La batalla contra el porno de la venganza.

La mezcla de los vertiginosos avances tecnológicos con relaciones humanas cada vez más abiertas y desinhibidas puede traer consecuencias desastrosas, especialmente para las mujeres. Se conoce como “porno de la venganza” a la publicación en internet de fotos y videos de carácter sexual de una pareja o expareja. Este material normalmente va acompañado de datos de identificación (nombre y lugar de trabajo), de contacto (email y teléfono) y perfiles de redes sociales (cuentas de Facebook y Twitter) de la persona que aparece a cuadro.

Los objetivos del “porno de la venganza” pueden ser varios: (a) causarle un daño a la imagen, a la vida privada o a la reputación de una ex pareja sentimental; (b) lucrar con las imágenes o videos cuando la persona es famosa (venderlas a terceros para su divulgación); o (c) extorsionar a la víctima para obtener beneficios sexuales o económicos, a cambio de evitar la difusión de los materiales.

Las víctimas en esta clase de acciones son en su mayoría mujeres, las cuales al denunciar estos hechos suelen encontrar toda clase de obstáculos. En ocasiones son sujetas a cuestionamientos como “¿pues que usted no consintió que se le tomaran esas fotos y videos? ¡En los mismos no parece que la hayan obligado!” o “usted se tomó esas fotos (selfies), ¿por qué se está quejando ahora?”. Además, cuando los ex novios son citados a declarar no titubean en afirmar: “me hackearon el celular / la computadora… ¡no tengo idea cómo llegaron esas fotos o videos a internet!”.

Por si lo anterior fuera poco, es posible que la ex pareja suba las fotos, videos y datos de contacto pare crear un “perfil de usuario” en sitios web que facilitan encuentros sexuales casuales. Estos materiales son vistos por extraños como invitaciones a tener sexo, por lo que las víctimas llegan a recibir hasta 100 llamadas por día de “acosadores” que vieron sus datos en la red. También es creciente el número de sitios web creados exclusivamente para que usuarios publiquen este tipo de materiales (revenge porn web sites).

Cada vez son más las voces que piden regular y castigar el “porno de la venganza”. En nuestro país vecino, los estados de Florida, California, New Jersey ya tienen iniciativas para convertir estas acciones en delitos menores (hasta 2 años de prisión), una de ellas es una iniciativa de ley federal. Esta propuesta podría obligar a cualquier prestador de servicios de internet (ISP’s) a retirar estos materiales bajo la pena de enfrentar responsabilidad legal en caso de no hacerlo.

Ya existen organizaciones y promotores de la libertad de expresión en Internet que ven con malos ojos estas iniciativas, pues piensan que este tipo de requerimientos y sanciones podrían convertirse en una especie de “ley mordaza” que atenta contra las libertades básicas de los internautas.

En México tenemos la “Ley de Responsabilidad Civil para la Protección del Derecho a la Vida Privada, el Honor y la Propia Imagen en el Distrito Federal”, así como la “Ley Federal del Derecho de Autor”, las cuales pudieran en parte hacer frente a este fenómeno.

Estimadas lectoras, les tengo dos consejos infalibles para evitar estas bochornosas situaciones:

  1. NO PERMITAS JAMÁS SER GRABADA NI FOTOGRAFIADA POR TU PAREJA DURANTE ACTOS SEXUALES. Si tu pareja insiste en el tema y tú te niegas firmemente, es probable intente grabarte de manera oculta. Recuerda que hay diversos dispositivos con cámaras ocultas de muy bajo costo en el mercado.
  2. NO ENVÍES NI TE TOMES “SELFIES ERÓTICOS” (FOTOS CON POCA ROPA, DESNUDAS O EN SITUACIONES COMPROMETEDORAS). La mayoría de los smartphones cuentan con programas o aplicaciones que automáticamente suben todas tus fotos a la nube, por lo que el riesgo de divulgación o filtrado es latente. También recuerda que si pierdes o te roban el teléfono, el mismo se irá con todas tus “fotos/videos íntimos”.

Ahora que si les gana la pasión y el sentido común no es su mejor aliado, cuando menos tomen la precaución de NO ser identificadas en los videos o fotos en donde aparezcan (cubran su rostro o tatuajes que las hagan identificables). Aunque es menos probable que los hombres sean víctimas en esta clase de publicaciones, desde luego los consejos aplican para todos.

end revenge porn

stand-against-revenge-porn

Cómo liberarse de cobradores de deudas ajenas en 6 pasos.

Es común que cuando nos mudamos a una casa o departamento que previamente había estado habitado por alguien, nos lleguen cartas con molestos requerimientos de cobranza de parte de despachos especialistas en estos bochornosos asuntos. Peor aún, si además de la casa o departamento nos quedamos con la línea telefónica del anterior inquilino, puede resultar que no solo recibamos cartas sino también llamadas telefónicas exigiendo el pago de un adeudo que no tenemos (que seguramente fue la razón de la graciosa huida del anterior residente).

Para tener altas probabilidades de librarte de una vez por todas de estos actos a todas luces abusivos, sigue las siguientes recomendaciones:

(1) Cuando recibas una llamada telefónica de esta naturaleza no pierdas la cordura ni la paciencia. Es importante dejarlos hablar y tomar nota de todo lo que te estén pidiendo o exigiendo, principalmente:

  • Nombre del deudor (¿a quién le quieren cobrar?);
  • Nombre del acreedor (¿a qué institución bancaria o tienda departamental se le debe)? Pregunta también si la deuda sigue perteneciendo al acreedor original (como un banco, una arrendadora financiera o tienda departamental) o si el despacho de cobranza que intenta el cobro ya “compró el adeudo”;
  • Monto de la deuda (¿cuánto se debe?), y
  • LO MÁS IMPORTANTE, ANOTA DETALLADAMENTE TODOS LOS DATOS DEL DESPACHO DE COBRANZA: domicilio, razón o denominación social del despacho de cobranza, y nombre completo de la persona (el ejecutivo) que te esté requiriendo el cobro.
  • Al terminar la llamada solo di que lo vas a consultar con un familiar y luego te reportas con ellos.

(2) Si en lugar de llamadas telefónicas recibiste una o varias cartas o avisos de cobranza, fíjate si de ellos puedes obtener toda la información que se menciona en el punto anterior, especialmente lo señalado en el penúltimo inciso (d).

(3) Para iniciar una acción legal, reitero que resulta indispensable conocer toda la información de dos entidades, el acreedor (a quién se le debe) y el cobrador (quién está intentando el cobro de la deuda).

(4) La primera parte de la estrategia radica en presentar formalmente una “solicitud de cancelación de datos” ante ambas instituciones (tanto ante el acreedor como ante el cobrador). Para hacer valer nuestros Derechos ARCO debemos hacerlo a través de una solicitud, la cual deberá contener y acompañar lo siguiente:

  • El nombre del titular y domicilio u otro medio para comunicarle la respuesta a su solicitud;
  • Los documentos que acrediten la identidad o, en su caso, la representación legal del titular;
  • La descripción clara y precisa de los datos personales respecto de los que se busca ejercer el derecho de cancelación (proporcionas el teléfono y/o domicilio en el cual estás recibiendo los actos de molestia para dejar claro que son tus datos personales y no los del deudor que están buscando), y
  • Cualquier otro elemento o documento que facilite la localización de los datos personales.
  • Es muy importante que tengas alguna prueba de que entregaste esa solicitud ante el responsable (acreedor) y el encargado (cobrador) de los datos, lo cual puedes lograr solicitando que te firmen y sellen de recibido una copia de la misma.

(5) Esperas los 20 días de ley, tiempo en el cual están obligados a contestar tu solicitud de ejercicio de derecho de cancelación. Si no te contestan, te contestan insatisfactoriamente (te dicen que no van a cancelar los datos), o si después de haberte informado que cancelarán tus datos (tienen 15 días adicionales para implementar su decisión) te siguen contactando para el cobro indebido, entonces te presentas ante el IFAI a iniciar un “Procedimiento de Protección de Derechos” (llena el formato que aparece en este enlace). Este procedimiento es gratuito y el IFAI te puede asesorar para llevarlo a cabo.

(6) Paralelamente a este procedimiento ante el IFAI puedes presentar una queja ante la CONDUSEF por “malas prácticas de cobranza”. En los siguientes enlaces encontrarás mayor información al respecto:

  1. ¡Que no te asusten cuando te cobren!
  2. ¿Te acosan tus deudas?

Si piensas que nada de esto funciona te invito a que leas una de mis columnas previas para que te des cuenta que “Tarjetas Banamex” acaba de recibir 4 multas por un total de $9,848,140 pesos precisamente por haber estado intentando cobrar una deuda ajena (a través de un despacho de abogados) a una persona que nada tenía que ver con el adeudo.

La ley funciona solo cuando nos comprometemos a hacer valer nuestros derechos, no cuando pensamos “no va a pasar nada”, “qué flojera, pura pérdida de tiempo”, etc. No permitas que sigan abusando de tus derechos dando un tratamiento inadecuado a tus datos personales.

El quinto poder: el apocalipsis de la información.

Para quienes estamos inmersos en el mundo informático, ver películas sobre sucesos que escandalizan la industria de las tecnologías de la información (sean de ciencia ficción o basadas en hechos reales) es cosa cotidiana. Aunque hay películas de la industria que jamás vería (como la de Jobs), la que sin duda llamó mi atención fue la de “The Fifth Estate”, traducida al español como “El Quinto Poder”.

{NOTA: Esta columna no es una reseña ni una crítica a la película, solamente pretende invitar a la reflexión sobre el manejo y destino de la información “clasificada” o “confidencial”.}

Pese a que tanto Jobs como Assange son personajes controversiales que nunca han sido santos de mi devoción, el pasado fin de semana decidí ver la película que relata el escándalo de WikiLeaks por la relevancia que tiene no solo para la industria, sino para el Internet y el mundo entero. Esta película está basada en parte en dos libros “Inside WikiLeaks: My Time with Julian Assange and the World’s Most Dangerous Website” y “WikiLeaks: Inside Julian Assange’s War on Secrecy”.

Ambos libros fueron publicados en el año 2011, el primero por Daniel Domscheit-Berg y el segundo por los periodistas británicos del famoso diario “The Guardian”: David Leigh y Luke Harding. Daniel, previamente conocido bajo el pseudónimo “Daniel Schmitt”, es un activista cibernético alemán conocido por haber fungido como portavoz de la organización WikiLeaks, la cual “saboteó” al pelearse (entre otras cosas) con su fundador: Julian Assange.

Para quienes no estén familiarizados con “WikiLeaks”, comparto un par de párrafos que Wikipedia tiene sobre esta organización:

“WikiLeaks (del inglés leak, «fuga», «goteo», «filtración [de información]») es una organización mediática internacional sin ánimo de lucro que publica a través de su sitio web informes anónimos y documentos filtrados con contenido sensible en materia de interés público, preservando el anonimato de sus fuentes. Su base de datos ha crecido constantemente hasta acumular 1.2 millones de documentos. Su creador fue Julian Assange.

La organización se ofrece a recibir filtraciones que desvelen [sic] comportamientos no éticos ni ortodoxos por parte de los gobiernos, con énfasis especial en los países que considera tienen regímenes totalitarios, pero también en asuntos relacionados con religiones y empresas de todo el mundo. De momento, las actuaciones más destacadas de WikiLeaks se han centrado en la actividad exterior de los Estados Unidos, especialmente en relación con las guerras de Irak y de Afganistán.”

Durante la película, el personaje que interpreta a Assange pregona casi como la máxima de Wikileaks la siguiente frase: “privacidad para los individuos, transparencia para las organizaciones”. Los principios generales en que se basa Wikileaks son: la defensa de la libertad de expresión y los medios, la mejora de nuestro registro histórico común y el apoyo de los derechos de todas las personas para crear nueva historia.

Mediante datos proporcionados por “denunciantes anónimos”, WikiLeaks ha facilitado la revelación o publicación de información confidencial, sensible, clasificada o secreta en los siguientes rubros:

  • Guerra, asesinatos, tortura y detenciones.
  • Gobierno, comercio y transparencia corporativa.
  • Supresión de la libertad de expresión y la libertad de prensa.
  • Diplomacia, espionaje y contra-inteligencia.
  • Ecología, clima, naturaleza y ciencias.
  • Corrupción, finanzas, impuestos y comercio.
  • Censura y tecnología de filtrado de Internet.
  • Sectas y otras organizaciones religiosas.
  • Abuso, violencia y violación.

Sin duda estos “principios”, hechos y “declaración de propósito” de WikiLeaks inspiran no solo a hackers y a ciberactivistas, sino a radicales, anarquistas, defensores de derechos humanos y de libertad de expresión, entre otros muchos y muy diversos activistas y luchadores sociales. Sin embargo, este “bien mayor” puede verse fácilmente empañado por un sinnúmero de factores, entre ellos:

  1. El grave riesgo corren los “denunciantes” al enviar a WikiLeaks la información, pues pese a que su portal dice que “preservan el anonimato de sus fuentes”, en la película se refleja todo lo contrario. Varios informantes son asesinados al revelarse cierta información que incomodó a gobiernos totalitarios. Aún en el supuesto caso de que se “cuide la identidad de los informantes”, hay datos de miles de personas en todos los documentos que continuamente son revelados en este portal. Esas personas a su vez tienen familia, amigos, dependientes económicos, gente completamente inocente que puede salir muy lastimada a nivel personal, sentimental, moral y económico.
  2. Solamente por la cantidad de documentos publicados, y la diversidad de idiomas de los mismos, es imposible materialmente asegurar la veracidad, exactitud y “neutralidad” de la información publicada. Puede ser información completamente falsa, alterada o al menos sesgada, a conveniencia de “la fuente”.
  3. Aunque se asegure el anonimato de las fuentes, el “enmascaramiento” de datos personales y la veracidad de la información, aun así estaríamos frente a actividades que son consideradas como DELITOS en la mayoría de los países. Me atrevería a afirmar que en todos los países existe legislación que protege diversa información en su carácter de: confidencial, sensible, secreta, bancaria, dato personal, secreto industrial, seguridad nacional, etc.

En México es delito: (a) revelar a un tercero un secreto industrial, (b) apoderarse de un secreto industrial sin derecho y sin consentimiento de la persona que lo guarde; (c) usar la información contenida en un secreto industrial, que conozca por virtud de su trabajo, cargo o puesto, ejercicio de su profesión o relación de negocios, sin consentimiento de quien lo guarde o de su usuario autorizado, o que le haya sido revelado por un tercero, a sabiendas que éste no contaba para ello con el consentimiento de la persona que guarde el secreto industrial o su usuario autorizado, con el propósito de obtener un beneficio económico o con el fin de causar un perjuicio a la persona que guarde el secreto industrial o su usuario autorizado (Art. 223 de la Ley de la Propiedad Industrial. El Código Pena Federa contempla tipos similares en sus artículos 210 y 211).

A ti querido lector, ¿te gustaría que alguien sin autorización y subrepticiamente se metiera a tu computadora o a tu casa, y al día siguiente publicara toda la información que encontró? Peor aún, ¿te gustaría que esa persona que husmeó entre tus pertenencias y publicó tu información fuera un amigo, un familiar, empleado o personal de confianza?

“¡ES QUE NO ES LO MISMO! ¡WILKILEAKS BUSCA REVELAR LOS SECRETOS DE GOBIERNOS Y GRANDES CORPORACIONES!” -dirán algunos-. Si tú tienes derecho a una vida privada, derecho a la intimidad, derecho a la protección de sus datos personales, ¿por qué las empresas u organizaciones no pueden aspirar a los mismos derechos? Los actos de corrupción, sabotaje y demás ilícitos no son exclusivos de empresas o de gobiernos, también las personas físicas -ajenas a toda organización- pueden involucrarse en este tipo de actos. Todos tenemos derecho a la confidencialidad de la información que nosotros deseemos que permanezca fuera del escrutinio público, siempre que una ley no nos lo impida.

Desde luego que existe un cúmulo de información gubernamental que merece estar al alcance de los ciudadanos, como aquella que se ha logrado hacer “pública” a través de leyes de transparencia. Sin embargo, la propia Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental contempla excepciones importantes a los dos principios enunciados en su mismo título, bajo lo que clasifica como “información reservada y confidencial”. Para terminar les comparto dos artículos de esta ley y los invito a la reflexión sobre estos interesantes temas que aquejan al mundo digital en el que todos estamos inmiscuidos de una u otra manera.

Artículo 13. Como información reservada podrá clasificarse aquélla cuya difusión pueda:

I. Comprometer la seguridad nacional, la seguridad pública o la defensa nacional;

II. Menoscabar la conducción de las negociaciones o bien, de las relaciones internacionales, incluida aquella información que otros estados u organismos internacionales entreguen con carácter de confidencial al Estado Mexicano;

III. Dañar la estabilidad financiera, económica o monetaria del país;

IV. Poner en riesgo la vida, la seguridad o la salud de cualquier persona, o

V. Causar un serio perjuicio a las actividades de verificación del cumplimiento de las leyes, prevención o persecución de los delitos, la impartición de la justicia, la recaudación de las contribuciones, las operaciones de control migratorio, las estrategias procesales en procesos judiciales o administrativos mientras las resoluciones no causen estado.

Artículo 14. También se considerará como información reservada:

I. La que por disposición expresa de una Ley sea considerada confidencial, reservada, comercial reservada o gubernamental confidencial;

II. Los secretos comercial, industrial, fiscal, bancario, fiduciario u otro considerado como tal por una disposición legal;

III. Las averiguaciones previas;

IV. Los expedientes judiciales o de los procedimientos administrativos seguidos en forma de juicio en tanto no hayan causado estado;

V. Los procedimientos de responsabilidad de los servidores públicos, en tanto no se haya dictado la resolución administrativa o la jurisdiccional definitiva, o

VI. La que contenga las opiniones, recomendaciones o puntos de vista que formen parte del proceso deliberativo de los servidores públicos, hasta en tanto no sea adoptada la decisión definitiva, la cual deberá estar documentada.

No podrá invocarse el carácter de reservado cuando se trate de la investigación de violaciones graves de derechos fundamentales o delitos de lesa humanidad.

IFAI impone multas por $24.8mdp a Telcel, Universidad Intercontinental y Tarjetas Banamex.

En actuaciones que siguen sorprendiendo a la industria, el Instituto Federal de Acceso a la Información y Protección de Datos Personales (IFAI) recientemente ha publicado en su portal diversas multas por violaciones en materia de datos personales impuestas a:

  • Universidad Intercontinental –UIC– (7 multas en dos procedimientos que suman $8,725,750 pesos).
  • Radiomovil Dipsa –TELCEL– (2 multas que suman $6,264,165 pesos).
  • Tarjetas Banamex –BANAMEX– (4 multas que suman $9,848,140 pesos).

Resulta el hecho más notorio el relacionado con la Universidad Intercontinental. Durante los meses de junio a septiembre de 2011 el afectado tomó terapia psicológica en el Centro Universitario de Salud Mental Área de Psicoterapia Psicoanalítica de la citada universidad. Durante las sesiones el titular de los datos reveló temas relacionados con la esfera más íntima de su persona, respecto a su vida familiar, amigos, trabajo, compañeros de trabajo, sexual, así como buenas y malas experiencias de su infancia. Un año después de haber finalizado las terapias, la esposa del afectado se encontró en Google la transcripción completa de todas y cada una de las sesiones tomadas en la UIC, publicadas en el sitio “scribd.com”. Ello implicaba que el titular fue grabado (sin su consentimiento) para que posteriormente pudiesen transcribir dichas sesiones. Al tratarse de datos personales sensibles los que estuvieron involucrados en estos malos manejos, las multas fueron considerables.

No menos importante fue el caso de TELCEL. El IFAI informó que sin autorización del titular, Radiomovil Dipsa accedió a cuatro de sus contactos (ubicados en su teléfono celular), a quienes hizo llamadas y envió mensajes para conocer el nombre, número de celular y número de cuenta del cliente, a fin de ponerlos al tanto del adeudo y gestionar por medio de ellos la cobranza del servicio.

También relacionado con asuntos de cobranza es el caso de BANAMEX. El IFAI recibió la denuncia de un particular contra Tarjetas Banamex, argumentando que la empresa entregó sus datos personales a un despacho jurídico, el cual hablaba por teléfono al particular para reclamar adeudos de otra persona. La institución bancaria se había comprometido a cesar las llamadas telefónicas de cobranza, sin embargo, no cumplió.

Pese a que otra empresa del grupo Banamex había sido multado con anterioridad por el monto más grande que ha fincado el IFAI ($16,155,936), en esta ocasión la institución bancaria vuelve a incumplir con la ley. Sin duda Banamex confía en su equipo legal, pues ya anunció que promoverá  una demanda de nulidad para evadir estas multas.

Las razones específicas que motivaron al IFAI a imponer estas multas son las siguientes:

UIC Universidad Intercontinental, A.C. (PS.0011/13)

  • $1,246,600 pesos por dar tratamiento a los datos personales en contravención a los principios establecidos en la presente Ley.
  • $934,500 pesos por omitir en el aviso de privacidad, alguno o todos los elementos a que se refiere el artículo 16 de esta Ley.
  • $1,558,250 pesos por incumplir el deber de confidencialidad establecido en el artículo 21 de esta Ley.
  • $1,558,250 pesos por tratarse de datos personales sensibles, la multa anterior se incrementó en un 100%.

Radiomovil Dipsa, S.A. de C.V. (PS.0009/13)

  • $3,272,325 pesos por incumplir el deber de confidencialidad establecido en el artículo 21 de esta Ley.
  • $2,991,840 pesos por cambiar sustancialmente la finalidad originaria del tratamiento de los datos, sin observar lo dispuesto por el artículo 12 (El tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas en el aviso de privacidad).

UIC Universidad Intercontinental, A.C. (PS.0008/13)

  • $934,950 pesos al evidenciar el dolo en la tramitación de la solicitud de acceso y cancelación de los datos personales y datos personales sensibles del Titular.
  • $1,246,600 pesos por no efectuar la cancelación de los datos personales y datos personales sensibles que legalmente procedan cuando resulten afectados los derechos del Titular.
  • $1,246,600 pesos por tratarse de datos personales sensibles, la multa anterior se incrementa en un 100%.

Tarjetas Banamex, S.A. de C.V., SOFOM, E.R. (PS.0007/13)

  • $1,495,920 pesos por dar tratamiento a los datos personales en contravención a los principios establecidos en la presente Ley.
  • $1,246,600 pesos por mantener datos personales inexactos cuando resulte imputable al responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de los titulares.
  • $3,490,480 pesos por obstruir los actos de verificación de la autoridad.
  • $3,615,140 pesos por continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del mismo por el Instituto o los titulares.

Estimado lector, ¿sigues pensando que no hay nada de qué preocuparse en esta materia? A la fecha el IFAI ha impuesto multas por un total de $48,957,260 pesos por incumplimiento a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Recuerda que tener tus Avisos de Privacidad ¡NO ES SUFICIENTE! Son muchas las obligaciones que hay que cumplir en esta materia. Más vale prevenir que lamentar.

Multa el IFAI a Oceánica con $2.5 mdp por obstruir el procedimiento de verificación

Una nota periodística del 18 de mayo de 2011 reveló que Oceánica dejó al descubierto los datos de una persona que había sido paciente en sus instalaciones. El IFAI solicitó en dos ocasiones durante el año 2011 a la empresa un informe relacionado con dicha publicación, pero no atendió ninguno de ellos. Por esta omisión, el IFAI ordenó una visita de verificación a Oceánica.

Cuando el personal del Instituto se presentó al domicilio de Operadora Oceánica Internacional en Mazatlán Sinaloa, no le dieron las facilidades correspondientes y personal de esta institución le negó el acceso al inmueble, obstruyendo con ello los actos de verificación de la autoridad.

Debido a este impedimento deliberado por parte de Oceánica, el Pleno del IFAI decidió el 21 de marzo de 2012 el inicio de un Procedimiento de Imposición de Sanciones, de conformidad con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Como era de esperarse, Oceánica presentó un juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa, autoridad que el 8 de abril de 2013 dictó sentencia definitiva en contra de esta empresa.

Con esta sentencia, se dio continuidad al procedimiento en contra de Operadora Oceánica Internacional el cual quedó resuelto con la imposición de una multa de $2,493,200 pesos, por la obstrucción del procedimiento de verificación previsto en la ley de la materia.

Esto se suma a las sanciones previas del IFAI en contra de las siguientes empresas y particulares:

Pharma Plus, S.A. de C.V. (Farmacias San Pablo)

  • ¿De dónde derivó la multa? De un Procedimiento de Verificación con motivo de una denuncia de un particular, lo que llevó a un Procedimiento de Imposición de Sanciones.
  • ¿Cuáles fueron las multas y los motivos que las originaron? IFAI impuso dos multas a Pharma Plus por un total de $2,000,045.04 pesos:
    • $1,500,033.78 por no proporcionar información sobre el tratamiento a que serían sometidos los datos personales que recaba de sus clientes (contraviniendo el principio de información).
    • $500,011.26 por omitir el elemento de identidad en su aviso de privacidad (aparecía nombre comercial en lugar de denominación social).

Sport City, S.A. de C.V.

  • ¿De dónde derivó la multa? De un Procedimiento de Verificación con motivo de una denuncia de un particular, lo que llevó a un Procedimiento de Imposición de Sanciones.
  • ¿Cuáles fueron las multas y los motivos que las originaron? IFAI impuso una multa a Sport City por un total de $1,246,600.00 pesos:
    • Por omitir algunos de los elementos del Aviso de Privacidad (no señaló a través de qué medios los titulares de los datos podrán limitar el uso o divulgación de sus datos).

Caja Popular Cristo Rey, S.C. de A.P. de R.L. de C.V.

  • ¿De dónde derivó la multa? De un Procedimiento de Verificación con motivo de una denuncia de un particular, lo que llevó a un Procedimiento de Imposición de Sanciones.
  • ¿Cuáles fueron las multas y los motivos que las originaron? IFAI impuso a Caja Popular Cristo Rey tres multas por un total de: $2,181,550.00 pesos:
    • $545,387.50 pesos por no poner a disposición de los titulares el Aviso de Privacidad.
    • $779,125.00 pesos por no recabar el consentimiento para el tratamiento de datos financieros.
    • $857,037.50 pesos por no contar con una persona o departamento de privacidad, ni con un procedimiento para dar atención a las solicitudes de derechos ARCO.

Banco Nacional de México, S.A. integrante del Grupo Financiero BANAMEX

  • ¿De dónde derivó la multa? De un Procedimiento de Protección de Derechos iniciado por un particular, lo que llevó a un Procedimiento de Imposición de Sanciones.
  • ¿Cuáles fueron las multas y los motivos que las originaron? IFAI impuso cinco multas a BANAMEX por un total de $16,155,936.00 pesos:
    • $2,493,200.00 pesos porque Banamex fue negligente en el trámite de la solicitud de cancelación y oposición que le había presentado el titular de los datos.
    • $1,196,736.00 porque Banamex dejó de observar lo preceptuado por el principio de finalidad al continuar tratando los datos cuando el fin por el cual fueron recabados se había agotado.
    • $2,493,200.00 por no efectuar la cancelación de los datos cuando la misma resultaba procedente.
    • $4,986,400.00 pesos por continuar en el tratamiento ilegítimo de los datos del titular.
    • $4’986,400.00 pesos porque Banamex impidió el ejercicio de los derechos de cancelación y oposición del titular.

MÉDICO PARTICULAR (no se reveló el nombre)

  • Multa impuesta por el IFAI a un médico por $41,874.00 pesos, por haber transferido datos personales sensibles de alguno de sus pacientes, sin contar con el consentimiento del titular, y por no haber señalado expresamente en su Aviso de Privacidad las opciones y medios que ofrecía para limitar el uso o divulgación de los mismos.

6 recomendaciones para cuidar la información de tu empresa.

En otras columnas he abordado la “seguridad de la información”, tema que mucha gente sigue pensando que es opcional o un asunto de “mejores prácticas”, pero no obligatorio. Esta creencia no podría estar más apartada de la realidad. Un gran número de leyes en México nos obligan a mantener la confidencialidad y/o seguridad de la información, para muestra los siguientes casos:

  • Si eres profesionista, la Ley General de Profesiones te obliga a guardar estrictamente el secreto de los asuntos que tus clientes te confíen;
  • Si eres empleado, la Ley Federal del Trabajo te obliga a guardar escrupulosamente los secretos técnicos, comerciales y de fabricación de los productos a cuya elaboración concurras directa o indirectamente, o de los cuales tengas conocimiento por razón del trabajo que desempeñas, así como de los asuntos administrativos reservados, cuya divulgación pueda causar perjuicios a la empresa;
  • A toda aquella persona que, con motivo de su trabajo, empleo, cargo, puesto, desempeño de su profesión o relación de negocios, tenga acceso a un secreto industrial del cual se le haya prevenido sobre su confidencialidad, la Ley de la Propiedad Industrial lo obliga a abstenerse de revelarlo sin causa justificada y sin consentimiento de la persona que guarde dicho secreto, o de su usuario autorizado.
  • Si eres una persona física o moral y contratas a un trabajador que esté laborando o haya laborado, o a un profesionista, asesor o consultor que preste o haya prestado sus servicios para otra persona, con el fin de obtener secretos industriales de ésta, la Ley de la Propiedad Industrial establece que serás responsable del pago de daños y perjuicios que le ocasione a dicha persona (física o moral).
  • Si tienes una página web (incluyendo sitios móviles) en donde se realizan transacciones comerciales electrónicas, la Ley Federal de Protección al Consumidor te obliga a:
    • Utilizar la información proporcionada por el consumidor en forma confidencial, por lo que no podrás difundirla o transmitirla a otros proveedores ajenos a la transacción, salvo autorización expresa del propio consumidor o por requerimiento de autoridad competente;
    • Utilizar alguno de los elementos técnicos disponibles para brindar seguridad y confidencialidad a la información proporcionada por el consumidor e informarás a éste, previamente a la celebración de la transacción, de las características generales de dichos elementos.
  • Si eres persona física o moral y tienes una base de datos o das tratamiento a  datos personales, tanto en el plano físico como electrónico, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares te obliga a establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
  • La misma ley establece que:
    • Si eres responsable o tercero que interviene en cualquier fase del tratamiento de datos personales, deberás guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.
    • Si los datos personales son vulnerados (si se te pierden, si hay un acceso no autorizado, si te hackean), deberás informar de forma inmediata a los titulares de los datos, a fin de que ellos puedan tomar las medidas correspondientes a la defensa de sus derechos.

¿Cómo puede fugarse, compartirse o copiarse indebidamente información de la empresa? Las posibilidades son casi tan ilimitadas como nuestra imaginación:

  • Salvo los dispositivos móviles de la manzana, casi todos los smartphones y muchas tabletas cuentan con ranura para insertar tarjetas microSD de hasta 64 gigas de memoria.
  • Las memorias USB (pen drives) tienen capacidades tan amplias como 128 gigabytes de memoria.
  • Los servicios de almacenamiento en la nube (discos duros virtuales) pueden ofrecer de manera gratuita entre 5 y 50 gigabytes de espacio.
  • Los correos electrónicos gratuitos permiten el envío y recepción de archivos de gran tamaño, y la capacidad del inbox puede ser en algunos casos ilimitada (gmail).
  • Existen discos duros miniatura (más pequeños que una cartera) que tienen hasta 500 gigas de capacidad de almacenamiento.
  • Por más controles de acceso y “seguridad informática” que tengamos en nuestra empresa, siempre existirá la posibilidad de que un empleado tome fotos a la pantalla de su computadora con su teléfono celular.

Entonces, ante un panorama informático con tantas posibilidades ¿cómo podemos cuidar la información de la empresa no solo para cuidar nuestros secretos o información valiosa, sino para poder cumplir cabalmente con las leyes que nos obligan a hacerlo? Pese a que no existe una fórmula mágica para detener toda filtración o fuga de información, podemos tomar las siguientes medidas para mitigar estos riesgos a gran escala:

  1. Implementa campañas de concientización al interior de tu organización. Realiza una campaña de concientización entre todos tus empleados, desde los guardias de seguridad hasta los directores, que tenga por objeto que tu fuerza laboral: (a) entienda qué es información confidencial, secreta, sensible o clasificada, y por qué dicha información guarda tal clasificación, (b) conozca las consecuencias legales que pueden surgir si comparte, copia o divulga dicha información, las cuales pueden ir desde una simple amonestación (acta administrativa), hasta el despido o inclusive penas económicas (daños y perjuicios) o corporales (prisión).
  2. Revisa o elabora contratos con cláusulas de protección. Todo empleado, sea directo o indirecto (outsourcing), debe tener en su contrato individual de trabajo dos cláusulas: la de confidencialidad de la información y la de protección de datos personales. Igualmente importante es tener estas cláusulas en los contratos con tus proveedores de servicios y socios de negocios. No olvides tener tus Avisos de Privacidad (integral, simplificado y corto).
  3. Desarrolla políticas laborales en torno a estos temas. Elabora políticas en tu empresa que regulen el uso de recursos informáticos, redes sociales, información confidencial y privacidad. Estas políticas deben estar ligadas al Reglamento Interior de Trabajo o idealmente al contrato individual de trabajo de cada empleado. Ellos deben manifestar conocer dichas políticas y obligarse a su cumplimiento.
  4. Adopta medidas de seguridad. Toda empresa (incluyendo particulares) está obligada por ley a tener medidas de seguridad técnicas, físicas y administrativas para proteger sus datos contra robo, destrucción, alteración, uso o acceso no autorizado.
  5. Elabora un plan de reacción en caso de incidentes. Si existe una vulneración a tu información o bases de datos, debes tener formulado un plan de reacción que incluya al menos: (a) la detección de la información vulnerada, (b) medidas correctivas y preventivas, (c) dar aviso a los titulares cuyos datos personales pudieran haber sido comprometidos, y (d) aplicación de sanciones laborales en caso de que exista responsabilidad, dolo o negligencia por parte de empleados.
  6. Si se cometió un delito, presenta la denuncia o querella correspondiente ante el Ministerio Público. La gente suele pensar que “no pasa nada” si violenta sus deberes de confidencialidad o seguridad de la información. Mientras no promovamos una cultura de la legalidad, este tipo de acciones seguirán quedando impunes.

Como lo he comentado con anterioridad: ¡la seguridad y confidencialidad de la información es obligación de todos! No importa si tienes o no firmado un contrato o cláusula de confidencialidad, la ley te obliga en la mayoría de los casos a proteger la confidencialidad, disponibilidad e integridad de la información.

Cómo sobrevivir a una expo (sin fracasar en el intento).

SAMSUNG CSC

Del 6 al 10 de agosto Lex Informática tuvo la oportunidad de asistir como expositor a la Semana del Emprendedor, evento organizado por la Secretaría de Economía, a través del recién creado Instituto Nacional del Emprendedor. Durante muchos años en la universidad participé en la organización de diversos eventos, desde simples conferencias hasta foros de debate entre candidatos presidenciales. Pensé: “¿qué tan difícil puede ser hacerse cargo de solo 1 stand?”. La realidad es que no imaginé que el éxito del expositor dependiera de tantas variables.

En primer lugar, participar como expositor en una Expo en un recinto como el Centro Banamex es como meterse a la jungla con un montón de cazadores, de todos los niveles, desde los más novatos con escasos recursos, hasta los más experimentados con recursos casi ilimitados. Todos van tras la misma presa: el cliente.

En el Ecosistema de “Empresa Digital” encontrabas a muchos pequeños stands que apenas tenían una mesa y 3 o 4 sillas, pero también era inevitable toparse con un monstruo de dos pisos en el centro del ecosistema: Google, junto a otros dos gigantes, Telmex y Movistar. Estos enormes jugadores no solo llaman la atención de manera natural por el tamaño y diseño de sus stands, sino porque regalan suvenires y obsequios a manos llenas, y desde luego, traen a “las mejores edecanes”, usualmente extranjeras de 1.80 metros de estatura. También te encontrabas a stands medianos, como el de Microsoft y SuEmpresa, que pese a no tener el glamour de los gigantes, mantenían buena atención por parte de los visitantes (gracias a los regalos y a las edecanes en buena medida).

Los “pequeños expositores”, esos que ocupan stands de 3×3 metros con mamparas blancas simples, son los que tienen el mayor reto: atraer la atención e interés de los visitantes (todos ellos clientes potenciales) con pocos recursos, tal vez sin regalos ni edecanes y en pasillos angostos atiborrados de gente. Es como tener un “stand del Infonavit” y quererle competir a tiendas de centro comercial de Santa Fe, Interlomas o Polanco.

¿Qué hacer para ser competitivo y atractivo en una Expo bajo estas circunstancias?

1. Decora bien tu stand. Si tienes cerca a stands de grandes proporciones y con mucha majestuosidad en su diseño, lo mínimo que tienes que hacer es decorar bien tu espacio. Con $800 pesos puedes mandar a hacer material impreso (lonas y vinilos) llamativo y de buena calidad para todo tu stand.

  • La lona posterior (2×2 o 3×3) suele ser tu anzuelo principal, si está bien diseñada, con letras lo suficientemente grandes para que se lea a 5 metros de distancia, seguro atraerás la atención de los visitantes. Mucha gente es tímida, no pide volantes ni se acerca a preguntar si la información que se aprecia a simple vista en el stand no lo convence de hacerlo.
  • Usa las paredes laterales de tu stand para poner información más detallada de tu negocio que ayude a explicar a los interesados qué haces y por qué deben contratarte. Imagina que los vinilos son un rotafolio que te sirve como material de apoyo en una junta.
  • Cada pieza publicitaria debe llevar el nombre de tu negocio y la dirección de internet correspondiente. Por curioso que parezca, hay muchas personas que se meten al stand a tomarle fotos a todas las mantas, vinilos y carteles, para llevarse información detallada. Si no tienes tu nombre y dirección en cada uno de ellos, es posible que luego no puedan identificarte con claridad.
  • Es importante que el stand tenga un “diseño” que invite a las personas a entrar contigo y preguntar por tus productos o servicios. Si de entrada pones una mesa enfrente en forma de barrera, probablemente ahuyentarás a mucha gente tímida o poco curiosa. Ten mesas y sillas disponibles para que la gente se sienta cómoda al hacerte una consulta.

2. Identifica bien tu negocio. Sin entrar a tu stand, la gente debe tener la capacidad de al menos intuir a qué te dedicas. Los organizadores de las expos suelen ofrecerte rotular la marquesina de tu stand con el nombre de tu empresa, el cual muchas veces no dice ni sugiere nada a las personas que no te conocen. El primer día de la Semana del Emprendedor me di cuenta que al nombre de nuestra firma no le habían incluido la palabra “abogados”. Saliendo del centro de exposiciones fui con el impresor para que me hiciera vinilos adecuados que informaran con claridad a qué nos dedicábamos. Lo mismo aplica para la lona o los vinilos interiores, deben indicar sin lugar a dudas y de manera visible a qué te dedicas o qué es lo que vendes.

3. Lleva suficiente material informativo y de contacto. Tan solo para el pre-registro de este evento se habían apuntado más de 65,000 personas. ¿Cuánta gente crees que pase por tu stand? ¿cuántos de ellos podrían pedir informes? Con mil pesos puedes mandar a hacer 2,000 volantes a color impresos por ambos lados (el reverso va en 1 tinta). Creo que es lo mínimo que deberías de llevar a esta clase de eventos. Las tarjetas de presentación son igualmente importantes, la gente verdaderamente interesada en tus productos y servicios te va a pedir más la tarjeta de presentación que volantes o trípticos. Quieren estar seguros de poder localizarte, y como muchos de ellos me comentaron “los volantes se pierden fácilmente”. Yo estimo haber atendido a un promedio de 100 personas diariamente, así que considerando que se trata de un evento de 5 días, idealmente deberías llevar al menos 500 tarjetas de presentación.

4. Las imágenes, impresiones y decoración atraen, pero la gente es la que vende. Necesitas tener en tu stand gente que sepa vender y que sepa lidiar con todo tipo de personas. A nuestro stand llegaron: extranjeros (los atendimos en inglés y hasta en francés), amas de casa, estudiantes, micro empresarios, emprendedores, gente de buen y de mal humor, gente de trato rudo, discapacitados y adultos mayores. Todos requieren un trato distinto y les atraen distintas cosas. Una joven en tono retador me preguntó: ¿y por qué debo contratarlos a ustedes y no a otro despacho de abogados? ¿por qué ustedes son mejores que los demás? Otro señor de la tercera edad, de muy mal genio, llegó cuestionando el costo de nuestros servicios: ¿cómo justifican ese costo? ¡si yo puedo hacer casi todo el trabajo solo! En fin, hay que tener tacto y paciencia para atender a todos de la mejor manera. Antes de iniciar la conversación o labor de venta es importante preguntar “¿a qué te dedicas?” o “¿qué tipo de negocio tienes o quieres iniciar?”. En base a sus respuestas sabrás plantear los servicios que se adecúen a sus necesidades.

5. Obsequios y edecanes suelen atraer con mayor facilidad a posibles clientes. La triste realidad es que muchas personas se acercan a los stands atraídos por los obsequios y/o por las edecanes. Si deseas repartir obsequios asegúrate de tener una dinámica establecida que involucre a la gente en tu negocio para que se puedan “ganar” el derecho a un obsequio. Si los regalas libremente, se te acabarán en un dos por tres y no engancharás a posibles clientes. Por otro lado, si deseas contratar edecanes no te vayas con la idea de que si son AAA serán todo un éxito para tu negocio. Las edecanes categoría “AAA”, además de muy atractivas, suelen ser excelentes repartidoras de sonrisas y volantes, pero pocas veces saben hablar con exactitud sobre tu negocio. En cambio hay muchas edecanes “AA” que además de atractivas, tienen buenas aptitudes de oratoria e inclusive de ventas. No las contrates solo por lo que ves en sus fotos, pregunta a la agencia qué capacidades tienen para interactuar con el público, e inclusive para hacer “labor de venta”.

El objeto de tener información en un stand no solo es dar a conocer a los visitantes lo que haces, sino interesarlos lo suficiente para que se acerquen contigo, te hagan preguntas y obtengas sus datos para contactarlos posteriormente, o en el mejor de los casos, hacer ahí mismo el cierre de ventas o una cita de negocios.

Y para que no digan que este artículo no es de índole jurídico, aquí viene la recomendación más importante: si durante su estancia en la expo recolectan datos personales (tarjetas de presentación, nombres, teléfonos o correos), es indispensable contar con su Aviso de Privacidad en el stand, integral, simplificado o corto, según sea el caso, para evitar incurrir en incumplimientos bajo la Ley Federal de Protección de Datos Personales en Posesión de Particulares.

Stand de Lex Informática Abogados en la Semana del Emprendedor
Watch this video on YouTube or on Easy Youtube.

Multa el IFAI a cuatro empresas y a un médico por $21.6 MDP.

El 16 de junio el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) comunicó a través de un boletín de prensa que ha impuesto multas por más de $21 millones de pesos, tanto a personas físicas como morales, por infracciones a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Mucha gente tal vez esté cansada por tantas notas sobre esta materia, mientras otro segmento importante de la comunidad cree que esta ley es decorativa o “letra muerta”. Algunos, los más escépticos, decían “esa ley no tiene futuro, nunca se va a aplicar”. Para sorpresa de todos, la ley que regula la protección de datos personales está más viva que nunca y las continuas advertencias o alertas de los especialistas no han sido en vano.

Veamos a continuación por qué Farmacias San Pablo, Sport City, Caja Popular Cristo Rey, Banamex y un médico han sido multados por el IFAI.

Pharma Plus, S.A. de C.V. (Farmacias San Pablo)

  • ¿De dónde derivó la multa? De un Procedimiento de Verificación con motivo de una denuncia de un particular, lo que llevó a un Procedimiento de Imposición de Sanciones.
  • ¿Cuáles fueron las multas y los motivos que las originaron? IFAI impuso dos multas a Pharma Plus por un total de $2,000,045.04 pesos:
    • $1,500,033.78 por no proporcionar información sobre el tratamiento a que serían sometidos los datos personales que recaba de sus clientes (contraviniendo el principio de información).
    • $500,011.26 por omitir el elemento de identidad en su aviso de privacidad (aparecía nombre comercial en lugar de razón social).

Sport City, S.A. de C.V.

  • ¿De dónde derivó la multa? De un Procedimiento de Verificación con motivo de una denuncia de un particular, lo que llevó a un Procedimiento de Imposición de Sanciones.
  • ¿Cuáles fueron las multas y los motivos que las originaron? IFAI impuso una multa a Sport City por un total de $1,246,600.00 pesos:
    • Por omitir algunos de los elementos del Aviso de Privacidad (no señaló a través de qué medios los titulares de los datos podrán limitar el uso o divulgación de sus datos).

Caja Popular Cristo Rey, S.C. de R.L. de C.V.

  • ¿De dónde derivó la multa? De un Procedimiento de Verificación con motivo de una denuncia de un particular, lo que llevó a un Procedimiento de Imposición de Sanciones.
  • ¿Cuáles fueron las multas y los motivos que las originaron? IFAI impuso a Caja Popular Cristo Rey tres multas por un total de: $2,181,550.00 pesos:
    • $545,387.50 pesos por no poner a disposición de los titulares el Aviso de Privacidad.
    • $779,125.00 pesos por no recabar el consentimiento para el tratamiento de datos financieros.
    • $857,037.50 pesos por no contar con una persona o departamento de privacidad, ni con un procedimiento para dar atención a las solicitudes de derechos ARCO.

Banco Nacional de México, S.A. integrante del Grupo Financiero BANAMEX

  • ¿De dónde derivó la multa? De un Procedimiento de Protección de Derechos iniciado por un particular, lo que llevó a un Procedimiento de Imposición de Sanciones.
  • ¿Cuáles fueron las multas y los motivos que las originaron? IFAI impuso cinco multas a BANAMEX por un total de $16,155,936.00 pesos:
    • $2,493,200.00 pesos porque Banamex fue negligente en el trámite de la solicitud de cancelación y oposición que le había presentado el titular de los datos.
    • $1,196,736.00 porque Banamex dejó de observar lo preceptuado por el principio de finalidad al continuar tratando los datos cuando el fin por el cual fueron recabados se había agotado.
    • $2,493,200.00 por no efectuar la cancelación de los datos cuando la misma resultaba procedente.
    • $4,986,400.00 pesos por continuar en el tratamiento ilegítimo de los datos del titular.
    • $4’986,400.00 pesos porque Banamex impidió el ejercicio de los derechos de cancelación y oposición del titular.

MÉDICO PARTICULAR (no se reveló el nombre)

  • Multa impuesta por el IFAI a un médico por $41,874.00 pesos, por haber transferido datos personales sensibles de alguno de sus pacientes, sin contar con el consentimiento del titular, y por no haber señalado expresamente en su Aviso de Privacidad las opciones y medios que ofrecía para limitar el uso o divulgación de los mismos.

Esta última multa viene a romper un mito muy importante, pues muchos profesionistas pensaban que esta regulación no les aplicaba. Todos los profesionales independientes que tenemos bases de datos estamos obligados a cumplir con la ley. No importa si eres abogado, notario, doctor, dentista, contador, asesor financiero, licenciado, chef o ingeniero, todos estamos obligados a cumplir con la ley.

Es importante entender los conceptos de violación a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares para entender qué es lo que nos puede generar una multa. Si bien estos que acabamos de ver no son todos los conceptos de violación que marca la ley, al menos nos damos una buena idea de cómo evitarnos problemas con el IFAI (y los titulares desde luego).

Estimado lector, no tomes a la ligera este tema, una multa de estas proporciones puede traer graves impactos a tu negocio, no solo económicos sino de credibilidad con tus clientes actuales y potenciales.

¿Qué hacer si recibo una solicitud para ejercer derechos ARCO?

Es de vital importancia tomar conciencia de lo peligroso que puede resultar contestar una solicitud de ejercicio de Derechos ARCO sin la previa asesoría correspondiente. Las multas pueden llegar casi a los $40 millones de pesos, y sí, aunque no lo creas, te puede aplicar a ti profesionista independiente, a tu agencia de marketing, o peor aún, ¡a alguno de tus clientes!

Recuerda, el 14 de noviembre de 2012 el IFAI impuso la primera multa a Farmacias San Pablo, quien por violar conceptos relativamente sencillos de la ley de la materia fue acreedora a una multa de poco más de $2 millones de pesos.

Desde el 10 de enero del 2012 predije el posible surgimiento de una nueva clase de trols, ¡los trols de datos personales! Todo parece indicar que no me equivoqué, pues ya conozco de algunos casos que bien podrían caer bajo esta “definición”.

A pesar de que la Ley Federal de Protección de Datos Personales en Posesión de Particulares no prevé ningún beneficio económico (como “daños y perjuicios”) para los titulares que “se quejen” en contra de los responsables de sus datos personales, es muy fácil intentar fastidiar a una empresa o responsable de datos personales, pues quienes conocemos de la materia sabemos que las multas por incumplimiento a la ley y el reglamento pueden ser cuantiosas. Incluso hay penas corporales (cárcel) si se dan algunos supuestos.

Básicamente la regulación de datos personales vigente permite a los titulares de los datos (cualquier persona física cuyos datos sean tratados por particulares) ejercer 5 derechos: el derecho de acceder a sus datos, el derecho de rectificar sus datos, el derecho de cancelar sus datos, el derecho a oponerse a determinado tratamiento de sus datos (hasta aquí conocidos colectivamente como “Derechos ARCO”), y el derecho a revocar su consentimiento para el tratamiento de sus datos personales, que viene a ser algo así como un “derecho de arrepentimiento” o “de retracto” (antes te di permiso de que trataras mis datos, ahora ya no quiero que los trates). Por  “tratamiento” debemos entender: cualquier operación que se realice con datos personales, desde su obtención, uso, divulgación, almacenamiento y hasta su cancelación y supresión.

Dicho de manera simple: cualquier titular de datos personales puede “tocar tu puerta” (o contactarte por cualquier medio previsto en tu aviso de privacidad) para exigirte el ejercicio de cualesquiera de los cinco derechos antes descritos: acceso, rectificación, cancelación, oposición o revocación.

¿Qué hacer cuando recibamos una solicitud de esta naturaleza? A continuación te comparto algunos consejos:

  1. Jamás contestes de inmediato, consulta primero con tu abogado especialista o con el oficial de datos personales de tu organización (designarlo es obligatorio por ley). Esto es importante por dos motivos: (a) porque la solicitud para ejercer Derechos ARCO puede presentarse de manera insuficiente o errónea (debe cumplir con ciertos requisitos), en cuyo caso puedes pedir información adicional al titular y por ende el plazo para contestarle se podría ampliar, y (b) porque existen causas justificadas en la ley para que el responsable se niegue a cancelar o a dar acceso a los datos personales.
  2. No demores en poner a funcionar tu departamento de datos personales o en involucrar a tu asesor legal. Por ley tienes un plazo de 20 días para contestarle al titular y 15 días más para ejecutar la acción que le respondiste en el primer plazo de 20 días.
  3. En tu respuesta, no copies de manera visible a nadie más de tu organización. Solo necesitas responderle al titular de los datos (o a su representante legal), a nadie más.
  4. Determina si la solicitud cumple con los requisitos de ley y si no existe ningún impedimento legal o excepción que pueda operar para negar legítimamente el acceso a los datos  o la cancelación de los mismos.
  5. ¡NO CONTESTES DE MÁS! El titular solo puede pedirte cualesquiera de los 5 derechos ya mencionados, no puede pedirte, por ejemplo: (a) que le compartas un aviso de privacidad de un tercero o un encargado, (b) exhibir el consentimiento otorgado por el titular para compartir sus datos personales con terceros (o para realizar transferencias), (c) exhibir cualquier documento NO relacionado con el ejercicio de los Derechos ARCO, (d) informar a quién han sido transferido sus datos y con qué finalidades (eso debe hacerse a través del aviso de privacidad, no a través de esta solicitud), etc.

Así como alguna vez comenté que “no hay que tenerles miedo a las cartas amenazantes de despachos de abogados”, ahora amplio mi dicho: “tampoco hay que tenerle miedo a las solicitudes de ejercicio de Derechos ARCO”. Si nuestra organización está debidamente capacitada y preparada para enfrentar estas situaciones, no hay nada que temer, pero siempre hay que actuar con prudencia y sobre todo, con la debida asesoría previa. Evítate correr riesgos de incurrir en infracciones que culminen en multas considerables impuestas por la autoridad competente (el IFAI). Más vale prevenir que lamentar.

¿Te venden algo por internet mediante un intermediario o una “transacción segura”? ¡Cuidado, es fraude!

Hace 5 años me contactó un amigo y me dijo: “Abogado, me venden un Jeep en $48,000 pesos, esta fabuloso, en muy buen estado, en las fotos luce como nuevo a pesar de ser modelo 1998. Ya cerré el trato pero todavía no he hecho el depósito, quiero que me ayudes a revisar el contrato de pago y transporte de Colorado a México. La operación me inspira confianza porque haré el depósito a un intermediario, el cual retendrá el pago mientras yo recibo a mi entera satisfacción el Jeep en el Distrito Federal”.

Con el paso de los años seguí recibiendo consultas similares de amigos y conocidos. El más reciente el pasado mes de febrero, en donde un amigo con cierta emoción me comentó que a su novia le ofrecían una plaza en PEMEX, que tenía que pagar $200,000 pesos pero dicha plaza le aseguraría un sueldo de $65,000 a $80,000 pesos mensuales en la paraestatal.

Todos los casos invariablemente tienen -todas o la mayoría de- las siguientes características:

  1. Se publicitan estos productos o servicios a través de páginas de avisos o anuncios clasificados, tanto “reconocidas” como poco conocidas;
  2. Una vez que envías algún cuestionamiento o requieres información al vendedor, suelen responderte con prontitud, con mucha atención e interés en cerrar el trato.
  3. Te dan bastante información, muchas veces más de la que preguntas o necesitas. Si te venden un producto físico se preocupan por mandarte fotos y detalles de las condiciones en que se encuentra.
  4. Suelen ser ofertas muy atractivas: productos o servicios a bajo precio, en buen estado y hasta con facilidades de pago. A veces justifican el bajo costo con un pretexto creíble, como “es que mandaron a trabajar al extranjero a mi esposo, nos tenemos que ir ya y nos urge vender esto”, “estoy en Estados Unidos, yo te mando el producto a tu casa o si quieres venir por él a la frontera”;
  5. El vendedor siempre se preocupa en transmitirte tranquilidad, pues la transacción se realizará a través de un tercero o intermediario que ofrece servicios de “transacciones seguras” por internet.
  6. Te pone en alerta: “cuidado con las estafas no de dinero a nadie al menos que le ofrezcan un método de retención de dinero tenga fichas de depósito”.
  7. Y por si no lo habías sospechado, si, ¡en todos los casos se trata de FRAUDE!

La estafa se consuma usualmente de dos maneras distintas:

  • Te logran convencer de que deposites el dinero en la cuenta bancaria de una “empresa intermediaria” (en ocasiones mal llamada “agente escrow”) que retendrá el dinero y no lo depositará en la cuenta del vendedor hasta en tanto tu no des aviso de la recepción de conformidad del producto o servicio. Para evitar rastreos en el pago, te piden lo hagas a través de servicios internacionales de “envíos de dinero” como MoneyGram, Western Union o Wells Fargo; o
  • Te logran convencer de que realices el pago o depósito a través de una página en internet que realiza “transacciones seguras” con una metodología similar a la anteriormente señalada. Se trata de una página que te roba tu identidad financiera (phishing) al momento que proporcionas tus datos bancarios.

¿Y sabes qué es lo peor de estos casos? Cuando una pequeña luz de prudencia se asoma por la cabeza de algunas personas previamente mareadas por el supuesto vendedor, y casi al final se echan para atrás o desisten de la compra (ya que tienen tu correo electrónico, nombre, teléfono y tal vez hasta dirección), el defraudador comienza a amenazarte con presentar una demanda en tu contra y acusarte ante la policía para enviarte a prisión por ser un “falso comprador” o por “violación de contrato”.

Tal vez algunos lectores se pregunten: ¿Por qué siguen ocurriendo estos fraudes? Por varias razones: (1) tal como lo comenté en otra columna “como en ninguna universidad imparten clases de “sentido común”, supongo muchos están autorizados a carecer de él”; (2) la gente sigue creyendo que internet es el paraíso para encontrar cosas gratis o a muy bajo costo; (3) la ambición para obtener algo bueno y barato (e incluso ilegal) suele pasar por alto cualquier señal de alerta, sensatez o sentido común.

Suelo comentarles a mis amigos: “si suena demasiado bueno para ser verdad, seguro es fraude”. No confíes en ofertas maravillosas y menos aún si te prometen realizar la transacción a través de “medios seguros” (intermediarios o páginas web especiales). Compra por internet en sitios reconocidos, especialmente si cuentan con el Sello de Confianza de la Asociación Mexicana de Internet.

Trols escandinavos , trols cibernéticos y trols litigantes… ¿Sabes distinguirlos?

Según Wikipedia, un trol (del nórdico troll) es un temible miembro de una mítica raza antropomorfa del folclore escandinavo. Su papel en los mitos cambia desde gigantes diabólicos —similares a los ogros de los cuentos de hadas ingleses— hasta taimados salvajes más parecidos a hombres que viven bajo tierra en colinas o montículos, inclinados al robo y el rapto de humanos.

Hoy en día, hablar de trols, si bien puede resultar espeluznante, poco o nada tiene que ver con esas creaturas míticas escandinavas. En la actualidad, hablar de “trolls” o “trols” puede tener hasta cuatro diferentes contextos, tres de ellos ampliamente conocidos y el cuarto es invención mía (o tal vez “predicción”).

TROL DE INTERNET.- La enciclopedia libre –Wikipedia– describe a este término como “una persona que sólo busca provocar intencionadamente a los usuarios o lectores, creando controversia, provocar reacciones predecibles, especialmente por parte de usuarios novatos, con fines diversos, desde el simple divertimento hasta interrumpir o desviar los temas de las discusiones, o bien provocar flamewars, enfadando a sus participantes y enfrentándolos entre sí. El troll puede ser más o menos sofisticado, desde mensajes groseros, ofensivos o fuera de tema, sutiles provocaciones o mentiras difíciles de detectar, con la intención en cualquier caso de confundir o provocar la reacción de los demás.”

Para mi, más que “trol de internet”, esta figura debería llamarse “trol de redes sociales”, pues es en ellas en donde estos individuos son más prolíficos y populares. Particularmente en Twitter, los #trolls gozan de tremenda notoriedad. Escudándose la mayoría de las veces en cuentas anónimas o falsas identidades, los #trolls twitteros se regocijan causando controversia entre los usuarios de esta red social, burlándose de personajes públicos (artistas, políticos, empresarios), molestando a usuarios que gozan de cierta fama (“celebridades twitteras”), o simplemente ofendiendo a empresas, marcas o usuarios que les caen mal (compañeros de escuela, trabajo, familiares, ex-parejas, etc.) Obviamente los trolls no solo existen en Twitter, pueden tener presencia en Facebook, blogs y comunidades de usuarios (foros de discusión).

En ocasiones, estos trols lejos de ser molestos, pueden servir como campaña “alterna” de mercadotecnia. Muchos conocemos al trol de “Comercial Mexicana” que en Twitter tiene más de 100mil seguidores. Cuando le pregunté a un funcionario de sistemas: ¿tendrías interés en iniciar alguna acción legal en contra de esta persona? Me respondió: “¡No! Si es nuestra mejor herramienta de mercadotecnia, y lo mejor de todo… ¡es gratis!”.

TROLS DE PATENTES.- Son aquellas empresas, en la mayoría de los casos creadas especialmente para administrar portafolios de patentes, que se dedican básicamente a: (1) presentar aplicaciones de patentes, (2) licenciar patentes, (3) administrar patentes y, desde luego, (4) litigar patentes. Es este último componente el que les da el carácter de “trolls de patentes”. En reiteradas ocasiones, grandes competidores del mercado del comercio electrónico, las tecnologías de información y los dispositivos electrónicos móviles han sido acusados de ser o comportarse como “trolls de patentes”, entre ellos Amazon, Apple y Microsoft. Esta actividad acuña también de cierta manera el término “guerra de patentes”, magistralmente explicado por una sencilla infografía que pueden consultar en: http://www.businessinsurance.org/patent-wars/.

TROLS DE DERECHOS DE AUTOR.- Los “copyright trolls” guardan gran similitud con los trolls de patentes, pues hacen casi lo mismo pero en el ámbito de los derechos de autor. Grandes periódicos estadounidenses, o entidades como Righthaven LLC, se han ganado este “mote”, por sus continuas amenazas y demandas a blogueros por copiar contenidos de sus portales de noticias. La Recording Industry Association of America (RIAA) y el U.S. Copyright Group (USCG) son conocidos por demandar a cientos o tal vez miles de fans de la música y los videos por usar tecnología peer-to-peer para compartir archivos con muchas personas, provocando la descarga ilegal de obras protegidas (canciones, videos, videojuegos, películas, etc.)

Finalmente vienen los trols que pronostico empezarán a surgir en este año en México:

TROLS DE DATOS PERSONALES.- A partir del 6 de enero de 2012, todo titular de datos personales podrá ejercer sus derechos ARCO (acceso, rectificación, cancelación y oposición) frente a los particulares o responsables que usen dichos datos. Si bien la Ley Federal de Protección de Datos Personales en Posesión de Particulares y su Reglamento no prevén ningún tipo de compensación económica (reparación del daño) para aquellos titulares que se vean afectados por un tratamiento inadecuado de sus datos personales, es conocido por muchos que las multas por incumplimiento de esta ley pueden llegar hasta caso $40 millones de pesos. Este puede ser motivo suficiente para que tanto titulares inconformes como competidores sin escrúpulos busquen promover ante el IFAI el inicio de procedimientos de verificación o de protección de derechos, con el fin de molestar a particulares o responsables del tratamiento de datos personales, o tal vez buscando algún tipo de compensación monetaria fuera del procedimiento.

Después de leer este breve artículo espero que usted sea capaz de distinguir a los clásicos trols escandinavos, de los modernos trols cibernéticos y trols litigantes… ¡uno nunca sabe con quién se puede topar!

Si has compartido tus datos personales, ¿conoces tus Derechos ARCO?

Desde el mes de julio del año 2010 México cuenta con una “Ley Federal de Protección de Datos Personales en Posesión de Particulares”. Esta ley contiene obligaciones específicas para toda aquella persona física o moral de carácter privado (incluyendo cualquier intermediario) que realice actividades de recolección y/o tratamiento de datos personales. Tiene por objeto la protección de los datos personales, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

Dentro de los contenidos de esta ley y su respectivo reglamento, se encuentran los “Derechos ARCO”, los cuales facultan al titular (todos nosotros) a solicitar al responsable de los datos (particulares o empresas) el acceso, rectificación, cancelación u oposición, respecto de los datos personales que le conciernen.

  • Derecho de ACCESO.- Los titulares tienen derecho a acceder a sus datos personales que obren en poder del responsable, así como conocer el Aviso de Privacidad, el cual contiene información relativa a las condiciones y generalidades del tratamiento. Tenemos derecho a preguntar a quien tenga o trate nuestros datos personales “¿qué datos tienes de mi persona?”
  • Derecho de RECTIFICACIÓN.- El titular podrá solicitar en todo momento al responsable que rectifique sus datos personales que resulten ser inexactos o incompletos. Tenemos derecho a decirle a quien tenga o trate nuestros datos: “mis datos son incorrectos, por favor corrígelos de la siguiente manera…”
  • Derecho de CANCELACIÓN.- El titular tendrá en todo momento el derecho a cancelar sus datos personales. La cancelación implica el cese en el tratamiento por parte del responsable, a partir de un bloqueo de los mismos y su posterior supresión. Tenemos derecho a pedirle a quien tenga o trate nuestros datos: “ya no quiero que trates mis datos, quiero que los borres”.
  • Derecho de OPOSICIÓN.- El titular tendrá derecho en todo momento y por causa legítima a oponerse al tratamiento de sus datos cuando: (i) exista causa legítima y su situación específica así lo requiera, lo cual debe justificar que aun siendo lícito el tratamiento, el mismo debe cesar para evitar que su persistencia cause un perjuicio al titular, o (ii) requiera manifestar su oposición para el tratamiento de sus datos personales a fin de que no se lleve a cabo el tratamiento para fines específicos. No procederá el ejercicio del derecho de oposición en aquellos casos en los que el tratamiento sea necesario para el cumplimiento de una obligación legal impuesta al responsable (por ejemplo, cuando nos opongamos al tratamiento de nuestros datos frente a un banco mientras tenemos vigente un contrato con dicha institución). De resultar procedente la solicitud de oposición, el responsable no podrá tratar los datos relativos al titular.

Para hacer valer nuestros Derechos ARCO debemos hacerlo a través de una “solicitud de acceso, rectificación, cancelación u oposición”, la cual deberá contener y acompañar lo siguiente:

  • El nombre del titular y domicilio u otro medio para comunicarle la respuesta a su solicitud;
  • Los documentos que acrediten la identidad o, en su caso, la representación legal del titular;
  • La descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos antes mencionados, y
  • Cualquier otro elemento o documento que facilite la localización de los datos personales.

Es muy importante que tengas alguna prueba de que entregaste esa solicitud ante el responsable de los datos, lo cual puedes lograr solicitando que te firmen y sellen de recibido una copia de la misma. Nuestros datos son muy valiosos para todos los comerciantes, empresas y profesionistas con los que tenemos relación. Sin ellos no podrían contactarnos para ofrecernos sus productos y servicios. Defendamos vigorosamente nuestra información personal, pues afortunadamente contamos con herramientas legales para hacerlo. El órgano garante de esta ley es el Instituto Federal de Acceso a la Información Pública y Protección de Datos (IFAI), el cual en su página web tiene mucha información para orientarnos en esta materia: http://www.ifai.org.mx/.

Ley Federal de Protección de Datos Personales en posesión de particulares FOR DUMMIES.

Tras la entrada en vigor de la ley el pasado 6 de julio de 2010, me he dado a la tarea de hacer un análisis en cada uno de los procesos cotidianos de mi vida en cuanto al tratamiento de datos; me ha tocado de todo, desde ver cómo nos piden datos por doquier a diestra y siniestra, saber que las bases de datos de la mayoría de las pequeñas empresas se encuentran sin protección alguna o que bajo la promesa de obtener puntos en algunas tiendas, les otorgamos toda clase de datos, pero quizás cosas más graves como que el software que maneja las bases de datos de un servicio de coparticipación estatal envía por error correos de confirmación con datos financieros y personales al destinatario equivocado.

Tristemente, para aderezar el panorama, existe una serie de “mitos y leyendas” alrededor de la ley, que se propagan como virus mal informando a la población y poniendo en evidencia que existe un gran desconocimiento. Pero creo firmemente que un pueblo bien informado es un pueblo que puede cumplir con sus obligaciones.

Pues bien, por tal motivo he decidido crear este pequeño post que pretende desmenuzar la ley y resumir en fáciles preguntas, las cuestiones imprescindibles de conocer de esta ley.

1.       ¿Qué es?

Se trata de una Ley Federal pretende garantizar la privacidad del usuario así como la facultad de determinar la gestión de la misma.

2.       ¿A quién le aplica?

Esta es una de las mejores preguntas, muchas personas creen que únicamente le aplicará a empresas que se dediquen a la administración de bases de datos o de gestión de información pero NO, la ley es muy clara, esta ley le aplica a TODA persona física o moral de orden privado que efectúen el tratamiento de datos personales, únicamente con dos excepciones que también son muy claras; la primera es las sociedades de información crediticia como el buró de crédito y la segunda las personas que recolecten información para fines ESTRICTAMENTE PERSONALES, sin fines de divulgación o comercialización.

Como pueden ver, prácticamente nos aplica a todos los que por cualquier medio obtengamos y gestionemos información. Mucho ojo a los profesionales que trabajan por su cuenta o los famosos freelancers. Tanto en el entorno físico como en el digital.

3.       ¿Qué son los datos personales y qué diferencia hay con los datos sensibles?

No, no es que los datos sensibles sean los que se sienten más, se llaman así incluso por influencia de legislaciones europeas en las cuales esta ley está inspirada que nos indican que un dato se refiere a la esfera más íntima de un individuo y el cual pudiese ocasionar algún tipo de discriminación o riesgo grave al ser difundido, tales como la religión, estado de salud o preferencia sexual. En cambio un dato personal es un poco más general ya que se define como cualquier información que nos permita identificar a un individuo.

4.       ¿Qué es el tratamiento de datos?

Obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio.

5.       Se habla mucho de un aviso de privacidad ¿Qué es eso?

Los obligados a cumplir esta Ley al momento de solicitarle sus datos al titular, previo al tratamiento de sus datos debe exhibirle este documento para obtener su autorización, este puede ser un documento físico, electrónico o en cualquier otro formato generado por el responsable.

El aviso de privacidad debe contener:

  • La identidad y domicilio del responsable que los recaba;
  • Las finalidades del tratamiento de datos;
  • Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos;
  • Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición, de conformidad con lo dispuesto en la Ley;
  • En su caso, las transferencias de datos que se efectúen, y
  • El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad, de conformidad con lo previsto en la Ley.

El aviso de privacidad debe ponerse a disposición de los titulares a través de formatos impresos, digitales, visuales, sonoros o cualquier otra tecnología.

6.       Un punto muy importante que afecta de manera directa al responsable es que este  deberá establecer medidas de seguridad no sólo técnicas sino también físicas de control, manejo y acceso a esta información.

7.       ¿Y qué pasa si incurro en alguna infracción?

Mucho se ha hablado de las consecuencias de incumplir la ley, de las multas y aún más de la pena corporal que se prevé en esta Ley, eso para muchos es alarmante, lo cierto es que en definitiva se busca que las personas se concienticen de la importancia de la privacidad de los datos y de un correcto tratamiento de manera legítima, controlada e informada.

En efecto las sanciones, -que además de duplican en caso de tratarse de datos sensibles- son muy altas, lo primero es un apercibimiento,  de continuar con una conducta infractora, multa de 100 a 320,000 DSMGDVDF, multa adicional de 100 a 320,000 DSMGDVDF (si persisten infracciones de manera reiterada), y por último pena de prisión de hasta 5 años que puede duplicarse en el caso de datos sensibles.

8.       ¿Cuándo?

Muchas personas piensan que aún no entra en vigor, corrección, entró en vigor al siguiente día de su publicación, sin embargo, el Poder Ejecutivo Federal tiene un año para expedir el Reglamento pertinente, los responsables tienen también un año para expedir sus avisos de privacidad y nombrar al Chief Privacy Officer y por último, los titulares podrán empezar a ejercer sus derechos hasta 18 meses después de la entrada en vigor de la Ley.

En los siguientes capítulos detallaremos más acerca de esta Ley, sin embargo hemos tratado de contestar las preguntas más comunes, recuerde, NO SE AUTOMEDIQUE, acuda a un  profesional en caso de duda.

Pide Diputado más presupuesto para el IFAI, en virtud de nuevas atribuciones en materia de datos personales

GACETA PARLAMENTARIA, AÑO XIII, NÚMERO 3136-VI, JUEVES 11 DE NOVIEMBRE DE 2010

CON PUNTO DE ACUERDO, A FIN DE QUE EN EL PROYECTO DE PRESUPUESTO DE EGRESOS DE LA FEDERACIÓN DE 2011 SE CONSIDEREN MAYORES RECURSOS PARA EL IFAI, A EFECTO DE QUE CUMPLA LAS ATRIBUCIONES ESTABLECIDAS EN LA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES, A CARGO DEL DIPUTADO JAIME FERNANDO CÁRDENAS GRACIA, DEL GRUPO PARLAMENTARIO DEL PT

El suscrito, diputado Jaime Fernando Cárdenas Gracia, diputado federal del Grupo Parlamentario del Partido del Trabajo en el Congreso de la Unión, con fundamento en los artículos 58 y 59 del Reglamento para el Gobierno Interior del Congreso General de los Estados Unidos Mexicanos, solicito se someta a consideración de esta Asamblea, la proposición con punto de acuerdo por el que se exhorta a la Comisión de Presupuesto y Cuenta Pública para que en el Presupuesto de Egresos del Ejercicio Fiscal 2011, otorgue los recursos que el Instituto Federal de Acceso a la Información requiere para cumplir con las atribuciones establecidas en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, y a la Comisión de Hacienda para que emita opinión favorable sobre los requerimientos presupuestales del Instituto Federal de Acceso a la Información para el 2011, bajo las siguientes:

Consideraciones

1. El 27 de abril del presente año, el Congreso de la Unión aprobó la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, misma que fue publicada en el Diario Oficial de la Federación el 5 de julio de 2010.

2. La Ley Federal de Protección de Datos Personales en Posesión de los Particulares, tiene como finalidad dar cumplimiento a lo dispuesto en el artículo 16 constitucional que prevé el derecho fundamental a la protección de datos personales, dando certeza jurídica a las personas en el manejo de su información personal, siendo el Instituto Federal de Acceso a la Información (IFAI) el órgano garante de velar por la protección de los datos de todos los ciudadanos.

3. La Ley Federal de Protección de Datos Personales en Posesión de los Particulares establece que el Instituto Federal de Acceso a la Información tendrá por objeto difundir el conocimiento del derecho a la protección de datos personales en la sociedad mexicana, promover su ejercicio y vigilar por la debida observancia de las disposiciones previstas en la ley, en particular aquellas relacionadas con el cumplimiento de obligaciones por parte de los sujetos regulados por este ordenamiento.

4. Por lo que las nuevas atribuciones del IFAI comprenden desde la elaboración del reglamento de la ley, el desarrollo de los procedimientos de tutela de derechos, emisión de regulación y normatividad secundaria, proporcionar apoyo técnico a los particulares que lo soliciten, divulgar estándares y mejores prácticas internacionales en materia de seguridad de la información, brindar capacitación a los sujetos obligados por la ley, conocer y resolver los procedimientos de protección de derechos y de verificación señalados en la ley e imponer las sanciones según corresponda, entre otras.

5. Las nuevas atribuciones del IFAI implican que en materia de protección de datos personales en posesión de particulares, el Instituto será autoridad en las 32 entidades federativas y tendrá un universo de sujetos obligados que rebasa los 3.5 millones de establecimientos.

6. Dada la creciente demanda ciudadana para que el IFAI proteja su derecho al acceso a la información, así como la dimensión del reto que implica hacer plenamente vigente y exigible el derecho a la protección de datos personales, el Instituto no puede hacer frente a sus nuevas atribuciones sino cuenta con recursos presupuestales adicionales en el ejercicio fiscal 2011.

7. El artículo octavo transitorio de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares establece lo siguiente: “El Presupuesto de Egresos de la Federación para el Ejercicio Fiscal 2011 considerará partidas suficientes para el adecuado funcionamiento del Instituto Federal de Acceso a la Información y Protección de Datos en las materias de esta Ley”.

8. En el proyecto de Presupuesto de Egresos del 2011, el presupuesto que se destina al IFAI se localiza adscrito al presupuesto de la Secretaría de Hacienda y Crédito Público (Ramo 6), en el apartado de Entidades Apoyadas No Sectorizadas, con un monto de 275.2 millones de pesos, sin embargo según estimaciones del IFAI, para que el Instituto pueda cumplir con las nuevas atribuciones que la Ley Federal de Protección de Datos Personales en Posesión de los Particulares le otorga, se hace necesario un incremento presupuestal, al techo comunicado por la SHCP, por la cantidad de 225.2 millones de pesos, mismos que deberán etiquetarse conforme a la estimación elaborada por el IFAI.

9. Sobre la previsión presupuestal de 275.2 millones de pesos considerada por la SHCP para el IFAI en el año 2011, llama la atención que sólo representa un incremento de 19 millones de pesos con relación al presupuesto aprobado para el 2010 que ascendió a 256.2 millones de pesos, al respecto pareciera que la SHCP no consideró nada en relación a las nuevas atribuciones generadas para el IFAI con la ley en comento.

10. Es importante hacer notar que el recurso adicional que solicita el IFAI, es inferior a lo estimado en la opinión de impacto presupuestal realizada por la propia Comisión de Presupuesto y Cuenta Pública de esta Cámara de Diputados, incorporada en el dictamen de aprobación de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

11. Considerando que el IFAI no puede distraer recursos del programa de acceso a la información, a favor del derecho a la protección de datos, pues haría nugatorio ambos derechos, es que se hace indispensable solicitar mayores recursos para resguardar la tutela de dichos derechos.

12. En razón de que el presupuesto del IFAI se encuentra adscrito a la SHCP como una Entidad Apoyada No Sectorizada, a la Comisión de Hacienda de la Cámara de Diputados en tratándose de su ramo administrativo, le compete emitir opinión sobre el Presupuesto de la Secretaría de Hacienda y Crédito Público, en este sentido se considera necesario que en la opinión que al efecto elabore apoye la solicitud de mayores recursos para que el IFAI haga frente a las nuevas atribuciones de la citada ley.

Por lo expuesto, se somete a consideración de esta soberanía, la aprobación de los siguientes:

Puntos de Acuerdo

Primero. Se exhorta a la Comisión de Presupuesto y Cuenta Pública para que en el Presupuesto de Egresos del Ejercicio Fiscal 2011, otorgue los recursos que el Instituto Federal de Acceso a la Información requiere para cumplir con las atribuciones establecidas en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Segundo. Se exhorta a la Comisión de Hacienda para que en la opinión que emita sobre el Presupuesto de Egresos de la Secretaría de Hacienda y Crédito Público para el 2011, establezca que es necesario incrementar la previsión presupuestal para que el Instituto Federal de Acceso a la Información de cumplimiento a las atribuciones establecidas en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Transitorio

Esta proposición entrará en vigor el día de su aprobación en la Cámara de Diputados.
Palacio Legislativo de San Lázaro a 25 de octubre del 2010
Diputado Jaime Fernando Cárdenas Gracia (rúbrica)

Uruguay es reconocido por la Unión Europea por su nivel de protección de datos personales

BRUSELAS, 9 Nov (UYPRESS) – La comisión técnica europea que analizaba el marco jurídico e institucional uruguayo en para la protección de datos personales se expidió favorablemente y “sin objeciones”, lo que abirá la posibilidad a importantes inversiones europeas.

A partir de la sanción de la Ley de Protección de Datos Personales en 2008, Uruguay inició un proceso para obtener la calificación de “país con protección de datos personales adecuado” según la normativa de la Unión Europea.

La obtención de ese estatus de adecuación representa una gran oportunidad para la captación de inversiones desde el viejo continente, ya que al obtenerlo, se habilita el libre flujo de datos personales, lo que constituye una condición imprescindible para la realización de determinadas inversiones y que en los hechos opera como una traba no arancelaria.

Algunas de las oportunidades más significativas son la provisión de servicios deslocalizados (call centers, centros de cómputos, polos tecnológicos), la industria farmacológica y el sector biotecnología, entre otros. Todos ellos sectores intensivos en mano de obra calificada y generación de conocimiento.

El Grupo de Trabajo del Artículo 29 (WP29) es el ámbito que estudia y aprueba el marco jurídico e institucional del país que aspira a obtener la adecuación, un proceso exhaustivo y prolongado, que en el caso uruguayo tomó aproximadamente dos años.

El dictamen del WP29 que culminó “sin objeciones” es un reconocimiento al sistema vigente en Uruguay, que lo coloca a la vanguardia y como referente en la materia, superando a países como Canadá, Australia e Israel. Asimismo, lo nivela con Argentina, el único país de América Latina con ese estatus hasta el momento, pero con la salvedad que la adecuación argentina aún debe subsanar objeciones que le fueron formuladas a la hora de concederle dicho reconocimiento en 2003 o podría peligrar su estatus.

A partir del dictamen favorable de la comisión técnica, el proceso continúa por los canales políticos de la Unión Europea, que debe culminar con la aprobación final del Parlamento Europeo, lo que se estima que suceda en un plazo aproximado de seis meses.

La Ley de Protección de Datos Personales, No 18.331, reconoce como un “derecho humano fundamental” a la protección de estos datos y creó a la Unidad Reguladora y de Control de Datos Personales (URCDP) como organismo técnico encargado de la tutela del este derecho.

La URCDP funciona en la órbita de la Agencia de Gobierno Electrónico (AGESIC), organismos que han sido los encargados de trabajar en el proceso de adecuación ante la Unión Europea.

UyPress

http://www.uypress.net/uc_9979_1.html

México será la sede del 33° Encuentro Mundial sobre Protección de Datos en 2011

El anuncio fue hecho en Israel por la Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, máximo foro en el orbe, y el IFAI será el organizador. Jacqueline Peschard agradeció la distinción y subrayó que será la primera vez que este evento se lleve a cabo en América Latina.

La Conferencia Internacional de Autoridades de Protección de Datos y Privacidad (CIAPDP) aprobó en Israel otorgar a México la sede de la 33 edición de su encuentro mundial, a celebrarse a finales de 2011, evento considerado el máximo foro mundial en la materia.

Jacqueline Peschard, comisionada presidenta del Instituto Federal de Acceso a la Información y Protección de Datos (IFAI), agradeció a los miembros de la CIAPDP el apoyo a la candidatura de México y la confianza depositada en el IFAI para ser el anfitrión del encuentro.

La distinción se da después de que la Conferencia otorgara al IFAI el reconocimiento internacional como Autoridad de Protección de Datos de México y aprobara su incorporación como miembro de ese organismo.

Peschard señaló que la decisión adquiere relevancia para la región, por ser la primera vez que los trabajos de la Conferencia serán organizados en un país de América Latina.

En la larga tradición de conferencias internacionales de comisionados de protección de datos y privacidad, dijo, sólo ha habido un país de América, Canadá, que ha organizado una de ellas.

“Por ello vemos esto como una oportunidad para incorporar plenamente a la región latinoamericana como parte de esa comunidad”, agregó.

En los últimos cinco años, indicó, la región se ha movilizado en la adopción de la protección de los datos personales como un tema de agenda.

“Hemos aceptado la responsabilidad de ser los anfitriones de la 33a Conferencia, porque estamos convencidos de que ésta contribuirá a empujar el tema de la privacidad en nuestro país y en toda la región Latinoamericana”, expuso.

Peschard destacó que América Latina representa un entorno regional emergente, en todos los sentidos, por lo que la 33 Conferencia supondrá un paso adelante en el objetivo estratégico de lograr estándares de privacidad a nivel global.

La CIAPDP celebra reuniones cada año, constituyéndose éstas en el mayor foro dedicado a la protección de datos y la privacidad a nivel mundial, en el que participan las máximas autoridades e instituciones garantes en la materia, así como expertos de todos los continentes.

Asimismo, asisten representantes del sector privado interesados en el tema, sobre todo de empresas de las telecomunicaciones, del área de la salud, aseguradoras, firmas internacionales y nacionales de abogados, así como representantes de gobiernos, de la sociedad civil, de la academia y especialistas.

En esta ocasión, la 32 Conferencia fue organizada por la Autoridad Israelí de Información y Tecnología, con la participación de ponentes de alrededor de 50 países.

Se tiene previsto que la 33 Conferencia se lleve a cabo a finales de 2011, y su objetivo será propiciar un espacio donde las autoridades y expertos en la materia de protección de datos intercambien experiencias e iniciativas para la consolidación y fortalecimiento de este importante derecho humano.

El aforo estimado en este tipo de eventos es superior a las mil personas, de aproximadamente 50 países.

http://www.ifai.org.mx/pdf/sala_prensa/publicaciones/comunicados/2010/ComunicadoIFAI142.pdf

Facebook admite que se vendieron datos

Facebook ha reconocido que varios creadores de aplicaciones vendieron información de los usuarios de la red social a terceros. La compañía, que está siendo investigada por la Agencia Española de Protección de Datos (AEPD) para ver si este hecho afectó a usuarios españoles, abrió su propia investigación interna hace dos semanas, cuando se vio obligada a reconocer los fallos de seguridad de su red. El diario The Wall Street Journal denunció que varios programadores de aplicaciones externos a Facebook habían estado enviando a un mínimo de 25 empresas y agencias de publicidad el número que identifica a cada usuario de la red (UID), a partir del cual se pueden obtener datos de los usuarios.

La compañía reconoció de inmediato el “problema” de seguridad, especificando que esa transmisión de información “no había sido premeditada”. La red social añade ahora que ha suspendido durante seis meses a casi una docena de programadores que han recibido dinero por facilitar ese número. La política que la compañía hace firmar a las empresas que programan aplicaciones para ella especifica que la información de los usuarios, inluyendo esos UID, no puede ser compartida.

Facebook no ha facilitado los nombres de las empresas suspendidas, aunque ha precisado en su blog oficial que estas son “pequeñas” y que “ninguna de ellos está en la lista de las diez aplicaciones más descargadas”.

La red social exonera así de la venta de información a las empresas que están detrás de aplicaciones como Farmville que, con casi 60 millones de usuarios, fue identificada por WSJcomo una de las que había transferido datos.

‘Tolerancia cero’

“Facebook nunca ha vendido ni venderá información de los usuarios”, subraya el ingeniero de Facebook Mike Vernal en un comunicado público. “Tenemos tolerancia cero con los vendedores de datos porque socavan el valor que esperan los usuarios”, añade. Facebook también ha explicado en su blog cuáles serán los próximos pasos para los que han comerciado con datos de los usuarios: “Vamos a exigir a esos programadores que se sometan a una auditoría en el futuro para confirmar que cumplen con nuestras políticas”.

Más allá de la depuración que realice la red social y las soluciones técnicas puestas en marcha para evitar estas prácticas (como la inclusión de identificadores anónimos), la AEPD continúa su inspección para determinar si esta venta de datos ha afectado a España, donde la compañía cuenta con diez millones de clientes.

Pero Facebook no es la única red afectada por este problema. La semana pasada, MySpace, con 2,5 millones de usuarios en España, tuvo que reconocer que algunas de sus utilidades también habían compartido la identificación de sus usuarios. El director de la Agencia, Artemi Rallo, alerta de los “defectos estructurales” en cuanto a seguridad de las redes sociales. “No existe un verdadero control legal de lo que se hace con esas bases de datos”, añade.

http://www.publico.es/ciencias/344445/facebook-admite-que-se-vendieron-datos