a ello se le suma el importante papel que las bases de datos desempeñan en el mundo tecnificado y globalizado…[35]. 

En definitiva, se trata de nuevos argumentos a los que no se habían hecho alusión desde la aprobación de la Constitución Mexicana en 1917. Los cuales han sido la base de este nuevo derecho, en virtud de que es la primera vez que se hace mención a los riesgos que puede ocasionar el uso de las computadoras y el tratamiento que éstas podían hacer de los datos almacenados en ellas y no solo a su concepto, tal como había acontecido tras la aprobación de la LFTAIP y posteriormente con la reforma al artículo 6º constitucional.

En otras palabras, el derecho de acceso a la información se ha constituido en México como la prerrogativa que tiene toda persona para acceder a la información, creada o administrada por parte de las entidades públicas”, al mismo tiempo que la protección de los datos personales se ha constituido como una limitante al ejercicio de aquél derecho. Lo cual no implica que ambos pierdan su esencia, más bien, se complementa y dan vida al catálogo de derechos que se encuentra recogidos en el texto constitucional mexicano.

[1] Dicha reforma se llevó a cabo el 20 de Julio de 2007.

[2] El citado artículo a la letra señala que “[…], Para el ejercicio del derecho de acceso a la información, la Federación, los Estados y el Distrito Federal, en el ámbito de sus respectivas competencias, se regirán por los siguientes principios y bases: I. Toda la información en posesión de cualquier autoridad, entidad, órgano y organismo federal, estatal y municipal, es pública y sólo podrá ser reservada temporalmente por razones de interés público en los términos que fijen las leyes. En la interpretación de este derecho deberá prevalecer el principio de máxima publicidad. II. La información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que fijen las leyes. III. Toda persona, sin necesidad de acreditar interés alguno o justificar su utilización, tendrá acceso gratuito a la información pública, a sus datos personales o a la rectificación de éstos […]”.

[3] Cfr. Carbonell, M. (2008). El Régimen Constitucional de Transparencia. México. Universidad Nacional Autónoma de México/Instituto de Investigaciones Jurídicas, p. 25.

[4] El texto original enunciaba: Artículo 6º.- La manifestación de las ideas no será objeto de ninguna inquisición judicial o administrativa, sino en el caso de que ataque a la moral, la vida privada o los derechos de terceros, provoque algún delito, o perturbe el orden público; el derecho de réplica será ejercido en los términos dispuestos por la ley. El derecho a la información será garantizado por el Estado.

[5] Cfr. López Ayllón, S. (2000). El Derecho a la información como Derecho Fundamental. En Carpizo, J. y Carbonell, M. Derecho a la Información y Derechos Humanos. Estudios en Homenaje al Maestro Mario de la Cueva. México. Universidad Nacional Autónoma de México, pp. 157-179.

[6] Conclusión que se desprende de la Exposición de Motivos y de la incorporación de esta modificación dentro de la iniciativa de reforma constitucional, denominada “La Reforma Política de 1977” del 5 de Octubre. Para un mayor estudio véase Rojas Caballero, A. (2003). Las Garantías Individuales en México. Su Interpretación por el Poder Judicial de la Federación. México. Porrúa, pp. 623-650.

[7] De esta formulación el citado autor señala que el derecho a la información consiste en que “cualquier individuo puede, en relación con el Estado, buscar, recibir o difundir –o no buscar, no recibir, ni difundir– informaciones, opiniones e ideas por cualquier medio, y que tal individuo tiene frente al Estado un derecho a que éste no le impida buscar, recibir o difundir –o no lo obligue a buscar, recibir o difundir– informaciones, opiniones e ideas por cualquier medio. Vid. López Ayllón, S. (2000). op cit., p.163.

[8] Cabe destacar de los tres aspectos en donde a) el atraerse información, incluye las facultades de acceso a los archivos y documentos públicos; b) a informar, se incorporan las libertades de expresión y de imprenta; y, c) a ser informado en donde se establecen las facultades de recibir información objetiva y oportuna –enterarse de todas las noticias– con carácter universal –que la información sea para todas las personas sin exclusión alguna–. Vid. Villanueva, E. (2003). Derecho de Acceso a la Información Pública en Latinoamérica: Estudio Introductorio y Compilación. México. Universidad Nacional Autónoma de México.

[9] Ídem.

[10] Para un mayor alcance sobre estas consideraciones pueden verse las siguientes resoluciones emitidas por la propia Suprema Corte de Justicia de la Nación de los Estados Unidos Mexicanos “Derecho de Información. Su Ejercicio se Encuentra Limitado tanto por los Intereses Nacionales y de la Sociedad, como por los Derechos de Terceros”, en Semanario Judicial de la Federación, Pleno de la Suprema Corte de Justicia, Novena Época, Tomo XI, Abril de 2000, p. 74; así como, “Derecho a la información. La Suprema Corte de Interpretó Originalmente el Artículo 6º Constitucional como Garantía de Partidos Políticos, Ampliando Posteriormente ese Concepto a Garantía Individual y a Obligación del Estado a Informar Verazmente”, en Semanario Judicial de la Federación, Pleno de la Suprema Corte de Justicia, Novena Época, Tomo XI, Abril de 2000, p. 72.

[11] Ídem.

[12] Publicada en el Diario Oficial de la Federación el 11 de Junio de 2002.

[13] Se trata de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, publicada en el Diario Oficial dela Federación, el 5 de julio de 2010.

[14] Dicha Ley “tiene como finalidad proveer lo necesario para garantizar el acceso de toda persona a la información en posesión de los Poderes de la Unión, los órganos constitucionales autónomos o con autonomía legal, y cualquier otra entidad federal”. Fue publicada en el Diario Oficial de la Federación el 11 de junio de 2002.

[15] Cfr. Carbonell, Miguel, El Régimen Constitucional de Transparencia. op. cit., p. 25.

[16] Luego de haberse incorporado al texto constitucional esta facultad, el Congreso contaba con un plazo no mayor de 12 meses, contado a partir de la entrada en vigor del presente Decreto.  El cual había fue publicado en el Diario Oficial de la Federación, el 30 de abril de 2009.

[17] Otras normas en las que se recogían de alguna manera aspectos vinculados con la protección de datos personales se encuentran la Ley Orgánica de la Administración Pública Federal (Artículos 27, Fracción XXI), el Código Fiscal de la Federación (Artículos 17-D, 27, 29, 30 y 38, Fracción V), la Ley Federal de Telecomunicaciones (Artículos 16, Fracción I, inciso D y 44, Fracción XIII, cabe mencionar que estos artículos fueron reformados el 2 de Febrero de 2009), la Ley Federal del Trabajo (Artículos 121, 320 y 544), la Ley de Instituciones de Crédito (Artículos 987 y 117-118), el Código Federal de Procedimientos Penales (Artículos 16, 128 y 193 Quintus), la Ley de Población (Artículos 14, 91, 98, 100, 103y 107), el Código Civil Federal (Artículos 1916 y 1917), la Ley de Amparo (Artículo 184, Fracción III) e incluso, la propia Ley Federal de Transparencia. Solo por citar algunas.

[18] Vid. Artículo 6. Fracción I de la Constitución mexicana y el artículo 1º de la LFTAIPG.

[19] “La presente Ley será aplicable a los datos de carácter personal que sean registrados en cualquier soporte físico que permita su tratamiento, tanto por parte del sector público como privado dentro del Estado […]”, artículo 2º de la Ley de Protección de Datos Personales para el Estado de Colima, publica, del 14 de junio de 2003.

[20] “Artículo 5º. De manera enunciativa y no limitativa, son sujetos obligados a garantizar y proporcionar el acceso a la información pública, así como proteger los datos personales que tengan a su cargo: I. las dependencias centralizadas y las entidades paraestatales de la Administración Pública Estatal; […]; XI. En general cualquier servidor público titular de alguna oficina pública o privada que maneje, administre o aplique recursos públicos […]”. Ley de Acceso a la Información Pública y Protección de Datos Personales para el Estado de Tlaxcala, del 10 de diciembre de 2009.

[21] Publicada en la Gaceta Oficial del Distrito Federal, el 3 de octubre de 2008.

[22] Publicada en el Periódico Oficial núm. 80, segunda parte, de 19 de mayo de 2006.

[23] Publicada en el Periódico Oficial, el 23 de agosto de 2008.

[24] Publicada en el Periódico Oficial del Estado, el 9 d julio de 2012.

[25] Publicada en la Gaceta Oficial del Estado, el 2 de octubre de 2012.

[26] Publicada en el Periódico Oficial del Estado, el 31 de enero de 2013.

[27] Publicada en el Periódico Oficial del Estado, el 13 de junio de 2013.

[28] Publicada en el Periódico Oficial del Estado, el 25 de noviembre de 2013.

[29] Publicada en el Periódico Oficial “Gaceta del Estado”, el 31 de agosto de 2012.

[30] Tal es el caso del Estado español,  que recoge la protección de los datos personales en posesión tanto de los sujetos públicos como privadas ha sido recogida en un sólo instrumento legal

[31] Vid. “Dictamen con Proyecto de Decreto por el que se Expide la Ley Federal de Protección de Datos Personales en Posesión de Particulares y se reforman los artículos 3, fracción II y VII, y 33, así como la denominación del Capítulo II, del Título Segundo, de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental”, LXI Legislatura, Cámara de Diputados, 22 de abril de 2009, pp.24-25.

[32] “Decreto por el que se adiciona un segundo párrafo, recorriéndose los subsecuentes en su orden, al artículo 16 de la Constitución Política de los Estados Unidos Mexicanos”, publicado el 1º de Junio de 2009.

[33] Pues, el primer paso se había alcanzado con la entrada en vigor de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, en la cual por primera vez en México se reconoció la existencia de este derecho, en el contexto del acceso a la información pública. Posteriormente, tras aprobación de la reforma al artículo 6o. de la Constitución Política de los Estados Unidos Mexicanos, en el que también por primera ocasión un texto constitucional hace referencia expresa al derecho a la protección de datos, en este caso, como un límite al derecho de acceso a la información.

[34] “Dictamen de la Comisión de Puntos Constitucionales, con proyecto de decreto que adiciona un párrafo segundo al artículo 16 de la Constitución Política de los Estados Unidos Mexicanos”, publicado en la Gaceta Parlamentaria, el 11 de diciembre de 2008.

[35] Ídem.

Aviso de privacidad integral: ¿sirve colocarlo en la web del responsable?

aviso_privacidad_mx

Por Mayra A. Cavazos Calvillo

En México, la normativa especializada prevé que los responsables pueden hacer uso de tres modalidades de “Avisos de Privacidad”: Integral, Simplificado y Corto; cada uno de ellos sujetos al cumplimiento de determinados requisitos (decimoctavo de los “Lineamientos del Aviso de Privacidad”).

En el Considerando de dichos Lineamientos se establece que “el aviso de privacidad es el documento mediante el cual el responsable informa al titular sobre los términos bajo los cuales serán tratados sus datos personales, destacando la identidad de la persona física o moral que decide llevar a cabo el mismo; las finalidades o acciones que motivan la obtención, uso y custodia de la información personal; los terceros a quienes se transferirán los datos personales; los mecanismos para que el titular pueda ejercer los derechos vinculados a la protección de datos personales (en particular, los derechos ARCO), entre otras cuestiones”.

Se prevén asimismo tres formas a través de las cuales los responsables podrán obtener datos personales: de forma directa, indirecta y personal (tercero de los Lineamientos, fracciones III, IV y V, respectivamente), indicando que se recaban datos personales de forma personal cuando “el titular proporciona los datos personales al responsable o a la persona física designada por el responsable, con la presencia física de ambos”.

En este sentido, cuando se recaban datos personales de forma personal de su titular, la normativa es explícita al respecto, pues el lineamiento decimonoveno, fracción I, establece que “[…] cuando los datos personales se obtengan personalmente del titular, el responsable deberá poner a su disposición el aviso de privacidad integral“.

No obstante, a dicha disposición le corresponde una excepción: el lineamiento decimosexto, que a la letra dispone: “el responsable no estará obligado a facilitar el aviso de privacidad integral en el formato que recabe los datos personales, cuando éstos se obtengan de manera personal de su titular, siempre que lo haya puesto a disposición por otro medio previo al tratamiento de los datos personales”.

Si se separa el lineamiento decimosexto en dos partes, tenemos por un lado, que los responsables no necesariamente deberán incluir el aviso de privacidad integral en los formularios o formatos a través de los cuales recaben datos personales de forma personal de su titular. Y, por el otro, que para que proceda la excepción anterior, los responsables deberán haber puesto a disposición de los titulares previo al tratamiento de sus datos el aviso de privacidad integral por otro medio –pudiendo ser a través de formatos impresos, digitales, visuales, sonoros o cualquier otra tecnología.

Frente a esta disposición, existe un problema de interpretación que en la práctica ya despierta ciertas dudas: ¿el poner a disposición de los titulares el aviso de privacidad integral en la página web del responsable, actualizaría la excepción antes indicada?

En lato sensu, el colocar un aviso de privacidad integral en una página web que no contenga ningún tipo de restricción, accesible para cualquier persona con conexión a Internet, podría significar el cumplimiento de dicha excepción, ya que el aviso de privacidad integral habría sido puesto a disposición de los titulares. Además, este medio de difusión es compatible con el artículo 17 de la Ley Federal de Protección de Datos en Posesión de los Particulares (en adelante, la “LFPD”), ya que un aviso de privacidad accesible a través de una página web equivale a ponerlo a disposición mediante un formato digital.

Sin embargo, actualmente existen interpretaciones en stricto sensu, que concluyen que la excepción contenida en este lineamiento de ninguna manera se actualizaría si los responsables se limitaran a poner a disposición el aviso de privacidad integral en sus respectivas páginas web: ninguno de ellos podría probar que todos y cada uno de los titulares accedieron a dicha página y que conocieron el aviso de privacidad integral, con anterioridad al tratamiento de sus datos.

Esta última interpretación puede significar que el supuesto contenido en el lineamiento decimosexto requeriría un esfuerzo que para algunos responsables resultaría desproporcionado: ¿poner avisos de privacidad en todos y cada uno de los puntos o áreas por las cuales se recaben datos personales de manera personal, a pesar de ya estar el mismo a disposición en la página web del responsable e incluso en la entrada de sus instalaciones?

Para algunos, la respuesta sería afirmativa: si los responsables no desean incluir avisos de privacidad integrales en todos los formularios que utilizan para recabar datos personales de forma personal, éstos estarían obligados a colocar Avisos de Privacidad Integrales en todos aquellos lugares o puntos en los que aquéllos se obtienen de esta forma, en previsión de que algún titular no hubiese tenido acceso al aviso correspondiente de forma previa y fuese a proporcionar sus datos por vez primera.

Para entender mejor esta situación, basta pensar en responsables dedicados a la industria hotelera, deportiva y/o recreativa, que en virtud de sus actividades y organización no recaban datos personales en un solo momento, sino que pueden hacerlo durante toda la vigencia de la estancia de sus huéspedes o de la membresía de sus socios.

De lo anterior descrito se colige que para poder facilitar a los titulares un aviso de privacidad simplificado o corto, podría no ser suficiente poner a disposición el aviso de privacidad integral en la página web del responsable; interpretación que en la práctica eliminaría la funcionalidad de los avisos de privacidad integrales puestos a disposición de cualquier interesado en la página web de cualquier responsable que cuente con una.

En tanto no exista una interpretación judicial (o administrativa) al respecto, consideramos recomendable que aquellos responsables que cuenten con una página web continúen utilizándola como medio de difusión de sus avisos de privacidad integrales, adoptando medidas de refuerzo para informar en sus formularios que recaban datos personales sobre la publicación de dichos avisos en este medio electrónico.

Costo-beneficio del tratamiento de nuestros datos personales y de la invasión a nuestros datos personales en las aplicaciones móviles (México)

costo_beneficio

Por Dulcemaría Martínez Ruíz

Introducción

Debido al incremento en el uso de los equipos de telefonía móvil y de tabletas electrónicas (dispositivos móviles), el uso de aplicaciones móviles ha venido también en aumento (aplicaciones), ya sea porque son necesarias para el funcionamiento de determinada plataforma, porque son gratuitas o porque están de moda entre nuestros amigos y familiares.

Al momento de instalar estas aplicaciones móviles, las mismas nos requieren datos personales e incluso nos solicitan acceso a carpetas, registros o datos adicionales contenidos en nuestros dispositivos móviles, información que en ocasiones es vital para el funcionamiento de las aplicaciones, pero además, en muchas de las ocasiones se nos piden datos personales adicionales o acceso a carpetas e información que nada tienen que ver con la aplicación en sí.

El requerirnos datos personales o información adicional, obedece al hecho de algunas de las aplicaciones además de ser nuestras fuentes de entretenimiento, comunicación, administración de documentos, o cualquier otra funcionalidad para las cuales las hayamos descargado, recopilan información adicional con la finalidad de perfilar el comportamiento de los clientes, vender publicidad, e incluso ceder o vender bases de datos e información personal, la cual no solo puede ser extraída de manera directa a través de la instalación de virus o programas que permiten el monitoreo de los comportamientos, preferencias, sitios visitados e incluso de las interacciones con otros usuarios de aplicaciones, sino también a través del uso de cookies.

1.    Planteamiento del problema

Conforme a lo antes señalado, el problema mayor no radica en el uso de los datos personales recopilados de manera adicional a los requeridos para llevar a cabo las operaciones básicas de la aplicación, sino en realidad radica en que el acceso a los mismos se realiza previo consentimiento expreso por parte de los titulares de los datos personales, ello ya que autorizamos el acceso a nuestros datos, a la intromisión de nuestra privacidad e incluso, autorizamos el que nos convirtamos en conejillos de indias experimentales con la finalidad de que nos observen día y noche con fines de perfilamiento y prospección comercial.

Ante la pregunta del cómo permitimos tales acciones, la respuesta es muy sencilla, debido a que en muchas de las ocasiones, descargamos las aplicaciones aceptando todas y cada una de las políticas o avisos de privacidad, sin fijarnos todas las cuestiones y puntos a los que estamos cediendo a cambio de una aplicación.

Posterior a lo anterior y ante el reclamo de los titulares respecto del exceso de datos e información personal recopilada, o incluso, del que los mismos sean usados para finalidades adicionales a las elementales para el funcionamiento de las plataformas, nos encontraremos con la cruda realidad de que en su momento se nos informó respecto de los datos recopilados y de las finalidades del tratamiento, se nos dio la oportunidad de elegir entre descargar o no la aplicación y con ello sus efectos colaterales, y nosotros aceptamos someternos a ello.

Pero el problema no solo está en la aceptación que realiza el titular respecto de la recopilación de datos personales y de las finalidades del tratamiento de los mismos, sino que también se encuentra respecto de que en los avisos de privacidad (i) la presentación de la información es presentada de una forma muy extensa, compleja e incluso técnica, (ii) es tanta la cantidad de aplicaciones como de avisos de privacidad, políticas de uso, y términos y condiciones que hay que leer, que en realidad es prácticamente imposible leerlos con detenimiento, pero sobre todo (iii) el hecho de que la aceptación respecto al uso de nuestros datos personales y finalidades para su tratamiento, sean o no elementales para el funcionamiento de la operación, se encuentran establecidas de manera conjunta, de manera que la aceptación  de los mismos se plantea como un “combo” es decir, aceptas el todo no nada.

2.    Propuesta alterna

Conforme al problema antes planteado, nos pueden venir muchas preguntas a la mente, tales como, el cómo hacer para que los usuarios lean los avisos de privacidad, cómo hacer para que entiendan de una forma clara y sencilla no solo el contenido del aviso, sino que en específico, entiendan los alcances e implicaciones de los datos personales recopilados y de las finalidades de su tratamiento, además de cómo hacer para que la aceptación de tales datos y finalidades no sea manejada mediante un combo.

Como propuesta de solución a los cuestionamientos antes planteados está la utilización de un modelo híbrido que contemple los principios de consentimiento, información y finalidad conforme a las obligaciones actuales establecidas la legislación mexicana al responsable, por ser el caso de estudio, así como la implementación de los siguientes elementos:

  • Realizar un catálogo de los tipos de datos personales y sus correspondientes finalidades del tratamiento, de manera que se pueda diferenciar entre los que son elementales para el funcionamiento de la aplicación, de las que son adicionales.
  • Adicional a que se señale o remita al contenido del Aviso de Privacidad y se establezca una casilla se aceptación del mismo, previo a la descarga, se podrían establecer casillas de aceptación adicionales conforme a lo siguiente:
  • Para los datos e información personal y las finalidades del tratamiento que sean elementales para el funcionamiento de la aplicación, establecer como requisito indispensable para la descarga de la aplicación la aceptación expresa para su recopilación y tratamiento.

De manera que en caso de que tal casilla de aceptación no sea seleccionada, no se pueda proceder con la descarga.

  • Para los datos e información personal y las finalidades del tratamiento que no sean indispensables para el funcionamiento de la aplicación, establecer como requisito opcional el que el titular acepte o no el acceso y uso de sus datos personales. Pero sin que ello sea un elemento indispensable para la descarga e instalación de la aplicación.

Incluso, se podrían llegar a subcategorías de datos personales y finalidades no indispensables para el funcionamiento de la aplicación.

  • Uso de un lenguaje sencillo y claro al momento de clasificar los tipos de datos personales y las finalidades del tratamiento, ello al momento de recopilar el consentimiento expreso y previo a la descarga de la aplicación.

En la actualidad, al momento de ver la información sobre la aplicación o al momento de seleccionar el descargar la aplicación, se despliega un listado de permisos que son requeridos para poder acceder a la aplicación, tales como acceso al directorio telefónico o información de contactos, acceso a fotografías, datos de geolocalización, entre otros (permisos de acceso). De manera que al final, de los mismos se tiene que seleccionar el botón de aceptar, para poder iniciar con la descarga.

Pero la propuesta es seguir manejando el mismo listado de permisos de acceso, pero de una manera clasificada, estableciendo en primer lugar y bajo un rubro de permisos de acceso elementales para el funcionamiento de la aplicación, el listado de los permisos que correspondan a tal clasificación. Como ya se mencionó, la aceptación o selección de la casilla de aceptación de los mismos sería indispensable para la descarga.

Posterior a ello y bajo el rubro que corresponda a las finalidades no indispensables para su tratamiento, tales como, permisos de acceso necesarios para fines de perfilamiento y usos comerciales, para fines estadísticos y de localización, entre otros, se listarían los permisos de acceso aplicables. Pero en este caso, si el usuario no selecciona la casilla de aceptación, ello no sería elemento indispensable para la descarga, y el responsable no podría tener acceso a tales datos personales, ni mucho menos realizar el tratamiento de los mismos.

3.    Principios para la protección de los datos personales

En el presente estudio lo he acotado al análisis de los principios de consentimiento, información y finalidad, ya que son los que mayor relevancia e impacto tienen en relación con el problema y propuesta alterna, antes planteados.

3.1.       Consentimiento

En primero lugar, conviene recordar que consentimiento es la manifestación de la voluntad del titular de los datos personales para se pueda llevar a cabo el tratamiento de dichos datos, además, es conveniente resaltar que entre otras características, dicho consentimiento tiene que ser realizado de manera libre, previo a tu recopilación y tratamiento, y de una manera informada.

Conforme a la legislación mexicana, en específico en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Ley  de Protección de Datos), se prevé el que el consentimiento se pueda obtener de manera expresa y por medios electrónicos, ópticos o de cualquier otra tecnología, pudiendo así los responsables de las aplicaciones móviles obtener el consentimiento para la recopilación de los datos personales, para el uso de determinados permisos de acceso y para el sometimiento de los mismos a determinadas finalidades del tratamiento.

En sentido práctico, lo más fácil para el responsable de la aplicación y por lo tanto, para el tratamiento de los datos personales, es acotarse al estricto cumplimiento de la ley y manejar la autorización para la recopilación de todos los datos y su correspondiente tratamiento de manera conjunta, es seguir manejando tal aceptación a manera de combo, tal y como lo mencionaba anteriormente.

Pero conforme a la propuesta alterna planteada, se propone la posibilidad de migrar a un modelo hibrido, pasando del modelo de aceptación del todo o nada, a un modelo en el cual el titular tenga la libertad de decidir respecto de la recopilación de sus datos personales, así como de las finalidades para el tratamiento de los mismos.

3.2.       Finalidad

En la Ley de Protección de Datos Personales se establece el que el tratamiento de los datos personales por parte del responsable debe estar acotado a las finalidades del tratamiento establecidas en el Aviso de Privacidad.

Cabe destacar que en dicha legislación en materia de protección de datos personales, se establece el que las finalidades que se señalen en el Aviso de Privacidad serán divididas entre finalidades primarias y secundarias, es decir, el responsable deberá distinguir entre las finalidades que dieron origen y son necesarias para la relación jurídica surgida entre el titular y el responsable del tratamiento, de aquellas que no lo son.

Lamentablemente el que la distinción entre facultades primarias y secundarias se lleve a cabo de manera expresa en el Aviso de Privacidad del responsable, no garantiza que el titular de los datos personales vaya a entender el contenido y alcance de las mismas, porque como ya se mencionó en el planteamiento del problema, en muchas de las ocasiones el titular ni siquiera lee el aviso de privacidad adjunto en la aplicación.

Además, otro de los derechos del titular de los datos personales es el de oponerse al tratamiento de sus datos personales cuando los fines  a los que son sometidos sean distintos de las finalidades que son necesarias para el cumplimiento de la obligación jurídica, sin embargo, cuando en las aplicaciones se maneja la aceptación de tales finalidades a manera de combo, no se le está dando la oportunidad al titular de que realice la oposición al tratamiento de las mismas de una manera previa al otorgamiento del consentimiento para su tratamiento.

Es por ello que se plantea el que de una manera sencilla y clara se le permita al titular de los datos personales el revisar a manera de checklist las finalidades para las cuales se recopilan los datos personales, señalando se manera expresa cuales son indispensables para el funcionamiento de la aplicación y cuales son adicionales.

Con la propuesta alterna analizada en el presente estudio, lo que se pretende no es limitar el tratamiento de los datos personales conforme a finalidades distintas de las necesarias para el funcionamiento elemental de la aplicación, sino la visión de tal propuesta es que dicho tratamiento se pueda realizar pero siempre y cuando el titular de los datos personales esté consciente de la información que se recopila de él, así como los usos a los cuales dichos datos van a ser destinados. Ello mediante el cumplimiento del principio de información.

3.3.       Información

El principio de información consiste en el respeto del derecho que tiene el titular de los datos personales de conocer cuales datos personales se recopilan de él y las finalidades del tratamiento a las cuales van a ser sometidos, ello realizado a través de la publicación y puesta a disposición del Aviso de Privacidad, el cual deberá cumplir de manera adicional con los demás requisitos que establece la legislación aplicable en materia de datos personales en México (legislación de datos personales).

Ahora bien, debido a que los Avisos de Privacidad deben de contar con diversos elementos y especificaciones establecidos en la legislación de datos personales, como ya se ha manifestado, los mismos suelen ser muy extensos, complejos e incluso técnicos, de manera que el titular casi nunca accede a ellos y ni les da lectura.

Para los casos como los de las aplicaciones, la legislación mexicana en materia de protección de datos personales contempla la posibilidad de que cuando el espacio para colocar los avisos sea muy reducido y no sea posible colocar el Aviso de Privacidad completo, tal y como es el caso de las aplicaciones, se podrá emplear un Aviso de Privacidad corto que al menos contendrá la identidad y domicilio del representante, las finalidades del tratamiento y los mecanismos que el responsable ofrece para que el titular pueda conocer el Aviso de Privacidad Integral o completo.

Sin embargo, conforme al planteamiento del problema expuesto el aviso de privacidad corto tampoco resuelve el problema de garantizar el que el titular pueda aceptar o no el tratamiento de las finalidades primarias o secundarias, ya que aunque se ponga a su disposición el aviso de privacidad completo, como ya se ha mencionado el problema real es que el titular no realiza la lectura del mismo, aunque tal Aviso completo sea informado mediante un vínculo electrónico que remita al sitio web en donde está montado el Aviso de Privacidad completo.

Por ello es que la propuesta planteada contempla la posibilidad de que adicional a establecer un Aviso de Privacidad corto que contenga los elementos antes señalados, se establezca de una forma muy clara y concreta cuales son los datos y finalidades del tratamiento indispensables para el tratamiento de la información y cuales no lo son, ello además de dar la oportunidad de el titular pueda aceptar o negar el tratamiento de sus datos personales conforme a tales finalidades.

En el caso de México, actualmente también se contempla en los Lineamientos del Aviso de Privacidad el que en el caso de medios electrónicos, la recopilación del consentimiento expreso, o expreso y por escrito, podrá ser mediante el establecimiento de una casilla de marcado o de aceptación, mediante la cual el titular podrá manifestar su conformidad o no con el contenido del Aviso de Privacidad. Lo cual es considerado una base fundamental para lo antes analizado, sin embargo, ello se enfoca y da pie a que la aceptación de la recopilación de información y la aceptación de las finalidades del tratamiento se realice a manera de combo.

Lo anterior es un punto de oportunidad para la legislación, ya que incluso por lo que respecta al Principio de Información, el esquematizar la información y solicitar la aceptación expresa para las finalidades del tratamiento adicionales al funcionamiento elemental de las aplicaciones web, es una forma de garantizar que si bien no todas las personas lean las implicaciones base del tratamiento, por lo menos más personas lo hagan.

En la legislación mexicana, en específico en los Lineamientos del Aviso de Privacidad si bien se contempla que en los casos en los cuales el espacio o los formularios sean muy pequeños, se podrá colocar un Aviso de Privacidad Corto, mediante el cual se informe al titular al menos el nombre y domicilio del responsable, las finalidades del tratamiento y se establezcan los mecanismos mediante los cuales se pone a disposición el Aviso de Privacidad completo, sin embargo, ello no resuelve el que en realidad los titulares de los datos den lectura a los Avisos cortos o completos, y menos aún si el titular comprendió o no el contenido e implicaciones de los datos remitidos y de las facultades autorizadas.

4.    Derechos de acceso, rectificación, cancelación y oposición

En la legislación mexicana en materia de protección de datos personales al igual que en la mayoría de los países que regulan el tratamiento de dichos datos personales, se establece como derecho de los titulares el que puedan ejercitar ante el responsable sus derecho de acceso, rectificación, cancelación y oposición al tratamiento de tales datos personales (derechos ARCO).

Sin embargo, debido a la forma de operación y funcionamiento de las aplicaciones, como primero se da una aceptación global de la recopilación o acceso a ciertos datos personales, así como de las finalidades de su tratamiento, sean o no indispensables para el funcionamiento de la aplicación, al momento de realizar la aceptación del Aviso de Privacidad y con la consecuente instalación de la aplicación, lo que puede ocurrir es que en segundos nuestra información pueda estar dispersada en la web, haya sido transferida a terceros para su tratamiento o incluso ya esté siendo tratada con fines de perfilamiento comercial.

Posterior a lo anterior, aunque realicemos la desinstalación de la aplicación de nuestros equipos móviles o incluso recurramos al ejercicio de nuestros derechos ARCO, ya no podremos hacer mucho respecto de la información que ya fue previamente difuminada o distribuida, ya que en su momento otorgamos la autorización expresa para que ello aconteciera.

Es por lo que la medida propuesta es a su vez una medida preventiva para que desde el momento en el que se recopila el consentimiento, el titular tenga la oportunidad de conocer, comprender y decidir respecto del tratamiento de sus datos personales.

Es mejor que actuar de manera preventiva respecto de la protección de nuestros datos personales, a que actuemos de manera reactiva e incluso ante la imposibilidad de recuperar la protección de los datos personales que ya fueron dispersados.

Conclusiones

La forma mediante la cual se otorga el consentimiento en las aplicaciones móviles respecto del acceso a nuestros datos personales, así como de las finalidades a las cuales los mismos van a ser sometidas, es un punto de oportunidad tanto para la legislación en materia de protección de datos personales en México, como para los responsables que realizan el tratamiento correspondiente.

Por ello, con la propuesta alterna aquí analizada lo que se propone es encontrar un modelo hibrido o intermedio que permita tanto el cumplimiento de la ley, como el que los responsables puedan ir un paso más allá del mero cumplimiento de la misma, ello para garantizar que en realidad el titular esté comprendiendo de una forma clara y sencilla las finalidades a las cuales se someterá el tratamiento de sus datos personales.

Ahora bien, lo anterior puede ser que sea visto por los responsables como una carga administrativa o técnica establecida de manera adicional a las que ya se establecen en la legislación aplicable, pero desde ahí podemos cambiar nuestra forma de pensar, ya que al final lo que pudiera resultar una carga puede ser un elemento diferenciador que me permita garantizar la satisfacción de los clientes, mediante el incremento de la confianza que tenga en mí, además de que ello se puede convertir en un elemento diferenciador que me permita llevar una ventaja competitiva en el mercado.

Bibliografía

29, G. d. (8 de diciembre de 2011). Dictamen 16/2011 sobre la recomendación de mejores prácticas de EASA/IAB. Recuperado el 20 de julio de 2014, de http://ec.europa.eu:
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp188_es.pdf

Diputados, C. d. (05 de Julio de 2010). Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Recuperado el 13 de Enero de 2014, de Cámara de Diputados:
http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf

Diputados, C. d. (21 de Diciembre de 2011). Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Recuperado el 13 de Enero de 2014, de Cámara de Diputados:
http://www.diputados.gob.mx/LeyesBiblio/regley/Reg_LFPDPPP.pdf

Economía, S. d. (17 de enero de 2013). Lineamientos del Aviso de Privacidad. Recuperado el 20 de julio de 2014, de Diario Oficial de la Federación:
http://www.dof.gob.mx/nota_detalle.php?codigo=5284966&fecha=17/01/2013

Mañas, José Luis Piñar; Lina Ornelas Núnez;. (2013). La Protección de Datos Personales en México (Primera ed.). México: Tirant Lo Blanch Monografías.

Adiós a la privacidad

bye_bye

Por Viridiana López Ávila

¿Privacidad para qué? Mientras juristas e intelectuales pelean por defender la protección del derecho a la privacidad, millones de usuarios de redes sociales dan rienda suelta y aprovechan el escaparate para ventilar su vida, y eso incluye lo más íntimo.

Quienes se han opuesto a artículos específicos de la Ley Federal de Telecomunicaciones y Radiodifusión, -conocida también como Ley Telecom- no sólo luchan contra articulados que ponen en riesgo la privacidad de las personas, también contra esta cultura de la sobre exposición. Y es que los primeros argumentan que la intervención policial de dispositivos de comunicación vulnera los derechos de la personalidad.

En general el tema ha pasado desapercibido, la ciudadanía está inmersa en problemas de seguridad, economía, política y sociabilidad, lo que nos ha llevado a perder de vista que algo tan indispensable en nuestras vidas está en debate. Para dimensionar lo que pasa, empecemos por decir que en nuestro país existen más de cien millones de usuarios de telefonía celular móvil, a través de los que se conectan a internet.

Ahora, imaginemos que por una simple sospecha de la autoridad, justificada o no, esta puede intervenir nuestro dispositivo y acceder a nuestros datos personales y/o geolocalizarnos, sin necesidad de orden judicial de por medio. Por un lado podríamos pensar que está bien, ello en caso de encontrarnos en una situación vulnerable que requiere la intervención policiaca, ¿pero si no?

La nueva normatividad mexicana permite esto, y lo que realmente preocupa es que no existen reglas claras que puedan justifica cuándo una autoridad puede o no acceder a nuestra vida sin previo aviso, violentando nuestra privacidad e inhibiendo nuestra libertad de expresión.

Ahora bien, la pregunta es para qué proteger nuestra privacidad, si al abrir los perfiles de facebook o cualquier otra red social, los usuarios lo que hacen es dejarla al descubierto. México se ubica entre los 10 países con mayor número de usuarios de la principal red social facebook, con 49 millones de usuarios, que gustan, no todos claro, de dar a conocer al mundo qué hacen, con quién, cómo, cuándo, dónde, por qué, etc. sin reservarse mayores datos…

Michoacán horror Film

¿Cuándo se irá? Se preguntaban los aldeanos. El intruso observaba de cerca y esbozaba una sonrisa maléfica. Mientras sus incondicionales intentaban por todos los medios convencer de las virtudes de su presencia, aunque se mordieran la lengua.

Michoacán pareciera salir de una película del género de horror, aquí se infunde en el espectador sensaciones de inquietud, temor y sobresalto. La realidad michoacana está llena de drama y misterio.

Secret: la aplicación que usan los adolescentes mexicanos para hacer cyberbullying

secret

Por Joel Gómez Treviño

En la prensa nacional recientemente se ha publicado que los adolescentes mexicanos están haciendo uso de la aplicación llamada Secret para llevar a cabo lo que se conoce como “cyberbullying”.

El portal del mismo nombre explica que el ciberbullying es “el uso de los medios telemáticos (Internet, telefonía móvil y videojuegos online principalmente) para ejercer el acoso psicológico entre iguales. No se trata aquí el acoso o abuso de índole estrictamente sexual ni los casos en los que personas adultas intervienen.” Por su parte Wikipedia establece que “El ciberacoso (también llamado cyberbullying por su traducción al inglés) es el uso de información electrónica y medios de comunicación tales como correo electrónicoredes socialesblogsmensajería instantánea, mensajes de textoteléfonos móviles, y websites difamatorios para acosar a un individuo o grupo, mediante ataques personales u otros medios.”

De acuerdo a una nota de Mileno, “Secret es una aplicación que permite compartir textos, fotos o encuestas de manera anónima con los contactos de Facebook y de la agenda telefónica. Los posts con más corazones  como los “likes” de Facebook aparecen en la pestaña “Explore” junto con publicaciones de personas
cercanas a tu localización
”. De las gráficas que invitan a descargar la aplicación en Google Play se aprecian los siguientes textos: “Comparte con amigos anónimamente. Cada secreto viene de un amigo, pero tú no sabes de cuál. Contesta anónimamente. Los secretos se propagan tan rápido como tus amigos les den like“.

En muchas preparatorias del país, los adolescentes mexicanos están usando esta aplicación, valiéndose del anonimato que la misma permite, están esparciendo tanto rumores como fotografías eróticas que algunos varones han obtenido al relacionarse sentimentalmente con sus compañeras de clase. También suele utilizarse para acosar o difamar a profesores y directivos escolares.

Esta aplicación se ha vuelto tan problemática que diversos países, como Brasil e Israel, han intentado prohibirla. Muchas preparatorias en Estados Unidos ya han prohibido no solo a “Secret”, sino otras aplicaciones similares como “Whisper” y “YikYak”.

Sin duda este fenómeno está relacionado al “Porno de la Venganza”, tema que he tratado en al menos dos columnas previas (La Batalla contra el Porno de la Venganza y El Porno de la Venganza se Prohíbe en Más Países). Sin embargo, Secret, Whisper y YikYak son aplicaciones usadas principalmente por adolescentes para molestar a compañeros y directivos en escuelas secundarias y preparatorias.

Es difícil delinear las razones que provocan esta problemática, pero sin duda entre ellas podemos mencionar:

  • Falta de valores y educación de los adolescentes.
  • Empresas poco escrupulosas que crean este tipo de aplicaciones, a sabiendas de lo que pueden provocar.
  • Escuelas que no saben lidiar con esta clase de situaciones.
  • Nuevas tecnologías (smartphones + aplicaciones) que facilitan el acoso escolar.
  • Falta de regulación o legislación en temas de ciberacoso.

Mis estimados lectores, ¿ustedes qué opinan? ¿Cómo se puede prevenir el cyberbullying entre nuestros adolescentes? ¿Prohibir este tipo de aplicaciones a nivel escuela o por medio de una ley será suficiente?

Presentación de la Declaración de México Distrito Federal

Por Daniel A. López Carballo

El pasado sábado 23 de agosto de 2014 fue presentada la octava Declaración elaborada por colaboradores del Observatorio Iberoamericano de Protección de Datos por Dulcemaría Martínez Ruíz, colaboradora de la iniciativa. La presentación del documento tuvo lugar en el transcurso de la Jornada académica de protección de datos personales en Internet, dentro de la bienvenida para los alumnos de la cuarta generación de la Maestría en Derecho de las Tecnologías de la Información y Comunicación de INFOTEC, en la ciudad de México Distrito Federal.

En la Jornada, que tuvo lugar los días 22 y 23 de agosto, participaron Dña. Ximena Puente de la Mora (Presidenta del IFAI), el Dr. Julio Téllez (Investigador del Instituto de Investigaciones Jurídicas de la UNAM), la Mtra. Blanca Lilia Ibarra (Directora de Documentación del Tribunal Electoral del Poder Judicial de la Federación), así como el Mto. Manuel Haces Aviña (Gerente de Prospectiva en NIC México).

La Declaración de México D. F., hacia la implantación de garantías para la protección de datos en los tratamientos de Big Data, contó en su elaboración con la participación de expertos de México, España, Argentina, Ecuador, Colombia, Bolivia, Perú y Chile entre los que cabe destacar Ramón Miralles LópezJosé Luis Colom PlanasDulcemaría Martínez RuízLaura Vivet TañàHéctor E. Guzmán RodríguezAnalía AspisNelson Remolina Angarita, Lorenzo Martínez RodríguezHoracio Gutiérrez Gutiérrez, Edgar David Oliva TeránAdela GobernaJ. León UngerVioleta Guerra RamosAristeo García GonzálezPatricia Reyes Olmedo, Romina Florencia Cabrera, Marta Sánchez Valdeón, Javier Villegas Flores, Maria Paulina Casares Subia, Philipe C. Bienvenue Martin del Campo, Olivia Andrea Mendoza Enríquez, Federico Césal Lefranc Weegan, Jorge Moreno Loza, Cynthia Téllez Gutiérrez y Joab Andrés Mora, coordinados por Francisco R. González-Calero Manzanares y Daniel A. López Carballo.

El Big Data es un concepto que ha cobrado relevancia desde hace varios años, ya en 2006 Clive Humby hablaba de que los datos eran “el nuevo petróleo”, es así que al igual que el petróleo, los datos han impulsado una nueva visión de derrama económica y técnica, e incluso, se nos presenta como una oportunidad para ayudar a resolver los problemas de nuestra sociedad y nuestro entorno.

JORNADAAl hablar de Big Data se hace referencia al procesamiento de grandes cantidades de información, en un volumen y tiempo superior al del software habitual, permitiendo su almacenamiento, búsqueda, visualización, compartición, segmentación o análisis, disponibles en diferentes formatos y estructuras, información de la cual gran parte está comprendida por los datos que los usuarios de Internet generan, ello a través de las redes sociales, blogs, publicaciones en páginas web, mails y toda la información generada por los dispositivos móviles, GPS y a través de cualquier otro dispositivo conectado a Internet. Debido a la abundancia de sensores, micrófonos, cámaras, escáneres médicos, imágenes, etc. en nuestras vidas, los datos generados a partir de estos elementos serán dentro de poco el segmento más grande de toda la información disponible.

Al correlacionar y contextualizar toda la información disponible en Internet e incluso, al fusionarla con la información de las fuentes de acceso público, se puede interpretar y entender del comportamiento de las personas, tales como, preferencias de vestuario, diversión o alimenticias, segmentando los resultados incluso por zonas, edades u otras características. El análisis anterior por lo general se encuentra enfocado al conocimiento del mercado, preferencias y satisfacción de las necesidades de los usuarios. Incluso se plantea la posibilidad de usos delictivos de esa información.

La Declaración nace como reflexión y exposición de la situación actual en materia de protección de datos en Iberoamérica y las líneas programáticas por los que se debería apostar en pro de una mayor protección del derecho a la intimidad, la propia imagen y el honor de las personas en Internet, en el ámbito del fenómeno creciente del Big Data.

Anteriormente fueron presentados sendos documentos en Perú, Colombia, Argentina, Chile, Ecuador y Panamá sobre otros aspectos relevantes para una correcta protección de los datos y la unificación de criterios en Iberoamérica.