Conferencia Anual Computers, Privacy and Data Protection en Bruselas

CPDP2014BannerDel 22 al 24 de Enero del presente se llevará a cabo en la ciudad de Bruselas, Bélgica la séptima edición de la conferencia Computers, Privacy and Data Protection CPDP 2014 que organizan conjuntamente diversas universidades europeas entre ellas la Universidad de Vrije de Bruselas, Universidad de Namur de Francia y la Universidad de Tilburg de Holanda junto con el patrocinio de empresas, despachos de abogados, asociaciones, centros de investigación, think-tanks y especialistas en protección de datos.

Como cada año, esta conferencia estará muy nutrida e incluirá paneles y expositores de gran relevancia a nivel internacional. Entre los temas que se discutirán este año se encuentran: (i) la propuesta de reforma sobre protección de datos de la Unión Europea; (ii) PRISM; (iii) big data; (iv) privacidad mediante diseño; (v) cloud computing; (vi) tecnologías biométricas; (vii) derecho al olvido; (viii) ciberseguridad y privacidad; (ix) hackers y privacidad, entre otros temas.

El jueves 23 de Enero de 16:45 a 18:00 hrs tiempo de Bruselas (9:45 a 11:00 hrs tiempo de la ciudad de México) habrá una sesión relacionada con la ejecución de legislación sobre protección de datos en Latinoamérica en donde estaré participando junto con representantes de Google, Yahoo, la Oficina del Supervisor de Protección de Datos Europeo y una abogada experta de Uruguay.

El Twitter hashtag de la conferencia es #cpdpconferences

El programa completo de la conferencia se encuentra en: http://www.cpdpconferences.org/Programme.html

Los eventos paralelos en: http://www.cpdpconferences.org/SideEvents.html#top

La exhibición de arte titulada “A Look Inside” en: http://www.cpdpconferences.org/SideEvents.html#Art

Resolución de las Naciones Unidas sobre el Derecho a la Privacidad en la Era Digital

ONUlogoEl pasado 20 de Noviembre, la Asamblea General de las Naciones Unidas publicó la Resolución A/C.3/68/L.45/Rev.1 sobre el Derecho a la Privacidad en la Era Digital que fue aprobada por 12 países latinoamericanos, incluido México.

Esta resolución se basó en un proyecto propuesto originalmente por Brasil y Alemania a principios de Noviembre de este año a raíz de las noticias sobre la vigilancia y monitoreo de las comunicaciones en distintos países dadas a conocer por Edward Snowden y actualmente está siendo utilizada y difundida entre grupos y asociaciones de defensa de los derechos humanos a nivel nacional.

La resolución reafirma que los derechos de las personas, incluido el derecho a la privacidad deben ser debidamente protegidos en Internet. Este documento hace referencia al informe A/HRC/23/40 del Relator Especial sobre la promoción y protección del derecho a la libertad de opinión y de expresión Frank de la Rué relativo a las implicaciones de la vigilancia e interceptación extraterritoriales de las comunicaciones realizada por los Estados en el ejercicio de los derechos humanos a la privacidad y a la libertad de opinión y expresión, presentado ante el Consejo de Derechos Humanos en su 23º periodo de sesiones.

La Resolución exhorta a los Estados Miembros de las Naciones Unidas a que:

“a) Respeten y protejan el derecho a la privacidad, incluso en el contexto de las comunicaciones digitales;
b) Adopten medidas para poner fin a las violaciones de esos derechos y creen las condiciones necesarias para impedirlas, como cerciorarse de que la legislación nacional pertinente se ajuste a sus obligaciones en virtud del derecho internacional de los derechos humanos;
c) Examinen sus procedimientos, prácticas y legislación relativos a la vigilancia y la interceptación de las comunicaciones y la recopilación de datos personales, incluidas la vigilancia, interceptación y recopilación a gran escala, con miras a afianzar el derecho a la privacidad, velando por que se dé cumplimiento pleno y efectivo de todas sus obligaciones en virtud del derecho internacional de los derechos humanos;
d) Establezcan o mantengan mecanismos nacionales de supervisión independientes y efectivos capaces de asegurar la transparencia, cuando proceda, y la rendición de cuentas por las actividades de vigilancia de las comunicaciones y la interceptación y recopilación de datos personales que realice el Estado.”

La resolución recientemente aprobada abre un espacio para la discusión adicional de los derechos humanos en línea ya que solicita a la Alta Comisionada de las Naciones Unidas para los Derechos Humanos que presente a la Asamblea General en su 69º período de sesiones y al Consejo de Derechos Humanos en su 27º período de sesiones un informe sobre la protección y la promoción del derecho a la privacidad en el contexto de la vigilancia y la interceptación de las comunicaciones digitales y la recopilación de datos personales en los planos nacional y extraterritorial, que incluya opiniones y recomendaciones, para que lo examinen los Estados Miembros durante 2014.

La Resolución A/C.3/68/L.45/Rev.1 sobre el Derecho a la Privacidad en la Era Digital es de especial importancia en el contexto Mexicano, particularmente para reafirmar la protección del derecho a la privacidad y los datos personales consagrados en los Artículos 6º y 16º Constitucional, respectivamente y sobre todo, ahora que la impartición de la justicia en México está evolucionando y busca tutelar de mejor forma los derechos humanos de los ciudadanos, incluidos el derecho a la privacidad de las comunicaciones y los datos personales.

Mayor información en el portal del Alto Comisionado para los Derechos Humanos de las Naciones Unidas

Segundo Congreso Internacional de Transparencia organizado por el ITEI

LogoCongresoEl próximo 5 y 6 de Diciembre del presente, se estará llevando a cabo el Segundo Congreso Internacional de Transparencia “Información e Innovación Digital para el Crecimiento” que organiza el Instituto de Transparencia e Información Publica de Jalisco (ITEI). La sede de este evento será el Auditorio del Hotel Hilton de la ciudad de Guadalajara.

He sido cordialmente invitado para participar el viernes 6 de Diciembre en el “Bloque III: Datos Personales” de 10 a 11:15 hrs. en donde estaré presentando junto con Andrés Velázquez en el panel titulado: “Privacidad y seguridad de los datos personales- importancia técnica y legal” e inmediatamente después a las 11:15 hrs., estaré presentando mi libro titulado «La Jurisdicción y Competencia sobre Delitos Cometidos a través de Sistemas de Cómputo e Internet» que será comentado por dos grandes profesionales y amigos: Lina Ornelas y Andrés Velázquez esto como parte de las actividades de la Feria Internacional del Libro de Guadalajara 2013 (FIL 2013).

Para mi será todo un honor presentar en el panel junto con Andrés Velázquez, en donde estaremos hablando sobre temas relevantes en torno a la protección de datos y la seguridad de la información desde el punto de vista técnico, legal y con una perspectiva nacional e internacional; y por supuesto, poder presentar mi libro en la FIL 2013, que es sin duda, uno de los eventos más importantes de la industria editorial nacional e internacional.

Vale la pena destacar que mi libro ha sido incluido en el Salón de Novedades de la FIL 2013 de Guadalajara y estará a la venta en el área nacional de la FIL, stand J13 de Tirant Lo Blanch.

Espero coincidir con algunos amigos, colegas y familiares y, por supuesto, conocer a nuevos profesionistas y escritores durante mi estancia en la ciudad de Guadalajara. Nos vemos la próxima semana.

Conferencia Octopus 2013 sobre Cooperación en Contra del Ciberdelito del Consejo de Europa

Octopus2013_en-Poster_2013small-1Del 4 al 6 de Diciembre de 2013 se llevará a cabo en la ciudad de Estrasburgo, la conferencia anual Octopus sobre Cooperación en contra del Cibercrimen que organiza el Consejo de Europa. La conferencia de este año se enfocará primordialmente a analizar los siguientes temas divididos en seis workshops: (1) iniciativas internacionales; (2) legislación sobre cibercrimen en la región Asia-Pacifico; (3) fortalecimiento de la capacidad en contra del cibercrimen y evidencias electrónicas; (4) acceso transfronterizo a datos y jurisdicción; (5) protección de los menores en contra de la explotación sexual en línea; y (vi) cooperación internacional y preservación de datos.

Asimismo, durante la conferencia habrá tres grupos de trabajo; el primero dedicado a analizar los avances sobre legislación de ciberdelito en Latinoamérica; el segundo sobre la actualización de la guía sobre evidencias electrónicas y materiales para entrenamiento y apoyo y; el tercer grupo estará enfocado a analizar planes y directrices del Proyecto Global en contra del Cibercrimen (GLACY) de la Unión Europea y el Consejo de Europa.

La sesión plenaria de este año abordará los temas de Salvaguardas, Justicia Penal vs. Seguridad Nacional y se tiene agendado discutir una reciente publicación sobre protección de datos en relación al intercambio de información transfronteriza para propósitos de la seguridad de redes y justicia penal del Profesor J. Cannataci de la Universidad de Malta.

Algunas de las sesiones y workshops serán transmitidos en vivo vía webcast en el siguiente vínculo: http://webtv.coe.int/

Mayor información sobre esta conferencia, la agenda final y reportes preliminares se encuentran en el portal de la Conferencia Octopus 2013 del Consejo de Europa.

Acerca de mi libro «La Jurisdicción y Competencia sobre Delitos Cometidos a través de Sistemas de Cómputo e Internet» y Próximas Presentaciones

BanerBook2El propósito de esta entrada es darles a conocer el contenido de mi libro titulado: «La Jurisdicción y Competencia sobre Delitos Cometidos a través de Sistemas de Cómputo e Internet» [ISBN: 9788490330111] publicado por la editorial Española Tirant lo Blanch y las fechas de las presentaciones que haré durante lo que resta de este año.

La primera edición de esta obra se publicó el 23 de Mayo de 2012 y contiene un total de 414 páginas. Este libro aborda en detalle y en forma practica uno de los principales retos jurídicos contemporáneos que trae consigo la investigación, persecución y ejecución de delitos cometidos a través de sistemas de cómputo e Internet. Está enfocado a hacer un análisis comparado de los tratados e instrumentos internacionales en materia de jurisdicción y competencia penal aplicable a ciberdelitos, en particular conforme al Convenio sobre Cibercriminalidad del Consejo de Europa así como la forma en la que diez países, incluidos seis países de Latinoamérica (México, Chile, Argentina, Brasil, Colombia, y República Dominicana)- han adoptado los principios de jurisdicción internacional en su correspondiente legislación nacional.
Si bien, esta obra analiza en forma detallada y comparada los marcos jurídicos existentes para combatir los delitos informáticos en algunos países Europeos, de Norte América y de Latinoamérica, no tiene como propósito analizar teorías, doctrinas y los tipos existentes sobre delitos informáticos, ya que actualmente existe muchísima literatura académica sobre dicha temática Latinoamérica. Sin embargo, no existía una obra jurídica actualizada que analizara en forma comparada y con un enfoque pragmático, la problemática de la jurisdicción y competencia penal frente a delitos cometidos en contra y a través de sistemas de cómputo e Internet y en especial con respecto a países de Latinoamérica.

Una de las cualidades específicas de esta obra es que es el resultado de haber participado activamente como experto invitado en distintos seminarios y conferencias especializadas organizados por organismos internacionales y como moderador y ponente en talleres de trabajo encargados de analizar la problemática de la jurisdicción y la competencia penal aplicable a ciberdelitos a nivel internacional y regional.

La presente obra está estructurada en dos partes; la primera parte consta de tres capítulos y la segunda parte de dos capítulos. Finaliza con una sección de reflexiones y conclusiones en torno a la temática que estamos seguros será de gran relevancia para funcionarios y empleados de organismos internacionales y regionales; funcionarios gubernamentales encargados de la seguridad de la información; CERTs y redes de contacto 24×7; legisladores; abogados postulantes, Jueces, Magistrados y personal encargado de la administración de justicia; profesores, investigadores y estudiantes de derecho interesados en la temática.

A continuación transcribo la tabla de contenidos del libro:

«I. Índice
II. Acrónimos y Abreviaciones
III. Agradecimientos
IV. Prefacio
V. Introducción

Primera Parte. Internet, Ciberdelito e Instrumentos de Cooperación Internacional para el Combate y la Represión de la Ciberdelincuencia
Capítulo 1. Antecedentes sobre Internet y los Ciberdelitos
Capítulo 2. Instrumentos Internacionales para Combatir el Cibercrimen
Capítulo 3. Cooperación Internacional y Regional para Combatir el Cibercrimen

Segunda Parte. Jurisdicción y Legislación Aplicable al Ciberdelito en el Ámbito Internacional y en Latinoamérica
Capítulo 4. Jurisdicción y Legislación Aplicable en el Ámbito Internacional
Capítulo 5. Jurisdicción y Legislación Aplicable en México y en otros Países de
Latinoamérica

VI. Conclusiones Finales
VII. Bibliografía»

A continuación incluyo la información sobre las presentaciones oficiales del libro en distintos círculos académicos y ferias del libro durante este año y las que hice el año pasado.

Presentaciones 2013

Congreso Internacional de Transparencia del Instituto de Transparencia e Información Pública de Jalisco (ITEI); Guadalajara, Jalisco, Auditorio del Hotel Hilton, Viernes 6 de Diciembre de 2013 a las 11:15 hrs., como parte de las actividades de la Feria Internacional del Libro (FIL 2013) de Guadalajara. Comentado por Lina Ornelas y Andrés Velázquez.

Instituto de Investigaciones Jurídicas de la UNAM; México, D.F. Viernes 13 de Septiembre de 2013 durante la presentación del Libro Lex Cloud Computing del Dr. Julio Téllez Valdés.

Facultad de Derecho de la UNAM; México, D.F. Miércoles 11 de Septiembre de 2013 durante el Primer Encuentro Latinoamericano sobre Ciberseguridad: Delitos Informáticos e Informática Forense.

Instituto Nacional de Ciencias Penales (INACIPE), Aula Alfonso Quiroz Cuarón; México, D.F. Jueves 5 de Septiembre de 2013. Comentado por Andrés Velázquez, Dr. Francisco Javier Dondé y Dr. Rafael Estrada Michel.

Presentaciones 2012

INFOTEC, Aula Magna; México, D.F. Jueves 23 de Agosto de 2012. Comentado por Dra. Wilma Arellano Toledo, Mtro. Sergio Carrera Rivapalacio y Dr. José Roldan Xopa.

Vale la pena destacar que esta obra ha sido incluida en el Salón de Novedades de la Feria Internacional del Libro 2013 de Guadalajara y estará a la venta en el área nacional de la FIL, stand J13 de Tirant Lo Blanch.

Además esta obra puede ser adquirida en formato electrónico o impreso directamente con la editorial en:

Tirant lo Blanch (México y países de Latinoamérica)

Tirant lo Blanch (España y países de la Unión Europea)

La Cámara de Senadores Aprueba Reforma Constitucional en Materia de Transparencia

LogoLXIILegislaturaEl pasado miércoles 20 de Noviembre, el Pleno del Senado de la República aprobó con 88 votos a favor y 6 en contra la reforma a los artículos 6 , 73, 76, 78, 89, 105, 108, 110, 111, 116 y 122 de la Constitución, mejor conocida como la reforma en materia de transparencia cuyos objeto principal es garantizar el derecho al acceso a la información, la protección de datos personales en manos de particulares y la transparencia y la creación de un nuevo órgano garante de dichos derechos constitucionales.

Entre los aspectos más relevantes de la reforma se encuentran:

- La creación de un nuevo organismo autónomo responsable de garantizar el cumplimiento del derecho de acceso a la información pública y a la protección de datos personales, que sustituirá al IFAI, el cual estará encargado de coordinar sus acciones con la entidad de Fiscalización Superior de la Federación, entre otras entidades.

- Los comisionados del nuevo organismo autónomo pasan de ser cinco a siete y durarán en su encargo siete años y no se dejará ese lapso a criterio de la legislación secundaria, así mismo, se precisa que los periodos de duración de los comisionados del órgano garante, cuya designación se realizará a más tardar noventa días después de la entrada en vigor de la publicación del decreto- serán elegidos con el voto de las dos terceras partes de los miembros presentes en el Pleno del Senado.

- Los actuales comisionados del IFAI podrán aplicar para formar parte del nuevo organismo, previa petición formal al Senado de la República, y únicamente por el tiempo que reste al nombramiento del que fueron originalmente designados.

- Otorgarle mayores atribuciones a la Suprema Corte de Justicia de la Nación (SCJN) para conocer y resolver en el procedimiento de controversia constitucional sobre las resoluciones del nuevo organismo que sustituirá al IFAI respecto al acceso de información en poder del Banco de México y todos los organismos autónomos.

La reforma constitucional faculta al nuevo órgano para hacer pública toda la información en posesión de cualquier autoridad, entidad, poderes Ejecutivo, Legislativo y Judicial, organismos autónomos, partidos políticos, fideicomisos, personas físicas, morales y sindicatos, la cual “sólo podrá ser reservada temporalmente por razones de interés público o de seguridad nacional”.

El dictamen aprobado fue devuelto con modificaciones a la Cámara de Diputados para los efectos de la fracción e) del artículo 72 Constitucional, la que señala que si las adiciones o reformas hechas por la cámara revisora, en este caso el Senado, son aprobadas por la mayoría absoluta de los votos presentes se pasará todo el proyecto al Ejecutivo para los efectos de la fracción a) del artículo 72 Constitucional, es decir, para su publicación inmediata y final.

Mayor información en:

Boletín 726 del Senado de la República

El Universal

El Economista

Alerta y Denuncia Ciudadana en contra del Portal Buscardatos.com

El pasado 7 de Noviembre, el diario Reforma dio a conocer una nota sobre el portal www.buscardatos.com que permite buscar datos e información de ciudadanos mexicanos, argentinos, chilenos y paraguayos en forma gratuita. Entre los datos que se podían encontrar están: nombres, fecha de nacimiento, edad, domicilio completo, clave de elector, CURP y RFC. Grafica buscartusdatos

A raíz de la denuncia de hechos que presentó el Instituto Federal Electoral (IFE) esta semana ante la Fiscalía Especializada para Delitos Electorales y la denuncia penal interpuesta por el Instituto Federal de Acceso a la Información y Datos Personales (IFAI) ante la Procuraduría General de la Republica (PGR), el portal ya no permite buscar los datos de ciudadanos mexicanos, sin embargo todavía se puede buscar y acceder a información de ciudadanos de nacionalidad Argentina, Chilena y Paraguaya.

Vale la pena cuestionarse ¿como es que dicha información que supuestamente debe estar resguardada con mecanismos de seguridad de alto nivel llegó a manos de los administradores de ese portal? Existen varios supuestos, uno de ellos es que la base de datos del padrón electoral del IFE haya sufrido un haqueo y acceso ilícito en donde los criminales tuvieron acceso y copiaron toda la información de ciudadanos mexicanos para posteriormente comercializarla a la empresa que administra el portal. El segundo supuesto- y quizás sea el más probable- es que la información haya sido vendida por los administradores de la base de datos del IFE a una tercera empresa o directamente a empleados de la empresa que administran el portal www.buscardatos.com

Independientemente de cómo se haya facilitado o filtrado dicha información, este portal está cometiendo flagrantemente una serie delitos y sanciones administrativas previstas en distintos ordenamientos de carácter federal. En primera, estamos ante un delito federal por “acceso ilícito a sistemas y equipos de informática del Estado” y “copia de información contenida en equipos de informática protegidos por algún mecanismo de seguridad” previsto en el Art. 211 bis 2 del Código Penal Federal, en donde es muy probable que también exista un grado de corresponsabilidad por parte del personal que labora en el IFE quienes podría ser sujetos a sanciones y penas conforme al Título Décimo, Capítulo Primero del Código Penal Federal que castiga los delitos cometidos por Servidores Públicos. Segunda, se comete una infracción sujeta a multas económicas por transgredir las fracciones décimo segunda, décimo cuarta y décimo novena del Art. 63 de la LFPDPPP, específicamente por “vulneración a la seguridad de bases de datos”, por “recabar o transferir datos personales sin el consentimiento expreso del titular” y por “crear bases de datos ilícitas”, respectivamente.
Asimismo, cabe señalar que este hecho representa la vulneración de un derecho fundamental consagrado en la fracción segunda del Art. 16º. de la Constitución Política de los Estados Unidos Mexicanos que confiere a toda persona la protección de sus datos personales.

Vale la pena destacar, que no es la primera vez que se vulnera y se filtra información de ciudadanos mexicanos contenida en la base de datos del padrón electoral del IFE. En 2003, se dio a conocer que la empresa americana Choicepoint adquirió ilegalmente el padrón vehicular de licencias y la base de datos del IFE que fue vendida por empleados de ambos organismos gubernamentales a una empresa mexicana que posteriormente la comercializó a Choicepoint en Estados Unidos. Asimismo, se ha dado a conocer públicamente la venta ilegal de información y datos personales en lugares como la Plaza de Santo Domingo y Tepito, en donde se pueden obtener fácilmente y a un precio muy asequible bases de datos, números de cuentas bancarias y tarjetas de crédito, así como títulos universitarios.

Lamentablemente en México, todavía no existe la figura de demandas colectivas en materia penal ni tampoco alguna organización no gubernamental seria que este dispuesta a llevar este caso en representación de los ciudadanos afectados ante los tribunales nacionales, que en realidad somos la mayoría de mexicanos que estamos registrados en el padrón electoral y cuya información se encuentra en posesión de la empresa que administra el portal www.buscardatos.com

Sin embargo, exhorto a los ciudadanos mexicanos que realmente se preocupan por la seguridad de su información personal a que denuncien penalmente esta situación ante el Ministerio Público Federal por la comisión de los delitos anteriormente señalados, y sobre todo, demanden que las autoridades encargadas de resguardar la base de datos del IFE y el órgano regulador de la protección de datos IFAI, respectivamente, rindan un informe inmediato a la sociedad mexicana respecto de las acciones penales que se están tomando en contra de la empresa que dirige y administra el portal www.buscardatos.com así como las acciones y medidas de seguridad que están tomando para salvaguardar debidamente la información de las bases de datos del IFE y para evitar un futura vulneración o fuga de información y datos de esta magnitud.

Mayor información en:

Pronunciamiento del IFAI del 7 de Noviembre de 2013

Nota del Reforma del 7 de Noviembre de 2013

Milenio

ADN Político

Códice Informativo

Cambio de Puebla, nota del 7 de Noviembre de 2013

Cambio de Puebla, nota del 8 de Noviembre de 2013

Noticieros Televisa

Portal Sopitas.com

Blog de Rodrigo Orenday

IFAI Publica Recomendaciones en Materia de Seguridad de Datos Personales

El Pleno del IFAI publicó en el Diario Oficial de la Federación del 30 de Octubre de 2013 las Recomendaciones en Materia de Seguridad de Datos Personales.IFAI Logo
El documento consta de 10 páginas con un total de tres recomendaciones, pasos a seguir, gráficas y tablas comparativas entre el Reglamento de la LFPDPPP y las Recomendaciones que pretenden servir de guía para la debida implementación de medidas de seguridad por parte de los responsables y encargados del tratamiento de los datos personales.
El IFAI recomienda la adopción de un Sistema de Gestión de Seguridad de Datos Personales (SGSDP) basado en el ciclo PHVA Planear-Hacer-Verificar-Actuar.

Tal y como lo señala, el punto primero del documento, la adopción de las recomendaciones es de carácter voluntario por lo que los responsables y encargados podrán decidir libremente que metodología conviene más aplicar en su negocio para la seguridad de los datos personales. También se señala que “el seguimiento de las presentes recomendaciones no exime a los responsables y encargados de su responsabilidad con relación a cualquier vulneración que pudiera ocurrir a sus bases de datos, ya que la seguridad de dichas bases depende una correcta implementación de las medidas o controles de seguridad”.

La segunda recomendación contiene definiciones claves con relación al SGSDP y gráficas con respecto a las actividades que se recomiendan llevar a cabo dentro del ciclo PHVA, así como los pasos y objetivos específicos a seguir.

La tercera recomendación contiene las acciones concretas a implementar para la seguridad de los datos personales, divididas a su vez en cuatro distintas fases con un total de nueve pasos o acciones a seguir. La primera fase es planear el SGSDP; la segunda fase es la implementación y operación del SGSDP; la tercera fase es el monitoreo y revisión del SGSDP; la cuarta fase es la mejora del SGSDP. Además se incluye una gráfica en donde se muestra el ciclo de las acciones y la implementación de los nueve pasos, así como una lista de estándares internacionales que el IFAI utilizó para la redacción de las recomendaciones y para la implementación del SGSDP.

Por último, las recomendaciones incluyen un cuadro de análisis que permite comparar cuales de las acciones enumeradas en las recomendaciones ayudan a cumplir con las obligaciones que establece el Capítulo III del Reglamento de la LFPDPPP.

Multas y Sanciones Impuestas por el IFAI

IFAI LogoDurante este año, el Pleno del IFAI ha emitido algunas resoluciones, por medio de las cuales ha impuesto multas económicas a empresas y sujetos que no están cumpliendo con la LFPDPPP y su Reglamento. Después de haber revisado y hecho un análisis detallado de las resoluciones del IFAI, a continuación, incluyo un breve resumen de las distintas multas impuestas a empresas e individuos por esa autoridad ordenadas en forma cronológica.

I. Soluciones Financieras Integrales

El pleno de IFAI resolvió mediante una resolución de fecha 9 de Octubre de 2013 imponer dos multas por un total de $542,271.00 a la empresa Soluciones Financieras Integrales (SOLUFINTE) por no tener disponible y por negarse a mostrar el Aviso de Privacidad a una persona que fue a solicitar un préstamo crediticio y en la cual se le pidió su credencial de elector como identificación para poder llenar e ingresar su solicitud en donde el titular de datos alega que el director de la empresa le dijo que no estaban obligados a poner a la vista ningún aviso de protección de datos.
La primera multa impuesta por el IFAI fue por $232,621.00 por recabar datos de carácter financiero y patrimonial sin contar con el consentimiento expreso de los titulares; y la segunda por $311,650.00 por obstruir los actos de verificación de la autoridad.

II. Universidad Intercontinental

IFAI resolvió mediante dos resoluciones de fecha 25 de Septiembre de 2013 imponer siete multas por un total de $8’726,200.00 de pesos a la Universidad Intercontinental debido a que las transcripciones de distintas sesiones de un paciente que estuvo bajo tratamiento psicológico en el Centro Universitario de Salud Mental. Área de Psicoterapia Psicoanalítica de la Universidad Intercontinental (UIC) fueron subidas al portal Scribd.com entre Junio y Septiembre de 2011, sin la autorización y el consentimiento expreso del paciente. El paciente se dio cuenta de ello cuando su esposa realizó una búsqueda de su nombre en Google. Las transcripciones encontradas en el portal Scribd.com, contenían temas relacionados con su vida familiar y sexual, sobre sus amistades, compañeros de trabajo y experiencias malas y buenas de su infancia. El IFAI resolvió imponer dichas sanciones, señalando entre otros puntos que la UIC es responsable de no haber garantizado la confidencialidad y protección de los datos personales sensibles del paciente que fueron encontrados en el portal Scribd.com.

III. Telcel

IFAI resolvió mediante una resolución de fecha 25 de Septiembre de 2013 imponer dos multas por un total de $6’264,165.00 pesos a la empresa Radiomóvil Dipsa S.A. de C.V. mejor conocida como Telcel por el uso indebido de números telefónicos de cuatro de los contactos frecuentes de una usuaria, en un intento de presionar a ésta a pagar un adeudo por el servicio de telefonía celular prestado por esa empresa. Los argumentos del IFAI fueron que Telcel no guardó la confidencialidad de los datos personales de la denunciante, pues los divulgó a otras personas para gestionar la cobranza mediante llamadas y mensajes de texto vía teléfono celular y además, se determinó que la conducta de Telcel implicó un cambio sustancial en la finalidad en el tratamiento de los datos, prevista en el propio Aviso de Privacidad de la empresa.

IV. Tarjetas Banamex

IFAI resolvió mediante una resolución de fecha 28 de Agosto de 2013 imponer cuatro multas por un total de $9’848,140 pesos a Banamex. Se trata de un asunto de cobranza extrajudicial en donde empleados del Corporativo de Banamex y de un despacho de cobranza especializada hablaron insistentemente al teléfono celular de un particular -distinto del deudor- para requerirle el pago total de un supuesto adeudo con esa institución bancaria y en donde Banamex ya se había comprometido a no realizar dichas llamadas al particular y a cancelar su datos personales. La primera multa impuesta fue por $1’495,920 pesos por dar tratamiento a los datos personales en contravención a los principios establecidos en la LFPDPPP. La segunda multa fue por $1’246,600 pesos por mantener datos personales inexactos cuando resulte imputable al responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resultan afectados los derechos de los titulares. La tercera multa fue por $3’490,480 pesos por obstruir los actos de verificación de la autoridad; y la cuarta multa por $3’615,140 pesos por continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del mismo por el IFAI o los titulares.

V. Revoware

IFAI resolvió mediante una resolución de fecha 14 de Agosto de 2013 imponer dos multas por un total de $56,097 pesos a la empresa Revoware, S.A. de C.V. por haber proporcionado los datos de un particular a Seguros Banamex, sin su consentimiento para que esta institución le enviara una póliza de seguro contra accidentes al domicilio del particular, quien señala no haberla solicitado en ningún momento y en donde argumenta que la institución financiera trafico con sus datos personales para obtener un lucro indebido en contravención del principio de obtención del consentimiento previsto en la LFPDPPP y su Reglamento.

VI. Médico Particular

IFAI resolvió mediante una resolución de fecha 29 de Mayo de 2013 imponer cinco multas por un total de $41,874 pesos a un médico particular por haber transferido datos médicos sensibles de un paciente a un tercero, sin haberle dado a conocer el Aviso de Privacidad, así como por no haber incluido opciones y medios para limitar el uso y divulgación de los datos y el procedimiento para comunicar los cambios en el propio Aviso de Privacidad.

VII. Caja Popular Cristo Rey

IFAI resolvió mediante una resolución de fecha 2 de Mayo de 2013 imponer tres multas por un total de $2,181,550.00. La primera por $545,387.50 por incumplir los principios de licitud, información y finalidad; la segunda por $779,125.00 por recabar datos de carácter financiero y patrimonial sin contar con el consentimiento expreso de los titulares; la tercera por $857,037.50 por no contar con un procedimiento ni con una persona o departamento de datos personales que diera tramite a las solicitudes ARCO de los titulares.

VIII. Grupo Oceánica

El Pleno del IFAI emitió una resolución de fecha 21 de Marzo de 2012 en donde resolvió iniciar un procedimiento de imposición de sanciones de conformidad con la LFPDPPP en contra del Director de Grupo Oceánica por haber divulgado en una nota periodística datos sensibles clínicos (evaluación psiquiátrica) de un paciente. Grupo Oceánica no le permitió el acceso al inmueble a las autoridades verificadoras del IFAI obstruyendo con ello los actos de verificación de dicha autoridad. Oceánica presentó un juicio de nulidad ante el Tribunal Federal Justicia Fiscal y Administrativa y esa autoridad dictó sentencia definitiva en contra de la empresa el 8 de Abril de 2013 confirmando la sentencia del Pleno del IFAI de imponer una multa por un total de $2’493,200 pesos por la obstrucción del procedimiento de verificación previsto en la LFPDPPP.

IX. Sports City

IFAI resolvió mediante una resolución de fecha 6 de Marzo de 2013 imponer una multa por un total de $1’246,600 pesos a la empresa Sports City derivada de una queja interpuesta por un particular el 6 de Junio de 2012 que firmó un contrato de prestación de servicios para el uso de las instalaciones deportivas de Sports City Loreto y en donde identificó irregularidades en el Aviso de Privacidad contenidas en el contrato y el Aviso de Privacidad del portal de Sports City presuntamente constitutivas de violaciones a la LFPDPPP y su Reglamento. La multa impuesta por el Pleno del IFAI fue por que Sports City no señalo expresamente en su Aviso de Privacidad “Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos”.

X. Centro de Educación Emocional y Servicios Psicológicos Vivirlibre.Org

IFAI emitió una resolución de fecha 6 de Febrero de 2013 en donde ordena al Responsable a llevar a cabo las adecuaciones a su Aviso de Privacidad, así como iniciar el procedimiento de imposición de sanciones en contra de la Directora de Vivirlibre.Org, Lic. Gabriela Torres de Moroso Bussetti por haber facilitado datos médicos sensibles contenidos en un diagnostico psicológico, así como fotografías y datos de una paciente que fueron utilizados como prueba en un procedimiento judicial por parte de su ex-esposo.

XI. Pharma Plus (Farmacias San Pablo)

IFAI resolvió mediante una resolución de fecha 14 de Noviembre de 2012 imponer dos multas por un total de $2,000,045.04 pesos a la empresa Pharma Plus, S.A. de C.V., mejor conocida como Farmacias San Pablo por haber condicionado la venta de un medicamento a un cliente a cambio de sus datos personales. La primera multa fue por $1,500,033.78 pesos por contravenir el principio de información en el tratamiento de datos personales y la segunda por $500,011.26 pesos por haber omitido el elemento de identidad en su Aviso de Privacidad y por no haberlo puesto a disposición de los compradores.

XII. Banamex

IFAI emitió una resolución el 10 de Octubre de 2012 en donde le ordena a Banamex hacer efectivo el ejercicio de los derechos de oposición y cancelación de datos personales de una persona que solicitó una tarjeta de crédito ante esa institución financiera que le fue negada y en donde además ordena iniciar el procedimiento de imposición de sanciones en contra de Banamex. La resolución fue impugnada por Banamex ante el Tribunal Federal Justicia Fiscal y Administrativa en Junio de 2013.

IFAI impone dos multas a TELCEL por uso indebido de números de contacto

IFAI LogoEl pasado 26 de Septiembre, el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) emitió una resolución por medio de la cual impuso dos multas por un total de $6’264,165.00 pesos a la empresa Radiomóvil Dipsa S.A. de C.V. (mejor conocida como Telcel) por el uso indebido de números telefónicos de los contactos frecuentes de una usuaria, en un intento de presionar a ésta a pagar un adeudo por el servicio de telefonía celular prestado por esa empresa.

La usuaria denunció este hecho directamente ante el IFAI detallando que nunca autorizó a Telcel a utilizar esos números telefónicos frecuentes y tampoco la empresa incluyó este punto en el contrato del servicio de telefonía celular, ni consta en su aviso de privacidad. A pesar de esto, Telcel tuvo acceso a la relación de números frecuentes de la clienta y, sin su autorización y consentimiento, los utilizó para advertir del adeudo que tenía y tratar de instarla a pagar.

Los comisionados del IFAI determinaron emitir una resolución sancionatoria contra Radiomóvil Dipsa, S.A. de C.V., por medio de la cual resolvieron imponer las dos multas por más de seis millones de pesos. Los argumentos de los comisionados fueron que la empresa no guardó la confidencialidad de los datos personales de la denunciante, pues los divulgó a otras personas para gestionar la cobranza mediante llamadas y mensajes de texto vía teléfono celular. Además, los comisionados determinaron que la conducta de Telcel implicó un cambio sustancial en la finalidad en el tratamiento de los datos, prevista en el aviso de privacidad de la empresa.

Mayor información en:

El Universal

Milenio

El Financiero

El Economista