Privacidad y Protección de Datos Personales en México

Inicio » Aviso de Privacidad

Archivo de la categoría: Aviso de Privacidad

PS 0016/14 CASO BANCO MERCANTIL DEL NORTE, S.A., INSTITUCIÓN DE BANCA MÚLTIPLE, GRUPO FINANCIERO BANORTE (JUNIO, 2015)

SÍNTESIS EJECUTIVA

INFRACTOR: BANCO MERCANTIL DEL NORTE, S.A., INSTITUCIÓN DE BANCA MÚLTIPLE, GRUPO FINANCIERO BANORTE (“BANORTE”)

SECTOR: Financiero

AUTORIDAD: INAI (antes IFAI)

ANTECEDENTES:

·       Con fecha 22 de enero de 2014, el entonces IFAI (ahora INAI) recibió denuncia derivada de una supuesta transferencia de datos personales sensibles por parte de Banorte a un tercero llamado Integra Capital sin que mediara consentimiento para tal fin, haciendo éste último un supuesto uso indebido de datos personales. Los datos personales de la titular y su cónyuge habían sido recabados por el Infractor a través de un contrato de apertura de crédito simple denominado “Auto Estrena de Banorte”.

·       En consecuencia, con fecha 21 de abril de 2014, el Secretario de Protección de Datos Personales y el Director General de Verificación del IFAI emitieron un Acuerdo de Inicio de Procedimiento de Verificación en contra del Infractor.

·       El 26 de noviembre de 2014, el Pleno del IFAI emitió resolución mediante la cual determinó ordenar el inicio del procedimiento de imposición de sanciones en contra del Infractor.

·       Con fecha 8 de enero de 2015, se emitió el Acuerdo de Inicio de Procedimiento de Imposición de Sanciones, dándole a conocer al Infractor un informe con los hechos constitutivos de las presuntas infracciones, otorgándole un plazo de 15 días hábiles para que rindiera pruebas e hiciera manifestaciones sobre lo que a su derecho conviniera y requiriéndole la documentación que reflejara su situación financiera actual.

·       El Infractor presentó su contestación con fecha 5 de febrero de 2015 aportando pruebas documentales omitiendo acreditar su personalidad y su situación financiera actual.

·       El 16 de febrero de 2015 el IFAI reconoció la personalidad del representante del Infractor y se emitió acuerdo de admisión de pruebas y plazo para alegatos.

·       El 24 de febrero de 2015 el Infractor presentó escrito de alegatos, y el 11 de marzo de 2015 después de un nuevo requerimiento del IFAI, la información sobre su situación financiera (balances generales y estados de resultados consolidados al 31 de diciembre de 2014 y 2013). Por su parte el IFAI ordenó ingresar a la página de Internet del Infractor a fin de constatar que los documentos exhibidos se encontraban disponibles en la misma.

·       El 7 de abril de 2015 se decretó el cierre de la instrucción.

·       Con fecha 3 de junio de 2015 los comisionados del IFAI resolvieron imponer a Banorte diversas multas.

PUNTOS CONTROVERTIDOS EN EL PROCEDIMIENTO DE IMPOSICIÓN DE SANCIÓN:

·       Si el Infractor recabó datos sensibles del cónyuge de la denunciante consistentes en estado de salud presente y futuro sin el consentimiento expreso y por escrito del cónyuge.

·       Si el Infractor cuenta con bases de datos que contengan datos sensibles sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acorde a las actividades o fines explícitos.

·       Si trató los datos personales de la denunciante y su cónyuge en contravención a los principios de información, proporcionalidad y licitud al presuntamente: (i) omitir poner a disposición de la denunciante un aviso de privacidad; (ii) dar tratamiento a los datos de su cónyude sin que resultaran necesarios, adecuados y relevantes en relación con las finalidades para las que se obtuvieron; y (iii) no ajustarse a la normatividad aplicable.

 ARGUMENTOS DE DEFENSA DEL INFRACTOR:

·       El Infractor señaló que los datos personales sensibles del cónyuge de la denunciante no fueron requeridos ni tratados al no ser parte del trámite crediticio.

·       Así mismo señaló que el IFAI daba por hecho de que el cónyuge había proporcionado personalmente sus datos y que fue la denunciante quien requisitó de su puño y letra la solicitud de crédito y cruzó los recuadros del cuestionario médico.

·       También señaló que la información que requiere en la solicitud de crédito es proporcional y lícita y que se encuentra relacionada con el riesgo que corre al otorgar un crédito automotriz y con lo establecido en el artículo 65 de la Ley de Instituciones de Crédito que permite, entre otros puntos, la realización de un estudio de viabilidad económica de los proyectos de inversión.

·       Dentro de sus argumentos mencionó que en ningún momento la ley ni el reglamento señalan que el aviso de privacidad deba entregarse en mano a los solicitantes y que éstos firmen de recibido sino poner a disposición, situación que dijo cubrir en forma amplia al tener el aviso de privacidad a disposición de sus clientes y usuarios de forma permanente en la página de Internet. En sus alegatos mencionó también que el aviso de privacidad se daba a conocer de forma verbal a los clientes antes de completar la solicitud de crédito.

 RESOLUCIÓN:

Se aplicaron multas al Infractor derivadas de los siguientes incumplimientos:

Incumplimientos de gravedad alta

·       Recabar datos personales sensibles relativos al estado de salud presente y futuro del cónyuge de la denunciante sin haber obtenido su consentimiento expreso y por escrito.

·       Contar con bases de datos personales realtivos al estado de salud presente y futuro de persona ajena a la denunciante sin que dicha situación se encuentre justificada legalmente.

Incumplimientos de gravedad media

·       Omitir poner a disposición de la denunciante su aviso de privacidad en el que informara los datos personales obtenidos y para qué fines al momento en que obtuvo sus datos personales (principio de información).

·       Dar tratamiento a los datos del cónyuge sin que resultaran necesarios, adecuados y relevantes (principio de proporcionalidad).

·       No ajustarse a la normatividad aplicable (principio de licitud).

Consulte la resolución en http://inicio.ifai.org.mx/pdf/resoluciones/2014/PS%2016.pdf

SANCIÓN: $32’006,691.00 M.N.

Se desconoce si el Infractor impugnó la resolución.

DURACIÓN: (tiempo transcurrido entre el primer contacto con el IFAI y la imposición de sanción): aprox. 17 meses

LECCIÓN DE ESTE CASO: -No es suficiente tener a disposición de los titulares en la página de Internet el aviso de privacidad o darlo a conocer de forma verbal, debe ponerse a disposición del titular previo a que se le recaben los datos siendo la carga de la prueba del cumplimiento de lo anterior del responsable.
– Se requiere consentimiento expreso y por escrito para recabar datos sensibles, además de una finalidad que justifique su tratamiento.
– Debe existir una justificación para contar con bases de datos personales sensibles.

PS.0001/14 CASO CREACIONES TEXTILES DE MÉRIDA, S.A. DE C.V. (JUNIO, 2014)

SÍNTESIS EJECUTIVA

INFRACTOR: CREACIONES TEXTILES DE MÉRIDA, S.A. DE C.V.

SECTOR: TEXTIL

AUTORIDAD: IFAI

ANTECEDENTES:

• Con fecha 3 de septiembre de 2013, el IFAI recibió denuncia por medio de la cual el Titular señaló que el Infractor no contaba con aviso de privacidad y por tal motivo no pudo realizar el ejercicio de sus derechos ARCO.
• El 31 de octubre de 2013, el Secretario de Protección de Datos Personales y el Director General de Verificación acordaron el inicio de un procedimiento de verificación.
• El 22 de enero de 2014, una vez sustanciado el procedimiento de verificación, el Pleno ordenó el inicio de un procedimiento de imposición de sanciones por violaciones al principio de información, emitiéndose con fecha 4 de febrero de 2014 un acuerdo de inicio de dicho procedimiento. Se otorgó al Infractor un plazo de 15 días hábiles para que rindiera pruebas e hiciera manifestaciones sobre lo que a su derecho conviniera.
• El 26 de febrero de 2014 el Infractor dio contestación y aportó pruebas.
• El 10 de marzo de 2014 se admitieron las pruebas y se otorgó plazo para presentar alegatos.
• Con fecha 19 de marzo de 2014, la Infractora presentó escrito de alegatos.
• El 25 de junio de 2014 se resolvió el procedimiento imponiendo una multa al Infractor.

POSIBLE INFRACCIÓN:
• Dar tratamiento a los datos personales del Titular en contravención al principio de información, al omitir darle a conocer la información relativa a la existencia y características principales del tratamiento al que serían sometidos sus datos a través del aviso de privacidad.
ARGUMENTOS DE DEFENSA DEL INFRACTOR:
Los argumentos de defensa del Infractor fueron, entre otros:
• Que utilizaba el aviso de privacidad de su empresa matriz.
• Que los datos personales tratados eran aquellos necesarios para la relación laboral y que fueron cancelados cuando lo solicitó el Titular.

RESOLUCIÓN:
Se aplicaron multas al Infractor derivadas de los siguientes incumplimientos:

• Incumplimientos de gravedad media
Incumplimiento al principio de información toda vez que el Infractor obtuvo datos personales del Titular sin darle a conocer la existencia y características principales del tratamiento al que serían sometidos, a través del aviso de privacidad, dejando de garantizar la privacidad y el derecho a la autodeterminación informativa del Titular, al no proveer los mecanismos para que pudiera ejercer su derecho a limitar el uso o divulgación de sus datos, desconociendo ante quién y cómo podría hacerlo.

SANCIÓN: $129,520.00 M.N.
Desconocemos si el Infractor impugnó la resolución del IFAI.

DURACIÓN (tiempo transcurrido entre el primer contacto con el IFAI y la imposición de sanción): apRox. 10 meses

LECCIÓN DE ESTE CASO: El aviso o política de privacidad de la compañía matriz no permite cumplir con el principio de información previsto en la ley. Cada responsable (incluido el caso de empresas filiales o subsidiarias) debe contar con su propio aviso de privacidad.

Liverpool reporta hackeo como evento relevante ante la BMV

Diversos medios de comunicación han dado a conocer que con fecha 24 de diciembre de 2014, la empresa de almacenes departamentales Liverpool informó a través de un comunicado a la Bolsa Mexicana de Valores que había sido víctima de un intento de extorsión. Señaló que los criminales habían logrado una intrusión en correos de su personal e información de algunos clientes. Liverpool calificó la vulneración a la seguridad de bajo riesgo. Sin embargo, queda pendiente el que informe a detalle el alcance de la vulneración para corroborar la calificación de bajo riesgo, sobretodo considerando que se trata del tercer emisor de tarjetas de crédito en nuestro país.

En términos del artículo 64 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares el Responsable debe informar al titular las vulneraciones que afecten de forma significativa sus derechos patrimoniales o morales, en cuanto confirme que ocurrió la vulneración y haya tomado las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, y sin dilación alguna, a fin de que los titulares afectados puedan tomar las medidas correspondientes.

http://www.reforma.com/aplicacioneslibre/preacceso/articulo/default.aspx?id=425848&urlredirect=http://www.reforma.com/aplicaciones/articulo/default.aspx?id=425848

CASO ASTERISCO AUTO, S.A. DE C.V. (MARZO, 2014)

SÍNTESIS EJECUTIVA

INFRACTOR: ASTERISCO AUTO, S.A. DE C.V. (“ASTERISCO AUTO”)

SECTOR: Servicios

AUTORIDAD: IFAI

ANTECEDENTES:

• Con fecha 25 de febrero de 2013, el IFAI recibió denuncia relativa a una empresa que ofrecía servicios de verificación vehicular, mecánica y grúa, y que no obstante la Titular no les había porporcionado sus datos personales y había rechazado dicho servicio, se le habían comenzado a realizar cargos automáticos mensuales a su tarjeta de crédito por cuenta del servicio y se le había registrado como miembro activo de la empresa.
• En consecuencia, con fecha 7 de marzo de 2013, el IFAI hizo un requerimiento de información al Infractor.
• Por otra parte, el 13 de marzo de 2013, el IFAI recibió otra denuncia por diverso Titular también en contra del Infractor señalando que había recibido una llamada en la que le informaban de un cargo automático a su tarjeta de crédito, por lo que el Titular trató de investigar cómo habían obtenido sus datos sin éxito. Así mismo el Titular denunció que no había podido ejercer sus derechos ARCO, debido a que no encontró aviso de privacidad en la página de Internet del Infrator.
• Con fecha 21 de marzo de 2013, por oficio del Director General de Verificación se formuló un nuevo requerimiento de información a Asterisco Auto, relacionado con la segunda denuncia.
• Con fecha 3 de abril de 2013, Asterisco Auto, dio respuesta a los dos requerimientos que le fueron formulados, en idénticos términos, negando que hubiera tratado los datos de los denunciantes.
• Con fecha 24 de mayo de 2013, el Director General de Verificación determinó procedente acumular los expedientes de investigación antes señalados, por tratarse de hechos similares denunciados en contra de Asterisco Auto.
• Con fecha 17 de junio de 2013, el Secretario de Protección de Datos Personales y el Director General de Verificación emitieron un Acuerdo de Inicio de Procedimiento de Verificación, en contra del Infractor. Se realizó una visita de verificación en el domicilio del Infractor, y otra en el domiclio del call center,lugar en donde el Infractor señaló que se capturaban los datos de los clientes en una base de datos excel.
• El 28 de agosto de 2013, el Pleno del IFAI emitió resolución mediante la cual determinó ordenar el inicio del procedimiento de imposición de sanciones.
• Con fecha 9 de septiembre de 2013, se emitió el Acuerdo de inicio del procedimiento de imposición de sanciones, dándole a conocer al Infractor un informe con los hechos constitutivos de las presuntas infracciones y otorgándole un plazo de 15 días hábiles para que rindiera pruebas e hiciera manifestaciones sobre lo que a su derecho conviniera.
• Al expediente del procedimiento se agregó copia del escrito del Infractor de fecha 20 de septiembre en el que acompañó anexos relacionados con las adecuaciones que dijo haber efectuado a su aviso de privacidad en cumplimiento a la resolución del 28 de agosto.
• El Infractor se abstuvo de dar contestación al acuerdo de inicio, por lo que el 7 de octubre de 2013, el Director General de Sustanciación y Sanción dictó un nuevo acuerdo, por medio del cual se tuvo por perdido su derecho de rendir pruebas y manifestar lo que a su derecho conviniera, y se le otorgó el plazo de cinco días hábiles para presentar alegatos. El Infractor tampoco presentó alegatos.
• Con fecha 4 de febrero de 2014 los comisionados del IFAI resolvieron imponer a Asterisco Auto diversas multas.

PUNTOS CONTROVERTIDOS EN EL PROCEDIMIENTO DE IMPOSICIÓN DE SANCIÓN:• Si el Infractor inicialmente declaro dolosamente la inexistencia de los datos personales para posteriormente reconocer que sí contaba con ellos.
• Si el aviso de privacidad del Infractor cumplía con todos sus requisitos como si se establece o no el domicilio del Infractor, las opciones y medios que éste ofrece a los titulares para limitar el uso o divulgación procedimiento y el medio por el cual el Infractor comunicará a los titulares de cambios al mismo.
• Si recabó datos personales de carácter financiero, sin haber obtenido el consentimiento expreso de sus titulares.

ARGUMENTOS DE DEFENSA DEL INFRACTOR:
• El Infractor no compareció al procedimiento de imposición de sanción.

RESOLUCIÓN:
Se aplicaron multas al Infractor derivadas de los siguientes incumplimientos:
• Declarar dolosamente la inexistencia de los datos personales, cuando estos existían en sus bases de datos.
• Omitir en su aviso de privacidad el domicilio, las opciones y medios que ofrecía a los titulares para limitar el uso o divulgación de los datos personales y el procedimiento y medio por el cual comunicaría a los titulares de cambios al aviso de privacidad.
• Recabar datos personales de carácter financiero, sin el consentimiento expreso de sus titulares, estando obligada a ello.

SANCIÓN: $417,611.00 M.N.
Desconocemos si el Infractor impugnó la resolución del IFAI.

Aviso de privacidad corto para cupones, boletos de sorteos, cortesías y otros formatos con espacio limitado

Es común que a través de boletos de sorteos, cupones y cortesías las empresas recaben datos personales de clientes o clientes potenciales. Generalmente dichos formatos cuentan con un espacio limitado para la inclusión de un aviso de privacidad integral. Para dichos casos puede utilizarse el aviso de privacidad corto, el cual únicamente deberá especificar: (i) la identidad y domicilio del responsable; (ii) la finalidad o finalidades del tratamiento; y (iii) los mecanismos para que el titular conozca el aviso de privacidad integral. Lo anterior toda vez que contar con un aviso de privacidad corto o simplificado no exime a la empresa de poner a disposición del titular un aviso de privacidad integral. La empresa debe tener en cuenta que los mecanismos que utilice para que el titular pueda conocer el aviso de privacidad integral deben ser de fácil acceso, con la mayor cobertura posible -considerando el perfil del titular y la forma en que mantiene contacto con el responsable-, gratuitos, habilitados y disponibles en todo momento, y que hagan sencillo el acceso a la información. Ejemplos de mecanismos para poner a disposición el aviso de privacidad integral hay muchos: la página de Internet de la empresa, un impreso en la urna en la que se depositan los boletos del sorteo, una grabación en la línea de atención a clientes, por mencionar algunos.   

  

Cada responsable debe contar con su propio aviso de privacidad aun cuando sea parte de un mismo grupo empresarial

En términos de la Ley Federal de Protección de Datos Personales en Posesión de Particulares  y su reglamento, toda transferencia de datos personales requiere del consentimiento de su titular. Sin embargo, el mencionado reglamento exceptúa del consentimiento a las transferencias de datos personales que se realicen entre sociedades controladoras, subsidiarias o afiliadas bajo el control común del mismo grupo del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo, siempre y cuando estas empresas estén sujetas a normas internas comunes de protección de datos personales cuya observancia sea vinculante y cumpla con la normatividad aplicable.

Lo anterior, invita a que las empresas pertenecientes a un mismo grupo y que comparten políticas de privacidad y protección de datos piensen también en compartir un mismo aviso de privacidad. Sin embargo, el aviso de privacidad debe ser -por recomendación del propio IFAI- de un solo responsable, salvo muy raras excepciones. Lo anterior por razones de claridad para el titular quien al momento de ejercer sus Derechos Arco no debe tener duda alguna de quién es el responsable del tratamiento de sus datos personales así como las finalidades específicas de dicho tratamiento.

Nuevos lineamientos del aviso de privacidad

Como recordarán, en el mes de agosto de 2012 la Secretaría de Economía presentó ante la Comisión Federal de Mejora Regulatoria (“COFEMER”) el anteproyecto de los Lineamientos del aviso de privacidad (los “Lineamientos”) emitidos en coadyuvancia con el Instituto Federal de Acceso a la Información y Protección de Datos Personales (“IFAI”).  Finalmente, el 17 de enero de 2013 se publicaron los Lineamientos en el Diario Oficial de la Federación.  http://dof.gob.mx/nota_detalle.php?codigo=5284966&fecha=17/01/2013.

Los Lineamientos son de observancia obligatoria en toda la República Mexicana para todas aquellas personas físicas y morales que traten datos personales, y tienen por objeto establecer el contenido y alcance de los avisos de privacidad buscando que a través de los mismos se cumpla con el principio de información tutelado por la Ley Federal de Protección de Datos Personales en Posesión de Particulares. El principio de información, como la propia ley refiere, consiste en la obligación del responsable de informar a los titulares sobre la existencia y características principales del tratamiento al que serán sometidos sus datos personales.

Entre los puntos que llaman la atención, está el cuidado que pone la autoridad mexicana en que los titulares de datos personales realmente reciban la información necesaria para tomar decisiones informadas sobre el uso de sus datos personales. Expresamente prohíbe que el aviso de privacidad: (i) utilice frases inexactas, ambiguas o vagas; (ii) incluya textos o formatos que induzcan al titular a elegir una opción en específico; (iii) remita a documentos que no estén disponibles para el titular, entre otros.

En esa misma línea, los Lineamientos expresamente se refieren a aquellos casos –muy comunes por cierto- en los que el responsable no identifica los datos personales o la categoría de los datos que trata en su aviso de privacidad; o bien no lista de manera completa las finalidades del mismo, sirviéndose de frases a las que califica como inexactas, ambiguas o vagas como son: “entre otros”, “por ejemplo”,  y “otros fines análogos”.

Se obliga también a los responsables a tener en cuenta el perfil de los titulares tanto para elegir tanto la redacción del aviso de privacidad como los medios por los cuales se les dará a conocer el mismo.

Adicionalmente, los Lineamientos distinguen tres distintas modalidades de avisos de privacidad: (i) el integral; (ii) el sencillo; y (iii) el corto; determinando los casos en que podrá utilizarse cada uno de ellos, así como su alcance y contenido.

Finalmente se incluyen también lo que se denomina “Buenas prácticas en el aviso de privacidad”, que son de observancia voluntaria y muchos de ellos de fácil seguimiento para aquellos responsables interesados en demostrar su buena disposición en apoyar a la creación de una cultura de la protección de datos.