Internacional

Investigaciones y Verificaciones del INAI. ¿Estarías preparado?

Parece mentira, pero aunque nuestra Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPD) fue publicada allá por el mes de julio de 2010, algunas personas siguen creyendo que el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) no realiza funciones de investigación por la presunta comisión de infracciones en materia de datos personales.

No me refiero a la capacidad del INAI para imponer multas y ordenar su cobro a través del Servicio de Administración Tributaria (que existe y se ejerce), sino a la existencia de las funciones de investigación y verificación que preceden a cualquier posible multa por violación a las disposiciones de la LFPD.

Creer que el INAI no investiga ni verifica presuntas violaciones a la LFPD coloca a cualquier responsable (y encargado) en una posición vulnerable, que lo puede llevar a menospreciar el valor y la necesidad de las múltiples acciones de cumplimiento que se deben adoptar para cumplir con esta normativa.

Nuestra práctica en la materia permite abordar esta cuestión de forma práctica, con ejemplos elegidos de distintos procedimientos de investigación y verificación en los cuales he asesorado a distintas empresas.

5 días habiles

En términos generales, ese es el plazo que el INAI concede a los sujetos investigados para cumplir con sus requerimientos de información y documentación, cuando aquel da inicio a una investigación o profundiza en el conocimiento de los hechos durante una verificación.

¿Les parece poco tiempo?

Mi posición personal al respecto es que, ante cualquier requerimiento de información y documentación del INAI, cualquier responsable o encargado de datos personales, en estado de cumplimiento, puede contestar un requerimiento del INAI dentro de un plazo de 3 días hábiles (o menos, inclusive).

En términos coloquiales, soy de la idea de que quien tiene la casa ordenada puede recibir visitas en cualquier momento.

El (dichoso) Aviso de Privacidad

No lo duden, si el INAI decide investigar a un responsable (de oficio o a petición de parte), preguntará por este famoso documento:

Imagen1

Imagen1BIS

Al respecto, debemos ser concientes que el INAI no sólo busca conocer sobre la existencia del Aviso de Privacidad relacionado con su investigación, sino que además recabará información sobre la forma y el momento en que ponemos a disposición ese documento.

Como en cualquiera de los ejemplos que veremos, de la respuesta que brindemos a este sencillo requerimiento podrán desprenderse diversas consecuencias para el investigado.

Datos recabados, finalidades y consentimiento

Dentro de una investigación iniciada a petición de parte, el INAI también tendrá interés en saber:

  1. Qué tipo y qué número de datos personales hemos recabado de la persona denunciante, o de otros titulares de datos personales,
  2. Cuáles son las finalidades para las cuales hemos recabado esos datos,
  3. La forma en que hemos obtenido el consentimiento del denunciante para poder llevar a cabo el tratamiento de sus datos.

Imagen2

Imagen8

Como pueden apreciar, nuestras respuestas deben ser congruentes, dado que esta información tiene relación directa con el aviso de privacidad que el INAI ya nos habrá solicitado aportar; así por ejemplo, resultaría contradictorio indicar que hemos recabado 15 tipos de datos personales del denunciante mientras en el aviso de privacidad entregado indicamos que sólo recabamos 5 o 10 tipos de datos personales, o tratar los datos personales para finalidades de publicidad o prospección comercial y no enumerar esa finalidad en el mencionado aviso.

Conocimiento y organización de nuestras bases de datos

Los siguientes son ejemplos puntuales de dos investigaciones, pero demuestran que al INAI interesa conocer las particularidades de los tratamientos de datos personales que investiga; identificar si contamos con información suficiente alrededor de los hechos investigados (en lo particular) y sobre el tratamiento de datos personales en nuestra propia organización (en lo general):

Imagen7

Imagen3

Imagen4

Contar con la capacidad para responder a este tipo de preguntas presupone que como responsables de datos personales:

  1. Contamos con un inventario de nuestras bases de datos,
  2. Conocemos el contenido y organización de dichas bases de datos,
  3. Conocemos las finalidades del tratamiento de los datos personales,
  4. Podemos identificar las áreas y el personal de nuestra organización con acceso a las bases de datos.
  5. Conocemos los sistemas de información que se utilizan para tratar los datos personales.

Nuestro personal, nuestra responbilidad

La tentación de culpar al empleado de turno por una posible infracción de la LFPD es enorme y no ha desaparecido de nuestro medio; incluso algunos apelan al “sentido común” de los colaboradores como “vacuna” contra posibles violaciones a la ley de protección de datos personales.

No obstante lo anterior, nunca debemos olvidar que la capacitación del personal en materia de protección de datos personales forma parte del conjunto de las medidas de seguridad administrativas que debemos adoptar para proteger los datos personales (artículo 2, fracción V del Reglamento de la LFPD) y que, de hecho, contar con un programa de capacitación forma parte de las medidas contempladas como medios para cumplir con el Principio de Responsabilidad (artículo 48, fracción II del Reglamento de la LFPD).

Por esta razón, no debe extrañar que en determinadas investigaciones el INAI requiera información sobre las funciones de nuestro personal, su capacidad de acceso a datos personales y la existencia de capacitación en la materia:

Imagen5

Imagen5BIS
Imagen6
Imagen6BIS

Puesta a disposición del aviso de privacidad

No basta contar con estos avisos en un escritorio a la entrada de nuestras oficinas o que existan publicados en el último link de nuestra página web; debemos asegurar que cualquier medio a través del cual recabamos u obtenemos datos personales pone a disposición el aviso de privacidad correspondiente, en cualquiera de los modos que la normativa prevé (de forma directa o de forma personal).

Estos son ejemplos que ilustran la importancia de la forma y el momento de poner a disposición nuestros avisos de privacidad, y la relevancia que estos hechos pueden tener para el INAI durante una investigación o verificación de hechos:

Imagen10

Imagen10BIS

Responsable o Departamento de Datos Personales

Llegados a este punto, y dado que los principios y obligaciones previstos por la LFPD son múltiples y variados, pongamos sobre la mesa un último ejemplo, para demostrar que en el marco de una investigación o verificación el INAI podrá requerir información relacionada con cualesquiera de las obligaciones previstas por la normativa. Aquí, la designación a que se refiere el artículo 30 de la LFPD:

Imagen11

Dicho todo lo anterior, y con ejemplos reales de por medio, sólo preguntaría a cada uno de ustedes: Si el día de mañana el INAI iniciara una investigación porque mi organización ha sido denunciada, ¿estaríamos listos para contestar de manera integral, dentro del plazo concedido?

¡Hasta la próxima!

Imagen de geralt, via pixabay.

Anuncios

Protección de datos personales en Iberoamérica. Un nuevo libro para analizar hacia dónde se dirige la región

Aún tengo fresco en la memoria el momento en que Daniel López Carballo y Paco González-Calero me contactaron para preguntar si conocía y me interesaba participar en la iniciativa  Observatorio Iberoamericano de Protección de Datos; era el mes de abril de 2014.

En aquel entonces no solo conocía “El Observatorio”, sino que aplaudía este movimiento iniciado por Daniel, por los resultados que ya entonces se veían. Por supuesto, acepté con mucho gusto la invitación, y desde entonces he realizado contribuciones que (la verdad) me gustaría fueran más frecuentes.

Hoy, 20 de abril de 2017, podemos ver que la iniciativa no se ha detenido y que ésta llega a todos los rincones de la región a la que se dirige, pues la Defensoría del Pueblo de Buenos Aires (Argentina) anunció la publicación de libro electrónico “Hacia una efectiva protección de los datos en Iberoamérica“, donde se recopilan todas las Declaraciones que El Observatorio ha promovido y presentado en diversas capitales de América Latina.

Creo que la lista de autores y los países a los que representan, da cuenta de la influencia que El Observatorio ha alcanzado:

eBook Autores

Completo esta entrada compartiendo el link donde pueden descargar, de forma gratuita, este nuevo libro. Hagan clic, AQUÍ.

¡Hasta el próximo post!

Image courtesy of adamr at FreeDigitalPhotos.net

¿¡Qué estás mirando!?

En el último post, me referí a la obligación que existe a partir de nuestra normativa de protección de datos personales, para que los responsables que captan imágenes a través de sistemas de videovigilancia para finalidades de seguridad y análogas, informen sobre este tratamiento de datos a través de los Avisos cortos a que se refieren los Lineamientos del Aviso de Privacidad y el modelo recomendado por el propio INAI.

Pues bien, tal y como mencioné, existen otras varias cuestiones a tomar en cuenta cuando de videograbar se trata, y de hacerlo conforme a los principios relativos al tratamiento de datos personales.

En esta ocasión, quiero traer a colación a una situación tan común en nuestro entorno, algo que se da por hecho de forma tan automática, que las propias autoridades perfectamente asumen como posible y, al parecer, lícito.

Me refiero a las imágenes captadas por sistemas de videovigilancia privados que en función de la orientación y sofisticación de las videocámaras del sistema, permiten la obtención de imágenes de la vía pública y de personas que transitan por ese espacio público; imágenes que, podemos fácilmente recordar, en ocasiones son utilizadas para la investigación de delitos, gracias a la información que permiten obtener debido precisamente a esa orientación.

No quiero ser agorero, pero debo decir que esas imágenes son ilegales, y que llegado el caso, un buen abogado podría desvirtuar su validez como prueba en un procedimiento determinado. De hecho, quien capta imágenes de tan amplio contenido, pudiendo alcanzar la finalidad de seguridad que la mayoría de estos sistemas persigue, grabando una porción menor de la vía pública y de las personas que por ella transitan, está violando la LFPD, y podría ser multado por ello.

Pero vayamos por partes para entendernos.

La captación de imágenes a través de sistemas de videovigilancia, en la medida en que éstas se refieran, entre otro contenido, a personas físicas identificadas o identificables, debe cumplir con todos los principios relativos al tratamiento de datos personales, de los cuales voy a destacar el de proporcionalidad.

Conforme a dicho principio, para alcanzar la finalidad (lícita) de cualquier tratamiento de datos personales, deberemos tratar únicamente aquéllos que resulten necesarios y relevantes en relación, precisamente, con dicha finalidad.

En este sentido, si la finalidad de un sistema de videovigilancia es la seguridad de un edificio de oficinas o de viviendas, resulta necesario asegurar que para conseguir esa finalidad no se recabe más información de la estrictamente necesaria para alcanzarla, lo cual se asegura grabando exclusivamente el entorno protegido y, excepcionalmente, la vía pública, dado que no resulta indispensable hacerlo para lograr la finalidad indicada. Si las cámaras de un sistema específico graban espacios públicos que resultan innecesarios para asegurar el espacio que se pretende proteger, trataríamos información desproporcionada y violaríamos la Ley.

Al respecto, quiero indicar que estas consideraciones no son gratuitas, sino que se trata de cuestiones que en otros lares ya han sido ampliamente analizadas y definidas.

Así por ejemplo, en el Reino Unido la ICO ha emitido un Código de Conducta sobre Circuitos Cerrados de Televisión (CCTV Code of Practice) en el que se advierte a los responsables de datos personales que pretenden instalar un sistema de videovigilancia, que “la información recogida por un sistema de vigilancia debe ser adecuada para el propósito por el cual [el responsable] está recabando esa información. El tipo de sistema [elegido] y la ubicación en la que opera también debe lograr los fines para los [se está usando]” (pág. 23).

En el mismo Código de Conducta, también se indica que “las cámaras deberán ser colocadas y el sistema deberá tener las especificaciones técnicas necesarias para asegurar que no sean visibles ni se graben imágenes innecesarias, y las que se graben sean de la calidad adecuada” y se recomienda a los responsables preguntarse: “¿Ha elegido cuidadosamente la ubicación de la cámara para minimizar los espacios de visualización que no son de interés para los fines para los que está utilizando el CCTV?” (pág. 24).

En España, su Agencia de Protección de Datos ha emitido la Instrucción 1/2006 sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras, en la que se establecen cuestiones específicas como:

 “2. Sólo se considerará admisible la instalación de cámaras o videocámaras cuando la finalidad de vigilancia no pueda obtenerse mediante otros medios que, sin exigir esfuerzos desproporcionados, resulten menos intrusivos para la intimidad de las personas y para su derecho a la protección de datos de carácter personal

3. Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida.”

De estas breves consideraciones, y con independencia de un análisis pormenorizado de situaciones específicas, cabe concluir que si un sistema de videovigilancia privado ha llevado a cabo la grabación de una persona identificada o identificable en la vía pública, donde cabe demostrar que ese sistema obtuvo estas imágenes de forma ilícita, por haber captado un espacio público que no era necesario grabar para asegurar la finalidad del sistema, esta grabación y la información en ella contenida vulnera nuestra normativa de protección de datos personales.

En estos casos, cabe igualmente concluir que el alcance y sentido de lo dispuesto por el artículo 16 de nuestra Constitución, en relación con el secreto de las comunicaciones y las “intervenciones autorizadas”, brinda también protección a las personas respecto de aquellas grabaciones obtenidas por sistemas de videovigilancia, debiendo carecer de cualquier valor probatorio aquellas imágenes de personas físicas identificadas o identificables que hubiesen sido obtenidas en contravención a los principios sobre el tratamiento de datos personales que contempla la LFPD.

Finalmente, para aquellos de ustedes que quieran conocer un poco más sobre las recomendaciones e informes jurídicos que al respecto se han emitido en los dos países de referencia, los invito a visitar:

  1. De la Information Commissioner’s Office: Guide to Data Protection – CCTV, y
  2. De la Agencia Española de Protección de Datos, su sección de Informes Jurídicos sobre Videovigilancia.

Hasta el próximo post…

(Imagen cortesía de adamr en FreeDigitalPhotos.net)