Protección de datos personales en Iberoamérica. Un nuevo libro para analizar hacia dónde se dirige la región

Aún tengo fresco en la memoria el momento en que Daniel López Carballo y Paco González-Calero me contactaron para preguntar si conocía y me interesaba participar en la iniciativa  Observatorio Iberoamericano de Protección de Datos; era el mes de abril de 2014.

En aquel entonces no solo conocía “El Observatorio”, sino que aplaudía este movimiento iniciado por Daniel, por los resultados que ya entonces se veían. Por supuesto, acepté con mucho gusto la invitación, y desde entonces he realizado contribuciones que (la verdad) me gustaría fueran más frecuentes.

Hoy, 20 de abril de 2017, podemos ver que la iniciativa no se ha detenido y que ésta llega a todos los rincones de la región a la que se dirige, pues la Defensoría del Pueblo de Buenos Aires (Argentina) anunció la publicación de libro electrónico “Hacia una efectiva protección de los datos en Iberoamérica“, donde se recopilan todas las Declaraciones que El Observatorio ha promovido y presentado en diversas capitales de América Latina.

Creo que la lista de autores y los países a los que representan, da cuenta de la influencia que El Observatorio ha alcanzado:

eBook Autores

Completo esta entrada compartiendo el link donde pueden descargar, de forma gratuita, este nuevo libro. Hagan clic, AQUÍ.

¡Hasta el próximo post!

¿Nuestra imagen es de todos (y para todo) cuando la subimos a redes sociales?

La publicación de una Sentencia del Tribunal Supremo español, que confirmó la condena al pago de una indemnización por el uso no autorizado de la imagen de una persona, obtenida de su cuenta de Facebook™, y utilizada como parte de una noticia relacionada con el propio afectado, originó muchas reacciones en ambos lados del charco.

Creo que no es para menos, y vale la pena atender al resumen de dicha resolución:

Conflicto entre libertad de información y derechos a la intimidad personal y familiar, y a la propia imagen. Reportaje en periódico local que incluye datos que permiten identificar a la víctima de un suceso y publica una fotografía de la víctima. Inexistencia de intromisión ilegítima en el derecho a la intimidad: crónica de sucesos amparada por la libertad de información. Existencia de intromisión ilegítima en el derecho a la propia imagen. Trascendencia de que la fotografía publicada fuera obtenida fuera accesible en las redes sociales (Facebook): inexistencia de consentimiento expreso a la publicación de la imagen en un medio de información. Carácter no accesorio de la reproducción de la imagen. Indemnización.

En este contexto, Joel Gómez Treviño, presidente de la Academia Mexicana de Derecho Informático (AMDI), me entrevistó para comentar sobre ésta y otras cuestiones que surgen cuando analizamos la creencia generalizada sobre la absoluta libertad que existe para disponer de los datos personales publicados en Internet, incluyendo nuestra propia imagen.

Los invito a ver la entrevista a continuación:

Y si quieren saber un poco más del tema, aquí pueden ver a Ruth Benito Martín, entrevistada por Marlon Molina, hablando sobre el tema para IDG TV:

Espero que el tema les haya gustado.

¡Hasta el próximo post!

 

Imagen destacada de “Pixelkult” vía pixabay.com

 

Encargados Renegados II: Me quedo con tus datos.

Tenemos segunda parte de nuestra entrada anterior (Encargados Renegados) porque sucede que ésta generó varias confesiones interesantes, aunque no fueran dadas a conocer a través de la sección de comentarios de este blog. El caso es que algunos compañeros (y algún cliente), me contaron sobre experiencias similares a las que relaté en dicho post.

En esta ocasión, tenemos la reciente experiencia de una PYME que quería contratar un software ERP (Enterprise Resource Planning), con módulos de gestión de recursos humanos y clientes.

Esta PYME, responsable de datos personales, estaba a punto de toparse con las intenciones de apropiación de la empresa de software del ERP.

Veamos:

Cuando llegó la hora de hablar de los términos y condiciones para uso del software, y tal y como suele suceder en estos casos, nuestro encargado renegado de turno entregó a la PYME un contrato de adhesión en el cual, entre varias disposiciones sobre el tratamiento de la información a través de su software, disponía (palabras más, palabras menos):

Dentro del plazo de tres años, contados desde la fecha de celebración del presente contrato, El CLIENTE cederá a la EMPRESA la titularidad de la información y datos generados y almacenados hasta entonces mediante el uso del SOFTWARE (la BASE DE DATOS), para que la EMPRESA puede disponer de dicha BASE DE DATOS para finalidades propias. Lo anterior, sin perjuicio de que el CLIENTE pueda seguir generando y almacenado información de su propiedad, con uso del SOFTWARE.

Y la empresa de software, tan tranquila…

Con independencia de las implicaciones sobre el tratamiento de INFORMACIÓN CONFIDENCIAL que se verificaría a través del uso de un ERP (recordemos que no todo son datos personales), la pretensión de este encargado para hacerse con “la titularidad” de datos que perfectamente se referirían a empleados y clientes de la PYME, resulta bastante chocante; cuesta trabajo creer que exista este nivel de desconocimiento sobre la protección de datos personales y el papel que este tipo de empresas tienen en el tratamiento de esta información… pero lo cierto es así están las cosas a día de hoy.

En todo caso, recordemos que la “naturaleza” de un Encargado es la de NO SER responsable de los datos personales a los que tiene acceso por virtud de un contrato de prestación de servicios que delimita su actuación frente a un Responsable (de datos personales).

Esta visión negativa del papel de un encargado puede ayudar a comprender que esa es la forma en que se regula esta relación, porque el Responsable debe (y desea) mantener el control de los datos personales a los que estas entidades, denominadas Encargados, pueden acceder para prestar un servicio (no importa qué tipo de servicio, importa que implique tratamiento o acceso a los datos), y no forma parte de sus intenciones transferir o ceder los datos a dichos Encargados.

De hecho, recordemos también, la fracción V del artículo 50 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (RLFPD) prevé como una de las obligaciones del Encargado que lleve a cabo la supresión de los datos personales objeto del tratamiento una vez cumplida la relación jurídica con el responsable o por instrucciones del responsable. En la misma disposición reglamentaria se prevé que el Encargado sólo podrá conservar los datos personales si existe una previsión legal que así lo exija.

Cabe señalar que, en la práctica, la obligación prevista en la fracción V del artículo 50 del RLFPD también se cumple si el Encargado se obliga a “devolver” los datos personales al Responsable, sin que exista posibilidad de que pueda conservar copia de los datos “devueltos” (a menos que exista disposición legal que lo demande).

En la historia que relato, la PYME mostró a la empresa de software lo dispuesto por los artículos 49 a 55 del RLFP (debemos reconocer que la empresa mostró interés en el tema) y desde luego retiró su propuesta de contrato de adhesión. Han pedido un poco de tiempo para pedir asesoría y redactar de nuevo su contrato, conscientes de que la PYME no firmaría aquella transferencia/cesión de datos que originalmente proponía.

Estoy seguro que pronto volverá con un contrato que regule mejor su papel como Encargado… aunque aún tengo dudas sobre su intención de regularizar todos aquellos otros contratos que ya tiene celebrados, en los cuales ha pactado la apropiación de la información, de la forma que les he contado.

Mmmmmmmmmmmmm…

¡Hasta el próximo post!

Imagen cortesía de Sira Anamwong en FreeDigitalPhotos.net