Protección de Datos y Privacidad

El pasado 7 de Febrero del presente, la Comisión Europea, junto con la Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad, dieron a conocer una estrategia de ciberseguridad acompañada de una propuesta de Directiva de la Comisión sobre la Seguridad de las Redes y de la Información (SRI). De acuerdo con el comunicado de prensa de la Comisión Europea:
«La estrategia articula la visión de la UE sobre la ciberseguridad en torno a cinco prioridades:
1. la ciberresiliencia;
2. la reducción drástica de la delincuencia en la red;
3. el desarrollo de una política de ciberdefensa y de las capacidades correspondientes en el ámbito de la Política Común de Seguridad y Defensa (PCSD);
4. el desarrollo de los recursos industriales y tecnológicos necesarios en materia de ciberseguridad;
5. el establecimiento de una política internacional coherente del ciberespacio en la Unión Europea y la promoción de los valores europeos esenciales.»

Asimismo, la propuesta de Directiva sobre Seguridad de las Redes y de la Información prevé un conjunto de medidas, entre las que destacan las siguientes:

«a) los Estados miembros deben adoptar una estrategia de SRI y designar a una autoridad competente en la materia dotada de los recursos financieros y humanos adecuados para la prevención, la gestión y la resolución de riesgos e incidentes de SRI;
b) se creará un mecanismo de cooperación entre los Estados miembros y la Comisión que permitirá difundir alertas tempranas sobre riesgos e incidentes a través de una infraestructura segura, así como cooperar y organizar revisiones por homólogos periódicas;
c) los operadores de infraestructuras críticas de algunos sectores (servicios financieros, transportes, energía y sanidad), los facilitadores de servicios de la sociedad de la información (en particular, tiendas de aplicaciones, plataformas de comercio electrónico, servicios de pagos por Internet, computación en nube, motores de búsqueda y redes sociales) y las administraciones públicas deben adoptar prácticas de gestión de riesgos y comunicar los incidentes significativos de seguridad que se produzcan en relación con sus servicios principales.»

Ver boletín de prensa IP/13/94 del 7 de Febrero de 2013.

Agenda Digital Europea.

Recientemente me encontré con un artículo del investigador del Instituto de Investigaciones Jurídicas Miguel Carbonell titulado: «Internet y Privacidad» en donde el autor hace una excelente reflexión sobre la dificultad de separar el mundo digital y el mundo real particularmente cuando se sube información e imágenes a las redes sociales que pueden tener una repercusión en la reputación y vida laboral de las personas.

El artículo hace una referencia a la viabilidad de reconocer jurídicamente el derecho al olvido en Internet (mal llamado «derecho al olvido digital») y plantea una serie de preguntas (sin dar respuesta concretas) que han sido -entre otras tantas- el centro de debate en distintos foros internacionales y regionales, así como de análisis por algunos expertos y académicos de estudiar e investigar el tema.

El artículo concluye señalando que «En América Latina es probable que lleguemos tarde a ese debate (como lo hemos hecho en muchos de los de mayor actualidad, a los que solemos sumarnos con años o incluso décadas de retraso), pero sin duda hay que empezar a plantearlo». En este último apartado estoy en desacuerdo con el autor. Los países de América Latina no es que lleguen tarde al debate, al contrario, actualmente existe una gran concientización no solamente entre las autoridades reguladoras de la protección de datos en la región, sino también de un sector de organizaciones de la sociedad civil que desean hacer extensivo el derecho al olvido en el marco de su legislación nacional para que los ciudadanos puedan tener la posibilidad de solicitar el borrado de información que pudiera aparecer en distintas fuentes como portales, blogs, wikis, redes sociales o a través de la indexación de los motores de búsqueda y que pudiera causarles un perjuicio irreversible.

Cabe señalar que muchos países de la región cuentan con legislación sobre protección de datos para el sector privado desde hace algunos años como es el caso de Argentina y Uruguay y más reciente México, sin embargo la principal problemática radica en la forma en la que la legislación nacional es ejecutada en la practica por las autoridades reguladoras cuyo poder coercitivo muchas veces se ve limitado por la falta de recursos económicos y materiales suficientes, así como mecanismos y vínculos de cooperación efectivos con otras autoridades para realizar investigaciones de carácter transfronterizo particularmente cuando la empresa o el portal no tiene un domicilio físico o vínculo legal en el país en donde un ciudadano pretende hacer vale su derecho de oposición o cancelación de su información personal.

Mas allá de los conflictos jurisdiccionales que el derecho al olvido trae consigo –y que han sido uno de los principales puntos de debate en las demandas relacionadas con derecho al olvido entre la Agencia Española de Protección de Datos y Google-, el tema tiene además vertientes técnicas y regulatorias complejas que en el corto plazo será difícil implementar y resolver por empresas con presencia en Internet y autoridades reguladoras, respectivamente.

Cabe destacar que el derecho al olvido previsto como un derecho en el más reciente Proyecto de Propuesta de Reglamento de Protección de Datos del Parlamento Europeo (Art. 17) es una de las disposiciones que ha generando mayor controversia entre grupos empresariales americanos y los Comités Parlamentarios Europeos encargados de revisar y comentar el proyecto de propuesta de reglamento que inicialmente se originó en la Comisión Europea principalmente por los distintos enfoques de la regulación sobre libertad de expresión y el derecho a la privacidad entre Estados Unidos y la Unión Europea.

Finalmente, coincido con el Dr. Carbonell, en el sentido de que es necesario no solamente
«empezar a plantear el derecho al olvido» sino sobre todo comenzar a hacer uso de las disposiciones y mecanismos previstos en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento y esperar a ver como se dan y evolucionan los criterios del IFAI con respecto a peticiones relacionadas con la cancelación y el borrado de información y contenidos que pudieran ser perjudiciales en la esfera privada de los ciudadanos mexicanos y sobre todo, tratar de llevar los casos a la más alta esfera de los tribunales judiciales para que se puedan empezar a asentar los primeros precedentes en materia de derecho al olvido en Internet a nivel nacional.

Con respecto al tema sobre derecho al olvido, recomendamos ver la entrada de fecha 18 de Marzo de 2012 .

El IFAI reporta que México fue aceptado como la segunda economía integrante del Sistema de Reglas de Privacidad Transfronteriza (Cross-Border Privacy Rules CBPRs) del Foro de Cooperación Económica Asia-Pacífico (APEC), después de Estados Unidos.

El Sistema de Reglas de Privacidad Transfronteriza (CBPR) consiste en la adhesión a un sistema de reglas para implementar políticas de privacidad y mejores practicas consistentes con los requisitos de un programa de CBPR para que la información personal que recolecten o reciban organizaciones e instituciones pueda ser sujeta a transferencia transfronterizas entre los países que forman parte de APEC. Las políticas de privacidad y mejores practicas deben ser evaluadas por un agente responsable conocido como «Accountablility Agent» reconocido en APEC para el cumplimiento con los requisitos del CBPR. Una vez que la organización ha sido certificada para participar en el sistema CBPR, sus políticas de privacidad y practicas será obligatorias para la entidad participante y serán ejecutables por la autoridad reguladora correspondiente del país en el que se encuentra.

Información más detallada acerca de este sistema, recomendamos leer el documento que contiene las políticas, reglas y lineamientos de CBPRs de APEC (En inglés)

De acuerdo con la nota de prensa del IFAI «la incorporación de México se dio luego de un análisis exhaustivo a su marco normativo en materia de privacidad y protección de datos personales, por parte del Panel Conjunto de Supervisión del Sistema de CBPRs, cuya conclusión fue que cumple con los requisitos exigidos por este organismo para el tratamiento seguro de datos personales.»

El IFAI señala que «al ser México parte del Sistema podrá contar con terceros certificadores reconocidos ante APEC que validen las políticas y prácticas de privacidad y protección de datos personales de empresas mexicanas que busquen ofrecer servicios a otras economías de la región Asia-Pacífico.»

Vale la pena destacar que la aceptación formal de México al Sistema de Reglas de Privacidad Transfronteriza de APEC se da un momento muy puntual, precisamente a escasas tres semanas de que la Secretaría de Economía publicara los Parámetros para el correcto desarrollo de los esquemas de autorregulación vinculante a que se refiere el Artículo 44 de la Ley Federal de Proteccion de Datos en Posesión de los Particulares por medio del cual se espera que las empresas y organización del sector privado creen mecanismos adicionales que ayuden a proteger la información y los datos personales de mexicanos y que puedan complementar los principios de protección de datos y las disposiciones previstas en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, su Reglamento y los Lineamientos de Privacidad. Mayor información sobre los Parámetros para el correcto desarrollo de los esquemas de autorregulación vinculante, ver la siguiente entrada.

Recomendamos ver la siguientes información:

Nota de prensa IFAI del 4 de Febrero de 2013.

Nota de prensa de APEC Electronic Commerce Steering Commerce Group (ECSG) del 13 de Enero de 2013.

Entrada de fecha 19 de Noviembre de 2011.

Este lunes 28 de Enero se celebra por séptima ocasión el día internacional de la protección de datos 2013. Esta conmemoración fue creada conjuntamente por el Consejo de Europa y la Comisión Europea hace siete años con motivo del aniversario de la firma de la Convención para la protección de los individuos con respecto al procesamiento automático de datos personales (ETS 108) mejor conocido como el «Convenio 108» que continua en proceso de revisión y reforma por parte del Comité Consultivo del Consejo de Europa.

El día internacional de la protección de datos tiene como primordial objetivo concienciar a los organismos internacionales, autoridades de protección de datos, empresas y primordialmente a los ciudadanos en distintos países acerca de la importancia de proteger la privacidad del individuo y promover y difundir sus derechos y responsabilidades inherentes bajo el marco de la legislación existente, así como la difusión de mejores practicas para la recolección, tratamiento y procesamiento de datos personales en cualquier de sus modalidades.

Cada año, distintas organizaciones y asociaciones de los sectores público, privado y la sociedad civil en Estados Unidos, Canadá y México organizan sesiones informativas, seminarios, debates y presentaciones en diferentes ciudades para crear conciencia acerca de la importancia este derecho fundamental, sobre todo en el ámbito del uso de Internet, la telefonía móvil, las redes sociales y en entornos como cloud computing y el smart grid.

En Europa, a través de la iniciativa conocida como European Privacy & Data Protection Day se organizan eventos, conferencias y seminarios en distintas ciudades europeas.

Del 23 al 25 de Enero del presente se llevará a cabo en la ciudad de Bruselas, Bélgica la <a href=”http://www.cpdpconferences.org/”>sexta conferencia Computers, Privacy and Data Protection CPDP que organizan conjuntamente las Universidades Vrije de Bruselas, Universidad de Namur de Francia y la Universidad de Tilburg de Holanda.

El programa de este año está bastante completo e incluirá paneles relacionados con la propuesta de reforma sobre protección de datos de la Comisión Europea; retos sobre cooperación de agencias de protección de datos; debate transatlántico sobre privacidad al consumidor; uso de los datos por parte de las autoridades ejecutoras, cloud computing, percepciones publicas sobre privacidad y seguridad; cyberware y warfare, entre otros.

El viernes 25 de Enero de 11:45 a 13:00 horario de Bruselas habrá una sesión sobre protección de datos en Latinoamérica en donde participarán representantes del IFAI, del Departamento de Protección y Defensa del Consumidor del Ministerio de Justicia de Brasil, de la Superintendencia de Comercio e Industria de Colombia y de la Unidad Reguladora de Protección de Datos Uruguay.

El Twitter hashtag de la conferencia es: #CPDP2013

Mayor información en el portal de la sexta conferencia Computers, Privacy and Data Protection CPDP

El pasado 17 de Enero del presente, la Secretaría de Economía publicó en el Diario Oficial de la Federación los Lineamientos de Privacidad que tienen como objeto establecer el contenido y alcance de los avisos de privacidad de acuerdo con lo dispuesto en la LFPDPPP y su Reglamento. Los lineamientos constan de cinco capítulos con un total de cuarenta y un cláusulas y un anexo sobre buenas practicas que consiste en una serie de recomendaciones adicionales que puede contener el aviso de privacidad.

De acuerdo con la cláusula segunda, los lineamientos son de observancia obligatoria en toda la República Mexicana para las personas físicas o morales de carácter privado que traten datos personales en términos de la LFPDPPP y su Reglamento.

La cláusula tercera establece ocho definiciones que pretenden complementar las definiciones previstas en la LFPDPPP y su Reglamento, entre las más notables se encuentran «Cookies» y «Web beacons»

La cláusula décima establece que el aviso de privacidad debe ser un mecanismo de información eficiente y practico, deberá ser sencillo con información necesaria, expresado en español, con lenguaje claro y comprensible, y con una estructura y diseño, que facilite su entendimiento. Esta cláusula establece que el aviso de privacidad deberá:
I. No usar frase inexactas, ambiguas o vagas;
II. Tomar en cuenta para su redacción los perfiles de los titulares
III. No incluir textos o formatos que induzcan al titular a elegir una opción en especifico
IV. En caso de que se incluyan casillas para que el titular otorgue su consentimiento, no se deberán marcar previamente, y
V. No remitir a textos o documentos que no estén disponibles para el titular.

La cláusula décima primera establece los medios de difusión o reproducción del aviso de privacidad, entre los que se encuentran: formato físico, electrónico, óptico, sonoro, visual, o a través de cualquier otra tecnología que permita su eficaz comunicación. En todos los casos, el aviso de privacidad en cualquier de sus modalidades, deberá esta ubicado en un lugar visible y que facilite su consulta.

La cláusula décima quinta señala que el responsable deberá tomar las medidas necesarias y suficientes para garantizar que el aviso de privacidad dado a conocer al titular, sea respetado en todo momento por el o por terceros con los que guarde alguna relación jurídica, el responsable deberá comunicar el aviso de privacidad a los encargados y terceros a los que remita o transfiera datos personales, respectivamente.

De conformidad con la cláusula décima octava, el aviso de privacidad se podrá poner a disposición en tres diferentes modalidades:
(I) Aviso de Privacidad Integral;
(II) Aviso de Privacidad Simplificado;
(III) Aviso de Privacidad Corto.

La cláusula décima novena establece que el responsable podrá poner a disposición el aviso de privacidad en los siguientes casos:
I. Cuando los datos personales se obtengan personalmente del titular, el responsable deberá poner a su disposición el aviso de privacidad integral;
II. Cuando los datos personales se obtengan de manera directa o indirecta del titular, el responsable podrá poner a su disposición el aviso de privacidad integral o el simplificado, y
III. Cuando el espacio utilizado para la obtención de datos personales sea mínimo y limitado, de forma tal que los datos personales recabados o el especio para la difusión o reproducción del aviso de privacidad también los sean, se podrá utilizar la modalidad del aviso de privacidad corto.
El último párrafo de esta cláusula señala que el responsable podrá optar por cualquiera de las tres modalidades para la puesta a disposición de su aviso de privacidad, atendiendo las condiciones señaladas en el presente lineamiento con independencia de que estará obligado a contar con el aviso de privacidad integral.

La cláusula vigésima establece en doce incisos los elementos informativos que deberá contener el aviso de privacidad integral. Dichos elementos son los siguientes:
La identidad y domicilio del responsable que trata los datos personales;
II. Los datos personales que serán sometidos a tratamiento;
III. El señalamiento expreso de los datos personales sensibles que se tratarán;
IV. Las finalidades del tratamiento;
V. Los mecanismos para que el titular pueda manifestar su negativa para el tratamiento de sus datos personales para aquellas finalidades que no son necesarias, ni hayan dado origen a la relación jurídica con el responsable;
VI. Las transferencias de datos personales que, en su caso, se efectúen; el tercero receptor de los datos personales, y las finalidades de las mismas;
VII. La cláusula que indique si el titular acepta o no la transferencia, cuando así se requiera;
VIII. Los medios y el procedimiento para ejercer los derechos ARCO;
IX. Los mecanismos y procedimientos para que, en su caso, el titular pueda revocar su consentimiento al tratamiento de sus datos personales;
X. Las opciones y medios que el responsable ofrece al titular para limitar el uso o divulgación de los datos personales;
XI. La información sobre el uso de mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en su caso, y
XII. Los procedimientos y medios a través de los cuales el responsable comunicará a los titulares los cambios al aviso de privacidad.

La cláusula vigésima cuarta habla sobre la descripción de las finalidades del tratamiento de datos personales.

La cláusula vigésima quinta habla sobre el mecanismo para manifestar la negativa del tratamiento de los datos personales de los titulares.

La cláusula vigésima sexta establece los requisitos que el aviso de privacidad debe contener cuando el tratamiento involucra la transferencia nacional o internacional de datos personales. El aviso de privacidad debe contener la siguiente información:
I. Los terceros receptores o destinatarios de los datos personales, ya sea identificando cada uno de éstos por su nombre, denominación o razón social; o bien, indicando su tipo, categoría o sector de actividad, y
II. Las finalidades que justifican las transferencias de datos personales, las cuales deberán ser determinadas y distinguir entre aquéllas que requieren del consentimiento del titular para que se realicen, de las que se puedan llevar a cabo sin dicho consentimiento, de conformidad con lo que establece el artículo 37 de la Ley.

La cláusula vigésima octava establece el tipo de medios que debe incluir el responsable para atender las solicitudes de ejercicio de los derechos ARCO por parte de los titulares.
La cláusula vigésima novena establece el tipo de mecanismos y procedimientos que debe incluir el responsable para la revocar el consentimiento de los titulares.

La cláusula trigésima establece las opciones y medios para limitar el uso o divulgación de datos personales, distinto al ejercicio de los derechos ARCO o la revocación del consentimiento que el responsable deberá incluir en el aviso de privacidad, que podrán ser, entre otros:
I. La inscripción del titular en el Registro Público de Consumidores previsto en la Ley Federal de Protección al Consumidor y en el Registro Público de Usuarios conforme a la Ley de Protección y Defensa al Usuario de Servicios Financieros
II. El registro del titular en listados de exclusión propios del responsable, sectoriales o generales, de acuerdo con lo establecido en el artículo 110 del Reglamento de la Ley, señalando el nombre del listado, las finalidades para las cuales es aplicable la exclusión y, en su caso, el canal habilitado por el responsable para que el titular pueda obtener mayor información al respecto, o
III. La habilitación de medios por los cuales el titular pueda manifestar su negativa a seguir recibiendo comunicados o promociones por parte del responsable.

La cláusula trigésima primera establece la obligación del responsable de informar a los titulares sobre el uso de mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, así como la forma en que se podrán deshabilitar.

La cláusula trigésima tercera establece los casos y supuestos en los que se requiere de un nuevo aviso de privacidad. Dichos supuestos son los siguientes:
I. Cuando el responsable cambie su identidad;
II. Requiera recabar datos personales sensibles, patrimoniales o financieros adicionales a aquéllos informados en el aviso de privacidad original, cuando los mismos no se obtengan de manera personal o directa del titular y se requiera el consentimiento;
III. Cambie las finalidades que dieron origen o son necesarias para la relación jurídica entre el responsable y el titular; o bien, se incorporen nuevas que requieran del consentimiento del titular, o
IV. Modifique las condiciones de las transferencias o se vayan a realizar transferencias no previstas inicialmente, y el consentimiento del titular sea necesario.

La cláusula trigésima cuarta a trigésima séptima establecen los elementos informativos y mecanismos que debe contener el aviso de privacidad simplificado.

Las cláusulas trigésima octava a cuadragésima primera establecen los elementos informativos y mecanismos que debe contener el aviso de privacidad corto.

Por último, se incluye un anexo que forma parte integral de los lineamientos de privacidad sobre buenas practicas cuya observancia será opcional para los responsables, y podrán ser adoptadas por medio de los mecanismos de autorregulación a los que refiere la LFPDPPP y su Reglamento, así como en cumplimiento del principio de responsabilidad.

Es de destacarse la cláusula cuarta de dicho anexo que prevé que cuando el responsable trate datos personales de menores de edad o de personas que se encuentren en estado de interdicción o incapacidad establecida por ley, como buena práctica, el aviso de privacidad integral podrá informar sobre tal situación, señalando al menos lo siguiente:
I. Los mecanismos que tiene implementados para recabar el consentimiento de la persona que ejerce la patria potestad, o en su caso, del tutor o representante legal, de conformidad con las reglas de representación dispuestas en el Código Civil Federal, y
II. Las acciones, medidas y previsiones especiales que caractericen este tipo de tratamiento y que lleve a cabo el responsable, a fin de salvaguardar el derecho a la protección de datos personales de estos grupos de personas.

La cláusula sexta de dicho anexo que prevé como buena práctica que el aviso de privacidad integral pueda hacer del conocimiento del titular que sus datos serán tratados como parte de un proceso automatizado de toma de decisiones, sin que intervenga la valoración de una persona física, identificando el proceso respectivo.

El pasado 14 de Enero del presente, se inauguró la nueve sede de las oficinas del IFAI que se encuentran ahora ubicadas en:
Insurgentes Sur No. 3211, Colonia Insurgentes Cuicuilco
C.P. 04530, México, D.F.

De acuerdo con un comunicado de prensa del IFAI:
«Con este nuevo edificio se podrá albergar a los servidores públicos que el Instituto contrató en 2012, con motivo de las nuevas atribuciones que en materia de protección de datos personales le otorgó el Congreso de la Unión y que hicieron que su personal aumentara de 224 a 441».

«Para la adquisición del inmueble el IFAI celebró un contrato de arrendamiento financiero con opción a compra, operación que se llevó a cabo cumpliendo con las normas emitidas por el Gobierno federal y con las autorizaciones de la Secretaría de Hacienda y Crédito Público».

Para mayor información ver el comunicado de prensa IFAI 002/13 del 14 de Enero de 2013

El pasado 8 de Enero, se inauguró oficialmente el Centro Europeo para Combatir el Cibercrimen (European Cybercrime Centre EC3) cuya sede se encuentra en las instalaciones de Europol en la ciudad de la Haya, Holanda.
La inauguración estuvo a cargo del Director de Europol Robin Wainwright y participaron el Director del EC3, Troels Ørting y la Comisaria de Asuntos de Interior, Cecilia Malmström entre algunos otros funcionarios de instituciones europeas.

El EC3 será el punto focal en la lucha contra la delincuencia informática en la Unión Europea, contribuyendo a reacciones más rápidas en caso de detección de conductas y delitos cometidos a través de Internet. Este centro apoyará a los Estados miembros y a las instituciones de la Unión Europea en fomentar la capacidad operacional y analítica para la investigación y la cooperación con socios internacionales. El EC3 oficialmente inició sus actividades el pasado 1o. de Enero de 2013 con el mandato de abordar las siguientes áreas de la delincuencia informática:
- Delitos cometidos por grupos organizados que generan grandes ganancias delictivas como el fraude en línea;
- Delitos que causan un daño grave a la víctima, tales como la explotación sexual de los menores en línea; y
- Delitos que afectan a la infraestructura crítica y sistemas de información en la Unión Europea, entre otros.

Para mayor información acerca del EC3, ver las siguientes notas de prensa:

Nota de Prensa de Europol del 11 de Enero de 2013
https://www.europol.europa.eu/content/press/new-european-cybercrime-centre-ec3-opens-europol-1987
Nota de Prensa de Europol del 7 de Enero de 2013
https://www.europol.europa.eu/content/press/new-european-cybercrime-centre-ec3-tackle-rising-trend-payment-card-fraud-1941
Comunicado de Prensa de la Comision Europea del 9 de Enero de 2013
http://europa.eu/rapid/press-release_IP-13-13_es.htm
EurActiv.com http://www.euractiv.com/infosociety/chief-cyber-defender-swarmers-be-interview-516969
Tagesschau.de http://www.tagesschau.de/ausland/eu-cyberkriminalitaet100.html
Computer Weekly http://www.computerweekly.com/news/2240175936/European-Cyber-Crime-Centre-opens-in-The-Hague
El Mundo http://www.elmundo.es/elmundo/2013/01/11/union_europea/1357921246.html
CSO http://www.csospain.es/La-UE-impulsa-la-lucha-contra-el-cibercrimen-con-un-nuevo-Ce/seccion-pol%C3%ADticas/articulo-207745

Protección Datos México (ProtDataMx) es un consultoría especializada en asesorar a empresas, organizaciones e instituciones en materia de seguridad de la información y protección de datos personales. Nuestra misión es brindar y prestar una asesoría profesional integral y de acuerdo a las necesidades particulares de cada empresa u organización para que cumplan con todas las obligaciones que marca la LFPDPPP y su Reglamento y otras regulaciones nacionales e internacionales sobre la materia.

El pasado 3 de Diciembre de 2012, el IFAI emitió una resolución en la que determinó establecer dos sanciones por más de dos millones de pesos a Farmacias San Pablo por quebrantar -entre otras disposiciones- el Principio de Información y por omitir el nombre de la persona responsable que recolecta y trata información relacionada con los datos personales de los clientes al interior de la empresa. Ver la siguiente entrada

A raíz de esto, algunos representantes de empresas con y sin presencia en Internet, nos han contactado vía correo electrónico solicitando asesoría y en particular para redactar exclusivamente el «Aviso de Privacidad» que por disposición legal todas las empresas, organizaciones y entidades que recolectan, procesan y tratan información y datos de carácter personal en territorio nacional debieron haber puesto a disposición de los titulares desde el pasado 6 de Julio de 2011. Ver la siguiente entrada

Es importante destacar que cumplir con la LFPDPPP y su Reglamento no significa únicamente contar con un simple «Aviso de Privacidad», sino además, es indispensable hacer un estudio y análisis preliminar sobre el tipo y clase de información que las empresas recolectan y procesan; la tecnología y/o proveedores contratados para almacenar y preservar la información; los mecanismos, lineamientos y procedimientos para salvaguardar la confidencialidad de la información; así como las medidas de seguridad con las que cuentan para prevenir y evitar posibles fugas de información. Con base en el resultado del análisis preliminar y las características particulares de cada empresa u organización (tamaño, clase de actividades y servicios que prestan, presencia en Internet, comercialización de datos y transferencias a terceros países, entre otros) se podrá redactar un Aviso de Privacidad que cabalmente cumpla con las obligaciones que marca la LFPDPPP y su Reglamento pero para ello, insistimos, se requiere de un estudio y análisis minucioso de las actividades y objeto de la empresa y en particular sobre la manera en la que utilizan y destinan datos e información de sus clientes y/o usuarios.

Es por esta razón que aprovechamos esta entrada para promover los servicios en materia de protección de datos y seguridad de la información que ofrece ProtDataMx En caso de que su empresa u organización requiera asesoría integral en esta materia, con gusto lo podemos asesorar profesionalmente, tomando en cuenta las necesidades particulares de su empresa u organización.

Cumpla con la LFPDPPP y su Reglamento y evite ser sancionado y multado por parte del IFAI y sobre todo de obtener una mala reputación para su empresa. Escribamos a la siguiente dirección de correo: info@protecciondatos.mx

BNA recientemente publicó una entrada en su sección de E-Commerce and Techlaw Blog que contiene información y vínculos a publicaciones y noticias relacionadas con la propuesta de regulación sobre protección de datos en Europa y algunas otras noticias sobre iniciativas relacionadas con el derecho a la privacidad y la regulación del ciberespacio.

Mayor información se encuentra en E-Commerce and Techlaw Blog.