Privacidad y Protección de Datos Personales en México

Inicio » Datos sensibles

Archivo de la categoría: Datos sensibles

PS 0016/14 CASO BANCO MERCANTIL DEL NORTE, S.A., INSTITUCIÓN DE BANCA MÚLTIPLE, GRUPO FINANCIERO BANORTE (JUNIO, 2015)

SÍNTESIS EJECUTIVA

INFRACTOR: BANCO MERCANTIL DEL NORTE, S.A., INSTITUCIÓN DE BANCA MÚLTIPLE, GRUPO FINANCIERO BANORTE (“BANORTE”)

SECTOR: Financiero

AUTORIDAD: INAI (antes IFAI)

ANTECEDENTES:

·       Con fecha 22 de enero de 2014, el entonces IFAI (ahora INAI) recibió denuncia derivada de una supuesta transferencia de datos personales sensibles por parte de Banorte a un tercero llamado Integra Capital sin que mediara consentimiento para tal fin, haciendo éste último un supuesto uso indebido de datos personales. Los datos personales de la titular y su cónyuge habían sido recabados por el Infractor a través de un contrato de apertura de crédito simple denominado “Auto Estrena de Banorte”.

·       En consecuencia, con fecha 21 de abril de 2014, el Secretario de Protección de Datos Personales y el Director General de Verificación del IFAI emitieron un Acuerdo de Inicio de Procedimiento de Verificación en contra del Infractor.

·       El 26 de noviembre de 2014, el Pleno del IFAI emitió resolución mediante la cual determinó ordenar el inicio del procedimiento de imposición de sanciones en contra del Infractor.

·       Con fecha 8 de enero de 2015, se emitió el Acuerdo de Inicio de Procedimiento de Imposición de Sanciones, dándole a conocer al Infractor un informe con los hechos constitutivos de las presuntas infracciones, otorgándole un plazo de 15 días hábiles para que rindiera pruebas e hiciera manifestaciones sobre lo que a su derecho conviniera y requiriéndole la documentación que reflejara su situación financiera actual.

·       El Infractor presentó su contestación con fecha 5 de febrero de 2015 aportando pruebas documentales omitiendo acreditar su personalidad y su situación financiera actual.

·       El 16 de febrero de 2015 el IFAI reconoció la personalidad del representante del Infractor y se emitió acuerdo de admisión de pruebas y plazo para alegatos.

·       El 24 de febrero de 2015 el Infractor presentó escrito de alegatos, y el 11 de marzo de 2015 después de un nuevo requerimiento del IFAI, la información sobre su situación financiera (balances generales y estados de resultados consolidados al 31 de diciembre de 2014 y 2013). Por su parte el IFAI ordenó ingresar a la página de Internet del Infractor a fin de constatar que los documentos exhibidos se encontraban disponibles en la misma.

·       El 7 de abril de 2015 se decretó el cierre de la instrucción.

·       Con fecha 3 de junio de 2015 los comisionados del IFAI resolvieron imponer a Banorte diversas multas.

PUNTOS CONTROVERTIDOS EN EL PROCEDIMIENTO DE IMPOSICIÓN DE SANCIÓN:

·       Si el Infractor recabó datos sensibles del cónyuge de la denunciante consistentes en estado de salud presente y futuro sin el consentimiento expreso y por escrito del cónyuge.

·       Si el Infractor cuenta con bases de datos que contengan datos sensibles sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acorde a las actividades o fines explícitos.

·       Si trató los datos personales de la denunciante y su cónyuge en contravención a los principios de información, proporcionalidad y licitud al presuntamente: (i) omitir poner a disposición de la denunciante un aviso de privacidad; (ii) dar tratamiento a los datos de su cónyude sin que resultaran necesarios, adecuados y relevantes en relación con las finalidades para las que se obtuvieron; y (iii) no ajustarse a la normatividad aplicable.

 ARGUMENTOS DE DEFENSA DEL INFRACTOR:

·       El Infractor señaló que los datos personales sensibles del cónyuge de la denunciante no fueron requeridos ni tratados al no ser parte del trámite crediticio.

·       Así mismo señaló que el IFAI daba por hecho de que el cónyuge había proporcionado personalmente sus datos y que fue la denunciante quien requisitó de su puño y letra la solicitud de crédito y cruzó los recuadros del cuestionario médico.

·       También señaló que la información que requiere en la solicitud de crédito es proporcional y lícita y que se encuentra relacionada con el riesgo que corre al otorgar un crédito automotriz y con lo establecido en el artículo 65 de la Ley de Instituciones de Crédito que permite, entre otros puntos, la realización de un estudio de viabilidad económica de los proyectos de inversión.

·       Dentro de sus argumentos mencionó que en ningún momento la ley ni el reglamento señalan que el aviso de privacidad deba entregarse en mano a los solicitantes y que éstos firmen de recibido sino poner a disposición, situación que dijo cubrir en forma amplia al tener el aviso de privacidad a disposición de sus clientes y usuarios de forma permanente en la página de Internet. En sus alegatos mencionó también que el aviso de privacidad se daba a conocer de forma verbal a los clientes antes de completar la solicitud de crédito.

 RESOLUCIÓN:

Se aplicaron multas al Infractor derivadas de los siguientes incumplimientos:

Incumplimientos de gravedad alta

·       Recabar datos personales sensibles relativos al estado de salud presente y futuro del cónyuge de la denunciante sin haber obtenido su consentimiento expreso y por escrito.

·       Contar con bases de datos personales realtivos al estado de salud presente y futuro de persona ajena a la denunciante sin que dicha situación se encuentre justificada legalmente.

Incumplimientos de gravedad media

·       Omitir poner a disposición de la denunciante su aviso de privacidad en el que informara los datos personales obtenidos y para qué fines al momento en que obtuvo sus datos personales (principio de información).

·       Dar tratamiento a los datos del cónyuge sin que resultaran necesarios, adecuados y relevantes (principio de proporcionalidad).

·       No ajustarse a la normatividad aplicable (principio de licitud).

Consulte la resolución en http://inicio.ifai.org.mx/pdf/resoluciones/2014/PS%2016.pdf

SANCIÓN: $32’006,691.00 M.N.

Se desconoce si el Infractor impugnó la resolución.

DURACIÓN: (tiempo transcurrido entre el primer contacto con el IFAI y la imposición de sanción): aprox. 17 meses

LECCIÓN DE ESTE CASO: -No es suficiente tener a disposición de los titulares en la página de Internet el aviso de privacidad o darlo a conocer de forma verbal, debe ponerse a disposición del titular previo a que se le recaben los datos siendo la carga de la prueba del cumplimiento de lo anterior del responsable.
– Se requiere consentimiento expreso y por escrito para recabar datos sensibles, además de una finalidad que justifique su tratamiento.
– Debe existir una justificación para contar con bases de datos personales sensibles.

CASO UIC, UNIVERSIDAD INTERCONTINENTAL, A.C. (SEPTIEMBRE 2013)

SÍNTESIS EJECUTIVA

INFRACTOR: UIC, UNIVERSIDAD INTERCONTINENTAL, A.C. (“UIC”)

SECTOR: Educación

AUTORIDAD: IFAI

ANTECEDENTES:

• El 24 de octubre de 2012 el IFAI recibió una denuncia en contra del Infractor por publicar datos personales sensibles del titular en Internet consistentes en reportes de las sesiones de psicoterapia psicoanalítica a las que asistió en las instalaciones del Infractor.
• El 6 de noviembre de ese mismo año el IFAI requirió información al Infractor, quien dio respuesta a dicho requerimiento con fecha 22 de noviembre de 2012 mediante correo electrónico; días después presentó una ampliación de respuesta.
• El 6 de marzo de 2013 se ordenó iniciar el procedimiento de verificación al Infractor.
• El 8 de mayo se ordenó iniciar el procedimiento de imposición de sanciones.

PUNTOS CONTROVERTIDOS EN EL PROCEDIMIENTO DE IMPOSICIÓN DE SANCIÓN:

• Si el Infractor contravino o no los principios de licitud, lealtad y responsabilidad.
• Si el aviso de privacidad del Infractor contaba o no con información respecto a las opciones y medios para que los titulares limitaran el uso o divulgación de los datos personales.
• Si el Infractor incumplió o no el deber de confidencialidad.

ARGUMENTOS DE DEFENSA DEL INFRACTOR:

Entre otros argumentos señaló:
• Que era falso que cualquier dependiente, estudiante o profesor hubiera divulgado cualquier dato sensible del titular, lo cual se desprende de las declaraciones de quien recabó el dato; así mismo argumenta el Infractor que al momento de percatarse de la existencia de estas publicaciones solicitó la cancelación de las mismas.
• Que aunque no se lleva un proceso de disociación, todos los estudiantes y profesores del Infractor que tengan acceso a este tipo de información, deben de guardar la debida confidencialidad a efecto de proteger los datos de todos los titulares de acuerdo a lo previsto en el texto del Aviso de Privacidad que cualquiera puede consultar en la página web del Infractor.

RESOLUCIÓN:

• Contravino los principios de licitud, lealtad y responsabilidad:

Principio de licitud: No tomó las medidas necesarias para evitar que se grabaran, transcribieran y se subieran al sitio web scribd.com, los reportes de las sesiones de psicoterapia psicoanalítica a las que asistió el titular en las instalaciones del Infractor, haciendo públicos los datos personales y datos personales sensibles del titular, tales como los relativos a su estado de salud emocional, vulnerando su esfera privada e íntima, en virtud de que no llevó a cabo un proceso de disociación, a fin de que no pudieran asociarse a su titular.

Principio de lealtad: “incumplió dicho principio al vulnerar la expectativa razonable de privacidad en perjuicio del Titular, ya que se realizaron transcripciones literales de las sesiones de psicoterapia del denunciante, mismas que fueron colocadas en una fuente de acceso público, como lo es el sitio web scribd.com, sin haber tomado las medidas necesarias para garantizar la confidencialidad del tratamiento de tales datos, como lo sería el llevar a cabo un proceso de disociación, mediante el cual los datos personales no pudieran asociarse al denunciante ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo, cuestión que no aconteció.”

Principio de responsabilidad: La Infractora “tenía la obligación de guardar y velar por la confidencialidad de los datos personales del denunciante, lo cual implicaba vigilar, asegurarse y, en su caso, implementar las medidas de seguridad físicas, técnicas y administrativas, para que todas aquellas personas que intervinieran en cualquier fase del tratamiento de los datos personales y datos personales sensibles del denunciante, guardaran y velaran por la confidencialidad de dichos datos, situación que en la especie no aconteció, toda vez que existió una indebida publicación de los datos personales sensibles del denunciante en el sitio web scribd.com.”

• En lo relativo a la omisión en el aviso de privacidad sobre las opciones y medios para que los titulares limitaran el uso o divulgación de los datos personales, el Infractor a través de un escrito reconoció haber incurrido en la infracción.

• En relación al incumplimiento del deber de confidencialidad de la revisión al aviso de privacidad se advierte que en ningún momento se hace del conocimiento de los “prospectos de alumnos, de alumnos, personal administrativo y exalumnos” que al intervenir en el tratamiento de datos personales, estén obligados a guardar la confidencialidad sobre los mismos, máxime que el Infractor no aportó prueba alguna que lo acreditara.

• Por tratarse de datos sensibles se incrementó la sanción en un 100%.

SANCIÓN: $5,298,050.00 M.N.