Inicio de Procedimiento de Imposición de Sanciones contra Google México

IFAI LogoEl pasado 28 de Enero, precisamente cuando se conmemoraba el Día Internacional de la Protección de Datos , el Pleno del IFAI publicó un comunicado de prensa en donde señala que ha iniciado un procedimiento de imposición de sanciones en contra de Google México S. de R.L. por posibles infracciones a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) derivada de una queja de un ciudadano y falta de respuesta por parte de Google a ejercer su derecho constitucional de cancelación y oposición al tratamiento de sus datos personales.

De acuerdo con el comunicado de prensa del IFAI: “ El 9 de Diciembre de 2014, se celebró una audiencia de conciliación solicitada por las partes, con el fin de avenir sus intereses, sin embargo a pesar de los esfuerzos institucionales, no hubo acuerdo entre las partes, por lo que el IFAI acordó continuar con el procedimiento”.

Google México argumenta que no es la empresa que presta el servicio de motor de búsqueda sino Google Inc. con domicilio en los Estados Unidos y por tanto, no atendió la solicitud de ejercicio de derechos del particular, argumento que ha sido comúnmente utilizado por Google en algunos de los casos que tiene en la Agencia Española de Protección de Datos.

El Pleno del IFAI en su resolución precisa lo siguiente:

“1. Google México, S. de R.L. de C.V. es una empresa legalmente constituida en México y en términos de la LFPDPPP es responsable del tratamiento de datos personales.
2. De acuerdo con su objeto social, la empresa presta servicios de motor de búsqueda.
3. Google México, S. de R.L. de C.V. si hace un tratamiento de datos personales cuando se coloca en el buscador un dato de cualquier persona y se encuentra indexado a la información de la Red.
4. No acredito que dicho servicio lo realiza o presta una empresa distinta”

El Pleno del IFAI ha determinado iniciar el procedimiento de sanciones en contra de Google por posibles infracciones de conformidad con los Arts. 61 y 62 de la LFPDPPP y 140 a 144 del Reglamento de la LFPDPPP.

Cabe destacar que esto se trata únicamente del inicio de un procedimiento administrativo de sanciones que puede durar hasta 120 días y en donde Google tendrá la posibilidad impugnar la resolución de imposición de sanciones del IFAI ante el Tribunal Federal de Justicia Fiscal y Administrativa por lo que todavía no existe una sanción pecuniaria firme como tal en contra de Google México, S. de R.L. de C.V.

Mayor información al respecto se encuentra en:

Comunicado de Prensa del IFAI-OA/009/15 del 27 de Enero de 2015

BBC Mundo

Reuters

CNN México

El Financiero

Proceso

Yahoo NoticiasIFAI Logo

Día Internacional de la Protección de Datos Personales 2015

dpd_englishEste miércoles 28 de Enero se conmemora por novena ocasión el día internacional de la protección de datos 2015. Esta conmemoración fue creada conjuntamente por el Consejo de Europa y la Comisión Europea hace nueve años con motivo del aniversario de la firma de la Convención para la protección de los individuos con respecto al procesamiento automático de datos personales (ETS 108) mejor conocido como el «Convenio 108» cuyo proceso de revisión y reforma continuara todavía este año dentro del Comité Consultivo del Consejo de Europa.

El día internacional de la protección de datos tiene como primordial objetivo generar conciencia en el ámbito de los organismos internacionales, entre autoridades de protección de datos, empresas y primordialmente entre los ciudadanos ubicados en distintos países acerca de la importancia de proteger la privacidad del individuo y promover y difundir sus derechos y responsabilidades inherentes bajo el marco de la legislación existente, la difusión de mejores practicas para la recolección, tratamiento y procesamiento de datos personales en cualquier de sus modalidades, así como crear conciencia sobre el valor de la privacidad como un derecho humano fundamental consagrado en la legislación mexicana y en diversos instrumentos internacionales.

Cada año, autoridades de protección de datos, organizaciones y asociaciones de los sectores público, privado y de la sociedad civil a nivel mundial organizan sesiones informativas, seminarios, debates y presentaciones en diferentes ciudades para crear conciencia acerca de la importancia de promover y proteger este derecho fundamental, sobre todo en el ámbito del uso de Internet, la telefonía móvil y las redes sociales.

Como parte de las actividades en torno a este día, daré un reseña de lo acontecido en algunas sesiones de la Octava Conferencia Anual Computers, Privacy and Data Protection CPDP 2015 y estaré generando información clave en twitter para concientizar al ciudadano, en especial a la población adolescente para que puedan proteger de mejor forma su información personal en redes sociales.

Octava Conferencia Anual Computers, Privacy and Data Protection en Bruselas

cpdp2015Del 21 al 23 de Enero del presente se llevará a cabo en la ciudad de Bruselas, Bélgica la Octava Conferencia Anual Computers, Privacy and Data Protection (CPDP 2015) que organizan conjuntamente las Universidades Vrije de Bruselas, la Universidad de Namur de Francia y la Universidad de Tilburg de Holanda con el patrocinio de diversas asociaciones, consultorías, despachos de abogados y organizaciones de la sociedad civil.

El programa de este año incluye paneles relacionados con: estado actual de la propuesta de reforma sobre protección de datos de la Comisión Europea; flujo transfronterizo de datos, ingeniería social del cibercrimen, cybersecurity and cyber resilence, revenge porn, derecho al olvido, jurisdicción e internet, FTC vs Comisión Europea, entre otros temas.

El viernes 25 de Enero de 11:45 a 13:00 horario de Bruselas en el Salón Principal Grande Halle se llevará a cabo el panel sobre “Law Enforcement and Internet Jurisdiction” que tendré el placer de moderar y donde participarán expertos sobre el tema de instituciones académicas de Europa, Australia, de Microsoft y de la NATO.

El Twitter hashtag de la conferencia es #CPDP2015

Mayor información sobre los paneles y sesiones de la conferencia se encuentran en el portal de la Octava Conferencia Anual Computers, Privacy and Data Protection (CPDP 2015)

Accountability Instruments under Mexico’s Data Protection Framework

IAPP LogoMy article titled: “Accountability Instruments under Mexico’s Data Protection Framework” has been published in IAPP’s Privacy Tracker.
This article contains a synthesis of how Mexico implements the principle of Accountability in its national legal framework on data protection and provides an explanation on the scope of the Self-Regulation Parameters for Data Protection published by the Ministry of Economy on 29 May 2014.
The article concludes by providing an insight and a personal opinion on the future adoption of self-regulatory parameters (certification practices form accredited entities) for national businesses and organizations across Mexico during 2015.

Perspectivas sobre el Derecho al Olvido en Latinoamérica

IAPP recientemente publicó un artículo en donde ofrezco una breve reseña sobre lo que aconteció en el panel sobre la Sentencia del Tribunal de Justicia de la Unión Europea del 13 de Mayo de 2014 en la que participó el Director de Agencia Española de Protección de Datos José Luis Rodríguez y José Luis Piñar Mañas Profesor de la Universidad CEU-San Pablo de Madrid durante el XII Encuentro Iberoamericano sobre Protección de Datos Personales.
En este artículo doy una opinión sobre los posibles efectos de la sentencia del TSJ y sobre como las leyes de protección de datos en Latinoamérica podrían aplicarse para hacer valer ese derecho a los titulares de datos a nivel nacional.

El artículo se encuentra en idioma inglés en el portal de IAPP

IAPP Privacy After Hours Meeting in Mannheim

As part of the IAPP Privacy After Hours Meeting series, on Thursday October 23 at 19:00 hrs., we will hold our Privacy After Hours meeting at Joe Peña’s Mannheim. During this informal gathering, we will be talking about topics related with the privacy profession such as the role of CPO’s in times of cloud computing, big data, the European data protection regulation proposal and other topics that you deem relevant and important in the current context.

I look forward to meeting you there.

Cristos Velasco CIPP/E

Obtención de la Certificación CIPP/E de IAPP

Certificate CIPP/E CristosVMe honra informarles a clientes, mi red de contactos global, colegas y personas interesadas que siguen de cerca la información que incluyo en este blog, que el pasado 22 de Agosto obtuve la certificación “Certified Information Privacy Professional Europe (CIPP/E)” que ofrece la Asociación Internacional de Profesionales de Privacidad (IAPP).

Haber obtenido esta certificación no solo me permitirá incrementar mi red de contactos con expertos y profesionales de privacidad de la información ubicados en Alemania y en otros países europeos a través de IAPP, sino sobre todo demuestra mi compromiso con la especialidad y la temática y, en particular con la continua formación y actualización en materia de privacidad y protección de datos, que son áreas en constante evolución y que requieren de profesionistas comprometidos que puedan asesorar correcta y eficazmente a empresas y organizaciones en un entorno complejo, global y cambiante en donde cada vez mayor número de controladores y procesadores de datos están obligados a cumplir con una gran diversidad de leyes, regulaciones y estándares internacionales para proteger la información personal o simplemente para transferir datos e información de países con un régimen jurídico estricto como es Europa a otros regiones o países.

Asimismo, considero que esta certificación le dará un mayor valor agregado a la prestación de servicios de asesoría, capacitación y formación que actualmente ofrezco como consultor independiente a empresas y gobiernos.

Por último, me gustaría indicar que uno de los requisitos para mantener esta certificación y-quizá una de las mayores bondades de la credencial- es obtener cierto número de créditos por año, ya sea a través de participar en conferencias como ponente, llevar a cabo capacitaciones y entrenamientos, publicar y realizar actividades voluntarias enfocadas en las áreas de protección de datos y seguridad de la información, razón por la cual estaré mucho más activo durante los próximo años tanto en Europa como en Latinoamérica.

Atentamente,

Dr. Cristos Velasco CIPP/E

Nuevo Estándar de ISO sobre Cloud Computing

ISOimageRecientemente ISO dio a conocer un nuevo estándar ISO/IEC 27018 que establece lineamientos para el procesamiento de datos personales para prestadores de servicios de cómputo en la nube.

El nuevo estándar de ISO establece objetivos de control comúnmente aceptados, controles y directrices para la implementación de medidas para proteger lnformación Personal Identificable (IPI) de conformidad con los principios de privacidad contenidos en la norma ISO/IEC 29100 para la computación en nube pública.

Adicionalmente, el estándar especifica directrices basadas en la norma ISO/IEC 27002, teniendo en cuenta los requisitos normativos para la protección de IPI que podrían ser aplicables en el contexto del entorno de riesgo para la seguridad de la información de un proveedor de servicios de nube pública.

El nuevo estándar es aplicable a todos los tipos y tamaños de organizaciones, incluidas las empresas públicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro, que ofrecen servicios de procesamiento de información como procesadores IPI a través de la computación en nube bajo contrato con otras organizaciones. El estándar también podría ser relevante para las organizaciones que actúan como controladores de IPI.

Cabe señalar que este estándar es de carácter voluntario y para que una organización pueda certificarse, el prestador de servicios de cómputo en la nube deberá ser sujeto a auditorías por parte de una institución certificadora debidamente acreditada y subsecuentemente los proveedores de servicios de nube serán sujetos a revisiones periódicas por parte de terceros.

El nuevo estándar ISO/IEC 27018 es de gran relevancia para México pues podría complementar en gran medida las obligaciones sobre tratamiento de datos personales por parte de prestadores de servicios de cómputo en la nube contenidas en los Arts. 52 a 55 del Reglamento de la Ley Federal de Protección de Datos en Posesión de los Particulares, sin embargo tendremos que monitorear la aceptación que tendrá este nuevo estándar entre empresas de cómputo en la nube en Europa y Estados Unidos.

Mayor información en:

The National Law Review

Inside Privacy Blog

Presentación de EBRC sobre el estándar ISO/IEC 27018 en Eurocloud Congress

Resultados del Taller sobre Legislación en materia de Ciberdelito en México y América Latina organizado por el CoE y la SRE

IMG_1536El pasado 2 de Abril concluyó el Taller de trabajo nacional y regional sobre Ciberdelincuencia que auspició el Consejo de Europa y la Secretaría de Relaciones Exteriores (SRE) bajo la coordinación de la Oficina de Estrategia Digital de la Presidencia de la República, de la Procuraduría General de la República (PGR) junto con el apoyo de la Comisión Nacional de Seguridad de la Secretaría de Gobernación (SEGOB), que se llevó a cabo en las instalaciones de la SRE.

En el taller participaron expertos y representantes de distintos países con el propósito de discutir e impulsar el proceso de acceso al Convenio de Budapest por parte de México, así como temas relacionados con el combate a la ciberdelincuencia con representantes de los poderes Ejecutivo, Legislativo y Judicial de México, expertos del Consejo de Europa, del Departamento de Justicia de los EUA, de la Organización de los Estados Americanos, así como representantes de los Ministerios de Justicia y Autoridades de nueve países de América Latina.

Entre los temas que se abordaron estuvieron: cybercrime_conf_2012_157px

• El impacto y la gravedad de los ciberdelitos
• La perspectiva y posicionamiento del Poder Ejecutivo, Judicial y Legislativo en México frente a la ciberdelincuencia
• Aspectos sustantivos, procedimentales del Convenio de Budapest
• Opciones y reservas permitidas conforme al Convenio de Budapest
• Cadena de custodia y evidencias electrónicas
• Estado actual de la legislación sustantiva y procedimental de los países de Latinoamérica
• Acceso a datos por parte de autoridades investigadoras y cooperación con el sector privado
• Salvaguardias y protección de los derechos fundamentales, incluyendo la protección de datos
• Opciones y experiencias de otros países para acceder al protocolo de adhesión al Convenio de Budapest

En la sesión de clausura Alexander Seger, Secretario del Comité del Convenio sobre Ciberdelincuencia del Consejo de Europa calificó el evento organizado en México como algo histórico, inédito y jamás antes visto en otros países puesto que se logró reunir a representantes de alto nivel de los tres poderes de la Unión en México, así como representantes y autoridades de los nueve países de América Latina, del sector privado, académico y la sociedad civil.

Los representantes de los tres Poderes de la Unión coincidieron en que existen las condiciones políticas y jurídicas necesarias para que a más tardar el próximo periodo legislativo, México pueda acceder formalmente al Convenio de Budapest.

Mi impresión es que el taller de trabajo fue un evento muy bien organizado y donde se demostró que en México si existe una coordinación muy eficaz entre los distintos representantes de los tres poderes del gobierno y los distintos actores para poder sacar adelante un tema que es prioritario y que nos atañe a todos para poder proteger la integridad de los sistemas de cómputo y el patrimonio e integridad del cibernauta en contra del ciberdelito desde distintos frentes, dentro de un marco que brinde certeza jurídica, protección y salvaguarda de los derechos humanos y utilizando mecanismos efectivos de cooperación internacional, que han sido debidamente probados a nivel internacional.

Desde mi perspectiva, no solo basta contar con un marco jurídico y de cooperación nacional e internacional eficiente, sino que paralelamente se deben desarrollar y promover el uso de capacidades como son el entrenamiento y la capacitación especializada a autoridades investigadoras, Jueces y Magistrados en temas relacionados con el uso de la evidencia electrónica, la identificación de delitos y conductas que atenten contra la integridad de los menores de edad, salvaguardando la protección de los derechos fundamentales conforme a los tratados internacionales, la legislación y la jurisprudencia y precedentes existentes, así como implementar medidas de educación y concientización ciudadana para informar y educar bien a los ciudadanos sobre los peligros inherentes al ciberdelito.

Mayor información acerca de este taller de trabajo se encuentra en:

Nota de prensa de la PGR del 1º de Abril de 2014

Nota de prensa de la SRE del 3 de Abril de 2014

Nota de prensa de la PGR del Jueves 3 de Abril de 2014

Nota de prensa de Milenio del 3 de Abril de 2014

Nota de prensa de Yahoo del 1º. de Abril de 2014

Nota de prensa del diario Excélsior del 31 de Marzo de 2014

Taller sobre Legislación en materia de Ciberdelincuencia en México y América Latina organizado por el CoE y la SRE

El próximo 31 de Marzo del presente se llevará a cabo en las instalaciones de la Secretaría de Relaciones Exteriores un taller sobre el estado de la legislación sustantiva y procedimental en materia de ciberdelitos en México, cuyo propósito es evaluar y analizar las disposiciones actuales con el objeto de facilitar y expeditar el proceso de armonización de la legislación y de la adhesión de México al Convenio sobre Cibercriminalidad del Consejo de Europa. En este taller participarán funcionarios de la SRE y de la Presidencia de la República, legisladores, autoridades investigadoras y expertos del Consejo de Europa.

Los días 1 y 2 de Abril se llevará a cabo otro taller para analizar y evaluar exclusivamente la legislación sustantiva y procedimental de nueve países de América Latina (Argentina, Chile, Colombia, Costa Rica, México, Panamá, Paraguay, Perú y República Dominicana) con el propósito de que un mayor número de países se adhieran al Convenio de Budapest.

Durante los dos días, se analizarán aspectos relacionados con el ciberdelito, entre ellos: evidencias electrónicas, la cadena de custodia, salvaguardas y derechos fundamentales, aspectos de cooperación internacional, interoperabilidad y de asistencia técnica con la participación de expertos, autoridades investigadoras, legisladores y funcionarios de alto nivel de dichos países, incluyendo funcionarios de la Organización de los Estados Americanos y del Departamento de Justicia de los Estados Unidos. En este taller también se hablará sobre la experiencia de la República Dominicana y Panamá al ratificar el instrumento de adhesión del Convenio de Budapest, así como los pasos y procedimientos que los demás países en Latinoamérica pueden seguir para adherirse al propio Convenio.

El programa preliminar de los tres días del taller se encuentra disponible en la página del Consejo de Europa.