Archivo de la categoría: Ley Federal de Protección de Datos Personales en Posesion de los Particulares

Privacidad en Redes Sociales (SEGUNDA PARTE)

En nuestro artículo anterior, hablamos sobre el desarrollo de la privacidad en Estados Unidos. Hoy nos vamos a enfocar en México:

-          México.

Veamos qué pasa con México.

En México nuestra Ley Federal del Derecho de Autor del 24 de diciembre de 1996, contiene y mantiene un triste y desolado artículo 109, que establece que para el acceso a información de carácter privado relativa a las personas contenida en las bases de datos protegidas por la ley, su publicación, reproducción, divulgación, comunicación pública y transmisión de dicha información, requerirá la autorización previa de la personas de que se trate. Desde mi punto de visa, éste debe ser considerado uno de los primeros intentos del legislador mexicano para regular el uso de bases de datos de carácter personal. El problema por supuesto, debe ser su ejercicio, con todos los defectos que en materia de defensa de derechos de autor ustedes ya conocen.

En México el derecho a la protección de datos personales tal como hoy lo conocemos, se reconoce por primera vez a nivel federal el 11 de julio de 2002, cuando fue publicada en el Diario Oficial de la Federación la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental. Esta complicada Ley (recientemente reformada en virtud del decreto que reforma y adiciona diversas disposiciones de la Constitución Política de los Estados Unidos Mexicanos en materia de Transparencia, publicada el 7 de febrero de 2014), establece que los datos personales constituyen información confidencial y requieren del consentimiento de los individuos para su difusión, distribución o comercialización y crea por primeras ocasión en nuestro país un mecanismo para el ejercicio de acceso y corrección de los datos personales en manos del gobierno.

A ésta Ley le siguió, la reforma al artículo 6° constitucional del 11 de junio de 2007 en materia de acceso a la información, la cual expresamente incorpora que: “la información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que fijen las leyes”.

Así, el 1 de junio de 2009 se publicó la reforma al artículo 16 de la Constitución que incorpora un párrafo específicamente destinado a la protección de datos personales, al establecer que “toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la Ley”.

Finalmente, previo a la promulgación de la ley actual, el 30 de abril de 2009 se reformó el artículo 73 de la Constitución atribuyendo al Congreso Federal el poder para legislar en materia de datos personales en posesión de los particulares (es decir, para el Sector Privado).

Así, el primero de julio de 2010, tras siete iniciativas y más de nueve años de discusión sobre cuál debía ser mejor modelo para México, nace la LFPDPPP, la cual abroga legislaciones tres legislaciones estatales para aplicar en toda la república.

El objeto de esta ley es la protección de los datos personales en posesión de particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

Los sujetos obligados por ésta normatividad son los particulares, sean personas físicas o morales, de carácter privado, que lleven a cabo el tratamiento de datos personales (empleados, clientes, y demás terceros involucrados en el tratamiento).

Nuestra actual Ley se estructura en principios, derechos y procedimientos.

  1. Se establecen 8 principios y 2 deberes, los cuales representan los pilares sobre los cuales se construye un tratamiento legítimo de los datos personales. Los principios son los de consentimiento, información, licitud, lealtad, legitimación, finalidad, proporcionalidad y responsabilidad. Los deberes se concretan en el deber de confidencialidad y las medidas de seguridad.

 

  1. Los derechos ARCO (acrónimo que se refiere a los derechos de Acceso, Rectificación, Cancelación y Oposición) representan las facultades o potestades jurídicas otorgadas a los ciudadanos (titulares) para ejercer ante los sujetos obligados la satisfacción de intereses relacionados con el tratamiento legítimo, controlado e informado de sus datos personales a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de los titulares.

 

  1. Establece los principios que concretan la tutela pública a la que el individuo puede acceder en caso de ver visto lesionado alguno de sus derechos.

 

Las autoridades en la materia son el Instituto Federal de Acceso a la Información y Protección de Datos con la función principal de difundir el conocimiento del derecho a la protección de datos personales, promover su ejercicio y velar su cumplimiento.

Asimismo, la Secretaría de Economía, que debe difundir el conocimiento de las obligaciones en torno a la protección de datos personales entre la iniciativa privada e internacional con actividad comercial en territorio mexicano y promover mejores prácticas comerciales en torno a la protección de datos personales como insumo de la economía digital y desarrollo económico en su conjunto.

En el ámbito digital, la protección de datos personales cobra vital importancia, ya que, como es de estudiado derecho, la persona debe ser en todo momento el centro de las relaciones jurídicas y de la sociedad, si lo trasladamos al entorno virtual, la “persona digital” se compone puramente de datos personales, por lo que la protección de ésta información debe considerarse toral, tal y como lo establece nuestra regulación, al ser considerado ya un derecho humano.

En la actualidad, la evolución que está teniendo la regulación en materia de protección de datos personales en México, está tomando tintes indefinidos, ya que derivado de la reforma en materia de transparencia de febrero pasado, fueron rechazadas por el congreso las solicitudes de ratificación de los entonces 5 consejeros. En su lugar, 7 nuevos consejeros se encuentran actualmente al frente del IFAI, mediante un proceso de selección que ha sido muy criticado.

Al inicio de ésta nueva gestión, ya se habla de la creación de la Ley General de Protección de Datos Personales, la cual busca homologar los criterios derivados de los principios, deberes, derechos y procedimientos entre los datos resguardados por privados y las entidades privadas.

Todavía se encuentra pendiente por parte del Congreso, legislar en cuanto a la continuación del IFAI como órgano garante de éste derecho. De hecho actualmente se está llevando a cabo un estudio por parte del IFAI para determinar el camino que debe seguir en la materia. Me sumo al reclamo actual en cuanto que el IFAI debe de hacer un ejercicio de conciencia y reconocimiento político para saber si realmente puede con el paquete de la protección de datos personales en nuestro país, no desde el punto de vista jurídico, sino administrativo y organizacional.

¿Pero si no es el IFAI, entonces quién? Se habla de PROFECO y de un organismo independiente, como sería una Agencia Mexicana de Protección de Datos Personales. Ya hablaremos de éste tema en nuestras conclusiones.

Volviendo al tema de Redes Sociales, es importante saber que los grandes prestadores de servicios de Internet están invirtiendo grandes sumas de dinero el lobbying para manipular el sentido de las regulaciones que les afecta. Un claro ejemplo en México, es la adopción en el TTP del famoso Notice & Notice, evitando así la adopción de un mecanismo Notice & Take Down que permitiera en forma sencilla ejercer los derechos de propiedad intelectua por parte de sus titilares.

Esta es y seguirá siendo una lucha constante y en materia regulatoria para las nuevas empresas de tecnología, no sólo en México sino alrededor del mundo, pero en particular las redes sociales representan herramientas que poseen tal cantidad de datos que sin duda serían de alto riesgo, en caso de un mal uso de las mismas.

Vamos a tocar ahora las tendencias en materia de redes sociales en nuestro país.

Diferencias en materia de Transferencias y Remisiones de datos personales

A continuación mostramos las diferencias fundamentales en materia de transferencias y remisiones de daos personales, con base en la Ley Federal de Protección de Datos Personales, su Reglamento y Lineamientos del Aviso de Privacidad.

TRANSFERENCIASLEY

  • Toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento. (ART. 3)
  • Cuando el responsable pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos del encargado, deberá comunicar a éstos el aviso de privacidad y las finalidades a las que el titular sujetó su tratamiento. (ART.36)
  • Las transferencias nacionales o internacionales de datos podrán llevarse a cabo sin el consentimiento del titular cuando:

* esté prevista en una Ley o Tratado en los que México sea parte;

*sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios;

*sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas;

*sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero;

*sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia;

*sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y

*sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular. (ART. 37)

 

REGLAMENTO

En los casos en que los datos personales se obtengan de manera indirecta del titular y tenga lugar un cambio de las finalidades que fueron consentidas en la transferencia, el responsable deberá poner a disposición del titular el aviso de privacidad previo al aprovechamiento de los datos personales. Cuando el aviso de privacidad no se haga del conocimiento del titular de manera directa o personal Cuando el aviso de privacidad no se haga del conocimiento del titular de manera directa o personal, el titular tendrá un plazo de cinco días para que, de ser el caso, manifieste su negativa para el tratamiento de sus datos personales para las finalidades que sean distintas a aquéllas que son necesarias y den origen a la relación jurídica entre el responsable y el titular. Si el titular no manifiesta su negativa para el tratamiento de sus datos de conformidad con lo anterior, se entenderá que ha otorgado su consentimiento para el tratamiento de los mismos, salvo prueba en contrario. (ART 14)

  • El encargado tendrá la obligación, respecto del tratamiento que realice por cuenta del responsable, de abstenerse de transferir los datos personales salvo en el caso de que:

* el responsable así lo determine,

*la comunicación derive de una subcontratación,

*o cuando así lo requiera la autoridad competente

(ART.50)

  • El encargado, será considerado responsable con las obligaciones propias de éste, cuando efectúe una transferencia, incumpliendo las instrucciones del responsable. (ART. 53)

LINEAMIENTOS

  • El aviso de privacidad es el documento mediante el cual el responsable informa al titular sobre los terceros a quienes se transferirán los datos personales. (CONSIDERANDOS 7 parrafo)
  • Como buena práctica, el aviso de privacidad podrá relacionar los datos personales o categorías de datos personales que se transfieren con la finalidad respectiva. (TERCERO)
  • El responsable deberá comunicar el aviso de privacidad a los encargados y terceros a los que remita o transfiera datos personales, respectivamente. (DECIMOQUINTO)
  • El responsable deberá tomar las medidas necesarias y suficientes para garantizar que el aviso de privacidad dado a conocer al titular, sea respetado en todo momento por él o por terceros con los que guarde alguna relación jurídica; el responsable deberá comunicar el aviso de privacidad a los encargados y terceros a los que remita o transfiera datos personales, respectivamente. (DECIMOQUINTO)
  • El responsable deberá poner a disposición del titular el aviso de privacidad cuando los datos personales se hayan obtenido de manera indirecta de su titular, y éstos procedan de una transferencia consentida o de una en la que no se requiera el consentimiento (DECIMOSEGUNDO)
  • El aviso de privacidad deberá informar que, en su caso, el tratamiento involucra la transferencia nacional o internacional de datos personales. (VIGESIMO SEXTO)
  • En el aviso de privacidad se deberán establecer las finalidades que justifican las transferencias de datos personales, las cuales deberán ser determinadas y distinguir entre aquéllas que requieren del consentimiento del titular para que se realicen, de las que se puedan llevar a cabo sin dicho consentimiento. (VIGESIMO SEXTO FRACC. II)
  • El aviso de privacidad deberá incluir una cláusula que permita al titular señalar si consiente o no la transferencia de sus datos personales. (excepciones en art.37 del reglamento)  (VIGESIMO SEXTO)
  • El responsable estará obligado a poner a disposición de los titulares un nuevo aviso de privacidad, de conformidad con lo que establece la Ley, su Reglamento y los presentes Lineamientos, cuando el responsable:

*Modifique las condiciones de las transferencias o se vayan a realizar transferencias no previstas inicialmente, y el consentimiento del titular sea necesario. (TRIGESIMO TERCERO FRAC. IV)

 

REMISIONESLEYNo señalan nada respecto de remisiones.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

REGLAMENTO

  • El encargado tendrá la obligación, respecto del tratamiento que realice por cuenta del responsable, de abstenerse de transferir los datos personales salvo en el caso de que:

*el responsable así lo determine,

*la comunicación derive de una subcontratación,

*o cuando así lo requiera la autoridad competente

(ART. 50)

  • Las remisiones nacionales e internacionales de datos personales entre un responsable y un encargado no requerirán ser informadas al titular ni contar con su consentimiento. (ART.53)
  • El encargado no incurrirá en responsabilidad cuando, previa indicación expresa del responsable, remita los datos personales a otro encargado designado por este último, al que hubiera encomendado la prestación de un servicio, o transfiera los datos personales a otro responsable. (ART. 53)

 

 

 

 

 

 

 

 

LINEAMIENTOS

  • El responsable deberá comunicar el aviso de privacidad a los encargados y terceros a los que remita o transfiera datos personales, respectivamente. (DECIMOQUINTO)
  • El responsable deberá tomar las medidas necesarias y suficientes para garantizar que el aviso de privacidad dado a conocer al titular, sea respetado en todo momento por él o por terceros con los que guarde alguna relación jurídica; el responsable deberá comunicar el aviso de privacidad a los encargados y terceros a los que remita o transfiera datos personales, respectivamente. (DECIMO QUINTO)
  • El responsable no estará obligado a informar en el aviso de privacidad sobre las comunicaciones de datos personales que existan entre éste y los encargados, lo que se reconoce como remisión. (VIGESIMO SEXTO ULTIMO PÁRRAFO)

 

 

Privacidad en Redes Sociales (PRIMERA PARTE)

Estamos cumpliendo un año desde que Edward Snowden expuso el programa de vigilancia masiva de la Agencia de Seguridad Nacional de los Estados Unidos. En aquellos días en donde hasta el presidente Peña Nieto fue espiado por los sistemas informáticos de ese país, es un oportunidad muy especial para comentar precisamente algunos aspectos relacionados con la privacidad en redes sociales y en especial, ponerla en contexto con la actualidad sobre éste tema en nuestro país.

En estos momentos, los Estados Unidos son el foco de atención en temas de privacidad en el mundo y particularmente México, por su cercanía y por su relación caótica de dependencia, debe estar al tanto de la evolución de éste tema.

Privacidad en redes sociales, un tema que tiene que ver con el cambio histórico en el que estamos viviendo, es sobre lo que vamos a hablar el día de hoy y voy a narrar varias partes del documental “Terms and Conditions May Apply”, el cual recomiendo plenamente que lo vean.

¿Cuándo antes habíamos tenido que aceptar un contrato de adhesión antes de hacer uso de un teléfono, el radio o una televisión? Internet es diferente, ahora, prácticamente todos los productos “gratuitos” que aparecen, tales como buscadores en Internet o redes sociales, se protegen por medio de términos y condiciones, así como avisos de privacidad muy largos, que normalmente para la gente que no es abogada, le es difícil comprender y de hecho en muchas ocasiones resultan ser complicados para los propios abogados. Coloco la palabra “gratuitos” entre comillas, ya que debemos entender que los servicios en donde la materia prima es información generada por los propios usuarios, implica que el costo de dicho servicio es precisamente el insumo proveído por los particulares, por lo que simplemente dichos servicios no son gratuitos.

Unos dicen que es por que el consumidor es flojo, otros porque simplemente no nos interesa, pero hay estudios que comprueban que si leyéramos todos los documentos que aceptamos en Internet, nos tomaría alrededor de un mes de trabajo en el transcurso de un año, lo que corresponde a 180 horas de trabajo. En éste auditorio hay reconocidos abogados que deben saber lo que ese tiempo significa en dinero. Esto se traduce en que resulta materialmente imposible leer todas las políticas de privacidad que nos ponen en frente.

Pero la pregunta importante que nos debemos hacer es ¿Realmente sabemos lo que estamos aceptando? Eso es parte de lo que vamos a platicar el día de hoy.

México es particularmente joven en el tema de protección de datos, pero existen otras jurisdicciones en donde se han dado una gran cantidad de casos y situaciones que van enmarcando la política global en materia de protección de datos personales.

Por ejemplo ¿Recuerdan el escandalo ocurrido a Instagram cuando modificó sus términos y condiciones para establecer el consentimiento tácito por parte de los usuarios para que sus imágenes pudieran ser comercializadas libremente por la plataforma? En aquella ocasión, la empresa tuvo que modificar su política en forma inmediata y si no mal recuerdo, emitieron una disculpa pública por tal hecho.

Otro ejemplo interesante, es la forma en la que la oficina del Comisionado de Privacidad en Canadá ha ejercido influencia en las políticas globales de privacidad de Facebook. Canadá se siente orgulloso de ser un país de 35 millones de habitantes, que controla una plataforma de más de 1000 millones de usuarios.

O quién no se ha enterado de la reciente resolución de la reciente sentencia del Tribunal de Justicia de la Unión Europea en materia de Derecho al Olvido, la cual modifica el criterio que se venía manteniendo en cuanto a la inexistencia de éste derecho, por lo que en caso de conflicto, el buscador era neutral y el ciudadano debía dirigirse al medio de comunicación.

Ahora también se le podrá solicitar a Google la eliminación de contenidos, el cual deberá ponderar caso por caso si la información a eliminar vulnera los derechos al honor, de la propia imagen y el derecho a la intimidad (Que juntos conforman el derecho al olvido) versus el derecho a la información.

Por supuesto queda en el aire si Google tendrá la capacidad de atender todas las solicitudes que recibirá. Por lo pronto, hemos leído ya noticias que Google está implementando un formulario de denuncias denominado “Supresión de contenido en Google”. Al buscarlo, yo en particular no lo he encontrado, pero será muy interesante su implementación. En materia de redes sociales, ésta resolución no afecta su forma de trabajo, dado que son considerados medios de comunicación y no buscadores.

-          Estados Unidos.

Como ya lo comentamos, Estados Unidos se encuentra hoy en el ojo del huracán con éstos temas, y es en éste país en donde se encuentran los corporativos de las redes sociales más importantes del mundo, considero vale la pena repasar en unos breves minutos los eventos que nos han hecho llegar a donde hoy estamos.

En 1994 Pizza Hut es la primera empresa que comienza a hacer entregas on line en los Estados Unidos. De pronto los consumidores ya no tenían que repetir información como tu nombre, tu dirección y tu forma de pago, gracias a las cookies. Por éste motivo, en dicha década se comenzaron a dar términos y condiciones así como avisos de privacidad como una forma de buena práctica en Internet.

En el año 2000, el escándalo de la empresa TOYSMART.COM la cual tras declararse en quiebra, puso a la venta en forma pública su base de datos de cientos de miles de clientes, encendió los focos rojos sobre la titularidad de los datos personales en los Estados Unidos. Para el 2001 más de 12 propuestas en materia de protección de datos personales en Internet se presentaron en el congreso de los Estados Unidos.

En Septiembre del año 2001, se dan los ataques a las torres gemelas en Nueva York, lo que provoca echar para atrás todas las iniciativas y el surgimiento de la “Patriot Act”, lo que permite al gobierno tener acceso de llamadas, correos electrónicos, navegación en Internet de presuntos terroristas, sin la orden de un juez.

Con base en ésta ley, las grandes plataformas sociales en Internet, se vieron forzadas a modificar sus avisos de privacidad y peor aún, a cooperar directamente con el gobierno para detectar perfiles que pudieran considerarse una amenaza para la seguridad de ése país.

En el año 2002 se crea la Information Awarness Office, que buscaba recabar información de todas las comunicaciones, sin embargo, dicha oficina fue cerrada poco tiempo de su apertura.

Y no es sino hasta el 6 de junio de  2013 cuando Edward Snowden, por medio de WikiLeaks libera cientos de documentos considerados secretos, muchos de ellos relacionados con las actividades de espionaje de los Estados Unidos, no sólo en su territorio, sino también a nivel internacional y a presidentes de otros países, como fueron los casos de los presidentes de Alemania, Brasil y México entre muchos otros.

Dese entonces se ha sabido que el FBI sostiene prácticas con Facebook para crear herramientas que establecen perfiles psicológicos con lo publicado en la plataforma y es por demás sabido que las autoridades federales y locales llevan a cabo un rastreo de determinados tipos de publicaciones tanto en Facebook como en Twitter y muchas otras más.

Cada vez son más los casos en que la policía toma acciones severas en contra de personas que postean jugando palabras como destrucción o bomba.

Asimismo, se sabe ya sobre el Programa PRISMA (Surveillance Program), el cual es un programa de minería de datos de vigilancia electrónica masiva lanzada en 2007 por la Agencia Nacional de Seguridad de los Estados Unidos. El programa PRISMA recoge almacenado las comunicaciones por Internet basadas en demandas hechas a empresas de Internet como Google, Facebook, Twitter entre muchas otras, para entregar todos los datos que coincidan con los términos de búsqueda aprobados por el tribunal.

Se habla también de la creación de herramientas para la detección de personas con base en datos biométricos, con base en las fotografías subidas en diferentes redes sociales en Internet.

La siguiente semana continuaremos con la situación que vive México.

DATA PROTECTION AND SECURITY MEASURES. How to comply with the Responsibility Principal in the Mexican Data Protection field. (PART I)

By: Juan Carlos Carrillo.  @juan_carrillo

Expert collaboraton of Molet Burguete Abogados (MBA) in Mexico City.

 A lot of companies that have headquarters outside of Mexico ask me, what they need to do to comply with the Mexican Privacy Regulation (LFPDPPP), thank God, they are not expecting, like many Mexican people, a silver bullet that will resolve all their Privacy problem, cheap, quick and easy.

Well for those who love to hear about cheap, quick and easy this is the moment to leave.

I remember back in the 90’s that the word “process reengineering” was the in vogue (not Madonna’s song). Well we don’t use that phrase no more, but the Privacy concept as we are using it right now, is exactly a reengineering.

Because of that is important that not only lawyers neither technology people are involved on the Privacy Reengineering process.

To explain how this Reengineering needs to be done; I am going to use 2 articles of the secondary regulation (Reglamento), 48 in this blog and 61 in the following.

Article 48 and 61 are the closest we have to that silver bullet, in this articles we will find the action plan for the CPO and the CISO.

Article 48 is part of the responsibility principal and they are mentioned as the minimum a company needs to implement. So let’s understand what these requirements are for.

1.     Develop privacy policies and programs mandatory and enforceable within the organization responsible.

a.     This is the start point for any organization, not the privacy notice as it has happen in Mexico. Without policies and programs a notice is worthless.

2.     Implement a training program, updating and staff awareness about the obligations regarding the protection of personal data.

a.     Once you have your privacy policies and programs, you should be training your employees about them. This is common in some industries (e.g., financial) with AML, ethics or sexual harassments training.

3.     Establish a system of supervision and internal monitoring, checks and external audits to verify compliance with the privacy policies.

a.     If you pass a stoplight without a fine or you speed without any consequence, you will be doing it all the time; it happens with policies that doesn’t have a monitoring process in place.

b.     Any Information Security Management System or Data Protection Management System should follow the PLAN-DO-CHECK-ACT model. And if you follow that check means monitoring.

4.     Allocate resources for the implementation of programs and privacy policies

a.     I think this is one of the greatest hits of the regulation. It is very common that the companies look to implement these efforts without any investment neither in people, infrastructure, consulting or assessments.

b.     We have to be very cautious with this point in the case of any revision from the authority, because it is going to be all about documentation.

5.     Implement a process for the risk to the protection of personal data by the implementation of new products, services, technologies and business models is addressed, as well as to mitigate them.

a.     The model the regulation follows on regards to the actions need to be implemented is related not to one size fits all but to a risk-based basis.

b.     This point is critical when the companies elected either a CPO or a privacy board, where a risk person needs to be looking at any type of risk this regulation could be affecting.

6.     Periodically review the security policies and programs to determine modifications required.

a.     Privacy is not a project, it is a process; even after the implementation of the privacy policies, procedures, notice, training, etc. the process needs to be always improving and adapting to new necessities.

7.     Establish procedures to receive and respond to questions and complaints from owners of personal data.;

a.     I normally suggest this process is within the ARCO process; it doesn’t make sense to create a new process. ARCO process should answer also to questions and complaints.

8.     Have mechanisms for policy compliance and privacy programs and sanctions for noncompliance.

a.     This is closely related to the point number 3, without sanctions, the policies and procedures will never be fully productive.

9.     Establish measures for securing personal data, that is, a set of technical and administrative actions to ensure the responsible compliance with the principles and obligations under the Act and these Regulations.

a.     If you have a security policy, a CISO or a security consultant you should explain them the law to work in a plan to introduce security measure to all personal data.

10. Establish measures for tracking personal data, ie , actions, measures and technical procedures that allow tracking of personal data during treatment.

a.     Technically this requirement is hard, but remember you can always implement this measures technical, physical or administrative.

Políticas BYOD… ¿“Bring your own Device” o “Bring your own Disaster”?

Por: Jorge Molet

Navegando por Internet me encontré con una “nueva” política para empleados que seguramente beneficiara a todas las empresas de marketing en el mundo, ya que amplia en forma exponencial el acceso a contenidos alrededor del mundo. Me refiero a la política denominada “Bring your own Device” (BYOD) o “Trea tu propia tecnología” en español. Como dato curioso, el término ha sido acuñado por el famoso BYOB O “Bring your own bottle” utilizado en los años 70’s por restaurantes en los Estados Unidos, que permitían a los comensales traer su propia botella sin costo alguno para ellos, y que dicho sea de paso, afortunadamente ha sido cada vez más aceptado en México.

Esta es una política empresarial que permite a los empleados hacer uso de sus teléfonos celulares (dispositivos) al interior de la empresa, en lugar de la asignación común por parte de la compañía, pero lo mejor de todo, es que permite el uso de sus propios programas (software) y aplicaciones. Esta política trae beneficios tales como: (i) Una mejor satisfacción al empleado al momento de poder hacer uso de dispositivos con los cuales se encuentran más familiarizados; (ii) Ahorra tiempo al no tener que aprender a usar un dispositivo nuevo asignado por la empresa; y (iii) Permite un mayor rendimiento al hacer uso de aplicaciones heterogéneas que se ajusta a la medida de las necesidades laborales de cada uno de los empleados.

Por supuesto, esta actividad puede acarrear ciertos problemas para la empresa ya que en el momento en que la empresa decide administrar un grupo de distintos dispositivos, con ello renuncia a la aplicación de políticas comunes, lo que trae como consecuencia tener que implantar medidas de mantenimiento y soporte independiente. Asimismo, se incrementa el nivel de ocurrencia de vulnerabilidades en la seguridad de la empresa, lo que inevitablemente implica elevar el costo para la compañía en éste rubro.

Este tipo de políticas facilitan en gran medida el acceso a contenidos por parte de los empleados, sin restricciones más allá de las marcadas por las políticas internas y de eficiencia. Esta accesibilidad permite que las empresas de marketing tengan mayor recurrencia en sus visitas por parte de clientes potenciales: Empleados de empresas que cuentan con los medios suficientes para adquirir un teléfono móvil de alta tecnología.

Como empresa, si bien esta política puede traer diferentes situaciones que implican inversión, lo cierto que es que su implementación la colocaría a la empresa en la punta de lanza de las tendencias en materia de comunicaciones en nuestro país, con todos los beneficios que ello trae como consecuencia, ahorraría gastos en la compra de teléfonos celulares y software especializado y la obligaría a profundizar en políticas especializadas que garanticen la seguridad de su información.

Vale la pena considerarlo.

Internet, una bestia inusual de carácter internacional. “Vint Cerf”

Por: Jorge Molet

Hoy en México se está buscando de varias maneras controlar el Internet y el gobierno ha hecho uso de diversos frentes para lograrlo, sin embargo, ha dejado mucho que desear su ausencia en la pasada cumbre mundial para discutir la gobernanza en Internet llevada a cabo el 23 y 24 de abril de 2014 en Sao Paulo, Brasil, el primero en su tipo desde los escándalos de espionaje revelados por Edward Snowden.

Brasil, liderado por  Dilma Rousseff, se pone a la vanguardia al promulgar su Marco Civil de Internet, tal y como fuera una especie de Constitución en Internet, bajo el marco del evento internacional de gobernanza a nivel internacional, al cual asistieron 1,870 participantes de 90 países.

Otros si ponen interés en éste tipo de eventos, tal es el caso de Google, que envió nada más y nada menos que a Vint Cerf, considerado uno de los padres de Internet y hoy vicepresidente de ésta empresa. Por su parte, Estados Unidos fue representado por Michael Daniel, coordinador de Ciberseguridad de la Casa Blanca.

Y no es para menos, los acuerdos a los que se llegaron en Sao Paulo establece temas de sumo interés para todos los países usuarios de la red de redes. Si bien el tema más importante fue anunciado semanas antes del evento, consistente en la transferencia del control de ICANN (La Corporación de Internet para la Asignación de Nombres y Números), la cual a partir del 2015, dejará de depender de del Departamento de Comercio de Estados Unidos, para ser controlado por un ente multinacional, ya sea integrado principalmente por gobiernos (Como China propone); atraído por la ONU o hacerlo más institucional a través de un “consejo de notables”.

Otros temas importantes fueron:

-          Se pronuncia a favor de la neutralidad en la red, término que no se le dio el peso específico, principalmente por las empresas interesadas en defender el derecho de discriminar a través del precio el tipo de calidad y contenidos que se ofrecen a los diferentes mercados en Internet.

-          La condena a formas abusivas de recolección de datos, ya sea por gobiernos o empresas privadas.

-          Los derechos online, como una prolongación de los derechos offline.

-          El derecho a la privacidad en Internet.

En México el intento más claro se acaba de dar mediante los dictámenes a leyes secundarias en materia de telecomunicaciones. La discusión está en el aire, sin embargo, es claro que nuestros legisladores no están siendo coherentes con el marco internacional que hoy nos rige y que especialmente en Internet, México no es para nada ajeno. Como lo dijo Rousseff: “sin un consenso global, las regulaciones nacionales serán ineficaces”.

Protección de datos personales ¿Aplica a proveedores o no?

Por: Jorge Molet

Durante el inicio formal de nuestro camino en la aplicación de la Ley Federal de Datos Personales en Posesión de los Particulares desde junio de 2010, en muchas ocasiones hemos tenido (Y seguimos teniendo), algunas pregunta relativas a si ésta regulación aplica a bases de datos de proveedores.

El tema surgió dado que la ley mencionada es general, y por lo tanto, no hace distinción alguna respecto a algún tipo de base de datos en específico, sin embargo en la práctica, la recomendación a toda empresa es que tome en cuenta bases de datos de clientes, empleados y proveedores, ya que son el común denominador en todo tipo de negocio de venta de productos o servicios, independientemente de cualquier tipo de base de datos que se pudiera generar.

En efecto, la ley es general, ya que su propósito es la protección de datos personales (Cualquiera que sea), en posesión de privados “con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas”.

Ésta ley únicamente se excepciona a: (i) Las sociedades de información crediticia; y (ii) Las personas que traten datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.

Hasta aquí no teníamos lugar a dudas de que la Ley de protección de datos aplicaba a cualquier tipo de dato personal de personas físicas, pero al publicar el Reglamento de la ley el 21 de diciembre de 2011, dicho ordenamiento señala en su artículo 5°, que las disposiciones del Reglamento no serán aplicables a la siguiente información: (i) Respecto a personas morales (Lo cual ye era amplio sabido); (ii) Aquélla que refiera a personas físicas en su calidad de comerciantes y profesionistas; y (iii) “La de personas físicas que presten sus servicios para alguna persona moral o persona física con actividades empresariales y/o prestación de servicios, consistente únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como algunos de los siguientes datos laborales: domicilio físico, dirección electrónica, teléfono y número de fax; siempre que esta información sea tratada para fines de representación del empleador o contratista.”

Está claro que éste artículo 5° pretende poner orden en cuanto a la exigencia del cumplimiento de la Ley para los datos que en forma diaria compartimos para nuestra actividad laboral, comercial o profesional, sin embargo, el hecho de que éste planteamiento se haga en el Reglamento de la ley, deja abierta la posibilidad de una interpretación en la cual la excepción  se limita únicamente a la aplicabilidad del Reglamento, más no de la ley, lo cual puede resultar sumamente peligroso en caso de que una empresa decida no cumplir con las disposiciones en materia de datos personales respecto de los datos de sus proveedores con base en éste artículo 5°, ya que si bien existe excepción de aplicación respecto del reglamento, lo mismo no ocurre respecto de la Ley.

Por otra parte, queda en duda la Constitucionalidad del mencionado artículo 5° del Reglamento de la Ley, ya que bajo el principio de que un reglamento no puede ir más allá de la Ley que refiere el artículo 133 de nuestra Carta Magna, sería suficiente para hacer tambalear cualquier acto de aplicación de dicha disposición.

En mi opinión, se debe modificar la Ley Federal de Protección de Datos Personales en Posesión de los Particulares a efecto de que la excepción planteada quede en dicha disposición y no en su Reglamento y de ésta forma, no dejar lugar a dudas.

¿Usted que opina?

 

Nota importante: La presente nota no constituye un consejo legal y únicamente reflejan la opinión del autor.

Breves sobre protección de datos

Protección de datos personales… A decir verdad, el tema cada vez se pone mejor. La ley publicada el 10 de julio de 2010 se está materializando en procedimientos de ejercicio de derechos de acceso, rectificación, cancelación y oposición (Conocido como Derecho ARCO), revocación del consentimiento y de denuncias por parte de titulares que se sienten agraviados tanto en su derecho humano consagrado en el artículo 16 Constitucional.

Peso muy relevante está ganando contar con documentos que acrediten realmente el cumplimiento de la ley. Esto es, debemos tomar en cuenta que si bien nuestra Ley Federal de Protección de Datos Personales en Posesión de los Particulares, no es tan rígida en varios aspectos como las leyes europeas, lo cierto es que el nivel económico de sanciones que su incumplimiento involucra, debe ser suficiente para hacer ver a las empresas y personas físicas que den tratamiento a datos de carácter personal, sean sensibles o no, que se deben documentar los procesos de cumplimiento y dar seguimiento a los mismos.

Capacitación, levantamiento de información, mapeo de los datos, elaboración de avisos de privacidad integrales, cortos y simplificados, contratos o cláusulas de remisión y/o transferencias, capacitación del Jefe del Departamento de Protección de Datos Personales, documentar procesos de desahogo de ejercicio de derechos ARCO, documento de seguridad, son algunas de las actividades que debemos realizar.

Ya tenemos diferentes disposiciones que nos dan línea de seguimiento. Toca implementar.

Saludos.

Por: Jorge Molet.

molet.mx

Sistemas de resolución de conflictos ON LINE. Una realidad en casa.

El sistema de resolución de disputas en línea, mejor conocido como “on line dispute resolutions” (ODR por sus siglas en inglés) se podría definir como una forma de hacer uso de las tecnologías que están embebidas en el procedimiento arbitral en su totalidad o en forma parcial, como una forma de evolución y revolución a una transición a un mundo sin papel.

Lo que se intenta analizar es si el arbitraje en línea tiene aspectos de realismo e idealismo. El sistema ODR ha crecido mucho en los últimos años, principalmente en países desarrollados, en donde se ha integrado al proceso arbitral una cuarta parte, que es la tecnología como tal.

Para países como México en el cual nos encontramos en proceso de implementación de este tipo de procedimientos (Aunque ya existen algunos casos de éxito en el gobierno como e-compras), algunos de los retos principales en contra de los procedimientos tradicionales y con los que nos encontraremos en forma constante son:

(i) En cuanto a acuerdos arbitrales: El requerimiento de que sea escrito; Limitarnos a procedimientos entre empresas y privados (B2B), cuando el procedimiento funciona también para resolver problemas entre empresas (B2B); Doctrina relativa a la equivalencia funcional.

(ii) En cuanto al procedimiento: Creación de procedimientos en línea; Aplicación de las presentaciones en línea o e-filing; Autenticación de documentos en línea; Desarrollo de audiencias en línea con el uso de tecnología de videograbación; Producción de documentos y evidencias electrónicas eficientes; Creación de resoluciones en línea eficientes.

(iii) Algunas otras consideraciones: Aplicación de firma electrónica, notificaciones electrónicas eficientes y la defensa y ejecución de las decisiones tomadas en estos procedimientos.
Algunos proveedores de arbitraje insisten en no migrar a lo digital, ya que la pugna entre los proveedores tradicionales y los proveedores de ODRs no cesa, lo cual puede significar a estos proveedores el éxito o el fracaso entre la justicia y la eficiencia.

Sin embargo, para los desarrolladores de procedimientos ODR tampoco será sencillo. Para hacer realidad el ODR, se debe ser proactivo como proveedor y no dejar de innovar en crear conceptos y formas para mantener el concepto de justicia en línea. Algunos consejos para asegurar el éxito en esta materia son los siguientes.

(i) Interconectar los procedimientos de disputa por medio de arbitraje (Arbitration Dispute Resolution o ADR) con el ODR ya que son universos paralelos y sus roles de instituciones y proveedoras no cambian.

(ii) Desarrollar el profesionalismo y el know how en la forma de proveer el servicio, en un ambiente de confianza y capacitación de árbitros en el ámbito digital.

(iii) Crear reglas específicas para el ODR, estándares y códigos especializados.

(iv) Proveer los servicios bajo una base de procedimientos tecnológicos arbitrales.

Todavía existen “tecnofobicos” y “arbitrofobicos”, en donde el conflicto de escoger la tradición a la innovación existe, sin embargo, hay que tomar en cuenta que el arbitraje on-line ya no es un idealismo, es una realidad que hay que aceptar y la tenemos ya en casa.

Muchas gracias a Mohamed Abdel, abogado litigante de Egipto, por haberme motivado a escribir un poco sobre este tema y proveerme de sus valiosos comentarios.

Revista Mexicana del Derecho de Autor. Contratos Autorales y Protección de Datos Personales.

Hola,

Aquí verán la última publicación de la Revista Mexicana del Derecho de Autor. Una gran iniciativa del Instituto Nacional del Derecho de Autor en México.

Nuestra aportación: Contratos Autorales y Protección de Datos Personales.

Espero sea de utilidad.

Un abrazo!

http://www.consultasindautor.sep.gob.mx/revistadigitalindautor/epoca2.html