Transferencias de datos personales México – España / España – México. Asimetría de regulación

transferencias_mexico

Por Héctor E. Gúzman Rodríguez

Hablar de transferencias de datos personales y su regulación en diversas jurisdicciones puede ser tan entretenido como sorprendente, según el país desde el que se analice este acto jurídico.

Para más de un entendido en la materia, que existan diferencias entre la legislación de un país y otro resulta más que evidente, aún y cuando en la Unión Europea se sigue esperando la aprobación del Reglamento general que vendría a uniformar para todos sus Estados Miembros las reglas relativas al tratamiento de datos personales.

Pero sobre el particular, y en consideración de los diversos intereses económicos que existen entre uno y otro país, nos parece práctico poner de relieve que una transferencia de datos personales desde México a España no deberá cumplir con los mismos requisitos formales que una transferencia desde España a México, aunque en ambos casos, y en última instancia, deberá garantizarse la seguridad de los datos personales transferidos y el cumplimiento de (casi) todos los principios que regulan el tratamiento de este tipo de datos (a día de hoy, México incorpora en su legislación el principio de responsabilidad [accountability]).

La primera diferencia relevante (la más relevante, quizás) consiste en la autorización para poder llevar a cabo la transferencia desde un país hacia el otro. Desde México, NO sería necesario obtener una autorización, en ningún momento. Existe, sin embargo, la posibilidad de que los responsables puedan solicitar al Instituto Federal de Acceso a la Información y Protección de Datos (el “IFAI”) su opinión sobre la licitud de la transferencia (artículo 76 del  Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares – el “RLFPD” y la “LFPD”).

Desde España, y hasta en tanto México no sea considerado por la Comisión Europea como un país que ofrece un nivel de protección a los datos personales, similar al que ofrece la legislación europea, para poder llevar a cabo una transferencia hacia ese país SERÁ necesario obtener autorización previa del Director de la Agencia Española de Protección de Datos (la “AEPD”) (artículo 33 de la Ley Orgánica 17/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal – LOPD) o acreditar que concurre alguno de los supuestos previstos en el artículo 34 de la misma LOPD. La autorización otorgada además sería inscrita en el Registro General de Protección de Datos.

Desde un punto de vista semántico (con trascendencia jurídica) también existen diferencias. En España existen cesiones de datos y transferencias (internacionales) de datos. De hecho,  HYPERLINK , que las comunicaciones de datos dentro del Espacio Económico Europeo (el “EEE”) constituyen cesiones de datos a efectos de la aplicación de la LOPD.

En México, salvo la existencia de un evidente error legislativo que mantuvo el término “cesión” dentro de la normativa mexicana (artículo 63, fracción XII de la LFPD), no se regulan cesiones de datos. Existen “transferencias nacionales” y “transferencias internacionales”. La comunicación de datos desde un responsable hacia un encargado se reputa como “remisión”.

A todos los efectos, el RLFPD establece que las transferencias internacionales “serán posibles cuando el receptor de los datos personales asuma las mismas obligaciones que corresponden al responsable que transfirió los datos personales.” (artículo 74).

En cuanto a la forma de informar a los interesados/titulares sobre las transferencias de sus datos personales, también existen diferencias. En México, esta información debe proporcionarse a través del Aviso de Privacidad correspondiente (artículo 36 LOPD); en España esta información está disponible para los interesados a través del Registro de Ficheros (públicos o privados) de la AEPD, en el que los propios responsables han comunicado la existencia, destino y finalidad de sus transferencias de datos (artículo 55 RLOPD).

Por otro lado, en ambos países existe el mismo principio general: toda comunicación/transferencia de datos personales podrá efectuarse si el titular de los datos ha otorgado su consentimiento para ello. También existen en México y España una serie de supuestos en los cuales el consentimiento del afectado no resulta necesario para poder llevar a cabo la cesión/transferencia de sus datos.

Los supuestos de excepción son muy similares en ambas normativas, pero destaca el tercer supuesto de excepción previsto en el artículo 37 de la LFPD mexicana:

“Artículo 37.- Las transferencias [..] internacionales de datos podrán llevarse a cabo sin el consentimiento del titular cuando se dé alguno de los siguientes supuestos:

[…]

III. Cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas; […]”

Así pues, en México podrán llevarse a cabo transferencias de datos personales hacia empresas del mismo grupo corporativo sin el consentimiento de sus titulares; y si éstas fueran a efectuarse hacia sociedades establecidas en el extranjero, el responsable sujeto a la normativa mexicana podrá efectuarlas a cualquier país sin tener que contar con autorización previa para ello.

En España, el escenario es distinto. Si la comunicación de datos personales hacia empresas del mismo grupo corporativo no acciona alguno de los supuestos del artículo 11.2 LOPD, no HYPERLINK exenta del consentimiento de los interesados. Además, si alguna de dichas empresas estuviese establecida fuera del EEE y no residiese el alguno de los países y territorios que la Comisión Europea considera que brindan un “nivel adecuado de protección”, el responsable sujeto a la normativa española deberá obtener la autorización previa a la que ya hemos hecho mención.

Todo lo anterior corrobora que, en un entorno internacional, no debemos dar por sentado que las reglas relativas al tratamiento de datos personales son las mismas, necesariamente, en un país que en otro. En muchos aspectos, esta forma de pensar tendría cabida, pero hablando de transferencias internacionales de datos personales, desde luego será necesario analizar desde dónde y hacia dónde pretenden efectuarse.

Publicado originariamente por el autor en Lawyerpress.

5 tips legales para desarrolladores de apps

appsPor Joel Gómez Treviño

Para nadie resulta ajeno el crecimiento imparable de los teléfonos inteligentes y dispositivos móviles, que incluyen principalmente las tabletas electrónicas y los dispositivos de vestir, tales como relojes, bandas, lentes, y auriculares que se conectan e interactúan con nuestros teléfonos inteligentes. Diversas pueden ser las causas de su creciente desarrollo, pero tal vez una de las más importantes es la extraordinaria cantidad de aplicaciones (apps) a las que los usuarios tienen acceso a través de estos dispositivos móviles.

La mayoría de los desarrolladores de aplicaciones se concentran en dos plataformas: iOS (Apple) y Android (Google), por la sencilla razón de que combinadas representan el 95.7% del mercado de teléfonos inteligentes en el último cuatrimestre del 2013, de acuerdo a estadísticas de IDC.

Considerando que no solo los teléfonos inteligentes, sino también los dispositivos móviles, los dispositivos de vestir y el “internet de las cosas” son tendencias que seguirán impulsando el crecimiento de la industria de las apps por muchos años, me permito compartir con todos los desarrolladores las siguientes recomendaciones legales:

1) PROTEGE TU IDEA.

Todas las apps nacen con una idea, ya sea de negocio o simplemente se nos ocurre algo para hacerle la vida más sencilla o más entretenida a los usuarios de dispositivos móviles. Tal vez hoy no tienes claro cómo hacer negocio con esa idea que se convertirá en una app, pero si el proyecto es bueno, seguramente hallarás la manera de monetizar tu desarrollo móvil.

En el camino encontrarás muchas personas y empresas con las que quieras platicar tu idea, muchas veces tal vez con el ánimo de encontrar inversionistas o socios que te apoyen en el desarrollo de la aplicación. La única manera para evitar quedar desprotegido en caso de que te roben tu idea es firmar un Contrato de Confidencialidad, conocidos comúnmente como “NDA’s” (Non Disclosure Agreements).

Este contrato debe estar cuidadosamente redactado para que proteja tu idea pero al mismo tiempo “sea firmable” por quienes van a escuchar o conocer tu proyecto.

2) PROTEGE TU SOFTWARE.

Una vez que has decidido los pormenores (características y funcionamiento) de tu aplicación tendrás que tomar una decisión importante: ¿quién la va a desarrollar? Puedes hacerla tú mismo sin ayuda, puedes pedirle ayuda a amigos o conocidos o tal vez lo más fácil sea contratar a un desarrollador o equipo de desarrolladores para que realicen el proyecto completo bajo tus instrucciones, ya sea como empleados o proveedores.

En cualquier caso en donde requieras el apoyo de terceros (amigos, empleados o una empresa), deberás cuidar al máximo el tema de propiedad intelectual. “Obra por encargo” u “obra creada bajo una relación laboral” son dos figuras jurídicas que deben estar plasmadas a detalle en los contratos que celebres con terceros o con empleados que vayan a estar a cargo del desarrollo de tu aplicación. Al ser tú quien los contratas para que realicen la obra específicamente bajo tus instrucciones, mediante una compensación correspondiente (salario u honorarios), tú eres quien tiene el derecho a ser el titular de los derechos patrimoniales o de explotación comercial de la obra resultante.

Las apps pueden ser sujetas a protección mediante dos vías: derechos de autor (programa de software o base de datos) y propiedad industrial (marca registrada o aviso comercial). El registro de obras se realiza ante el Instituto Nacional del Derecho de Autor y el registro de marcas y signos distintivos ante el Instituto Mexicano de la Propiedad Industrial.

3) LEE LOS TÉRMINOS Y CONDICIONES PARA DESARROLLADORES DE APPS.

Recuerda que la distribución masiva y éxito de tu app depende en buena medida de las dos grandes tiendas de aplicaciones: iTunes (AppStore) y Play (Google). Antes de subir tu aplicación a cualquiera de estos dos mercados, revisa a conciencia tanto las políticas o guías para desarrolladores, así como los términos y condiciones de Apple y Google.

Aquí te comparto los enlaces para que encuentres la información fácilmente:
• Google Play Apps Policy Center
• iOS Developer Program License Agreement & Guidelines

En ambos casos existen (a) guías o políticas, y (b) contratos de licencia o términos y condiciones que obligan a los desarrolladores.

4) CUIDA QUE TU APP NO VULNERE LA PRIVACIDAD DE LOS USUARIOS.

La privacidad en internet y medios electrónicos es un tema que cada vez provoca mayor preocupación a nivel mundial. Las apps no solo representan un riesgo cuando se consideran “maliciosas” (desarrolladas por hackers para lucrar ilegalmente con la información y el teléfono del usuario), sino también cuando son “apps legítimas”, pues el desarrollador puede programarlas para conocer datos personales o sensibles del usuario, como lista de contactos, número telefónico, mensajes SMS, ubicación (gps), entre otros datos relevantes.

México tiene diversas leyes y regulaciones en torno a la privacidad del individuo y la protección de información confidencial. Dos de ellas que sin duda son aplicables al tema que tratamos en este artículo, son la Ley Federal de Protección al Consumidor y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Si no tienes cuidado en cumplir con lo que disponen las leyes aplicables, podrías estar sujeto a sanciones que pueden ser superiores a los $40 millones de pesos.

5) DISEÑA TUS PROPIOS TÉRMINOS Y CONDICIONES, ASÍ COMO TU AVISO DE PRIVACIDAD.

Esta recomendación está directamente relacionada con lo que acabamos de discutir en el punto anterior. Es importante que todo sitio web y toda aplicación tenga al menos dos “documentos legales”: los términos y condiciones de uso o de servicio (documento a veces mal llamado “aviso legal”) y el aviso de privacidad.

El primero es el contrato que tú celebrarás con cada usuario que descargue e instale tu aplicación. Ahí incluirás datos, entre otros, como los siguientes: para qué sirve la aplicación, detalles de la transacción (si es posible comprar algo en la app), usos aceptables y no aceptables, deslindes de responsabilidad, propiedad intelectual y datos de contacto para atender reclamaciones.

El aviso de privacidad es un documento físico, electrónico o en cualquier otro formato (por ejemplo sonoro), a través del cual el responsable informa al titular sobre la existencia y características principales del tratamiento al que serán sometidos sus datos personales. A través del aviso de privacidad se cumple el principio de información que establece la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento.

Una vez que tengas diseñados ambos documentos lo más importante es determinar cómo los vas a poner a disposición y/o aceptación de los usuarios de tu app. Aunque es una tendencia de derecho anglosajón (usada por abogados americanos), deberás decidir si adoptas el mecanismo “browse wrap” o “click wrap” para demostrar el consentimiento de los usuarios. El primero se da cuando el consumidor acepta tus términos y condiciones de uso solo por navegar en él (de ahí el término “browse wrap”). El segundo opera cuando el consumidor tiene que aceptar dichos términos y condiciones de uso haciendo clic en algún botón que diga “Acepto”, “De Acuerdo” o frases similares (“click wrap”). En mi opinión, el mecanismo “browse wrap” es apto para sitios web que no celebran transacciones electrónicas ni recopilan datos personales. El mecanismo “click wrap” es idóneo para sitios que realizan transacciones electrónicas y/o tratan datos personales.

Espero que estos consejos te hayan sido útiles mi querido lector. Y recuerda, siempre será recomendable que cuentes con asesoría legal especializada para cualquier emprendimiento digital. En internet se mezclan muchas materias legales, por lo que si no las dominas puedes poner en riesgo todo tu proyecto.

Si has compartido tus datos personales, ¿conoces tus Derechos ARCO en México?

arco_comaprtir

Por Joel Gómez Treviño

Desde el mes de julio del año 2010 México cuenta con una “Ley Federal de Protección de Datos Personales en Posesión de Particulares”. Esta ley contiene obligaciones específicas para toda aquella persona física o moral de carácter privado (incluyendo cualquier intermediario) que realice actividades de recolección y/o tratamiento de datos personales. Tiene por objeto la protección de los datos personales, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

Dentro de los contenidos de esta ley y su respectivo reglamento, se encuentran los “Derechos ARCO”, los cuales facultan al titular (todos nosotros) a solicitar al responsable de los datos (particulares o empresas) el acceso, rectificación, cancelación u oposición, respecto de los datos personales que le conciernen.

  1. Derecho de ACCESO.- Los titulares tienen derecho a acceder a sus datos personales que obren en poder del responsable, así como conocer el Aviso de Privacidad, el cual contiene información relativa a las condiciones y generalidades del tratamiento. Tenemos derecho a preguntar a quien tenga o trate nuestros datos personales “¿qué datos tienes de mi persona?”
  2. Derecho de RECTIFICACIÓN.- El titular podrá solicitar en todo momento al responsable que rectifique sus datos personales que resulten ser inexactos o incompletos. Tenemos derecho a decirle a quien tenga o trate nuestros datos: “mis datos son incorrectos, por favor corrígelos de la siguiente manera…”
  3. Derecho de CANCELACIÓN.- El titular tendrá en todo momento el derecho a cancelar sus datos personales. La cancelación implica el cese en el tratamiento por parte del responsable, a partir de un bloqueo de los mismos y su posterior supresión. Tenemos derecho a pedirle a quien tenga o trate nuestros datos: “ya no quiero que trates mis datos, quiero que los borres”.
  4. Derecho de OPOSICIÓN.- El titular tendrá derecho en todo momento y por causa legítima a oponerse al tratamiento de sus datos cuando: (i) exista causa legítima y su situación específica así lo requiera, lo cual debe justificar que aun siendo lícito el tratamiento, el mismo debe cesar para evitar que su persistencia cause un perjuicio al titular, o (ii) requiera manifestar su oposición para el tratamiento de sus datos personales a fin de que no se lleve a cabo el tratamiento para fines específicos. No procederá el ejercicio del derecho de oposición en aquellos casos en los que el tratamiento sea necesario para el cumplimiento de una obligación legal impuesta al responsable (por ejemplo, cuando nos opongamos al tratamiento de nuestros datos frente a un banco mientras tenemos vigente un contrato con dicha institución). De resultar procedente la solicitud de oposición, el responsable no podrá tratar los datos relativos al titular.

Para hacer valer nuestros Derechos ARCO debemos hacerlo a través de una “solicitud de acceso, rectificación, cancelación u oposición”, la cual deberá contener y acompañar lo siguiente:

  • El nombre del titular y domicilio u otro medio para comunicarle la respuesta a su solicitud;
  • Los documentos que acrediten la identidad o, en su caso, la representación legal del titular;
  • La descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos antes mencionados, y
  • Cualquier otro elemento o documento que facilite la localización de los datos personales.

Es muy importante que tengas alguna prueba de que entregaste esa solicitud ante el responsable de los datos, lo cual puedes lograr solicitando que te firmen y sellen de recibido una copia de la misma. Nuestros datos son muy valiosos para todos los comerciantes, empresas y profesionistas con los que tenemos relación. Sin ellos no podrían contactarnos para ofrecernos sus productos y servicios. Defendamos vigorosamente nuestra información personal, pues afortunadamente contamos con herramientas legales para hacerlo. El órgano garante de esta ley es el Instituto Federal de Acceso a la Información Pública y Protección de Datos (IFAI), el cual en su página web tiene mucha información para orientarnos en esta materia.

Vulneraciones de datos personales y responsabilidad de los encargados bajo la Ley mexicana (segunda parte)

sb_mexico

Por Héctor E. Guzmán Rodríguez

¿Lagunas?

En la primera parte de esta opinión, y frente a la ocurrencia de una vulneración de seguridad en los sistemas de información (“SSII”) de un Encargado, las siguientes preguntas quedaron abiertas:

¿Qué debe hacer un Encargado que sufre una vulneración de seguridad?, ¿cómo debe actuar?, ¿tiene obligaciones frente al Responsable?

Consideramos que una forma de resolver las interrogantes planteadas pasa por la lectura o interpretación teleológica de la normativa sobre protección de datos; en concreto y a partir del artículo 1 de la LFPD que claramente establece que ésta tiene por objeto “la protección de los datos personales en posesión de los particulares”, y que este objeto tiene como finalidad “regular su tratamiento legítimo, controlado e informado [de los datos personales], a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.”

En este sentido, hemos de entender que el conjunto de disposiciones sobre la materia se constituye primariamente sobre el resultado que se pretende obtener – la protección de los datos personales – y la finalidad que con ello se persigue. De otra forma, y tal y como demuestra laexperiencia internacional, cualquier normativa de protección de datos quedaría obsoleta y vacía de contenido en un tiempo relativamente corto, y los supuestos y medios de tratamiento que en el futuro pudieran generarse o descubrirse, rebasarían el objeto de la norma.

Dicho lo anterior, reiteramos que resulta indispensable entender la normativa de protección de datos personales bajo el espectro primario de su objeto, y en consecuencia interpretar sus disposiciones como medios para alcanzarlo.

En todo aquello que no resulte incompatible con la figura, las disposiciones de la LFPD y su Reglamento sobre medidas de seguridad que mencionan al Responsable, también resultan aplicables a los Encargados.

Es por ello que, en primer lugar, y en todo aquello que no resulte incompatible con su naturaleza o que deba ser regulado de forma específica por la misma razón, consideramos que las disposiciones de la LFPD y su Reglamento sobre medidas de seguridad que mencionan o se refieren al responsable de los datos personales, también resultan aplicables a los encargados; pues aún y cuando se trata de dos figuras bien diferenciadas, tienen en común el hecho de llevar a cabo el tratamiento de datos personales, y que para hacerlo deben utilizar sistemas de información “seguros”, es decir, sistemas que deben adoptar medidas (físicas, técnicas y administrativas) para protegerlos.

Un Encargado tiene la obligación de notificar sus vulneraciones de seguridad al Responsable para que éste actúe, también, conforme a la LFPD y su Reglamento.

En segundo lugar, y dado que la legislación no distingue en el sentido contrario – más bien, en el sentido que apuntamos – debe considerarse que todas las fases del tratamiento deben adoptar las medidas de seguridad necesarias para proteger los datos personales, con independencia de quién lleve a cabo o a cargo de quién se encuentren todas o algunas de dichas fases del tratamiento.

Finalmente, consideramos que las disposiciones de los arts. 4, fracción IV y 14 de la LFPD, así como lo establecido por el art. 47 de su Reglamento, arrojan una primera aproximación para resolver la cuestión que nos ocupa. El primero establece que:

“Cuando el responsable no se encuentre ubicado en territorio mexicano, pero el encargado lo esté, a este último le serán aplicables las disposiciones relativas a las medidas de seguridad contenidas en el Capítulo III del presente Reglamento” (el énfasis en nuestro).

en tanto que el numeral segundo dispone que:

“el responsable velará por el cumplimiento de los principios de protección de datos personales establecidos por esta Ley, debiendo adoptar las medidas necesarias para su aplicación. Lo anterior aplicará aún y cuando estos datos fueren tratados por un tercero a solicitud del responsable (el énfasis es nuestro).

Finalmente, el artículo 47 del Reglamento de la LFOD establece que:

“el responsable tiene la obligación de velar y responder por el tratamiento de los datos personales que se encuentren bajo su custodia o posesión, o por aquéllos que haya comunicado a un encargado, ya sea que este último se encuentre o no en territorio mexicano” (el énfasis es nuestro).

Bajo estas premisas, otros dos artículos resultan claves para comprender las recomendaciones y conclusiones que cerrarán estas reflexiones. Ambos dispositivos se refieren expresamente al Encargado, y aunque en el segundo de ellos consideramos que la expresión “en su caso” resulta innecesaria, su texto resulta lo suficientemente claro para concluir que un Encargado también tiene obligaciones que cumplir en caso de sufrir una vulneración de seguridad en sus SSII, y que, para el cumplimiento del objeto de la LFPD, debe comunicar dicha vulneración al Responsable.

En concreto, el art. 50, fracción III del Reglamento de la LFPD establece:

Obligaciones del encargado

Artículo 50. El encargado tendrá las siguientes obligaciones respecto del tratamiento que realice por cuenta del responsable:

[…]

III. Implementar las medidas de seguridad conforme a la Ley, el Reglamento y las demás disposiciones aplicables; […]

Y el art. 57 del mismo ordenamiento, que abre su Capítulo III (“De las Medidas de Seguridad en el Tratamiento de los Datos Personales”), dispone:

Alcance

Artículo 57. El responsable y, en su caso, el encargado deberán establecer y mantener las medidas de seguridad administrativas, físicas y, en su caso, técnicas para la protección de los datos personales, con arreglo a lo dispuesto en la Ley y el presente Capítulo, con independencia del sistema de tratamiento. Se entenderá por medidas de seguridad para los efectos del presente Capítulo, el control o grupo de controles de seguridad para proteger los datos personales.

Personalmente, entendemos que el uso de la expresión “en su caso” en el artículo 57 del Reglamento de la LFPD se refiere a aquellos casos en que el tratamiento de los datos personales por parte del Responsable, para determinadas finalidades y en relación con bases de datos específicas, se encomienda a un Encargado, quien, como establece el artículo 50, fracción III, deberá implementar las medidas de seguridad conforme a la Ley, el Reglamento y las demás disposiciones aplicables.

Con todo lo anterior en mente, sólo basta recordar o hacer notar que los artículos 63 a 66 del Reglamento de la LFPD – es decir, aquellos que regulan las vulneraciones de seguridad de datos personales – se encuentran ubicados, precisamente, en el Capítulo III de este ordenamiento; es decir, que sus disposiciones se refieren también a medidas de seguridad en el tratamiento de datos personales que el Responsable y, en su caso, el Encargado, deben establecer y mantener.

7 Recomendaciones esenciales para Encargados

Llegados a este punto, las siguientes recomendaciones y conclusiones nos parecen esenciales para que un Encargado pueda actuar con apego a la normativa de protección de datos personales, en caso de sufrir una vulneración de seguridad:

  1. Debe interpretar dicha normativa de acuerdo a su finalidad, y no de forma literal a algunas de sus disposiciones. Como Encargado, también debe velar y responder por el tratamiento de los datos personales a su cargo, en este caso y en primer lugar frente al Responsable.
  2. Asumir que su actuación como Encargado conlleva el tratamiento de datos personales, tal y como lo define el artículo 3, fracción XVIII de la LFPD – es decir, que puede obtener, usar, divulgar, almacenar, acceder, manejar, transferir o divulgar datos personales, bajo las instrucciones del Responsable; sea que participe en todas o sólo en algunas de las fases de dicho tratamiento.
  3. Para el desempeño de sus funciones como tal, un Encargado debe implementar procedimientos adecuados para hacer frente a la ocurrencia de vulneraciones de seguridad, como parte de las medidas de seguridad que debe adoptar para el tratamiento de datos personales.
  4. Habiendo identificado la actualización de los supuestos a que se refiere el artículo 64 del Reglamento de la LFPD, un Encargado debe proceder a comunicar al Responsable correspondiente, al menos, la información a que se refieren las fracciones I, II y IV de dicho numeral – la naturaleza del incidente, los datos personales comprometidos y las acciones correctivas realizadas de forma inmediata – y facilitar los medios e información indispensables para que éste pueda, en su caso y bajo su responsabilidad, entregar a los Titulares la información a que se refieren las fracciones III y V del artículo de referencia – recomendaciones acerca de las medidas para que los Titulares puedan proteger sus intereses y los medios donde pueden obtener más información al respecto.
  5. Frente a la existencia de Subcontratados y en el marco de cumplimiento del artículo 54 del Reglamento de la LFPD, establecer en las cláusulas contractuales que celebre con aquéllos la obligación de comunicar al Encargado y al Responsable la ocurrencia de una vulneración de seguridad en sus propios SSII.
  6. Encargados y Responsables deben establecer cláusulas contractuales para regular su relación jurídica y el tratamiento de los datos personales involucrados (artículo 51 del Reglamento de la LFPD).
  7. Encargados y Responsables también deben establecer las cláusulas contractuales adecuadas, que prevean la ocurrencia de una vulneración de seguridad en los SSII del Encargado y la forma en que éste debe actuar en caso de que esta ocurra, con el objeto de asegurar que la vulneración será comunicada al Responsable.

Este artículo fue originalmente publicado en el blog “Information Security Breaches & The Law” el 21 de enero de 2014. Photo by Alexander Kolosov, shot on July 18, 2013. Creative Commons “Attribution-ShareAlike 2.0 Generic (CC BY-SA 2.0) licence.

Todo lo que querías saber sobre la notificación de vulneraciones de datos personales en la nueva legislación mexicana (primera parte)

mexico_cedric

Por Cédric Laurant y Armando Becerra

En Europa se está discutiendo estos meses en el Parlamento europeo del nuevo cuadro jurídico en materia de protección de datos: un reglamento que se aplicaría como una ley a todos los estados miembros de la Unión europea.  En esta regulación, surge un nuevo tipo de requisito para todos los responsables de tratamiento: la obligación de notificar vulneraciones de seguridad a los titulares de datos personales y a autoridades de protección de datos, que sean clientes, proveedores u otras personas físicas.  Como ya escribimos sobre el tema en una previa entrada, esta obligación ya existe para los proveedores de servicios de comunicaciones electrónicas disponibles al público en la Directiva 2009/136/CE del 25 de noviembre de 2009.

Pero no es solamente en Europa que se está desarrollando este aspecto del marco regulatorio de protección de datos, sino también en un país como México donde una ley federal obliga a las empresas a notificar sus vulneraciones de seguridad.

Por “vulneraciones de seguridad”, el Reglamento de la ley de protección de datos mexicana refiere a “las vulneraciones de seguridad de datos personales ocurridas en cualquier fase del tratamiento [que consisten en] la pérdida o destrucción no autorizada; el robo, extravío o copia no autorizada; el uso, acceso o tratamiento no autorizado, o el daño, la alteración o modificación no autorizada” (Artículo 63, Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares).

nvité a un colega mexicano experto en seguridad y protección de datos personales, a contarnos de su experiencia sobre la aplicación de la Ley, que opina sobre dichas disposiciones y lo que deberían hacer las empresas en México.

Cédric: ¿Porqué no se lee tanto sobre vulneraciones de seguridad como se escuchan en Estados Unidos? ¿No ocurre ese tipo de incidentes en empresas mexicanas?
Armando:

Naturalmente ocurre ese tipo de incidentes en México, tanto a empresas nacionales como a extranjeras con sucursales en el país, de la misma manera que ocurre en el resto del mundo, tan sólo hay que mirar el Reporte “Cibercrimen” de Norton 2012 (2012 Norton Cybercrime Report) en el cual participaron varios países, incluido México: se estima que anualmente se tienen 556 millones de víctimas de cibercrimen. Por otro lado, las brechas de seguridad de grandes organizaciones o en el gobierno son mediáticamente más difundidas.  Sin embargo la mayor cantidad de brechas de seguridad sucede en pequeñas y medianas empresas.  En el reporte de “Investigación de Brechas de Seguridad” de Verizon del 2012 se dice que el sector más afectado por brechas es la de alojamiento y servicios de alimentación (es decir restaurantes y hoteles), con el 51% del total de brechas, contra tan sólo el 3% que sufre el sector de tecnologías de la información.

En México, buena parte de la economía está centrada en la micro, pequeña y mediana empresa, grupos menos espectaculares, menos seguros y mejores objetivos para los atacantes.  En cuanto a grandes empresas mexicanas, en 2012 ocurrieron  brechas de seguridad y fugas de información notables: en febrero un grupo de hackers filtró información de 3000 empleados de la compañía de telefonía celular Telcel (subsidiaria de América Móvil); y en julio la televisora TV Azteca demandó a la empresa IBOPE (medidora de audiencia), acusándola de publicar información de 3400 hogares que participaban en el proceso de medición de rating.  Estos dos ejemplos dejan claro que sin importar la causa de la vulneración – en el primer caso un hackeo, en el segundo una fuga de información corporativa – existen serias consecuencias para la imagen de las empresas: ambas noticias fueron recibidas por el público principalmente a través de los datos filtrados en Internet más que de una apropiada respuesta de la compañía.

Creo que se escucha más de vulneraciones en Estados Unidos debido a una lógica de difusión mediática: el acceso mundial de sus empresas (diferentes servicios sobre internet), su giro de negocios (redes sociales, comercio electrónico) y su manejo masivo de información hace de estas empresas un escaparate más espectacular, sin olvidar que sus leyes respecto al tema tienen más tiempo y por tanto más presencia en la población.

Cédric: Creo que la razón principal por la cual se escucha más en Estados Unidos de vulneraciones viene de la ley que, en cada estado, obliga las empresas a cumplir, so pena de altas multas, con requisitos de notificación a las personas afectadas y vía medios de comunicación.  En la Unión Europea donde ya existen leyes similares a destino de las empresas de telecomunicación y de acceso al Internet, todavía no se ven muchos casos en los que se notifican vulneraciones – probablemente porque las leyes son recientes y que las empresas todavía no están acostumbradas a dar a conocer al publico y sus clientes las vulneraciones que llegaran a padecer.  Ahora bien, ¿qué suele hacer una empresa en México cuando tiene una vulneración de seguridad que involucra los datos personales de sus clientes?
Armando:

Las empresas reaccionan de manera muy similar a cualquier empresa en el mundo. Si tienen un plan de continuidad de negocio, este contemplará puntos como: la generación y uso de los respaldos de la información, el impacto de una vulneración en los empleados, la continuidad de comunicaciones y la cadena de mando, la reacción en cadena de una vulneración y el cumplimiento de la normatividad que le corresponda.  En este último punto, respecto a la Ley mexicana, los responsables de datos personales deberán notificar a los titulares sobre las vulneraciones que afecten a sus derechos patrimoniales o morales.  El notificar brechas de seguridad correctamente no es un proceso trivial: si una empresa no tiene adecuadas políticas, procesos y medidas de seguridad, le será difícil justificar sus acciones.

“Aunque el 58% de los participantes cuentan con recursos en la organización para cumplir la Ley de Protección de Datos mexicana, tan sólo el 17% han realizado modificaciones importantes a sus procesos de negocios” (Termómetro: Privacidad de datos)

La presentación “Termómetro: Privacidad de datos”, elaborada por Deloitte, señala que aunque el 58% de los participantes en el estudio cuentan con recursos en la organización para cumplir la Ley de Protección de Datos mexicana, tan sólo el 17% han realizado modificaciones importantes a sus procesos de negocios.

“Este universo de empresas que se declaran atrasadas en el cumplimiento de la ley, probablemente no tengan medidas relacionadas al tratamiento de brechas mencionado anteriormente”

Cédric: ¿Entonces, qué debería hacer una empresa en México para cumplir con la nueva Ley y su Reglamento?
Armando:

Las empresas mexicanas han puesto mucha atención a los apartados referentes a medidas de seguridad y protección de datos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y en su Reglamento (RLFPDPPP).  Desde enero del año 2012, las empresas deben estar listas para cumplir las solicitudes de derechos de acceso, rectificación, cancelación y oposición que las personas presenten respecto a sus datos personales, y aunque no se exija el cumplimiento total del capítulo de medidas de seguridad del reglamento sino hasta junio de 2013, el artículo 19 de la Ley marca responsabilidad inmediata:

“Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdidas, alteración, destrucción o el uso, acceso o tratamiento no autorizado.”

Por lo que si un titular se inconforma en una solicitud de derechos u ocurre una vulneración a los datos personales que afecte a los titulares y no es atendida, el IFAI intervendrá.  De hecho, hace sólo un par de semanas, el 3 de diciembre del 2012, el IFAI multó a una cadena farmacéutica (Farmacias San Pablo) por indebido tratamiento de datos personales y por no publicar su aviso de privacidad.  La multa asciende a aproximadamente 2 millones de pesos mexicanos (más o menos 150,000 dólares US), lo cual se suma al daño a la imagen y al costo de implementar medidas para mitigar estos efectos (más información).

Cédric: Sí, y como es la primera vez que multa una empresa el IFAI desde que el Reglamento entró en vigor en enero del 2012 y que la mayoría de las empresas en México todavía no cumplen con la Ley y el Reglamento, estaremos atentos a ver como el IFAI no solamente podría multar empresas por falta de aviso de privacidad, sino también como podría multar empresas cuyos responsable de tratamiento no llegaran a notificar una vulneración de datos personales de sus clientes o empleados.  De hecho, las empresas mexicanas deberían estar listas ante la obligación de notificar sus brechas de seguridad que pongan en riesgo los datos personales de los titulares, ya sean clientes, proveedores o hasta sus propios empleados. Ahora, ¿nos podría explicar lo que dice la Ley exactamente?
Armando:

En el caso de la LFPDPPP, dentro de los “Principios de Protección de Datos Personales”, se establece lo siguiente:

Artículo 20:

“Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos.”

 De manera más detallada, en el RLFPDPPP se desarrollan los siguientes requerimientos:

Artículo 64:

“El responsable deberá informar al titular las vulneraciones que afecten de forma significativa sus derechos patrimoniales o morales, en cuanto confirme que ocurrió la vulneración y haya tomado las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, y sin dilación alguna, a fin de que los titulares afectados puedan tomar las medidas correspondientes.”

Artículo 65:

“El responsable deberá informar al titular al menos lo siguiente:I. La naturaleza del incidente;II. Los datos personales comprometidos;III. Las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses;IV. Las acciones correctivas realizadas de forma inmediata, yV. Los medios donde puede obtener más información al respecto.”

Artículo 66:

“En caso de que ocurra una vulneración a los datos personales, el responsable deberá analizar las causas por las cuales se presentó e implementar las acciones correctivas, preventivas y de mejora para adecuar las medidas de seguridad correspondientes, a efecto de evitar que la vulneración se repita.”

Cédric: ¿Cómo una compañía en México debe notificar una vulneración de seguridad, y en qué condiciones?
Armando:

La notificación de brechas de seguridad no debe ser tomada como una carga.  Más bien, este tipo de exigencias regulatorias tiene dos objetivos fundamentales: proteger a los titulares de datos y reducir el posible impacto de una vulneración en la organización.

“La ley es clara: hay que notificar a los titulares de los datos personales si una vulneración afecta sus derechos”

La ley requiere claramente que empresas tienen que notificar a los titulares de los datos personales si una vulneración afecta sus derechos.  Esto no puede traducirse en acciones si en el interior de la organización no hay planes y recursos para responder ante tales hechos.  Por ello, todos los puntos de la ley son condiciones operativas mínimas que deben tener las empresas:

1. Coordinación entre áreas: Si ocurriera una brecha de seguridad, se debe preguntar:

  • ¿Quiénes son los involucrados en detectarla?
  • ¿Qué hacer de manera inmediata?
  • ¿Quiénes deciden cuándo y cómo notificar a los titulares?
  • ¿Cuál es el plan de remediación? (valorar los daños y el plan de acción correspondiente)

Las áreas legales, de tecnologías de la información y de comunicación social de la empresa deben evaluar a quienes notificar sobre la brecha. La ley habla de notificar a los titulares “afectados”. Sin embargo, cierto incidente podría ser mejor manejado (y evitar la afectación de otras personas) si se notificara, por ejemplo, a través de medios masivos. No hay que olvidar los procedimientos internos para comunicar a otras partes involucradas en la toma de decisiones.

2. Informar a los titulares: procedimientos para que, al menos, se notifique a los titulares afectados en cuanto se confirme una vulneración y se hayan tomado acciones encaminadas para su revisión, por ejemplo con un análisis forense o un plan de continuidad de negocio.  Este punto es muy interesante, ya que las brechas de seguridad pueden tener múltiples causas y el análisis podría tomar desde horas, hasta días o meses. Si bien la ley no establece tiempos fijos, las empresas deben tener en cuenta que un proceso eficiente de notificación de brechas de seguridad puede evitar mayor daño a las personas.  Por ejemplo, si una vulneración produjera una fuga masiva de contraseñas, la empresa podría difundir el hecho para que los usuarios cambiaran sus claves de acceso: en un escenario extremo, si su investigación no descubriera la fuente de la fuga de información, el cambio masivo de contraseñas funcionaría como una contramedida.

3. Implementar medidas de seguridad correctivas, inmediatas y a largo plazo contra la vulneración: una vez detectada la brecha, y en su caso, notificando a las personas afectadas, se debe trabajar en las medidas correctivas, que van desde los controles técnicos hasta la actualización de políticas existentes.

Este artículo fue originalmente publicado en el blog “Information Security Breaches & The Law” el 10 de enero de 2013. Fuente de la imagen: “Data Dump” by Seth Anderson (2008).

Vulneraciones de datos personales y responsabilidad de los encargados bajo la Ley mexicana (primera parte)

brechas_seguridad

Por Héctor E. Guzmán Rodríguez

El escenario

Como resulta evidente, el escenario de nuestro análisis es uno del todo indeseable que, sin embargo, ocurre con una frecuencia mayor a la que todos los involucrados desearían.

El trasfondo del mismo proviene del actual marco organizativo de las empresas y de las decisiones de negocios que adoptan para ahorrar recursos y mejorar la eficiencia de sus actividades; en concreto, la externalización de servicios dentro o fuera de su territorio.

Nuestro interés se centra en los denominados “encargados”: aquellas personas físicas o morales, públicas o privadas, que para la prestación de un servicio deben tratar datos personales por cuenta y bajo las instrucciones de un responsable; personas que la normativa mexicana, puntualiza y aclara, son ajenas a la organización del responsable (art. 49 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares a la fecha vigente – en adelante, el “Reglamento de la LFPD”).

Y en particular, queremos abordar una cuestión que la experiencia reciente ha demostrado no estar resuelta satisfactoriamente ni para los responsables ni para los encargados sujetos a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares en vigor (en adelante, la “LFPD”):

¿Qué medidas debe adoptar y cuáles son las obligaciones de un encargado que ha sufrido una vulneración de seguridad?

Los protagonistas

En el escenario de una vulneración de seguridad que involucra datos personales, identificaremos a dos actores principales que en otras jurisdicciones ya han sido ampliamente analizados:

  • El Responsable que ha contratado un servicio para sí que conlleva necesariamente el tratamiento de datos personales que se encuentran en su posesión y,
  • El Encargado que por cuenta del responsable necesariamente trata tales datos personales para la prestación del servicio contratado.

Cabe señalar que en el supuesto que analizamos también podríamos encontrarnos con un “actor secundario”, identificado por la normativa mexicana como el “Subcontratado”. Esta persona (física o moral, y que en supuestos de mayor complejidad podrían ser varias personas) aparece en escena cuando, para la prestación del servicio contratado, el encargado debe llevar a cabo la subcontratación de determinados servicios; siempre con autorización del responsable (art. 54 del Reglamento de la LFPD.

En todo caso, y a efectos de las recomendaciones que aquí desarrollaremos, debemos tener presente que

el Subcontratado asume las mismas obligaciones que la normativa aplicable establece para el encargado.

Ha ocurrido una vulneración de seguridad

De forma taxativa, el art. 63 del Reglamento de la LFPD enumera las vulneraciones de seguridad de datos personales que pueden ocurrir “en cualquier fase del tratamiento”.

Ante una vulneración de seguridad, el art. 64 del Reglamento establece que tras haber “confirmado” su existencia y determinado que ésta afecta “de forma significativa” a los “derechos patrimoniales o morales” de los titulares y una vez haya tomado “las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación”, el Responsable deberá informar “al titular” (sic) sobre la ocurrencia de la vulneración de seguridad (como mínimo trasladar la información que se enumera en el art. 65) y, además, deberá “analizar las causas por las cuales se presentó e implementar las acciones correctivas, preventivas y de mejora para adecuar las medidas de seguridad correspondientes, a efecto de evitar que la vulneración se repita.” (art. 66 del Reglamento de la LFPD).  Para ampliar consideraciones relativas a la interpretación de las disposiciones de la normativa mexicana sobre vulneraciones de seguridad, recomendamos ampliamente la consulta de la siguiente entrada: “Todo lo que querías saber sobre la notificación de vulneraciones de datos personales en la nueva legislación mexicana” (1ra parte) y 2da parte.

Frente a una vulneración de seguridad, un Encargado comprobará que la legislación mexicana no le menciona, ni prevé obligaciones a su cargo, de forma expresa.

Supongamos que el servicio contratado por el responsable ya se encuentra en marcha y los datos personales se hallan en los sistemas de información (“SSII”) del Encargado. Pues bien, ante una vulneración de seguridad en sus SSII, dicho Encargado no encontrará ninguna disposición al respecto que le mencione expresamente, ni directrices de actuación, ni obligaciones “claras” a su cargo, puesto que los artículos 63 a 66 del Reglamento de la LFPD, a los que nos hemos referido, únicamente hacen referencia al Responsable.

¿Lagunas?

Conforme a nuestra experiencia, podemos comentar que la primera reacción de un encargado que sufre una vulneración de seguridad de datos personales es la de afirmar que, sobre este aspecto, la legislación vigente no le resulta aplicable. Acto seguido, tras escuchar alguna opinión legal, concede que, en todo caso, la normativa de protección de datos adolece de lagunas sobre la forma en que debe actuar y responder frente al Responsable (¿y los Titulares?). Las propuestas y recomendaciones para actuar en el marco legal existente y, sobre todo, para evitar posibles sanciones, le parecen, según el caso, demasiado generales, imprecisas… o excesivas.

La normativa vigente genera inseguridad jurídica respecto de la forma en que un encargado debe actuar al verse inmerso en una vulneración de seguridad.

Por otro lado, si atendemos a la tradición jurídica mexicana (profundamente arraigada, por cierto), que demanda de las leyes e instrumentos legales enumeraciones excesivas y en muchos casos innecesarias, podemos llegar a entender que actualmente exista inseguridad jurídica respecto de la forma en que un encargado debe actuar al verse inmerso en una vulneración de seguridad, pues todo parece indicar que la Ley “nada” establece al respecto.

Pero en todo caso, y si en efecto un encargado ha confirmado la ocurrencia de una vulneración de seguridad como las que enumera el art. 63 del Reglamento de la LFPD, y éste es consciente de la existencia de una relación jurídica que le vincula con el responsable y, además, conoce la existencia de otras disposiciones en las que claramente se definen sus obligaciones (e.g. art. 50 del Reglamento de la LFPD), al día de hoy persisten ciertas interrogantes importantes: ¿Qué debe hacer este encargado?, ¿cómo debe actuar?, ¿existen obligaciones de éste frente al Responsable?

Al día de hoy persisten ciertas interrogantes importantes: ¿Qué debe hacer el Encargado?, ¿Cómo debe actuar? ¿Existen obligaciones de éste frente al Responsable?

En la segunda parte de esta entrada, y bajo el espectro del objeto de la normativa de protección de datos personales, intentaremos dar respuesta a las cuestiones anteriores, planteando además algunas recomendaciones esenciales para encargados y responsables.

Este artículo fue originalmente publicado en el blog “Information Security Breaches & The Law” el 14 de enero de 2014. Photo by Jens Schott Knudsen, shot on July 18, 2013. Creative Commons Attribution – Non-Commercial License. Available at Flickr; photostream.

En México: retos para la adaptación a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares

lopd_mexico

Por Héctor E. Guzmán Rodríguez

1. Introducción

Desde una posición que considero privilegiada, soy testigo de la entrada en vigor en México de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPD) y asisto por vía de colaboración a los retos inherentes a la puesta en marcha de proyectos de adaptación de este ordenamiento en un Estado que hasta hace poco no contemplaba como derecho fundamental la protección de los datos personales.[1]

México se encuentra frente al gran reto de insertar a las personas físicas y jurídicas sujetas a la LFPD en el marco de cumplimiento de una normativa similar a la que hoy en día es aceptada y valorada tanto en España como en el resto de la Unión Europea.

Este reto viene acompañado de varios factores que afloran conforme los plazos transitorios de entrada en vigor de la LFPD se van sucediendo, dando origen a una mayor demanda de este tipo de servicios, a la vez que generando sorpresas en aquellos interesados que los solicitan.

Con este escrito pretendo transmitir experiencias de primera mano que a muchos de mis compañeros en España sonarán a “viejos tiempos” de la “LOPD”[2], así como dar a conocer algunos aspectos relevantes de esta nueva disposición mexicana.

2. Cultura de protección de los datos personales: El reto de la concienciación

Si, como hemos indicado anteriormente, México introdujo como derecho fundamental la protección de datos personales en junio de 2009, es fácil concluir que el país apenas comienza a transitar por un cambio de idiosincrasia en relación con los derechos que derivan a favor de los ciudadanos en esta materia y las obligaciones recíprocas que ahora deben cumplir los “particulares” que tratan dichos datos en el curso de sus actividades.

El valor intrínseco de esta protección y la percepción de que el ciudadano tiene derechos en relación con sus datos personales aún debe permear en la sociedad mexicana; esta sociedad ahora pasa a ser consciente del derecho que le asiste para exigir la protección y seguridad de sus datos frente a aquellas organizaciones que durante mucho tiempo los han tratado sin estar obligadas a informar sobre las finalidades o usos de aquéllos, ni obligadas tampoco a adoptar medidas concretas y verificables que permitan proteger los datos personales contra daños, pérdidas, alteraciones, destrucciones o el uso, acceso o tratamiento no autorizado de los mismos.

En este escenario, de sobra es conocido que la aplicación efectiva y puntual de la ley constituye un pilar esencial para impulsar el conocimiento y la conciencia sobre la importancia que reviste una legislación sobre esta materia; de la misma manera que los profesionales dedicados a ella constituyen otra base de impulso mediante la debida difusión, formación y asesoría de aquellos que ya han asumido el cumplimiento de este nuevo ordenamiento. De ahí que sea necesario asumir desde ahora que el camino no será fácil ni corto.

3. Publicación y entrada en vigor: El espejismo del Aviso de Privacidad.

La LFPD fue publicada el 5 de julio de 2010,[3] indicando el primer artículo transitorio de su Decreto de expedición que entraría en vigor al día siguiente. Se estableció además que el reglamento de la LFPD debería ser expedido dentro del año siguiente a su publicación,[4] aunque dicho plazo ha vencido y su publicación se espera a finales de 2011 o principios de 2012.

En cuanto al sub-tema de este apartado, debemos atender a que el artículo tercero transitorio de la LFPD estableció:

“Los responsables designarán a la persona o departamento de datos personales a que se refiere el artículo 30 de la Ley y expedirán sus avisos de privacidad a los titulares de datos personales de conformidad a lo dispuesto por los artículos 16 y 17 a más tardar un año después de la entrada en vigor de la presente Ley.”[5]

Esta disposición transitoria, que se refiere únicamente a dos obligaciones, ha sido el punto de partida para posponer acciones concretas de adaptación y para ceñir su alcance, de forma un tanto incomprensible, al cumplimiento de una obligación formal como la “expedición” de los denominados “Avisos de Privacidad”.

Pocos profesionales mexicanos que hayan decidido incursionar en proyectos de consultoría de adecuación a la LFPD pueden negar haber recibido alguna llamada a través de la cual el interesado solicitó la redacción de dichos avisos “para cumplir con la LFPD”. En ocasiones, los interesados se limitan a solicitar “el” aviso de privacidad. Otros clientes más ambiciosos han solicitado asesoría para cumplir con la expedición de sus avisos de privacidad y para nombrar a la persona o departamento de datos personales.

Estas llamadas han ido en aumento, pues el plazo concedido por el legislador para cumplir con esa dos obligaciones venció el pasado 6 de julio de 2011.

En todo caso, lo cierto es que los consultores en México se enfrentan a la creencia generalizada de que la implementación de “el aviso de privacidad” constituye la más importante obligación a su cargo (si no la única) como consecuencia de la entrada en vigor de la LFPD.

De ahí que ante este error de apreciación nos encontremos con el desconcierto de quienes quieren cumplir con la LFPD en el momento en que son informados de que la adopción de los avisos de privacidad no es la única obligación a cumplir, y de que una correcta adaptación de su organización debe pasar un proyecto de consultoría con vertientes jurídicas y técnicas.

El “Efecto Aviso de Privacidad” ha pasado factura: algunos interesados retiran su interés para cumplir con la LFPD o aplazan la decisión, otros optan por acudir a otros profesionales con la esperanza de escuchar que no son tantas las obligaciones a su cargo. En el mejor de los casos, el cliente se muestra dispuesto a recibir una oferta que explique las acciones que deben emprenderse para cumplir con la LFPD; pero el efecto aviso de privacidad estará presente, dado que el coste del proyecto aparecerá como desproporcionado si se le compara con las expectativas iniciales, que sólo contemplaban pedir, recibir y expedir dicho aviso.

4. El reto del conocimiento profundo del cliente

Uno de los mayores retos que atestiguamos a día de hoy (quizás el mayor), es la reticencia de los clientes a que el proyecto de adaptación se desarrolle de tal forma que permita conocer en profundidad a la organización: Se cuestiona la pertinencia o relevancia de entrevistas con los jefes de unidades organizativas de la entidad y la revisión del entorno físico; iniciativas que algunas veces son calificadas como intrusivas. Desafortunadamente, el interés de los consultores por conocer íntegramente al cliente que debe ser adaptado aún no se percibe como algo enteramente positivo.

Además del nivel básico de cultura sobre datos personales, atribuyo esta resistencia al “Efecto Aviso de Privacidad”. Como ya he indicado anteriormente, la idea de que la expedición de los avisos de privacidad constituye la obligación principal que dimana de la LFPD, predispone el concepto de los clientes sobre el objeto y alcance de un proyecto de adaptación, sorprendiéndoles en muchas ocasiones el número de acciones que se desean emprender, así como la cantidad de información y documentación solicitada y la propia duración del proyecto.

De ahí que el uso de cuestionarios constituya, en este momento, una vía alternativa para conocer de la mejor forma posible a la organización que se desea adaptar; careciendo como es obvio de la posibilidad de contacto personal y la transmisión de conocimientos hacia los entrevistados, que siempre permite “descubrir” tratamientos de datos personales ahí donde nadie pensaba que los hubiere.

Responder a los clientes si tratan datos personales, quiénes los tratan y en qué contexto, identificar los canales de entrada y salida, comprobar por ejemplo si existe un registro de visitantes o cámaras de seguridad; todo ello se vuelve una tarea que requiere del consultor un mayor grado de atención a la hora de desarrollar sus cuestionarios y dirigir cualquier requerimiento de información adicional a los “entrevistados”.

Es por ello que la experiencia y conocimientos del consultor son factores críticos en el entorno incipiente en que actualmente se prestan los servicios de adaptación a la LFPD, pues de aquéllos dependerá el correcto planteamiento de aquellas cuestiones y aspectos que deberán ser analizados antes, durante y a la conclusión del proyecto.

5. Principios de protección de datos personales

De la mano con la Directiva 95/46/CE[6] y las diversas leyes nacionales europeas que la han implementado, la ley de protección de datos mexicana ha hecho suyos diversos principios relacionados con el tratamiento de los datos personales. Ello lo corrobora el artículo 6 de la LFPD, que enumera dichos principios de la siguiente forma: “Los responsables en el tratamiento de datos personales, deberán observar los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, previstos en la Ley.”

Evaluar el entorno, las circunstancias, las finalidades, los motivos y las condiciones en que el tratamiento de datos personales se desarrolla, de cara a verificar si la entidad responsable cumple con dichos principios, constituye una tarea de elevado cuidado en el escenario a que se refiere el apartado anterior. La oportunidad (necesidad) que constituyen las entrevistas a los responsables de las diversas áreas que tratan datos personales en una organización es de sobra conocida por el tipo de conocimiento que brindan y por la economía de tiempo que representan frente a la opción del levantamiento de cuestionarios.

La falta de este contacto directo puede significar también una oportunidad perdida para transmitir a la organización la importancia de revisar y actualizar todas aquellas recomendaciones y medidas que el proyecto aporte a su conclusión, transmitir que el cumplimiento de los principios es algo cotidiano y permanente, que no se agota con la publicación de avisos de privacidad ni mediante la adopción de medidas por una vez, sino que es algo continuo y que ahora debe formar parte de la organización.

Sin embargo, ha de asumirse en este momento que el contacto directo con los responsables funcionales no será posible en todos los casos; los consultores deberán ser capaces de convencer a los clientes interesados de la necesidad de efectuar estas entrevistas en beneficio de la calidad final del proyecto, a la vez que deberán concentrar esfuerzos adicionales en aquellos casos en que éstas no puedan llevarse a cabo con el objeto de no pasar por alto cuestiones relevantes para la evaluación del grado de cumplimiento de los principios previstos por la LFPD.

 6. Sin registro de bases de datos personales (ficheros)

Si bien es cierto que actualmente se propugna en la Unión Europea por la desaparición o revisión del sistema de notificación de operaciones de tratamiento de datos personales,[7] lo cierto es que esta propuesta resulta razonable en un entorno que, a nuestro gusto, ya goza de un nivel de madurez suficiente para cuestionar el valor intrínseco de dicho sistema.

Nos encontramos frente a un trámite administrativo que en España, por ejemplo, se viene exigiendo desde los tiempo de la “LORTAD”[8] y que ya comienza a ser objeto de dudas a la vista de las consultas efectivas que se realizan al Registro General de Protección de Datos.

Sin embargo, considero que visto con perspectiva es posible concluir que uno de los efectos derivados de la existencia de este deber de registro lo constituye el “incentivo” externo que el incumplimiento de esta obligación acarrea para los responsables (infracciones leves o graves y las multas correspondientes), que se corresponde con el interés en solicitar la asesoría apropiada no sólo para registrar ficheros que tratan datos personales, sino además para que las inscripciones correspondientes sean veraces y estén actualizadas.

Este “incentivo” no existe en México, pues la LFPD no prevé la obligación de registrar las bases de datos personales en posesión de los particulares. Existen muchas razones para ponderar los beneficios e inconvenientes que hubiera conllevado la adición de una carga administrativa adicional en un país que durante mucho tiempo ha sobrecargado de trámites a personas físicas y jurídicas; sin embargo, a la vista de la necesidad que existe por interesar a los responsables en el cumplimiento de esta nueva ley durante su etapa inicial y como refuerzo a la cultura de la protección de los datos personales, nuestro punto de vista es que dicho registro hubiera sido deseable para reforzar las labores de difusión y concienciación sobre la materia.

Con ello, sólo indicar que los profesionales carecen del argumento de la “obligación de inscripción” como refuerzo para motivar el interés y la puesta en marcha de proyectos de adaptación a la LFPD, dado que no existe un incumplimiento inmediato a sus disposiciones proveniente de la falta de inscripción de las bases de datos correspondientes; y de ahí la relativización que hemos detectado hacia el valor de un inventario adecuado de las bases de datos personales que cada organización trata en el seno de sus actividades.

7. Derechos ARCO

Como contrapartida al punto anterior, a partir del 6 de enero de 2012 los titulares de datos personales en México podrán ejercer frente a los particulares los derechos ARCO[9] reconocidos por la LFPD.

Esta fecha viene establecida a través del artículo cuarto transitorio del Decreto que expidió la LFPD,  que fijó en dieciocho meses desde de su fecha publicación el momento a partir del cual los titulares de datos personales “podrán ejercer ante los responsables sus derechos de acceso, rectificación, cancelación y oposición contemplados en el Capítulo IV”. A partir de dicho momento, los titulares también podrán dar inicio, en su caso, al procedimiento de protección de derechos que la misma ley establece (Capítulo VII).

A día de hoy, sigue siendo un misterio el motivo por el cual este plazo ha sido fuente de interpretaciones que, en última instancia y en algunos casos, han comprometido la integridad de los proyectos de adecuación, puesto que algunas empresas interesadas en un proyecto de adecuación a la LFPD no han considerado indispensable abordar de inmediato el diseño y adopción de los procedimientos internos que garanticen la adecuada atención de las solicitudes de ejercicio de los derechos ARCO, ya que consideran abiertamente que si a día de los titulares no pueden ejercer estos derechos, los procedimientos internos no son inmediatamente necesarios.

Evidentemente, esta percepción se traduce en el retraso de toma de decisiones e del inicio de acciones al interior de la organización para asegurar que, precisamente el 6 de enero de 2012, los obligados estén listos para recibir solicitudes de los titulares de datos personales.

El propio Instituto Federal de Acceso a la Información y Datos Personales (IFAI) lo ha marcado así en sus “Recomendaciones para la Designación de la Persona o Departamento de Datos Personales” expresamente indica:

“La persona o departamento de datos personales deberá atender las solicitudes de derechos de acceso, rectificación, cancelación y oposición hasta enero de 2012, de conformidad con el Cuarto Transitorio de la Ley. Por lo tanto, es importante que entre el 6 de julio de 2011 y enero de 2012, se establezcan todos los procedimientos internos para la atención de solicitudes de derechos ARCO.”[10]

8. La persona o departamento de datos personales (designación de un DPO)

Un punto en extremo favorable de la nueva LFPD es la obligación establecida  para que los responsables designen a una persona o departamento de datos personales, que tendrá a su cargo la tramitación de las solicitudes de los titulares, para el ejercicio de los derechos a que se refiere dicha ley. Asimismo, se establece que esta persona o departamento deberá fomentar la protección de datos personales al interior de la organización (artículo 30 de la LFPD).

Por vía de las “Recomendaciones para la Designación de la Persona o Departamento de Datos Personales” que hemos citado, el IFAI describe un perfil y clarifica las funciones que se espera desempeñe la persona o departamento que a partir de ahora será la encargada de responder en tiempo y forma a las solicitudes de derechos ARCO o de dar a conocer al interior de su organización aquellas medidas, acciones o políticas que aseguren el cumplimiento de la ley y fomenten la protección de datos personales.

Algunas funciones destacables que el IFAI recomienda debe asumir la persona o departamento de datos personales, son:

“Establecer y administrar procedimientos para la recepción, tramitación, seguimiento y atención oportuna de las solicitudes para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, […],

Monitorear los avances o cambios legislativos en materia de privacidad y protección de datos personales que pudieran impactar en los ejes rectores y acciones desarrolladas en este tema al interior de la organización, haciendo las adecuaciones necesarias […]

Diseñar y ejecutar una política y/o prácticas de protección de datos personales al interior de la organización, o bien, adecuar y mejorar las prácticas ya existentes en el marco de la Ley;

Difundir y comunicar la política y/o prácticas de protección de datos personales implementadas al interior de la organización, así como capacitar a todo el personal sobre las mismas;

Promover la adopción de esquemas de autorregulación,

Ser el representante de la organización en materia de protección de datos personales ante otros actores.”[11]

Por otro lado, y a través de una aclaración pertinente a la vista de la novedad legislativa de que se trata, el IFAI indica que las funciones de protección de datos personales se podrán realizar a través de:

“1. El propio responsable, cuando se trate de una persona física;

2. Una persona designada por el responsable, que puede ser parte de la estructura o negocio del responsable, o bien un encargado, o

3. Un departamento de la organización.”[12]

Podemos prever dos necesidades inmediatas, que surgen a partir del artículo 30 de la LFPD: (i) formación para el personal de aquellas organizaciones que por su tamaño decidan asumir las funciones mencionadas a través de un departamento ad hoc y (ii) profesionales cualificados que, como encargados del tratamiento, asuman esta responsabilidad en nombre de aquellos responsables que decidan externalizarla (encargado).

En ambos casos, los consultores a cargo de adaptar a cualquier responsable tienen el reto de transmitir la importancia de este rol y de asistir a la organización en la definición o identificación del mejor perfil para asumirlo.

Finalmente, indicar que en la legislación española no existe una figura a fin con las responsabilidades específicas y labores de fomento que la legislación mexicana encarga a esta persona o departamento. En todo caso, es posible considerar que sus funciones encuentran reflejo – si bien en ámbitos distintos- en el “responsable de la protección de datos” a que se refiere el artículo 24 del Reglamento (CE) No 45/2001 del Parlamento Europeo y del  Consejo,[13] que constituye el cuerpo legal en materia de protección de datos de aplicación directa a las instituciones y organismos comunitarios.

 9. Medidas de seguridad

Como en los “viejos tiempos” de la LORTAD (y en cierta medida, de la LOPD),[14] la ley mexicana de protección de datos ha dispuesto que “[t]odo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado”;[15] sin que a día de hoy haya sido publicado el reglamento que establezca o defina cuáles son dichas medidas. En todo caso, justo es indicar nuevamente que la publicación de este reglamento se espera en México a finales de 2011 o principios de 2012.

La existencia de la obligación de establecer y mantener medidas de seguridad, indefinidas para la mayoría de los sujetos de la LFPD, supone un reto para la exposición concreta de este capítulo en cualquier proyecto de adecuación a la Ley: ¿Debemos explicar que dichas medidas eventualmente serán publicadas?; ¿debemos indicar que existen estándares internacionales que prevén este tipo de medidas? o ¿debemos explicar que conocemos el tipo de medidas que se exigen en otros países?

Sin refuerzo reglamentario, la tarea es complicada. Además, no podemos pasar por alto que desde un punto de vista jurídico no resulta adecuado adelantar vísperas sobre el contenido de una disposición, sin conocer su contenido definitivo en la publicación correspondiente y los plazos transitorios que pudieran establecerse.

Con independencia de que a lo largo del proyecto de adecuación se puedan transmitir conocimientos específicos sobre las medidas de seguridad necesarias para el tipo de datos personales tratados, queda por el momento indicar a los responsables que su primera referencia legal en relación con las medidas de seguridad que deben implementar las “marca” la LFPD, de la siguiente forma:

“Los responsables no adoptarán medidas de seguridad menores a aquellas que mantengan para el manejo de su información. Asimismo se tomará en cuenta el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico.”[16]

 10. Conclusiones

La introducción del derecho fundamental a la protección de los datos personales y la entrada en vigor de la LFPD marcarán un hito en la forma en que las organizaciones y los ciudadanos conciben este valor en México. Estamos frente a un cambio significativo en relación con una materia que hasta hace muy poco tiempo ni siquiera formaba parte de la esfera jurídica de dichos ciudadanos.

Como tal, es importante identificar y asumir los retos existentes y los que se avecinan. En México existen enormes condicionantes (económicas, sociales, jurídicas) que pueden dificultar tanto la labor de los profesionales dedicados a este tipo de proyectos, como de la propia autoridad que ya trabaja en labores de concienciación y difusión.

Sin embargo, estoy convencido que la experiencia internacional puede ser una referencia importante -entro otras- para encarar retos como los que en este espacio he descrito. Queda por comprobar si en los próximos años asistiremos a la vigencia plena de la cultura de la protección de datos en México. Yo soy optimista al respecto.

11. Agradecimiento.

No quiero dejar de mencionar el artículo “Claves para identificar un proyecto adecuado de consultoría para implementar la LOPD de forma integral”, publicado por la Asociación Profesional Española de Privacidad (APEP), cuya lectura y reflexión dio paso a algunas de las ideas que aquí he plasmado. En: http://www.apep.es/claves-para-identificar-un-proyecto-adecuado-de-consultora-para-implementar-la-lopd-de-forma-integral/.

Este artículo fue originalmente publicado en: “Agencia de Protección de Datos de la Comunidad de Madrid. Revista digital Datospersonales.org” [fuera de línea]. Madrid: APDCM, 11 de enero de 2012, Número 54.

Fuente de la imagen: Paco Olvera Monterd, shot on June 26, image aviable at Flickr, licensed under a Creative Commons Attribution “Attribution-ShareAlike 2.0 Generic”



[1] El “derecho a la protección de los datos personales” se integró al orden jurídico mexicano como derecho fundamental mediante el “DECRETO por el que se adiciona un segundo párrafo, recorriéndose los subsecuentes en su orden, al artículo 16 de la Constitución Política de los Estados Unidos Mexicanos”, Diario Oficial de la Federación (DOF-México) de 1 de junio de 2009.

[2] Ley Orgánica 15/1999, de 13 de diciembre, de Protección a los Datos de Carácter Personal, Boletín Oficial del Estado de 14 de diciembre de 1999.

[3] DECRETO por el que se expide la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y se reforman los artículos 3, fracciones II y VII, y 33, así como la denominación del Capítulo II, del Título Segundo, de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, DOF-México de 5 de julio de 2010.

[4] Idem, artículo segundo transitorio.

[5] Idem, artículo tercero transitorio (Las negritas son nuestras).

[6] Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, DO L 281 de 23.11.1995, p. 31/50.

[7] “COMUNICACIÓN DE LA COMISIÓN AL PARLAMENTO EUROPEO, AL CONSEJO, AL COMITÉ ECONÓMICO Y SOCIAL EUROPEO Y AL COMITÉ DE LAS REGIONES – Un enfoque global de la protección de los datos personales en la Unión Europea”, Comisión Europea, 4 de noviembre de 2010, Sección 2.2.2. p. 11, .

[8] Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, derogada por la LOPD.

[9] En México, el acrónimo derechos “ARCO” ha sido adoptado y su uso comienza a ser difundido por profesionales en la materia y por la propia administración encargada de aplicar la LFPD, lo cual resulta “normal” si tomamos en consideración el contenido del artículo 28 de la LFPD: “El titular o su representante legal podrán solicitar al responsable en cualquier momento el acceso, rectificación, cancelación u oposición, respecto de los datos personales que le conciernen.”.

[10] “Recomendaciones para la Designación de la Persona o Departamento de Datos Personales”, IFAI, Junio 2011, p. 13, . (Las negritas son nuestras).

[11] Idem, pp. 10-11.

[12] Idem, p. 8. (Las negritas son nuestras).

[13] REGLAMENTO (CE) No 45/2001 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos, DO L 8, 12.01.2001, p. 1.

[14] La LORTAD fue publicada el 31 de octubre de 1992 y el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal fue publicado el 25 de junio de 1999. Por su parte, el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal fue publicado el 19 de enero de 2008.

[15] LFPD, artículo 19.

[16] Idem.

¿Qué clase de publicidad y promociones puedo hacer en Facebook?

facebook_publicidad

Por Joel Gómez Treviño

Sin duda mucha gente piensa que puede hacer lo que sea en Facebook. En muchas ocasiones durante conferencias impartidas por “expertos en social media” los he escuchado dar recomendaciones a la gente que están expresamente prohibidas (por la ley o por Facebook).

Cuando estén en el proceso de planeación de publicidad o promociones a través de Facebook (ya sea a través de fan pages o aplicaciones) es importante que tomen en cuenta que dichas actividades deberán no solo cumplir con las leyes mexicanas que rigen la materia, sino también la extensa y compleja normatividad de Facebook. A continuación les comparto un resumen y los respectivos enlaces a las principales políticas de esta red social.

Sus actividades de marketing digital también deberán cumplir con leyes como:

  • Ley Federal de Protección al Consumidor;
  • Ley Federal de Juegos y Sorteos; y
  • Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Recuerda que “el que todo mundo haga algo mal”, no significa que eso sea legal o que estés libre de riesgos o problemas. Si uno de tus competidores sabe que estás infringiendo la ley o la normatividad de Facebook, muy fácilmente podría tirar tu campaña o esfuerzos publicitarios.

Si no quieres arriesgar tu trabajo y la reputación de tu agencia, más vale que tus desarrollos publicitarios cumplan con la regulación aplicable.

El derecho a la propia imagen en el derecho mexicano y su contexto de violencia

propiamiangen_mexicoPor Viridiana López Ávila

El desarrollo de las tecnologías de la información (TICs) ha planteado nuevos retos para el derecho que pueden contribuir a vulnerar derechos humanos. En los últimos años con la llamada Guerra contra la Delincuencia, la propagación de imágenes en los medios de comunicación -tanto formales como emergentes-[1] de gente afectada por este flagelo es cada vez más común. En algunos casos nos encontramos medios que se autorregularon y establecieron reglas para la publicación de menores, personas fallecidas u afectadas, sin embargo en otros casos nos topamos con todo lo contrario: imágenes explícitas de las víctimas.

El derecho a la propia imagen forma parte de los llamados derechos de la personalidad, reconocidos a nivel internacional por distintos instrumentos que promueven y protegen los derechos humanos y que refieren al patrimonio moral de la persona, porque son el conjunto de manifestaciones físicas y psíquicas de la persona, que determinan su forma de ser y las diferencian de otras personas. La imagen contribuye a definir la personalidad  haciendo a la persona única, diferente y diferenciable de otras.

Podría pensarse que con la tendencia jurídica de protección a derechos humanos de los últimos años, están surgiendo nuevos derechos, sin embargo no es así, en este caso encontramos antecedentes desde los griegos (persona proviene de la palabra prosopon que significa rostro, cara o máscara y con la etopeya[2] describía la personalidad) y la propiedad intelectual. Lo que ocurre es que existen condiciones que permiten ejercer los derechos de la personalidad casi permanentemente, por ejemplo, las redes sociales.

El desarrollo de la propia imagen como derecho se debe en gran medida a los medios de comunicación. En 1839[3] se reguló por primera vez a consecuencia de la invención de la fotografía y el cinematógrafo. En el siglo XXI, el desarrollo de la web 2.0  y su característica colaborativa, permite la publicación de información susceptible como son las imágenes, no siempre autorizadas por el titular de derechos.

Con el desarrollo de las TICs la doctrina jurídica en México va configurando su protección e iniciando su debate, mientras que en la tradición anglosajona y en el derecho comunitario europeo el tema no es nuevo podemos encontrar su reconocimiento explícito y una amplia jurisprudencia al respecto de por lo menos treinta años.

En México como consecuencia de la reforma al artículo 1° constitucional en el año 2011, la Suprema Corte de Justicia de la Nación[4]  reconoce la propia imagen como derecho de la personalidad y nos precisa que los derechos de la personalidad son subjetivos, inseparables de la persona porque nace con ellos, por tanto son irrenunciables, intransferibles e imprescriptibles.  Como derecho en nuestro país, la propia imagen no se encuentra de forma explícita en el texto constitucional, aunque, repito, hay un pronunciamiento de la Corte.

Previamente encontramos su regulación en la Ley de Responsabilidad Civil para la Protección del Derecho a la Vida Privada, el Honor y la Propia Imagen en el Distrito Federal, del año 2006.

La legislación define la propia imagen como la reproducción identificable de los rasgos de una persona sobre cualquier soporte material, indica además que toda persona tiene derecho sobre su imagen, por tanto deciden sobre la misma, así que si se difunde o comercializa por terceros sin consentimiento se considera un ilícito.

Por otro lado, es un derecho que conlleva una característica patrimonial porque la imagen además puede ser objeto de comercio y por tanto puede ser fijada, reproducida, difundida y utilizada para fines diversos, ya sea promoción, propaganda y publicidad.

Como otros derechos, éste tiene restricciones que se desprenden de tres aspectos. El primero de ellos corresponde a personas populares, notorias o famosas; el segundo, que la divulgación de la imagen obedezca exclusivamente al fin de satisfacer la exigencia pública de información; y el tercero, que las imágenes así difundidas de una persona sin su consentimiento no se refieran a la vida privada. (Prada, 1994, pág. 59)

La Ley de Responsabilidad Civil para la Protección del Derecho a la Vida Privada, el Honor y la Propia Imagen en el Distrito Federal plantea excepciones al derecho a la propia imagen en su artículo 21, fracciones I, II y III.[5]  Y es que cuando se trata de Estados democráticos, donde la libertad de expresión es un pilar del sistema hay que considerar que “todas las personas tienen derecho a interesarse por los asuntos públicos y de formarse una opinión sobre las personas que han participado en los mismos”, (Prada, 1994, pág. 64) de esta forma prevalece la publicidad del acontecimiento, abriendo a su vez la posibilidad para que otros emitan opiniones en torno a las imágenes mostradas, incluso hasta compartirlas con terceros que pueden tener o no relación con el titular del derecho.

El uso de las tecnologías de la información propició que las personas ejerzan su derecho a la propia a la propia imagen y abra su esfera de privacidad hacia los demás de manera voluntaria. Aunque también está el caso que la imagen de las personas se difunda sin su autorización porque un tercero hace uso de dicha imagen.

En el caso de los menores es una situación que preocupa a algunos Estados, como ocurre en la Unión Europea donde la publicación de imágenes de menores, motivó a la Comisión Europea a establecer un acuerdo con las principales redes sociales, para incrementar la seguridad de los menores, mejorando la protección y limitando los riesgos de un uso inapropiado.

Un problema al respecto que preocupa, son los medios emergentes que en la mayoría de los casos carecen de códigos deontológicos que regulen la forma en cómo se presenta la información. Y es que estos mantienen un feedback permanente y se convirtieron el ágora del siglo XXI, pero ¿Qué pasa con estos medios informativos, que están en manos de personas no profesionales ni cualificadas para el ejercicio periodístico, que hacen el esfuerzo de mantener informada al resto de las personas mediante las redes sociales, pero sobrepasan las restricciones de la libertad de expresión y vulneran derechos como la propia imagen?

En México una herramienta importante para informar sobre hechos relacionados con la guerra contra el crimen en distintos puntos del país han sido las redes sociales, a través de ellas puede verse cualquier imagen circular, entre las que destaca gente fallecida que no tiene la característica de ser pública, famosa ni notoria.

La extinción de la vida es considerada como parte de la intimidad, ya sea de forma voluntaria o provocada. La muerte de miles de mexicanos, como consecuencia de la denominada guerra contra el crimen, se ha convertido sin duda en un hecho noticioso por el valor informativo que representa, no obstante la forma y medios en cómo se presentan estos casos puede vulnerar el derecho a la propia imagen.

Al respecto hay que discernir porque si bien la muerte puede ser un hecho noticioso debe ser proporcional a la importancia y proyección del fallecido, además de considerar si es una persona famosa, pública o notoria.

En México queda pendiente un amplio debate sobre el tema. En primer lugar porque que el iusinformativismo parece no estar del todo en la agenda del Estado, aunque hemos de reconocer que hubo un esfuerzo importante con la reforma constitucional de los artículos 6° y 7°, pero falta profundizar porque la Sociedad de la Información y Conocimiento también implica garantías de promoción y protección de los derechos humanos.

En segundo lugar el contexto de violencia por el que atraviesa el país desde el sexenio anterior obliga al Estado a poner mayor énfasis en la protección de los derechos de la personalidad, que están presentes permanentemente en las TICs con perfiles estrechamente ligados a la propia imagen que de ser vulnerado este derecho será inevitable que las personas exijan su protección y reparación a través de los tribunales, de tal forma que éstos tienen el reto de prepararse para proteger un derecho humano que se encuentra en constante ejercicio y riesgo potencial de vulneración y colisión con otros derechos.

El reto es rectificar eficazmente el derecho a la propia imagen en el ámbito de internet donde convergen otros derechos como la libertad de expresión, el derecho a la información, el derecho al honor y la protección de datos personales, estos últimos que son derechos de la personalidad.



[1] Llamaré emergentes a los medios de comunicación que cumplen una función informativa sin estar a cargo de personal cualificado para tal fin, me refiero a blogs, cuentas de Facebook, twitter y otras redes sociales por las que se difunde información proporcionada por usuarios.

[2] La etopeya es una figura literaria que consiste en la descripción de rasgos psicológicos o morales de una persona, como son el carácter, cualidades, virtudes, cualidades espirituales o costumbres de uno o varios personajes comunes o célebres.

[3] En Alemania, el derecho a la propia imagen se contempló en la Ley alemana de 1876, en Bélgica en 1885 y en Austria en 1886. De 1900 a 1910 la imagen humana comienza a ser tratada como un bien esencial de la persona y aparece en el ámbito doctrinal y jurisprudencial. Y de 1910 a 1948 se consolida este derecho y se reorienta hacia los derechos humanos.

[4] Ver tesis aislada (constitucional) en el libro XXI, de junio 2013 Tomo 2 sobre Derechos al honor, a la intimidad, y a la propia imagen. Constituyen derechos humanos que se protegen a través del actual marco constitucional.

[5] Artículo 21.- El derecho a la propia imagen no impedirá:

I. Su captación, reproducción o publicación por cualquier medio, cuando se trate de personas que ejerzan un cargo público o una profesión de notoriedad o proyección pública y la imagen se capte durante un acto  público o en lugares abiertos al público que sean de interés público.

II. La utilización de la caricatura de dichas personas, de acuerdo con el uso social.

III. La información gráfica sobre un suceso o acontecimiento público cuando la imagen de una persona determinada aparezca como meramente accesoria.

Diciembre, mes emblemático para Instituciones Financieras en protección de datos

bancos_mexicoPor Rodrigo Santisteban Maza

Diciembre de 2013, el Instituto Federal de Acceso a la Información y Protección de Datos ha resuelto dos asuntos que dejan un antecedente importante en la materia del Derecho Humano de Protección de Datos Personales, en este caso, en posesión del sector privado, en específico en poder del sector financiero de nuestro país.

El primer caso, deviene de la solicitud de protección de derechos interpuesto por un particular en contra de Scotiabank Inverlat, S.A. Institución de Banca Múltiple, en virtud de que dicha institución no dio atención dentro del plazo de los 20 días señalados en el artículo 32 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares,  a su solicitud de rectificación.

Dicho caso, a pesar de que fue sobreseído por el órgano garante en virtud de quedarse sin materia el procedimiento; destaca por dos grandes elementos, el primero de estos elementos reside en uno de los alegatos dados por el grupo de abogados de dicha institución financiera, al señalar que el procedimiento de protección de derechos era improcedente por competencia del Instituto Federal de Acceso a la Información y Protección de Datos.

El argumento central de esa incompetencia radicó en el señalamiento que:

“… Resulta incompetente para conocer de la presente solicitud el Instituto Federal de Acceso a la Información y Protección de Datos […], toda vez que, la entidad competente para conocer del presente asunto es la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros…”[1]

Lo anterior, en virtud de que la controversia versa sobre una controversia entre un usuario financiero y el banco.

Al respecto, el Instituto Federal de Acceso a la Información y Protección de Datos en el Considerando Tercero de la resolución (PPD.0098/13),  después del análisis del artículo 38 de la Ley, que establece su obligación como órgano garante de la materia, de vigilar su observancia, y citar el artículo 2 de la LFPDPPP, determinó que el titular presentó su solicitud de rectificación de datos ante la institución financiera, que tiene el estatus de sujeto obligado o de responsable, ya que ésta es la que llevó a cabo el tratamiento de los datos personales.

Agregando, que el ejercicio del derecho de rectificación de datos personales, bajo el amparo de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, no implica, en ningún caso, que el titular de los datos personales se encuentre ejerciendo un derecho como usuario de los servicios financieros de nuestro país.

El segundo elemento que destaca del presente caso, y que a pesar de que no fue analizado a profundidad por el órgano garante, es la evidente inobservancia por parte de los funcionarios del Banco de un procedimiento interno para dar atención a las solicitudes presentadas al amparo de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y en los términos de su Aviso de Privacidad.

Al respecto el Instituto Federal de Acceso a la Información y Protección de Datos señaló:

“… que el Titular presentó su solicitud de ejercicio del derecho de rectificación de datos personales dirigida a la Unidad Especializadas de Aclaraciones (UNE) del Responsable, la cual, según el propio aviso, se encargaría de notificarla al Área de privacidad para su debido trámite, es claro que la referida solicitud fue presentada correctamente ante el Responsable en la forma y por los medios señalados en su aviso de privacidad, motivo por el cual se encontraba obligado a darle trámite y respuesta…”

Ahora bien, esta aparente omisión por parte de los funcionarios adscritos a la UNE del Banco, denota otra posible violación al principio de responsabilidad contemplado en el artículo 6 de la LFPDPPP y desarrollado en el artículo 48 del Reglamento que impone la obligación al Responsable de poner en práctica un programa de capacitación en la materia y sobre todo de los procesos implementados al interior para dar atención a las múltiples obligaciones que devienen de la citada Ley.

Por otro lado, el segundo caso resuelto en el mes de diciembre de 2013 por parte Instituto Federal de Acceso a la Información y Protección de Datos, es en virtud de una denuncia interpuesta por un particular en contra de BBVA Bancomer S.A., Institución de Banca Múltiple, que en resumen fue presentada en virtud de que dicha institución bancaria utilizó sus datos personales sin su consentimiento para tramitar servicios que no requirió, es decir, el trámite de una tarjeta de crédito.

El objeto y alcance de la denuncia, fue fijada por el IFAI, de la siguiente forma:

“… A efecto de constatar el cumplimiento de la LFPDPPP, se ordena el inicio del procedimiento de verificación a la Responsable, cuyo objeto y alcance está dirigido a: 1) verificar la adecuación del aviso de privacidad de la Responsable a la LFPDPPP; 2) verificar la manera en que recaba los datos personales de los titulares; 3) verificar que la Responsable obtenga el consentimiento de los titulares para tratar sus datos personales, de conformidad con el principio de consentimiento previsto en los artículo 8 de la LFPDPPP y 11 y 20 de su Reglamento; 3) [sic] verificar que el tratamiento de los datos personales que da la Responsable se apegue a la legislación en materia de protección de datos personales, en atención a los principios a que se refieren los artículo 6 de la LFPDPPP y 9 fracción I a VIII de su Reglamento…”[2]

En el desarrollo de la denuncia, BBVA Bancomer manifestó que el consentimiento del titular de los datos personales, deriva de una relación jurídica previa al tratamiento objeto de la denuncia –que a saber, el tratamiento consistió en el otorgamiento de una tarjeta de crédito-, y por lo expresado en los correo electrónicos enviados por el particular previamente, configurándose, a su criterio, el consentimiento tácito en virtud de que  el aviso de privacidad correspondiente se encontraba a su disposición  en los carteles o posters colocados en las sucursales, cajeros automáticos, líneas telefónicas, estados de cuenta y en su página de internet; añadiendo que, el titular no ejercito en ningún momento su oposición o revocación de su consentimiento y se le invitó a que conociera su aviso de privacidad mediante su estado de cuenta.

Para poder entender los alcances de la denuncia y la configuración de la violación de algunos principios contemplados en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, es necesario recordar los alcances del principio de información y algunas reglas que debemos observar al momento de recabar el consentimiento de los titulares de los datos personales.

El principio de información, implica la obligación que tienen todos los responsables de informar al titular de los datos personales, sobre la existencia y las principales características del tratamiento a que será sometido sus datos personales, así como las finalidades que se buscan con su obtención; dicho principio, se materializa con los avisos de privacidad,  que es definido por la fracción I, del  artículo 3 de la Ley, como:

“… Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales…”

Como podemos desprender de la anterior cita, por regla general el aviso de privacidad debe ser puesto a disposición del titular previo a  la recolección de sus datos personales, lo que supone que, el titular se encuentra físicamente ante el Responsable; pero cuando, esa información es obtenida por medios electrónicos, óptico, sonoro, visual, o cualquier otra tecnología, de forma inmediata el responsable deberá dar a conocer al titular de los datos personales:

  1. Su identidad y domicilio.
  2. La o las finalidades del tratamiento.
  3. La forma en que puede acceder al aviso de privacidad aplicable al caso[3].

Lo anterior, tiene una lógica muy básica, es evitar que el consentimiento que otorgue el titular de los datos personales, por el cual, nos permita dar tratamiento a su información, se encuentre viciado, ya que éste se debe obtener previo a que sea recabada.

El consentimiento, en términos de la Ley, puede ser manifestado de dos formas: tácito y expreso; este último, será requerido cuando se pretenda recabar datos financieros, patrimoniales, o sensibles, salvo que el tratamiento de los datos, encuadre en alguno de los supuestos establecidos en el artículo 10 de la LFPDPP.

Dentro de la información que fue proporcionada por el titular al responsable, se encuentra, entre otros datos:

Datos recabados Tipo de datos Medio de obtención

Numero de cuenta o tarjeta

Dato patrimonial y financiero

Correo electrónico

Número de cliente Dato financiero Indirecto (se obtiene al momento de ingresar el número de cuenta o tarjeta)
Copia de la credencial para votar expedida por el extinto Instituto Federal Electoral, ahora Instituto Nacional Electoral. Dato identificativo Correo electrónico
Registro Federal de Contribuyentes. Dato fiscal Correo electrónico
Ingreso mensual. Dato patrimonial No se puede determinar la forma de su obtención.

Como hemos señalado, cuando se obtienen datos personales de manera electrónica, como es el caso en concreto, existe la obligación del responsable de comunicar de manera inmediata al titular, su identidad, domicilio, finalidad y mecanismos por medio de los cuales puede conocer el aviso de privacidad; al respecto, el Instituto Federal de Acceso a la Información y Protección de Datos después de analizar las evidencias proporcionadas por las partes, pudo determinar que tal obligación no se vio cumplida por parte de BBVA Bancomer[4], violentando por ende, el principio de información.

Del cuadro anterior, podemos observar que BBVA Bancomer obtuvo diversos datos que requieren en términos de la Ley, la obtención del consentimiento expreso, al respecto, recordemos que uno de los argumentos vertidos por el responsable con respecto a este tema fue:

“… que cuenta con el consentimiento […], derivado de una relación jurídica [preexistente]…”[5].

El Instituto Federal de Acceso a la Información y Protección de Datos, después de analizar los documentos aportados por el Responsable, determinó que:

“… también se desprende que los datos requeridos a la denunciante, no tenían por finalidad cumplir con algún propósito concerniente a la relación jurídica a la que se refiere la Responsable, pues dicha relación a la fecha en que se solicitaron nuevos datos, ya se encontraba plenamente formalizada. En consecuencia, dicha circunstancia no eximía a la Responsable de recabar el consentimiento de la titular para dar tratamiento a los nuevos datos personales…”[6]

Lo que conllevó, a la violación por parte del Banco, del principio del consentimiento, en virtud de que no pudo demostrar fehacientemente su otorgamiento, y sobre todo, que éste hubiere sido otorgado de manera libre, específica e informado, y que hubiere sido inequívoco, es decir, que existan elementos que demuestren su otorgamiento y así se acredite ante el IFAI.

Al violentar ambos principios, a saber, el de información y consentimiento, automáticamente se configuró la violación de otro principio contemplado en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, que es el de licitud.

El principio de licitud, impone la obligación a los responsables de ajustar el tratamiento de los datos personales a lo previsto en la legislación mexicana, en el caso concreto, a la LFPDPPP.

Este caso, aún se encuentra en proceso, por así señalarlo, en virtud de que, a  raíz de ésta denuncia, se ha iniciado el procedimiento de imposición de sanciones contemplado en la Ley, tendremos que esperar unos meses más, para poder conocer a cuanto ascenderán estas infracciones.

En conclusión, podemos señalar que en ambos casos, se hubieren podido evitar sí, la fracción II del artículo 48 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, en virtud de que, si el personal que se encontró involucrado en los procesos hubiere recibido una capacitación constante y especializada en la materia, los riesgos de caer en estos supuestos se hubieren visto disminuido, o en el caso concreto de BBVA Bancomer, no tuviere que enfrentarse al proceso de imposición de sanciones, ya que, hubiere recolectado su ejecutiva(o) de cuenta el consentimiento expreso al inicio del proceso, previo disposición del Aviso de Privacidad.

Otro elemento destacable de ambas resoluciones, radica en que el tema del cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, no se circunscribe exclusivamente en la publicación del Aviso de Privacidad, sino que existe múltiples obligaciones que se deben de observar.

Un punto fundamental de la resolución contra BBVA Bancomer, consiste en que el consentimiento es necesario, a pesar de que exista una relación preexistente, cuando el titular de los datos personales y/o el responsable, persigan la formalización de una nueva relación, cuyo objeto directo o indirecto implique el tratamiento de los datos personales del primero.

[1] Resolución del Expediente PPD.0098/13,. p.p  17 y 18

[2] Resolución: ACT-PRIV/27/11/2013.03.02.01, pág. 8

[3] Artículos 16, 17 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares; y 27 de su Reglamento.

[4] Op. Cit. pág. 15

[5] Op. Cit. pág. 14

[6] Op. Cit. pág. 18