Protección de Datos y Privacidad

El pasado 6 de Enero de 2012, entró en vigor la tercera y última fase de la Ley Federal de Protección de Datos en Posesión de los Particulares (LFPDPPP) que permite a los titulares ejercer sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) ante las empresas y compañías responsables del manejo y procesamiento de datos, que se encuentran previstos en el Capítulo IV de la LFPDPPP y en el Capítulo VII de su Reglamento , así como dar inicio, en su caso, al procedimiento de protección de datos establecido en el Capítulo VII de la LFPDPPP y Capítulo VIII de su Reglamento, respectivamente.

El IFAI, como parte de sus atribuciones como autoridad reguladora en la materia, acaba de publicar una “Guía Practica para ejercer el Derecho a la Protección de Datos Personales” . Esta guía consta de 16 páginas elaboradas con base en una serie de preguntas y respuestas con ejemplos útiles para que los Mexicanos puedan conocer en forma sencilla y entendible sus derechos ARCO y sobre todo cómo, cuando y ante quien ejercerlos.

Cabe señalar que esta iniciativa del IFAI será una guía muy útil para que los ciudadanos mexicanos puedan conocer y ejercer sus derechos en materia de protección de datos, sin embargo, consideramos que la misma no sustituye de ninguna manera, la asesoría legal especializada que proporcionarán no solamente abogados expertos en materia de protección de datos y seguridad de la información, sino sobre todo la de abogados postulantes, expertos en litigio contencioso-administrativo y abogados penalistas quienes jugarán un papel muy importante en iniciar el Procedimiento de Protección de Derechos ante el IFAI, en solicitar y darle seguimiento al Procedimiento de Verificación y Sanciones e inclusive en denunciar delitos en materia del tratamiento indebido de datos personales que contempla la LFPDPPP y su Reglamento.

Si tienes alguna duda, pregunta o requieres asesoría en el ejercicio de derechos ARCO, ponte en contacto con nosotros a la siguiente dirección de correo: info@proteccciondatos.mx

La tercera edición del libro en inglés titulado: “Cyber Law in Mexico” del Director de ProtDataMx, Dr. Cristos Velasco San Martín ha sido publicado por la prestigiada editorial holandesa Wolters Kluwer, Law & Business.

Este libro forma parte de la renombrada “International Encyclopaedia of Cyber Law” que coordina el Profesor Jos Dumortier de la Universidad Católica de Leuven en Bélgica; y a partir de este año, se encuentra disponible en formato “print on demand” (en formato electrónico o impreso) para aquellos abogados, investigadores, legisladores, funcionarios gubernamentales o estudiantes que esten interesados en adquirirlo por separado, sin la necesidad de tener que comprar los tres volúmenes de la “International Encyclopaedia of Cyber Law” .

La tercera edición contiene un total de 334 páginas y se encuentra actualizado a Noviembre de 2011 y actualmente es el único libro publicado en idioma inglés en México sobre dicha temática. Está compuesto de una introducción general, estadísticas y antecedentes generales sobre el sistema político mexicano, población y geografía, infraestructura de telecomunicaciones, estadísticas y datos actuales sobre tecnologías de información y telecomunicaciones, comercio electrónico, nombres de dominio, competitividad y gobierno electrónico. Adicionalmente, el libro está dividido en ocho áreas principales de práctica con distintos capítulos y sub-secciones y una sección de conclusiones finales:

I. Marco Regulatorio de las Tecnologías de Información y Comunicación;
II. Protección de la Propiedad Intelectual en el sector de las TICs;
III. Contratos relacionados con la TICs;
IV. Régimen Jurídico de las Transacciones Electrónicas que incluye la regulación del comercio electrónico, la firma electrónica y los prestadores de servicios de certificación;
V. Responsabilidad Extra-Contractual que incluye la responsabilidad de los operadores de redes y proveedores de servicios de Internet;
VI. Juicios y Procedimientos Jurídicos a través de Internet que incluye el marco jurídico y administrativo sobre el juicio en línea;
VII. Privacidad, Protección de Datos y Acceso a la Información que incluye un análisis de la Ley Federal de Protección de Datos en Posesión de los Particulares LFPDPPP;
VIII. Delitos relacionados con Sistemas de Cómputo e Internet que incluye el marco jurídico y procesal para perseguir, procesar y castigar los ciberdelitos; y
IX. Conclusiones Finales

Este libro contiene además un “Índice Temático” que permite identificar las palabras clave en los más de 500 párrafos que contiene el texto final de esta edición, lo cual facilita al lector la búsqueda de los términos relacionados con la regulación de las tecnologías de información en México.

Agradezco infinitamente a mi amigo el Dr. José Roldan Xopa profesor de tiempo completo en el Departamento Académico de Derecho del Instituto Tecnológico Autónomo de México (ITAM) por haber elaborado el prefacio de la tercera edición del libro.

Este libro lo estaré presentando formalmente en algunas conferencias y seminarios internacionales relacionados con el tema, así como en algunas universidades y círculos académicos en México durante 2012.

Puede ser adquirido directamente con Wolters Kluwer en: http://www.kluwerlaw.com/ContactUs/ o enviando un correo electrónico a la siguiente dirección: marketing@kluwerlaw.com

El pasado 21 de Diciembre de 2011, la Secretaría de Economía publicó en el Diario Oficial de la Federación el tan esperado Reglamento de la Ley Federal de Protección Datos Personales en Posesión de los Particulares (RLPDPPP) que entró oficialmente en vigor el día de hoy.

Con la publicación del Reglamento se completa el marco jurídico en materia de protección de datos personales en posesión de los particulares en México, cuyo propósito es regular el tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de los individuos. El RLPDPPP consta de diez capítulos con 144 artículos y cinco disposiciones transitorias

El Capítulo I Disposiciones Generales ( Artículos 1 a 8 ) describe el objeto del Reglamento, contiene doce definiciones, el ámbito objetivo de aplicación y el ámbito territorial de aplicación, entre otros.

El Capítulo II De los Principios de Protección de Datos Personales (Artículos 9 a 56) describe los principios básicos de la protección de datos, elementos del aviso de privacidad, medidas compensatorias, plazos de conservación de los datos personales, obligaciones del encargado, tratamiento de datos personales en el denominado cómputo en la nube y tratamiento de datos sensibles.

El Capítulo III Medidas de Seguridad en el Tratamiento de Datos Personales (Artículos 57 a 66) incluye disposiciones sobre vulneraciones de seguridad, obligaciones de notificación y la implementación de medidas correctivas y preventivas, entre otras.

El Capítulo IV establece disposiciones relacionadas con las Transferencias de Datos Personales (Artículos 67 a 76), entre ellas se encuentran condiciones específicas tanto para las transferencias nacionales como internacionales, su formalización y la opinión del IFAI.

El Capítulo V Coordinación entre Autoridades (Artículos 77 y 78) establece disposiciones relacionadas con la emisión de regulación secundaria y mecanismos de coordinación entre las autoridades competentes en materia de protección de datos.

El Capítulo VI De la Autorregulación Vinculante (Artículos 79 a 86) establece objetivos específicos de la autorregulación; contenidos mínimos de los esquemas de autorregulación; certificación en protección de datos personales; parámetros y registro de esquemas de autorregulación.

El Capítulo VII De los Derechos de los Titulares de Datos Personales y su ejercicio (Artículos 87 a 112) detalla los mecanismos, procedimientos y plazos relacionados con el ejercicio de los derechos ARCO (Acceso, Rectificación, Corrección y Oposición) y el tratamiento de datos personales en decisiones sin intervención humana valorativa.

El Capítulo VIII Del Procedimiento de Protección de Derechos (Artículos 113 a 127) establece las causales de procedencia; los requisitos de la solicitud de protección de derechos; el procedimiento de ofrecimiento, admisión, desahogo o desechamiento de pruebas; procedimiento de conciliación; audiencia y presentación de alegatos; resoluciones, medios de impugnación y reconducción del procedimiento, entre otras.

El Capítulo IX Del Procedimiento de Verificación (Artículos 128 a 139) establece las causales de procedencia; los requisitos que debe contener la denuncia; desarrollo de las visitas de verificación; contenido de las actas de verificación; resolución; medios de impugnación; y reconducción del procedimiento, entre otras.

El Capítulo X Del Procedimiento de Imposición de Sanciones (Artículos 140 a 144) establece la forma y los plazos para el ofrecimiento, admisión, desahogo o desechamiento de pruebas; cierre de la instrucción y resolución y medios de impugnación.
El RLPDPPP http://tinyurl.com/72zw6hm contiene además cinco disposiciones transitorias que establecen:

PRIMERO. La entrada en vigor del Reglamento al día siguiente al de su publicación en el Diario Oficial de la Federación, 22 de Diciembre de 2012.

SEGUNDO. Cualquier tratamiento regulado por la LFPDPPP y el Reglamento que se realice con posterioridad a la fecha de entrada en vigor de la LFPDPPP, deberá ajustarse a las disposiciones previstas en dichos ordenamientos, con independencia de que los datos personales hayan sido obtenidos o la base de datos correspondiente haya sido conformada o creada con anterioridad a la entrada en vigor de la LFPDPPP. No será necesario recabar el consentimiento de los titulares de los datos personales obtenidos con anterioridad a la entrada en vigor de la LFPDPPP, siempre y cuando se cumpla con lo dispuesto por el siguiente párrafo.

Los responsables que hayan recabado datos personales antes de la entrada en vigor de la LFPDPPP y que continúen dando tratamiento a los mismos, deberán poner a disposición de los titulares el aviso de privacidad o, en su caso, aplicar cualquiera de las medidas compensatorias, según se requiera, de conformidad con lo dispuesto por los artículos 18 de la LFPDPPP y 32, 33, 34 y 35 del Reglamento.
El titular tiene a salvo el ejercicio de sus derechos ARCO con relación a los tratamientos que se informen en el aviso de privacidad, o la medida compensatoria que corresponda.

TERCERO. Los criterios generales para el uso de las medidas compensatorias a las que se refiere el artículo 32 del Reglamento, serán publicadas por el IFAI a más tardar a los tres meses a partir de la entrada en vigor del Reglamento.

CUARTO. El responsable deberá observar lo dispuesto en el Capítulo III del Reglamento a más tardar a los dieciocho meses siguientes de la entrada en vigor del mismo.

QUINTO. La Secretaría de Economía, en coadyuvancia con el IFAI, emitirá los parámetros a que se refieren los artículos 82, 83, 84, 85 y 86 del Reglamento, dentro de los seis meses siguientes a su entrada en vigor.

En próximas fechas, haremos una descripción y análisis más detallado sobre cada una de las disposiciones del nuevo RLPDPPP .

Algunas notas de prensa en relación al nuevo RLPDPPP en:

Reforma

IFAI Comunicado de Prensa No. 181 del 21.11. 2011

A todos los lectores y representantes de organismos internacionales, autoridades de protección de datos, centros de investigación e instituciones académicas, ONGs y empresas del sector que habitualmente visitan este portal, les deseamos una feliz navidad y un año nuevo lleno de paz, salud y éxitos profesionales.

Atentamente,

Dr Cristos Velasco
Fundador y Director
Protección Datos México (ProtDataMx)
http://protecciondatos.mx/

El miércoles pasado recibí de la Oficina de la Comisionada de Información y Privacidad de la Provincia de Ontario en Canadá el diploma que me acredita como Embajador de Privacidad Mediante Diseño (Privacy by Design Ambassador), concepto que ha venido promoviendo ampliamente la comisionada Ann Cavoukian desde finales de los años noventa y que actualmente consiste en la adopción de un enfoque proactivo por parte de las empresas de tecnología con respecto a la protección de la privacidad de los individuos desde la propia creación, concepción y el diseño de tecnologías de información, las practicas empresariales y la infraestructura tecnológica de las empresas.

Agradezco infinitamente a la Comisionada Ann Cavoukian y al staff de su oficina por la nominación como Embajador y por haberme enviado el diploma; para mi es todo un honor formar parte de ese selecto grupo de Embajadores y haber recibido el diploma debidamente enmarcado es como haber obtenido un título académico de alto rango.

El próximo año seguiré promoviendo el concepto de Privacidad mediante Diseño primordialmente entre las empresas y organizaciones en México, no solo para que los individuos puedan gozar de una mejor protección de su privacidad, sino para empezar a promover y fomentar una verdadera cultura de protección de la privacidad de la información entre el sector empresarial mexicano que tanto hace falta.

Ver la siguiente entrada sobre la designación de Embajador Privacidad Mediante Diseño.

El pasado viernes 8 de Diciembre de 2011, la Comisión Federal de Comercio de los Estados Unidos (FTC) organizó un workshop de un día dedicado a analizar el impacto de las tecnologías de reconocimiento facial, así como las implicaciones a la privacidad y seguridad de los ciudadanos.

Las tecnologías de reconocimiento facial han sido adoptadas en una gran variedad de contextos, que van desde las redes sociales, señales digitales y aplicaciones móviles.

Este taller reunió a representantes de organizaciones de protección al consumidor, académicos, representantes de empresas y de la industria de tecnologías y expertos en privacidad con el propósito de examinar el uso y aplicación de tecnologías de reconocimiento facial y aspectos relacionados con la privacidad y la seguridad.

El webcast completo de este workshop se encuentra en el siguiente vínculo.

Mayor información sobre la agenda y los ponentes de este taller de trabajo se encuentra en el siguiente vínculo .

Ver la siguiente entrada sobre “Aspectos de Privacidad del Reconocimiento Facial en facebook”

El Buró del Comité Consultivo de la Convención 108 para la protección de los individuos con respecto al procesamiento automático de datos personales (T-PD-BR) llevó a cabo su Vigésima Séptima Reunión Plenaria del 29 de Noviembre al 2 de Diciembre de 2011 en la ciudad de Estrasburgo, Francia.

De entre los temas que se trataron durante esa reunión se encuentran los siguientes:

- Modernización de la Convención 108 y su Protocolo Adicional;

- Protección de datos personales para propósitos de trabajo y empleo;

- Protección de datos personales en el sector policiaco;

- Panorama de actividades relacionadas con la protección de datos desde la última reunión plenaria;

- Iniciativas relacionadas con el día internacional de la protección de datos 2012;

- Principales desarrollos en el ámbito de la protección de datos desde la Vigésima Sexta Reunión Plenaria del T-PD-BR;

- Programa de trabajo para los próximos anos;

- Cooperación con otras entidades del Consejo de Europa;

- Opiniones sobre diversos proyectos de Comités y de la Asamblea Parlamentaria;

- Status de firmas y ratificaciones de la Convención 108 y su Protocolo Adicional;

- Criterios de Admisión para Observadores;

- Elección del Comisionado de Protección de Datos del Consejo de Europa;

- Elección del Buró;

- Modificaciones a las reglas de procedimiento;

- Próximas reuniones del Buró del T-PD-BR y reuniones plenarias durante 2012.

Vale la pena destacar que el T-PD-BR está conformado exclusivamente por representantes de Ministerios y autoridades de protección de datos principalmente de países que han firmado y ratificado la Convención 108 para la protección de los individuos con respecto al procesamiento automático de datos personales y su Protocolo Adicional. México, aún y cuando tiene status de país observador dentro del Consejo de Europa, no forma parte de dicho Comité Consultivo, pues no ha expresado formalmente su compromiso de adherirse tanto a la Convención 108 como a su Protocolo Adicional. Sin embargo en esta ocasión, el IFAI, a través de su Comisionada Presidente Jacqueline Peschard fue invitada a participar y a exponer los resultados de la 33ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad y de la Red Iberoamericana de Protección de Datos que ella preside, reuniones que se llevaron a cabo en Noviembre pasado en la ciudad de México.

La agenda y los documentos generados y adoptado durante la Vigésima Séptima Reunión del T-PD-BR se encuentran en el siguiente vínculo .

La semana pasada se publicó en distintos diarios y portales de EUA, el arreglo final (agreement containing consent order file No. 0923184) al que llegó facebook con la Comisión Federal de Comercio de los Estados Unidos (FTC) con respecto a las practicas de privacidad de esa red social. El arreglo requiere que facebook tome distintas medidas para asegurarse de que cumplirá en el futuro con las promesas que ha hecho a sus usuarios desde 2009, entre ellas incluyen no realizar cambios futuros a los ajustes de privacidad, sin previo aviso y sin el consentimiento afirmativo de los usuarios; implementar un programa de protección integral de la privacidad y someterse a auditorías de privacidad independientes durante los próximos 20 años.

De entre los puntos más destacados que se acordaron y que contiene el arreglo entre facebook y la FTC, se encuentran:

- La prohibición de hacer declaraciones falsas acerca de la privacidad o la seguridad de la información personal de los usuarios;

- Obtener el consentimiento expreso de los consumidores en forma afirmativa antes de introducir cambios que invaliden sus preferencias de privacidad;

- Impedir que cualquier persona acceda a material de un usuario después de un plazo mayor 30 días desde que el usuario borro su cuenta;

- Establecer y mantener un programa de privacidad integral diseñado para hacer frente a los riesgos de privacidad asociados con el desarrollo y la gestión de productos y servicios nuevos y existentes y proteger la privacidad y confidencialidad de la información de los consumidores; y

- Obtener auditorías de terceros independientes que certifiquen que cuenta con un programa actual de privacidad que cumple o excede los requisitos de la orden de la FTC y para garantizar que la privacidad de la información de los consumidores está protegida dentro de un plazo de 180 días y cada dos años después de dicho plazo durante los próximos 20 años.

La orden propuesta también contiene disposiciones de normas de mantenimiento de registros que permiten a la FTC monitorear y vigilar el cumplimiento de su orden.

Mayor información en:

Nota de Prensa de la Comisión Federal de Comercio

All Facebook

Portal de EPIC

Outlaw.com

De acuerdo con un artículo publicado en el diario El Universal el pasado 16 de Noviembre de 2011, el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) contará con un presupuesto de alrededor de 200 millones de pesos para proteger los datos personales de todos los mexicanos, luego de que entrara en vigor la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) .

El IFAI recibirá y ejercerá para el 2012 un total de 479 millones, 382 mil 497 pesos, presupuesto que será dividido en tres partes. La primera partida será de 199 millones 381 mil 30 pesos destinada para la protección de datos personales; la segunda partida de 246 millones, 191 mil 458 pesos para el derecho de acceso a la información; y la tercera partida de 33 millones, 810 mil 9 pesos será destinada para servicios personales de administración y para el órgano interno de control. En términos reales, el presupuesto del IFAI para el año 2012 es 2.2 por ciento superior al ejercido durante 2011.

De acuerdo con la Comisionada Presidenta del IFAI, Jacqueline Peschard, “el presupuesto aprobado por la Cámara de Diputados permitirá al Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) trabajar de manera adecuada durante 2012”.

Mayor información se encuentra en:

El Universal

Ver Comunicado de Prensa 169 del IFAI del 16 de Noviembre de 2011

El pasado 21 al 23 de Noviembre de 2011 se llevó a cabo la Conferencia Anual Octopus sobre Cooperación en Contra del Cibercrimen que organiza el Consejo de Europa en la ciudad de Estrasburgo, Francia. La conferencia de este año coincidió con el Décimo Aniversario del Convenio de Budapest. Entre los temas que se discutirán y analizaron se encuentran: (i) Amenazas y tendencias del Ciberdelito; (ii) Implementación del Convenio de Budapest en algunos países; (iii) políticas e iniciativas sobre ciberdelito.
Asimismo, hubo workshops paralelos con las siguientes temáticas:
1. Medidas y estrategias efectivas en contra del abuso y explotación sexual de menores;
2. Estrategias sobre ciberdelito; elementos clave y mejores practicas;
3. Unidades especializadas para el combate a los ciberdelitos y puntos de contacto 24×7
4. Capacitación: Resultados sobre los proyectos técnicos de cooperación.

El programa completo de los tres días se encuentra en el siguiente vínculo .

El 23 de Noviembre se llevó a cabo una reunión de mediodía para analizar el impacto que ha tenido el Convenio de Budapest a nivel mundial a diez años de haber sido firmado, así como un análisis y comentarios de expertos que redactaron el Convenio de Budapest.

Posteriormente, en la tarde del 23 y durante el 24 de Noviembre se llevó a cabo a puerta cerrada la Sexta Reunión Plenaria del Comité de la Convención de Budapest (T-CY) en dondé participan únicamente los representantes gubernamentales de países que han firmado el Convenio y su Protocolo y ocasionalmente países invitados como observadores y en donde además se discuten y se aprueban, entre otro temas, aquellas disposiciones del Convenio de Budapest que pueden ser susceptibles de reformarse, así como el acceso a países no miembros de la Unión Europea.

La lista final de participantes se encuentra en el siguiente vínculo .

Las presentaciones y los reportes generados durante la conferencia se encuentran en el siguiente vínculo .

Los videos de las presentaciones de la conferencia en idioma inglés y francés, se encuentran en el siguiente vínculo.

El documento que contiene el resumen y los mensajes claves de la conferencia por parte del Consejo de Europa, se encuentra en el siguiente vínculo .

Esta semana, tuve el gran honor de formar parte del grupo de Embajadores de Privacidad Mediante Diseño (Privacy by Design Ambassadors) que promueve Ann Cavoukian, Comisionada de Información y Privacidad de la Provincia de Ontario en Canadá y que consiste en un reconocimiento por la experiencia en la materia y sobre todo, por el apoyo incondicional a la campaña que ha venido promoviendo la Comisionada Cavoukian desde finales de los años noventa sobre la necesidad de adoptar e implementar el concepto de Privacidad mediante Diseño (Privacy by Design)

La Privacidad mediante Diseño en términos muy generales, consiste en la adopción de un enfoque proactivo por parte de las empresas de tecnología con respecto a la protección de la privacidad de los individuos desde la propia creación, concepción y el diseño de tecnologías de información, las practicas empresariales y la infraestructura tecnológica de las empresas.

Agradezco infinitamente a la Comisionada Cavoukian y al staff de su oficina por la nominación como Embajador, por haber incluido mi biografía en su portal y por haber expedido el certificado de Embajador; solo me resta indicar, que seguiré promoviendo la campaña Privacidad mediante Diseño entre las empresas y organizaciones en México, no solo para que los individuos puedan gozar de una mejor protección de su privacidad, sino también para que puedan contar con la opción de controlar y hacer el uso de las herramientas necesarias para su debida protección, y sobre todo, para empezar a promover una verdadera cultura de protección de la privacidad de la información entre el sector empresarial mexicano.

Algunos documentos e información de relevancia relacionada con la Privacidad mediante Diseño:

Resolución sobre Privacidad mediante Diseño adoptada durante la 32ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, (Jerusalén, Israel, Octubre 27-29, 2010).

Conferencia: Privacy by ReDesign: A Transformative Process, Ciudad de México, Noviembre 1, 2011.