Protección de Datos y Privacidad

El pasado 24 de Junio del año en curso, la Secretaría de Gobernación publicó en el Diario Oficial de la Federación un Decreto por el que se adicionan diversas disposiciones al Código Penal Federal.

El Decreto adiciona un párrafo tercero al artículo 211 bis 2 y un párrafo tercero al artículo 211 bis 3 que son los artículos relacionados al acceso ilícito a sistemas y equipos de informática que contiene el Título Noveno capitulo II del Código Penal Federal.

Los dos nuevo párrafos de los Artículos 211 bis 2 y 211 bis 3 castigan la obtención, copia o utilización de información contenida en sistemas y equipos de cómputo e inclusive en medios de almacenamiento informáticos de seguridad pública con y sin la debida autorización, respectivamente con penas de cuatro a diez años de prisión y multas equivalentes de $27,400.00 a $54,800.00. Si el responsable fue un servidor público de una institución de seguridad pública, se le sancionará con la destitución e inhabilitación de su cargo de cuatro a diez años y con una mitad más de la pena impuesta por un plazo igual al de la pena resultante, respectivamente.

Los textos de la reforma quedaron redactados de la siguiente forma:

“Artículo 211 bis 2.- …
…

A quien sin autorización conozca, obtenga, copie o utilice información contenida en cualquier sistema, equipo o medio de almacenamiento informáticos de seguridad pública, protegido por algún medio de seguridad, se le impondrá pena de cuatro a diez años de prisión y multa de quinientos a mil días de salario mínimo general vigente en el Distrito Federal. Si el responsable es o hubiera sido servidor público en una institución de seguridad pública, se impondrá además, destitución e inhabilitación de cuatro a diez años para desempeñarse en otro empleo, puesto, cargo o comisión pública.”

“Artículo 211 bis 3.- …
…
A quien estando autorizado para acceder a sistemas, equipos o medios de almacenamiento informáticos en materia de seguridad pública, indebidamente obtenga, copie o utilice información que contengan, se le impondrá pena de cuatro a diez años de prisión y multa de quinientos a mil días de salario mínimo general vigente en el Distrito Federal. Si el responsable es o hubiera sido servidor público en una institución de seguridad pública, se impondrá además, hasta una mitad más de la pena impuesta, destitución e inhabilitación por un plazo igual al de la pena resultante para desempeñarse en otro empleo, puesto, cargo o comisión pública.”

El Grupo de Trabajo Artículo 29 (Article 29 Working Party) recientemente publicó la opinión 5/2009 sobre redes sociales en línea cuyo propósito es analizar si las redes sociales en internet cumplen con los requisitos de la legislación sobre protección de datos en la Unión Europea y sobre todo proporcionar los lineamientos necesarios para que las empresas y proveedores de redes sociales puedan adoptar las medidas necesarias para cumplir con lo dispuesto en la legislación sobre protección de datos en la UE.

La opinión consta de un introducción, una sección sobre la definición del servicio de redes sociales y modelo de negocio; una sección sobre la aplicación de la directivas sobre protección de datos; otra sección acerca de la necesidad de proteger la información de los niños y menores de edad y; una sección que contiene un resumen sobre las obligaciones de las empresas y los derechos de los usuarios.

El pasado 1º. de Junio del año en curso, la Secretaría de Gobernación publicó en el Diario Oficial de la Federación un Decreto por el que se adiciona un segundo párrafo, recorriéndose los subsecuentes en su orden, al artículo 16 de la Constitución Política de los Estados Unidos Mexicanos.

Lo novedoso de esta reforma es que se reconoce expresamente por primera vez en México el derecho a la protección de datos como una garantía individual dentro del propio artículo 16 Constitucional. Este derecho, mejor conocido como “Habeas Data” se refiere al derecho que tiene todo ciudadano a la protección de su datos personales y a solicitar que sus datos e información sean actualizados, modificado, cancelados o suprimidos, en caso de que la información acerca de su persona vulnere su imagen, honor y privacidad o haya sido comprometida de tal forma que le cause un perjuicio. El Habeas Data es una acción constitucional que se ejerce mediante una petición formal del interesado a los tribunales constitucionales para que verifiquen si los datos de un ciudadano tanto en el ámbito público como privado hayan sido obtenidos lícitamente y conforme al marco legislativo aplicable en la materia. Este derecho ha sido reconocido expresamente en las constituciones de algunos países latinoamericanos como Argentina, Colombia, Perú, Brasil, Uruguay, Venezuela y Costa Rica.

Esta nueva disposición constitucional junto con la reforma a la fraccion XXIX-O al artículo 73 constitucional sobre la cual escribí una entrada serán el fundamento para la creación de una ley sobre protección de datos en posesión de los particulares durante este y el siguiente año.

El texto de la reforma quedó de la siguiente forma:

“Artículo 16. Nadie puede ser molestado en su persona, familia, domicilio, papeles o posesiones, sino en virtud de mandamiento escrito de la autoridad competente, que funde y motive la causa legal del procedimiento.

No podrá librarse orden de aprehensión sino por la autoridad judicial y sin que proceda denuncia o querella de un hecho que la ley señale como delito, sancionado con pena privativa de libertad y obren datos que establezcan que se ha cometido ese hecho y que exista la probabilidad de que el indiciado lo cometió o participó en su comisión.”

El jueves pasado durante la conferencia anual Computers Freedom and Privacy Conference 2009 (CFP2009) hubo algunas sesiones muy interesantes y actuales sobre privacidad y protección de datos. Una de las sesiones más destacadas fue “Towards a Global Privacy Regime” en la cual un representante de la Oficina de la Comisionada de Privacidad de Canadá habló sobre la posición de esa autoridad respecto a la viabilidad de adoptar estándares internacionales para la protección de la información y los datos personales, considerando la facilidad con la que se intercambian los datos e información a través de internet y el uso de otras tecnologías. Entre los puntos más importantes de su presentación fueron los siguientes:

- Un régimen global sobre privacidad sería viable siempre y cuando se establezcan derechos y obligaciones sobre privacidad de los consumidores y mecanismos uniformes para su ejecución;

- Establecer un nivel uniforme de protección de datos, sin importar donde los usuarios y las empresas se encuentren localizadas;

- La importancia de no crear una sola entidad o agencia para su supervisión pues esto no seria realista y practico en el corto plazo. Sin embargo, señaló que la mejor alternativa sería fomentar la construcción de un dialogo global y más abierto sobre la necesidad de proteger la información personal, sin importar de que parte del mundo provienen los flujos e intercambio de datos.

Hizo mención a algunas de las iniciativas internacionales relacionadas en la materia y recalcó la necesidad de que mayor número de países trabajen en forma conjunta para lograr una mayor cooperación para contrarrestar las diversas problemáticas que trae consigo el flujo e intercambio transfronterizo de información y datos personales en vista de la gran diversidad de enfoques, planteamientos existentes, idiosincrasias, economías y sistemas jurídicos alrededor del mundo.

Finalmente y en referencia a los puntos que expuso el representante de la Oficina de Privacidad de Canadá, concluyó que un régimen global sobre privacidad no resultaría una solución viable aún, enfatizando en la necesidad de fomentar un diálogo más abierto para encontrar propuestas y soluciones mutuas entre los diversos bloques regionales. El video de esa sesión se encuentra en este vínculo.

La adopción de estándares internacionales sobre protección de datos no es un tema nuevo, y de hecho se ha venido discutiendo desde la XXIX Conferencia Internacional de los Comisionados de Privacidad llevada a cabo en la ciudad de Montreal, Canadá y en la que escribí una entrada del 23 de Octubre de 2007 .

Vale la pena destacar la iniciativa que lleva actualmente la Agencia Española de Protección de Datos sobre la adopción de principios y estándares internacionales para la protección de la información y los datos personales y mecanismos de cooperación global. Una presentación de la AEPD sobre este tema se encuentra disponible en la sesión “V. Global Issues de la Conferencia organizada por la Comisión Europea el 19-20 de Mayo en Bruselas”

El pasado 19 y 20 de Mayo, la Comisión Europea organizó en Bruselas una conferencia para analizar los retos que plantea la protección de datos en la Unión Europea. La conferencia forma parte de la consulta que recientemente abrió la Comisión para analizar y escuchar opiniones acerca de cómo se deberá proteger de mejor forma el derecho a la protección de datos, particularmente en las áreas sobre libertad, justicia y seguridad. Dentro de los temas que se trataron durante los dos días de la conferencia fueron: publicidad, transparencia y notificación, educación y concientizacion, protección al consumidor, administración de la identidad, seguridad y certificación de la información, entre otros. Es de destacar que en la ultima sesión se analizó la conveniencia de adoptar un instrumento sobre la protección de los derechos digitales y el derecho a la información, tema que se ha venido discutiendo ampliamente en las reunión del Foro para la Gobernanza de Internet (FGI) .

Las presentaciones de los días de la conferencia y la nota de prensa sobre los resultados de la misma, se encuentran disponibles en el siguiente vínculo.

La Comisión Federal de Comercio de los Estados Unidos (FTC) publicó en Marzo de este año su reporte anual 2009. Este reporte contiene una sección sobre protección al consumidor específicamente en las áreas de privacidad, seguridad y cumplimiento y ejecución de la legislación de ese país. Asimismo, el reporte hace mención a algunas estadísticas relacionadas con aspectos sobre privacidad, spam, spyware, robo de identidad y seguridad de la información. Algunos de las estadísticas y figuras más importantes por temática que contiene ese reporte son:

Robo de Identidad. Sigue siendo la principal queja recibida ante la FTC, con aproximadamente 313,982 quejas recibidas hasta Marzo de 2009;

Registro para No recibir Llamadas. Alrededor de 182 millones de números telefónicos se encuentran registrados en el ‘National Do Not Call Registry’ hasta Febrero de 2009. La FTC ha llevado a cabo 53 investigaciones en 43 casos en los últimos 5 años. Ha impuesto multas por más de 17.8 millones de dólares y alrededor de 11 millones en resarcimiento al consumidor.

Spam. La FTC recibe a su mailbox creado para tal fin alrededor de 188,000 mensajes de tipo spam diariamente de Marzo de 2008 a Febrero de 2009 con un total 567 millones de mensajes recibidos durante este año. En los últimos 12 años, la FTC ha llevado a cabo 95 investigaciones en contra de 259 compañías y 32 personas por haber contravenido la Ley CAN-SPAM de 2003

Privacidad de Menores. La FTC ha llevado a cabo 14 investigaciones bajo la legislación COPPA (Children’s Online Privacy Protection Act) que protege la información de menores de 13 años proporcionada a través de internet sin haber obtenido su consentimiento previo. La FTC ha impuesto multas e infracciones por un total de $2.97 millones de dólares.

Seguridad de Información. La FTC ha llevado a cabo 25 investigaciones en contra de empresas por no haber protegido debidamente la información y los datos personales de consumidores y haber implementado medidas suficientes de seguridad, mejor conocidas como investigaciones relacionadas por data breaches.

En México, la PROFECO que es la autoridad competente en materia de investigaciones por practicas fraudulentas, incluyendo conductas como el envío de correos no solicitados y la protección de privacidad de los grupos vulnerables en el contexto comercial no ha creado aun un reporte similar al de la FTC que contenga los números y estadísticas recientes en México sobre las investigaciones que realizan en las áreas antes mencionadas.

Es de llamar la atención este aspecto y seria conveniente que la PROFECO hiciera un estudio con las estadísticas confiables para que no solo los usuarios mexicanos sino también la comunidad internacional los tuviera de referencia.

Ayer domingo se celebró el día mundial de la sociedad de la información, declarado como tal por la Asamblea General de la Naciones Unidas durante la Cumbre Mundial de la Sociedad de la Información (WSIS) celebrada en Túnez en Noviembre de 2005. Este día tiene como propósito dar a conocer y difundir la importancia que tiene este recurso mundial en las diversas temáticas que se trataron en WSIS, en especial, las posibilidades que puede ofrecer el uso de las TICs a las sociedades y economías, y las diferentes formas de reducir la brecha digital.

Aprovecho para saludar y felicitar a colegas, activistas, académicos, legisladores y funcionarios públicos encargados de la elaboración de políticas públicas y legislación relacionada con Internet en México. Como parte de los esfuerzos que se llevaron a cabo este día, algunos miembros (incluyendo el autor de este blog) del capítulo mexicano de la Internet Society (ISOC-MX) que comanda Alex Pisanty elaboraron un documento titulado: “Seis notas sobre el estado de Internet en México a mediados de 2009″ el cual se encuentra disponible en el blog de Pisanty .

Ese documento pretende no solo dar un reporte actual sobre el status del desarrollo de Internet en el país, sino sobre todo puntualizar los temas que requieren mayor atención para promover la inserción real de México en la sociedad de la información. Esperemos que el contenido de ese documento pueda ser consultado por todos aquellos representantes del sector gubernamental, privado, académico y de la sociedad civil que juegan un papel primordial en el desarrollo de políticas relacionadas con el Internet, y sobre todo que se inicie un debate constructivo en torno a las seis temáticas que ahí se analizan.

La Comisión Europea acaba de publicar una recomendación para la implementación de principios de privacidad y de protección de datos a aplicaciones que utilizan la tecnología Radio-frequency Identification (RFID) .
La recomendación tiene como objetivo proporcionar lineamientos a los estados miembros de la UE acerca del diseño y la operación de aplicaciones sobre RFID en forma legal, ética social y políticamente aceptable y respetando los derechos de privacidad y protección de datos consagrados en las directrices y regulaciones aplicables sobre la materia, primordialmente las Directrices 95/46/EC, 99/5/EC y 2002/58/EC. Esa recomendación contiene una sección con definiciones, evaluaciones sobre privacidad y protección de datos, seguridad de la información, información y transparencia en el uso de RFID; el uso de aplicaciones RFID en el comercio al menudeo; actividades sobre conscientización; investigación y desarrollo; y seguimiento. Adicionalmente, la Comisión Europea publicó un documento titulado “Citizen’s Summary” que contiene un breve resumen con preguntas y respuestas acerca de la implementación de la recomendación.

Otro documento sobre el tema con información relevante sobre la adopción de políticas, medidas de seguridad y regulación para tecnologías RFID es este documento del Grupo de Trabajo sobre Privacidad e Información de la OCDE.

Información y noticias sobre el uso e implementación de sistemas RFID en los EUA se encuentra en la página de EPIC.

En México, valdría la pena que nuestros legisladores incluyeran una disposición en la legislación que diera, por lo menos, la pauta para establecer medidas regulatorias para la industria del comercio que utiliza esta tecnología para que en el corto plazo se proteja la privacidad y la confidencialidad de los consumidores y sobre todo el uso y destino de los datos e información que contienen los RFID.

El pasado 30 de Abril se publicó en el Diario Oficial de la Federación el Decreto que establece la reforma al artículo 73 constitucional cuyo texto adiciona la fracción XXIX-O otorgándole facultades al Congreso Mexicano para legislar en materia de protección de datos en posesión de los particulares. Lo más peculiar de esta reforma es que el artículo segundo transitorio de ese Decreto obliga al propio Congreso de la Unión a expedir la ley en la materia en una plazo no mayor a 12 meses, contados a partir de la entrada en vigor del decreto, es decir antes del 30 de Abril de 2010.

Estoy completamente de acuerdo con la entrada en el blog de mi amigo Alex Pisanty en que la publicación de este texto abrirá un campo de batalla entre las empresas que manejan y procesan datos personales y los ciudadanos y otros sectores vulnerables. Además, debo agregar que esta reforma, tiene la posibilidad de habilitar un nuevo diálogo más abierto, concreto y organizado en el Congreso con la participación plena de representantes clave de todos los sectores de la sociedad Mexicana y no solamente con los representantes del sector bancario, empresarial y de la industria de las telecomunicaciones e Internet como son la AMIPCI y CANIETI que lo único que han logrado ha sido retrasar las iniciativas en materia de protección de datos desde hace más de siete años y velar únicamente por sus intereses económicos, sin tomar en cuenta los derechos del individuo a la tutela y protección de sus datos personales. Los datos personales representan un activo muy importante para las empresas sobre todo en la era del Internet, y, por tanto es necesario que se legisle adecuadamente en esta materia.

Valdría la pena que nuestros legisladores -tanto senadores como diputados y sus respectivas comisiones- empiecen a trabajar conjuntamente -sin la injerencia de los cabilderos en el Congreso- en un agenda muy específica, con temas y fechas límite para crear una ley independiente, moderna y con base en los principios internacionales aceptados y las mejores practicas legislativas en la materia. Asimismo, considero que es el momento adecuado para que el proyecto de ley en el que se trabaje contenga disposiciones que:

- Establezcan un organismo independiente, autónomo y especializado en el control y supervisión de los datos personales en posesión de los particulares;
- Contengan mecanismos adecuados para la transferencia de datos personales a terceros países;
- Controlen y sancionen las practicas de mercadotecnia dirigida a los usuarios del internet y de redes sociales basadas en sus perfiles e información personal (online trageting behaviour);
- Establezcan obligaciones y sanciones para las empresas, sus filiales y empleados que hagan mal uso, comprometan o pierdan datos personales contenidos en bases de datos, servidores y sistemas personales de cómputo;
- Establezcan sanciones y multas por el mal uso de datos personales derivados de delitos cometidos a través de sistemas de cómputo e Internet; y
- Establezcan un sistema expedito y eficaz para resolver controversias entre empresas e individuos derivado del mal uso o la pérdida de datos personales, independientemente de los recursos administrativos y judiciales.

Considero que la labor no es será fácil, partiendo del hecho de que ha habido más de ocho iniciativas de ley en el Congreso. Sin embargo, será muy interesante ver como se desarrolla durante todo un año el proceso de organización y la logística para discutir, crear y consensar una ley sobre protección de datos en el Congreso que verdaderamente hace falta para insertar a México en una economía basada en el Internet y el uso de la TIC’s y como dijo Alex Pisanty “para la construcción de la sociedad de la información en nuestro país”.

El pasado 9 de Febrero del presente, la Secretaría de Comunicaciones y Transportes publicó en el Diario Oficial de la Federación un Decreto por el que se reforman y adicionan diversas disposiciones de la Ley Federal de Telecomunicaciones.
Ese decreto, que entró formalmente en vigor el pasado 9 de Abril, crea un Registro Nacional de Usuarios de Telefonía Móvil cuyo objetivo es combatir los delitos de secuestro, extorsión y delincuencia organizada que se han venido dando últimamente en México. Este decreto establece como obligación a todos los concesionarios de redes públicas de telecomunicaciones de llevar un registro y control de usuarios de líneas de teléfonos móviles contratadas en las modalidades de plan tarifario y de prepago mediante la recopilación de una serie de datos personales como son el nombre, domicilio, nacionalidad, número telefónico, los datos contenidos en la credencial para votar y otros requisitos como son la comprobación del domicilio actual del usuario conforme a un comprobante e inclusive la toma e impresión de su huella dactilar, ya sea en tinta, o en forma electrónica o digital. Asimismo, la reforma prevé las siguientes obligaciones a cargo de las empresas de telefonía celular y móvil: (i) conservar las copias fotostáticas o en medios electrónicos de los documentos utilizados para llevar a cabo el registro y control y la reserva y protección de las bases de datos personales en donde se encuentre dicha información; (ii) conservar un registro y control de comunicaciones, tales como transmisión de voz, buzón vocal, conferencia, datos, reenvío o transferencia de llamadas o servicios de mensajería o multimedia, fecha, hora y duración de la comunicación, la ubicación geográfica de las líneas telefónicas; (iii) entregar dentro de las 72 horas, los datos al Procurador General de la República o Procuradores Generales de Justicia de las Entidades Federativas, cuando lleven a cabo investigaciones sobre delitos de extorsión, amenazas, secuestro, en cualquiera de sus modalidades o de algún delito grave o relacionado con la delincuencia organizada; (iv) bloquear de inmediato las líneas contratadas bajo cualquier modalidad, reportados por los clientes o usuarios como robados o extraviados, entre otras.

La fracción VI del articulo 71 de la Ley Federal de Telecomunicaciones establece multas y sanciones para los concesionarios de 10,000 a 100,000 salarios mínimos (Aproximadamente el equivalente a $548,000.00 a $5’480,000.00 pesos Mexicanos) por no cumplir con las obligaciones establecidas en las fracciones XI-XV del artículo 44.

Tengo mis dudas realmente, de que ese registro de usuarios ayude a reducir drásticamente los delitos de extorsión telefónica y delincuencia organizada en el secuestro de personas, Mas aun, es de preocupar la lista de datos personales que estarán en posesión de las empresas telefónicas, sus empleados y en sus respectivas bases de datos las cuales gozan de cierta libertad al no estar todavía reglamentadas por una ley específica en la materia. Asimismo, no deja de preocupar el hecho de que toda la información de los ciudadanos que cuenten con un teléfono móvil contenida en el registro estará disponible para las procuradurías federales y estatales cuando tengan que hacer investigaciones relacionadas con la comisión de delitos graves o en materia de delincuencia organizada.

Considero que el alcance de la reforma tendrá repercusiones futuras muy serias en materia de privacidad y protección de datos, sino se establecen salvaguardas y sobre todo los mecanismos de seguridad técnicos y jurídicos necesarios para proteger la información que estará en manos tanto de las empresas telefónicas como de las autoridades judiciales encargadas de perseguir delitos.

Vale la pena recordar el caso Choice Point de Abril de 2003 en donde la filial de esa empresa americana en México adquirió la base de datos del padrón electoral, y por ende, toda la información de los ciudadanos mexicanos. Este caso, que al día de hoy no ha sido todavía resuelto en los tribunales judiciales, representa un claro ejemplo y sobre todo una urgente necesidad de tener que regular los datos personales a través de una legislación y sobre todo establecer sanciones, castigos y multas más altas para las empresas que vendan o comprometan información personal de los mexicanos.

El Artículo 44 secciones IX- XV de la Ley Federal de Telecomunicaciones establece lo siguiente:

“Artículo 44. Los concesionarios de redes públicas de telecomunicaciones deberán:
I. a VIII. …
IX. Abstenerse de establecer barreras contractuales, técnicas o de cualquier naturaleza a la conexión de cableados ubicados dentro del domicilio de un usuario con otros concesionarios de redes públicas;
X. Actuar sobre bases no discriminatorias al proporcionar información de carácter comercial, respecto de sus suscriptores, a filiales, subsidiarias o terceros;
XI. Llevar un registro y control separado de sus usuarios, tanto en la modalidad de líneas contratadas en plan tarifario, como en líneas de prepago, el cual contenga como mínimo los siguientes datos:
a) Número y modalidad de la línea telefónica;
b) Nombre completo, domicilio, nacionalidad, número correspondiente y demás datos contenidos en identificación oficial vigente con fotografía, así como comprobante de domicilio actualizado del usuario y toma de impresión de huella dactilar directamente en tinta y/o electrónicamente;
c) En caso de personas morales, además de los datos de los incisos a) y b), se deberá registrar la razón social de la empresa, cédula fiscal y copia del documento que acredite capacidad para contratar.
Los concesionarios deberán conservar copias fotostáticas o en medios electrónicos de los documentos necesarios para dicho registro y control; así como mantener la reserva y protección de las bases de datos personales, las cuales no podrán ser usadas con fines diferentes a los señalados en las leyes;
XII. Conservar un registro y control de comunicaciones que se realicen desde cualquier tipo de línea que utilice numeración propia o arrendada, bajo cualquier modalidad, que permitan identificar con precisión los siguientes datos:
a) Tipo de comunicación (transmisión de voz, buzón vocal, conferencia, datos), servicios suplementarios (incluidos el reenvío o transferencia de llamada) o servicios de mensajería o multimedia empleados (incluidos los servicios de mensajes cortos, servicios multimedia y avanzados);
b) Datos necesarios para rastrear e identificar el origen y destino de las comunicaciones de telefonía móvil: número de destino, modalidad de líneas con contrato o plan tarifarío, como en la modalidad de líneas de prepago;
c) Datos necesarios para determinar la fecha, hora y duración de la comunicación, así como el servicio de mensajería o multimedia;
d) Además de los datos anteriores, se deberá conservar la fecha y hora de la primera activación del servicio y la etiqueta de localización (identificador de celda) desde la que se haya activado el servicio;
e) La ubicación digital del posicionamiento geográfico de las líneas telefónicas, y
f) La obligación de conservación de datos a que se refiere la presente fracción cesa a los doce meses, contados a partir de la fecha en que se haya producido la comunicación.
Los concesionarios tomarán las medidas técnicas necesarias respecto de los datos objeto de conservación, que garanticen su conservación, cuidado, protección, no manipulación o acceso ilícito, destrucción, alteración o cancelación, así como el personal autorizado para su manejo y control;
XIII. Entregar los datos conservados, al Procurador General de la República o Procuradores Generales de Justicia de las Entidades Federativas, cuando realicen funciones de investigación de los delitos de extorsión, amenazas, secuestro, en cualquiera de sus modalidades o de algún delito grave o relacionado con la delincuencia organizada, en sus respectivas competencias.
Queda prohibida la utilización de los datos conservados para fines distintos a los previstos en el párrafo anterior, cualquier uso distinto será sancionado por las autoridades competentes en términos administrativos y penales que resulten.
Los concesionarios están obligados a entregar la información dentro del plazo máximo de setenta y dos horas siguientes contados a partir de la notificación, siempre y cuando no exista otra disposición expresa de autoridad judicial.
El Reglamento establecerá los procedimientos, mecanismos y medidas de seguridad que los concesionarios deberán adoptar para identificar al personal facultado para acceder a la información, así como las medidas técnicas y organizativas que impidan su manipulación o uso para fines distintos a los legalmente autorizados, su destrucción accidental o ilícita o su pérdida accidental, así como su almacenamiento, tratamiento, divulgación o acceso no autorizado;
XIV. Realizar el bloqueo inmediato de las líneas contratadas bajo cualquier modalidad, reportados por los clientes o usuarios como robados o extraviados; realizar la actualización respectiva en el registro de usuarios de telefonía; así como realizar la suspensión inmediata del servicio de telefonía para efectos de aseguramiento cuando así lo instruya la Comisión Federal de Telecomunicaciones, de conformidad con lo establecido en el Código Federal de Procedimientos Penales.
En caso de que los usuarios vendan o cedan una línea de telefonía en cualquiera de sus modalidades de contratación, deberán dar aviso al concesionario, a efecto de que dicha línea sea bloqueada, en tanto sea registrado el nuevo usuario, conforme a la fracción XI del presente artículo, y
XV. Informar a los clientes o usuarios de servicios de telefonía en cualquiera de sus modalidades, previo a su venta, de la existencia y contenido del registro y su disponibilidad a los agentes facultados.”