Archivo de la categoría: Ley Federal de Protección de Datos Personales en Posesion de los Particulares

Breves sobre protección de datos

Protección de datos personales… A decir verdad, el tema cada vez se pone mejor. La ley publicada el 10 de julio de 2010 se está materializando en procedimientos de ejercicio de derechos de acceso, rectificación, cancelación y oposición (Conocido como Derecho ARCO), revocación del consentimiento y de denuncias por parte de titulares que se sienten agraviados tanto en su derecho humano consagrado en el artículo 16 Constitucional.

Peso muy relevante está ganando contar con documentos que acrediten realmente el cumplimiento de la ley. Esto es, debemos tomar en cuenta que si bien nuestra Ley Federal de Protección de Datos Personales en Posesión de los Particulares, no es tan rígida en varios aspectos como las leyes europeas, lo cierto es que el nivel económico de sanciones que su incumplimiento involucra, debe ser suficiente para hacer ver a las empresas y personas físicas que den tratamiento a datos de carácter personal, sean sensibles o no, que se deben documentar los procesos de cumplimiento y dar seguimiento a los mismos.

Capacitación, levantamiento de información, mapeo de los datos, elaboración de avisos de privacidad integrales, cortos y simplificados, contratos o cláusulas de remisión y/o transferencias, capacitación del Jefe del Departamento de Protección de Datos Personales, documentar procesos de desahogo de ejercicio de derechos ARCO, documento de seguridad, son algunas de las actividades que debemos realizar.

Ya tenemos diferentes disposiciones que nos dan línea de seguimiento. Toca implementar.

Saludos.

Por: Jorge Molet.

molet.mx

Sistemas de resolución de conflictos ON LINE. Una realidad en casa.

El sistema de resolución de disputas en línea, mejor conocido como “on line dispute resolutions” (ODR por sus siglas en inglés) se podría definir como una forma de hacer uso de las tecnologías que están embebidas en el procedimiento arbitral en su totalidad o en forma parcial, como una forma de evolución y revolución a una transición a un mundo sin papel.

Lo que se intenta analizar es si el arbitraje en línea tiene aspectos de realismo e idealismo. El sistema ODR ha crecido mucho en los últimos años, principalmente en países desarrollados, en donde se ha integrado al proceso arbitral una cuarta parte, que es la tecnología como tal.

Para países como México en el cual nos encontramos en proceso de implementación de este tipo de procedimientos (Aunque ya existen algunos casos de éxito en el gobierno como e-compras), algunos de los retos principales en contra de los procedimientos tradicionales y con los que nos encontraremos en forma constante son:

(i) En cuanto a acuerdos arbitrales: El requerimiento de que sea escrito; Limitarnos a procedimientos entre empresas y privados (B2B), cuando el procedimiento funciona también para resolver problemas entre empresas (B2B); Doctrina relativa a la equivalencia funcional.

(ii) En cuanto al procedimiento: Creación de procedimientos en línea; Aplicación de las presentaciones en línea o e-filing; Autenticación de documentos en línea; Desarrollo de audiencias en línea con el uso de tecnología de videograbación; Producción de documentos y evidencias electrónicas eficientes; Creación de resoluciones en línea eficientes.

(iii) Algunas otras consideraciones: Aplicación de firma electrónica, notificaciones electrónicas eficientes y la defensa y ejecución de las decisiones tomadas en estos procedimientos.
Algunos proveedores de arbitraje insisten en no migrar a lo digital, ya que la pugna entre los proveedores tradicionales y los proveedores de ODRs no cesa, lo cual puede significar a estos proveedores el éxito o el fracaso entre la justicia y la eficiencia.

Sin embargo, para los desarrolladores de procedimientos ODR tampoco será sencillo. Para hacer realidad el ODR, se debe ser proactivo como proveedor y no dejar de innovar en crear conceptos y formas para mantener el concepto de justicia en línea. Algunos consejos para asegurar el éxito en esta materia son los siguientes.

(i) Interconectar los procedimientos de disputa por medio de arbitraje (Arbitration Dispute Resolution o ADR) con el ODR ya que son universos paralelos y sus roles de instituciones y proveedoras no cambian.

(ii) Desarrollar el profesionalismo y el know how en la forma de proveer el servicio, en un ambiente de confianza y capacitación de árbitros en el ámbito digital.

(iii) Crear reglas específicas para el ODR, estándares y códigos especializados.

(iv) Proveer los servicios bajo una base de procedimientos tecnológicos arbitrales.

Todavía existen “tecnofobicos” y “arbitrofobicos”, en donde el conflicto de escoger la tradición a la innovación existe, sin embargo, hay que tomar en cuenta que el arbitraje on-line ya no es un idealismo, es una realidad que hay que aceptar y la tenemos ya en casa.

Muchas gracias a Mohamed Abdel, abogado litigante de Egipto, por haberme motivado a escribir un poco sobre este tema y proveerme de sus valiosos comentarios.

Revista Mexicana del Derecho de Autor. Contratos Autorales y Protección de Datos Personales.

Hola,

Aquí verán la última publicación de la Revista Mexicana del Derecho de Autor. Una gran iniciativa del Instituto Nacional del Derecho de Autor en México.

Nuestra aportación: Contratos Autorales y Protección de Datos Personales.

Espero sea de utilidad.

Un abrazo!

http://www.consultasindautor.sep.gob.mx/revistadigitalindautor/epoca2.html

Alta Dirección: Es importante proteger la propiedad intelectual de la empresa

Les comparto nuestra aportación a un excelente sitio web para el desarrollo de negocios. Breve, conciso y muy útil. Proyecto iniciado por Héctor Debernardo.

Saludos!

http://www.puenteempresarial.com/2013/04/28/propiedadintelectual1/

¿Por qué una empresa de Marketing debe cuidar los datos personales?

Como ya es sabido, el 6 de julio de 2010 entró en vigor la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Su reglamento publicó el 21 de diciembre de 2011, y los Lineamientos del Aviso de Privacidad el 17 de enero de 2013, con lo cual, el andamiaje legal está dado para que la autoridad imponga sanciones que pueden ir hasta los 40 millones de pesos en caso de datos sensibles.

El reglamento de la ley y los lineamientos del aviso de privacidad, establecen algunos supuestos dirigidos a controlar el envío indiscriminado de bases de datos, actividad que es muy frecuente entre las empresas o departamentos de marketing, ya que al final del día, el combustible de su actividad es precisamente la información personal de personas que pueden ser sus potenciales clientes, es decir, vender, vender y vender.

Pero ésta actividad ya no puede ser llevada a cabo como hasta ahora se ha hecho, ya hay reglas, y aquí van algunas consideraciones que deben ser tomadas en cuenta antes de continuar comprando bases de datos o compartiendo información personal indiscriminadamente.

• Comprar bases de datos. Ya no funciona comprar bases de datos y esto ocurre debido a que, en el momento en que le hagamos llegar nuestra publicidad al primer cliente, éste podrá preguntarse ¿de dónde sacaron mi información? Y si el titular de los datos sabe un poco más, podría iniciar un procedimiento de ejercicio de derechos ante nosotros y por supuesto, no podremos contestar la pregunta que nos estarán haciendo. Esto se puede complicar más si no tenemos un aviso de privacidad que contemple éste proceso y no estamos preparados para que el Jefe de Protección de Datos de nuestra empresa, desahogue en tiempo y forma dicha solicitud.

• Consentimiento. La ley de protección de datos es especialmente dura con la actividad de Marketing, tan es así, que ahora se exige el consentimiento expreso de los titulares de los datos para llevar a cabo ésta actividad. Es decir, no es suficiente con plasmar en el aviso de privacidad, que se enviarán publicidad derivada de la recolección de los datos, sino que se deben establecer mecanismos por los cuales se recabe el consentimiento del titular, por ejemplo, una casilla que indique “si” o “no” y la casilla que dice “no” deberá estar marcada para que el titular señale si, si está de acuerdo.

• Transferencias consentidas. Cuando la empresa de Marketing obtenga una base de datos en la cual, la transferencia fue debidamente consentida, no obstante ello, se debe de poner a disposición del titular de los datos el aviso de privacidad de la empresa que hará uso de la base de datos, es decir, la empresa de Marketing que enviará la información publicitaria.

• Tratamientos distintos. Si la empresa vende zapatos, y de pronto se abre abre un nuevo modelo de negocio que exige los servicios de marketing, la empresa no podrá hacer uso de su base de datos para enviar ésta información de nuevos productos, sin poner a disposición un nuevo a viso de privacidad que contenga las características del nuevo tratamiento, todo ello en forma previa al aprovechamiento de los datos personales.

Como pueden ver, ya no es tan fácil explotar las bases de datos de los clientes, y las empresas de mercadotecnia deberán establecer procedimientos internos y modificar algunos otros, a efecto de no incurrir en sanciones que son fácilmente evitables, siempre que se hagan con cuidado y con base en los criterios correctos.
Éste artículo no pretende ser una asesoría legal, ya que el estudio no es exhaustivo. En caso de que usted lleve a cabo ésta actividad, será necesario que consulte con su abogado.

Nuevos lineamientos del Aviso de Privacidad en México

Con fecha 17 de enero de 2013 fueron publicados en el Diario Oficial de la Federación, los Lineamientos del Aviso de Privacidad.

Dicho ordenamiento entrará en vigor de conformidad con el Único transitorio, tres meses después de su publicación siendo tal fecha el día 17 de marzo de 2013. Estos lineamientos aportan la inclusión de estándares internacionales y buenas prácticas en materia de protección de datos personales y nos permitimos comentar las principales modificaciones o aportaciones:

1. Se aclara la existencia de tres modalidades de Aviso de Privacidad: Integral (aquel que debe cumplir todos los elementos previstos en el artículos 8, 15, 16, 33 y 36 de la de la Ley y 14, 30, 41, 68, 90 y 102 del Reglamento); simplificado (para datos personales obtenidos directamente del titular por cualquier medio electrónico, óptico, sonoro, visual, o a través de cualquier otra tecnología) y; corto (para datos personales que se obtengan por medios impresos, siempre que el espacio utilizado para la obtención de los datos personales sea mínimo y limitado). (Artículos Sexto, Decimoctavo, Decimonoveno, Trigésimo Cuarto a trigésimo octavo).

2. Introduce la opción que en el aviso de privacidad se establezca el mecanismo para que el titular manifieste su negativa al tratamiento de sus datos personales para finalidades no necesarias o no hayan dado origen a la relación jurídica con el responsable y para que revoque su consentimiento así como si el Responsable usa mecanismos en medios remotos o locales de comunicación electrónica que recaben datos personales automáticamente al momento en que el titular hace contacto con ellos.(Artículo Vigésimo, Trigésimo primero y Trigésimo tercero)

3. El Aviso de Privacidad no deberá contener o incluir frases inexactas como “entre otros datos personales” o “por ejemplo”. (Artículo Vigésimo segundo), y se deberá describir las finalidades para las cuales se trataran los datos incluidas las de carácter mercadológico y publicitario. (Artículo vigésimo cuarto)

4. Deber de identificar entre finalidades necesarias y no necesarias (Artículo vigésimo cuarto) así como señalar los terceros (nombre, denominación o razón social y sector de actividad) a quienes se podrá transferir datos y las finalidades de las transferencias. (Artículo Vigésimo sexto).

6. Deber de incluir los medios u opciones que tendrá el titular para limitar el uso y divulgación de sus datos distintas al ejercicio de derechos ARCO o revocación de consentimiento como inscripción en el Registro Público de Consumidores o de Usuarios de Servicios Financieros, registro en listados de exclusión o medios para manifestar negativa a recibir comunicados. (Artículo Trigésimo)

7. Buenas prácticas:

a) Identificar por cada finalidad qué datos se recaban.

b) Señalar los mecanismos para recabar el consentimiento para tratamiento de datos personales de menores, incapaces e interdictos.

Pues a adecuarnos todos!

Gracias a Liliana Arellano por su apoyo en la elaboración de éste documento.

Saludos.

Datos personales en Latinoamérica

El día de hoy les quiero compartir el trabajo elaborado por Ciro Angarita Barón de la Universidad de los Andes, en donde nos da cifras muy interesantes sobre la regulación en materia de protección de datos personales en Latinoamérica.

Mi percepción es que la tendencia va en aumento rápidamente y durante ésta década, tendremos más leyes especializadas en la región.

http://habeasdatacolombia.uniandes.edu.co/wp-content/uploads/Latinoamerica-proteccion-datos-en-cifras-1985-2012-Remolina.pdf

Bien por ello.

Saludos.

Entrevista sobre la primera sanción en México por no cumplir con el aviso de privacidad

Hola,

Les comparto la entrevista realizada hace algunos días en el programa de radio de Eddy Warman, sobre la primera multa en materia de protección de datos personales impuesta en México a la empresa conocida comercialmente con Farmacias San Pablo.

La pueden encontrar en la siguiente liga:

http://www.youtube.com/watch?v=kx4efprgiTg&feature=youtu.be

Saludos!

Si publicas un aviso de privacidad… Hay que cumplirlo.

Por: Jesús Sánchez Berian (Los técnicos) y Jorge Molet (Los rudos).

¿Cuántos escándalos sobre venta de bases de datos de empresas y bases de datos oficiales de más de 2 millones de mexicanos en mercados negros como Tepito no hemos escuchado? El costo de estas bases de datos es (o era) de 12 mil dólares en éstos lugares. Venta de memorias externas, cada una de 160 gigabytes que contienen el padrón electoral de todo el país, el registro de todos los vehículos y licencias de conducir, así como muchos otros “productos”, nos han puesto a nivel internacional como un país inseguro en la protección de la información personal de sus habitantes.

Hoy 14 de diciembre de 2012, han pasado ya dos años y cinco meses desde aquel 5 de julio de 2010, fecha en la cual, después de más de nueve iniciativas en el Congreso Mexicano, fue publicado en el Diario Oficial de la Federación la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. A ésta fecha le precedieron dos eventos Constitucionales importantes, el 30 de abril de 2009 con la publicación del Decreto por el que se otorgan facultades al Congreso de la República para legislación en materia de protección de datos personales y el 1° de junio de 2009 en donde se da la publicación del Decreto que se adiciona un segundo párrafo al artículo 16 Constitucional y establece como garantía constitucional (hoy derecho humano), el derecho a la protección de nuestros datos personales a su acceso, rectificación, cancelación y manifestar nuestra oposición.

Ésta ley tuvo y tiene un impacto importante en el sector económico en nuestro país. Tan es así, que su Reglamento, el cual debió ser publicado a más tardar un año después de la entrada en vigor de la Ley, es decir, el 6 de julio de 2011, fue seriamente discutida en el seno de la Comisión Federal de Mejora Regulatoria precisamente por el impacto económico que traería consigo la entrada en vigor de dicha regulación, lo que concluyó en una publicación tardía hasta el 21 de diciembre de 2011.

Lo que busca la ley y su reglamento, es generar certidumbre y por ende, seguridad jurídica y real en el tratamiento de la información de los particulares y dejar atrás todas esas historias de venta de gigantescas bases de datos en el mercado negro en México; sin embargo, para lograr dicha seguridad, todas las personas físicas y empresas que manejen bases de datos personales deben tomar medidas drásticas en el manejo de la información, muchas de ellas difíciles de implementar en virtud de los cambios de paradigma que ésta regulación genera. Un ejemplo de dicho cambio, es entender que hoy por hoy, los datos contenidos en las bases de datos que manejan las empresas, ya no les pertenecen a dichas entidades, los datos contenidos en las bases de datos de las empresas son y sólo son de los titulares de dichos datos personales, es decir, hay una reivindicación de algo que nunca ha dejado de ser nuestro, pero que por malas prácticas y entendimientos nos había sido arrebatado y abusado.

Las medidas a las que nos referimos impactan directamente la médula espinal de las empresas, ya que se deben modificar procesos y sistemas muchas veces complejos, lo cual requiere un análisis meticuloso para no afectar el funcionamiento práctico del negocio. Como claramente usted, estimado lector podrá apreciar, un cambio de procesos o sistemas va mucho más allá que la simple publicación de un aviso de privacidad, el cual en la realidad no es leído por más del 20% de los usuarios de Internet.

Es cierto, por no contar con un aviso de privacidad, la empresa Farmacias San Pablo fue multada por 2 millones de pesos, sanción que desde nuestro punto de visa se quedó corta en los alcances que implica no tener un aviso de privacidad que contenga información real, verídica, comprobable y sujeta a evidencias por parte de la autoridad. A la fecha de elaboración del presente artículo, tenemos entendido que existen alrededor de 50 procedimientos de ejercicio de derechos de acceso, rectificación, cancelación y oposición, así como un número similar de procedimientos de verificación por parte del Instituto Federal de Acceso a la Información Pública y Protección de Datos, los cuales deberán derivar en resoluciones administrativas que vayan normando el criterio de la autoridad en el futuro, esperamos, más afortunadas de que la Farmacias San Pablo.

Sin embargo, el mensaje que está enviando la autoridad es erróneo. Con la sanción a Farmacias San Pablo, las empresas creen que con el aviso de privacidad es suficiente para dar cumplimiento a la ley. Lo peor es que son pocas las empresas que llevan a cabo un ejercicio de reflexión para que dichos documentos contengan la información necesaria para honrar los principios de licitud, información y lealtad establecidos por la ley, es decir, que el tratamiento se lleve a cabo con apego a la ley, que el aviso de privacidad de a conocer al titular de los datos la información relativa a la existencia y características principales (y reales) del tratamiento y que dicho tratamiento privilegie la protección de los intereses del titular de los datos y la expectativa razonable de privacidad. Copiar y pegar un aviso de privacidad, no significa honrar éstos principios.

De hecho, mediante los Avisos de Privacidad gran número de empresas se están comprometiendo con sus clientes y colaboradores a cumplir con una serie de procesos para los que no están preparados. Y esto es una receta para el desastre.

Ahora bien, ¿qué pueden hacer realmente las empresas para prepararse? Pues en primer lugar, identificar cómo afecta la legislación a sus procesos. Este impacto, lógicamente, dependerá en gran medida de la naturaleza de los datos gestionados por las empresas y el uso que dé a los mismos, pero a grandes rasgos, los impactos más comunes son los siguientes:

• Proveer (o adaptar en caso de que ya existan) los canales de atención adecuados para la recepción y trámite de las solicitudes.
• Ser capaz de discriminar aquellas solicitudes procedentes de las que no lo son.
• Identificar qué datos que maneja mi empresa son afectados por la ley.
• Identificar procesos y sistemas involucrados en el tratamiento de dichos datos.
• Implementar mecanismos de seguridad y tratamiento diferenciados en función de la criticidad de los datos gestionados.

Por tanto, si piensa que su empresa está cubierta ante la ley solamente por haber publicado un Aviso de Privacidad, reflexione sobre si realmente está preparado para cumplir los compromisos enunciados en dicho Aviso. Y si no es así, comience a identificar qué tiene que hacer para solucionar dicha situación antes de que sean sus clientes quienes se lo reclamen… ante el IFAI.

Primera sanción en México por violación a la Ley de Protección de Datos Personales en posesión de privados.

Primera sanción en México por violación a la Ley de Protección de Datos Personales en posesión de privados..