Privacidad y Protección de Datos Personales en México

No. 071/2019
Ciudad de México, a 30 de mayo de 2019

EL PLENO DE LA SCJN DETERMINA QUE LAS RESPUESTAS A LAS SOLICITUDES EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES PRESENTADAS EN LENGUA INDÍGENA DEBEN SER CONTESTADAS EN LA MISMA LENGUA
La Suprema Corte de Justicia de la Nación (SCJN), en sesión de Pleno, al analizar la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados de la Ciudad de México, invalidó la palabra “preferentemente” que formaba parte de un artículo de la ley, donde se dispone que el instituto de transparencia de la CDMX debe coordinarse con las autoridades competentes para que las solicitudes y recursos formulados en alguna lengua indígena, sean atendidos “preferentemente” en la misma lengua.

Ello al considerar que tal palabra violaba la Constitución Federal y la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, al no garantizar el acceso de los miembros de dichos pueblos o comunidades a los procedimientos legales, porque solo obligaba al organismo local a resolver tales peticiones o medios de defensa, “preferentemente”, en esa lengua; es decir, la autoridad no estaba obligada a resolver siempre de esa manera, lo que permitía la discrecionalidad en su actuar, violentando con ello el principio de seguridad jurídica establecido en el artículo 16 de la Constitución Política Federal.

Con esta resolución la SCJN garantiza el principio de igualdad y los derechos de pueblos y comunidades indígenas reconocidos en la Constitución Política Federal, para acceder plenamente a la jurisdicción del Estado; además, se destaca la importancia de diversas disposiciones de la Ley General de la materia que obligan a contestar en la lengua en que fue planteada la solicitud. En esta resolución fueron importantes las disposiciones del Convenio 169 sobre Pueblos Indígenas y Tribales en Países Independientes, de la Organización Internacional del Trabajo.

Acciones de inconstitucionalidad 47/2018 y 48/2018, promovidas por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales y la Comisión de Derechos Humanos del Distrito Federal, demandando la invalidez de diversas disposiciones de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados de la Ciudad de México, publicada en la Gaceta Oficial de esa entidad el 10 de abril de 2018.

México y el Convenio 108

El Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal (el “Convenio 108”),  fue adoptado por el Consejo de Europa en 1981 y reformado en el año 2001. Es el primer y único instrumento internacional vinculante en la materia, y también el primer instrumento europeo en ser abierto a países no miembros de la Unión Europea.

El Convenio tiene como objetivo la creación de un marco jurídico relativo al cuidado de datos personales, reconociendo la necesidad de conciliar ese cuidado con el flujo transfronterizo de los datos y promoviendo la cooperación internacional.

El instrumento es vinculante para los 53 países que lo han adoptado, y establece diversos principios que tendrán que ser reconocidos en las legislaciones locales de los Estados firmantes.

Derivado de la solicitud en agosto de 2017 del gobierno mexicano al Consejo de Europa  para ser invitado a ser parte del Convenio 108 y la gran labor del INAI, México recibió  la invitación para adherirse al Convenio 108 y su respectivo Protocolo Adicional relativo a las autoridades de control y a los flujos transfronterizos de datos personales (el “Protocolo Adicional”).

El 12 de junio del presente año (2018), se publicó en el Diario Oficial de la Federación el decreto por virtud del cual se aprueba el Convenio 108 y su Protocolo Adicional.

Con ello, nuestro país se convierte en la segunda nación latinoamericana en adoptar el Tratado solo después de Uruguay. Aunque México ya cuenta con una ley especializada en protección de datos personales tanto para el ámbito privado (Ley Federal de Protección de Datos Personales en Posesión de los Particulares) como para el público (Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados), la firma del Convenio 108 es un ejemplo claro de la importancia que tiene para México defender el derecho humano a la protección de datos personales.

La pregunta es, ¿qué tendrá que hacer México para adaptar su legislación al Convenio? Tanto las definiciones como los principios considerados por el instrumento son muy similares a los previstos por la ley mexicana, por lo cual no será necesario ninguna reforma importante en la materia. En palabras de la Comisionada María Patricia Kurczyn Villalobos en un reciente evento de la iapp en México, solamente se prevén dos modificaciones: (i) determinar de manera clara los delitos y las penas en materia de protección de datos y; (ii) establecer los límites entre dicha protección y la libertad de expresión.

A pesar de que la legislación no tendrá que ser modificada de manera radical, México si se verá constreñido a ciertas obligaciones nuevas: en primer lugar, tendrá que designar un órgano que estará encargado de la administración de los temas de protección. En segundo lugar, deberá establecer medios y procedimientos para el cumplimiento del Convenio 108. Finalmente, deberá evaluar de manera periódica estos medios y procedimientos.

A manera de conclusión, México ha demostrado su interés en regular de manera más amplia la protección de datos personales. Además, gracias a la subscripción del Convenio 108, México cuenta con una herramienta internacional que permitirá el intercambio efectivo y seguro de la información.

Puede consultar el Convenio 108 en la siguiente liga:

Convenio 108

Para conocer los países que se han adherido al Convenio 108 puede consultar la siguiente liga:

Países Adheridos

Recomendaciones para el Manejo de Incidentes de Seguridad de Datos Personales publicada por el INAI

Junio, 2018

En días pasados, el INAI dio a conocer las “Recomendaciones para el Manejo de Incidentes de Seguridad de Datos Personales”, con la intención de ayudar a las organizaciones a prevenir, pero también prepararse para atender y notificar una posible vulneración a la seguridad. Para cumplir con esa finalidad, en las recomendaciones: (i) inicialmente se distinguen conceptos comúnmente utilizados cuando se habla de medidas de seguridad como son: activos, riesgos, alertas, incidente, vulneración y revelación. Para posteriormente (ii) brindar información para elaborar un plan de respuesta a incidentes de seguridad; y (iii) ofrecer formatos para documentarlos.

De esta manera el INAI explica que los activos están expuestos a amenazas a la seguridad dependiendo de sus vulnerabilidades. A través de alertas de seguridad puede una organización detectar que se ha presentado un incidente de seguridad, es decir, que el riesgo que existía se ha materializado. Cuando los incidentes de seguridad afectan los sistemas o activos con o en los que se tratan datos personales, se convierten en vulneraciones a la seguridad. Si dichas vulneraciones implican que datos personales se han hecho masivamente públicos se está ante una revelación.

Lo anterior es importante toda vez que la normativa mexicana en materia de protección de datos personales establece que los responsables del tratamiento de datos personales tienen un deber de seguridad. Ese deber se refiere a que el responsable tiene la obligación de establecer y mantener medidas de seguridad administrativas, técnicas y físicas para proteger los datos personales contra vulneraciones. Son vulneraciones a la seguridad, según la ley mexicana, las siguientes: (i) la pérdida o destrucción no autorizada; (ii) el robo, extravío o copia no autorizada; (iii) el uso, acceso o tratamiento no autorizado; y (iv) el daño, la alteración o modificación no autorizada.

Adicionalmente, los responsables tanto del sector privado como del público, tienen diferentes obligaciones cuando se presenta un incidente de seguridad, entre las que destaca, el informar a los titulares y a la autoridad (en el caso del sector público) que: (i) se presentó la vulneración; (ii) los datos personales afectados; (iii) las acciones correctivas realizadas de forma inmediata, entre otros requisitos.

Para prepararse para ese tipo de situaciones, las recomendaciones del INAI explican la conveniencia de contar con un plan de respuesta a incidentes de seguridad y detallan cada una de sus seis fases, a saber: (i) preparación; (ii) identificación; (iii) contención; (iv) mitigación; (v) recuperación; y (vi) mejora continua.
Las recomendaciones pueden consultarse en: http://inicio.inai.org.mx/DocumentosdeInteres/Recomendaciones_Manejo_IS_DP.pdf

Nueva guía para el tratamiento de datos biométricos

El pasado 28 de mayo de 2018, el INAI dio a conocer la nueva guía para el tratamiento de datos biométricos dirigida a aquellos responsables o encargados que traten o pretendan tratar datos biométricos a través de medios digitales, es decir, automatizados (la “Guía”).

¿Qué son los datos biométricos?

La Guía los define como “las propiedades físicas, fisiológicas, de comportamiento o rasgos de la personalidad atribuibles a una sola persona y que son medibles.” Se caracterizan por ser universales (toda persona cuenta con ellos); únicos; permanentes (salvo excepciones), y medibles.

Ejemplos de datos biométricos que se refieren a características físicas o fisiológicas son: la huella digital, el rostro (reconocimiento facial), la retina, el iris, la geometría de la mano o de los dedos, la estructura delas venas dela mano, la forma de las orejas, la piel o textura de la superficie dérmica, el ADN, la composición química del olor corporal, el patrón vascular, la pulsación cardiaca, entre otros.

¿Son las huellas dactilares datos personales?

La huella digital por sí sola y de manera aislada no identifica  a un titular. Se convierte en un dato personal cuando se ingresa a un sistema que la vincula con un individuo en particular que permiten después comparar nuevas muestras con la plantilla de la huella digital previamente registrada.

¿Son las huellas dactilares datos personales sensibles?

El Reglamento General Europeo expresamente señala que los datos biométricos dirigidos a identificar de manera unívoca a una persona física son considerados como datos con una categoría especial, es decir, datos sensibles.

Conforme a la legislación mexicana, habrá que analizar si las huellas dactilares actualizan alguno de los siguientes supuestos para considerarse sensibles: (i) se refieren a la esfera más íntima del titular; (ii) su utilización indebida puede dar origen a discriminación; o (iii) su uso ilegítimo conlleva un grave riesgo para su titular. Por ejemplo, si a través de la huella digital se puede tener acceso a información privilegiada que pudiera poner en riesgo la seguridad o estabilidad patrimonial o financiera de una persona o su condición jurídica.

Algunas recomendaciones generales para el tratamiento de datos biométricos

  1. Evaluar si la recolección de los datos biométricos es necesaria para la finalidad pretendida y se justifica.
  2. Señalar expresamente en el aviso de privacidad el tipo de dato biométrico que se trata y la finalidad del tratamiento.
  3. Limitar el periodo de tratamiento al mínimo indispensable con relación a las finalidades que motivan su tratamiento. .

Guía para el Borrado Seguro de Datos Personales

El día de hoy, 14 de julio de 2016, el INAI presentó la Guía para el Borrado Seguro de Datos Personales la cual tiene por objeto orientar a los sujetos obligados sobre el borrado de información.

La guía proporciona información sobre los métodos y técnicas basadas en mejores prácticas y estándares para la eliminación segura de los datos personales de los sistemas de tratamiento.

 

 

 

 

¿Datos sensibles o tratamiento sensible de los datos?

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares distingue de los datos comunes aquellos que denomina datos “sensibles”. Al definir lo que se entiende por dato sensible se apoya de la explicación que sobre dichos datos se dio en la Resolución de Madrid del 5 de noviembre del 2009 (http://www.oas.org/es/sla/ddi/docs/proteccion_datos_personales_conferencias_estrasburgo_res_madrid_2013.pdf).

Señala que datos sensibles son aquellos que “afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.”

Lo cierto es que un dato no sensible puede convertirse en sensible por el tratamiento que se le de, por lo que hay quienes prefieren hablar de tratamiento sensible de los datos mas que de datos sensibles.

Nuestra ley también hace referencia a datos financieros o patrimoniales los cuales pueden considerarse una subclase de los datos sensibles.

 

INAI emite lineamientos para los procedimientos de protección de derechos, de investigación y de imposición de sanciones

El pasado 9 de diciembre de 2015 se publicó en el Diario Oficial de la Federación el acuerdo mediante el cual se aprobaron los Lineamientos de los Procedimientos de Protección de Derechos, de Investigación y Verificación, y de Imposición de Sanciones (los “Lineamientos”), entrando en vigor al día siguiente de su publicación.

El INAI señaló que derivado de la experiencia en la substanciación y resolución de los procedimientos en materia de protección de datos personales en posesión de los particulares se advirtió la necesidad de emitir un “nuevo ordenamiento jurídico que desarrolle, informe y precise las formalidades que deben observarse durante los procedimientos de protección de derechos, de verificación y de imposición de sanciones”.

Los Lineamientos señalan que son de observancia obligatoria para los titulares que presenten solicitudes de protección de derechos o denuncias, así como para las personas físicas o morales, privadas, que lleven a cabo el tratamiento de de datos personales.

Aquellos procedimientos, investigaciones y cualquier otro asunto en trámite o pendiente de resolución a la entrada en vigor de los Lineamientos se sujetará solo a las Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su reglamento.

ICC publica la Guía de Seguridad ICC para los Negocios

En días recientes, ICC México organizó un evento para dar a conocer el lanzamiento a nivel mundial de la Guía de Seguridad ICC para los Negocios. Se trata de un documento inspirado en una guía belga que busca sensibilizar a las empresas sobre la seguridad de la información a través de cinco principios y seis acciones que pueden poner en práctica.

Dentro de las acciones que promueve entre los empresarios están: (i) realizar copias de seguridad de la información del negocio y validación del proceso de restauración; (ii) actualización de los sistemas de tecnología de la información (reconociendo que la seguridad de la información involucra también medios físicos); (iii) invertir en la formación del personal; (iv) controlar su entorno de información; (iv) defensa en capas para reducir riesgos; y (v) prepararse para cuando la brecha ocurra.

PS 0016/14 CASO BANCO MERCANTIL DEL NORTE, S.A., INSTITUCIÓN DE BANCA MÚLTIPLE, GRUPO FINANCIERO BANORTE (JUNIO, 2015)

SÍNTESIS EJECUTIVA

INFRACTOR: BANCO MERCANTIL DEL NORTE, S.A., INSTITUCIÓN DE BANCA MÚLTIPLE, GRUPO FINANCIERO BANORTE (“BANORTE”)

SECTOR: Financiero

AUTORIDAD: INAI (antes IFAI)

ANTECEDENTES:

·       Con fecha 22 de enero de 2014, el entonces IFAI (ahora INAI) recibió denuncia derivada de una supuesta transferencia de datos personales sensibles por parte de Banorte a un tercero llamado Integra Capital sin que mediara consentimiento para tal fin, haciendo éste último un supuesto uso indebido de datos personales. Los datos personales de la titular y su cónyuge habían sido recabados por el Infractor a través de un contrato de apertura de crédito simple denominado “Auto Estrena de Banorte”.

·       En consecuencia, con fecha 21 de abril de 2014, el Secretario de Protección de Datos Personales y el Director General de Verificación del IFAI emitieron un Acuerdo de Inicio de Procedimiento de Verificación en contra del Infractor.

·       El 26 de noviembre de 2014, el Pleno del IFAI emitió resolución mediante la cual determinó ordenar el inicio del procedimiento de imposición de sanciones en contra del Infractor.

·       Con fecha 8 de enero de 2015, se emitió el Acuerdo de Inicio de Procedimiento de Imposición de Sanciones, dándole a conocer al Infractor un informe con los hechos constitutivos de las presuntas infracciones, otorgándole un plazo de 15 días hábiles para que rindiera pruebas e hiciera manifestaciones sobre lo que a su derecho conviniera y requiriéndole la documentación que reflejara su situación financiera actual.

·       El Infractor presentó su contestación con fecha 5 de febrero de 2015 aportando pruebas documentales omitiendo acreditar su personalidad y su situación financiera actual.

·       El 16 de febrero de 2015 el IFAI reconoció la personalidad del representante del Infractor y se emitió acuerdo de admisión de pruebas y plazo para alegatos.

·       El 24 de febrero de 2015 el Infractor presentó escrito de alegatos, y el 11 de marzo de 2015 después de un nuevo requerimiento del IFAI, la información sobre su situación financiera (balances generales y estados de resultados consolidados al 31 de diciembre de 2014 y 2013). Por su parte el IFAI ordenó ingresar a la página de Internet del Infractor a fin de constatar que los documentos exhibidos se encontraban disponibles en la misma.

·       El 7 de abril de 2015 se decretó el cierre de la instrucción.

·       Con fecha 3 de junio de 2015 los comisionados del IFAI resolvieron imponer a Banorte diversas multas.

PUNTOS CONTROVERTIDOS EN EL PROCEDIMIENTO DE IMPOSICIÓN DE SANCIÓN:

·       Si el Infractor recabó datos sensibles del cónyuge de la denunciante consistentes en estado de salud presente y futuro sin el consentimiento expreso y por escrito del cónyuge.

·       Si el Infractor cuenta con bases de datos que contengan datos sensibles sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acorde a las actividades o fines explícitos.

·       Si trató los datos personales de la denunciante y su cónyuge en contravención a los principios de información, proporcionalidad y licitud al presuntamente: (i) omitir poner a disposición de la denunciante un aviso de privacidad; (ii) dar tratamiento a los datos de su cónyude sin que resultaran necesarios, adecuados y relevantes en relación con las finalidades para las que se obtuvieron; y (iii) no ajustarse a la normatividad aplicable.

 ARGUMENTOS DE DEFENSA DEL INFRACTOR:

·       El Infractor señaló que los datos personales sensibles del cónyuge de la denunciante no fueron requeridos ni tratados al no ser parte del trámite crediticio.

·       Así mismo señaló que el IFAI daba por hecho de que el cónyuge había proporcionado personalmente sus datos y que fue la denunciante quien requisitó de su puño y letra la solicitud de crédito y cruzó los recuadros del cuestionario médico.

·       También señaló que la información que requiere en la solicitud de crédito es proporcional y lícita y que se encuentra relacionada con el riesgo que corre al otorgar un crédito automotriz y con lo establecido en el artículo 65 de la Ley de Instituciones de Crédito que permite, entre otros puntos, la realización de un estudio de viabilidad económica de los proyectos de inversión.

·       Dentro de sus argumentos mencionó que en ningún momento la ley ni el reglamento señalan que el aviso de privacidad deba entregarse en mano a los solicitantes y que éstos firmen de recibido sino poner a disposición, situación que dijo cubrir en forma amplia al tener el aviso de privacidad a disposición de sus clientes y usuarios de forma permanente en la página de Internet. En sus alegatos mencionó también que el aviso de privacidad se daba a conocer de forma verbal a los clientes antes de completar la solicitud de crédito.

 RESOLUCIÓN:

Se aplicaron multas al Infractor derivadas de los siguientes incumplimientos:

Incumplimientos de gravedad alta

·       Recabar datos personales sensibles relativos al estado de salud presente y futuro del cónyuge de la denunciante sin haber obtenido su consentimiento expreso y por escrito.

·       Contar con bases de datos personales realtivos al estado de salud presente y futuro de persona ajena a la denunciante sin que dicha situación se encuentre justificada legalmente.

Incumplimientos de gravedad media

·       Omitir poner a disposición de la denunciante su aviso de privacidad en el que informara los datos personales obtenidos y para qué fines al momento en que obtuvo sus datos personales (principio de información).

·       Dar tratamiento a los datos del cónyuge sin que resultaran necesarios, adecuados y relevantes (principio de proporcionalidad).

·       No ajustarse a la normatividad aplicable (principio de licitud).

Consulte la resolución en http://inicio.ifai.org.mx/pdf/resoluciones/2014/PS%2016.pdf

SANCIÓN: $32’006,691.00 M.N.

Se desconoce si el Infractor impugnó la resolución.

DURACIÓN: (tiempo transcurrido entre el primer contacto con el IFAI y la imposición de sanción): aprox. 17 meses

LECCIÓN DE ESTE CASO: -No es suficiente tener a disposición de los titulares en la página de Internet el aviso de privacidad o darlo a conocer de forma verbal, debe ponerse a disposición del titular previo a que se le recaben los datos siendo la carga de la prueba del cumplimiento de lo anterior del responsable.
– Se requiere consentimiento expreso y por escrito para recabar datos sensibles, además de una finalidad que justifique su tratamiento.
– Debe existir una justificación para contar con bases de datos personales sensibles.

La situación de phishing y malware en México

http://www.malware.unam.mx/es/content/un-vistazo-la-situación-de-phishing-y-malware-en-méxico-abril-–-junio-2015

Introduce tu dirección de correo electrónico para seguir este Blog y recibir las notificaciones de las nuevas publicaciones en tu buzón de correo electrónico.