Mes: octubre 2015

México ¿y Safe Harbor?

El pasado 6 de octubre 2015 el Tribunal de Justicia de la Unión Europea emitió la ya conocida como “Sentencia Safe Harbor” (aunque otros gusten de llamarla “Sentencia Facebook”); el 8 de octubre aporté en la Asociación Profesional Española de Privacidad (APEP) mi particular visión sobre los primeros efectos que dicha sentencia podría tener, en cualquier empresa americana que importa datos personales desde Europa.

En esa fecha (8 de octubre) me encontraba en México y seguía a través de las redes sociales las diversas posturas, críticas, análisis y reacciones a la Sentencia Safe Harbor. Existían (y existen) un montón de preguntas en mi cabeza, pero estando donde estaba, dos tenían un peso específico: ¿qué efectos podría tener la Sentencia en México? y ¿cuándo se dejarían sentir dichos efectos?

En mi caso, la ola expansiva llegó el 20 de octubre, a través de un “addendum” fechado el 5 de octubre de 2015.

Por obvias razones, me reservo los detalles sobre las partes y los servicios involucrados, pero baste decir que los efectos tomaron forma a partir de un compromiso que hasta antes del 6 de octubre era relativamente normal encontrar en un acuerdo sobre tratamiento de datos personales, en el que se previera la subcontratación de servicios.

Dando por sentado que la transferencia de datos personales desde el responsable europeo hacia la empresa mexicana estaba previamente autorizada por la autoridad nacional competente de aquél, el giro de tuerca vino cuando en el indicado addendum se pidió a la empresa mexicana garantizar (palabras más, palabras menos) que en la hipótesis de que ésta llevara a cabo la subcontratación de terceros con residencia en los EEUU (sub-encargados, a todos los efectos):

  1. Éstos estarían adheridos a los Principios de Puerto Seguro, con anterioridad a la fecha de su contratación,
  2. Que éstos conservarían su adhesión a los Principios de Puerto Seguro,
  3. Que en caso de que los terceros (insisto, sub-encargados a efectos del tratamiento de los datos) perdiesen o no renovasen su adhesión a los Principios de Puerto Seguro, se comunicaría esta situación al responsable (europeo) y se detendría de inmediato el tratamiento de datos personales en los Estados Unidos de América.

Ni más, ni menos.

La parte mexicana, enterada de la Sentencia Safe Harbor (porque se la resumí), ha atinado a preguntar: ¿y cómo garantizo yo todo eso que me piden desde Europa, si me dices ahora que esto de Puerto Seguro ya no sirve?

Si lo de Puerto Seguro ha sido declarado inválido, ¿no estamos en una situación parecida a la tercera exigencia? Porque ya no se trata de que mis subcontratistas estén o no estén adheridos, sino que dicha adhesión, por sí misma, ya no tiene valor ¿correcto? A efectos prácticos, da lo mismos si están o no adheridos, pues aunque lo estuvieran, eso ya no garantiza nada a los europeos, ¿correcto?

Y siguió en su particular análisis: Si todo lo anterior es así, cuando trate con clientes europeos, ya puedo descartar eso de enviar los datos hacia los EEUU, ¿no? Porque directamente pueden acusarme de enviar los datos hacia un lugar que ellos mismos han declarado no seguro, ¿correcto?

El cliente no es tonto. A todas sus preguntas, era imposible contestar otra cosa que no fuera: estás en lo correcto.

Y mientras no cambien las cosas, hará bien en pensar de esa forma, y hará bien en detener el flujo de datos (al menos de sus clientes europeos) hacia sub-encargados con residencia en los EEUU, pues el propio Grupo de Trabajo del Artículo 29 ha dejado claro que después de la sentencia, cualquier transferencia amparada en la Decisión 2000/520 de la Comisión Europea, es ilegal.

Quise darle alternativas.
Le conté de las Cláusulas Tipo y de las Reglas Corporativas Vinculantes, le hablé del consentimiento expreso del titular de los datos personales… pero llegaron los alemanes y anunciaron que las primeras tampoco les parecen opciones adecuadas, y que con el consentimiento del titular/afectado, hay que andarse con mucho cuidadito.

O sea… un gran desorden, aunque se anuncie un “principio de acuerdo” del cual no ha salido una fecha (al menos tentativa) para resolver el entuerto.

Lo cierto es que a día de hoy (28 de octubre) nadie se ha puesto realmente de acuerdo, y parece que esto irá para largo (al menos, para las empresas, será un plazo muuuuuy largo).

Anuncios

Influencia europea en la normativa mexicana de protección de datos personales

Sobre el tema de este post, cabe señalar que no es la primera vez que se escribe al respecto. Hace años ya que un excelente experto español en privacidad (@Samuel_Parra) escribió sobre las similitudes entre la Ley Orgánica 15/1999, de 13 diciembre, de Protección de Datos de Carácter Personal (la «LOPD») y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la «LFPD»), en este post.

Por otra parte, en 2012 Graham Greenleaf publicó en la Revista de la Universidad de Oxford International Data Privacy Law, el siguiente artículo: The influence of European data privacy standards outside Europe: implications for globalization of Convention 108. En éste, el autor no dejó de mencionar a México como un país cuya legislación de protección de datos personales ha sido influenciada por la legislación del viejo continente.

Desde entonces, varias cosas han sucedido en México: el Reglamento de la LFPD fue publicado y actualmente todas sus disposiciones se encuentran en vigor; entre otros, también fueron publicados los Lineamientos del Aviso de Privacidad y las Recomendaciones en Materia de Seguridad de Datos Personales; además, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (el “INAI”) ya ha sancionado a varios responsables por diversas violaciones a la LFPD.

En la Unión Europea, es posible que a finales de este 2015 veamos la conclusión del proceso de reforma y modernización de la normativa europea de protección de datos personales (aunque nada puede darse por sentado).

Dicho lo anterior, sólo queda confesar que desde la publicación de la LFPD siempre he deseado compartir un ejercicio comparativo entre ésta, la LOPD española, y las disposiciones de la Directiva 95/46/CE (la «Directiva de Protección de Datos” o la “Directiva 95/46/CE”), que pueda servir para subrayar las fuentes europeas de la normativa mexicana sobre la materia, extendiendo la comparación hacia las disposiciones reglamentarias de la LFPD y la LOPD.

La LFPD y la LOPD guardan semejanzas no sólo en cuanto sus finalidades y medios de protección; también encontraremos coincidencias significativas en sus conceptos, significados y principios, sin olvidar que la segunda incorpora en el derecho español las disposiciones de la Directiva de Protección de Datos.

Por lo que, a manera de despedida a la “Directiva 95/46/CE” (¿de verdad ocurrirá pronto?), me gustaría dejar como referencia la siguiente tabla comparativa, en la que pretendo identificar conceptos y principios comunes entre las legislaciones de referencia, indicando los artículos que en cada normativa los regulan o definen:

CONCEPTO / PRINCIPIO

LFPD LOPD REGLAMENTO LFPD REGLAMENTO LOPD

DIRECTIVA 95/46/CE

Datos Personales / Datos de carácter personal

art. 3, V

art. 3.a) N/A art. 5.1.f)

art. 2.a)

Titular / Afectado o Interesado

art. 3, XVII

art. 3.e) N/A art. 5.1.a)

art. 2.a)

Base de Datos / Fichero

art. 3, II

art. 3.b) N/A art. 5.1.k)

art. 2.c)

Responsable / Responsable del fichero o tratamiento

art. 3, XIV

art. 3.d) N/A art. 5.1.q)

art. 2.d)

Tratamiento

art. 3, XVII

art. 3.c) N/A art. 5.1.t)

art. 2.b)

Encargado / Encargado del tratamiento

art. 3, IX

art. 3.g) art. 49 art. 5.1.i)

art. 2.e)

Consentimiento / Consentimiento del interesado

art. 3,IV

art. 3.h) art. 12 art. 5.1.d)

art. 2.h)

Transferencia (nacional)

art. 3.XIX

N/A art. 67 a 73 N/A

N/A

Cesión o comunicación de datos

N/A

art. 3.i) N/A art. 5.1.d)

Considerando 30

Transferencia internacional o a países terceros

art. 3.XIX

arts. 33 y 34 arts. 67 a 70 y 74 a 76 art. 5.1.s)

arts. 25 y 26

Fuentes de acceso público / Fuentes accesibles al público

art. 3, X

art. 3.j) art. 7 art. 7

Considerando 50

Datos personales sensibles / Datos especialmente protegidos

art. 3, VI

art. 7 art. 56 art. 5.1.g)

Datos de salud

art. 8

Derechos ARCO

arts. 28 a 35

arts. 15 a 17 art. 2, II arts. 23 a 36

arts. 10, 12 y 14

Principio del Consentimiento

arts. 9 a 10

art. 6 arts. 11 a 22 arts. 12 a 17

arts. 7.a); 8.2.a) y 26.1.a)

Principio de Información

art. 15

art. 5 arts. 23 a 35 arts. 18 y 19

arts. 10 y 11

Principio de Calidad

art. 11

art. 4.3 y 4.4 arts. 36 a 39 art. 8.5; 8.6 y 8.7

art. 6

Principio de Proporcionalidad

art. 13

art. 4.1 arts. 45 y 46 art. 8.4

art. 6.1.c)

Principios de Licitud y Lealtad

art. 7

art. 4.7 arts. 10 y 44 art. 8.1

arts. 5 y 6.1.a)

Principio de Finalidad

art. 12

art. 4.2 arts. 40 a 43 art. 8.2 y 8.3

art. 6.1.b)

Principio de Responsabilidad

art. 14

No existe arts. 47 y 48 No existe

No existe

Como puede apreciarse, existen claros antecedentes de la LFPD en los cuerpos legales europeos de referencia. La comparativa, desde luego, no es exhaustiva y puede extenderse a disposiciones más específicas. El acceso a los textos completos de la normativa analizada, a través de los links correspondientes, así como la consulta exhaustiva de los artículos mencionados (y del resto de sus disposiciones), queda en manos de aquellos que deseen profundizar en ello.

Esta realidad, y el hecho de que mi primer contacto y desarrollo profesional esté relacionado con la normativa española y europea, servirán como pretexto para que en futuras entradas de este blog recuerde y traiga a colación informes jurídicos, opiniones y resoluciones que seguramente nos ayudarán a resolver dudas sobre el cumplimiento y la aplicación de la LFPD, mediante un ejercicio de derecho comparado que sólo puedo vislumbrar como enriquecedor.

Serán ustedes, amigos, quienes finalmente decidan si dicho ejercicio cumple este objetivo.

Hasta el próximo post.