Merchant Cash Advances Equipment Financing Working Capital SBA Loans Small Business Loans Long Term Loansbusiness loans best business loans Big Lines of Credit Short Term Loads

Lineamientos del Consejo de Europa sobre la Protección de Individuos con Respecto al Procesamiento de Datos Personales en un Mundo de Grandes Datos

CoE_Guidelines_LogoEl pasado 27 de Enero, el Consejo de Europa a través de su Directorate General of Human Rights and Rule of Law dio a conocer oficialmente los Lineamientos sobre la protección de individuos con respecto al procesamiento de datos personales en un mundo de Grandes Datos durante la conferencia anual CPDP2017 en Bruselas.

Estos lineamientos fueron redactados tomando como base los principios contenidos en el Convenio 108 del Consejo de Europa y su objetivo es servir como un marco de referencia no vinculante para los Estados signatarios de dicho instrumento para que adapten y apliquen políticas y medidas pertinentes en el contexto de los Grandes Datos. Estos lineamientos están principalmente dirigidos a legisladores, responsables y encargados del procesamiento de datos para poder mitigar el impacto negativo del uso de los Grandes Datos en el ámbito de los derechos humanos y libertades individuales y colectivas con respecto a la protección de datos personales.

Los lineamientos constan de cuatro secciones: (I) Introducción, (II) Alcance, (III) Terminología y Definiciones, (IV) Principios y Lineamientos. La sección cuarta sobre Principios y Lineamientos contiene nueve principios:

1. Conciencia y ética social del uso de los datos, establece que el procesamiento de datos personales no debe conflictuarse con los valores éticos comúnmente aceptados dentro de una comunidad, así como no perjudicar los intereses sociales, valores y normas, incluida la protección de los derechos humanos tomando como base la Convención Europea sobre Derechos Humanos y recomienda a los responsables del procesamiento establecer Comités de Ética ad hoc para salvaguardar de mejor manera el uso de datos.

2. Políticas preventivas y evaluación del riesgo, recomienda a los responsables del procesamiento establecer políticas preventivas y del manejo del riesgo que tomen en cuenta el impacto legal, social y ético del uso de los Grandes Datos, incluido el derecho al trato igualitario y la no discriminación y examinar el posible impacto del procesamiento de datos en los derechos y libertades fundamentales de los titulares de datos, así como involucrar a las distintas partes que pudieran verse afectadas por el uso de los Grandes Datos.

3. Limite del Propósito y Transparencia, establece que los datos no deben ser procesados o utilizados de manera incompatible con el propósito original o que sea manejados de una forma inesperada, inapropiada u objecionable para los titulares de datos, y además recomienda a los responsables identificar el impacto potencial de los distintos usos de datos propiedad de los titulares e informarles acerca de ese posible impacto.

4. Enfoque Mediante Diseño, recomienda que tanto responsables como encargados deberán tomar en cuenta el diseño de su procesamiento de datos para minimizar la presencia de datos marginales redundantes, y evitar el riesgo de discriminación o impacto negativo en los derechos y libertades fundamentales de los titulares, tanto en las fase de recolección como de análisis, así como probar la adecuación de soluciones “mediante diseño” que se adoptan en cantidades limitadas de datos, mediante simulaciones, antes de su utilización a gran escala, así como ampliar medidas de salvaguarda tratándose del uso de datos sensibles.

5. Consentimiento, recomienda que el consentimiento libre, especifico, informado e inambiguo que se otorga a los titulares de datos deberá tomar en cuenta los principios de transparencia y procesamiento de datos y que los encargados deberán proporcionar a los titulares formatos técnicos de fácil uso para que puedan reaccionar al procesamiento incompatible con el propósito inicial y tengan la posibilidad de revocar su consentimiento.

6. Anonimizacion recomienda a los responsables que valoren el riesgo de la re-identificación tomando en cuenta el tiempo, esfuerzo o recursos necesarios en vista de la naturaleza de los datos, el contexto de su utilización, las tecnologías de re-identificación disponibles y los costos relacionados y probar la adecuación de las medidas adoptadas para anonimizar datos y asegurar la efectividad de la de-identificación. También se recomienda utilizar medidas técnicas en combinación con obligaciones jurídicas o contractuales para prevenir la re-identificación de las personas concernientes.

7. El Rol de la Intervención Humana en las Decisiones basadas en Grandes Datos, establece que los grandes datos deberán preservar la autonomía de la intervención humana en el proceso de toma de decisiones y que las decisiones con base en los resultados del análisis de los Grandes Datos, deberán tomar en cuenta todas las circunstancias concernientes de los datos y no basarse meramente en información descontextualizada o resultados del procesamiento de datos. Los titulares que se vean afectados por una decisión sobre Grandes Datos, tendrán el derecho de impugnar la decisión ante una autoridad competente.

8. Datos Abiertos, tomando en cuenta la disponibilidad del análisis de grandes datos, este principio recomienda tanto a entidades públicas como privadas a considerar o tomar en cuenta políticas abiertas de datos ya que los datos abiertos pueden ser utilizados para extraer inferencias respecto a individuos o grupos.

9. Educación, este principio hace un llamado a las partes a que tomen en cuenta la información y la alfabetización digital como una habilidad educativa esencial para ayudar a las personas a entender las implicaciones del uso de su información y datos personales en el contexto de los Grandes Datos.

Los nuevos lineamientos del CoE se encuentran en el siguiente vinculo.

Día Internacional de la Protección de Datos Personales 2017

1128-CPDP2017El próximo sábado 28 de Enero se conmemora por décima primera ocasión el día internacional de la protección de datos 2017. Esta conmemoración fue creada conjuntamente por el Consejo de Europa y la Comisión Europea hace once años con motivo del aniversario de la firma de la Convención para la protección de los individuos con respecto al procesamiento automático de datos personales (ETS 108) mejor conocido como el «Convenio 108» cuyo proceso de revisión y reforma continuar á todavía este año dentro del Comité Consultivo del Consejo de Europa (T-PD) y una vez finalizado el proceso de reforma, se espera que más países puedan solicitar el acceso a dicho instrumento, incluido México y otros países de Latino América.

El día internacional de la protección de datos tiene como primordial objetivo generar conciencia (entre organismos internacionales, autoridades de protección de datos, empresas y primordialmente entre ciudadanos ubicados en distintos países) acerca de la importancia de proteger la privacidad del individuo y promover y difundir sus derechos y responsabilidades inherentes bajo el marco de la legislación existente, la difusión de mejores practicas para la recolección, tratamiento y procesamiento de datos personales en cualquier de sus modalidades, así como generar mayor conciencia sobre el valor de la privacidad como un derecho humano fundamental consagrado en la legislación mexicana y en diversos instrumentos internacionales.

Cada año, autoridades de protección de datos, organizaciones y asociaciones de los sectores público, privado y de la sociedad civil a nivel mundial organizan sesiones informativas, seminarios, conferencias, debates y presentaciones en diferentes ciudades para crear conciencia acerca de la importancia de promover y proteger este derecho fundamental, sobre todo en el ámbito del uso de Internet y las redes sociales.

Como parte de las actividades en torno a este día, estaré llevado a cabo las siguientes actividades:

1. Del 25 al 27 de Enero, participaré en la Décimo Conferencia Anual Computers, Privacy and Data Protection CPDP 2017 y estaré subiendo y reportando en twitter puntos destacados sobre las distintos paneles que se organizan en esa conferencia, la cual es de gran relevancia en vista del Nuevo Reglamento Europeo sobre Protección de Datos cuya entrada en vigor será el 25 de Mayo de 2018.

2. Los días 26 y 27 de Enero, seguiré la conferencia que organizan conjuntamente el INAI y el InfoDF en torno al día internacional de la protección de datos 2017 en donde se llevará a cabo la entrega de premios a los ganadores del Concurso sobre Innovación y Buenas Practicas en la Protección de Datos Personales 2016 en donde tuve el honor de participar como miembro del jurado que delibero sobre los premios otorgados a las tres categorías de ese certamen.

Recomendamos seguir los siguientes hashtags en twitter: #ProtDataMx #CPDP2017 #INAImexico

Procedimiento de Imposición de Sanciones a AT&T por incumplimiento a la LFTR y a la LFPDPPP

INAI_LogoEn un reciente artículo publicado en el diario El Economista se reporta que el INAI notificó a la empresa AT&T sobre el inicio de un procedimiento de imposición de sanciones por negligencia en la tramitación de la solicitud que hizo un particular para tener acceso a su información personal conforme al Artículo 190 de la Ley Federal de Telecomunicaciones y Radiodifusión.

De acuerdo con ese diario, “El INAI resolvió que la información recabada por las operadoras por obligación del artículo 190 de la Ley Federal de Telecomunicaciones y Radiodifusión (LFTR) son datos personales y que los particulares pueden tener acceso a ellos. Además, ordenó iniciar un proceso de imposición de sanciones contra AT&T por su presunta negligencia en la tramitación de la solicitud del particular.”

Asimismo, esa nota señala que el “INAI ordenó a AT&T a entregar a su cliente todos los datos mencionados en una plazo de 10 días […] y de confirmarse la violación de AT&T al artículo 63 de la Ley de Protección de Datos Personales por su presunta “negligencia en la tramitación y respuesta de la solicitud de acceso de datos personales”, la compañía de origen estadounidense podría recibir una sanción superior a los 11 millones de pesos”.

Trate de buscar la resolución del expediente del INAI al que se hace referencia en la nota de El Economista, lamentablemente la sección de resoluciones del portal del INAI no está funcionando correctamente y no permite descargar las resoluciones del Pleno por lo que más adelante –cuando se tenga acceso a la resolución-, hare una opinión más detallada sobre este asunto.

EU-US Privacy Shield Published in EU Official Journal

Privacy-ShieldThe EU-US Privacy Shield was officially published on August 1st in the EU Official Journal

The EU-US Privacy Shield is a mechanism that allows the transfer of personal data from any country member of the European Union to a company located in the United States. American companies are now obliged to use, store and process personal information according to a strong set of data protection rules and safeguards based on the EU Data Protection Directive 95/46/EC and the EU General Data Protection Regulation, the latter of which will be in full force from 1 May 2018.

The protection of personal data under the EU-US Privacy Shield applies regardless of whether an individual is or not a EU citizen.

Further info on the Privacy Shield:

EC Guide to the EU-U.S. Privacy Shield

Press Release from EurActiv.com

IAPP’s Resource Center

Pleno del Parlamento Europeo adopta Directiva sobre Seguridad de Redes y Sistemas de Información

Comision Europea LogoEl pasado 6 de Julio del presente, el Pleno del Parlamento Europeo adoptó la Directiva sobre Seguridad de Redes y Sistemas de Información mejor conocida por sus siglas en ingles como Directiva NIS. El objetivo principal de la Directiva es fomentar un alto nivel común de seguridad de redes y sistemas de información dentro de los países miembros de la UE, por medio de la mejora de las capacidades de seguridad cibernética a nivel nacional; incrementar la cooperación a nivel regional; crear reglas comunes para la gestión y manejo del riesgo y establecer obligaciones de notificación de incidentes para los operadores de servicios esenciales y proveedores de servicios digitales.

La Directiva NIS será aplicable para los siguientes sectores: (i) Energía: electricidad, petróleo y gas; (ii) Transporte: aéreo, ferroviario, marítimo y terrestre; (iii) Bancario: instituciones de crédito; (iv) Infraestructura del mercado financiero: centros de negociación y contrapartes centrales; (v) Salud: establecimientos de salud; (vi) Agua: provisión y distribución de agua potable; (vii) Infraestructura Digital: puntos de intercambio de Internet, proveedores del servicio de sistemas de nombres de dominio y registradores de nombres de dominio de primer nivel.

Entre las disposiciones más relevantes de la Directiva NIS se encuentran:

1. La creación de un grupo de cooperación conformado por representantes de los Estados Miembros, la Comisión Europea y ENISA, dividido a su vez en cuatro áreas principales de trabajo: (i) Planeación; (ii) Gobierno; (iii) Compartir información y mejorar las practicas acerca del manejo de riesgos, incidentes, incrementar la concientización y capacitación; y (iv) Reportar cada año y medio respecto a las experiencias y avances obtenidos a través de la cooperación entres sus miembros.

2. Fomentar e incrementar la cooperación entre los Centros de Respuesta a Emergencias de Sistemas de Cómputo (CERT’s) con instituciones, agencias y entidades de la Unión Europea para el intercambio de información relacionada con incidentes relacionados con sistemas de cómputo.

3. Gestión del riesgo y obligaciones de notificación de incidentes para los operadores de servicios esenciales y proveedores de servicios digitales. Los operadores de servicios de comunicaciones deberán adoptar medidas de seguridad adecuadas y notificar los incidentes de gravedad a las autoridades nacionales relevantes. Las medidas de seguridad podrán incluir: (i) Prevención de Riesgos: (ii) asegurar las redes de información y sistemas de seguridad; y (iii) minimizar el impacto de los incidentes.

La Directiva NIS fue publicada en el Diario Oficial de la Unión Europea el pasado 19 de Julio de 2016. Los Estados Miembros tendrán 21 meses para adoptar y transponerla en sus respectivos marcos jurídicos nacionales, así como un periodo adicional de seis meses para identificar a los operadores de infraestructura crítica y servicios esenciales, entre otras obligaciones.

Mayor información acerca de la adopción de la Directiva NIS se encuentra en:

Publicación en el Diario Oficial de la Unión Europea

Portal de la Comisión Europea

Preguntas y Respuestas sobre la Directiva NIS y timeline para su implementación a nivel nacional de la Comisión Europea

Declaración del Vicepresidente Ansip y Comisionado Oettinger acerca de la adopción de la Directiva NIS

Notas del Director de IAPP Europa.

Official launch of the OECD Broadband Policy Tool-Kit for Latin America and the Caribbean

LAC-toolkit-Cover-200x280The OECD Broadband Policies for Latin America and the Caribbean: A Digital Economy Toolkit a joint project of the OECD and the International Development Bank (IDB) was officially launched last June 21 during the 2016 OECD-Ministerial Meeting held in Cancun, Mexico.

As part of my expertise in the field, I was hired as a consultant to draft Chapter 14 on Digital Security Risk Management and Chapter 15 on Privacy Protection. Both chapters provide an overall situation on policies and best practices in the field of privacy and digital security management in selected countries of LAC.

Any comments or perspectives on said chapters are very welcome.

For further information on the Toolkit, see the official website of the OECD

Follow the twitter hash tag: #OECDdigitalMX @OECDInnovation

Publicación del Libro del Dr. Cristos Velasco “Cyber Law in Mexico”

Cyber_Law_Front_Cover 2016Wolters Kluwer Law & Business ha publicado la tercera edición de mi libro: “Cyber Law in Mexico” [ISBN-978-90-411-6855-9]
Este libro forma parte de la conocida “International Encyclopaedia for Cyber Law” coordinada por Jos Dumortier, ex profesor de la Universidad Católica de Lovaina, Bélgica y Ruben Roex.
Al igual que en años anteriores, esta monografía se encuentra disponible desde ahora en “impresión bajo demanda” (formato electrónico o impreso) para aquellos interesados en adquirirla por separado, sin tener que comprar los seis volúmenes de los que actualmente consta la “International Encyclopaedia for Cyber Law”.

La tercera edición de este libro contiene un total de 416 páginas y se encuentra actualizada a Febrero de 2016. Actualmente es el único libro disponible en México sobre este tema publicado en idioma Inglés. Contiene una introducción general; estadísticas y antecedentes del sistema político, población y geografía; infraestructura de telecomunicaciones; estadísticas y datos actuales sobre tecnologías de la información, banda ancha e inversión en el sector de las telecomunicaciones; comercio electrónico; nombres de dominio; competitividad y gobierno electrónico. El libro está dividido en nueve áreas principales con diferentes capítulos y sub-secciones y una sección final de conclusiones que combina aspectos prácticos en las siguientes áreas:

I. Regulación del Mercado de las Tecnologías de Información y Comunicaciones el cual contiene el marco legal y regulatorio del sector de las telecomunicaciones e incluye un análisis exhaustivo de la reciente Ley Federal de Telecomunicaciones y Radiodifusión y las actividades de la autoridad reguladora nacional IFT; un análisis del marco jurídico sobre competencia en el sector de las telecomunicaciones en virtud de las leyes y tratados correspondientes y las actividades y las multas establecidas por el regulador de la competencia y antimonopolios Cofece. Esta sección incluye una revisión de las reglas aplicables a la normalización, certificación y homologación de equipos de telecomunicaciones.

II. Protección de la Propiedad Intelectual en el Sector de las TIC’s incluye una revisión de las normas nacionales aplicables a derechos de autor en el ámbito de las TIC’s, la protección legal del software, bases de datos, chips de cómputo, licencias de marcas y esquemas de licenciamiento, el marco jurídico actual aplicable al registro de nombres dominios, incluido un análisis de las controversias sobre nombres de dominio actualmente administrados por el sistema de resolución de controversias de la OMPI y una revisión del Acuerdo Comercial Anti-Falsificación (ACTA) y su firma por parte de las autoridades mexicanas.

III. Contratos Informáticos incorpora un análisis sobre el marco jurídico aplicable a los contratos de software, contratos gubernamentales y contratos electrónicos.

IV. Transacciones Electrónicas incluye un análisis de las reglas para la aceptación y perfeccionamiento de contratos electrónicos, la regulación del comercio electrónico, la firma electrónica y proveedores de servicios de certificación en los siguientes sectores: comercio, consumo, financiero y bancario, procedimientos administrativos y obligaciones tributarias y fiscales; una revisión sobre las normas relativas a la preservación de mensajes de datos, las disposiciones sobre ley aplicable y jurisdicción para los consumidores, comunicaciones no solicitadas (spam) y prácticas de mercadotecnia y una revisión del estado actual de las tarjetas nacionales de identidad digital y estadísticas sobre banca en línea.

V. Responsabilidad Extracontractual incorpora un análisis de las normas sobre responsabilidad extracontractual, negligencia, reparación del daño y responsabilidad de los operadores de redes y proveedores de servicios de Internet.

VI. Procedimientos Jurídicos En línea incluye un análisis del marco jurídico y administrativo de los procedimientos judiciales en línea, el sistema nacional de justicia en línea y las sanciones impuestas por el Tribunal Federal de Justicia Fiscal y Administrativa.

VII. Privacidad y Protección de Datos incorpora un análisis de las reformas constitucionales en materia de privacidad y protección de datos, legislación federal y estatal en materia de protección de datos personales, incluyendo una revisión detallada de las disposiciones de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento, así como cada instrumento, recomendación y lineamiento sobre protección de datos expedido por la autoridad nacional de protección de datos INAI; las multas y sanciones contra los responsables del tratamiento y procesamiento de datos establecidas por el INAI; análisis de la jurisprudencia y casos sobre privacidad y protección de datos resueltos por la Suprema Corte de Justicia de la Nación y los Tribunales Federales, estudios de la industria de Internet y estadísticas sobre protección de datos personales.

VIII. Transparencia y Acceso a la Información Gubernamental incluye un análisis de la reforma constitucional en materia de acceso a la información y sobre la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental y Protección de Datos (FLTAPGIDP), legislación estatal, información sobre el sistema electrónico de acceso a solicitudes de información y estadísticas relevantes sobre acceso a la información de la autoridad nacional INAI.

IX. Delitos Relacionados con Internet y Sistemas de Cómputo incorpora un análisis de las disposiciones sustantivas del Código Penal Federal en materia de TICs, intercepción de comunicaciones privadas, localización geográfica de equipos y sistemas móviles por parte de las autoridades ejecutoras y cooperación en investigaciones penales, delitos relacionados con sistemas informáticos, delitos relacionados con la transgresión de derechos de autor, delitos en contra de la seguridad de la nación, uso y reconocimiento de la evidencia digital en investigaciones penales bajo el nuevo Código Nacional de Procedimientos Penales; las normas sustantivas y procedimentales aplicables a la jurisdicción penal, iniciativas de ley sobre ciberdelitos, actividades relativas a la cooperación internacional y estadísticas nacionales sobre delincuencia informática; análisis de la legislación estatal, persecución de delitos informáticos por pate de autoridades ejecutoras, análisis de la estrategia nacional sobre ciberseguridad del gobierno federal, que incluye el trabajo del CERT-MX de la División Científica de la Policía Federal y actividades de sensibilización en materia de ciberseguridad.

X. Conclusiones Finales

Este libro contiene un “Índice Temático” con palabras clave dentro de los 776 párrafos numerados que contiene el texto, lo que permite al lector buscar términos específicos relacionados con la regulación de las tecnologías de la información en México.

Agradezco a mi colega y amigo Mtro. Julio César Vega Director de la Industria Mexicana de Internet (AMIPCI) por haber redactado el prólogo a la quinta edición del libro.

Vale la pena mencionar que estaré presentando este libro en conferencias y seminarios relacionados con la regulación de las TICs, así como en algunas Universidades y círculos académicos en México y en Europa durante 2016.

El libro puede ser adquirido directamente a través del portal de Wolters Kluwer Law & Business

Artículo de Rodrigo Orenday “Lecciones del #INEleaks”

Rodrigo Orenday Serratos, socio de ProtDataMx, ha publicado en su blog una nota muy interesante acerca de las repercusiones de la fuga de información de la lista nominal del padrón electoral del INE encontrada en un servidor de Amazon en la nube la semana pasada y que se difundió en twitter bajo el hashtag #INEleaks.

La nota hace una explicación muy detallada sobre ese caso y otras fugas de datos relevantes y hace un énfasis particular en la necesidad que tienen las empresas y organizaciones de implementar medidas de seguridad físicas, técnicas y administrativas conforme a la normativa nacional de protección de datos para resguardar la información personal de sus clientes o usuarios y de esa forma, poder minimizar el riesgo de una fuga de información y evitar posibles multas y sanciones por parte del INAI.

La nota puede ser descargada en este vínculo o en el Blog de Rodrigo Orenday

Filtración de la Lista Nominal del Padrón Electoral del INE en Servidores de Amazon

example_record_redactEl pasado 23 de Abril, el portal Databreaches.net dio a conocer la filtración de una de una copia de la Lista Nominal del Padrón Electoral del Instituto Nacional Electoral (INE) en un servidor Cloud de la empresa Amazon en Estados Unidos. De acuerdo con ese portal, la fuga fue descubierta por Chris Vickery, Investigador en seguridad informática del MacKeeper Security Research Centre, la cual la dio a conocer a través de su blog y un video donde señala haber tenido acceso a la información de más de 93 millones de personas mediante un archivo con un tamaño aproximado de 132 Gigas el pasado 14 de Abril de 2016.
La información estuvo públicamente accesible más de siete días días en el servidor de Cloud de Amazon donde fue encontrada la copia que no contaba con ninguna contraseña o método de autenticación alguno para su protección. Vickery indicó que se puso en contacto con el Departamento de Estado en los EUA, la Embajada de México en Washington y el propio Instituto Nacional Electoral (INE) para reportar este incidente y después de insistir acerca del riesgo de que la información estuviera públicamente abierta- inclusive con el US-CERT y el Department of Homeland Security y la empresa Amazon-, el acceso al archivo electrónico no fue completamente bajado sino hasta la madrugada del pasado viernes 22 de Abril.

El diario mexicano el Universal reporta que con base en una entrevista de radio en el programa de Joaquín López Dóriga de Radio Fórmula: “El Consejero del INE Ciro Muramaya indicó que tiene identificada la copia de donde provienen los datos de la Lista Nominal que aparecieron en los servidores de Internet de Amazon y que la identidad del responsable se dará a conocer cuando termine la indagatoria para no alertar al autor de la filtración.”.

El Consejero Ciro Murayama ha aclarado a diversos medios de comunicación que “la copia no proviene de los datos del INE, sino de los otorgados a los partidos políticos. Así es. Tampoco se trata de cuestionar al conjunto de los partidos políticos, en general son muy cuidadosos; en este caso es una persona en específico.”

El Director Ejecutivo del Registro Federal de Electores, René Miranda Jaimes ha explicado a diversos medios que: “en las copias que se generan y se entregan, existen por primera vez, a partir de la entrega del 2015, candados de seguridad que yo estoy seguro nos permitirán identificar plenamente la copia de la que estamos hablando, y en su caso, sancionar al responsable”. Como parte de las indagatorias, agregó el funcionario electoral que “solicitaron a Amazon información sobre quién contrató el espacio de almacenamiento en la nube, así como la frecuencia y el origen de las consultas.”

Ciro Murayama indica que “a cada copia se le siembran algunas particularidades para ubicarla con toda precisión en caso de uso indebido”. Agregó que “se trata de una copia proporcionada por el INE, y cada copia tiene una huella dactilar que la hace única, contiene una serie de datos que permiten diferenciarla de las que se entregan a otros partidos.”

Todo parece indicar que no fue un hackeo a los sistemas informáticos del INE, sino que se trata de la filtración de una copia de las Listas Nominales de Electores que el INE entrega en formato electrónico a los partidos políticos por disposición legal el 15 de Febrero de cada año. De acuerdo con diversas fuentes consultadas, el INE ya interpuso una denuncia ante la Fiscalía Especializada para la Atención de Delitos Electorales (FEPADE), se dio aviso a la Policía Cibernética y a la Unidad Técnica de lo Contencioso Electoral del INE y ya se ha iniciado un procedimiento ordinario sancionador para que se impongan las sanciones que correspondan a los responsables. Sin embargo, hasta ahora todavía no se conoce la identidad de la persona ni su afiliación al partido político que filtró la información de la Lista Nominal en los servidores Cloud de Amazon.

Vale la pena destacar que conforme al Art. 483 de la Ley General de Instituciones y Procedimientos Electorales las sanciones aplicables a servidores públicos podrían consistir en:
a) Apercibimiento privado o público;
b) Amonestación privada o pública;
c) Sanción económica;
d) Suspensión;
e) Destitución del puesto; e
f) Inhabilitación temporal, hasta por cinco años, para desempeñar empleos, cargos o comisiones en el servicio público
De acuerdo al Art. 484 de ese ordenamiento, las faltas y sanciones deben ser valoradas, y en su caso, sancionadas conforme a la Ley Federal de Responsabilidades Administrativas de los Servidores Públicos.

Esta no es la primera vez que se filtran datos e información del padrón electoral y de información personal de ciudadanos mexicanos en Internet.

En Noviembre de 2013 fue el portal Buscardatos.com que permitía buscar y obtener los datos e información de ciudadanos mexicanos, argentinos, chilenos y paraguayos en forma gratuita. Para información más detallada ver la siguiente entrada en ProtDataMx.

En 2010, se reveló la venta de las bases de datos e información del padrón electoral del entonces Instituto Federal Electoral (FE) en el barrio de Tepito. Ver la siguiente nota del diario La Razón.

El caso Choicepoint en 2003 en donde dicha empresa adquirió la base de datos del padrón electoral a través de un empleado del anterior IFE Instituto Federal Electoral. Ver la siguiente entrada en Blog de Privacidad y Protección de Datos de Cristos Velasco.

Y la pregunta es ¿hasta cuando más debemos tolerar este tipo de situaciones y dejar impunes a los responsables de poner en riesgo nuestra información personal?

Es muy probable que una copia de lista filtrada en los servidores de Amazon ya este circulando en el mercado negro y en el Dark Net por lo que recomendamos a la población estar muy alerta para evitar situaciones como robo de identidad, extorsiones telefónicas y fraudes financieros.

Algunas de las fuentes de información consultadas para la redacción de esta entrada son:

The Daily Dot (En Inglés)
(En Español)

El Universal

El País

El Financiero

Reforma

Excélsior

Proceso

Animal Político

Forbes México

Radio Fórmula

Aristegui Noticias

Milenio

Entérate México

Expansión

Parlamento Europeo aprueba el Reglamento General de Protección de Datos y la Directiva sobre Protección de Datos para Autoridades Policiacas y Judiciales

El pasado jueves 14 de Abril, el Parlamento Europeo aprobó el Reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos)

Jan Philipp Albrecht, Miembro del Parlamento Europeo por el Partido Verde Alemán señalo durante su discurso en la Sesión Plenaria que:

“La Regulación General de Protección de Datos hace que un nivel elevado y uniforme de protección de datos en toda la Unión Europea sea una realidad. Este es un gran éxito para el Parlamento Europeo y un feroz Europeo “sí” a fortalecer los derechos de los consumidores y la competencia en la era digital. Los ciudadanos podrán ser capaces de decidir por sí mismos qué información personal desean compartir.”

“Nosotros, los europeos no solamente exportamos un alto nivel de protección de los derechos de privacidad y de los consumidores en línea – sino que también seremos capaces de establecer un estándar de oro para el mercado digital del mañana, cuando estas normas sean esenciales para todos y cada nueva tecnología, producto y servicio.”

Las reglas del nuevo Reglamento incluyen disposiciones relativas a:

- El derecho al olvido;
- Consentimiento claro y afirmativo para el tratamiento de datos privados por el interesado;
- El derecho a transferir datos a otro proveedor de servicios (portabilidad de datos);
- El derecho a saber cuando los datos han sido hackeados (obligaciones de notificación de fuga de datos);
- Asegurar que las políticas de privacidad se explican en un lenguaje claro y comprensible;
- Una ejecución de la legislación más efectiva y multas de hasta el 4% de la facturación anual total a escala mundial de las empresas, como elemento disuasorio para cumplir con el reglamento;
- Obtención del consentimiento de los padres de menores de edad para utilizar redes sociales en Internet; y
- Una autoridad de control a través de una ventanilla única para recibir quejas relacionadas con la protección de datos destinadas a racionalizar el proceso de cumplimiento por parte de las empresas (one-stop shop).

El Reglamento General de Protección de Datos entrará en vigor 20 días después de su publicación en el Diario Oficial de la Unión Europea y sus disposiciones serán aplicables en todos los Estados Miembros dos años después de su publicación.

Recomendamos ver los siguientes vínculos:

Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos) (En idiomas oficiales de la Unión Europea)

Artículos y Notas de Prensa

IAPP Privacy Tracker

Euroactiv

The Guardian

Techcrunch