Tuve la oportunidad de participar como ponente en este taller de trabajo.
La descripción en inglés del workshop, el formato y la lista final de los ponentes confirmados la transcribo a continuación:

“Data privacy on a global scale: keeping pace with an evolving (ISOC)
Room VI
Thematic Workshop

The WSIS Forum 2012 offers a timely opportunity to bring together insights and ideas from various initiatives presently underway across the world to review, modernize and/or develop new approaches to privacy to keep pace with the evolving global data environment. Building on that experience sharing, this workshop seeks to explore potential gaps in current frameworks, issues surrounding interoperability, and some possible ways forward.
Background

In 2009, the 31st International Conference of Data Protection and Privacy Commissioners (“Conference”) produced a Joint Proposal for a Draft of International Standards on the Protection of Privacy with regard to the processing of Personal Data (“the Madrid Resolution”). In 2010, the 32nd Conference adopted a Resolution calling for the organization of an intergovernmental conference with a view to developing a binding international instrument on privacy and the protection of personal data.

In 2011, the Organisation for Economic Co-operation and Development (OECD) published Thirty Years After The OECD Privacy Guidelines with terms of reference for the review of OECD guidelines, and started its review. The Asia-Pacific Economic Cooperation (APEC) adopted the APEC Cross-Border Privacy Rules (CBPR) System. The UN Educational, Scientific and Cultural Organization (UNESCO) also commenced research on a global survey of Internet privacy laws and regulations.

In 2012, the Council of Europe released proposals for the modernization of Convention 108. The European Commission “proposed a major reform of the EU legal framework on the protection of personal data” that would “… strengthen individual rights and tackle the challenges of globalization and new technologies”.

Further, at the national level, many countries introduced new privacy laws (e.g. Mexico and Peru) or proposed changes to their existing legal frameworks (e.g. US – where the Obama Administration recently released the Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy report).

At the same time, considerable work is happening in other spheres – business, technical, academic, civil society, users etc. – aimed at providing better solutions and guidance for online privacy.

Format
The format will be an interactive roundtable discussion with all interested participants. Panelists will be asked to address specific issues and audience participants will also be encouraged to actively participate.

Panelists:

• Mr. Joseph Alhadeff, VP Global Policy and Chief Privacy Strategist, Oracle
• Mr. Michael Donohue, Senior Policy Analyst, Organisation for Economic Co-operation and Development (OECD), France
• Mr. Petru Dumitriu , Head of the Council of Europe Office in Geneva and Permanent Observer to the United Nations Office and other international organizations in Geneva, Switzerland
• Ms. Xianhong Hu, Division for Freedom of Expression and Media Development, Communication and Information Sector, United Nations Educational Scientific and Cultural Organizaton (UNESCO), France
• Ms. Christine Runnegar , Senior Policy Advisor, Internet Society (on behalf of the Asia-Pacific Economic Cooperation Electronic Commerce Steering Group Data Privacy Sub-Group), Switzerland
• Mr. Cristos Velasco, Founder and Director of the North American Consumer Project on Electronic Commerce (NACPEC) and Founder and Director of Protección Datos México (ProtDataMx), México
• Mr. Rigo Wenning , Staff Counsel and Privacy Activity Lead, World Wide Web Consortium (W3C), France

La sede de la 34ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad será en el Hotel Conrad de Punta del Este, Maldonado. Los temas de las sesiones plenarias y de algunos de los paneles que formarán parte de la agenda preliminar se encuentran en el siguiente vínculo.

Como cada año, se llevará a cabo un día antes de la conferencia principal, la reunión anual de organizaciones de la sociedad civil conocida como The Public Voice.
Los temas y la agenda preliminar para esta reunión exclusiva de representantes de organismos de la sociedad civil se discutirá y aprobará en los próximos meses por un Comité Organizador compuesto de ONG’s de distintos países, incluyendo ONG’s de Latinoamérica.

Si trabajas en alguna organización de consumidores u organismo de la sociedad civil especializado en derechos humanos en Latinoamérica o te encuentras realizando investigaciones relacionadas con los derechos de privacidad y políticas en materia de protección de datos y su aplicación al entorno tecnológico actual, y crees que puedes aportar algo novedoso o valioso a la discusión internacional en la materia, envíanos un correo a la siguiente dirección: info@protecciondatos.mx

En primera instancia, consideramos importante explicar que son las «medidas compensatorias» en materia de protección de datos y el marco legal que las sustenta.

Las «medidas compensatorias» son mecanismos alternos de comunicación que permiten y facilitan a una compañía u organización responsable difundir el aviso de privacidad de manera generalizada y masiva a los titulares involucrados en el tratamiento de datos personales cuando el responsable le resulta imposible poner a disposición de cada titular, de manera directa o personal, el aviso de privacidad.

Las «medidas compensatorias» tiene como principal propósito, que las personas conozcan puntualmente -a través de medios masivos de comunicación y mecanismos de largo alcance- los términos y condiciones bajo los cuales están siendo tratados sus datos personales y los medios que ofrece la compañía u organización responsable para el ejercicio de los derechos ARCO (acceso, rectificación, corrección y oposición), a través del aviso de privacidad.

El Artículo 32, primer párrafo del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), señala que el responsable podrá instrumentar medidas compensatorias, a través de los medios reconocidos en el Artículo 35 de dicho Reglamento, sin requerir la autorización expresa del IFAI, de acuerdo con los criterios generales que expida dicha autoridad, mismos que serán publicados en el Diario Oficial de la Federación.

De conformidad con lo dispuesto por los Artículos 18, tercer párrafo de la LFPDPPP y 34 de su Reglamento, para la autorización de la instrumentación de medidas compensatorias, el IFAI debe tomar en cuenta (i) el número de titulares; (ii) la antigüedad de los datos; (iii) la capacidad económica del responsable; (iv) el ámbito territorial y sectorial de operación del responsable; y (v) la medida compensatoria a utilizar.

Los Criterios Generales publicados por el Pleno del IFAI contienen diecisiete Artículos divididos en cuatro Capítulos y un Artículo Transitorio que señala su entrada en vigor.

El Capítulo Primero relativo a Disposiciones Generales está compuesto por los Artículos Primero a Cuarto. El Artículo primero describe el objeto de los criterios generales. El Artículo Segundo describe la naturaleza y objeto de las medidas compensatorias. El Articulo Tercero contiene una lista de definiciones que complementan las definiciones previstas en los Artículos 3º de la LFPDPPP y 2º de su Reglamento. El Artículo Cuarto establece el ámbito de aplicación y observancia obligatoria en todo el territorio nacional, para los responsables que requieran difundir el aviso de privacidad a través de medidas compensatorias a las que refieren el Artículo 18, último párrafo de la LFPDPPP, sin que para ello sea necesaria la autorización expresa del IFAI.

El Capítulo Segundo relativo a los supuestos y condiciones para la aplicación de los criterios generales está conformado por los Artículos Quinto a Décimo. El Artículo Quinto contiene una disposición relacionada con el cumplimiento del principio de calidad. El Artículo Sexto contiene lo supuestos para la aplicación de los Criterios Generales que aplicarán sólo en los casos en que el responsable haya obtenido los datos personales antes del vencimiento del plazo para emitir los avisos de privacidad, establecido por el Artículo Tercero Transitorio de la LFPDPPP, ya sea que los haya obtenido personal o directamente de sus titulares, o bien de forma indirecta. El Artículo Octavo regula los casos que no actualicen los supuestos y condiciones de los criterios generales. El Artículo Noveno establece la carga de la prueba, por medio del cual, el IFAI puede solicitar al responsable que haya instrumentado medidas compensatorias en el marco de los criterios generales y que acredite la actualización de los supuestos y condiciones establecidos en los mismos. El Artículo Décimo establece la vigencia de la medida compensatoria.

El Capítulo Tercero relativo a los elementos informativos, está conformado por los Artículos Undécimo a Decimocuarto. El Artículo Undécimo establece los elementos informativos que debe contener del aviso de privacidad a través de la instrumentación de una medida compensatoria. El Artículo Duodécimo establece las características que debe contener el aviso de privacidad, cuando el nombre o la denominación comercial del responsable haya cambiado a través del tiempo. El Artículo Decimotercero establece la obligación de incluir una descripción de las finalidades del tratamiento a través de la medida compensatoria. El Artículo Decimocuarto establece que el aviso de privacidad que el responsable ponga a disposición de los titulares, deberá referirse de manera específica a las características del tratamiento al que son sometidos en la actualidad los datos personales a los que aplica la medida compensatoria.

El Capítulo Cuarto relativo a los medios para comunicar el aviso de privacidad, está conformado por los Artículos Decimoquinto a Decimoséptimo. El Artículo Decimoquinto, establece los medios para comunicar el aviso de privacidad que pueden ser: (i) diarios de circulación nacional; (ii) diarios locales o revistas especializadas; (iii) página de Internet del responsable; (iv) hiperenlaces o hipervínculos situados en una página de Internet del IFAI; (v) carteles informativos; (vi) cápsulas informativas radiofónicas, y (vii) otros medios alternos de comunicación masiva. El Articulo Decimosexto establece en tres incisos los factores para la selección de los medios de publicación del aviso de privacidad a través de medidas compensatorias. Finalmente, el Artículo Decimoséptimo establece en seis fracciones, los criterios para la publicación del aviso de privacidad en los diferentes medios.

El documento enviado por la Misión Permanente de México ante la OEA consta de 24 páginas y refleja el estado actual de la legislación federal sobre protección de datos en posesión de los particulares, la legislación estatal sobre protección de datos, así como los grupos de trabajo sobre la materia de organismos internacionales y regionales en donde participa el gobierno Mexicano.

Recomendamos la lectura de este documento por que detalla puntualmente cuales son las legislaciones vigentes en materia de acceso a la información y protección de datos en la República Mexicana y describe algunos otros aspectos primordiales de la LFPDPPP y su Reglamento, como por ejemplo respecto a la aplicación de dichas reglas en el ámbito del cloud computing.

Información y antecedentes relacionados con este cuestionario de la OEA se encuentra en el Blog de Privacidad y Protección de Datos Personales, entrada de fecha 12 de Julio de 2010.

A continuación, me permito hacer algunos comentarios y exponer algunos puntos de vista del contenido de dicho Proyecto de Decreto aprobado por la Cámara de Diputados la semana pasada.

«Art. 205 Bis. …
k) Quien se valga del uso o empleo de medios informáticos para generar relación de confianza o amistad con la víctima.»

Al interpretar esta disposición del Código Penal Federal (CPF), se desprende que la carga de la prueba será para la persona imputada de haber cometido el delito de trata de personas. Para poder hacer efectiva la sanción contenida en este artículo, deberá reconocerse como prueba el uso y aceptación de medios informáticos o electrónicos en el Código Federal de Procedimientos Penales (CFPP), de lo contrario la reforma de este artículo podría verse seriamente limitada por la falta de una disposición expresa en la legislación procedimental penal federal que reconozca el uso y admisión de medios informáticos o electrónicos como medios de prueba en materia penal.

«Artículo 211 Bis. A quien revele, divulgue o utilice indebidamente o en perjuicio de otro, información o imágenes obtenidas en una intervención de comunicación privada, se le aplicarán sanciones de seis a doce años de prisión y de trescientos a seiscientos días multa.

Se impondrán las mismas penas que refiere el párrafo anterior a quien revele, divulgue o utilice indebidamente o en perjuicio de otro, información, conversaciones o mensajes de texto, imágenes o archivos de voz, contenidos en sistemas o equipos informáticos, obtenidos a través de mecanismos distintos a la intervención de comunicación privada, mediante el empleo de aparatos o dispositivos electrónicos fijos o móviles o a través de la suplantación de identidad.»

La reforma a este artículo pretende penalizar y castigar la divulgación y el mal uso de información obtenida a través de mecanismos distintos a la intervención judicial de comunicaciones privadas, es decir, sancionaría a cualquier persona que intervenga conversaciones, mensajes y archivos contenidos en sistemas y equipos informáticos y a través del uso de dispositivos fijos o móviles e inclusive a través de la suplantación de identidad.

Toda vez que el CPF no tipifica aún la figura de la suplantación de identidad, valdría la pena incluir una reforma que sancione y castigue expresamente la suplantación de identidad a nivel federal, independientemente del medio utilizado para llevar a cabo dicha usurpación. El Art. 211 Bis del Código Penal para el Distrito Federal podría servir como base para la redacción de esta disposición, por medio de cual se buscaría sancionar y castigar el robo de identidad, uno de los delitos más comunes y con mayores índices de incidencia en Norteamérica.

«Artículo 211 Bis 1. Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa.

Se aplicará una pena de tres meses a un año de prisión y de cincuenta a ciento cincuenta días multa al que sin autorización acceda, modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática que no estén protegidos por algún mecanismo de seguridad o también sin autorización acceda a dichos sistemas o equipos de informática o mediante cualquier mecanismo que de manera próxima o remota les cause un daño.

En los casos en que el daño provocado por el acceso o la modificación no autorizados obstaculice o disminuya la capacidad de funcionamiento del sistema o equipo informático las penas previstas en los párrafos anteriores se incrementarán hasta en dos terceras partes.

Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa.

La pena aplicable será de tres meses a un año de prisión y de cincuenta a ciento cincuenta días multa al que sin autorización conozca o copie información contenida en sistemas o equipos de informática no protegidos por algún mecanismo de seguridad.»

Estamos de acuerdo en que se tipifique como delito el acceso ilícito y la destrucción o modificación de sistemas de cómputo y equipo de informática protegidos por algún mecanismo de seguridad, tal y como lo prevén los artículos 2º , 3º y 4º del Convenio sobre Cibercriminalidad del Consejo de Europa, mejor conocido como el «Convenio de Budapest». Sin embargo, consideramos que las penas de prisión y multas son relativamente bajas considerando que se pueden acceder y comprometer sistemas de cómputo y de informática que pueden tener una gran valor comercial, sobre todo para las pequeñas y medianas empresas en México que son la gran mayoría.

Igualmente, consideramos que la penas de prisión y multa establecidas en el penúltimo y último párrafo de la propuesta de reforma son muy bajas, quizá deberían de incrementarse por lo menos al triple con el propósito de disuadir su comisión.

«Artículo 211 Bis 2. Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, se le impondrán de uno a cuatro años de prisión y de doscientos a seiscientos días multa.

Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad o también sin autorización acceda a dichos sistemas o equipos informáticos o mediante cualquier mecanismo que de manera próxima o remota les cause un daño, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa.

A quien sin autorización, conozca, obtenga, copie o utilice información contenida en cualquier sistema, equipo o medio de almacenamiento informáticos de seguridad pública, protegido por algún medio de seguridad o también sin autorización acceda a dichos equipos o medios o mediante cualquier mecanismo les cause un daño, se le impondrá pena de cuatro a diez años de prisión y multa de quinientos a mil días de salario mínimo general vigente en el Distrito Federal. Si el responsable es o hubiera sido servidor público en una institución de seguridad pública, se impondrá además, destitución e inhabilitación de cuatro a diez años para desempeñarse en otro empleo, puesto, cargo o comisión pública.

En los casos en que el daño provocado por el acceso o la modificación no autorizados o por cualquier mecanismo empleado obstaculice o disminuya la capacidad de funcionamiento del sistema o equipo informático las penas previstas en los párrafos anteriores se incrementarán hasta en dos terceras partes.»

En general, estamos de acuerdo con el contenido y alcance de este artículo, pero de nuevo, insistimos en que las penas y sanciones establecidas siguen siendo relativamente bajas, más aún cuando se trata de modificación, destrucción o perdida de información contenida en sistemas de cómputo propiedad de entidades y órganos gubernamentales a nivel federal. Valdría la pena conocer la postura del órgano regulador de las telecomunicaciones (COFETEL), así como la del órgano regulador nacional en materia de acceso a la información y protección de datos (IFAI) respecto al monto de las multas y sanciones establecidas en esa disposición pues serán algunos de los órganos gubernamentales federales que administran y manejan sistemas y bases de datos con información confidencial y reservada.

«Artículo 211 Bis 4. Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa.

Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa.

Las penas establecidas en los párrafos anteriores se incrementarán hasta en dos terceras partes y se impondrán sin perjuicio de las que resulten aplicables por la comisión de otros delitos al que realice, para beneficio propio o de cualquier tercero, las conductas que describen los párrafos anteriores con la finalidad de realizar o encubrir las operaciones con recursos de procedencia ilícita a que se refiere el párrafo primero del artículo 400 Bis de este ordenamiento.»

Estamos de acuerdo con el contenido y alcance del último párrafo del Artículo 211 Bis 4.

«Artículo 211 Bis 5. Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente modifique, destruya o provoque pérdida de información que contengan, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa.

Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente copie información que contengan, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa.
Las penas previstas en este artículo se incrementarán en una mitad cuando las conductas sean cometidas por funcionarios o empleados de las instituciones que integran el sistema financiero.

Las penas establecidas en los párrafos primero y segundo de este artículo se incrementarán hasta en dos terceras partes y se impondrán sin perjuicio de las que resulten aplicables por la comisión de otros delitos al que realice, para beneficio propio o de cualquier tercero; las conductas que describen los párrafos anteriores con la finalidad de realizar o encubrir las operaciones con recursos de procedencia ilícita a que se refiere el párrafo segundo del artículo 400 Bis de este ordenamiento.»

Estamos de acuerdo con el contenido y alcance del último párrafo de este articulo pues lo que se pretende es tipificar el delito de blanqueo de capitales y disuadir operaciones financieras ilícitas a nivel nacional, cuando son cometidas en beneficio de alguna persona o de un tercero. Vale la pena señalar que uno de los delitos que más ha sacado provecho de Internet es el blanqueo de capitales, mejor conocido como «lavado de dinero», por medio del cual los criminales realizan transferencias inmediatas de dinero, fondos y capitales, a través de distintos cuentas bancarias ubicadas en paraísos fiscales, aprovechándose de distintos factores, tales como la dificultad de rastrear el origen y destino de las transacciones; la utilización de identificaciones y datos falsos para ocultar el destino de los fondos; y el anonimato del que gozan, sobre todo en países donde se privilegia el secreto bancario.

Es importante destacar que el Consejo de Europa actualmente esta instando a los países que forman parte del Convenio de Budapest a que reformen sus marcos jurídicos penales sustantivos para poder tipificar el delito de blanqueo de capitales cometido a través del uso de sistemas de cómputo e Internet por lo que la reforma a este artículo vendría a darse en muy buen momento.

«Artículo 211 Bis 7. Las penas previstas en este capítulo se aumentarán hasta en una mitad cuando la información obtenida se utilice en provecho propio o ajeno, salvo en los casos que se disponga otra pena.»

Estamos de acuerdo con el contenido y alcance del último párrafo de este Artículo.

«Artículo 282. Se aplicará sanción de tres días a un año de prisión o de 180 a 360 días multa:

I. Al que de cualquier modo amenace a otro con causarle un mal en su persona, en sus bienes, en su honor o en sus derechos, o en la persona, honor, bienes o derechos de alguien con quien esté ligado con algún vínculo;

II. Al que por medio de amenazas de cualquier género trate de impedir que otro ejecute lo que tiene derecho a hacer;

III. Al que amenace a otro con causarle un mal en su persona, en sus bienes, en su honor o en sus derechos, o en la persona, honor, bienes o derechos de alguien con quien esté ligado con algún vínculo, haciendo uso o empleo de comunicados o mensajes enviados a través de medios o sistemas informáticos o le amenace con divulgar la información, datos o imágenes obtenidos a través del acceso ilícito a dichos medios o sistemas informáticos en los términos que refiere el artículo 211 Bis 1.

Si el ofendido fuere alguno de los parientes o personas a que se refieren los artículos 343 Bis y 343 Ter, en este último caso siempre y cuando habiten en el mismo domicilio, se aumentará la pena que corresponda hasta en una tercera parte en su mínimo y en su máximo.

Si el ofendido por la amenaza fuere víctima u ofendido o testigo en un procedimiento penal, la pena será de cuatro a ocho años de prisión y de cien a trescientos días multa.

Los delitos previstos en este artículo se perseguirán por querella, con excepción del establecido en el párrafo anterior que se perseguirá de oficio.»

El delito que se pretende tipificar son las amenazas cometidas a través del uso de medios o sistemas de comunicación e informática. Vale la pena señalar, que el delito tradicional de amenazas, es bastante difícil de probar en la querella penal. Ahora bien, tratándose de delitos de amenazas en donde se utilicen como medio sistemas informáticos, comunicados y correos electrónicos, consideramos que será todavía más difícil comprobarlos en un juzgado penal sobre todo tomando en cuenta que el CFPP no reconoce el uso y admisión de medios informáticos o electrónicos como medios de prueba en materia penal. Al igual que mi comentario al Art. 205 Bis, considero que para poder hacer efectiva la sanción contenida en la propuesta del Art. 211 Bis del CPF, deberá proponerse una reforma al CFPP, de lo contrario, la reforma a este artículo podría verse seriamente limitada por la falta de una disposición expresa que reconozca el uso y admisión de medios informáticos o electrónicos como medios de prueba en la legislación procesal federal.

«Artículo 389 Ter. Se equipara al delito de fraude y se sancionará con pena de seis meses a tres años de prisión y de cien a cuatrocientos días multa, sin perjuicio de las penas que correspondan por la comisión de otros delitos, al que valiéndose del error en que se encuentra la víctima provoque que revele o ponga a su disposición información o datos de carácter personal, patrimonial o financiero a los que no tenga derecho a acceder, utilizando para tales fines sitios o direcciones de correo u otros medios electrónicos creados por él mismo o por un tercero y que por sus características, emblemas, marcas o cualquier distintivo gráfico o de leyendas de texto simulen o reproduzcan de manera apócrifa e ilegitima a las que pertenecen a los prestadores de servicios financieros o de cualquier otro tipo de carácter público o privado que brinde atención o establezca contacto con sus clientes, usuarios o público en general por dichos medios.

Además de las penas que correspondan conforme al presente artículo, se impondrán las penas que establece el artículo 386 de este Código, al que mediante el uso o empleo de la información o datos obtenidos por los medios descritos en el párrafo anterior, obtenga algún beneficio, cosa o lucro indebido, según sea el valor o monto de lo obtenido.»

El texto propuesto pretende penalizar el delito conocido como «phishing». En general estamos de acuerdo con la adición de esta disposición y con la redacción del texto propuesto. Sin embargo, habría que vincularlo de alguna forma con lo dispuesto en los artículos 112 Bis y 113 Bis de la Ley de Instituciones de Crédito, disposiciones que prohíben y sancionan la obtención y el uso de información de clientes o transacciones del sistema financiero, sin tener la correspondiente autorización con penas que van de los 3 a 10 años y con multas de 30,000 hasta 300,000 días de salario mínimo vigente.

«Artículo 390. Al que sin derecho obligue a otro a dar, hacer, dejar de hacer o tolerar algo, obteniendo un lucro para sí o para otro o causando a alguien un perjuicio patrimonial, se le aplicarán de dos a ocho años de prisión y de cuarenta a ciento sesenta días multa.

Las penas que refiere el párrafo anterior se aumentaran hasta en una mitad al que para lograr los fines que refiere el párrafo anterior haga empleo o uso de comunicados o mensajes que envíe a la víctima a través de medios o sistemas informáticos o se valga de la información, datos o imágenes obtenidos a través del acceso ilícito a dichos medios o sistemas informáticos en los términos que refiere el artículo 211 Bis 1.

Las penas se aumentarán hasta un tanto más si el constreñimiento se realiza por una asociación delictuoso, o por servidor público o ex-servidor público, o por miembro o ex-miembro de alguna corporación policial o de las Fuerzas Armadas Mexicanas. En este caso, se impondrá además al servidor o ex-servidor público y al miembro o ex-miembro de alguna corporación policial, la destitución del empleo, cargo o comisión y la inhabilitación de uno a cinco años para desempeñar cargo o comisión público, y si se tratare de un miembro de las Fuerzas Armadas Mexicanas en situación de retiro, de reserva o en activo, la baja definitiva de la Fuerza Armada a que pertenezca y se le inhabilitará de uno a cinco años para desempeñar cargos o comisión públicos. »

Al igual que mis comentarios a los Art. 205 Bis y 211 Bis del CPF, considero que para poder hacer realmente efectiva la sanción contenida en la propuesta de reforma de este artículo, deberá proponerse una reforma al CFPP, de lo contrario, la reforma a este artículo podría verse seriamente limitada por la falta de una disposición expresa que reconozca el uso y admisión de medios informáticos o electrónicos como medios de prueba en la legislación procesal federal.

«Artículo 211 Bis 5. Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente modifique, destruya o provoque pérdida de información que contengan, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa.

Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente copie información que contengan, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa.

Las penas previstas en este artículo se incrementarán al doble cuando las conductas sean cometidas por funcionarios o empleados de las instituciones que integran el sistema financiero.»

Estamos de acuerdo con la propuesta de incrementar las penas en el párrafo propuesto. Ver mis comentarios al Artículo 211 Bis 5.

Comentarios y Reflexiones Finales

Considero que la reforma aprobada por la Cámara de Diputados, aún y cuando actualiza los supuestos de algunos de los delitos previstos en el CPF como son el fraude, la extorsión, el acceso ilícito, la divulgación y el mal uso de información obtenida a través de sistemas de cómputo, esa iniciativa no incluye en forma total el catálogo de delitos previstos en la Sección 1 del Capítulo II del «Convenio de Budapest». Por ejemplo, se dejó completamente fuera tipificar como delitos «actos o medios preparatorios» que prevé el Convenio de Budapest en su Artículo 6º y que el Código Penal de Alemania (Strafgezetzbuch) tipifica y sanciona en forma muy específica en su parágrafo 202c.

Otra cuestión que se dejó completamente fuera de la reforma fue tipificar como delito la interrupción, destrucción o daño a medios e infraestructura pública, tales como redes de telecomunicaciones, redes de energía eléctrica e hidráulica, redes de transporte público, etc. Consideramos primordial incluir una reforma en el CPF para tipificar ese delito y sancionar con penas graves de prisión y multas considerables a los individuos que ataquen la infraestructura crítica propiedad del Estado, a través de la utilización de equipos y sistemas de cómputo e informática.

Otro aspecto muy importante que los legisladores dejaron fuera y que es un error que comúnmente cometen legisladores de otros países -como fue el caso de Argentina- es que se les olvidó incluir una reforma al marco procedimental penal, en particular me refiero al reconocimiento y admisión de pruebas y evidencias contenidas en formato electrónico o digital dentro del CFPP. Sin esta reforma, será casi imposible que los Ministerios Públicos, Jueces y Magistrados puedan darle seguimiento a investigaciones y denuncias sobre delitos cometidos en contra o a través de sistemas de cómputo e Internet. Considero de gran importancia, que paralelamente se haga una reforma al marco procedimental penal para que las disposiciones sustantivas aprobadas por la Cámara de Diputados puedan ejecutarse debidamente por los Ministerios Públicos, Jueces y Magistrados y en general por los órganos jurisdiccionales en materia penal, tal y como lo prevé la Sección 2, Título 1 (Arts. 14 y 15) relacionado con Medidas sobre Derecho Procesal del «Convenio de Budapest».

Estos son solo algunos de los aspectos que la reforma aprobada por la Cámara de Diputados no tomó en cuenta en su Proyecto de Decreto y que consideramos deberá darse la debida atención y seguimiento por parte de la Cámara de Senadores antes de ser aprobado para que la parte penal sustantiva relacionada con ciberdelitos pueda ser ejecutada correctamente por los órganos jurisdiccionales en materia penal a nivel nacional.

Por último, insistimos en la necesidad de aprobar paralelamente una reforma al marco procesal penal con el objeto reconocer el uso y admisión de medios informáticos o electrónicos como medios de prueba y evidencia dentro del Código Federal de Procedimientos Penales.

Atentamente,

Dr. Cristos Velasco
Fundador y Director
Protección Datos México (ProtDataMx)

Cabe señalar que el IFAI está muy interesado desde la última reunión de los Comisionados de Privacidad y Protección de Datos en que México forme parte del Convenio 108, que actualmente se encuentra sujeto a un proceso de reforma y de ser aprobado por el Consejo de Ministros del Consejo Europeo, México podría ser el primer país en Latinoamérica en adherirse a ese tratado europeo cuyo primordial objetivo, de acuerdo con su Articulo 1º es: «garantizar, en el territorio de cada Estado, a cualquier persona física sean cuales fueren su nacionalidad o su residencia, el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona («protección de datos»)».

Mayor información en:

Comunicado de prensa del IFAI # 37 del 25 de Marzo de 2012

b:Secure

Blog de Privacidad y Protección de Datos, entrada de fecha 3 de Diciembre de 2011

Es importante señalar que a diferencia de la Propuesta de Reglamento de la Comisión Europea sobre la protección de los individuos con respecto al procesamiento de datos personales y el libre flujo de dichos datos del 25 de Enero de 2012 que pretende reglamentar el derecho al olvido en sus artículos 17 y 18, este derecho como tal, no se encuentra aún expresamente regulado en las disposiciones de la Ley Federal de Protección de Datos en Posesión de los Particulares (LFPDPPP) y su Reglamento

Sin embargo, el Capítulo IV (Arts. 28 a 35) y el Capítulo VII (Arts. 45 a 58) de la LFPDPPP, así como el Capítulo VII (Arts. 87 a 108) y Capítulo VIII (Arts. 113 a 127) del Reglamento de la LFPDPPP, respectivamente, establecen los términos, plazos y procedimientos para el ejercicio de los derechos de acceso, rectificación, corrección y oposición (ARCO) ante las entidades responsables y ante el IFAI, en caso de falta de respuesta del responsable, incluyendo el derecho a la cancelación, oposición y el bloqueo de datos personales.

Hay quienes consideran que las solicitudes de borrado de información personal contenida en sitios, portales, blogs y motores de búsqueda es un mera extensión de los derechos ARCO; mientras que otros expertos, argumentan que se trata de un nuevo derecho que debería estar explícitamente previsto en las disposiciones reglamentarias respectivas para ser ejercido como tal. Sin embrago, en México, debido a la reciente publicación del Reglamento de la LFPDPPP y la conformación de la autoridad reguladora en materia de protección de datos, tendremos que esperar a que se den las primeras solicitudes de cancelación y borrado de información por parte de individuos interesados ante el propio IFAI, quien es la autoridad encargada de la protección de datos personales tanto en el sector público y privado; y sobre todo ver como se desarrollan los criterios de investigación y sanción por parte del IFAI en demandas y quejas relacionadas con el derecho al olvido de internautas mexicanos.

Mayor información sobre este tema se encuentra en ProtDataMx:

Entrada de fecha del 10 de Marzo de 2012

Entrada de fecha del 1º. de Agosto de 2011

Peter Fleischer’s Privacy Blog

Articulo del Profesor Jeffrey Rosen sobre Derecho al Olvido en Internet publicado en Stanford Law Review

BBC News

El Auto de la Audiencia Nacional destaca entre otros aspectos lo siguiente: “sostener que la indexación de datos procedentes de páginas web situadas en España, en relación con una información publicada en España, en base a una norma legal española, que afecta a datos de un ciudadano español y que fundamentalmente puede tener una repercusión negativa, a juicio del afectado, en su entorno personal y social sito en España (centro de intereses), tenga que defender la tutela de su derecho a la protección de datos en EEUU, por ser el lugar que el gestor del buscador ha elegido para ubicar los medios técnicos, colocaría a los afectados en una situación de especial vulnerabilidad e impediría o dificultaría enormemente la tutela eficaz de este derecho que podría resultar incompatible con el espíritu y finalidad que inspira la Directiva y, sobre todo, con una tutela eficaz de un derecho fundamental contenido en la Carta Europea de Derechos Fundamentales”.

Al solicitar formalmente una respuesta al Tribunal Europeo de Justicia, España pretende dilucidar y aclarar esta cuestión para todos los Estados Miembros de la Unión Europea.

Google, en cambio sostiene que todas las quejas presentadas en su contra relacionadas con el derecho al olvido en Internet, se trasladen al Estado de California EUA, donde el motor de búsqueda tiene la sede principal de sus negocios.

Mayor información en:

Nota de Prensa de AEPD sobre el auto de la Audiencia Nacional en el que plantea al Tribunal Europeo de Justicia diversas cuestiones prejudiciales sobre el ejercicio de derechos frente a buscadores de Internet .

Peter Fleischer’s privacy blog

PC World

El reportaje también incluye entrevistas a representantes de los organismos europeos encargados de la regulación sobre privacidad y protección de datos, tales como el Consejo de Europa y a algunos académicos, que se hicieron durante la Quinta Conferencia Anual Europea sobre Cómputo, Privacidad y Protección de Datos que se llevó a cabo en la ciudad de Bruselas el pasado 25 al 29 de Enero de 2012.

El reportaje se encuentra disponible en varios idiomas:

Español

English

Deutsch

En este artículo se incluye una sección sobre aspectos legales de privacidad en la recolección y el uso de información personal de empleados en donde el autor hace referencia a algunos puntos de vista sostenidos por el Director de ProtDataMx, Dr. Cristos Velasco mediante una entrevista telefónica. Entre algunos de los puntos de vista expresados por el Dr. Velasco se encuentran: “actualmente la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, publicada en el Diario Oficial de la Federación en Julio de 2010, determina las políticas de manejo de información entre individuos y organizaciones privadas, pero no queda claro cómo se normará la relación entre empleados y empresas, ya que en este caso la información sobre un empleado obtenida por una compañía no tiene fines comerciales o de lucro, que es uno de los supuestos de excepción que prevé dicha legislación”.

Mayor información en CNN Expansión .