Publican procesos sobre infracciones en protección de datos personales

infracciones_peru

Por Cynthia Tellez Gutiérrez

La Autoridad Nacional de Protección de Datos Personales publica en su sitio web las resoluciones de 7 denuncias sobre protección de datos personales que ha resuelto desde el año 2013 hasta el presente año, con resoluciones que han determinado hasta notificaciones a otra autoridad homóloga en el extranjero.

Las personas pueden presentar su solicitud de procedimientos trilaterales de tutela mediante el cual pueden solicitar a la Autoridad Nacional de Protección de Datos Personales, Ministerio de Justicia y Derechos Humanos, la protección de sus derechos reconocidos en la Ley de Protección de Datos Personales (Ley PDP) y del ejercicio de este derecho a tutela se han expedido los casos a mencionar.

CASUÍSTICA

Durante la resolución de los casos publicados, la Autoridad ha establecido diversos criterios como considerar válidas las comunicaciones enviadas  por correo electrónico a los involucrados en el proceso  y otros de especial relevancia que se mencionan en las siguientes líneas.

Interceptaciones,  grabaciones de audios y el derecho al olvido. En caso de grabaciones no consentidas de conversaciones, podría considerarse una invasión a la intimidad de una persona, sin embargo  en caso de notas periodísticas como el del “afectado” que era una persona pública ( ex Ministro) deberá ponderarse este derecho con el de la libertad de expresión e interés público.  En un caso el diario “El Comercio” difundió un audio publicado en otro portal web pero  igual atendió la solicitud del retiro del audio, denuncia similar se atendió ante el diario “La República”. Las consideraciones de la resolución son muy similares al parámetro europeo sobre el Derecho al Olvido, en especial a atención del tiempo de publicación.

Datos publicados en internet. Entre las vulneraciones más reiterativas denunciadas por los ciudadanos está en la no atención a sus derechos ARCO, en especial la eliminación de sus datos personales en bancos de datos personales, en especial los que son accesibles a través de portales web.

En estos casos la Autoridad reafirma que las personas deben haber previamente reclamado al titular del banco de datos personales o al responsable del tratamiento de estos sus derechos a la protección de sus datos personales. En caso de grupos de correos como los de Yahoo, deberán realizarse el previo reclamo ante quien figure como propietario de este.

Plazos de atención al usuario. En todos los casos para la atención de derechos reconocidos en la Ley PDP, se aplicarán los plazos establecidos en su Reglamento por tratarse de una norma específica. En este caso la empresa Claro invocó Directiva sobre atención a usuarios de telecomunicaciones para brindar respuestas a reclamos de sus usuarios, la Autoridad recalcó la aplicación de la Ley PDP por principio de especialidad

Ámbito territorial. En caso de empresa de anuncios en web cuya dirección IP es de Alemania, y no se encuentra registrada en SUNAT, la Autoridad no se encontró competente sobre ella y poner en conocimiento del hecho denunciado a la Autoridad alemana de datos a fin que esta dilucide su competencia en el caso, en caso similar solo indicó su incompetencia territorial sin tomar la medida de comunicación a la autoridad del país extranjero  correspondiente.

Abandono del proceso. La Autoridad ha declarado el abandono del proceso cuando se ha solicitado al reclamante la subsanación de un documento y este no lo ha realizado en el plazo legal previsto.

SANCIONES.

En ninguna de las resoluciones publicadas se ha establecido sanciones, dado que en la mayoría de los casos las empresas reclamadas atendieron la solicitud del reclamante durante el proceso y en otros porque la Autoridad no se declaró competente para resolver.

Resoluciones Directorales de procedimientos trilaterales de tutela.

Puede consultar el texto de estas en: http://www.minjus.gob.pe/resoluciones-directorales-dgpdp/

Publicado originariamente por la autora en Privacy Peru.

Diciembre, mes emblemático para Instituciones Financieras en protección de datos

bancos_mexicoPor Rodrigo Santisteban Maza

Diciembre de 2013, el Instituto Federal de Acceso a la Información y Protección de Datos ha resuelto dos asuntos que dejan un antecedente importante en la materia del Derecho Humano de Protección de Datos Personales, en este caso, en posesión del sector privado, en específico en poder del sector financiero de nuestro país.

El primer caso, deviene de la solicitud de protección de derechos interpuesto por un particular en contra de Scotiabank Inverlat, S.A. Institución de Banca Múltiple, en virtud de que dicha institución no dio atención dentro del plazo de los 20 días señalados en el artículo 32 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares,  a su solicitud de rectificación.

Dicho caso, a pesar de que fue sobreseído por el órgano garante en virtud de quedarse sin materia el procedimiento; destaca por dos grandes elementos, el primero de estos elementos reside en uno de los alegatos dados por el grupo de abogados de dicha institución financiera, al señalar que el procedimiento de protección de derechos era improcedente por competencia del Instituto Federal de Acceso a la Información y Protección de Datos.

El argumento central de esa incompetencia radicó en el señalamiento que:

“… Resulta incompetente para conocer de la presente solicitud el Instituto Federal de Acceso a la Información y Protección de Datos […], toda vez que, la entidad competente para conocer del presente asunto es la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros…”[1]

Lo anterior, en virtud de que la controversia versa sobre una controversia entre un usuario financiero y el banco.

Al respecto, el Instituto Federal de Acceso a la Información y Protección de Datos en el Considerando Tercero de la resolución (PPD.0098/13),  después del análisis del artículo 38 de la Ley, que establece su obligación como órgano garante de la materia, de vigilar su observancia, y citar el artículo 2 de la LFPDPPP, determinó que el titular presentó su solicitud de rectificación de datos ante la institución financiera, que tiene el estatus de sujeto obligado o de responsable, ya que ésta es la que llevó a cabo el tratamiento de los datos personales.

Agregando, que el ejercicio del derecho de rectificación de datos personales, bajo el amparo de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, no implica, en ningún caso, que el titular de los datos personales se encuentre ejerciendo un derecho como usuario de los servicios financieros de nuestro país.

El segundo elemento que destaca del presente caso, y que a pesar de que no fue analizado a profundidad por el órgano garante, es la evidente inobservancia por parte de los funcionarios del Banco de un procedimiento interno para dar atención a las solicitudes presentadas al amparo de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y en los términos de su Aviso de Privacidad.

Al respecto el Instituto Federal de Acceso a la Información y Protección de Datos señaló:

“… que el Titular presentó su solicitud de ejercicio del derecho de rectificación de datos personales dirigida a la Unidad Especializadas de Aclaraciones (UNE) del Responsable, la cual, según el propio aviso, se encargaría de notificarla al Área de privacidad para su debido trámite, es claro que la referida solicitud fue presentada correctamente ante el Responsable en la forma y por los medios señalados en su aviso de privacidad, motivo por el cual se encontraba obligado a darle trámite y respuesta…”

Ahora bien, esta aparente omisión por parte de los funcionarios adscritos a la UNE del Banco, denota otra posible violación al principio de responsabilidad contemplado en el artículo 6 de la LFPDPPP y desarrollado en el artículo 48 del Reglamento que impone la obligación al Responsable de poner en práctica un programa de capacitación en la materia y sobre todo de los procesos implementados al interior para dar atención a las múltiples obligaciones que devienen de la citada Ley.

Por otro lado, el segundo caso resuelto en el mes de diciembre de 2013 por parte Instituto Federal de Acceso a la Información y Protección de Datos, es en virtud de una denuncia interpuesta por un particular en contra de BBVA Bancomer S.A., Institución de Banca Múltiple, que en resumen fue presentada en virtud de que dicha institución bancaria utilizó sus datos personales sin su consentimiento para tramitar servicios que no requirió, es decir, el trámite de una tarjeta de crédito.

El objeto y alcance de la denuncia, fue fijada por el IFAI, de la siguiente forma:

“… A efecto de constatar el cumplimiento de la LFPDPPP, se ordena el inicio del procedimiento de verificación a la Responsable, cuyo objeto y alcance está dirigido a: 1) verificar la adecuación del aviso de privacidad de la Responsable a la LFPDPPP; 2) verificar la manera en que recaba los datos personales de los titulares; 3) verificar que la Responsable obtenga el consentimiento de los titulares para tratar sus datos personales, de conformidad con el principio de consentimiento previsto en los artículo 8 de la LFPDPPP y 11 y 20 de su Reglamento; 3) [sic] verificar que el tratamiento de los datos personales que da la Responsable se apegue a la legislación en materia de protección de datos personales, en atención a los principios a que se refieren los artículo 6 de la LFPDPPP y 9 fracción I a VIII de su Reglamento…”[2]

En el desarrollo de la denuncia, BBVA Bancomer manifestó que el consentimiento del titular de los datos personales, deriva de una relación jurídica previa al tratamiento objeto de la denuncia –que a saber, el tratamiento consistió en el otorgamiento de una tarjeta de crédito-, y por lo expresado en los correo electrónicos enviados por el particular previamente, configurándose, a su criterio, el consentimiento tácito en virtud de que  el aviso de privacidad correspondiente se encontraba a su disposición  en los carteles o posters colocados en las sucursales, cajeros automáticos, líneas telefónicas, estados de cuenta y en su página de internet; añadiendo que, el titular no ejercito en ningún momento su oposición o revocación de su consentimiento y se le invitó a que conociera su aviso de privacidad mediante su estado de cuenta.

Para poder entender los alcances de la denuncia y la configuración de la violación de algunos principios contemplados en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, es necesario recordar los alcances del principio de información y algunas reglas que debemos observar al momento de recabar el consentimiento de los titulares de los datos personales.

El principio de información, implica la obligación que tienen todos los responsables de informar al titular de los datos personales, sobre la existencia y las principales características del tratamiento a que será sometido sus datos personales, así como las finalidades que se buscan con su obtención; dicho principio, se materializa con los avisos de privacidad,  que es definido por la fracción I, del  artículo 3 de la Ley, como:

“… Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales…”

Como podemos desprender de la anterior cita, por regla general el aviso de privacidad debe ser puesto a disposición del titular previo a  la recolección de sus datos personales, lo que supone que, el titular se encuentra físicamente ante el Responsable; pero cuando, esa información es obtenida por medios electrónicos, óptico, sonoro, visual, o cualquier otra tecnología, de forma inmediata el responsable deberá dar a conocer al titular de los datos personales:

  1. Su identidad y domicilio.
  2. La o las finalidades del tratamiento.
  3. La forma en que puede acceder al aviso de privacidad aplicable al caso[3].

Lo anterior, tiene una lógica muy básica, es evitar que el consentimiento que otorgue el titular de los datos personales, por el cual, nos permita dar tratamiento a su información, se encuentre viciado, ya que éste se debe obtener previo a que sea recabada.

El consentimiento, en términos de la Ley, puede ser manifestado de dos formas: tácito y expreso; este último, será requerido cuando se pretenda recabar datos financieros, patrimoniales, o sensibles, salvo que el tratamiento de los datos, encuadre en alguno de los supuestos establecidos en el artículo 10 de la LFPDPP.

Dentro de la información que fue proporcionada por el titular al responsable, se encuentra, entre otros datos:

Datos recabados Tipo de datos Medio de obtención

Numero de cuenta o tarjeta

Dato patrimonial y financiero

Correo electrónico

Número de cliente Dato financiero Indirecto (se obtiene al momento de ingresar el número de cuenta o tarjeta)
Copia de la credencial para votar expedida por el extinto Instituto Federal Electoral, ahora Instituto Nacional Electoral. Dato identificativo Correo electrónico
Registro Federal de Contribuyentes. Dato fiscal Correo electrónico
Ingreso mensual. Dato patrimonial No se puede determinar la forma de su obtención.

Como hemos señalado, cuando se obtienen datos personales de manera electrónica, como es el caso en concreto, existe la obligación del responsable de comunicar de manera inmediata al titular, su identidad, domicilio, finalidad y mecanismos por medio de los cuales puede conocer el aviso de privacidad; al respecto, el Instituto Federal de Acceso a la Información y Protección de Datos después de analizar las evidencias proporcionadas por las partes, pudo determinar que tal obligación no se vio cumplida por parte de BBVA Bancomer[4], violentando por ende, el principio de información.

Del cuadro anterior, podemos observar que BBVA Bancomer obtuvo diversos datos que requieren en términos de la Ley, la obtención del consentimiento expreso, al respecto, recordemos que uno de los argumentos vertidos por el responsable con respecto a este tema fue:

“… que cuenta con el consentimiento […], derivado de una relación jurídica [preexistente]…”[5].

El Instituto Federal de Acceso a la Información y Protección de Datos, después de analizar los documentos aportados por el Responsable, determinó que:

“… también se desprende que los datos requeridos a la denunciante, no tenían por finalidad cumplir con algún propósito concerniente a la relación jurídica a la que se refiere la Responsable, pues dicha relación a la fecha en que se solicitaron nuevos datos, ya se encontraba plenamente formalizada. En consecuencia, dicha circunstancia no eximía a la Responsable de recabar el consentimiento de la titular para dar tratamiento a los nuevos datos personales…”[6]

Lo que conllevó, a la violación por parte del Banco, del principio del consentimiento, en virtud de que no pudo demostrar fehacientemente su otorgamiento, y sobre todo, que éste hubiere sido otorgado de manera libre, específica e informado, y que hubiere sido inequívoco, es decir, que existan elementos que demuestren su otorgamiento y así se acredite ante el IFAI.

Al violentar ambos principios, a saber, el de información y consentimiento, automáticamente se configuró la violación de otro principio contemplado en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, que es el de licitud.

El principio de licitud, impone la obligación a los responsables de ajustar el tratamiento de los datos personales a lo previsto en la legislación mexicana, en el caso concreto, a la LFPDPPP.

Este caso, aún se encuentra en proceso, por así señalarlo, en virtud de que, a  raíz de ésta denuncia, se ha iniciado el procedimiento de imposición de sanciones contemplado en la Ley, tendremos que esperar unos meses más, para poder conocer a cuanto ascenderán estas infracciones.

En conclusión, podemos señalar que en ambos casos, se hubieren podido evitar sí, la fracción II del artículo 48 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, en virtud de que, si el personal que se encontró involucrado en los procesos hubiere recibido una capacitación constante y especializada en la materia, los riesgos de caer en estos supuestos se hubieren visto disminuido, o en el caso concreto de BBVA Bancomer, no tuviere que enfrentarse al proceso de imposición de sanciones, ya que, hubiere recolectado su ejecutiva(o) de cuenta el consentimiento expreso al inicio del proceso, previo disposición del Aviso de Privacidad.

Otro elemento destacable de ambas resoluciones, radica en que el tema del cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, no se circunscribe exclusivamente en la publicación del Aviso de Privacidad, sino que existe múltiples obligaciones que se deben de observar.

Un punto fundamental de la resolución contra BBVA Bancomer, consiste en que el consentimiento es necesario, a pesar de que exista una relación preexistente, cuando el titular de los datos personales y/o el responsable, persigan la formalización de una nueva relación, cuyo objeto directo o indirecto implique el tratamiento de los datos personales del primero.

[1] Resolución del Expediente PPD.0098/13,. p.p  17 y 18

[2] Resolución: ACT-PRIV/27/11/2013.03.02.01, pág. 8

[3] Artículos 16, 17 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares; y 27 de su Reglamento.

[4] Op. Cit. pág. 15

[5] Op. Cit. pág. 14

[6] Op. Cit. pág. 18

Modifican delito de tráfico de datos personales en Perú

datos_delito_peruPor Cynthia Téllez Gutiérrez

El delito de tráfico ilegal de datos personales ha sido modificado tres veces en menos de un año, con  la reciente modificación a la Ley de delitos informáticos se presenta nuevas condiciones empezando por su objeto de protección solo reducida a datos personales de personas naturales, en las siguientes líneas les comentamos estas nuevas reglas.

El día de hoy ha sido publicado la Ley 30171, Ley que modifica la Ley 30096, Ley de delitos informáticos y con ello se ha presentado una nueva reformulación al delito de “traficar” con información de las personas, tales como:

Nueva ubicación.

Creado este delito como una incorporación de nuevo delito informático en el código penal, luego derogado para ser trasladado como un delito en la Ley 30096, Ley de delitos informáticos, y en la modificación de esta norma se deroga el artículo que trataba el delito para retornarlo al código penal pera esta vez como un delito de violación a la intimidad, conservando su misma nominación

Los delitos por violación a la intimidad son proseguibles por acción privada, pero esta regla no será aplicada para este delito, dado que se ha realizada la excepción del caso en el artículo 158 del Código Penal.  Por tanto el delito seguirá siendo perseguible sea por acción privada, en este caso de los personas cuya información personal sea objetó de tráfico ilícito,  como por el titular del banco de datos, e incluso por oficio.

Datos personales – exclusividad

Las versiones anteriores protegían tanto los datos personales de las personas naturales como los datos de las persona jurídicas. El delito ha sido reformulado a la exclusiva protección de los datos personales de una persona natural, de manera especial a los referidos al ámbito de la esfera personal, familiar, patrimonial, laboral, financiera u otra de naturaleza análoga.

Comercializar  y vender

Las acciones a penalizar han sido reducidas a la comercialización y venta de información personal (ya no de base de datos) de manera ilegítima, así  ya no solo se castigará si es ilegal, sino si es considerado ilegítima la acción.

Recordemos que anteriormente incluso se castiga al que creaba una base de datos, incluso al facilitador.

Menos pena

Puede ser que la reducción de actos a castigar en el delito y del objeto a proteger haya incidido también a reducir la pena mínima, siendo la actual entre dos a cinco años, cuando antes la pena era de tres a cinco años.

modificacion_delito_peruPublicado por la autora en Privacy Peru.

Datacredito sancionado por violación del régimen de habeas data en Colombia

datacredito

Por Ivan Dario Marrugo Jimenez

Resultó llamativa entre el circulo de profesionales “encariñados” con la protección de datos personales en Colombia, la noticia anunciada por la Superintendencia de industria y comercio el pasado 25 de Octubre, en la que a través de la web de la entidad se advierte sobre la imposición de una sanción a la empresa Experian Computec S.A. – administrador de la central de riesgo Datacredito – suma que asciende a $412.650.000 equivalentes a 700 salarios mínimos.

Analizada la Resolución 62016 del 25 de Octubre de 2013, emanada de la dirección de investigaciones de protección de datos personales de la SIC, encontramos aspectos claves de aplicación de los principios en materia de protección de datos en Colombia. Basta advertir que dicho procedimiento sancionatorio por tratarse de información financiera y crediticia y de un operador de información financiera, sigue los derroteros de la Ley 1266 de 2008 y de hecho en ningún aparte de la resolución se menciona específicamente la Ley 1581 de 2012; no obstante, resulta oportuno mencionar que comienza a vislumbrarse un horizonte impregnado por la generalidad – y no la sectorización – de nuestro marco de protección de datos.

También ha venido a llamar la atención la motivación para la imposición de la sanción al operador Datacredito con relación al régimen de protección de datos personales, ya que la columna vertebral para la imposición de la multa consiste en la violación de los principios de circulación restringida, seguridad y el de confidencialidad. Lo anterior contrasta con las tradicionales sanciones impuestas a otras empresas del sector por errores “tradicionales” en la recolección del dato (fallas en la finalidad del tratamiento y/o falta de consentimiento) o en relacionados con la calidad del dato (Completitud del dato, actualización o rectificación); migrando por tanto a un escenario donde se discute, ahora sí, la naturaleza de las funciones que realizan los operadores de información y su observancia plena a un régimen que contempla una serie obligaciones no solo de medio sino de resultados, imponiendo por tanto un mayor deber de cuidado a quienes administran y operan bancos de datos.

Sin ahondar en los detalles facticos conviene establecer que a juicio de la SIC, Datacredito no observó los deberes contemplados en el Art. 7 de la Ley 1266, específicamente los contenidos en los numerales 3, 6 y 10 que están íntimamente ligados a los principios de Circulación restringida, seguridad y el de confidencialidad. Tales deberes se contraen básicamente a permitir únicamente el acceso a información personal a las personas que la ley permite, conservar con seguridad los registros almacenados para impedir su uso no autorizado y el deber de circular la información dentro de los parámetros de la ley.

Así las cosas quedó evidenciada la falta de observancia a los deberes en la actuación de Datacredito, al permitirse el acceso a información real de historias crediticias en las labores comerciales (El personal apoyaba sus ventas con el uso de demostraciones de cómo funcionan sus servicios) sin que se hubieran tomado medidas como la anonimización de los datos, lo que a juicio de la SIC representa un grave riesgo en materia de protección de datos personales.

Esto resulta de vital importancia, toda vez que mucho ha venido discutiéndose sobre el alcance en materia de imposición de sanciones a la luz de los principios de la Ley 1581 de 2012 y hace eco la decisión adoptada por la SIC en el presente caso, a las constantes advertencias que venimos lanzando, junto con otros profesionales del sector, sobre la necesidad de una verdadera implantación de una cultura de prevención en las organizaciones.

De momento se tiene un serio antecedente en materia de sanciones, sin embargo, falta un largo camino por recorrer en el proceso de maduración de nuestro sistema. El sector está a la espera de la expedición del decreto sobre Registro Nacional de las Bases de datos junto con el cual (no será en el mismo cuerpo normativo) deberán señalarse las medidas de seguridad esperadas de quienes tratan datos personales, lo que poco a poco ira cerrando el círculo sobre los empresarios y sujetos obligados como garantes de nuestra privacidad en un mundo cada vez más turbulento en esta materia.

IFAI impone multas por $24.8mdp a Telcel, Universidad Intercontinental y Tarjetas Banamex

banamex

Por Joel Gómez Treviño

En actuaciones que siguen sorprendiendo a la industria, el Instituto Federal de Acceso a la Información y Protección de Datos Personales (IFAI) recientemente ha publicado en su portal diversas multas por violaciones en materia de datos personales impuestas a:

  • Universidad Intercontinental –UIC– (7 multas en dos procedimientos que suman $8,725,750).
  • Radiomovil Dipsa –TELCEL– (2 multas que suman $6,264,165).
  • Tarjetas Banamex –BANAMEX– (4 multas que suman $9,848,140).

Resulta el hecho más notorio el relacionado con la Universidad Intercontinental. Durante los meses de junio a septiembre de 2011 el afectado tomó terapia psicológica en el Centro Universitario de Salud Mental Área de Psicoterapia Psicoanalítica de la citada universidad. Durante las sesiones el titular de los datos reveló temas relacionados con la esfera más íntima de su persona, respecto a su vida familiar, amigos, trabajo, compañeros de trabajo, sexual, así como buenas y malas experiencias de su infancia. Un año después de haber finalizado las terapias, la esposa del afectado se encontró en Google la transcripción completa de todas y cada una de las sesiones tomadas en la UIC, publicadas en el sitio “scribd.com”. Ello implicaba que el titular fue grabado (sin su consentimiento) para que posteriormente pudiesen transcribir dichas sesiones. Al tratarse de datos personales sensibles los que estuvieron involucrados en estos malos manejos, las multas fueron considerables.

No menos importante fue el caso de TELCEL. El IFAI informó que sin autorización del titular, Radiomovil Dipsa accedió a cuatro de sus contactos (ubicados en su teléfono celular), a quienes hizo llamadas y envió mensajes para conocer el nombre, número de celular y número de cuenta del cliente, a fin de ponerlos al tanto del adeudo y gestionar por medio de ellos la cobranza del servicio.

También relacionado con asuntos de cobranza es el caso de BANAMEX. El IFAI recibió la denuncia de un particular contra Tarjetas Banamex, argumentando que la empresa entregó sus datos personales a un despacho jurídico, el cual hablaba por teléfono al particular para reclamar adeudos de otra persona. La institución bancaria se había comprometido a cesar las llamadas telefónicas de cobranza, sin embargo, no cumplió.

Pese a que otra empresa del grupo Banamex había sido multado con anterioridad por el monto más grande que ha fincado el IFAI ($16,155,936), en esta ocasión la institución bancaria vuelve a incumplir con la ley. Sin duda Banamex confía en su equipo legal, pues ya anunció que promoverá  una demanda de nulidad para evadir estas multas.

Las razones específicas que motivaron al IFAI a imponer estas multas son las siguientes:

UIC Universidad Intercontinental, A.C. (PS.0011/13)

$1,246,600 pesos por dar tratamiento a los datos personales en contravención a los principios establecidos en la presente Ley.

$934,500 pesos por omitir en el aviso de privacidad, alguno o todos los elementos a que se refiere el artículo 16 de esta Ley.

$1,558,250 pesos por incumplir el deber de confidencialidad establecido en el artículo 21 de esta Ley.

$1,558,250 pesos por tratarse de datos personales sensibles, la multa anterior se incrementó en un 100%.

Radiomovil Dipsa, S.A. de C.V. (PS.0009/13)

$3,272,325 pesos por incumplir el deber de confidencialidad establecido en el artículo 21 de esta Ley.

$2,991,840 pesos por cambiar sustancialmente la finalidad originaria del tratamiento de los datos, sin observar lo dispuesto por el artículo 12 (El tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas en el aviso de privacidad).

UIC Universidad Intercontinental, A.C. (PS.0008/13)

$934,950 pesos al evidenciar el dolo en la tramitación de la solicitud de acceso y cancelación de los datos personales y datos personales sensibles del Titular.

$1,246,600 pesos por no efectuar la cancelación de los datos personales y datos personales sensibles que legalmente procedan cuando resulten afectados los derechos del Titular.

$1,246,600 pesos por tratarse de datos personales sensibles, la multa anterior se incrementa en un 100%.

Tarjetas Banamex, S.A. de C.V., SOFOM, E.R. (PS.0007/13)

$1,495,920 pesos por dar tratamiento a los datos personales en contravención a los principios establecidos en la presente Ley.

$1,246,600 pesos por mantener datos personales inexactos cuando resulte imputable al responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de los titulares.

$3,490,480 pesos por obstruir los actos de verificación de la autoridad.

$3,615,140 pesos por continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del mismo por el Instituto o los titulares.

Estimado lector, ¿sigues pensando que no hay nada de qué preocuparse en esta materia? A la fecha el IFAI ha impuesto multas por un total de $48,957,260 pesos por incumplimiento a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Recuerda que tener tus Avisos de Privacidad ¡no es suficiente! Son muchas las obligaciones que hay que cumplir en esta materia. Más vale prevenir que lamentar.

Multa el IFAI a Oceánica con $2.5 MDP por obstruir el procedimiento de verificación

ai_sancionesPor Joel Gómez Treviño

Una nota periodística del 18 de mayo de 2011 reveló que Oceánica dejó al descubierto los datos de una persona que había sido paciente en sus instalaciones. El IFAI solicitó en dos ocasiones durante el año 2011 a la empresa un informe relacionado con dicha publicación, pero no atendió ninguno de ellos. Por esta omisión, el IFAI ordenó una visita de verificación a Oceánica.

Cuando el personal del Instituto se presentó al domicilio de Operadora Oceánica Internacional en Mazatlán Sinaloa, no le dieron las facilidades correspondientes y personal de esta institución le negó el acceso al inmueble, obstruyendo con ello los actos de verificación de la autoridad.

Debido a este impedimento deliberado por parte de Oceánica, el Pleno del IFAI decidió el 21 de marzo de 2012 el inicio de un Procedimiento de Imposición de Sanciones, de conformidad con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Como era de esperarse, Oceánica presentó un juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa, autoridad que el 8 de abril de 2013 dictó sentencia definitiva en contra de esta empresa.

Con esta sentencia, se dio continuidad al procedimiento en contra de Operadora Oceánica Internacional el cual quedó resuelto con la imposición de una multa de $2,493,200 pesos, por la obstrucción del procedimiento de verificación previsto en la ley de la materia.

Esto se suma a las sanciones previas del IFAI en contra de las siguientes empresas y particulares:

Pharma Plus, S.A. de C.V. (Farmacias San Pablo)

¿De dónde derivó la multa? De un Procedimiento de Verificación con motivo de una denuncia de un particular, lo que llevó a un Procedimiento de Imposición de Sanciones.

¿Cuáles fueron las multas y los motivos que las originaron? IFAI impuso dos multas a Pharma Plus por un total de $2,000,045.04 pesos:

  • $1,500,033.78 por no proporcionar información sobre el tratamiento a que serían sometidos los datos personales que recaba de sus clientes (contraviniendo el principio de información).
  • $500,011.26 por omitir el elemento de identidad en su aviso de privacidad (aparecía nombre comercial en lugar de razón social).

Sport City, S.A. de C.V.

¿De dónde derivó la multa? De un Procedimiento de Verificación con motivo de una denuncia de un particular, lo que llevó a un Procedimiento de Imposición de Sanciones.

¿Cuáles fueron las multas y los motivos que las originaron? IFAI impuso una multa a Sport City por un total de $1,246,600.00 pesos:

  • Por omitir algunos de los elementos del Aviso de Privacidad (no señaló a través de qué medios los titulares de los datos podrán limitar el uso o divulgación de sus datos).

Caja Popular Cristo Rey, S.C. de R.L. de C.V.

¿De dónde derivó la multa? De un Procedimiento de Verificación con motivo de una denuncia de un particular, lo que llevó a un Procedimiento de Imposición de Sanciones.

¿Cuáles fueron las multas y los motivos que las originaron? IFAI impuso a Caja Popular Cristo Rey tres multas por un total de: $2,181,550.00 pesos:

  • $545,387.50 pesos por no poner a disposición de los titulares el Aviso de Privacidad.
  • $779,125.00 pesos por no recabar el consentimiento para el tratamiento de datos financieros.
  • $857,037.50 pesos por no contar con una persona o departamento de privacidad, ni con un procedimiento para dar atención a las solicitudes de derechos ARCO.

Banco Nacional de México, S.A. integrante del Grupo Financiero. BANAMEX.

¿De dónde derivó la multa? De un Procedimiento de Protección de Derechos iniciado por un particular, lo que llevó a un Procedimiento de Imposición de Sanciones.

¿Cuáles fueron las multas y los motivos que las originaron? IFAI impuso cinco multas a BANAMEX por un total de $16,155,936.00 pesos:

  • $2,493,200.00 pesos porque Banamex fue negligente en el trámite de la solicitud de cancelación y oposición que le había presentado el titular de los datos.
  • $1,196,736.00 porque Banamex dejó de observar lo preceptuado por el principio de finalidad al continuar tratando los datos cuando el fin por el cual fueron recabados se había agotado.
  • $2,493,200.00 por no efectuar la cancelación de los datos cuando la misma resultaba procedente.
  • $4,986,400.00 pesos por continuar en el tratamiento ilegítimo de los datos del titular.
  • $4,986,400.00 pesos porque Banamex impidió el ejercicio de los derechos de cancelación y oposición del titular.

Médico particular (no se reveló el nombre).

Multa impuesta por el IFAI a un médico por $41,874.00 pesos, por haber transferido datos personales sensibles de alguno de sus pacientes, sin contar con el consentimiento del titular, y por no haber señalado expresamente en su Aviso de Privacidad las opciones y medios que ofrecía para limitar el uso o divulgación de los mismos.

El tráfico ilegal de datos en el Código Penal peruano

cp_peru

Por Daniel A. López Carballo

La aprobación de la Ley N° 30076 en Perú, introduce importantes modificaciones al Código Penal, el Código Procesal Penal, Código de Ejecución Penal y al Código de los Niños y Adolescentes.

Entre las modificaciones reseñables, cabe destacar, la introducción del artículo 207-D en el Código Penal peruano, mediante el que se tipifica el tráfico ilegal de datos, conforme al cual, “el que, crea, ingresa o utiliza indebidamente una base de datos sobre una persona natural o jurídica, identificada o identificable, para comercializar, traficar, vender, promover, favorecer o facilitar información relativa a cualquier ámbito de la esfera personal, familiar, patrimonial, laboral, financiera u otro de naturaleza análoga, creando o no perjuicio, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años”.

Según el Congresista Jaime Delgado, autor de la iniciativa, “con esta ley el tráfico ilícito de bases de datos y datos personales se convierte en un delito especial. Por tanto, aquellos que utilicen sin consentimiento del titular información relativa a cualquier ámbito de la esfera personal, familiar, patrimonial, laboral, financiera, … para traficar con ella, podrá ir preso hasta por cinco años”.

La Ley 29733 de Protección de Datos Personales, recoge en su artículo 4 el principio de legalidad “el tratamiento de los datos personales se hace conforme a lo establecido en la ley”. Se prohíbe la recopilación de los datos personales por medios fraudulentos, desleales o ilícitos”, reconociendo la misma norma que “el tratamiento de datos personales debe realizarse con pleno respeto de los derechos fundamentales de sus titulares y de los derechos que esta Ley les confiere. Igual regla rige para su utilización por terceros”.

La propia Ley considera como infracciones muy graves “dar tratamiento a los datos personales contraviniendo los principios establecidos en la presente Ley o incumpliendo sus demás disposiciones o las de su Reglamento, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales”, “crear, modificar, cancelar o mantener bancos de datos personales sin cumplir con lo establecido por la presente Ley o su reglamento”, “no cesar en el tratamiento ilícito de datos personales, cuando existiese un previo requerimiento de la Autoridad Nacional de Protección de Datos Personales para ello”, entre otras.

La medida sin duda va encaminada a reforzar la seguridad de los ciudadanos con respecto a su información, complementando las sanciones administrativas contempladas en la legislación peruana en protección de datos, junto con penas privativas de libertad de entre tres y cinco años. Una correcta protección de la intimidad, el honor y la privacidad de las personas, debe completarse con medidas penales, que persigan nuevos tipos delictivos y que se adapten a los nuevos tiempos, nuevos tipos de delincuencia y de conductas delictivas, y a las nuevas tecnologías, este esfuerzo del legislador peruano, debe completarse con una acción global de todos los países, en los tiempos actuales, los flujos de datos, el auge de Internet y las transferencias internacionales de datos, así como tratamientos transfronterizos, requieren una respuesta conjunta en aras una defensa común de los derechos de las personas.

Multa el IFAI a cuatro empresas y a un médico por $21.6 MDP

ifai_2

Por Joel Gómez Treviño

El 16 de junio el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) comunicó a través de un boletín de prensa que ha impuesto multas por más de $21 millones de pesos, tanto a personas físicas como morales, por infracciones a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Mucha gente tal vez esté cansada por tantas notas sobre esta materia, mientras otro segmento importante de la comunidad cree que esta ley es decorativa o “letra muerta”. Algunos, los más escépticos, decían “esa ley no tiene futuro, nunca se va a aplicar”. Para sorpresa de todos, la ley que regula la protección de datos personales está más viva que nunca y las continuas advertencias o alertas de los especialistas no han sido en vano.

Veamos a continuación por qué Farmacias San Pablo, Sport City, Caja Popular Cristo Rey, Banamex y un médico han sido multados por el IFAI.

Pharma Plus, S.A. de C.V. (Farmacias San Pablo)
¿De dónde derivó la multa? De un Procedimiento de Verificación con motivo de una denuncia de un particular, lo que llevó a un Procedimiento de Imposición de Sanciones.
¿Cuáles fueron las multas y los motivos que las originaron? IFAI impuso dos multas a Pharma Plus por un total de $2,000,045.04 pesos:
$1,500,033.78 por no proporcionar información sobre el tratamiento a que serían sometidos los datos personales que recaba de sus clientes (contraviniendo el principio de información).
$500,011.26 por omitir el elemento de identidad en su aviso de privacidad (aparecía nombre comercial en lugar de razón social).

Sport City, S.A. de C.V.
¿De dónde derivó la multa? De un Procedimiento de Verificación con motivo de una denuncia de un particular, lo que llevó a un Procedimiento de Imposición de Sanciones.
¿Cuáles fueron las multas y los motivos que las originaron? IFAI impuso una multa a Sport City por un total de $1,246,600.00 pesos:
Por omitir algunos de los elementos del Aviso de Privacidad (no señaló a través de qué medios los titulares de los datos podrán limitar el uso o divulgación de sus datos).

Caja Popular Cristo Rey, S.C. de R.L. de C.V.
¿De dónde derivó la multa? De un Procedimiento de Verificación con motivo de una denuncia de un particular, lo que llevó a un Procedimiento de Imposición de Sanciones.
¿Cuáles fueron las multas y los motivos que las originaron? IFAI impuso a Caja Popular Cristo Rey tres multas por un total de: $2,181,550.00 pesos:
$545,387.50 pesos por no poner a disposición de los titulares el Aviso de Privacidad.
$779,125.00 pesos por no recabar el consentimiento para el tratamiento de datos financieros.
$857,037.50 pesos por no contar con una persona o departamento de privacidad, ni con un procedimiento para dar atención a las solicitudes de derechos ARCO.

Banco Nacional de México, S.A. integrante del Grupo Financiero BANAMEX
¿De dónde derivó la multa? De un Procedimiento de Protección de Derechos iniciado por un particular, lo que llevó a un Procedimiento de Imposición de Sanciones.
¿Cuáles fueron las multas y los motivos que las originaron? IFAI impuso cinco multas a BANAMEX por un total de $16,155,936.00 pesos:
$2,493,200.00 pesos porque Banamex fue negligente en el trámite de la solicitud de cancelación y oposición que le había presentado el titular de los datos.
$1,196,736.00 porque Banamex dejó de observar lo preceptuado por el principio de finalidad al continuar tratando los datos cuando el fin por el cual fueron recabados se había agotado.
$2,493,200.00 por no efectuar la cancelación de los datos cuando la misma resultaba procedente.
$4,986,400.00 pesos por continuar en el tratamiento ilegítimo de los datos del titular.
$4’986,400.00 pesos porque Banamex impidió el ejercicio de los derechos de cancelación y oposición del titular.

MÉDICO PARTICULAR (no se reveló el nombre)
Multa impuesta por el IFAI a un médico por $41,874.00 pesos, por haber transferido datos personales sensibles de alguno de sus pacientes, sin contar con el consentimiento del titular, y por no haber señalado expresamente en su Aviso de Privacidad las opciones y medios que ofrecía para limitar el uso o divulgación de los mismos.

Esta última multa viene a romper un mito muy importante, pues muchos profesionistas pensaban que esta regulación no les aplicaba. Todos los profesionales independientes que tenemos bases de datos estamos obligados a cumplir con la ley. No importa si eres abogado, notario, doctor, dentista, contador, asesor financiero, licenciado, chef o ingeniero, todos estamos obligados a cumplir con la ley.

Es importante entender los conceptos de violación a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares para entender qué es lo que nos puede generar una multa. Si bien estos que acabamos de ver no son todos los conceptos de violación que marca la ley, al menos nos damos una buena idea de cómo evitarnos problemas con el IFAI (y los titulares desde luego).

Estimado lector, no tomes a la ligera este tema, una multa de estas proporciones puede traer graves impactos a tu negocio, no solo económicos sino de credibilidad con tus clientes actuales y potenciales.

Publicado por el autor en Merca2.0.

Sanción de la Agencia de Protección de Datos sobre videovigilancia

videovigilancia-5

Por Daniel A. López Carballo

En enero de 2012, IKEA ha sido sancionada por la Agencia Española de Protección de Datos, por instalar cámaras de seguridad en su Centro Comercial de Marineda City en A Coruña, sin la correspondiente advertencia a los usuarios de que se enecontraban en una zona videovigilada, con una multa económica de 40.001 euros.

Ante la denuncia de la asociación gallega Movemento polos Dereitos Civís, la Agencia entendio que existía una infracción grave al no encontrarse las cámaras debidamente señalizadas conforme a la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a tráves de sistemas de cámaras o videocámaras; así como la situación de algunas cámaras de su sistema de videovigilancia que se encontraban orientadas a la vía pública, extralimitándose de esta forma a sus fines, realizándose grabaciones duera de sus propias instalaciones.

En este sentido la citada asociación, a través de su pagina web, informa que “cando se realizou a denuncia non existía ningunha sinal de zona videovixiada en todo o novo edificio da multinacional. Ao preguntar a Axencia Española de Protección de Datos por se extremo, IKEA presentou fotos de sinais colocadas a posteriori”.

En la misma línea, Movemento polos Dereitos Civís, informa informa desde su página web, de la iniciación de un procedimiento de declaración de infracción de las administraciónes Públicas, contra la Diputación de Pontevedra. Según la citada fuente, la cámaras, que cuentan con un sistema de zoom, no cuentan con la correspondiente autorización de la Delegación del Gobierno, tampoco aporta el código de inscripción del cirrespondiente Fichero ante el Registro de la Agencia Española de Protección de Datos.

Recordar que, la citada Insctrucción de la Agencia Española de Protección de Datos, en su atículo 3, recoge que “los responsable que cuenten con sisremas de videovigilancia deberán cumplir con el deber de información previsto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre. A tal fin deberán: a) colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados y, b) tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999”.

En relación a la notifiación de ficheros, en su artículo 7, establece que la persona que prevea la creación de ficheros de videovigilancia deberá notificarlo previamente a la Agencia Española de Protección de Datos, para su inscripción en el Registro General dela misma.

Sanción por incluir a un cliente en un fichero de morosidad

telefonia

Por Daniel A. López Carballo

Según informa ABC en su edición digital de diciembre de 2012, la compañía Movistar ha sido sancionada con una multa de 50.000 euros por la Agencia Española de Protección de Datos por incluir los datos personales de un cliente moroso en una base de datos de insolventes antes de reclamar el impago.

La resolución de la Agencia, que data del pasado mes de octubre aunque se ha conocido este martes, establece que «ha quedado demostrado» que, al incluir a su cliente en un fichero de insolvencia antes incluso de reclamarle el pago de la deuda, Movistar incumplió lo dispuesto en el artículo 29.4 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, lo que supone una falta grave.

Los hechos comenzaron en enero de 2010, cuando un consumidor se da de alta en Movistar con un contrato de tarifa plana de Iphone. Tras recibir la primera factura, en febrero de 2010, decide cambiar su plan de precios y manifiesta su disconformidad con la factura en la Secretaría de Estado de Telecomunicaciones y en la misma Movistar. La compañía se lo deniega porque el apoyo económico recibido estaba vinculado a una permanencia de 18 meses no sólo en la misma compañía, sino en el mismo plan de precios. La discrepancia se produce porque, según el denunciante, Telefónica le incluyó en un archivo de morosos antes de reclamar el pago.

Y es que efectivamente, desde el 10 de marzo de 2010, el cliente pasa a formar parte del archivo de insolvencia económico-patrimonial de Experian Bureau de Crédito, aunque unos meses más tarde le da de baja «en señal de buena voluntad».

En su resolución, la Agencia Española de Protección de Datos no entra a valorar la existencia de la deuda y se limita a destacar que la inclusión de los datos personales de este consumidor en un fichero de morosos antes de reclamar el pago y agotar la vía comercial constituye un hecho grave que lesiona el derecho a la protección de datos de carácter personal de sus clientes y le sanciona con 50.000 euros.