Multa el IFAI a Oceánica con $2.5 MDP por obstruir el procedimiento de verificación

ai_sancionesPor Joel Gómez Treviño

Una nota periodística del 18 de mayo de 2011 reveló que Oceánica dejó al descubierto los datos de una persona que había sido paciente en sus instalaciones. El IFAI solicitó en dos ocasiones durante el año 2011 a la empresa un informe relacionado con dicha publicación, pero no atendió ninguno de ellos. Por esta omisión, el IFAI ordenó una visita de verificación a Oceánica.

Cuando el personal del Instituto se presentó al domicilio de Operadora Oceánica Internacional en Mazatlán Sinaloa, no le dieron las facilidades correspondientes y personal de esta institución le negó el acceso al inmueble, obstruyendo con ello los actos de verificación de la autoridad.

Debido a este impedimento deliberado por parte de Oceánica, el Pleno del IFAI decidió el 21 de marzo de 2012 el inicio de un Procedimiento de Imposición de Sanciones, de conformidad con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Como era de esperarse, Oceánica presentó un juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa, autoridad que el 8 de abril de 2013 dictó sentencia definitiva en contra de esta empresa.

Con esta sentencia, se dio continuidad al procedimiento en contra de Operadora Oceánica Internacional el cual quedó resuelto con la imposición de una multa de $2,493,200 pesos, por la obstrucción del procedimiento de verificación previsto en la ley de la materia.

Esto se suma a las sanciones previas del IFAI en contra de las siguientes empresas y particulares:

Pharma Plus, S.A. de C.V. (Farmacias San Pablo)

¿De dónde derivó la multa? De un Procedimiento de Verificación con motivo de una denuncia de un particular, lo que llevó a un Procedimiento de Imposición de Sanciones.

¿Cuáles fueron las multas y los motivos que las originaron? IFAI impuso dos multas a Pharma Plus por un total de $2,000,045.04 pesos:

  • $1,500,033.78 por no proporcionar información sobre el tratamiento a que serían sometidos los datos personales que recaba de sus clientes (contraviniendo el principio de información).
  • $500,011.26 por omitir el elemento de identidad en su aviso de privacidad (aparecía nombre comercial en lugar de razón social).

Sport City, S.A. de C.V.

¿De dónde derivó la multa? De un Procedimiento de Verificación con motivo de una denuncia de un particular, lo que llevó a un Procedimiento de Imposición de Sanciones.

¿Cuáles fueron las multas y los motivos que las originaron? IFAI impuso una multa a Sport City por un total de $1,246,600.00 pesos:

  • Por omitir algunos de los elementos del Aviso de Privacidad (no señaló a través de qué medios los titulares de los datos podrán limitar el uso o divulgación de sus datos).

Caja Popular Cristo Rey, S.C. de R.L. de C.V.

¿De dónde derivó la multa? De un Procedimiento de Verificación con motivo de una denuncia de un particular, lo que llevó a un Procedimiento de Imposición de Sanciones.

¿Cuáles fueron las multas y los motivos que las originaron? IFAI impuso a Caja Popular Cristo Rey tres multas por un total de: $2,181,550.00 pesos:

  • $545,387.50 pesos por no poner a disposición de los titulares el Aviso de Privacidad.
  • $779,125.00 pesos por no recabar el consentimiento para el tratamiento de datos financieros.
  • $857,037.50 pesos por no contar con una persona o departamento de privacidad, ni con un procedimiento para dar atención a las solicitudes de derechos ARCO.

Banco Nacional de México, S.A. integrante del Grupo Financiero. BANAMEX.

¿De dónde derivó la multa? De un Procedimiento de Protección de Derechos iniciado por un particular, lo que llevó a un Procedimiento de Imposición de Sanciones.

¿Cuáles fueron las multas y los motivos que las originaron? IFAI impuso cinco multas a BANAMEX por un total de $16,155,936.00 pesos:

  • $2,493,200.00 pesos porque Banamex fue negligente en el trámite de la solicitud de cancelación y oposición que le había presentado el titular de los datos.
  • $1,196,736.00 porque Banamex dejó de observar lo preceptuado por el principio de finalidad al continuar tratando los datos cuando el fin por el cual fueron recabados se había agotado.
  • $2,493,200.00 por no efectuar la cancelación de los datos cuando la misma resultaba procedente.
  • $4,986,400.00 pesos por continuar en el tratamiento ilegítimo de los datos del titular.
  • $4,986,400.00 pesos porque Banamex impidió el ejercicio de los derechos de cancelación y oposición del titular.

Médico particular (no se reveló el nombre).

Multa impuesta por el IFAI a un médico por $41,874.00 pesos, por haber transferido datos personales sensibles de alguno de sus pacientes, sin contar con el consentimiento del titular, y por no haber señalado expresamente en su Aviso de Privacidad las opciones y medios que ofrecía para limitar el uso o divulgación de los mismos.

10 cosas ilegales que estás haciendo en internet

internet_mxPor Joel Gómez Treviño

Es común que los internautas realicen una infinidad de tareas cotidianas mientras navegan en internet. Muchas de ellas pueden ser legítimas y otras tantas ilegítimas. En algunas ocasiones los usuarios, pese a estar conscientes de ello, repiten estas conductas bajo el auspicio de la frase “al cabo todo el mundo lo hace… ¡y no pasa nada!” Cuando me enfrento a estas frases en clases o conferencias, reitero dos ideas siempre: el que todo el mundo haga algo mal no convierte dicha conducta en legal, y la ignorancia de la ley no exime su cumplimiento.
A continuación comparto una serie de ejemplos de actividades que mucha gente realiza en internet que pueden ser consideradas conductas infractoras de la ley o de un deber contractual:

1.- Descargar música, videos o juegos (archivos) sin autorización. Todas las obras adquieren protección (derechos de autor) automáticamente desde el momento que son fijadas en cualquier medio material. Si descargas archivos de cualquier naturaleza sin permiso de quien ostente los derechos de autor (morales o patrimoniales) estás violando la ley, prácticamente en cualquier país del mundo.

2.- Subir videos a YouTube o a Facebook sin autorización. De manera similar a lo señalado en el apartado anterior, el subir videos a redes sociales sin la autorización del titular de los derechos de autor de dichas obras podría ser motivo de infracción a las leyes que protegen a los autores tanto a nivel nacional como internacional.

3.- Hacer GIFs y Memes. Al igual que los puntos anteriores, si realizas gráficos animados o memes con base en fotografías o ilustraciones sin consentimiento de su autor original, estás violando sus derechos.

4.- Compartir passwords de suscripciones para acceder a páginas o servicios en la web. Salvo que se estipule lo contrario, los contratos que celebras para adquirir acceso a algún servicio electrónico son celebrados entre una empresa y tú. Eso no te autoriza a compartir con terceros la contraseña para acceder a dichos servicios, ya que al hacerlo estás impidiendo que terceros contraten directamente con la empresa, lo cual representa un detrimento económico para ella.

5.- Enviar emails a tu lista de clientes copiándolos visiblemente (CC:). Si al enviar algún correo electrónico conteniendo una promoción, mensaje publicitario o cualquier otra información, copias de manera visible a tu base de datos (CC:) estás violando, entre otros, el deber de confidencialidad de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y de la Ley Federal de Protección al Consumidor (LPC).

6.- Tener una página web donde se oferten productos o servicios sin “términos y condiciones de uso” o una donde se de tratamiento a datos personales sin “aviso de privacidad”. Para todos los proveedores de bienes y servicios a través de medios electrónicos aplica una detallada lista de requisitos emanados de la LPC. Si tu página web da tratamiento a cualquier tipo de dato personal (aunque sea solo correo electrónico o nombre), debe cumplir con lo que al respecto señala la LFPDPPP. Para dar cumplimiento a estas leyes, abogados especialistas deben redactarte los “términos y condiciones de uso” y el “aviso de privacidad” correspondiente para tu sitio web.

7.- Usar apps para acceder ilícitamente a redes Wi-Fi. Se han vuelto muy populares en las tiendas de aplicaciones aquellas que sirven para acceder ilegalmente a redes inalámbricas (wi-fi hacker). De todos los ejemplos este es el más serio, ya que quienes usan estas aplicaciones para acceder redes de terceros y conocer sin su autorización información contenida en computadoras protegidas, estarán cometiendo un delito en México y en un gran número de países (dependiendo donde se encuentren).

8.- “Enmascarar” tu dirección IP para simular que estás en Estados Unidos. Ciertos servicios que se proveen por internet están restringidos para ser accedidos solo desde Estados Unidos o desde algún país en específico. Normalmente esta restricción opera mediante el análisis de la Dirección IP (Internet Protocol) desde donde se está conectando el usuario. Si se detecta que el bloque IP corresponde a un país que no es el autorizado, se niega el servicio. Para evadir esta restricción, muchos usuarios usan un “proxy server”. De acuerdo a Wikipedia, “un proxy puede permitir esconder al servidor web la identidad del que solicita cierto contenido. El servidor web lo único que detecta es que la IP del proxy solicita cierto contenido. Sin embargo no puede determinar la IP origen de la petición.” En muchos países están prohibidas las “medidas anti-evasión” que busquen vulnerar sistemas, medidas de seguridad o restricciones de uso.

9.- Operar cuentas de parodia en Twitter o tener más de una cuenta en Facebook. Solo por mencionar un “uso ilegal” o no autorizado en esta red social, es importante saber que Twitter tiene diversas restricciones para operar cuentas de parodia. Se debe establecer claramente en ellas (nombre de usuario y bio) que son cuentas no oficiales de parodia de cierto personaje. Facebook cuenta con diversas restricciones también. Solo por citar una de ellas, sus términos de uso establecen claramente que ningún usuario puede tener más de una cuenta de si mismo.

10.- Registrar marcas de terceros como nombres de dominio. Si piensas que puedes hacerte millonario “secuestrando” marcas al registrarlas como nombres de dominio pierdes tu tiempo. No niego que podrás hacer unos cuantos dólares a través de portales PPC (pay per click), pero eventualmente ese gusto se te va a terminar pues cualquier abogado experto en la materia podrá recuperar dicho nombre de dominio a través de los mecanismos de solución de disputas en esta materia conocidos como UDRP o LDRP.

Solo como muestra, comparto las sanciones a las que podrían ser acreedores los infractores de algunas de las conductas mencionadas con anterioridad:

• En relación a lo señalado en el punto #1, a mediados del 2012 la Suprema Corte de EE.UU. dejó intacto un veredicto de la 1ª Corte de Circuito de Apelaciones en Boston que ordenó a un estudiante universitario pagar $675,000 dólares por descargar y redistribuir miles de canciones a través de Internet sin pagar las regalías correspondientes. Bajo la Ley Federal de Derechos de Autor, las compañías discográficas tienen derecho a cobrar vía daños desde $750 dólares hasta $30,000 dólares por infracción, pero la ley permite que el jurado pueda elevar estos montos hasta $150,000 dólares por canción si considera que las infracciones fueron intencionales. En el 2010 un jurado federal condenó a una señora a pagar $1.5 millones de dólares por descargar ilegalmente 24 canciones ($62,500 dólares de multa por canción).

• Por violaciones a lo señalado en el punto #5, la LFPDPPP determina que las multas pueden llegar a los $20,723,200 de pesos.

• Por violaciones a lo señalado en el punto #6, la LFPDPPP dispone que las multas pueden llegar a los $10,361,600 de pesos. La ley de la materia dispone además, que tratándose de infracciones cometidas en el tratamiento de datos sensibles, las sanciones podrían incrementarse hasta por dos veces los montos establecidos.

• Por violaciones a lo señalado en el punto # 7, el Código Penal Federal establece lo siguiente: (a) al que sin autorización conozca o copie información contenida en sistemas o equipos de informática (de particulares) protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a un año de prisión y de cincuenta a ciento cincuenta días multa; (b) al que sin autorización conozca o copie información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa; (c) a quien sin autorización conozca, obtenga, copie o utilice información contenida en cualquier sistema, equipo o medio de almacenamiento informáticos de seguridad pública, protegido por algún medio de seguridad, se le impondrá pena de cuatro a diez años de prisión y multa de quinientos a mil días de salario mínimo general vigente en el Distrito Federal; y (d) al que sin autorización conozca o copie información contenida en sistemas o equipos de informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa.

• Por violaciones a lo señalado en el punto #10, la ley americana conocida como “Anticybersquatting Consumer Protection Act (ACPA)” establece que además de los recursos tradicionales de marcas, los demandantes pueden optar por buscar el pago de daños que van desde $1,000 a $100,000 dólares por nombre de dominio que haya sido registrado de manera abusiva.

Como lo hemos visto en los ejemplos anteriores, en el mejor de los casos puedes perder una cuenta de Twitter o de Facebook, pero en el peor de los casos puedes ser acreedor a una cuantiosa multa del IFAI o de PROFECO, o inclusive terminar 10 años en prisión. No tomemos a la ligera estas infracciones, el que mucha gente las cometa no las convierte en legales. El riesgo de incurrir en sanciones corporales o pecuniarias, aunque pudiere considerarse por algunos como “menor”, existe, y si se da, las consecuencias pueden ser altamente perjudiciales para cualquier empresa o persona física.

* Artículo inspirado en “14 Illegal Things You’re Doing on the Internet” publicado en Mashable.

6 recomendaciones para cuidar la información de tu empresa

infodf

Por Joel Gómez Treviño

En otras columnas he abordado la “seguridad de la información”, tema que mucha gente sigue pensando que es opcional o un asunto de “mejores prácticas”, pero no obligatorio. Esta creencia no podría estar más apartada de la realidad.

Un gran número de leyes en México nos obligan a mantener la confidencialidad y/o seguridad de la información, para muestra los siguientes casos:

  • Si eres profesionista, la Ley General de Profesiones te obliga a guardar estrictamente el secreto de los asuntos que tus clientes te confíen;
  • Si eres empleado, la Ley Federal del Trabajo te obliga a guardar escrupulosamente los secretos técnicos, comerciales y de fabricación de los productos a cuya elaboración concurras directa o indirectamente, o de los cuales tengas conocimiento por razón del trabajo que desempeñas, así como de los asuntos administrativos reservados, cuya divulgación pueda causar perjuicios a la empresa;
  • A toda aquella persona que, con motivo de su trabajo, empleo, cargo, puesto, desempeño de su profesión o relación de negocios, tenga acceso a un secreto industrial del cual se le haya prevenido sobre su confidencialidad, laLey de la Propiedad Industrial lo obliga a abstenerse de revelarlo sin causa justificada y sin consentimiento de la persona que guarde dicho secreto, o de su usuario autorizado.
  • Si eres una persona física o moral y contratas a un trabajador que esté laborando o haya laborado, o a un profesionista, asesor o consultor que preste o haya prestado sus servicios para otra persona, con el fin de obtener secretos industriales de ésta, la Ley de la Propiedad Industrial establece que serás responsable del pago de daños y perjuicios que le ocasione a dicha persona (física o moral).

Si tienes una página web (incluyendo sitios móviles) en donde se realizan transacciones comerciales electrónicas, la Ley Federal de Protección al Consumidor te obliga a:

  • Utilizar la información proporcionada por el consumidor en forma confidencial, por lo que no podrás difundirla o transmitirla a otros proveedores ajenos a la transacción, salvo autorización expresa del propio consumidor o por requerimiento de autoridad competente;

  • Utilizar alguno de los elementos técnicos disponibles para brindar seguridad y confidencialidad a la información proporcionada por el consumidor e informarás a éste, previamente a la celebración de la transacción, de las características generales de dichos elementos.
  • Si eres persona física o moral y tienes una base de datos o das tratamiento a  datos personales, tanto en el plano físico como electrónico, la Ley Federal de Protección de Datos Personales en Posesión de los Particulareste obliga a establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.

La misma ley establece que:

  • Si eres responsable o tercero que interviene en cualquier fase del tratamiento de datos personales, deberás guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.

  • Si los datos personales son vulnerados (si se te pierden, si hay un acceso no autorizado, si te hackean), deberás informar de forma inmediata a los titulares de los datos, a fin de que ellos puedan tomar las medidas correspondientes a la defensa de sus derechos.

¿Cómo puede fugarse, compartirse o copiarse indebidamente información de la empresa? Las posibilidades son casi tan ilimitadas como nuestra imaginación:

  • Salvo los dispositivos móviles de la manzana, casi todos los smartphones y muchas tabletas cuentan con ranura para insertar tarjetas microSD de hasta 64 gigas de memoria.
  • Las memorias USB (pen drives) tienen capacidades tan amplias como 128 gigabytes de memoria.
  • Los servicios de almacenamiento en la nube (discos duros virtuales) pueden ofrecer de manera gratuita entre 5 y 50 gigabytes de espacio.
  • Los correos electrónicos gratuitos permiten el envío y recepción de archivos de gran tamaño, y la capacidad del inbox puede ser en algunos casos ilimitada (gmail).
  • Existen discos duros miniatura (más pequeños que una cartera) que tienen hasta 500 gigas de capacidad de almacenamiento.
  • Por más controles de acceso y “seguridad informática” que tengamos en nuestra empresa, siempre existirá la posibilidad de que un empleado tome fotos a la pantalla de su computadora con su teléfono celular.

Entonces, ante un panorama informático con tantas posibilidades ¿cómo podemos cuidar la información de la empresa no solo para cuidar nuestros secretos o información valiosa, sino para poder cumplir cabalmente con las leyes que nos obligan a hacerlo? Pese a que no existe una fórmula mágica para detener toda filtración o fuga de información, podemos tomar las siguientes medidas para mitigar estos riesgos a gran escala:

  • Implementa campañas de concientización al interior de tu organización. Realiza una campaña de concientización entre todos tus empleados, desde los guardias de seguridad hasta los directores, que tenga por objeto que tu fuerza laboral: (a) entienda qué es información confidencial, secreta, sensible o clasificada, y por qué dicha información guarda tal clasificación, (b) conozca las consecuencias legales que pueden surgir si comparte, copia o divulga dicha información, las cuales pueden ir desde una simple amonestación (acta administrativa), hasta el despido o inclusive penas económicas (daños y perjuicios) o corporales (prisión).

  • Revisa o elabora contratos con cláusulas de protección. Todo empleado, sea directo o indirecto (outsourcing), debe tener en su contrato individual de trabajo dos cláusulas: la de confidencialidad de la información y la de protección de datos personales. Igualmente importante es tener estas cláusulas en los contratos con tus proveedores de servicios y socios de negocios. No olvides tener tus Avisos de Privacidad (integral, simplificado y corto).
  • Desarrolla políticas laborales en torno a estos temas. Elabora políticas en tu empresa que regulen el uso de recursos informáticos, redes sociales, información confidencial y privacidad. Estas políticas deben estar ligadas al Reglamento Interior de Trabajo o idealmente al contrato individual de trabajo de cada empleado. Ellos deben manifestar conocer dichas políticas y obligarse a su cumplimiento.
  • Adopta medidas de seguridad. Toda empresa (incluyendo particulares) está obligada por ley a tener medidas de seguridad técnicas, físicas y administrativas para proteger sus datos contra robo, destrucción, alteración, uso o acceso no autorizado.
  • Elabora un plan de reacción en caso de incidentes. Si existe una vulneración a tu información o bases de datos, debes tener formulado un plan de reacción que incluya al menos: (a) la detección de la información vulnerada, (b) medidas correctivas y preventivas, (c) dar aviso a los titulares cuyos datos personales pudieran haber sido comprometidos, y (d) aplicación de sanciones laborales en caso de que exista responsabilidad, dolo o negligencia por parte de empleados.
  • Si se cometió un delito, presenta la denuncia o querella correspondiente ante el Ministerio Público. La gente suele pensar que “no pasa nada” si violenta sus deberes de confidencialidad o seguridad de la información. Mientras no promovamos una cultura de la legalidad, este tipo de acciones seguirán quedando impunes.

Como lo he comentado con anterioridad: ¡la seguridad y confidencialidad de la información es obligación de todos! No importa si tienes o no firmado un contrato o cláusula de confidencialidad, la ley te obliga en la mayoría de los casos a proteger la confidencialidad, disponibilidad e integridad de la información.

Los consultorios médicos y la protección de datos personales en México

clinica_mexico

Por Rodrigo Santisteban Maza

Los Médicos en el transcurso de su vida profesional, tienen contacto con diversa información relativa a sus pacientes, pero esa información bajo la óptica de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, es catalogada como dato personal sensible, definido como:

Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.

Como se observa, los profesionales de la medicina que se encuentran desempeñándose en el sector privado, tienen o han tenido contacto con la información relativa a la salud presente o futura y genética de sus pacientes, lo que los hace sujetos obligados de la Ley Federal Protección de Datos Personales en Posesión de los Particulares.

Dicha Ley, impone diversas obligaciones con respecto al tratamiento y custodia de la información,  las cuales a saber son:

cdi_medicos1

De la imagen anterior, podemos observar que son cuatro obligaciones fundamentales que tienen que observar los Doctores en sus consultorios.

Aviso de privacidad

La primera de ellas, radica en el principio de información, el cual se materializa por medio del Aviso de Privacidad; dicho aviso tiene diversos alcances, el primero de ellos, tiene como fin señalar el nombre y domicilio de la persona que dará tratamiento a su información, y el otro más importante es comunicar al titular de esos datos personales la finalidad del tratamiento, es decir, ¿por qué? y ¿para qué utilizará su información?, así mismo, comunica el tipo de datos que son necesarios para recibir la consulta médica.

Consentimiento

A raíz del Aviso de Privacidad, surge otra de las obligaciones fundamentales cuándo se da tratamiento a los datos personales sensibles, que es el consentimiento.

El consentimiento, bajo la lógica de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, es entendido como la manifestación por medio de la cual el titular –el paciente- de los datos personales autoriza al Doctor utilice su información para un fin determinado. Ahora bien, dicho consentimiento –en términos de la citada norma- debe constar por escrito, con la firma autógrafa o electrónico o cualquier otro medio de autenticación (plasmar una huella digital y su nombre, etc.). Esto es así, en virtud de la sensibilidad de la información que pudiera ser conocida por el Doctor y demás personal que labora en el Consultorio, ya que, a través de ella pudiera generarse un acto de discriminación, punto clave que busca evitar la Ley.

Medidas de seguridad

Otra de las obligaciones impuestas, tiene que ver con el principio de responsabilidad, el cual implica entre otros tantos elementos, la adopción de mecanismos físicos y electrónicos que garanticen la seguridad, accesibilidad e integridad de los datos personales que sean tratados por el Doctor.

Es importante señalar, que los datos personales que son conocidos por el Doctor,  no sólo se restringen a la información que obra en el expediente clínico, sino que, también tiene que ver con: los datos fiscales (RFC, domicilio fiscal, etc.), identificativos (nombre, apellidos, número telefónico o de celular), electrónicos, patrimoniales (número de cuentas bancarias [si se paga sus honorarios por medio de cheques],  seguro de gastos médicos menores y mayores, etc.), información que debe ser resguardada.

Conservación

Ahora bien, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares impone otra obligación, que tiene que ver con el “principio de temporalidad” el cual consiste en la conservación de los datos personales que son objeto de tratamiento por el período necesario para el cumplimiento del fin por el que le fue proporcionada la información.

Incidencias

En el caso de que, durante la fase del tratamiento de los datos personales del paciente o en el período de conservación, existiera alguna vulneración a las medidas de seguridad implementadas, y que tuviera como consecuencia la pérdida de algunos datos personales, es recomendable que el Doctor –como responsable del tratamiento de los datos personales- notifique de tal hecho al paciente a fin de que éste opte por las medidas de seguridad necesarias para salvaguardar su integridad física o mental.

Como podemos observar, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares impone obligaciones específicas para el tratamiento de los datos personales sensibles, y las cuales deben ser acatadas por los Doctores, a fin de evitar actualizar alguna infracción contemplada en esa Ley, y que pudiera se objeto de una multa que iría de $12,666.00 a $ 20,265,600.00 pesos y/o la privación de la libertad.

Consideraciones en torno al uso de videocámaras en el ámbito judicial

videovigilancia_mexico

Por Aristeo García González

La captación y divulgación de imágenes mediante la utilización de videocámaras, es una práctica que se ha ido extendiendo en los diversos sectores, los órganos judiciales en México, no han sido la excepción. En tal virtud, a fin de que pueda establecerse un eficaz equilibrio de derechos dentro de los procesos judiciales, es preciso que existan medidas adecuadas que permitan su uso y posterior tratamiento de los datos personales obtenidos a través de los cada vez más modernos y sofisticados medios electrónicos.

Preliminares.

El derecho a la propia imagen y la protección de los datos personales que se recoge en las resoluciones emitidas por la Juez Federal en el caso del documental “Presunto Culpable” son derechos que cada día representan un mayor valor para las individuos, sobre todo a partir de las nuevas formas –uso de las nuevas tecnologías y los medios electrónicos cada vez más sofisticados– en que puede llegar a vulnerarse el ámbito que se conoce como “propio y reservado de una persona”.

La captación y divulgación de imágenes mediante la utilización de videocámaras es una práctica que se ha ido extendiendo en los sectores públicos y privados[1]. En algunos casos, el argumento lo constituye “el poder dar fe de aquello que se hizo”, tal como ha acontecido con la proyección del documental “Presunto Culpable” presentado en el año 2011 en México.

Los productores del citado documental en un intento por poner en evidencia las carencias del Sistema de Justicia en el Estado mexicano, han vulnerado los derechos de un ciudadano, en este caso, la imagen y los datos personales del personaje clave –el testigo– del citado documental, al no haberle solicitado autorización para que los mismos fueran exhibidos una vez concluido el juicio.

Si bien es cierto, el desarrollo de los juicios y las audiencias realizadas dentro de los órganos judiciales deben ser públicas, también es verdad que, en algunos casos se debe contar con ciertas limitaciones. Ello, no significa que tenga que prohibirse la utilización de videocámaras durante el desarrollo de los juicios, más bien, deben establecerse ciertas medidas respecto al uso, la forma y el tratamiento que se le debe dar a las informaciones obtenidas a través de estos medios, así mismo, cuando vayan a ser instalados en los órganos judiciales. Más aún, si está de por medio información concerniente a un persona física y que por su divulgación puede ser identificable.

Por ello, más allá del escándalo mediático y sí constituye o no un acto de censura[2], el argumento de la Juez Federal por el que debía ser difuminada la imagen del personaje clave del documental “Presunto Culpable”, sentará un precedente en lo referente a la obtención de datos personales e imagen de una persona cuando esto se lleve a cabo  no sólo por medios electrónicos sino incluso, cuando se obtengan mediante videocámaras instaladas en la vía pública[3], tal como ha acontecido en otras latitudes.

Los hechos y sus alcances.

El pasado 18 de febrero del año 2011, se estrenó en México el documental “Presunto Culpable”, el cual narra el juicio por asesinato de un hombre inocente que fue encontrado culpable no una, sino dos veces. Dos semanas después de su estreno una Juez Federal dictaminó que su exhibición debía ser suspendida de manera temporal. El argumento, la decisión estaba encaminada a proteger los derechos del quejoso.

Toda vez que dicho personaje en su demanda de amparo argumentaba que nunca dio su consentimiento para ser filmado, mucho menos para aparecer en una película, por lo que consideraba que la exhibición de su persona ante el público, lo desacredita y por ende atentaba contra su dignidad humana[4].

Más aún, el personaje clave que aparece en dicho documental quien es primo del joven asesinado, manifestó en su demanda que:

 “los productores del documental, nunca le informaron que la cinta sería estrenada y que, desde el inicio de su exhibición, ha sido sometido a un proceso de desprestigio en su persona al grado de haber sido objeto de vejaciones, humillaciones, burlas y amenazas por parte de las personas que lo conocen y, que lo ofenden, incluso, en la vía pública”[5].

Lo anterior, sin duda, deja entrever una eventual colisión de derechos fundamentales de los recogidos en el texto constitucional mexicano. Por un lado, se encuentra el derecho del quejoso a su intimidad, su vida privada y a la protección de sus datos personales[6]; del otro lado, se encuentra el derecho que tiene toda persona a la información, en este caso, a ver dicho documental y a recibir la información qué del mismo se derive. Ambos derechos, constituyen el argumento por el que la Juez Federal encargada del caso decidió conceder la suspensión provisional de la cinta[7].

Días después, el Tribunal Federal con sede en el Distrito Federal negó que la suspensión de la cinta fuera de manera definitiva. El argumento, una ponderación de derechos: “el interés colectivo ésta por encima del particular”. En la decisión Judicial, puede leerse que:

“[…] en caso de prohibirse su exhibición definitivamente se estaría limitando a la colectividad el derecho a la información que contiene dicho documental y que, como garantía de todo gobernado, se recoge en el artículo 6º del texto constitucional”[8].

A pesar de ello, y dado que la norma constitucional recoge ciertos principios universales y bases que rigen el derecho a la información, también establece ciertas limitaciones, como lo es la intimidad, la vida, privada, y los datos personales de los ciudadanos[9]. Se trata de prerrogativas que tienen como finalidad salvaguardar la información concerniente a una persona, en este caso, la del personaje clave del documental. Tal como se recoge en la decisión judicial:

“[…] considerando que en su demanda de garantías el quejoso se duele de que la exhibición pública de su imagen, cuya filmación y exhibición asegura no haber autorizado, y también asegura que como consecuencia de tal exhibición se le han causado molestias a su persona, temiendo, inclusive por su seguridad; toda vez que el análisis definitivo para determinar si la autorización reclamada se realizó respetando la intimidad y la vida privada del quejoso, lo que acontecerá hasta la sentencia definitiva que se dicte en el juicio de amparo y no en el incidente de suspensión que nos ocupa; en esas condiciones, atendiendo a ese buen derecho del quejoso y el peligro en la demora de su protección, la suscrita estima necesario dictar medidas cautelares para conservar la materia del juicio de amparo y evitar daños y perjuicios de imposible reparación al impetrante […]”[10].

A diferencia de la primera resolución, en la cual se argumentaba la ponderación de derechos. La juez modificaría su criterio, al establecer un medida cautelar, misma que está encaminada a proteger la imagen del quejoso, en virtud de que la misma ha sido recogida por medios electrónicos y hace alusión a las características físicas de una persona físicamente identificable[11], en este caso, el quejoso.

Cabe destacar, la Juez Federal del Juzgado Decimo Segundo de Distrito en materia Administrativa que conoció del caso, con esta nueva decisión daría un giro al asunto, esta vez con la intención de establecer un equilibrio –no una ponderación– de derechos, resolviendo para ello, por un lado, el no prohibir de manera definitiva la exhibición del documental –reconociendo para ello, el derecho que tiene toda persona a recibir información– y del otro, que “la imagen del quejoso debía ser camuflajeada o difuminada durante la proyección de la cinta, a fin de que puedan verse protegidos los datos personales del quejoso, en virtud de que se trata de derechos que también se encuentran protegidos por la Constitución”[12].

Al respecto, cabe hacer algunas consideraciones, en relación al hecho de no prohibir de manera definitiva la proyección del documental, se debe al convencimiento de que la libertad de expresión e información constituye un elemento esencial dentro de un sistema democrático. A pesar de que la información que se proyecta en el  documental, no constituye una información del todo veraz, ya que al ser editada, recortada y manipulada la cinta, no refleja del todo la realidad social y el acontecer a interior de los órganos judiciales.

Ahora bien, en torno a la publicación de la propia imagen, el Alto Tribunal mexicano ya se ha referido a ella  como: “como aquel derecho de decidir, en forma libre, sobre la manera en que elige mostrarse frente a los demás”. En tal virtud, el hecho de hacer pública en medios electrónicos la imagen de una persona, debe serlo bajo su consentimiento[13], más aún, cuando su imagen vaya a ser objeto de una difusión pública.

Recordemos que la propia imagen forma parte de los derechos personalismos de una persona y que a pesar de no encontrarse recogidos de manera literal en el texto constitucional, se constituye como un derecho inherente a la persona por lo que el Estado tiene la obligación de garantizar y proteger, que si bien no son absolutos, en caso de intromisión deberá justificarse la misma, siempre que medie un interés superior.

En este caso, la imagen del quejoso no se encuentra por debajo del derecho que tiene todo persona a recibir información, por consecuencia, si lo productores de la cinta no contaban con el consentimiento del testigo para que este fuera grabado y posteriormente se hicieran públicas sus declaraciones, previo a la proyección de la cinta debieron haber tomado las medidas necesarias, a fin de no trastocar el derecho a la personalidad que le conciernen a todo persona, situación que no aconteció.

En esta tesitura, se ha resuelto un caso similar en el marco del derecho comparado, en particular, el Tribunal Constitucional Federal Alemán (TCFA) ha manifestado que se debe garantizar el libre desarrollo de la personalidad de un individuo cuando sea participe en un juicio o en audiencias públicas, más aún, se deben contar con unas medidas adecuadas cuando él mismo este siendo videograbado.

El caso del documental “Presunto Culpable” en el marco del derecho comparado.

El derecho a la propia imagen y la protección de los datos personales de los ciudadanos, se han convertido en un blanco fácil de vulneración, sobre todo a raíz de la creciente utilización y cada vez mayor sofisticación de los medios electrónicos con los que puede obtenerse y transmitirse informaciones de una persona, como en el caso de la utilización de videocámaras[14] instaladas en lugares públicos.

En el plano jurídico, este tipo de prácticas –uso de videocámaras– puede plantear dos problemas: uno “antiguo”, derivado de la captación de imágenes y sonidos de personas individualizadas o individualizables en lugares público y, otros “nuevos” derivados de la protección de los datos personales[15]. Tal como se puso de manifiesto en la demanda del personaje clave del documental “Presunto Culpable”, a quien no se le solicito autorización para que se hiciera uso de su imagen y sus datos personales, es decir, no se le informó el objeto y el fin para el cual estaba siendo videograbado.

Los problemas derivados de la grabación y trasmisión de las declaraciones del testigo que aparecen en el documental constituyen datos personales a pesar de su relevancia y sus repercusiones en la vida colectiva. Sin embargo, él no estableció una relación directa con el resto de los ciudadanos, de tal forma que tiene derecho a preservar su imagen, dado que sólo resulta de “interés público” su testimonio[16].

Motivo por el cual se le debió garantizar “el derecho a decidir la forma, sobre la manera en que quería mostrarse a los demás”[17], es decir, a disponer de su propia imagen. Toda vez que al ser videograbado sin conocer el objeto y sin su consentimiento previo, trajo consigo consecuencias psicológicas, desencadenándose en una “presión vigilante” por parte de las videocámaras que fueron instaladas, las cuales al tratarse de medios electrónicos, son superiores a los sentidos humanos naturales y, por ende, en algunas ocasiones pueden llegar afectar el libre desarrollo de la personalidad de un individuo, o bien, su proyección ante la colectividad puede constituir una afectación en su ámbito social, tal como lo puso de manifiesto el quejoso en su demanda de amparo.

Años atrás y si revisamos la jurisprudencia del Tribunal Constitucional Federal Alemán (TCFA) dicho órgano ya había hecho alusión a las afectaciones que podían mermar el desarrollo de la personalidad por el uso desmedido de la información de una persona. Partiendo de la idea de la dignidad humana que se recoge en la Ley fundamental de Bonn, se trata de un derecho que tiene toda persona –autodeterminación– a controlar la información que le concierne, es decir “[…]. El derecho fundamental –de la libre personalidad– garantiza, en efecto, la facultad del individuo de decidir básicamente por sí solo sobre la difusión y la utilización de sus datos personales”[18].

Ahora bien, en relación a las videograbaciones en las audiencias judiciales, el TCFA en su sentencia BverfGe 103 puso de manifiesto que se trata de fuentes de información que deben estar sujetas a ciertas limitaciones[19]. En este caso y debido a que en algunas ocasiones los individuos participes en un juicio tienen que exponerse de forma involuntariamente al público. De ahí que deba de tener en cuenta unos intereses, como en el caso de la protección de su personalidad, sus datos personales y los requisitos de un debido proceso. Esto, en el supuesto de que la información obtenida durante el desarrollo de un juicio, vaya ser utilizada para una finalidad distinta.

En dicha sentencia del año 2001, el Tribunal Constitucional germano resolvió un recurso de amparo interpuesto por un grupo de representantes de medios de comunicación en contra de una disposición legal que si bien le otorgaba el carácter de público a los procesos jurisdiccionales, prohibía la grabación de audio y video[20]. Los recursos de amparo interpuesto por los comunicadores fueron considerados por el Alto Tribunal germano como infundados. Su argumento:

 “[…] los juicios deberían permanecer siendo públicos por supuesto, pero no mediáticos”[21].

Los aspectos más destacables por parte del TCFA y que, bien puede guardar una relación con la decisión judicial emitida por la Juez Federal en el caso del documental “Presunto Culpable”, son los siguientes:

 “La limitación de la publicidad judicial mediante la prohibición legal de grabar y filmar las audiencias judiciales, tiene en cuenta los intereses de la protección de la personalidad, así como los requisitos de un debido proceso y de la búsqueda de la verdad y la justicia[22].

La verdad y la justicia, así como el desarrollo de un debido proceso se hicieron presentes en el documental “Presunto Culpable”. Sin embargo, fue a consta de la violación de los derechos de un ciudadano, toda vez que, como lo ha señalado el TCFA:

En el proceso judicial, la protección de la personalidad requiere de una mayor protección, que la que se reconoce en el ordenamiento legal general. Esto se aplica no sólo, pero con especial intensidad, a la protección de los demandados y los testigos, en el proceso penal, quienes tienen que exponerse involuntariamente al público, en una situación cargada de emociones y, no raras veces, tensionante […] Existe también un riesgo alto de que se modifique el contenido de las declaraciones, cuando las tomas son recortadas o editas, para ser utilizadas con otro orden o más tarde, en otro contexto. A la defensa de los peligros a que se ve expuesto el derecho a la autodeterminación de la información, sirve la exclusión de las tomas y su difusión[23].

De lo anterior, cabe destacar dos aspectos, por un lado, los productores de la cinta hicieron uso de lo establecido en el artículo 6º del texto constitucional mexicano, en donde se recoge que “[…] toda persona tiene acceso a la información pública […]”, en este caso, se les permitió el acceso y la grabación del desarrollo del juicio.

Sin embargo, dejaron de lado los efectos negativos que se produjeron tras la exhibición de la cinta, es decir, al haber hecho públicas las grabaciones y filmaciones obtenidas dentro del órgano judicial, significo una vulneración en el derecho a la personalidad del quejoso por haberlas presentado sin su consentimiento, toda vez que los reproches hacia su persona han sido mayores. Situación que pudo haberse evitado si desde un inicio se le hubiera dejado claro el objeto y el fin por el cual estaba siendo filmado. En relación a ello, el TCFA manifestó lo siguiente:

La posibilidad de las grabaciones y las filmaciones debe igualmente excluida en interés de un debido proceso y la seguridad de encontrar la verdad y poder aplicar el derecho. La publicidad de los medios de comunicación es algo completamente distinto frente a la publicidad en las salas. Muchas personas cambian su comportamiento ante la presencia de los medios de comunicación. Algunos se sienten tranquilos ante los medios de comunicación, otros se atemorizan. El debido proceso se ve así en peligro, especialmente en lo que respecta a los acusados en un proceso penal, cuando debido a la presencia de los medios temen hacer referencia a cosas que son de importancia para encontrar la verdad; por ejemplo, circunstancias íntimas, penosas, o deshonrosas. El proceso de encontrar la verdad puede también sufrir cuando las personas que participan en el proceso dirigen su comportamiento con el objetivo de causar los efectos que esperan de los medios de comunicación”[24].

Lo anterior significa que si las grabaciones de imágenes y sonidos que se llevan a cabo mediante la utilización de videocámaras identifica o permiten identificar a las personas de forma inmediata o mediante las aplicaciones de algún dispositivo (ampliación de la voz), ya sea porque permiten reconocer la cara, el cuerpo o la voz como elementos identificadores de la persona, ya sea porque la identificación se deduce otras características (físicas, de comportamiento, etc.) atribuibles a una determinada persona y captadas en la grabación, constituirán datos de carácter personal y se penetrará en el ámbito de protección del derecho fundamental a la protección de datos personales[25].

De ahí que el TCFA haya manifestado que, en el caso de que se permita la grabación de audio y video en los juicios, para contrarrestar los posibles efectos negativos, debería reglamentarse las posiciones de las cámaras, el tipo de tomas (evitando acercamientos), la admisión de una sola videocámara, restringiendo el número de personas que hagan uso de la misma, así como la manera en cómo se editaría el material captado, etcétera[26].

En esta tesitura y tal como se puso de manifiesto al principio de este trabajo, no significa negar el uso de cámaras de video en un juicio, tal aconteció con la cinta “Presunto Culpable”. Sin embargo, si se ignoran sus limitaciones y los efectos negativos que puede ocasionarse en la vida social de una persona que esté siendo videograbada, puede llegar a constituir una transgresión a los derechos de su personalidad, como puede ser el derecho a la intimidad y a la propia imagen de una persona, así como a sus propios datos personales[27].

Tal como ha acontecido con el quejoso, donde la colectividad ha llegado a crearse una falsa imagen de su persona, toda vez que al haberse recortado y editado las imágenes, muestran solo una parte de la realidad desarrollada durante el juicio. Toda vez que el comportamiento del afectado –incluso, la del propio juez– pudo haber cambiando en algunos momentos, por el hecho de saber que estaba siendo grabado y sin conocer cuál sería el destino de la información obtenida.

Finalmente, cabe reiterar que la información obtenida fue utilizada para una finalidad distinta –publicidad– y no sólo para grabar lo acontecido en el juicio[28], ignorándose en todo momento los efectos negativos que podían ocasionarle al personaje clave del documental la publicación de su imagen y de sus datos personales.

Consideraciones finales

A pesar de que el mandato del Juez Federal por el que debe ser difuminada la imagen del personaje clave del documental “Presunto Culpable”, no se ha cumplido y seguramente no se cumplirá. Cabe destacar, el hecho de que cada día comienza a existir una mayor conciencia por parte de los jueces –y de la ciudadanía– sobre los posibles efectos negativos que pueden ocasionarse a una persona el hacerse pública su propia imagen y su actuar, sobre todo, cuando ha sido obtenida sin su consentimiento y estando de por medio dispositivos electrónicos –videocámaras– sin estar previamente reguladas su instalación y uso.

En definitiva, no se trata de impedir la instalación y el uso de videocámaras durante el desarrollo de un juicio. Sin embargo, debe existir unas  limitantes, sobre todo, cuando su difusión vaya a ser utilizada para otros fines, como en el caso de un reportaje o una más  amplia difusión[29], más aún, cuando estén de por medio derechos concernientes a una persona –vida privada, derechos de la personalidad y datos personales–.

Motivo por el cual, si se pretende brindar a la ciudadanía una justicia transparente y garantizar los derechos de los ciudadanos en un futuro, se debe establecer de manera clara en cómo deben ser usados los medios electrónicos –en este caso, las videocámaras– instaladas de manera temporal o permanente dentro de los órganos judiciales.

Lo anterior, con la intención de que pueda establecerse un eficaz equilibrio de derechos y pueda garantizarse en todo momento la dignidad de la persona, así como la confianza y credibilidad de las instituciones, en este caso, la de los órganos judiciales encargados de impartir y administrar la justicia en el Estado mexicano.

Artículo publicado originalmente bajo el título: La Protección de los Datos Personales en sede judicial: A propósito del documental “Presunto Culpable”, en el número 20, abril-junio de 2011 de la Revista Electrónica Transparencia de la Comisión de Transparencia y Acceso a la Información del Estado de Nuevo León.

Referencias Bibliográficas.

  • Arzoz Santisteban, Videovigilancia, seguridad ciudadanía y derechos fundamentales, Civitas-Thomson Reuters, Cizur Menor (Navarra), 2010.
  • Benda, Ernesto, “Dignidad humana y derechos de la personalidad” en Benda, Ernesto, et al., Manual del Derecho Constitucional, Marcial Pons, Madrid, 2001.
  • Daranas, Daniel. (Trad.), “Sentencia de 15 de Diciembre de 1983: Ley del Censo. Derecho de la Personalidad y Dignidad Humana” en  Boletín de Jurisprudencia Constitucional, IV. Número 3, Enero, Madrid, Dirección de Estudios y Documentación del Congreso de los Diputados, 1984.
  • “Dilemmas of privacy and Survellance. Challenges of technological Change” en The Royal Academy of Engineering, London, 2007.
  • Jürgen Schwabe (comp.), Jurisprudencia del Tribunal Constitucional Federal alemán. Extractos de las sentencias más relevantes, trad. Marcela Anzola y Emilio Maus, Konrad Adenauer, México, 2009.
  • Lusky, L., “Invasion of privacy: a clarification of concepts” en Columbia Law Review, núm. 72, 1972.
  • Navarro Marchante, Vicente J., El derecho a la información audiovisual de los juicios, Centro de Estudios Políticos y Constitucionales, Madrid, 2011
  • Spiros, Simitis, “Reviewing privacy in an information society” en University of Pennsylvania Law Review, vol. 135. 1987.

_Simitis, S., “Developments in the Protection of Worker’s Personal Data” en AA. VV., Conditions of Work Digest, vol. 10, núm.2, Ginebra, 1991.

  • Mattelart, Armand, Un mundo vigilado, Barcelona, Paidos Ibérica, 2009
  • Warren, Samuel D. y Brandeis, Louis  D., “The right to privacy” en Harvard Law Review, vol. 4, núm. 5, 1890. [Traducción al castellano por Benigno Pendas y Pilar Baselga, titulada, El derecho a la intimidad, Madrid, Tecnos, 1995.
  • Whitman, James Q., “The two western cultures of privacy: dignity versus liberty” en Yale L. J., vol. 113, 2004, pp. 1161-1162.

[1] Actualmente, en la vía pública, en los negocios, los bancos, los hogares, incluso, los propios edificios públicos, hacen uso de videocámaras, las cuales en algunos casos se encuentran instaladas tanto dentro como fuera de sus instalaciones. Se trata de una práctica que ha ido creciendo día con día, el objeto de su instalación lo constituye una mayor seguridad. Sin embargo, en ocasiones y derivado de su utilización se puede llegar a vulnerar los derechos de los ciudadanos, sí para ello no se establecen unas medidas respecto de su uso y el tratamiento que se le debe dar a la información obtenida con estos medios electrónicos, los cuales en algunas ocasiones, al ser muy sofisticados, permite que se haga un uso distinto para el que fueron instalados. Un   ejemplo, lo constituye una sentencia del Tribunal Supremo (STS) de España, en donde se puso de manifiesto que: “la instalación de cámaras de seguridad que permiten visualizar y grabar tres puertas de una vivienda colindante y, por tanto, las entradas y salidas de los vecinos, vulnera el derecho a la intimidad”. La decisión de dicho Tribunal fue ordenar la retirada de las cámaras de filmación y el desmantelamiento de todos sus dispositivos e instalaciones. Vid. STC 7549/2010, de fecha 10 de diciembre de 2010.

[2] Llegó a ponerse de manifiesto que la suspensión temporal constituía un “acto monumental de censura”, vid, Carbonell, Miguel “Contra la censura” en el Periódico El Universal, de 4 de marzo de 2011. Mientras que en el plano internacional podía leerse en un encabezado: “Las autoridades mexicanas suspenden la proyección del documental que desnuda las miserias de su sistema judicial”, publicado en el Diario El País, el 3 de marzo de 2011.

[3] Esta última se trata de una práctica que se ha ido extendiendo en México, por lo que ahora está pendiente un marco normativo que garantice los derechos de las personas sobre los posibles riesgos derivados de su instalación y uso.

[4] Amparo Indirecto 171/2011 presentado ante el juzgado Décimo Segundo de Distrito en materia Administrativa en el Distrito Federal, el 01 de marzo de 2011.

[5] Ídem.

[6] En relación al derecho a la intimidad y en base a lo que se recoge en el artículo 16 se señala que “nadie puede ser molestado en su persona […], sino en virtud de mandamiento escrito”; dicho precepto constitucional, viene a complementarse con lo enunciado en el párrafo segundo: “Toda persona tiene derecho a la protección de sus datos personales, el acceso, rectificación y cancelación”.  Ahora bien, si los productores de dicho documental, hubiera informado al quejoso, el objeto y el fin para el cual estaba siendo grabado, aún y cuando su consentimiento lo hubiera otorgado previo a la grabación o al final de la misma, la situación habría cambiando.

[7] Cabe mencionar que si dicho documental hubiera continuado en las carteleras de cine, habría significado una violación a los derechos del quejoso, puesto que se habría coartado su derecho a un juicio justo.

[8] Extracto del incidente de suspensión 171/2011, de fecha 14 de marzo de 2011.

[9]  Artículo 6º.[… ]  Para el ejercicio del derecho de acceso a la información […] en el ámbito de sus respectivas competencias, se regirán por los siguientes principios y bases: […]. II. La información que se refiere a la vida privada será protegida en los términos y con las excepciones que fijen las leyes..

[10] Extracto del incidente de suspensión 171/2011.

[11]  Hoy día existe un consenso tanto en el ámbito nacional como internacional, así como en el plano legal y jurisprudencia respecto concepto de datos personales. En el caso del México este derecho fundamental se recoge en sede constitucional, es decir, en el máximo ordenamiento mexicano (artículo 6 y 16). Por lo que ve a su definición, este se encuentra en la “Ley federal de transparencia y acceso a la información pública gubernamental” y “Ley federal de protección de datos personales en posesión de los particulares”, en ambos textos se define a los datos personales como: “Cualquier información concerniente a una persona física identificada o identificable”.

[12] Extracto del incidente de suspensión 171/2011.

[13] En este caso tuvo que ser así. Pero habrá ocasiones en que se tendrá que recurrir al caso específico, a efectos de poder determinar si la publicación de la imagen de una persona requiere de su consentimiento o no.

[14] Entiéndase por videocámaras: “Las Cámaras fijas o móviles, equipos de grabación, o bien todo medio técnico análogo, digital, óptico o electrónico y, en general, cualquier sistema que permita captar o grabar imágenes con o sin sonido”.

[15]  Un referente en el primero para el primero de los supuestos lo constituye la monografía de Warren, Samuel D. y Brandeis, Louis  D., “The right to privacy” publicada en la revista Harvard Law Review, vol. 4, núm. 5, 1890. [Traducción al castellano por Benigno Pendas y Pilar Baselga, titulada, El derecho a la intimidad, Madrid, Tecnos, 1995. Mientras, para el segundo de los problemas y respecto al alcance y el uso de la información obtenida con videocámaras puede verse  Lusky, L., “Invasion of privacy: a clarification of concepts” en  Columbia Law Review, núm. 72, 1972,  Spiros, Simitis, “Reviewing privacy in an information society” en University of Pennsylvania Law Review, vol. 135. 1987. Así como Mattelart, Armand, Un mundo vigilado, Barcelona, Paidos Ibérica, 2009; Arzoz Santisteban, Videovigilancia, seguridad ciudadanía y derechos fundamentales, Civitas-Thomson Reuters, Cizur Menor (Navarra), 2010; y,  “Dilemmas of privacy and Survellance. Challenges of technological Change” en The Royal Academy of Engineering, London, 2007.

[16] Pongamos algunos ejemplos. Primero, sería absurdo pensar que cuando se transita por la calle o se está comiendo en un restaurante y cuando alguien nos mira a la cara se está vulnerando nuestro derecho a la propia imagen, pues, la imagen lejos de aislarnos, es una de las vías a través de las cuales entramos en contacto con los demás. Por tanto, esto último debe tenerse en cuenta para decidir cuando tiene sentido difuminar la imagen de una persona. Segundo, el Presidente de la República en ejercicio de sus funciones se estaría relacionando con la ciudadanía y, por lo tanto parece lógico que se ofrezca su imagen. Tercero, en el caso de la transmisión de las declaraciones de un testimonio en un caso de asesinato, su testimonio es lo realmente importante y, por tanto difundir su imagen supondría extraerla del contexto en el que tiene sentido su conocimiento. Por tanto, su difusión será lícita cuando refleje acciones o acontecimientos que tenga una repercusión social, y en su desarrollo se pueda decir que el protagonista se halla en relación directa con la colectividad.

[17] Se trata de un concepto que se encuentra recogido en una Tesis titulada: “Derechos a la intimidad, propia imagen, identidad personal y sexual. Constituyen derechos de defensa y garantía esencial para la condición humana”, en Seminario Judicial de la Federación y su Gaceta, XXX, Diciembre de 2009, Tesis Aislada, LXVI/2009, p. 7. Por otro lado, en la doctrina científica se considera a los derechos de la personalidad –honor, la intimidad y la propia imagen– como esenciales a toda persona por el solo hecho de serlo, inherentes a la persona, constituyen su modo de ser y también el de ser extrapatrimoniales ya que están fuera del tráfico, en virtud de que hacen alusión a los sentimientos y atributos humanos. Cfr. Benda, Ernesto, “Dignidad humana y derechos de la personalidad” en Benda, Ernesto, et al., Manual del Derecho Constitucional, Marcial Pons, Madrid, 2001, pp.117-114.

[18] Vid. Daranas, Daniel. (Trad.), “Sentencia de 15 de Diciembre de 1983: Ley del Censo. Derecho de la Personalidad y Dignidad Humana [Sentencia BVerfGE 65, 1]” en  Boletín de Jurisprudencia Constitucional, IV, núm. 3, enero, Madrid, Dirección de Estudios y Documentación del Congreso de los Diputados, 1984.

[19] Cfr. Sentencia BVerfGE 103, 44 [videograbaciones de audiencias judiciales], en Schwabe, Jürgen (comp.), Jurisprudencia del Tribunal Constitucional Federal alemán. Extractos de las sentencias más relevantes, trad. Marcela Anzola y Emilio Maus, Konrad Adenauer, México, 2009, pp. 226-233.

[20] Ídem.

[21] Ídem.

[22] Ídem.

[23] Ídem.

[24] Ídem.

[25]  Cfr. Arzoz Santisteban, Videovigilancia, seguridad ciudadanía y derechos fundamentales, op. cit., pp.163 -175.

[26]  Cfr. Sentencia BVerfGE 103, 44 [videograbaciones de audiencias judiciales], en Schwabe, Jürgen (comp.), Jurisprudencia del Tribunal Constitucional Federal alemán. Extractos de las sentencias más relevantes,  op. cit., pp. 230-233.

[27] Se trata de derechos que ya han sido recogidos en una Tesis Aislada por parte de la Suprema Corte de Justicia de la Nación (SCJN) en México, en los siguientes términos: “[…] el derecho a la intimidad y la propia imagen son derechos personalísimos. Por ende, se constituyen como derechos inherentes a la persona, fuera de la injerencia de los demás, se configuran como derechos de defensa y garantía esencial para la condición humana, ya que pueden reclamarse tanto en defensa de la intimidad violada o amenazada, como exigir al Estado que prevenga la existencia de eventuales intromisiones que los lesionen por lo que si bien, no son absolutos, sólo por ley podrá justificarse su intromisión, siempre que medie un interés superior”. Vid.  Derechos a la intimidad, propia imagen, identidad personal y sexual. Constituyen derechos de defensa y garantía esencial para la condición humana”, op. cit., p. 7.

[28] Tal como lo ha apuntado el Tribunal Constitucional Germano, en el Poder Judicial las audiencias son públicas, por tal motivo toda persona puede tener acceso a las audiencias de los tribunales, siempre que para ello no se haya contemplado alguna excepción. Sin embargo, dentro de los intereses que se contrapone al principio de publicidad –cuando se lleva a cabo la reproducción de sonidos e imágenes originales y son utilizadas fuera de las audiencias – el derecho de la personalidad de los que participan en el proceso. Cfr. Sentencia BVerfGE 103, 44 [videograbaciones de audiencias judiciales], en Schwabe, Jürgen (comp.), op. cit., pp. 229-232.

[29] Un estudio más amplio sobre este tema puede verse en Navarro Marchante, Vicente J., El derecho a la información audiovisual de los juicios, Centro de Estudios Políticos y Constitucionales, Madrid, 2011.

Los medios de comunicación y los datos personales

medios_comunicacion_2Por Rodrigo Santisteban Maza

Cada día en México empieza a tomar relevancia el tema del Derecho a la Protección de Datos Personales, esto tal vez por su reciente incorporación a nuestra Carta Magna (ya sea como un límite al Derecho de Acceso a la Información Pública o como un Derecho Autónomo); o por la publicación y entrada en plena vigencia de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares[1].

Sin duda alguna, los medios de comunicación (impresos o electrónicos), han influido en la evolución y apreciación que tienen las personas sobre el tema de los Derechos Humanos a la Intimidad, a la Privacidad, y por ende a la Protección de Datos Personales en nuestro país. Incluso la Constitución Política de los Estados Unidos Mexicanos señala con respecto a la Libertad de Escribir, Publicar y la de Imprenta (contempladas en el artículo 7 de nuestro máximo instrumento), que su único límite es el respeto a la vida privada.

En ese orden de ideas, el artículo sexto constitucional, que contempla entre otros derechos fundamentales la Libertad de Expresión, y señala que algunos de sus límites son el Derecho de Terceros y la moral,  elementos que para efectos de ese artículo también pueden ser considerados como parte integral del Derecho a la Privacidad y por ende, concatenado al Derecho a la Protección de Datos Personales, como derecho controlador de nuestra información a fin de evitar esos daños morales.

La Relatoría Especial para la Libertad de Expresión de la OEA, ha señalado en la Declaración de Principios sobre la Libertad de Expresión, que:

“…

10. Las Leyes de privacidad no deben inhibir ni restringir la investigación y difusión de información de interés público.

…”

Sin embargo, dichos artículos constitucionales y numeral de la Declaración de Principios sobre la Libertad de Expresión, hablan de los límites, pero ¿qué pasa con los datos personales de los columnistas y conductores de radio y/o televisión? ¿es necesario su consentimiento previo para utilizar su imagen, voz o ideas, antes de su transmisión o publicación? O ¿ese consentimiento limita la Libertad de Expresión? Y por ende ¿podría ser considerado como una censura previa?.

Como podemos observar son interrogantes complejas, pero empecemos a tratar de desmenuzar una respuesta desde el marco teórico, tomando como punto de partida esa nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares, y algunos instrumentos internacionales que pudieran arrojar una luz a esos planteamientos.

El segundo párrafo del artículo 16 de la Constitución Política de los Estados Unidos Mexicanos, señala:

“…

Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición en los términos que fije la Ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razón de seguridad nacional, disposición de orden público, seguridad y salud pública o para proteger los derechos de terceros.

…”

Como se observa, el citado párrafo constitucional establece que ese Derecho Humano y sus principios tienen excepciones, las cuales serán fijadas por las leyes. Ahora bien, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), en esa alineación, señala en el artículo 4, que los principios y derechos ahí contemplados tendrán como limitación los siguientes temas:

  • Seguridad Nacional
  • Orden Público
  • Seguridad Pública
  • Salud Pública
  • Derechos de Terceros.

Esos límites, anteponen un bien mayor (el bienestar social) sobre la privacidad y la protección de los datos personales, y ante esas excepciones las autoridades competentes deberán comprobar su aplicabilidad.

Entre los principios contemplados en la citada ley, se encuentra el consentimiento, que es entendido como la “… [m]anifestación de la voluntad del titular de los datos personales mediante la cual se efectúa el tratamiento de los mismos”[2], por lo que, por regla general, se puede afirmar que el consentimiento del afectado por el tratamiento es fundamental, y sin él, el sujeto obligado no podrá efectuar el procesamiento de esa información.

En forma independiente a los límites expresados en el artículo 4 de esa ley, el consentimiento tiene excepciones las cuales, las localizamos en el artículo 10, que señala:

“… No será necesario el consentimiento para el tratamiento de los datos personales cuando:

I. Esté previsto en una Ley;

II. Los datos figuren en fuentes de acceso público;

III. Los datos personales se sometan a un procedimiento previo de disociación;

IV. Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable;

V. Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes;

VI. Sean indispensables para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la Ley General de Salud y demás disposiciones jurídicas aplicables y que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente, o

VII. Se dicte resolución de autoridad competente.”

Como podemos observar, la LFPDPPP es muy específica de cuando NO será necesario que el sujeto obligado requiera el consentimiento del titular de esa información.

En el supuesto de un articulista o conductor de radio o televisión, es evidente que el patrón o futuro, requiere su consentimiento para dar cumplimiento a algunos de los siguientes fines:

  • Acatar lo dispuesto en la Ley Federal de Trabajo y disposiciones hacendarias.
  • Respaldar su selección y reclutamiento.
  • Respaldar su promoción.
  • Formación laboral
  • Salvaguarda
  • Calidad de los procesos
  • Entre otros.

Generalmente los datos personales requeridos para dar cumplimiento a esos fines son los de tipo identificativos, fiscales, de salud (psicológicos y/o sanguíneos),  laborales, etc. Sin embargo, en los medios de comunicación y ya dentro de la vida laboral útil de esas personas, dan tratamiento a datos sensibles como la ideología, información que coherentemente enlazada arroja un retrato de ese columnista o conductor, sin embargo, esa información a pesar de que su protección es casi mínima por su publicidad periódica, no exime a ese medio de comunicación de obtener el consentimiento expreso del afectado; esto claro esta, tomando como referencia el artículo 9 de la multicitada ley, que impone la obligación de así obtenerlo, ya que, no existe alguna disposición normativa en nuestro país que encuadre esas opiniones en algunas de las excepciones previamente señaladas.

Algunos de ustedes se puede estar preguntando ¿ese consentimiento pudiera estar exentó si se tomara como referencia la existencia previa de un contrato mercantil o laboral? Efectivamente pudiera estar exento bajo esa lógica, pero ese contrato celebrado entre esas partes, debe tener un objeto específico que ampare esa actividad, por lo que de una u otra forma preexiste ese consentimiento y en el supuesto de ausencia de ese instrumento o de un objetivo específico, sí sería necesario la obtención del consentimiento expreso del afectado.

Con referencia a la censura, consideramos que el requerimiento del consentimiento por parte del columnista o conductor no la configura, ya que la censura es un acto que presupone la intervención de un “censor” que prohíba o inhiba la publicación por atentar a órdenes ideológicas, políticas o morales, cuyo acto es aplicado a una idea o documento preconcebido, y en términos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, el consentimiento debe ser obtenido antes de que se llegará a configurar dicha idea o documento, los cuales, en todo momento deben ser sujetos a responsabilidades ulteriores.

Ahora bien ¿qué pasa con los datos personales de los afectados que no forman parte de ese medio de comunicación? ¿será necesario su consentimiento sí los afectados no son servidores públicos o figuras públicas[3]?, para dar respuesta a esas interrogantes, contextualicemos un poco su alcance, a través de otras interrogantes, ¿cómo obtiene los medios de comunicación esos datos personales que serán o son empleados en una nota o sección? La respuesta es más o menos obvia, puede ser que esa información la obtenga a raíz de un comentario vertido por nosotros en su página de internet, utilizando un usuario y contraseña, o accediendo a ese servicio por medio de una red social… en estos casos no existe gran problema, ya que el afectado consiente tácitamente su tratamiento –pero esto no exime a ese medio de comunicación de la obligación de poner a disposición del afectado el aviso de privacidad-.

Otra forma que empieza  ha ser utilizada por los medios de comunicación para interactuar con su audiencia y por el que también obtiene datos personales, es lanzar preguntas o solicitar comentarios en una red social, como puede ser twitter o facebook, y en esto casos, surge el primer problema, ya que en la actualidad esos medios de comunicación no cumplen con el principio de información[4] que facilite al afectado del tratamiento, un entendimiento adecuado de la forma en que en el presente o futuro ese medio de comunicación utilizará sus datos personales, y la forma en que intervendrán las políticas de privacidad de esas redes sociales, pero al igual que en el caso anterior, debe emplearse el aviso de privacidad, a pesar de configurarse el consentimiento tácito.

Así mismo, se esta empleando para la obtención de datos personales, en algunos medios de comunicación los de mensajes cortos remitidos por celular, con el fin de la obtención de un premio o una promoción, en dónde generalmente esos medios de comunicación almacena el número de celular y el texto, lo cual, presenta el mismo problema. Ustedes pudieran considerar que esa información es un dato personal disociado y por ende no requeriría un consentimiento para su tratamiento, pero para que así se pudiera considerar, la LFPDPPP señala que un dato disociado es aquel que no pueda asociarse o identificar al titular, condicionantes que, siguiendo la experiencia internacional, y en específico la Agencia Española de Protección de Datos, no se configura en virtud de que tomando como referencia la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, se considerará a una persona identificable (y por ende no disociado) cuando su identidad se pueda determinar, directa o indirectamente a partir de un número de identificación (como puede ser el número de celular) o uno o varios elementos específicos característicos de su identidad fisiológica, psíquica, económica, cultural o social, y cuyos medios empleados para su identificación no implique esfuerzos desproporcionados[5], y bajo esa lógica, ese número de celular y comentario pueden asociarse al titular de esos datos sin empleo de un esfuerzo desmedido, y por ende requeriría previa remisión del mensaje el aviso de privacidad y el consentimiento quedaría configurado al momento de su remisión.

La otra forma en la que un programa de radio o televisión, o sección de una revista o periódico pudiera obtener y dar tratamiento a los datos personales, es por medio de entrevistas, en esos supuesto, se pueden obtener imágenes fotográficas, vídeo, voz (la cual, puede ser traducida en texto), en esto casos, es sencillo ya que previo a la realización de la entrevista, bastará poner a disposición del entrevistado el aviso de privacidad (el cual, claro está debe ser específico en cuanto a su finalidad), y sí este procede a esa entrevista, se presupone que ha dado su consentimiento tácito, es de señalar que sí se trata de una entrevista en dónde el entrevistado tenga que verter un comentario ideológico, filosófico, o revelar su estado de salud (psicológico, emocional, etc.) presente o pasado, se debe requerir el consentimiento expreso e inequívoco; esa misma lógica –la obtención del consentimiento expreso- también debe ser aplicada cuando el entrevistado es un menor de edad, los cuales, en todos los casos a pesar de que no se trate de esos datos personales, se requerirá el consentimiento previo por escrito de sus padres o tutores.

Esto es importante, ya que los expresiones y demás datos personales que se vierten por el titular de los datos personales, quedarán en una fuente pública y por ende, pueden ser explotados por terceros, sin el consentimiento previo (es de señalar que de darse esos supuestos, también se tienen que observar las disposiciones en materia de derechos de autor y propiedad intelectual aplicables).

En el mundo periodístico, en ocasiones se toman accidentalmente imágenes de personas que se encuentran en espacios públicos (tales como calles, parques, banquetas, etc.), si bien pudiera considerarse que por encontrarse en un lugar público no sería necesario su consentimiento para su tratamiento, pero tomando como referencia que ese lo que se debe entenderse por “fuente de acceso público” en el mundo de la protección de datos personales en México, el cual implica que los datos personales sean obtenidos de:

“I. Los medios remotos o locales de comunicación electrónica, óptica y de otra tecnología, siempre que el sitio donde se encuentren los datos personales esté concebido para facilitar información al público y esté abierto a la consulta general;

II. Los directorios telefónicos en términos de la normativa específica;

III. Los diarios, gacetas o boletines oficiales, de acuerdo con su normativa, y

IV. Los medios de comunicación social”[6]

Por lo que, los espacios públicos no pueden ser considerados como fuente de acceso público, y por ende sería necesario requerir el consentimiento del afectado (por lo menos, el tácito que se configuraría si éste no se opone a la fotografía), incluso la Organización Mundial de la Propiedad Intelectual ha señalado que “… en algunos países un fotógrafo que, sin haber obtenido una autorización previa, pone la fotografía de una persona en el escaparate de su tienda o en su sitio web para anunciar sus servicios, puede ser considerado responsable de infringir el derecho a la intimidad…”[7], caso que también puede ser aplicable a éste estudio, ya que de una u otra forma, los medios de comunicación al igual que en ese ejemplo, lucra con la imagen que es considerado como un dato personal; así mismo sugiere ese órgano internacional que:

“… la mejor forma de protegerse contra las demandas, cuando sea factible y apropiado, es conseguir el consentimiento previo por escrito del sujeto de la fotografía…”[8]

A manera de conclusión podemos señalar que los medios de comunicación puede obtener los datos personales de múltiples formas, y la imposición de estos requisitos previos al tratamiento de los datos personales, no se deben considerar como una censura previa, ya que a esta se le debe considerar como:

“… toda acción u omisión por parte de autoridad pública o privada, con el objeto de impedir o limitar, en forma directa o indirecta y con antelación a su difusión, una publicación periodística, u obra literaria, artística o científica o de cualquier producción en los medios de comunicación y de toda forma de expresión…”[9]

No es de omitir que los medios de comunicación al ser sujetos obligados de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, deben dar cumplimiento a otros principios, tales como:

  • Licitud
  • Información
  • Calidad
  • Finalidad
  • Lealtad
  • Proporcionalidad
  • Responsabilidad

Principios que deben observar en su ejercicio, y en su caso contrastarse con los alcances del consentimiento dado por el afectado, y a falta de este, con la finalidad del tratamiento, que debe estar contemplado en el aviso de privacidad, y ante su violación a consideración del afectado, puede ejercer el proceso de protección de derechos o la denuncia ante al Instituto Federal de Acceso a la Información y Protección de Datos, o en su caso ejercitar las acciones civiles y penales correspondientes.

Por último, es necesario que estos casos de la Libertad de Expresión, de Opinión, de Información, de Imprenta encuentren un asidero jurídico que permitan su justa ponderación o equilibrio con el Derecho Humano a la Protección de Datos Personales. Así mismo, se debería explorar la posibilidad de retomar en nuestro ordenamiento jurídico lo expresado en el artículo 9 de la Directiva 95/46/CE, que señala:

“… En lo referente al tratamiento de datos personales con fines exclusivamente periodísticos o de expresión artística o literaria, los Estados […] establecerán [las] exenciones y excepciones sólo en la medida en que resulten necesarias para conciliar el derecho a la intimidad con las normas que rigen la libertad de expresión.”

Lo cual, sin duda alguna pudiera lograr un flujo aun mas expedito y continuo de la información, y cuyas sanciones derivadas por el mal uso de los datos personales sea ulterior.


[1] La cual, para una gran mayoría de los mexicanos es desconocida y lo más preocupante, que mucho de los sujetos obligados pasa por desapercibida o piensan que por cumplir con los avisos de privacidad, ya se encuentran cumpliendo con esa norma, pero bueno, ese es otro tema.

[2] Art. 3, fracción IV de la LFPDPPP

[3] Entendidas estas como las “persona que posee notoriedad o trascendencia colectiva, sin ostentar cargo público, y aquellas alcanzan cierta publicidad por la actividad profesional que desarrollan o por difundir habitualmente hechos y acontecimientos de su vida privada”, esto en los términos del artículo 7, fracción VII de la Ley de Responsabilidades Civiles para el Protección del Derecho a la Vida Privada, el Honor y Propia Imagen del Distrito Federal.

[4] Este principio implica la obligación de “… dar a conocer al titular la información relativa a la existencia y características principales del tratamiento a que serán sometidos sus datos personales a través del aviso de privacidad…” esto en los términos del artículo 23 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

[5] Inspección sectorial de oficio “CONCURSOS, JUEGOS Y SORTEOS DE TELEVISIÓN”, Conclusiones y Recomendaciones, pp 7 y 8. Consultable en:   https://www.agpd.es/portalwebAGPD/canaldocumentacion/recomendaciones/common/pdfs/recomendaciones_concursos_tv.pdf

[6] Artículo 7, del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

[7] “Problemas jurídicos que plantea tomar o utilizar fotografías de marcas, personas y material protegido por derecho de autor”, consultable en:

http://www.wipo.int/sme/es/documents/ip_photography.htm#3.1

[8] Ibídem.

[9] SCHIFER, Caludio, PORTO, Ricardo; “Diccionario Jurídico enciclopédico de los medios de comunicación”, Universitas S.R.L, 2004, Bueno Aires Argentina, p. 53.

Registro Nacional de Usuarios de Telefonía Móvil y Protección de Datos

telefonia_movil_mexico

Por Rodrigo Santisteban Maza

El presente artículo se basa en un caso real, que deriva de una inquietud personal por saber el nivel de protección de mis datos personales que obran en el Registro Nacional de Usuarios de Telefonía Móvil que es administrado por la Secretaría de Gobernación, y demostrar la convivencia real entre los Derechos Humanos de Acceso a la Información y el de Protección de Datos Personales.

De tal suerte, que para poder llegar a una conclusión téorico-práctica, se realizará el análisis de diversas normas jurídicas aplicables al citado registro, y algunas cuantas normas vigentes en México en materia del Derecho Humano a la Protección de Datos Personales expedidas por el Instituto Federal de Acceso a la Información y Protección de Datos; buscando al final del estudio determinar la existencia o no de una violación a este Derecho Humano por parte del Gobierno Mexicano.

Razones de ser del tema

Este tema surge como inquietud personal, a fin de determinar el nivel de protección que tienen mis datos personales que se encuentran inscritos en el Registro Nacional de Usuarios de Telefonía Móvil, administrado por la Secretaría de Gobernación del Estado Mexicano.

Estado de la cuestión

El tema del Derecho Fundamental a la Protección de Datos Personales, en México, se incrusta en la historia jurídica reciente de nuestro país, al momento del surgimiento de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental en el año 2002. Sin embargo, su desarrollo normativo e impacto entre la sociedad, a diferencia del Derecho Fundamental de Acceso a la Información, ha sido muy lento y desconocido por la mayoría de los mexicanos. No obstante, el aumento de la inseguridad en el país, los avances tecnológicos entre otros factores, han hecho que el tema de la protección de datos personales empiece a tomar una mayor relevancia, sin que todavía se logre la penetración idónea. Aunado a lo anterior, en el año 2009 el Gobierno Federal intensificó su lucha contra el crimen organizado y reformó ciertos ordenamientos jurídicos que ponen en tensión diversos derechos fundamentales y fusionó y/o creo diversas figuras administrativas, tales como el Registro Nacional de Usuarios de Telefonía Móvil.

En este orden de ideas, este artículo tiene como objetivo demostrar teórica y prácticamente, el nivel de protección que tienen los datos personales que son almacenados en el Registro Nacional de Usuarios de Telefonía Móvil.

Desarrollo del tema

En la última década del siglo pasado y los inicios del presente siglo, hemos vivido una revolución tecnológica, que de una u otra forma ha permitido mejorar la comunicación entre los habitantes del planeta azul; tenemos por un lado el Internet, por otro, los celulares, y así una infinidad de herramientas tendientes a facilitar de una u otra forma la vida del ser humano. Sin embargo, algunos de estos avances tecnológicos, su popularidad y creciente demanda y su falta de control, han hecho que esas herramientas también sean utilizadas por un sector de la población, que no persiguen un fin lícito por así decirlo. Por mencionar, en México, a raíz de estos avances tecnológicos, en específico lo referente a la telefonía móvil, ha hecho que aumenten las extorsiones telefónicas. Aunado a lo anterior, es de señalar que México a comienzos de esta década, ha iniciado una nueva guerra, una guerra contra el narcotráfico y el crimen organizado.

Estos avances y esta guerra, han puesto al derecho, frente a múltiples dilemas, y al Estado, frente a diversas problemáticas que le impiden actuar, por lo que se ha visto en la necesidad de reformar el marco legal bajo el cual se desenvuelve. Sin embargo, algunas de esas reformas, ponen en tensión diversos derechos fundamentales o incluso su vulneración por falta de un real “empowerment” de la sociedad, tal como es el caso del Derecho a la Protección de Datos Personales.

En esta ocasión, no voy hacer un recuento de todas las cosas buenas o malas que ha hecho el Estado Mexicano en esta guerra en la que nos encontramos inmersos, sino que me centraré en el tema de la protección de datos personales y su posible vulneración que ha hecho el gobierno en nombre de la guerra. He de reconocer, que es un tema muy grande y ambicioso hablar de todos los aspectos que implica esta vulneración, por lo que, me centraré exclusivamente en un punto en específico: el Registro Nacional de Usuarios de Telefonía Móvil, mejor conocido como RENAUT.

El surgimiento del Registro Nacional de Usuarios de Telefonía Móvil se da dentro del marco del Acuerdo Nacional por la seguridad, la justicia y la legalidad, publicado dentro del Diario Oficial de la Federación el 25 de agosto de 2008, el cual, como su nombre lo indica, tiende a establecer un mecanismo de colaboración entre los tres poderes y los tres órdenes de gobierno que conforman al Estado Mexicano, a fin de que desarrollen “… en el ámbito de sus atribuciones y competencias, acciones específicas a favor de la seguridad, la justicia y la legalidad…” (1). En el Acuerdo segundo, inciso VII, se estableció la obligación del Poder Ejecutivo Federal, de:

“… regular el registro, establecimiento y acceso a bases de datos de los equipos de telefonía móvil y fija, así como el acceso a la información sobre la ubicación física de los móviles en tiempo real, en los casos en que sean aparatos y números telefónicos relacionados con actividades delictivas…”

Dicho acuerdo derivó en la reforma de la Ley Federal de Telecomunicaciones, con el fin de establecer el marco jurídico que regule el Registro al que se hace mención en el acuerdo, dotando para tales efectos a la Secretaría de comunicaciones y Transportes de las atribuciones necesarias para la elaboración y actualización del RENAUT, quedando establecido que dicha acción la realizará por medio de la Comisión Federal de Telecomunicaciones (2). Así mismo, se establecieron diversas obligaciones a cargo de los concesionarios de las redes públicas de telecomunicaciones, entre las que destaca llevar el “… el registro y control separado de sus usuarios, tanto en la modalidad de líneas contratadas en plan tarifario, como en líneas de prepago…” (3), estableciendo que dicho registro deberá contar con una serie de datos personales (de tipo tecnológico e identificación) mínimos, tales como:

“XI. …

”a) Número y modalidad de línea;

”b) Nombre completo, domicilio, nacionalidad, número correspondiente y demás datos contenidos en identificación oficial vigente con fotografía, así como comprobante de domicilio actualizado del usuario y toma de impresión de huella dactilar directamente en tinta y/o electrónicamente;

”c) En caso de personas morales, además de los datos de los incisos a) y b), se deberá registrar la razón social de la empresa, cédula fiscal y copia del documento que acredite capacidad para contratar.

…”

Asimismo, establece la obligación de los concesionarios, de llevar un registro de las comunicaciones que realicen los usuarios de la telefonía móvil, el cual deberá contar con una serie de datos que hace identificable en un momento dado, tanto al usuario que recibe la llamada, así como al que la realiza (4), los cuales, en determinados supuestos, deberán ser entregados a las autoridades competentes, previo requerimiento.

Ahora bien, las Reglas del Registro Nacional de Usuarios de Telefonía Móvil publicadas en el Diario Oficial de la Federación el 15 de mayo de 2009, establecen que la obligación del usuario (5) de dar de alta la (s) línea (s) telefónica (s) que cuente ante el RENAUT, el cual por cierto, es administrado por la Secretaría de Gobernación, por ser el ente público que tiene bajo su mando el Registro Nacional de Población e Identificación Personal, en términos de lo señalado en el Considerando Quinto de las señaladas reglas, que a la letra señala:

“Quinto. Empleo de la CURP (6) como medio de identificación. Que la fracción XVI del artículo 64 de la Ley [Federal de Telecomunicaciones], considera el empleo de la Clave Única de Registro de Población (en lo sucesivo la “CURP”) como uno de los medios de identificación del usuario para la contratación del servicio de telefonía y dado que la Ley General de Población establece que la Secretaría de Gobernación tiene a su cargo el registro y la acreditación de la identidad de todas las personas residentes en el país y de los nacionales que residan en el extranjero; y que el Registro Nacional de
Población (en lo sucesivo el “RENAPO”) tiene como finalidad registrar a cada una de las personas que integran la población del país, con los datos que permitan certificar y acreditar fehacientemente su identidad de conformidad con el artículo 85 y 86 de la Ley General de Población”.

Dentro de este contexto, la mayoría de los mexicanos con cierto escepticismo y buena fe, procedieron a dar de alta sus datos personales en el citado sistema (7); es de aclarar, que en este tipo de trámites o registros realizados ante una dependencia gubernamental, las autoridades no se encuentran obligadas a requerir por escrito el consentimiento (8) del interesado, ya que de una forma, éste se encuentra implícito al realizar el trámite que se trate, ello en virtud, de que, como ha quedado señalado, se encuentra amparado por una Ley.

Ahora bien, una vez dados mis datos personales requeridos en el Registro Nacional de Usuarios de Telefonía Móvil, procedí a presentar dos solicitudes (múltiples) de información pública, amparadas en la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, ante la Secretaría de Gobernación y al Instituto Federal de Acceso a la Información y Protección de Datos (9). Dichas solicitudes de información fueron:

Secretaría de Gobernación

”…

”1.El nivel de seguridad (mención, no se requieren las características que se deben señalar en el Documento de Seguridad (10) aplicable al Sistema RENAUT.

”2. Si se ha reportado alguna incidencia.

”3. Si se ha realizado alguna “transmisión” de dicho sistema

”4. Si se tiene planeado realizar alguna “transmisión” de dicho sistema

”5.El nivel jerárquico del servidor público que fue designado como Responsable del mencionado sistema” (11)

Instituto Federal de Acceso a la Información y Protección de Datos.

“…

”1.- Quisiera saber si dentro del Sistema Persona (12), se encuentra inscrito el Registro Nacional de Usuarios de Telefonía Móvil (RENAUT).

”2.- En caso afirmativo, se me indique el nombre del Sujeto Obligado que administra dicho sistema, esto en virtud de que el Sistema Persona no he localizado esta información… Se buscó en la Secretaría de Gobernación, y en la Secretaría de Comunicaciones y Transportes.

”3.- Si el IFAI dentro de sus atribuciones conferidas en los Lineamientos de Protección de Datos Personales, ha realizado alguna acción de supervisión de los sistemas de datos personales de la Secretaría de Gobernación.

”4.- En caso afirmativo. ¿cuáles han sido los resultados?” (13)

Como se puede observar, la temática aplicable en esta serie de preguntas fue encaminada a determinar el nivel de seguridad que debería tener el sistema que aloja los datos personales de una infinidad de mexicanos, así como el principio de transparencia o información, y las transferencias que se realizarán del sistema de datos personales.

Antes de continuar, es necesario hacer un paréntesis para justificar la temática, ya que, al momento en que se formularon las solicitudes, no existía en México una norma general que regulara el Derecho Fundamental a la Protección de Datos Personales, tal como podría ser la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (España). Sin embargo, la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, contempla en el capítulo IV, Título I, una serie de artículos que regulan el derecho de acceso y rectificación de datos personales, así como los principios de adecuación y pertinencia14, de información, de exactitud, y de seguridad; lo que facultó al Instituto Federal de Acceso a la Información y Protección de Datos a regular por medio de lineamientos y recomendaciones el Derecho Fundamental en comento, y en específico, extrapolar algunas figuras que se encuentran actualmente vigentes en España, tales como los niveles de seguridad aplicables a los sistemas o ficheros de Datos Personales.

Ahora bien, en términos de los Lineamientos de Datos Personales (15) emitidos por el Instituto Federal de Acceso a la Información y Protección de Datos, contempla que todo sistema de datos personales16 que sea creado o administrado por un sujeto obligado, debe responder a ciertos niveles de seguridad, y atender las recomendaciones que éste primero emita, y estos niveles de seguridad, son fijados en el documento expedido por el mismo Instituto, denominado “Recomendaciones sobre Medidas de Seguridad Aplicables a los Sistemas de Datos Personales (17) en posesión de los sujetos obligados que se encuentran bajo la jurisdicción del Instituto antes señalado que entiende que son tres niveles los aplicables (18):

1. Nivel Básico.- Aplicable a todos los sistemas de datos personales.

2. Nivel Medio.- Aplicable a aquellos sistemas que contengan datos relativos al patrimonio, procedimientos administrativos, académicos, y de tránsito o movimiento migratorio.

3. Nivel Alto.- Aplicable a los siguientes datos personales:

a. Datos Ideológicos: Creencia religiosa, ideología, afiliación política y/o sindical, pertenencia a organizaciones de la sociedad civil y/o asociaciones religiosas, entre otros.

b. Datos de Salud: Estado de salud, historial clínico, alergias, enfermedades, información relacionada con cuestiones de carácter psicológico y/o psiquiátrico, incapacidades médicas, intervenciones quirúrgicas, vacunas, consumo de sustancias tóxicas, uso de aparatos oftalmológicos, ortopédicos, auditivos, prótesis, entre otros.

c. Características personales: Tipo de sangre, ADN, huella digital, u otros análogos.

d. Características físicas: Color de piel, color de iris, color de cabello, señas particulares, estatura, peso, complexión, discapacidades, entre otros.

e. Vida sexual: Preferencia sexual, hábitos sexuales, entre otros.

f. Origen: Étnico y racial.

Bajo este contexto, y tomando en cuenta los datos personales mínimos que deben ser proporcionados por los usuarios de telefonía móvil al momento de registrarse en el citado sistema, ya sea, por medio de la página www.renaut.gob.mx o por medio del proveedor del servicio (dependiendo del tipo de línea telefónica que sea, es decir, si es nueva se realizará el alta por medio del proveedor del servicio, y si ya se contaba con la línea antes de la publicación del RENAUT, se tendría que hacer por la citada página de Internet), podríamos inferir, a simple vista, que el nivel aplicable sería el Alto, ya que como observamos, además de contar con datos personales de índole identificativos, también cuenta con “características físicas” del titular de la línea telefónica, como lo es, la huella digital.

Sin embargo, lo anterior queda en la teoría, ya que en ninguna de las dos respuestas emitidas, ni por la Secretaría de Gobernación, ni por el Instituto de Acceso a la Información y Protección de Datos, se puede inferir el nivel aplicable, incluso, este último informó que:

“… es de hacer notar que este Instituto realizó una búsqueda general en el Sistema „Persona‟ [19] -utilizando como motor de búsqueda „todas las dependencias y entidades‟-, sin embargo, no se encontró registro alguno que corresponda al sistema de datos personales denominado „Registro Nacional de Usuarios de Telefonía Móvil‟ o bien „RENAUT‟ (20).

Ahora bien, tomando como referencia la anterior afirmación realizada por el órgano garante de la materia el 21 de abril de 2010, se puede desprender una posible violación al principio de transparencia, el cual, implica el deber de publicitar en el Sistema“Persona” los sistemas de datos personales que detenta el sujeto obligado, contemplado en el artículo 23 de la Ley Federal de Transparencia y Acceso a la Información Pública; así mismo, los Lineamientos de Protección de Datos Personales, en su numeral cuadragésimo, señala que la actualización por parte de las entidades del Sistema “Persona”, deberá realizarse en los “… primeros días hábiles de enero y julio de cada año…”.

Tomando como referencia dicho plazo y con el fin de determinar el posible incumplimiento de este principio, es necesario determinar si al momento de formular las solicitudes de información, la Secretaría de Gobernación ya estaba obligada a la publicación en el Sistema Persona. Para dar respuesta, es necesario recordar, que existen diversos instrumentos jurídicos tendientes a la creación y regulación del Registro Nacional de Usuarios de Telefonía Móvil, tales como Ley Federal de Telecomunicaciones y las Reglas de Operación del Registro Nacional de Usuarios de Telefonía Móvil.

Las reformas a la Ley Federal de Telecomunicaciones por las que se da vida al multicitado Registro, fueron publicadas en el Diario Oficial de la Federación el 9 de febrero de 2009, y las Reglas de Operación, fueron publicadas en el mismo medio de comunicación oficial el 15 de mayo del mismo año; de esto podemos desprender que la Secretaría de Gobernación contaba con la obligación de dar de alta el sistema de datos personales en el Sistema “Persona” el mes de septiembre de ese mismo año, o a más tardar dentro de los diez primeros días del mes de enero de 2010; lo que da viabilidad a presumir que el actuar de esa Secretaría de Estado vulneró de una u otra forma el principio de transparencia, al no haber publicado la información relativa al RENAUT en la página http://persona.ifai.org.mx/persona/welcome.do, lo que se ve reforzado por el dicho del antes citado Instituto, al señalar:

“… no se encontró que dicha dependencia hasta el momento, esto es, al 20 de abril de 2010, haya cumplido con la obligación -a través del titular de la Dirección General del Registro Nacional de Población e Identificación Personal- de registrar e informar al Instituto sobre el RENAUT, de conformidad con lo dispuesto en los artículos 23 de la Ley [Federal de Transparencia y Acceso a la Información Pública Gubernamental]…” (21).

Otro de los principios que se ve inmiscuido en esta problemática, y que se ha mencionado al principio de esta relatoría es el principio de información, el cual, implica, en términos del lineamiento noveno, de los Lineamientos de Protección de Datos Personales “… hacer del conocimiento del Titular de los datos, al momento de recabarlos y de forma escrita, el fundamento y motivo de ello, así como los propósitos para los cuales se tratarán…”, y aunado a lo anterior y con el propósito de reforzar el principio de información, el lineamiento decimoséptimo establece los elementos mínimos que debe hacer del conocimiento del titular de los datos, y lo refuerza en el lineamiento decimoctavo que señala:

“… Sin perjuicio de que las dependencias y entidades elaboren sus propios formatos para informar al Titular de los datos lo establecido por el Lineamiento anterior [decimoséptimo], podrán utilizar el siguiente modelo:”Los datos personales recabados serán protegidos y serán incorporados y tratados en el Sistema de datos personales […], con fundamento en […] y cuya finalidad es […], el cual fue registrado en el Listado de sistemas de datos personales ante el Instituto Federal de Acceso a la Información Pública […], y podrán ser transmitidos a […], con la finalidad de […], además de otras transmisiones previstas en la Ley. La unidad Administrativa responsable del Sistema de datos personales es […], y la dirección donde el interesado podrá ejercer los derechos de acceso y corrección ante la misma es […]. Lo anterior se informa en cumplimiento del Decimoséptimo de los Lineamientos de Protección de Datos Personales…”

Ahora bien, al realizar un análisis de la página de Internet denominada “Alta en el RENAUT”22, no podemos inferir, por lo menos, a la fecha de la elaboración del presente estudio, que la Secretaría de Gobernación cumpla lo dispuesto en los Lineamientos antes citados, lo que vulnera este principio. Como se observa en la imagen que se encuentra a la izquierda de éste párrafo, se establece el procedimiento básico, que debe seguir el usuario para dar de alta su línea telefónica ante el Registro Nacional de Usuarios de Telefonía Móvil. Así mismo, dentro del menú izquierdo, se localiza la siguiente información “Fundamento Legal”, “Buscador CURP”, “Servicios RENAUT”, “Preguntas Frecuentes”, “Cómo tramitar tu CURP”, “Verifica qué teléfonos están dados de alta con tu CURP”, “Recomendar”, “Registro Nacional de Población e Identificación Personal”, “SEGOB”, “Atención a Comentarios”; y en el menú derecho se enlista los “Servicios RENAUT”, sin embargo, se reitera que en ninguna de estas opciones dadas en cada uno de los enlaces citados, se hace referencia a los datos mínimos que debería de informarse al titular en los términos del lineamiento decimoséptimo.

Con la faltas administrativas que se han señalado hasta este punto –en las que se encuentra el Registro Nacional de Usuario de Telefonía Móvil- no podemos determinar en una primera instancia las posibles transmisiones que se realicen del sistema de datos personales a terceros, así como la finalidad que se perseguirá con ellas; es de aclarar, que en términos del artículo 22 de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, no todas las entregas totales o parciales de los sistemas de datos que realicen los sujetos obligados a personas distintas al titular del o de los datos personales, se encuentran condicionadas a la obtención del consentimiento previo de este último. Esta excepción al principio del consentimiento se encuentra prevista en el artículo 22 de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental,que establece:

“…

”II. Los necesarios por razones estadísticas, científicas o de interés general previstas en ley, previo procedimiento por el cual no puedan asociarse los datos personales con el individuo a quien se refieran;

”III. Cuando se transmitan entre sujetos obligados o entre dependencias y entidades, siempre y cuando los datos se utilicen para el ejercicio de facultades propias de los mismos;

”IV. Cuando exista una orden judicial;

”V. A terceros cuando se contrate la prestación de un servicio que requiera el tratamiento de datos personales. Dichos terceros no podrán utilizar los datos personales para propósitos distintos a aquéllos para los cuales se les hubieren transmitido, y

“VI. En los demás casos que establezcan las leyes”

A fin de determinar de manera empírica, cuáles serían esas posibles transferencias que pudiera realizar la Secretaría de Gobernación del sistema de datos personales en comento –no se contemplarán para este caso en específico, las transferencias que pudieran realizar los concesionarios-, es necesario tomar en consideración el origen del Registro Nacional de Usuarios de Telefonía Móvil, es decir, el Acuerdo Nacional por la seguridad, la justicia y la legalidad, en el cual, se contemplan una serie de estrategias que se encuentran implementando para el combate a la inseguridad en la que se encuentra inmersa la sociedad mexicana, entre la que destaca la colaboración entre los tres niveles de poderes. De esto podemos desprender que posiblemente habrá transferencias de los datos entre diversas autoridades, tales como la Procuraduría General de la República, la Secretaría de la Función Pública, el o los Procuradores Estatales, o alguna autoridad dependiente del Poder Judicial, ya sea Federal o Estatal, sirva de apoyo de lo anterior, el mandato establecido a los concesionarios del servicios de telefonía móvil en el artículo 44, fracción XIII de la Ley Federal de Telecomunicaciones, que señala:

“… Entregar los datos conservados, al Procurador General de la República o Procuradores Generales de Justicia de las Entidades Federativas, cuando realicen funciones de investigación de los delitos de extorsión, amenazas, secuestro, en cualquiera de sus modalidades o de algún delito grave o relacionado con la delincuencia organizada, en sus respectivas competencias”

Como podemos observar, bajo los supuestos bajo los que se creó el sistema de datos personales, la mayoría de las transferencias que se realicen no requerirán el consentimiento expreso del titular de los mismos, ya que, como se ha mencionado, fue diseñado para llevar un control exacto de las líneas móviles que se encuentran en uso en México, y facilitar las actividades de prevención y persecución del delito. Lo anterior, en teoría, no implica que el titular de los datos transmitidos, en un momento determinado de su historia, tome conocimiento de las transmisiones realizadas, ya que, volviendo al principio de transparencia, señalado en párrafos anteriores, el Responsable del Sistema tiene la obligación de notificar al Instituto Federal de Acceso a la Información y Protección de Datos de las transferencias realizadas en el plazo señalado, y a su vez, alimentar con esa información el Sistema “Persona” que se encuentra accesible a todos los interesados. Así mismo, el titular de los datos podrá en todo momento ejercitar su derecho de acceso a datos personales, a fin de solicitar un informe sobre las transferencias realizadas.

A manera de conclusión, podemos determinar que en la materia del Derecho Fundamental a la Protección de Datos Personales en relación con el Registro Nacional de Usuarios de Telefonía Móvil, aún falta mucho por caminar y que existen múltiples irregularidades, que en teoría ponen en riesgo los datos personales que millones de mexicanos proporcionaron bajo la “buena fe” al momento de registrar sus líneas telefónicas.

Esto nos enfrenta a un gran dilema, ¿hasta dónde deben llegar las facultades de la autoridad para intervenir en la esfera privada del gobernante? Una pregunta, que bajo este contexto, es difícil responder, máxime que, como ha quedado plasmado a lo largo del estudio, no son evidentes los niveles de seguridad empleados, así como el respeto de los principios básicos que encierra el Derecho Fundamental a la Protección de Datos Personales. Sin embargo, esto no implica que las autoridades en el afán de conseguir la “paz” y derrocar el crimen organizado, vulneren la debida protección de los datos personales que se encuentran en su posesión, y no justifica el desconocimiento de las leyes y normas aplicables a la materia, como pretendió hacer la Secretaría de Gobernación, por medio de la Dirección General del Registro Nacional de Población e Identificación Personal, en la respuesta a la solicitud de información a la que se hizo referencia al principio del estudio, y que se encuentra plasmada en el oficio DG/410/286/2010 del 19 de abril de 2010, que en la parte conducente señala:

“… con respecto a las peticiones del ciudadano […] debe decirse que esta Unidad Administrativa carece de atribuciones para pronunciarse sobre el particular…”

Hipótesis que se vio desvanecida en el transcurso de este estudio y con la propia respuesta emitida por el órgano garante de la materia, y que se ve reforzada con lo señalado en el artículo 42 de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, en donde se establece la obligación de los entes públicos de proporcionar todo aquel documento que obre en sus archivos, y para que se dé este supuesto, es necesario que cuente con las atribuciones legales al respecto, cosa que también quedó acreditada.

Esperemos que el Instituto Federal de Acceso a la Información y Protección de Datos, en el ejercicio de sus atribuciones, supervise el cumplimiento de las normas aplicables al sistema de datos personales que deriva del Registro Nacional de Usuarios de Telefonía Móvil, en virtud de que las personas carecen de las normas suficientes que las empoderen para incitar al citado Instituto para que vigile la adopción de los niveles de seguridad, el cumplimiento de algunos de los principios inmersos en el Derecho Fundamental a la Protección de Datos Personales, y que las transferencias que se realicen se hagan en términos de los más altos estándares de seguridad.

Normativa:  Ley Federal de Telecomunicaciones, Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, Lineamientos de Protección de Datos Personales, Reglas del Registro Nacional de Usuarios de Telefonía Móvil, Acuerdo Nacional por la seguridad, la justicia y la legalidad, Recomendaciones sobre medidas de seguridad aplicables a los sistemas de datos personales, Instituto Federal de Acceso a la Información y Protección de Datos, Oficio IFAI/SA-DGCDP/040/10, del 21 de abril de 2010, Secretaría de Gobernación, Oficio DG/410/286/20101, del 19 de abril de 2010.

Articulo publicado por el autor en dercom.com.

1. Acuerdo Primero, del Acuerdo Nacional por la seguridad, la justicia y la legalidad, visible en el Diario Oficial de la Federación del 25 de agosto de 2008.

2. Artículo 7, fracción XIII de la Ley Federal de Telecomunicaciones.

3. Artículo 44, fracción XI, de la Ley Federal de Telecomunicaciones.

4. Artículo 44, fracción XII de la Ley Federal de Telecomunicaciones.

5. Las citadas reglas, definen al “usuario” como la persona “… física que se atribuye el uso de la Línea Telefónica…”; asimismo hace la distinción entre los “usuarios existentes” y los “usuarios nuevos”, entendiéndose por este ultimo “… a aquel Usuario que active una Línea Telefónica con posterioridad a la fecha de entregada en vigor del Decreto”, y por el primero “… a aquel Usuario que activó una Línea Telefónica previamente a la fecha de entrada en vigor del Decreto”.

6. La CURP o también conocida como Clave Única de Registro Poblacional, es un instrumento jurídico que permite identificar a todos los mexicanos que residen en México o en el extranjero, así como a los extranjeros que residen en el territorio de la República Mexicana.

7. Un grupo menor de personas físicas, procedieron ante el Poder Judicial de la Federación, a fin de que, por medio del juicio de amparo, se decretara la inconstitucionalidad de dicho registro. Sin embargo, ninguno procedió, en virtud de que no se afectaba su esfera jurídica. Es de señalar que ninguno alegó la violación de los principios inmersos dentro del Derecho Fundamental a la Protección de Datos Personales, contemplado en el segundo párrafo del artículo 16 de la Constitución Política de los Estados Unidos Mexicanos, en el que se señala:“Artículo 16. …”Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerálos supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público , seguridad y salud públicas o para proteger los derechos de terceros…” Por lo que, en esta ocasión el Poder Judicial de la Federación no tuvo la oportunidad de emitir un pronunciamiento al respecto; lo cual, desde mi punto de vista, hubiere sido lo idóneo.

8. El consentimiento es uno de los principios fundamentales dentro del ámbito de la protección de datos personales, el cual implica la manifestación de voluntad libre, inequívoca, específica e informada, por medio de la cual, el titular de los datos personales consiente el tratamiento de estos, el cual, tradicionalmente debe obrar por escrito (físico o electrónico). Como todos los principios, éste no es absoluto, y un caso claro es cuando se trata del sector público, ya que para la recolección de los datos personales, sólo basta que éste contemplada esa función en una norma específica y en caso contrario, el ente público de que se trate deberá requerir por escrito dicho consentimiento.

9. Cabe aclarar que al momento de la elaboración de las solicitudes en comento, el nombre que tenía dicho órgano era Instituto Federal de Acceso a la Información; su cambio de denominación se debió a la publicación de la Ley Federal de Protección de Datos Personales en posesión de los particulares, y la reforma consecuente a la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, ambas publicadas en el Diario Oficial de la Federación el 5 de julio de 2010. Lo anterior no quiere decir que hasta el momento de la publicación de la citada Ley, en México, no contáramos con normatividad específica en la materia de datos personales, y el Instituto Federal de Acceso a la Información jugó un papel importante en la regulación de la materia, por lo menos, en el sector público.

10. Sólo como referencia inmediata, ya que será abordado el tema de los niveles de seguridad en líneas subsecuentes, se puede definir al documento que contiene las medidas administrativas, físicas y técnicas de seguridad aplicables a los sistemas de datos personales (lineamiento trigésimo tercero de los Lineamientos de Protección de Datos Personales).

11. Solicitud relacionada con el folio 0000400074010.

12 Se trata de un sistema del Instituto Federal de Acceso a la Información y Protección de Datos que busca la actualización del listado de los sistemas de datos personales en poder de los organismos públicos.

13. Solicitud de información relacionada con el folio 0673800052710.

14. El artículo 20, fracción II de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, considera el principio de pertinencia, al señalar que para el tratamiento de los datos personales, es necesario que éstos sean “… adecuado, pertinentes y no excesivos en relación con los propósitos para los cuales hayan obtenidos…”, así mismo, el principio de información, se localiza en la fracción III, que señala la obligación de poner “… a disposición de los individuos, a partir del momento en el cual se recaben datos personales…”, el principio de exactitud se encuentra en la fracción IV y V, y el de seguridad, en la fracción VI, que obliga a los sujetos obligado a adoptar las medidas necesarias para garantizar la seguridad de los datos personales que traten.

15. Visibles en el 5 de agosto de 2010, en la siguiente dirección electrónica: http://www.ifai.org.mx/SectorPublico/normatividad

16. En términos del lineamiento Cuarto de los Lineamientos de Protección de Datos Personales, los sistemas de datos personales son el conjunto “… de datos ordenados de datos personales que estén en posesión de una dependencia o entidad, con independencia de su forma de acceso, creación, almacenamiento u organización…”

17. Visible en: http://www.ifai.org.mx/SectorPublico/normatividad (5 de agosto de 2010).

18. Instituto Federal de Acceso a la Información y Protección de Datos Personales, “Recomendaciones sobre Medidas de Seguridad Aplicables a los Sistemas de Datos Personales”, pag. 4, México D.F., 2005.

19. El Sistema “Persona”, en términos del lineamiento tercero, fracción III de los Lineamientos de Protección de Datos Personales, se puede definir como la aplicación “… informática desarrollada por el Instituto para mantener actualizado el listado de los sistemas de datos personales que posean las dependencias y entidades para registrar e informar sobre las transmisiones, modificaciones y cancelaciones de los mismo…”

20. Instituto Federal de Acceso a la Información y Protección de Datos Personales, oficio número: IFAI/SA-DGCDP/040/10, fechado el 21 de abril de 2010, pag. 6.

21. Instituto Federal de Acceso a la Información y Protección de Datos Personales, Op cit., pág. 6.

22. Visible el 6 de agosto de 2010 en: http://www.renaut.gob.mx/RENAUT/?page=alta_curp.

Multa el IFAI a cuatro empresas y a un médico por $21.6 MDP

ifai_2

Por Joel Gómez Treviño

El 16 de junio el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) comunicó a través de un boletín de prensa que ha impuesto multas por más de $21 millones de pesos, tanto a personas físicas como morales, por infracciones a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Mucha gente tal vez esté cansada por tantas notas sobre esta materia, mientras otro segmento importante de la comunidad cree que esta ley es decorativa o “letra muerta”. Algunos, los más escépticos, decían “esa ley no tiene futuro, nunca se va a aplicar”. Para sorpresa de todos, la ley que regula la protección de datos personales está más viva que nunca y las continuas advertencias o alertas de los especialistas no han sido en vano.

Veamos a continuación por qué Farmacias San Pablo, Sport City, Caja Popular Cristo Rey, Banamex y un médico han sido multados por el IFAI.

Pharma Plus, S.A. de C.V. (Farmacias San Pablo)
¿De dónde derivó la multa? De un Procedimiento de Verificación con motivo de una denuncia de un particular, lo que llevó a un Procedimiento de Imposición de Sanciones.
¿Cuáles fueron las multas y los motivos que las originaron? IFAI impuso dos multas a Pharma Plus por un total de $2,000,045.04 pesos:
$1,500,033.78 por no proporcionar información sobre el tratamiento a que serían sometidos los datos personales que recaba de sus clientes (contraviniendo el principio de información).
$500,011.26 por omitir el elemento de identidad en su aviso de privacidad (aparecía nombre comercial en lugar de razón social).

Sport City, S.A. de C.V.
¿De dónde derivó la multa? De un Procedimiento de Verificación con motivo de una denuncia de un particular, lo que llevó a un Procedimiento de Imposición de Sanciones.
¿Cuáles fueron las multas y los motivos que las originaron? IFAI impuso una multa a Sport City por un total de $1,246,600.00 pesos:
Por omitir algunos de los elementos del Aviso de Privacidad (no señaló a través de qué medios los titulares de los datos podrán limitar el uso o divulgación de sus datos).

Caja Popular Cristo Rey, S.C. de R.L. de C.V.
¿De dónde derivó la multa? De un Procedimiento de Verificación con motivo de una denuncia de un particular, lo que llevó a un Procedimiento de Imposición de Sanciones.
¿Cuáles fueron las multas y los motivos que las originaron? IFAI impuso a Caja Popular Cristo Rey tres multas por un total de: $2,181,550.00 pesos:
$545,387.50 pesos por no poner a disposición de los titulares el Aviso de Privacidad.
$779,125.00 pesos por no recabar el consentimiento para el tratamiento de datos financieros.
$857,037.50 pesos por no contar con una persona o departamento de privacidad, ni con un procedimiento para dar atención a las solicitudes de derechos ARCO.

Banco Nacional de México, S.A. integrante del Grupo Financiero BANAMEX
¿De dónde derivó la multa? De un Procedimiento de Protección de Derechos iniciado por un particular, lo que llevó a un Procedimiento de Imposición de Sanciones.
¿Cuáles fueron las multas y los motivos que las originaron? IFAI impuso cinco multas a BANAMEX por un total de $16,155,936.00 pesos:
$2,493,200.00 pesos porque Banamex fue negligente en el trámite de la solicitud de cancelación y oposición que le había presentado el titular de los datos.
$1,196,736.00 porque Banamex dejó de observar lo preceptuado por el principio de finalidad al continuar tratando los datos cuando el fin por el cual fueron recabados se había agotado.
$2,493,200.00 por no efectuar la cancelación de los datos cuando la misma resultaba procedente.
$4,986,400.00 pesos por continuar en el tratamiento ilegítimo de los datos del titular.
$4’986,400.00 pesos porque Banamex impidió el ejercicio de los derechos de cancelación y oposición del titular.

MÉDICO PARTICULAR (no se reveló el nombre)
Multa impuesta por el IFAI a un médico por $41,874.00 pesos, por haber transferido datos personales sensibles de alguno de sus pacientes, sin contar con el consentimiento del titular, y por no haber señalado expresamente en su Aviso de Privacidad las opciones y medios que ofrecía para limitar el uso o divulgación de los mismos.

Esta última multa viene a romper un mito muy importante, pues muchos profesionistas pensaban que esta regulación no les aplicaba. Todos los profesionales independientes que tenemos bases de datos estamos obligados a cumplir con la ley. No importa si eres abogado, notario, doctor, dentista, contador, asesor financiero, licenciado, chef o ingeniero, todos estamos obligados a cumplir con la ley.

Es importante entender los conceptos de violación a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares para entender qué es lo que nos puede generar una multa. Si bien estos que acabamos de ver no son todos los conceptos de violación que marca la ley, al menos nos damos una buena idea de cómo evitarnos problemas con el IFAI (y los titulares desde luego).

Estimado lector, no tomes a la ligera este tema, una multa de estas proporciones puede traer graves impactos a tu negocio, no solo económicos sino de credibilidad con tus clientes actuales y potenciales.

Publicado por el autor en Merca2.0.

Cómo perder tu cuenta de Twitter en unos cuantos pasos

twitter

Por Joel Gómez Treviño

Con el paso del tiempo las cuentas de Twitter han adquirido un valor especial, tanto para personas físicas como para personas morales (instituciones, empresas y sus productos). Los expertos en social media han desarrollado estrategias a veces agresivas, que en conjunto con aplicaciones desarrolladas para administrar redes sociales, pueden poner en riesgo tu presencia en Twitter. Además, ciertos usos abusivos o ilegales pueden también provocar la pérdida de tu cuenta.

Existen muy diversas razones por la que tu cuenta de Twitter puede ser suspendida de manera temporal o inclusive permanentemente. Veamos a continuación la lista de acciones o usos que podrían causar tu despedida forzosa de esta red social:

Usurpar identidad.- No puedes suplantar a terceros a través de Twitter de una manera en que se busque engañar, confundir o engañar a los demás. Tu cuenta no será suspendida si el perfil indica claramente que no estás afiliado con o conectado a alguna de las personas con nombres similares. Los usuarios de Twitter pueden crear cuentas de parodia, comentarios o de fans, si establecen claramente en el nombre, en la cuenta y en la biografía que NO es la cuenta real del personaje, sino una cuenta de parodia, fans o similar.

Violación de marcas.- Twitter se reserva el derecho de recuperar los nombres de usuario en nombre de las empresas o individuos que tienen derecho o una marca comercial en dichos nombres de usuario. Las cuentas que utilicen nombres comerciales y/o signos distintivos (logotipos) para engañar a otros pueden ser suspendidas de forma permanente.

Información privada.- No puedes publicar información privada o confidencial de terceros, tal como números de tarjeta de crédito, domicilio, números de identidad nacional (IFE, Pasaporte, etc.), sin la autorización y permiso expreso de los titulares de dicha información.

Violencia y amenazas.- No puedes publicar amenazas de violencia directa o específica en contra de terceros.

Derechos de autor.- Twitter actuará ante cualquier notificación clara y completa sobre supuestas violaciones a derechos de autor, tal como lo establecen sus Términos de Servicio.

Uso ilegal.- No puedes usar Twitter para cualquier propósito ilegal o para promover la realización de actividades ilegales. Usuarios internacionales (fuera de Estados Unidos) deben cumplir con todas las leyes locales relacionadas con conductas en internet y contenido aceptable.

A excepción del último punto, todos los anteriores tienen una política especial (términos y condiciones) que regula específicamente dicha actividad, contemplando regularmente usos permitidos, usos prohibidos y causales de terminación permanente de la cuenta de Twitter.

Conductas abusivas o nocivas como las siguientes implicarán la suspensión definitiva de tu cuenta en Twitter:

Cuentas seriales.- No puedes crear varias cuentas para propósitos perjudiciales o abusivos, o para casos de superposición o coincidencia. La creación masiva de cuentas puede resultar en la suspensión de todas las cuentas relacionadas.

Secuestro de nombres de usuario.- Usted no puede participar en el secuestro de nombres de usuario. Las cuentas que han estado inactivas por más de seis meses también pueden ser removidas sin previo aviso. Algunos de los factores que Twitter toma en cuenta para determinar qué conducta se considera como secuestro de nombres de usuario son: (a) el número de cuentas creadas; (b) la creación de cuentas con el fin de impedir que otros utilicen los nombres de las cuentas; (c) la creación de cuentas con el fin de vender las cuentas; y (d) utilizar fuentes de contenido de terceros para actualizar y mantener cuentas con los nombres de los terceros.

Invitaciones de Spam.- No puedes utilizar la libreta de direcciones de importación de contactos de Twitter para enviar reiteradamente invitaciones masivas.

Compra o venta de nombres de usuario.- No puedes comprar o vender nombres de usuario de Twitter.

Malware / Phishing.- No puedes publicar o enviar enlaces con contenidos maliciosos con la intención de dañar o alterar el navegador de otro usuario, su computadora o poner en peligro la privacidad de otros usuarios.

Spam.- No puedes usar el servicio de Twitter con fines de spamming. Lo que constituye “spamming” evolucionará a medida que Twitter responde a los nuevos trucos y tácticas de los spammers. Algunos de los factores que Twitter toma en cuenta para determinar qué conducta se considera como spam son: (a) Si has seguido y/o dejado de seguir grandes cantidades de usuarios en un corto período de tiempo, sobre todo por medios automatizados; (b) Si continuamente sigues y dejas de seguir a las personas, ya sea para construir seguidores o para reunir más atención a tu perfil; (c) si tus tweets son principalmente enlaces y no actualizaciones personales; (d) si publicas contenido duplicado en múltiples cuentas o múltiples actualizaciones duplicadas en una cuenta; o (e) cualquier otra táctica que busque de manera reiterada atraer atención a un servicio o a un enlace (muchos tweets duplicados con RT’s o menciones, agregar muchos usuarios a una lista, hacer tweets favoritos de manera agresiva, publicar enlaces engañosos, etc.)

La recomendación para las empresas que contraten Community Managers o Social Media Experts es la siguiente: tengan mucho cuidado con la selección de los mismos, hay que incluir en su contrato la obligación de actuar siempre conforme a las reglas de Twitter y cumpliendo siempre con la normatividad vigente en México. También deberán asumir las consecuencias legales de sus actos, incluyendo posiblemente una cláusula penal (pago de una sanción económica) en caso de que sus acciones u omisiones generen algún perjuicio a la reputación de la empresa o la suspensión temporal o definitiva de sus cuentas en redes sociales.

La moraleja para los Community Managers o Social Media Experts es la siguiente: no por mucho madrugar amanece más temprano. Eviten tácticas mañosas, abusivas o de dudosa reputación para hacer crecer la base de seguidores de sus clientes. Eviten en lado oscuro de la fuerza. Y lo más importante, por favor ¡no me odien por las recomendaciones que acabo de dar a sus clientes en el párrafo anterior!

Riesgos Legales: Cómputo en la Nube

nubePor Joel Gómez Treviño

En el “Cloud Computing” los usuarios pueden acceder a los servicios disponibles en la nube de Internet sin ser expertos en la gestión de los recursos que usan. En este esquema de servicios informáticos la información se almacena de manera permanente en servidores en Internet. Los ejemplos más simples de cómputo en la nube son: GoogleDocs, Dropbox, Picasa, etc. Los usuarios almacenan todo tipo de documentos y archivos (y acceden a ellos) en internet. Desde luego que existen aplicaciones profesionales para un uso corporativo o de negocios de estos servicios informáticos.

Con este fenómeno informático surgen muchas dudas y riesgos en el ámbito legal. Algunos de ellos son los siguientes:

Sub-contrantes (outsourcing en la nube). ¿Bajo qué condiciones el proveedor puede subcontratar partes del servicio de computación en nube? Puede usted estar negociando con “súper empresas”, con una extraordinaria reputación en el mercado… de esas que usted no podría concebir una falla sustancial en el servicio. ¿Pero qué pasa si esas empresas sub-contratan parte de los servicios en la nube? ¿Los sub-contratistas se obligarán con el contratista en los mismos términos y condiciones en que lo hizo con usted? ¿Tendrán los sub-contratistas los mismos niveles de seguridad, confidencialidad y de servicio (SLA) que la empresa con quien usted está contratando?

Transferencia y/o Borrado de la información. Durante el noviazgo todo es color de rosa, pero… ¿qué pasa si te divorcias de tu proveedor de cómputo en la nube? ¿Cómo operará la transferencia de tu información… en el plano físico, electrónico o en ambos? ¿Estará tu proveedor actual obligado a colaborar en el proceso de transferencia con otro proveedor? Sabemos que es práctica común en la industria de IT el hacer respaldos de la información. Una vez que termines la relación con tu proveedor, ¿qué garantías tienes de que realmente no se quedó con una copia de tu información? ¿Presenciaste o auditaste el proceso de eliminado electrónico (confiable) de tu información?

Ubicación de la información. Una de las características principales de los servicios de cómputo en la nube, es la flexibilidad con que se pueden brindar (“bajo demanda”), diseñando casi un traje a la medida para cada cliente. Parte de esa flexibilidad implica que el proveedor podrá decidir en cualquier momento dónde o en qué servidores podrá estar tratando y almacenando su información. ¿Qué sucede si su proveedor hoy tiene su información en servidores mexicanos, pero mañana decide moverlos a un servidor estadounidense, europeo o asiático? En el terreno legal, un lugar físico significa jurisdicción. Si su información está en un servidor Alemán, probablemente estará sujeta a las leyes alemanas. Autoridades extranjeras podrían no solo auditar, sino eventualmente “confiscar” su información, ante un incumplimiento de leyes locales. El proveedor debe obligarse a no transferir la información a otros países, sin el previo consentimiento del cliente.

Protección de datos personales. Este es un tema íntimamente ligado al anterior. Solo como ejemplo, la Unión Europea tiene los más altos estándares en materia de protección de datos personales, mientras los Estados Unidos tiene un modelo sectorial flexible y poco riguroso (comparado con el estándar europeo). México ya cuenta con una

Ley Federal de Protección de Datos Personales en Posesión de Particulares. El tratamiento de datos personales en bases de datos es cada vez más sensible y está tremendamente fiscalizado en muchos países. Si usted no adopta las medidas contractuales necesarias, podría toparse con un serio problema no deseado.

Pérdida de la información. Ante un escenario trágico de pérdida de su información por negligencia, culpa o dolo de su proveedor, ¿cuáles son los recursos legales que usted dispone? ¿Hay penas convencionales o pago daños y perjuicios? ¿Existe en el contrato algún límite de responsabilidad para el proveedor?

Medidas de seguridad de la información. ¿Está encriptada? ¿Libre de virus / spyware? ¿Es segura la transferencia o solo el almacenamiento? ¿Tiene su proveedor un Plan de Recuperación en Caso de Desastre (DRP) o BCP? No olvide obligar a su proveedor a revelarle cualquier incidente de seguridad que involucre sus datos, particularmente aquellos en que su información haya podido ser vulnerada, copiada o alterada por terceros no autorizados.

Auditorias. El usuario debe poder verificar que el proveedor está cumpliendo con lo pactado. Pudiere haber auditorias gubernamentales, en las que ambas partes deberán cooperar para salir bien librados de ellas.

Algunas leyes, como la de protección de datos personales, ya empiezan a regular el tema de cómputo en la nube. Por ahora, la manera más segura de hacer frente a este fenómeno es por la vía contractual. Lea bien los contratos de sus proveedores, y asegúrese de que su abogado entienda el tema.

Publicado por el autor en Merca2.0.