Privacidad y Protección de Datos Personales en México
Anuncios

PS 0016/14 CASO BANCO MERCANTIL DEL NORTE, S.A., INSTITUCIÓN DE BANCA MÚLTIPLE, GRUPO FINANCIERO BANORTE (JUNIO, 2015)

SÍNTESIS EJECUTIVA

INFRACTOR: BANCO MERCANTIL DEL NORTE, S.A., INSTITUCIÓN DE BANCA MÚLTIPLE, GRUPO FINANCIERO BANORTE (“BANORTE”)

SECTOR: Financiero

AUTORIDAD: INAI (antes IFAI)

ANTECEDENTES:

·       Con fecha 22 de enero de 2014, el entonces IFAI (ahora INAI) recibió denuncia derivada de una supuesta transferencia de datos personales sensibles por parte de Banorte a un tercero llamado Integra Capital sin que mediara consentimiento para tal fin, haciendo éste último un supuesto uso indebido de datos personales. Los datos personales de la titular y su cónyuge habían sido recabados por el Infractor a través de un contrato de apertura de crédito simple denominado “Auto Estrena de Banorte”.

·       En consecuencia, con fecha 21 de abril de 2014, el Secretario de Protección de Datos Personales y el Director General de Verificación del IFAI emitieron un Acuerdo de Inicio de Procedimiento de Verificación en contra del Infractor.

·       El 26 de noviembre de 2014, el Pleno del IFAI emitió resolución mediante la cual determinó ordenar el inicio del procedimiento de imposición de sanciones en contra del Infractor.

·       Con fecha 8 de enero de 2015, se emitió el Acuerdo de Inicio de Procedimiento de Imposición de Sanciones, dándole a conocer al Infractor un informe con los hechos constitutivos de las presuntas infracciones, otorgándole un plazo de 15 días hábiles para que rindiera pruebas e hiciera manifestaciones sobre lo que a su derecho conviniera y requiriéndole la documentación que reflejara su situación financiera actual.

·       El Infractor presentó su contestación con fecha 5 de febrero de 2015 aportando pruebas documentales omitiendo acreditar su personalidad y su situación financiera actual.

·       El 16 de febrero de 2015 el IFAI reconoció la personalidad del representante del Infractor y se emitió acuerdo de admisión de pruebas y plazo para alegatos.

·       El 24 de febrero de 2015 el Infractor presentó escrito de alegatos, y el 11 de marzo de 2015 después de un nuevo requerimiento del IFAI, la información sobre su situación financiera (balances generales y estados de resultados consolidados al 31 de diciembre de 2014 y 2013). Por su parte el IFAI ordenó ingresar a la página de Internet del Infractor a fin de constatar que los documentos exhibidos se encontraban disponibles en la misma.

·       El 7 de abril de 2015 se decretó el cierre de la instrucción.

·       Con fecha 3 de junio de 2015 los comisionados del IFAI resolvieron imponer a Banorte diversas multas.

PUNTOS CONTROVERTIDOS EN EL PROCEDIMIENTO DE IMPOSICIÓN DE SANCIÓN:

·       Si el Infractor recabó datos sensibles del cónyuge de la denunciante consistentes en estado de salud presente y futuro sin el consentimiento expreso y por escrito del cónyuge.

·       Si el Infractor cuenta con bases de datos que contengan datos sensibles sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acorde a las actividades o fines explícitos.

·       Si trató los datos personales de la denunciante y su cónyuge en contravención a los principios de información, proporcionalidad y licitud al presuntamente: (i) omitir poner a disposición de la denunciante un aviso de privacidad; (ii) dar tratamiento a los datos de su cónyude sin que resultaran necesarios, adecuados y relevantes en relación con las finalidades para las que se obtuvieron; y (iii) no ajustarse a la normatividad aplicable.

 ARGUMENTOS DE DEFENSA DEL INFRACTOR:

·       El Infractor señaló que los datos personales sensibles del cónyuge de la denunciante no fueron requeridos ni tratados al no ser parte del trámite crediticio.

·       Así mismo señaló que el IFAI daba por hecho de que el cónyuge había proporcionado personalmente sus datos y que fue la denunciante quien requisitó de su puño y letra la solicitud de crédito y cruzó los recuadros del cuestionario médico.

·       También señaló que la información que requiere en la solicitud de crédito es proporcional y lícita y que se encuentra relacionada con el riesgo que corre al otorgar un crédito automotriz y con lo establecido en el artículo 65 de la Ley de Instituciones de Crédito que permite, entre otros puntos, la realización de un estudio de viabilidad económica de los proyectos de inversión.

·       Dentro de sus argumentos mencionó que en ningún momento la ley ni el reglamento señalan que el aviso de privacidad deba entregarse en mano a los solicitantes y que éstos firmen de recibido sino poner a disposición, situación que dijo cubrir en forma amplia al tener el aviso de privacidad a disposición de sus clientes y usuarios de forma permanente en la página de Internet. En sus alegatos mencionó también que el aviso de privacidad se daba a conocer de forma verbal a los clientes antes de completar la solicitud de crédito.

 RESOLUCIÓN:

Se aplicaron multas al Infractor derivadas de los siguientes incumplimientos:

Incumplimientos de gravedad alta

·       Recabar datos personales sensibles relativos al estado de salud presente y futuro del cónyuge de la denunciante sin haber obtenido su consentimiento expreso y por escrito.

·       Contar con bases de datos personales realtivos al estado de salud presente y futuro de persona ajena a la denunciante sin que dicha situación se encuentre justificada legalmente.

Incumplimientos de gravedad media

·       Omitir poner a disposición de la denunciante su aviso de privacidad en el que informara los datos personales obtenidos y para qué fines al momento en que obtuvo sus datos personales (principio de información).

·       Dar tratamiento a los datos del cónyuge sin que resultaran necesarios, adecuados y relevantes (principio de proporcionalidad).

·       No ajustarse a la normatividad aplicable (principio de licitud).

Consulte la resolución en http://inicio.ifai.org.mx/pdf/resoluciones/2014/PS%2016.pdf

SANCIÓN: $32’006,691.00 M.N.

Se desconoce si el Infractor impugnó la resolución.

DURACIÓN: (tiempo transcurrido entre el primer contacto con el IFAI y la imposición de sanción): aprox. 17 meses

LECCIÓN DE ESTE CASO: -No es suficiente tener a disposición de los titulares en la página de Internet el aviso de privacidad o darlo a conocer de forma verbal, debe ponerse a disposición del titular previo a que se le recaben los datos siendo la carga de la prueba del cumplimiento de lo anterior del responsable.
– Se requiere consentimiento expreso y por escrito para recabar datos sensibles, además de una finalidad que justifique su tratamiento.
– Debe existir una justificación para contar con bases de datos personales sensibles.

Anuncios

La situación de phishing y malware en México

http://www.malware.unam.mx/es/content/un-vistazo-la-situación-de-phishing-y-malware-en-méxico-abril-–-junio-2015

Publica IFAI misión y objetivos específicos en el DOF

Conoce la misión y objetivos específicos del IFAI en la siguiente liga:

http://www.dof.gob.mx/nota_detalle.php?codigo=5387578&fecha=01/04/2015

Publica IFAI reglas de operación del registro de esquemas de autorregulación vinculante

Visita la siguiente liga para acceder a la publicación de las reglas de operación en el Diario Oficial de la Federación
http://www.dof.gob.mx/nota_detalle.php?codigo=5382543&fecha=18/02/2015

Inicio de procedimiento de imposición de sanciones en contra de Google México

Como resultado de un procedimiento de protección de derechos derivado de la falta de atención a una solicitud de cancelación y oposición al tratamiento de datos personales, el IFAI resolvió iniciar un procedimiento de imposición de sanciones en contra de Google México.

Para lo anterior, el IFAI tomó en consideración lo siguiente:

(i) Google México está legalmente constituida en el país, por lo que en términos de la ley es Responsable del tratamiento de datos personales;

(ii) de acuerdo con su objeto social, Google México presta servicios de motor de búsqueda; y

(iii) dichos servicios implican un tratamiento de datos personales cuando se coloca en el buscador un dato de cualquier persona y se encuentra indexado a la información de la red.

También señaló que Google México no acreditó que dicho servicio lo realice o preste una empresa distinta, específicamente Google, Inc.

Adicionalmente, ordenó a Google México hacer efectivos los derechos de cancelación y oposición al tratamiento de datos del Titular que presentó la solicitud de protección de derechos.

PS.0009/14 CASO ALSA 21, S.A. DE C.V. o SERBA 21, S.A. DE C.V. (pronto préstamo) (DICIEMBRE, 2014)

SÍNTESIS EJECUTIVA

 INFRACTOR: CASO ALSA 21, S.A. DE C.V. o SERBA 21, S.A. DE C.V.

 AUTORIDAD: IFAI

 ANTECEDENTES:

  • Con fecha 4 de noviembre de 2013, el Titular presentó solicitud de protección de derechos ante el IFAI por falta de respuesta a su solicitud de acceso y cancelación.
  • El 26 de marzo de 2014 Pleno del IFAI emitió una resolución ordenando al Infractor hacer efectivo el derecho de acceso y cancelación en un plazo no mayor a 10 días hábiles a partir de que surtiera efectos la resolución.
  • El 7 de abril de 2014, el Infractor presentó escrito al IFAI señalando que había dado cumplimiento a la resolución. Sin embargo cuando el IFAI dio vista al Titular, éste manifestó su inconformidad puesto que seguía recibiendo llamadas del Infractor. Por tanto se le fijó nuevamente un plazo al Infractor para que demostrara haber hecho efectivo los derechos, sin que presentara al IFAI respuesta alguna.
  • Consecuentemente, el 4 de septiembre de 2014, el Pleno del IFAI acordó el inicio del procedimiento de imposición de sanciones, y el 10 de octubre de 2014, se emitió el Acuerdo de inicio del procedimiento de imposición de sanciones, dándole a conocer al Infractor un informe con los hechos constitutivos de las presuntas infracciones y otorgándole un plazo de 15 días hábiles para que rindiera pruebas e hiciera manifestaciones sobre lo que a su derecho conviniera.
  • El Infractor se abstuvo de presentar escrito por lo que por acuerdo del 14 de octubre de 2014 se tuvo por perdido su derecho. El Infractor tampoco presentó alegatos.
  • Con fecha 16 de diciembre de 2014 los Comisionados del IFAI resolvieron imponer al Infractor dos multas.

PRESUNTAS INFRACCIONES:

  • En el procedimiento de imposición de sanciones únicamente se estudio el que el Infractor no había demostrado haber dado cumplimiento a la solicitud de acceso y cancelación de datos, así como las consecuencias de su desacatado a la resolución del IFAI derivada del procedimiento de protección de derechos.

ARGUMENTOS DE DEFENSA DEL INFRACTOR:

  • En el procedimieto de protección de derechos el Infractor manifestó que no contaba con los datos del Titular. No compareció al procedimiento de imposición de sanciones.

RESOLUCIÓN:

Se aplicaron multas al Infractor derivadas de los siguientes incumplimientos:

  • Incumplimientos de gravedad media

La falta de cancelación de datos personales y por ende el no haber hecho del conocimiento de terceros a los que transfirió los datos, dicha cancelación

  • Incumplimiento de gravedad alta

Desacato, el no haber atendido a la resolución del Pleno del IFAI derivada del procedimiento de protección de derechos por la que se le ordenó atender la solicitud de cancelación de datos del Titular.

SANCIÓN: $672,900.00 M.N.

Desconocemos si el Infractor impugnó la resolución del IFAI.

DURACIÓN (tiempo transcurrido entre el primer contacto con el IFAI y la imposición de sanción): aprox. 13 meses

PS.0006/14 CASO BUHO LEGAL, S. DE R.L. DE C.V. (OCTUBRE, 2014)

SÍNTESIS EJECUTIVA 

INFRACTOR: BUHO LEGAL, S. DE R.L. DE C.V. (“BUHO LEGAL”)

AUTORIDAD: IFAI

ANTECEDENTES:

  • Con fecha 10 de enero de 2014, el Titular presentó solicitud de protección de derechos ante el IFAI por falta de respuesta a su solicitud de cancelación y oposición al tratamiento de sus datos personales.
  • El 22 de enero de 2014, el Director General de Sustanciación y Sanción (“DGSS) dictó auto por el cual admitió la solicitud y otorgó al Infractor un plazo para acreditar que había dado respuesta a la solicitud de cancelación y oposición o dar respuesta a la misma.
  • El 12 de febrero de 2014, el Infractor presentó el correo electrónico de fecha 30 de enero de 2014 por medio del cual dio respuesta a la solicitud de derechos ARCO. Cabe señalar que el Infractor no obstante haber acusado recibo de la solicitud había sido omiso en darle respuesta en tiempo. El Titular manifestó su desacuerdo con la respuesta.
  • Consecuentemente, el 30 de abril de 2014, el Pleno del IFAI acordó el inicio del procedimiento de imposición de sanciones al no haber acreditado el Infractor dar cumplimiento a la solicitud en sus términos, y el 19 de mayo de 2014, se emitió el acuerdo de inicio del procedimiento de imposición de sanciones, dándole a conocer al Infractor un informe con los hechos constitutivos de las presuntas infracciones y otorgándole un plazo de 15 días hábiles para que rindiera pruebas e hiciera manifestaciones sobre lo que a su derecho conviniera.
  • El Infractor dio respuesta por correo electrónico el 12 de junio de 2014, y las pruebas ofrecidas (todas documentales) fueron admitidas por acuerdo del DGSS con fecha 18 de junio de 2014. En ese mismo acuerdo, se otorgó al Infractor un plazo para presenter alegatos.
  • Con fecha 25 de junio de 2014, el Infractor presentó alegatos reiterando lo señalado en su escrito inicial. El 30 de julio de 2014 se cerró la instrucción.
  • Con fecha 9 de octubre de 2014, los Comisionados del IFAI resolvieron imponer al Infractor diversas multas y un apercibimiento.

PRESUNTAS INFRACCIONES:

En el procedimiento de imposición de sanciones, el Pleno del IFAI analizó las siguientes presuntas infracciones:

  • Incumplir con la solicitud de ejercicio de derechos formulada por el Titular en cuanto a la oposición y cancelación de sus datos personales.
  • Actuó con negligencia en la tramitación y respuesta a la solicitud de oposición y cancelación planteada por el Titular, al atenderla de forma parcial.
  • Continuar con el tratamiento ilegítimo de los datos personales, una vez que el Titular había solicitado la cancelación de los mismos.

ARGUMENTOS DE DEFENSA DEL INFRACTOR:

  • Es falso que incumplió con la solicitud de cancelación y oposición porque solo replica datos que provienen de una fuente de acceso público por lo que dichos datos no pueden ni deben ser sujetos a derechos ARCO.
  • Es falso que actuara con negligencia por que aun cuando no estaba obligado de buena fe accedió a retirar lo referente al expediente que el Titular le solicitó.
  • Es falso que haya continuado con la utilización de los datos puesto que solo republica lo que aparece en una fuente de acceso público por lo que los datos del Titular son públicos.
  • El procedimiento de imposición de sanciones en su contra es un intento de censura a la libertad de expresión consagrada en el artículo 7 constitucional.

RESOLUCIÓN:

Se aplicaron sanciones al Infractor derivadas de los siguientes incumplimientos:

  • Incumplimientos de gravedad media

No dio respuesta en tiempo y cuando dio respuesta la cancelación que realize de los datos personales fue parcial. Hubo negligencia por la cancelación parcial de datos personales toda vez que el Titular solicitó la cancelación de todos sus datos. Se le requirió llevar a cabo los actos solicitados por el Titular consistentes en cancelar todos los datos personales que obran en las bases de datos, y dar respuesta al derecho de oposición ejercido, en un término de 10 días hábiles a partir del día siguiente a que surta efectos la resolución.

  • Incumplimiento de gravedad alta

Continuar utilizando los datos personales que debieron haber sido cancelados. El IFAI aclaró que independientemente de que los datos personales del Titular estén en una fuente de acceso público, Buho Legal les dio tratamiento al incorporarlos a su base de datos y hacerlos públicos en su página de Internet por lo que debe respetar los derechos ARCO del Titular.

SANCIÓN: $34,581.84 M.N. y apercibimiento.

Desconocemos si el Infractor impugnó la resolución del IFAI.

DURACIÓN (tiempo transcurrido entre el primer contacto con el IFAI y la imposición de sanción): aprox. 9 meses.

LECCIÓN DE ESTE CASO: Tratar datos personales obtenidos de fuentes de acceso público no significa estar exento de cumplir con los principios de protección de datos personales previstos en la ley.

Introduce tu dirección de correo electrónico para seguir este Blog y recibir las notificaciones de las nuevas publicaciones en tu buzón de correo electrónico.

OGRLAW en Twitter