Privacidad y Protección de Datos Personales en México

Liverpool reporta hackeo como evento relevante ante la BMV

Diversos medios de comunicación han dado a conocer que con fecha 24 de diciembre de 2014, la empresa de almacenes departamentales Liverpool informó a través de un comunicado a la Bolsa Mexicana de Valores que había sido víctima de un intento de extorsión. Señaló que los criminales habían logrado una intrusión en correos de su personal e información de algunos clientes. Liverpool calificó la vulneración a la seguridad de bajo riesgo. Sin embargo, queda pendiente el que informe a detalle el alcance de la vulneración para corroborar la calificación de bajo riesgo, sobretodo considerando que se trata del tercer emisor de tarjetas de crédito en nuestro país.

En términos del artículo 64 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares el Responsable debe informar al titular las vulneraciones que afecten de forma significativa sus derechos patrimoniales o morales, en cuanto confirme que ocurrió la vulneración y haya tomado las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, y sin dilación alguna, a fin de que los titulares afectados puedan tomar las medidas correspondientes.

http://www.reforma.com/aplicacioneslibre/preacceso/articulo/default.aspx?id=425848&urlredirect=http://www.reforma.com/aplicaciones/articulo/default.aspx?id=425848

CASO ASTERISCO AUTO, S.A. DE C.V. (MARZO, 2014)

SÍNTESIS EJECUTIVA

INFRACTOR: ASTERISCO AUTO, S.A. DE C.V. (“ASTERISCO AUTO”)

SECTOR: Servicios

AUTORIDAD: IFAI

ANTECEDENTES:

• Con fecha 25 de febrero de 2013, el IFAI recibió denuncia relativa a una empresa que ofrecía servicios de verificación vehicular, mecánica y grúa, y que no obstante la Titular no les había porporcionado sus datos personales y había rechazado dicho servicio, se le habían comenzado a realizar cargos automáticos mensuales a su tarjeta de crédito por cuenta del servicio y se le había registrado como miembro activo de la empresa.
• En consecuencia, con fecha 7 de marzo de 2013, el IFAI hizo un requerimiento de información al Infractor.
• Por otra parte, el 13 de marzo de 2013, el IFAI recibió otra denuncia por diverso Titular también en contra del Infractor señalando que había recibido una llamada en la que le informaban de un cargo automático a su tarjeta de crédito, por lo que el Titular trató de investigar cómo habían obtenido sus datos sin éxito. Así mismo el Titular denunció que no había podido ejercer sus derechos ARCO, debido a que no encontró aviso de privacidad en la página de Internet del Infrator.
• Con fecha 21 de marzo de 2013, por oficio del Director General de Verificación se formuló un nuevo requerimiento de información a Asterisco Auto, relacionado con la segunda denuncia.
• Con fecha 3 de abril de 2013, Asterisco Auto, dio respuesta a los dos requerimientos que le fueron formulados, en idénticos términos, negando que hubiera tratado los datos de los denunciantes.
• Con fecha 24 de mayo de 2013, el Director General de Verificación determinó procedente acumular los expedientes de investigación antes señalados, por tratarse de hechos similares denunciados en contra de Asterisco Auto.
• Con fecha 17 de junio de 2013, el Secretario de Protección de Datos Personales y el Director General de Verificación emitieron un Acuerdo de Inicio de Procedimiento de Verificación, en contra del Infractor. Se realizó una visita de verificación en el domicilio del Infractor, y otra en el domiclio del call center,lugar en donde el Infractor señaló que se capturaban los datos de los clientes en una base de datos excel.
• El 28 de agosto de 2013, el Pleno del IFAI emitió resolución mediante la cual determinó ordenar el inicio del procedimiento de imposición de sanciones.
• Con fecha 9 de septiembre de 2013, se emitió el Acuerdo de inicio del procedimiento de imposición de sanciones, dándole a conocer al Infractor un informe con los hechos constitutivos de las presuntas infracciones y otorgándole un plazo de 15 días hábiles para que rindiera pruebas e hiciera manifestaciones sobre lo que a su derecho conviniera.
• Al expediente del procedimiento se agregó copia del escrito del Infractor de fecha 20 de septiembre en el que acompañó anexos relacionados con las adecuaciones que dijo haber efectuado a su aviso de privacidad en cumplimiento a la resolución del 28 de agosto.
• El Infractor se abstuvo de dar contestación al acuerdo de inicio, por lo que el 7 de octubre de 2013, el Director General de Sustanciación y Sanción dictó un nuevo acuerdo, por medio del cual se tuvo por perdido su derecho de rendir pruebas y manifestar lo que a su derecho conviniera, y se le otorgó el plazo de cinco días hábiles para presentar alegatos. El Infractor tampoco presentó alegatos.
• Con fecha 4 de febrero de 2014 los comisionados del IFAI resolvieron imponer a Asterisco Auto diversas multas.

PUNTOS CONTROVERTIDOS EN EL PROCEDIMIENTO DE IMPOSICIÓN DE SANCIÓN:• Si el Infractor inicialmente declaro dolosamente la inexistencia de los datos personales para posteriormente reconocer que sí contaba con ellos.
• Si el aviso de privacidad del Infractor cumplía con todos sus requisitos como si se establece o no el domicilio del Infractor, las opciones y medios que éste ofrece a los titulares para limitar el uso o divulgación procedimiento y el medio por el cual el Infractor comunicará a los titulares de cambios al mismo.
• Si recabó datos personales de carácter financiero, sin haber obtenido el consentimiento expreso de sus titulares.

ARGUMENTOS DE DEFENSA DEL INFRACTOR:
• El Infractor no compareció al procedimiento de imposición de sanción.

RESOLUCIÓN:
Se aplicaron multas al Infractor derivadas de los siguientes incumplimientos:
• Declarar dolosamente la inexistencia de los datos personales, cuando estos existían en sus bases de datos.
• Omitir en su aviso de privacidad el domicilio, las opciones y medios que ofrecía a los titulares para limitar el uso o divulgación de los datos personales y el procedimiento y medio por el cual comunicaría a los titulares de cambios al aviso de privacidad.
• Recabar datos personales de carácter financiero, sin el consentimiento expreso de sus titulares, estando obligada a ello.

SANCIÓN: $417,611.00 M.N.
Desconocemos si el Infractor impugnó la resolución del IFAI.

IFAI es ahora organismo autónomo

El 7 de febrero de 2014 se publicó en el Diario Oficial de la Federación el decreto por el cual se reforman y adicionan diferentes artículos de la Constitución Mexicana para dar autonomía al IFAI. http://www.dof.gob.mx/nota_detalle.php?codigo=5332003&fecha=07/02/2014

A partir del día siguiente a su publicación, el IFAI es un organismo autónomo con personalidad jurídica y patrimonio propio, con plena autonomía técnica, de gestión, capacidad para decidir sobre el ejercicio de su presupuesto y determinar su organización interna, responsable de garantizar el cumplimiento del derecho de acceso a la información pública y a la protección de datos personales en posesión de los sujetos obligados en los términos que establezca la ley.

Nuevo Reglamento interior del IFAI

El IFAI publicó el 20 de febrero de 2014, para entrar en vigor el día de su publicación, su nuevo reglamento interior como organismo autónomo. http://www.dof.gob.mx/nota_detalle.php?codigo=5333316&fecha=20/02/2014

CASO UIC, UNIVERSIDAD INTERCONTINENTAL, A.C. (SEPTIEMBRE 2013)

SÍNTESIS EJECUTIVA

INFRACTOR: UIC, UNIVERSIDAD INTERCONTINENTAL, A.C. (“UIC”)

SECTOR: Educación

AUTORIDAD: IFAI

ANTECEDENTES:

• El 24 de octubre de 2012 el IFAI recibió una denuncia en contra del Infractor por publicar datos personales sensibles del titular en Internet consistentes en reportes de las sesiones de psicoterapia psicoanalítica a las que asistió en las instalaciones del Infractor.
• El 6 de noviembre de ese mismo año el IFAI requirió información al Infractor, quien dio respuesta a dicho requerimiento con fecha 22 de noviembre de 2012 mediante correo electrónico; días después presentó una ampliación de respuesta.
• El 6 de marzo de 2013 se ordenó iniciar el procedimiento de verificación al Infractor.
• El 8 de mayo se ordenó iniciar el procedimiento de imposición de sanciones.

PUNTOS CONTROVERTIDOS EN EL PROCEDIMIENTO DE IMPOSICIÓN DE SANCIÓN:

• Si el Infractor contravino o no los principios de licitud, lealtad y responsabilidad.
• Si el aviso de privacidad del Infractor contaba o no con información respecto a las opciones y medios para que los titulares limitaran el uso o divulgación de los datos personales.
• Si el Infractor incumplió o no el deber de confidencialidad.

ARGUMENTOS DE DEFENSA DEL INFRACTOR:

Entre otros argumentos señaló:
• Que era falso que cualquier dependiente, estudiante o profesor hubiera divulgado cualquier dato sensible del titular, lo cual se desprende de las declaraciones de quien recabó el dato; así mismo argumenta el Infractor que al momento de percatarse de la existencia de estas publicaciones solicitó la cancelación de las mismas.
• Que aunque no se lleva un proceso de disociación, todos los estudiantes y profesores del Infractor que tengan acceso a este tipo de información, deben de guardar la debida confidencialidad a efecto de proteger los datos de todos los titulares de acuerdo a lo previsto en el texto del Aviso de Privacidad que cualquiera puede consultar en la página web del Infractor.

RESOLUCIÓN:

• Contravino los principios de licitud, lealtad y responsabilidad:

Principio de licitud: No tomó las medidas necesarias para evitar que se grabaran, transcribieran y se subieran al sitio web scribd.com, los reportes de las sesiones de psicoterapia psicoanalítica a las que asistió el titular en las instalaciones del Infractor, haciendo públicos los datos personales y datos personales sensibles del titular, tales como los relativos a su estado de salud emocional, vulnerando su esfera privada e íntima, en virtud de que no llevó a cabo un proceso de disociación, a fin de que no pudieran asociarse a su titular.

Principio de lealtad: “incumplió dicho principio al vulnerar la expectativa razonable de privacidad en perjuicio del Titular, ya que se realizaron transcripciones literales de las sesiones de psicoterapia del denunciante, mismas que fueron colocadas en una fuente de acceso público, como lo es el sitio web scribd.com, sin haber tomado las medidas necesarias para garantizar la confidencialidad del tratamiento de tales datos, como lo sería el llevar a cabo un proceso de disociación, mediante el cual los datos personales no pudieran asociarse al denunciante ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo, cuestión que no aconteció.”

Principio de responsabilidad: La Infractora “tenía la obligación de guardar y velar por la confidencialidad de los datos personales del denunciante, lo cual implicaba vigilar, asegurarse y, en su caso, implementar las medidas de seguridad físicas, técnicas y administrativas, para que todas aquellas personas que intervinieran en cualquier fase del tratamiento de los datos personales y datos personales sensibles del denunciante, guardaran y velaran por la confidencialidad de dichos datos, situación que en la especie no aconteció, toda vez que existió una indebida publicación de los datos personales sensibles del denunciante en el sitio web scribd.com.”

• En lo relativo a la omisión en el aviso de privacidad sobre las opciones y medios para que los titulares limitaran el uso o divulgación de los datos personales, el Infractor a través de un escrito reconoció haber incurrido en la infracción.

• En relación al incumplimiento del deber de confidencialidad de la revisión al aviso de privacidad se advierte que en ningún momento se hace del conocimiento de los “prospectos de alumnos, de alumnos, personal administrativo y exalumnos” que al intervenir en el tratamiento de datos personales, estén obligados a guardar la confidencialidad sobre los mismos, máxime que el Infractor no aportó prueba alguna que lo acreditara.

• Por tratarse de datos sensibles se incrementó la sanción en un 100%.

SANCIÓN: $5,298,050.00 M.N.

CASO UIC, UNIVERSIDAD INTERCONTINENTAL, A.C. (Septiembre, 2013)

SÍNTESIS EJECUTIVA
INFRACTOR: UIC, UNIVERSIDAD INTERCONTINENTAL, A.C. (“UIC”)

SECTOR: EDUCACIÓN

AUTORIDAD: IFAI

ANTECEDENTES:

• El 15 de octubre de 2012 el titular mediante correo electrónico hizo ejercicio de sus derechos de acceso y cancelación, obteniendo como respuesta un requerimiento de información el 13 de noviembre de ese mismo año.
• El 15 de noviembre, el titular presentó ante el IFAI una solicitud de protección de derechos ante la falta de respuesta a la solicitud de acceso y cancelación. El Infractor fue notificado del inicio del procedimiento por parte del IFAI sin que se obtuviera respuesta alguna de su parte.
• El 17 de abril se dictó resolución en el procedimiento de protección de derechos ordenando dar inicio al procedimiento de imposición de sanción.

PUNTOS CONTROVERTIDOS EN EL PROCEDIMIENTO DE IMPOSICIÓN DE SANCIÓN:

• Si hubo o no falta de respuesta a la solicitud del titular de ejercer sus derechos de acceso y cancelación.
• Si actuó o no con dolo en la tramitación de la solicitud de derechos del Titular.
• Si se justifica o no que el Infractor conservara los datos personales y datos personales sensibles del titular para defenderse de futuras controversias, aunque la finalidad del tratamiento había dejado de existir.

ARGUMENTOS DE DEFENSA DEL INFRACTOR:

Entre otros argumentos señaló:

• Que por estar sometido a un procedimiento de verificación debía contar con todos los elementos e información para defenderse de ésta y posteriores instancias administrativas y judiciales, por lo que no estaba obligado a cancelar los datos del titular.
• Asimismo consideró que el proceso de verificación no se hubiera podido completar en su totalidad si [el Infractor] hubiera cancelado la información del titular.

RESOLUCIÓN:

• El Infractor no cumplimentó la solicitud de acceso y cancelación del titular, a lo que le correspondió un apercibimiento para que lleve a cabo los actos solicitados por el titular.
• Se determinó que el Infractor actuó con dolo en la tramitación de la solicitud de acceso y cancelación de los datos personales sensibles del titular, y como consecuencia se le impuso una multa.

SANCIÓN: $3,428,150.00 M.N.

CASO RADIOMOVIL DIPSA, S.A. DE C.V. (TELCEL) (SEPTIEMBRE 26, 2013)

Síntesis Ejecutiva

INFRACTOR: Radiomovil Dipsa, S.A. de C.V.

SECTOR: Telecomunicaciones

AUTORIDAD: IFAI

ANTECEDENTES:
I. El 30 de agosto de 2012 el IFAI recibió denuncia en contra del Infractor por presuntas violaciones a la Ley dirigidas a la cobranza de un adeudo de la titular a través de llamadas telefónicas y mensajes de texto a terceros cuyos números frecuentemente marcaba la titular.
II. Con fecha 6 de febrero el IFAI ordenó iniciar un procedimiento de verificación por lo que dos días después se requirió al Infractor remitir documentación y registros relacionados con el tratamiento de datos personales de la titular y el consentimiento respectivo.
III. El 26 de febrero de 2013 el Infractor hizo manifiestaciones relacionadas con el requerimiento de información, señalando que diversas solicitudes estaban fuera del objeto y alcance del procedimiento de verificación (aun cuando dio respuesta a todas ellas haciendo alusión al principio de buena fe) así como a que el IFAI debió haber actuado de última instancia y guiar a la titular a presentar una solicitud de limitación y/o divulgación de los datos.
IV. Derivado del procedimiento de verificación el IFAI resolvió iniciar el procedimiento de imposición de sanción con fecha 24 de abril de 2013 al considerar que presuntamente el Infractor: (i) violó lo dispuesto en el artículo 12 de la Ley y 40 del Reglamento al utilizar los datos personales de la denunciante para gestiones de contacto y cobro a terceros a través de llamadas telefónicas y mensajes de texto a terceros (los números frecuentes más marcados) sin que la finalidad se encontrara prevista en el aviso de privacidad; (ii) violación a lo previsto en el artículo 21 de la Ley, al divulgar datos personales de la titular a terceros para realizar gestiones de contacto y cobro a través de llamadas telefónicas y mensajes de texto; y (iii) violación a los principios de finalidad, información, lealtad y proporcionalidad previstos en los artículos 6, 7, 12, 13 y 15 de la Ley, así como 23, 40, 44 y 45 del Reglamento.

PUNTOS CONTROVERTIDOS:

• Si el Infractor presuntamente violó los principios de finalidad, información, lealtad y proporcionalidad, en virtud de que:

“a. Dio tratamiento a los datos personales de la Titular para un fin distinto al señalado en el aviso de privacidad, sin haber obtenido nuevamente su consentimiento, ya que si bien en el aviso de privacidad la presunta infractora establece como finalidad la de gestión de cobranza de adeudos, lo cierto es que dicha actividad no implica utilizar los datos personales de la Titular para realizar gestiones de cobro a través de terceras personas, diferentes de la persona señalada por ésta como contacto de pagos.[…]
b. Omitió poner a disposición de la titular el aviso de privacidad, aun cuando una vez entrada en vigor la obligación de poner a disposición de la titular el aviso de privacidad realizó de manera personal la renovación de plazo forzoso.[…]
c. Utilizó y divulgó los datos personales de la Titular a terceros, para realizar gestiones de contacto y cobro, a través de llamadas telefónicas y mensajes de texto, sin que la finalidad se encontrara consentida previamente por su Titular, en detrimento de los intereses y de la privacidad de la misma, y vulnerándose la expectativa razonable de su privacidad. […]
d. Utilizó los datos personales de la Titular para realizar gestiones de contacto y cobro a través de terceros, mediante llamadas telefónicas y mensajes de texto, sin que, en su caso, la finalidad se encontrara consentida previamente por la Titular, fuera de los casos permitidos por la ley, con lo cual se dejó de observar el deber de tratamiento a los datos personales que resulten necesarios, adecuados y relevantes en relación con las finalidades para las que se hayan obtenido.[…]

• Presuntamente violó lo previsto en el artículo 21 de la Ley […], toda vez que divulgó los datos personales de la Titular a terceros para realizar gestiones de contacto y cobro, a través de llamadas telefónicas y mensajes de texto, en detrimento de los intereses y de la privacidad de la misma, incumpliendo con el deber de confidencialidad.[…]

• Presuntamente violó lo previsto en el artículo 12 de la Ley […], en relación con lo dispuesto en el artículo 40 de su Reglamento, en virtud de que utilizó los datos personales de la denunciante para realizar gestiones de contacto y cobro a través de terceros, mediante llamadas telefónicas y mensajes de texto, sin que dicha finalidad se encontrara prevista en el aviso de privacidad.
Ello es así, toda vez que si bien en su aviso de privacidad el Responsable establece como finalidad la de gestión de cobranza de adeudos, lo cierto es que dicha actividad no implica utilizar los datos personales de la denunciante para realizar gestiones de contacto y cobro a través de terceros, mediante llamadas telefónicas y mensajes de texto. Máxime que los datos de contacto de los números celulares de terceros no le fueron proporcionados, sino generados en un momento posterior por la presunta infractora con motivo de la proveeduría del servicio contratado, es decir, que derivado del servicio que provee obtuvo información respecto de los números marcados con mayor frecuencia por parte de la Titular y seleccionó diversos números telefónicos para realizar gestiones de contacto y cobro, divulgando datos personales a terceros.”

ALEGACIONES DEL INFRACTOR:
Entre otros argumentos señaló:
1. Que el aviso de privacidad puesto a disposición de la titular establece como una de las finalidades del tratamiento la gestión y cobranza de adeudos.
2. Que toda persona tiene un derecho legítimo al cobro de sus deudas, y que su labor de cobranza es acorde con el Código de Ética de las Obligaciones para los Deudores y Público en General que reconoce que la única forma de localizar a un deudor que dolosamente se esconde es a través de terceras personas, por lo que dicha actividad es legítima y proporcional.
3. No requería el consentimiento de la titular para el cumplimiento de la finalidad primaria de la relación contractual.
4. Tenía la obligación de hacer todo aquello necesario para informarle a la titular de sus opciones para encontrar una salida a su situación financiera y evitarle un daño a su persona y bienes por lo que ante la imposibilidad de contactarla, se puso en contacto con las personas ofrecidas como referencias de contacto y/o pago por la titular. Ante la falta de respuesta, utilizó información generada automáticamente por la titular (números aleatorios) obtenidos como consecuencia de la prestación del servicio dentro del espíritu entendible de que serían los números donde se podría localizar con más probabilidad.

RESOLUCIÓN:
(i) El IFAI consideró como una conducta de gravedad alta el que el Infractor haya divulgado datos personales de la titular a terceros para realizar gestiones de contacto y cobro a través de mensajes de texto vía celular.
(ii) Asimismo consideró como una conducta de gravedad alta haber realizado dicha conducta sin que la finalidad se encontrara determinada clara y sin lugar a dudas en el aviso de privacidad.

SANCIÓN: $6,264,169.00 M.N.
Desconocemos si el Infractor impugnó la resolución del IFAI.

Propuestas de resolución de la 35 Conferencia Internacional de Autoridades de Protección de Datos y Privacidad

Del 23 al 26 de septiembre se llevó a cabo la señalada conferencia en Varsovia, Polonia bajo el nombre “Una brújula en un Mundo Turbulento”.
México estuvo representado por el IFAI como autoridad garante de la protección de datos en nuestro país.
En la conferencia se presentaron cuatro propuestas de diferentes gobiernos, siendo desde mi punto de vista, especialmente interesantes las del Comisionado Federal de Protección de Datos y Libertad de Información de Alemania consistentes en:
(i) la protección de los datos y la privacidad a través de la celebración de un acuerdo internacional dirigido a lograr un balance entre la seguridad y los intereses económicos; y
(ii) un llamado a los proveedores a no utilizar un rastreo en línea invisible para el internauta y a promover estándares técnicos para el Do not Track.*

*Para aquellos no familiarizados con el estándar Do not Track o DNT se refiere a una tecnología antirastreo impulsada como estándar por W3C (World Wide Web Consortium) por la cual si eliges el DNT el navegador enviará un mensaje a los sitios de Internet que visitas informándoles que no deseas ser rastreado.

CASO TARJETAS BANAMEX, S.A. DE C.V., SOFOM, E.R. (AGOSTO 28, 2013)

SÍNTESIS EJECUTIVA

INFRACTOR: Tarjetas Banamex, S.A. de C.V., SOFOM, E.R.

SECTOR: Financiero

AUTORIDAD: IFAI

ANTECEDENTES:
I. El 12 de junio de 2012 el IFAI recibió denuncia en contra del Infractor por presuntas violaciones a la Ley, misma que posteriormente fue ampliada.
II. IFAI hizo un requerimiento de información a Consorcio Jurídico de Cobranza Especializada, S.A. de C.V., el cual manifesto tener celebrado contrato de prestación de servicios de cobro y recuperación de adeudos vencidos con Banamex derivado del cual ésta le proporcionó el número telefónico y nombre del deudor para realizar gestiones de cobranza. IFAI pidió original y copia de dicho contrato.
III. IFAI hizo requerimiento de información al Infractor, el cual no fue atendido por argumentar el Infractor que estaba legalmente impedido.
IV. Consecuentemente, el 14 de noviembre de 2012 el IFAI ordenó iniciar un procedimiento de verificación.
V. Derivado del procedimiento de verificación el IFAI resolvió que presuntamente: (i) el Infractor había obstruido la verificación al no proporcionarse la información solicitada; (ii) mantuvo datos inexactos del denunciante no obstante sus solicitudes de rectificación y cancelación; (iii) continúo con el uso ilegítimo de datos del Titular, y (iv) violentó los principios de consentimiento, calidad y responsabilidad.
VI. Sustanciado el procedimiento de verificación, el IFAI inició el procedimiento de imposición de sanción que dio origen a la resolución que se comenta.

PUNTOS CONTROVERTIDOS:
• La obstrucción o no de los actos de verificación de la autoridad;
• El mantenimiento o no de datos inexactos del Titular, y el efectuar o no acciones para la rectificación o cancelación de los mismos;
• El haber continuado o no con el uso ilegítimo de los datos personales del Titular, a pesar de que éste solicitó que fueran rectificados y cancelados, y
• La violación o no de los principios de consentimiento (al no haberlo recabado por escrito), calidad (al no contar con datos exactos) y responsabilidad (por la gestión de cobranza realizada por el Encargado con datos equivocados).

ALEGACIONES DEL INFRACTOR:
Entre otros argumentos señaló:
1. Que obtuvo el número de teléfono derivado de una relación juridica con una persona distinta al denunciante. [Más adelante manifestó que podía haberlo obtenido de una fuente de acceso público y por tal razón no requería del consentimiento del titular].
2. Que el denunciante no puede modificar los datos que el Infractor tenía registrados bajo el nombre de otro titular en su base de datos, al no ser el titular de los mismos.
3. Que en ningún momento se presentó una solicitud de rectificación o cancelación de datos personales que cumpliera lo dispuesto por la ley por parte del titular.
4. Que al haber sido los datos proporcionados directamente por el titular se consideraron exactos y verídicos.
5. Que tiene celebrado contrato con el Encargado (de cobranza) y que le solicitó suspendiera las gestiones de cobranza.
6. Que no cuenta con un procedimiento para hacer efectivas las rectificaciones y cancelaciones con terceros que tratan datos personales al no haber sido necesario hasta el momento.

RESOLUCIÓN:
(i) El IFAI consideró como una conducta de gravedad media el incumplimiento por parte del Infractor a los principios de consentimiento, calidad y responsabilidad, que causó molestias en el titular de datos personales, al recibir llamadas telefónicas innecesarias en su domicilio, a través de las cuales se hacían gestiones de cobranza cuando no existían constancias de las que se desprendiera que él era un deudor moroso del Infractor.
(ii) Asimismo consideró como una conducta de gravedad media el que el Infractor mantuviera datos inexactos del Titular y no efectuara la rectificación o cancelación de los mismos, no obstante que resultaba legalmente procedente.
(iii) Calificó como una conducta de gravedad alta el que el infractor haya obstruido los actos de verificación de la autoridad, al no proporcionar la información y documentación que le fue requerida y al no haber proporcionado los documentos mediante los cuales el titular ejerció sus derechos de rectificación y cancelación.
(iv) Finalmente, la conducta consistente en que el Infractor continuó con el uso ilegítimo de los datos personales del Titular a pesar de que éste le solicitó que fueran rectificados y cancelados, se consideró de gravedad alta por la afectación que con ello causó al titular.

SANCIÓN: $9’848,140.00.
Desconocemos si el Infractor impugnó la resolución del IFAI.

CASO OPERADORA OCEÁNICA INTERNACIONAL, S.A. DE C.V. (AGOSTO, 2013)

SÍNTESIS EJECUTIVA

INFRACTOR: Operadora Oceánica Internacional, S.A. de C.V.

SECTOR: Salud

AUTORIDAD: IFAI

ANTECEDENTES:
l. El 23 de mayo de 2011 el IFAI requirió al Infractor rindiera un informe relacionado con presuntas violaciones a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la “Ley”) derivadas de una nota periodística de fecha 18 de mayo de 2011 en la que se publicaron un conjunto de datos personales correspondientes a una persona identificada que presuntamente fue paciente del Infractor.
II. El 12 de julio de 2011, al no recibir respuesta del requerimiento formulado, el IFAI emitió un segundo requerimiento de información que tampoco fue contestado por el Infractor.
III. El 5 de septiembre de 2011, el IFAI inició el procedimiento de verificación a Grupo Oceánica y/o Operadora Oceánica Internacional, S.A. de C.V.
IV. IFAI realizó una visita de verificación en dos domicilios diferentes. En uno de ellos, no se atendió la visita por no encontrarse el representante legal y en el otro se señaló que no era el domicilio. El IFAI ordenó una nueva visita de verificación al primer domicilio, teniendo el mismo resultado.
IV. Consecuentemente, el IFAI ordenó iniciar procedimiento de imposición de sanción.
V. El Infractor inició juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa, dictándose una sentencia el 8 de abril de 2013 que permitió continuara el procedimiento de imposición de sanción.

PUNTOS CONTROVERTIDOS:
• Si el Infractor obstaculizó a la autoridad.

ALEGACIONES:

• El Infractor no compareció al procedimiento de imposición de sanción.

RESOLUCIÓN:
El Infractor impidió el ejercicio de las atribuciones legales conferidas a la autoridad verificadora previstas en el artículo 39, fracción 1, de la Ley, obstruyendo las visitas domiciliarias que el Pleno del IFAI había ordenado efectuar para vigilar y verificar el cumplimiento de las disposiciones de la Ley de la materia.

SANCIÓN: $2,493,200.00.
Desconocemos si el Infractor impugnó la resolución del IFAI.

Introduce tu dirección de correo electrónico para seguir este Blog y recibir las notificaciones de las nuevas publicaciones en tu buzón de correo electrónico.

OGRLAW en Twitter