Privacidad y Protección de Datos Personales en México

Publica IFAI reglas de operación del registro de esquemas de autorregulación vinculante

Visita la siguiente liga para acceder a la publicación de las reglas de operación en el Diario Oficial de la Federación
http://www.dof.gob.mx/nota_detalle.php?codigo=5382543&fecha=18/02/2015

Anuncios

Inicio de procedimiento de imposición de sanciones en contra de Google México

Como resultado de un procedimiento de protección de derechos derivado de la falta de atención a una solicitud de cancelación y oposición al tratamiento de datos personales, el IFAI resolvió iniciar un procedimiento de imposición de sanciones en contra de Google México.

Para lo anterior, el IFAI tomó en consideración lo siguiente:

(i) Google México está legalmente constituida en el país, por lo que en términos de la ley es Responsable del tratamiento de datos personales;

(ii) de acuerdo con su objeto social, Google México presta servicios de motor de búsqueda; y

(iii) dichos servicios implican un tratamiento de datos personales cuando se coloca en el buscador un dato de cualquier persona y se encuentra indexado a la información de la red.

También señaló que Google México no acreditó que dicho servicio lo realice o preste una empresa distinta, específicamente Google, Inc.

Adicionalmente, ordenó a Google México hacer efectivos los derechos de cancelación y oposición al tratamiento de datos del Titular que presentó la solicitud de protección de derechos.

PS.0009/14 CASO ALSA 21, S.A. DE C.V. o SERBA 21, S.A. DE C.V. (pronto préstamo) (DICIEMBRE, 2014)

SÍNTESIS EJECUTIVA

 INFRACTOR: CASO ALSA 21, S.A. DE C.V. o SERBA 21, S.A. DE C.V.

 AUTORIDAD: IFAI

 ANTECEDENTES:

  • Con fecha 4 de noviembre de 2013, el Titular presentó solicitud de protección de derechos ante el IFAI por falta de respuesta a su solicitud de acceso y cancelación.
  • El 26 de marzo de 2014 Pleno del IFAI emitió una resolución ordenando al Infractor hacer efectivo el derecho de acceso y cancelación en un plazo no mayor a 10 días hábiles a partir de que surtiera efectos la resolución.
  • El 7 de abril de 2014, el Infractor presentó escrito al IFAI señalando que había dado cumplimiento a la resolución. Sin embargo cuando el IFAI dio vista al Titular, éste manifestó su inconformidad puesto que seguía recibiendo llamadas del Infractor. Por tanto se le fijó nuevamente un plazo al Infractor para que demostrara haber hecho efectivo los derechos, sin que presentara al IFAI respuesta alguna.
  • Consecuentemente, el 4 de septiembre de 2014, el Pleno del IFAI acordó el inicio del procedimiento de imposición de sanciones, y el 10 de octubre de 2014, se emitió el Acuerdo de inicio del procedimiento de imposición de sanciones, dándole a conocer al Infractor un informe con los hechos constitutivos de las presuntas infracciones y otorgándole un plazo de 15 días hábiles para que rindiera pruebas e hiciera manifestaciones sobre lo que a su derecho conviniera.
  • El Infractor se abstuvo de presentar escrito por lo que por acuerdo del 14 de octubre de 2014 se tuvo por perdido su derecho. El Infractor tampoco presentó alegatos.
  • Con fecha 16 de diciembre de 2014 los Comisionados del IFAI resolvieron imponer al Infractor dos multas.

PRESUNTAS INFRACCIONES:

  • En el procedimiento de imposición de sanciones únicamente se estudio el que el Infractor no había demostrado haber dado cumplimiento a la solicitud de acceso y cancelación de datos, así como las consecuencias de su desacatado a la resolución del IFAI derivada del procedimiento de protección de derechos.

ARGUMENTOS DE DEFENSA DEL INFRACTOR:

  • En el procedimieto de protección de derechos el Infractor manifestó que no contaba con los datos del Titular. No compareció al procedimiento de imposición de sanciones.

RESOLUCIÓN:

Se aplicaron multas al Infractor derivadas de los siguientes incumplimientos:

  • Incumplimientos de gravedad media

La falta de cancelación de datos personales y por ende el no haber hecho del conocimiento de terceros a los que transfirió los datos, dicha cancelación

  • Incumplimiento de gravedad alta

Desacato, el no haber atendido a la resolución del Pleno del IFAI derivada del procedimiento de protección de derechos por la que se le ordenó atender la solicitud de cancelación de datos del Titular.

SANCIÓN: $672,900.00 M.N.

Desconocemos si el Infractor impugnó la resolución del IFAI.

DURACIÓN (tiempo transcurrido entre el primer contacto con el IFAI y la imposición de sanción): aprox. 13 meses

PS.0006/14 CASO BUHO LEGAL, S. DE R.L. DE C.V. (OCTUBRE, 2014)

SÍNTESIS EJECUTIVA 

INFRACTOR: BUHO LEGAL, S. DE R.L. DE C.V. (“BUHO LEGAL”)

AUTORIDAD: IFAI

ANTECEDENTES:

  • Con fecha 10 de enero de 2014, el Titular presentó solicitud de protección de derechos ante el IFAI por falta de respuesta a su solicitud de cancelación y oposición al tratamiento de sus datos personales.
  • El 22 de enero de 2014, el Director General de Sustanciación y Sanción (“DGSS) dictó auto por el cual admitió la solicitud y otorgó al Infractor un plazo para acreditar que había dado respuesta a la solicitud de cancelación y oposición o dar respuesta a la misma.
  • El 12 de febrero de 2014, el Infractor presentó el correo electrónico de fecha 30 de enero de 2014 por medio del cual dio respuesta a la solicitud de derechos ARCO. Cabe señalar que el Infractor no obstante haber acusado recibo de la solicitud había sido omiso en darle respuesta en tiempo. El Titular manifestó su desacuerdo con la respuesta.
  • Consecuentemente, el 30 de abril de 2014, el Pleno del IFAI acordó el inicio del procedimiento de imposición de sanciones al no haber acreditado el Infractor dar cumplimiento a la solicitud en sus términos, y el 19 de mayo de 2014, se emitió el acuerdo de inicio del procedimiento de imposición de sanciones, dándole a conocer al Infractor un informe con los hechos constitutivos de las presuntas infracciones y otorgándole un plazo de 15 días hábiles para que rindiera pruebas e hiciera manifestaciones sobre lo que a su derecho conviniera.
  • El Infractor dio respuesta por correo electrónico el 12 de junio de 2014, y las pruebas ofrecidas (todas documentales) fueron admitidas por acuerdo del DGSS con fecha 18 de junio de 2014. En ese mismo acuerdo, se otorgó al Infractor un plazo para presenter alegatos.
  • Con fecha 25 de junio de 2014, el Infractor presentó alegatos reiterando lo señalado en su escrito inicial. El 30 de julio de 2014 se cerró la instrucción.
  • Con fecha 9 de octubre de 2014, los Comisionados del IFAI resolvieron imponer al Infractor diversas multas y un apercibimiento.

PRESUNTAS INFRACCIONES:

En el procedimiento de imposición de sanciones, el Pleno del IFAI analizó las siguientes presuntas infracciones:

  • Incumplir con la solicitud de ejercicio de derechos formulada por el Titular en cuanto a la oposición y cancelación de sus datos personales.
  • Actuó con negligencia en la tramitación y respuesta a la solicitud de oposición y cancelación planteada por el Titular, al atenderla de forma parcial.
  • Continuar con el tratamiento ilegítimo de los datos personales, una vez que el Titular había solicitado la cancelación de los mismos.

ARGUMENTOS DE DEFENSA DEL INFRACTOR:

  • Es falso que incumplió con la solicitud de cancelación y oposición porque solo replica datos que provienen de una fuente de acceso público por lo que dichos datos no pueden ni deben ser sujetos a derechos ARCO.
  • Es falso que actuara con negligencia por que aun cuando no estaba obligado de buena fe accedió a retirar lo referente al expediente que el Titular le solicitó.
  • Es falso que haya continuado con la utilización de los datos puesto que solo republica lo que aparece en una fuente de acceso público por lo que los datos del Titular son públicos.
  • El procedimiento de imposición de sanciones en su contra es un intento de censura a la libertad de expresión consagrada en el artículo 7 constitucional.

RESOLUCIÓN:

Se aplicaron sanciones al Infractor derivadas de los siguientes incumplimientos:

  • Incumplimientos de gravedad media

No dio respuesta en tiempo y cuando dio respuesta la cancelación que realize de los datos personales fue parcial. Hubo negligencia por la cancelación parcial de datos personales toda vez que el Titular solicitó la cancelación de todos sus datos. Se le requirió llevar a cabo los actos solicitados por el Titular consistentes en cancelar todos los datos personales que obran en las bases de datos, y dar respuesta al derecho de oposición ejercido, en un término de 10 días hábiles a partir del día siguiente a que surta efectos la resolución.

  • Incumplimiento de gravedad alta

Continuar utilizando los datos personales que debieron haber sido cancelados. El IFAI aclaró que independientemente de que los datos personales del Titular estén en una fuente de acceso público, Buho Legal les dio tratamiento al incorporarlos a su base de datos y hacerlos públicos en su página de Internet por lo que debe respetar los derechos ARCO del Titular.

SANCIÓN: $34,581.84 M.N. y apercibimiento.

Desconocemos si el Infractor impugnó la resolución del IFAI.

DURACIÓN (tiempo transcurrido entre el primer contacto con el IFAI y la imposición de sanción): aprox. 9 meses.

LECCIÓN DE ESTE CASO: Tratar datos personales obtenidos de fuentes de acceso público no significa estar exento de cumplir con los principios de protección de datos personales previstos en la ley.

PS.0005/14 CASO IMM INTERNET MEDIA MÉXICO, S. DE R.L. DE C.V. (OCTUBRE, 2014)

SÍNTESIS EJECUTIVA

 INFRACTOR: IMM INTERNET MEDIA MÉXICO, S. DE R.L. DE C.V. (“IMM”)

 AUTORIDAD: IFAI

 ANTECEDENTES:

  • Con fecha 25 de noviembre de 2013 se publicó en el periódico Reforma un edicto a nombre del Infractor señalando que el IFAI le había otorgado una autorización parcial de medidas compensatorias. En esa misma fecha el IFAI rindió un informe sobre el edicto en el que determinó que el texto publicado había sido alterado toda vez que la solicitud de medidas compensatorias había sido desechada y no autorizada parcialmente.
  • El 2 de diciembre de 2013, el Director General de Verificación acordó iniciar una investigación preliminar por presuntas violaciones a la ley de la materia, y requirió al Infractor contestar un cuestionario.
  • El 11 de marzo de 2014, el Secretario de Protección de Datos Personales emitió orden de verificación a efecto de que se realizara una visita al Infractor. Con fecha 13 de marzo de 2014 fue levantada el acta de verificación. El Infractor no hizo manifestación alguna en relación con los hechos asentados en el acta de verificación dentro del plazo de cinco días hábiles previsto para tal efecto en la ley.
  • El 30 de abril de 2014, una vez sustanciado el procedimiento de verificación, el Pleno del IFAI dictó una resolución por la cual ordenó iniciar un procedimiento de imposición de sanciones.
  • El 20 de mayo de 2014, el Director General de Sustanciación y Sanción (“DGSS”), dictó acuerdo de inicio del procedimiento de imposición de sanciones, dándole a conocer al Infractor un informe con los hechos constitutivos de las presuntas infracciones y otorgándole un plazo de 15 días hábiles para que rindiera pruebas e hiciera manifestaciones sobre lo que a su derecho conviniera. Dicho acuerdo le fue notificado al Infractor con fecha 22 de mayo de 2014.
  • El Infractor dio contestación y ofreció pruebas, las cuales se admitieron por acuerdo del 26 de junio de 2014 en el cual se le otorgó al Infractor un plazo para presentar alegatos.
  • El Secretario de Protección de Datos Personales y el DGSS emitieron un acuerdo de ampliación del plazo para dictar resolución el 9 de Julio de 2014, el cual fue notificado al Infractor.
  • Con fecha 6 de octubre de 2014, los Comisionados del IFAI resolvieron imponer al Infractor diversas multas y un apercibimiento.

PRESUNTAS INFRACCIONES DE IMM:

El Pleno del IFAI analizó las siguientes presuntas infracciones:

  • Declarar dolosamente la inexistencia de datos personales, cuando existan total o parcialmente en sus bases de datos.
  • Incumplir con los principios de licitud, responsabilidad e información, al no contar con procedimientos de conservación, bloqueo y supresión de datos personales, ni con medidas de seguridad que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado; así como ser omisa en dar a conocer al Titular la información relativa a su identidad, domicilio y finalidades del tratamiento.
  • No establecer en su aviso de privacidad las opciones y medios que tienen los titulares para limitar el uso o divulgación de sus datos personales.

ARGUMENTOS DE DEFENSA DEL INFRACTOR:

  • Respecto a que pretendió ocultar de manera dolosa los datos que en la práctica recaba de sus empleados señaló que la persona que atendió la verificación presto todos los medios y facilidades para que los verificadores realizaran la visita y nunca actuó dolosamente ni encaminada a engañar a la autoridad.
  • Que todos los datos que utiliza están siendo tratados conforme a las finalidades previstas en el aviso de privacidad.
  • Reconoció que su aviso era omiso en cuanto a señalar las opciones y medios disponibles para los titulares para limitar el uso o divulgación de sus datos personales.
  • Señaló que trata los datos personales de sus empleados conforme las finalidades previstas en el aviso de privacidad, y cuenta con las medidas de seguridad necesarias en proporción a los datos personales que almacena, ya que ha designado a un solo empleado para el manejo y almacenamiento de los mismos, y se resguardan bajo llave.

RESOLUCIÓN:

Se aplicaron multas al Infractor derivadas de los siguientes incumplimientos:

  • Incumplimientos de gravedad alta

Declarar dolosamente la inexistencia de datos cuando existen total o parcialmente en sus bases de datos.

  • Incumplimiento de gravedad media

Dar tratamiento a los datos personales en contravención a los principios de licitud, responsabilidad e información.

  • Incumplimiento de gravedad media

Abstenerse de establecer en su aviso de privacidad las opciones y medios que tienen los titulares para limitar el uso o divulgación de sus datos personales.

SANCIÓN: $4,079,880.00 M.N.

Desconocemos si el Infractor impugnó la resolución del IFAI.

DURACIÓN (tiempo transcurrido entre el primer contacto con el IFAI y la imposición de sanción): aprox. 13 meses

LECCIÓN DE ESTE CASO: Elaborar un aviso de privacidad requiere de un estudio previo que permita conocer, entre otros puntos, los datos que se tratan de los diferentes titulares (candidatos a un empleo, empleados, clientes, etc.) de tal manera que los datos que se señalen en el aviso sean los que efectivamente se tratan.

PS. 0004/14 CASO ALSA 21, S.A. DE C.V.  o SERBA 21, S.A. DE C.V. (pronto préstamo) (SEPTIEMBRE, 2014)

SÍNTESIS EJECUTIVA

INFRACTOR: ALSA 21, S.A. DE C.V.  o SERBA 21, S.A. DE C.V. (pronto préstamo) (“ALSA”)

AUTORIDAD: IFAI

ANTECEDENTES:

• Con fecha 4 de noviembre de 2013, el Titular presentó solicitud de protección de derechos ante el IFAI por falta de respuesta a su solicitud de acceso y cancelación.

• El 21 de noviembre de 2013, el Director General de Sustanciación y Sanción del IFAI emitió acuerdo de admisión de solicitud y otorgó a Alsa un plazo de 10 días hábiles para que acreditara haber dado respuesta a la solicitud de ejercicio de los Derechos ARCO o diera respuesta a la misma.

· Alsa no presentó respuesta alguna dentro del plazo que le fue otorgado por lo que el 24 de enero de 2014 se dictó acuerdo por el cual se tuvo por perdido su derecho de responder.

• El 6 de febrero de 2014 se otorgó a Alsa un plazo para formular alegatos, mismos que tampoco presentó, por lo que se tuvo perdido su derecho para formularlos y se cerró instrucción.

• Consecuentemente, el 26 de marzo de 2014, el Pleno del IFAI determine dar inicio al procedimiento de imposición de sanciones, y con fecha 9 de abril de 2014 se dictó el acuerdo correspondiente dándole a conocer al Infractor un informe con los hechos constitutivos de las presuntas infracciones y otorgándole un plazo de 15 días hábiles para que rindiera pruebas e hiciera manifestaciones sobre lo que a su derecho conviniera.

• El Infractor se abstuvo de presentar escrito alguno. Tampoco presentó alegatos en el plazo que se le fijó para tal fin.

• Con fecha 4 de septiembre de 2014 los Comisionados del IFAI resolvieron imponer al Infractor apercibimientos y una multa.

PRESUNTAS INFRACCIONES:

En el procedimiento de imposición de sanciones el Pleno estudió las siguientes presuntas infracciones:

·      No cumplir con la solicitud de ejercicio de derechos ARCO del Titular.

·     Actuar con negligencia en la tramitación y respuesta a dicha solicitud, 

ARGUMENTOS DE DEFENSA DEL INFRACTOR:

• No compareció al procedimiento de imposición de sanciones.

RESOLUCIÓN:

Se aplicaron al Infractor las siguientes sanciones derivadas de los siguientes incumplimientos:

·    Apercibimiento

Se le fijó un plazo de 10 días hábiles, a partir de que surta efectos la resolución, para hacer efectivos los derechos de acceso y cancelación solicitados por el Titular.

·    Incumplimiento de gravedad media

Negligencia en la tramitación y respuesta de solicitudes de acceso y cancelación formulada por el Titular.  

SANCIÓN: $485,700.00 M.N.

Desconocemos si el Infractor impugnó la resolución del IFAI.

DURACIÓN (tiempo transcurrido entre el primer contacto con el IFAI y la imposición de sanción): 10 meses

PS.0002/14 CASO REAL ESTATE SELLERS, S.A.P.I. DE C.V. SOFOM, E.N.R. (AGOSTO, 2014)

SÍNTESIS EJECUTIVA

INFRACTOR: REAL ESTATE SELLERS, S.A.P.I. DE C.V. SOFOM, E.N.R.

SECTOR: INMOBILIARIO

AUTORIDAD: IFAI

ANTECEDENTES:

  • Con fecha 1 de octubre de 2013, el IFAI recibió denuncia en la que se señaló que el Infractor elaboró un tríptico publicitario en el que difundía datos personales del denunciante y sus hijos menores de edad, sin que para ello hubieran otorgado su consentimiento.
  • El 25 de noviembre de 2013, el Secretario de Protección de Datos Personales y el Director General de Verificación acordaron el inicio de un procedimiento de verificación.
  • El 26 de febrero de 2014, una vez sustanciado el procedimiento de verificación, el Pleno ordenó el inicio de un procedimiento de imposición de sanciones por violaciones al principio de información, emitiéndose con fecha 10 de marzo de 2014 un acuerdo de inicio de dicho procedimiento. Se otorgó al Infractor un plazo de 15 días hábiles para que rindiera pruebas e hiciera manifestaciones sobre lo que a su derecho conviniera.
  • El 2 de abril de 2014 el Infractor presentó contestación y ofreció pruebas, las cuales fueron admitidas por la Dirección General de Sustanciación y Sanción con fecha 7 de abril de 2014 fijando al Infractor un plazo para presentar alegatos.
  • Con fecha 23 de abril de 2014, el Infractor presentó escrito de alegatos.
  • El 14 de agosto de 2014 se resolvió el procedimiento imponiendo una multa al Infractor.

POSIBLE INFRACCIÓN:

 El Pleno del IFAI resolvió sobre las siguientes presuntas violaciones a la ley:

  • Dar tratamiento a los datos personales de los Titulares en contravención al principio de información.
  • Cambiar sustancialmente la finalidad originaria del tratamiento de los datos personales, al utilizarlos para un fin distinto, no compatible o análogo a los fines establecidos en su aviso de privacidad.
  • Recabar datos personales sin el consentimiento expreso de los Titulares.

ARGUMENTOS DE DEFENSA DEL INFRACTOR:

 Los argumentos de defensa del Infractor fueron, entre otros:

  • El aviso de privacidad señalaba que los datos podían utilizarse para actividades promocionales.
  • No estaba obligado a obtener el consentimiento para el tratamiento de los datos personales de los Titulares, ya que dichos datos tenían como propósito cumplir obligaciones derivadas de una relación jurídica.
  • Obtuvo el consentimiento “expreso, libre, específico e informado” de los Titulares para el tratamiento de su imagen y la de sus hijos menores de edad cuando posaron para las cámaras sosteniendo las llaves del inmueble.

 RESOLUCIÓN:

Se aplicaron multas al Infractor derivadas de los siguientes incumplimientos:

  • Incumplimientos de gravedad media

    Incumplimiento al principio de información al no dar a conocer a los Titulares la finalidad del tratamiento de sus datos personales a través del aviso de privacidad dejándolos sin posibilidad de conocer para qué serían utilizados sus datos, dejando de garantizar la privacidad y el derecho a la autodeterminación informativa de los Titulares al no proveer mecanismos para que pudieran ejercer sus derechos ARCO, así como limitar el uso o divulgación de sus datos, desconociendo ante quién y cómo hacerlo.

    • Incumplimientos de gravedad alta

    Cambiar sustancialmente la finalidad originaria del tratamiento de los datos personales sin consentimiento, al utilizarlos para un fin distinto (publicidad) no compatible o análogo a la celebración de un contrato de arrendamiento y un convenio de otorgamiento de crédito hipotecario sujeto a condición suspensiva.

    • Incumplimientos de gravedad alta

    Recabar datos personales sin el consentimiento expreso de los Titulares al haber utilizado y divulgado la imagen de los Titulares y de sus hijos menores de edad poniéndolos en una situación de particular vulnerabilidad al asociar la misma con su nombre y profesión en un tríptico publicitario pretendiendo obtener un beneficio indebido con la consecuente afectación al derecho de la protección de datos personales.

     SANCIÓN: $1,371,260.00 M.N.

    Desconocemos si el Infractor impugnó la resolución del IFAI.

    DURACIÓN (tiempo transcurrido entre el primer contacto con el IFAI y la imposición de sanción): aprox. 10 meses

    LECCIÓN DE ESTE CASO:

    Es distinto utilizar datos para fines de promoción a utilizarlos para fines publicitarios. Promoción en términos del artículo 37 de la Disposición Única de CONDUSEF se refiere a: (i) mejores plazos; (ii) menores comisiones o tasas de interés; (iii) otorgar un producto o servicio adicional en forma gratuita o a precio reducido, o (iv) participar en sorteos, concursos y otros eventos similares.

    La imagen es un dato personal. Es importante recabar el consentimiento del Titular para la utilización de su imagen para un fin publicitario (u cualquier otro fin no análogo al que fue autorizado) y guardar la evidencia de la autorización correspondiente.

  • Introduce tu dirección de correo electrónico para seguir este Blog y recibir las notificaciones de las nuevas publicaciones en tu buzón de correo electrónico.

    OGRLAW en Twitter

    Error: Twitter no responde. Por favor, espera unos minutos y actualiza esta página.