Datos Personales

Investigaciones y Verificaciones del INAI. ¿Estarías preparado?

Parece mentira, pero aunque nuestra Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPD) fue publicada allá por el mes de julio de 2010, algunas personas siguen creyendo que el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) no realiza funciones de investigación por la presunta comisión de infracciones en materia de datos personales.

No me refiero a la capacidad del INAI para imponer multas y ordenar su cobro a través del Servicio de Administración Tributaria (que existe y se ejerce), sino a la existencia de las funciones de investigación y verificación que preceden a cualquier posible multa por violación a las disposiciones de la LFPD.

Creer que el INAI no investiga ni verifica presuntas violaciones a la LFPD coloca a cualquier responsable (y encargado) en una posición vulnerable, que lo puede llevar a menospreciar el valor y la necesidad de las múltiples acciones de cumplimiento que se deben adoptar para cumplir con esta normativa.

Nuestra práctica en la materia permite abordar esta cuestión de forma práctica, con ejemplos elegidos de distintos procedimientos de investigación y verificación en los cuales he asesorado a distintas empresas.

5 días habiles

En términos generales, ese es el plazo que el INAI concede a los sujetos investigados para cumplir con sus requerimientos de información y documentación, cuando aquel da inicio a una investigación o profundiza en el conocimiento de los hechos durante una verificación.

¿Les parece poco tiempo?

Mi posición personal al respecto es que, ante cualquier requerimiento de información y documentación del INAI, cualquier responsable o encargado de datos personales, en estado de cumplimiento, puede contestar un requerimiento del INAI dentro de un plazo de 3 días hábiles (o menos, inclusive).

En términos coloquiales, soy de la idea de que quien tiene la casa ordenada puede recibir visitas en cualquier momento.

El (dichoso) Aviso de Privacidad

No lo duden, si el INAI decide investigar a un responsable (de oficio o a petición de parte), preguntará por este famoso documento:

Imagen1

Imagen1BIS

Al respecto, debemos ser concientes que el INAI no sólo busca conocer sobre la existencia del Aviso de Privacidad relacionado con su investigación, sino que además recabará información sobre la forma y el momento en que ponemos a disposición ese documento.

Como en cualquiera de los ejemplos que veremos, de la respuesta que brindemos a este sencillo requerimiento podrán desprenderse diversas consecuencias para el investigado.

Datos recabados, finalidades y consentimiento

Dentro de una investigación iniciada a petición de parte, el INAI también tendrá interés en saber:

  1. Qué tipo y qué número de datos personales hemos recabado de la persona denunciante, o de otros titulares de datos personales,
  2. Cuáles son las finalidades para las cuales hemos recabado esos datos,
  3. La forma en que hemos obtenido el consentimiento del denunciante para poder llevar a cabo el tratamiento de sus datos.

Imagen2

Imagen8

Como pueden apreciar, nuestras respuestas deben ser congruentes, dado que esta información tiene relación directa con el aviso de privacidad que el INAI ya nos habrá solicitado aportar; así por ejemplo, resultaría contradictorio indicar que hemos recabado 15 tipos de datos personales del denunciante mientras en el aviso de privacidad entregado indicamos que sólo recabamos 5 o 10 tipos de datos personales, o tratar los datos personales para finalidades de publicidad o prospección comercial y no enumerar esa finalidad en el mencionado aviso.

Conocimiento y organización de nuestras bases de datos

Los siguientes son ejemplos puntuales de dos investigaciones, pero demuestran que al INAI interesa conocer las particularidades de los tratamientos de datos personales que investiga; identificar si contamos con información suficiente alrededor de los hechos investigados (en lo particular) y sobre el tratamiento de datos personales en nuestra propia organización (en lo general):

Imagen7

Imagen3

Imagen4

Contar con la capacidad para responder a este tipo de preguntas presupone que como responsables de datos personales:

  1. Contamos con un inventario de nuestras bases de datos,
  2. Conocemos el contenido y organización de dichas bases de datos,
  3. Conocemos las finalidades del tratamiento de los datos personales,
  4. Podemos identificar las áreas y el personal de nuestra organización con acceso a las bases de datos.
  5. Conocemos los sistemas de información que se utilizan para tratar los datos personales.

Nuestro personal, nuestra responbilidad

La tentación de culpar al empleado de turno por una posible infracción de la LFPD es enorme y no ha desaparecido de nuestro medio; incluso algunos apelan al “sentido común” de los colaboradores como “vacuna” contra posibles violaciones a la ley de protección de datos personales.

No obstante lo anterior, nunca debemos olvidar que la capacitación del personal en materia de protección de datos personales forma parte del conjunto de las medidas de seguridad administrativas que debemos adoptar para proteger los datos personales (artículo 2, fracción V del Reglamento de la LFPD) y que, de hecho, contar con un programa de capacitación forma parte de las medidas contempladas como medios para cumplir con el Principio de Responsabilidad (artículo 48, fracción II del Reglamento de la LFPD).

Por esta razón, no debe extrañar que en determinadas investigaciones el INAI requiera información sobre las funciones de nuestro personal, su capacidad de acceso a datos personales y la existencia de capacitación en la materia:

Imagen5

Imagen5BIS
Imagen6
Imagen6BIS

Puesta a disposición del aviso de privacidad

No basta contar con estos avisos en un escritorio a la entrada de nuestras oficinas o que existan publicados en el último link de nuestra página web; debemos asegurar que cualquier medio a través del cual recabamos u obtenemos datos personales pone a disposición el aviso de privacidad correspondiente, en cualquiera de los modos que la normativa prevé (de forma directa o de forma personal).

Estos son ejemplos que ilustran la importancia de la forma y el momento de poner a disposición nuestros avisos de privacidad, y la relevancia que estos hechos pueden tener para el INAI durante una investigación o verificación de hechos:

Imagen10

Imagen10BIS

Responsable o Departamento de Datos Personales

Llegados a este punto, y dado que los principios y obligaciones previstos por la LFPD son múltiples y variados, pongamos sobre la mesa un último ejemplo, para demostrar que en el marco de una investigación o verificación el INAI podrá requerir información relacionada con cualesquiera de las obligaciones previstas por la normativa. Aquí, la designación a que se refiere el artículo 30 de la LFPD:

Imagen11

Dicho todo lo anterior, y con ejemplos reales de por medio, sólo preguntaría a cada uno de ustedes: Si el día de mañana el INAI iniciara una investigación porque mi organización ha sido denunciada, ¿estaríamos listos para contestar de manera integral, dentro del plazo concedido?

¡Hasta la próxima!

Imagen de geralt, via pixabay.

Anuncios

¿Son discriminatorias las decisiones automatizadas de Movistar-España?

Tengo un amigo.

Este amigo ha vivido en España desde hace más de 10 años, cuando cambió de residencia desde su país de nacimiento.

Hace poco, obtuvo la nacionalidad española y lleva varios meses recordando todos los sitios y trámites donde dejó su Número de Identidad de Extranjero (NIE), para cambiarlo por su nuevo DNI (el número de su Documento Nacional de Identidad).

Para los que no están familiarizados con los conceptos de NIE y DNI, sepan que se trata de unos de los datos personales identificativos más relevantes en España; son usados en todo tipo de trámites públicos y privados.

Pero les estaba diciendo… desde hace 8 años, este amigo es cliente de Movistar y hasta donde él alcanza a jurar y re-jurar, siempre ha pagado puntualmente todas sus facturas; además, a día de hoy tiene todo con ellos: el móvil, el teléfono fijo, la banda ancha y la televisión.

Era feliz mi amigo, cuando hace un año quiso cambiar de móvil y, por primera vez en todo este tiempo, pensó en pedir financiación a Movistar para adquirir su nuevo equipo; algo nada caro, un móvil de menos de 400 euros.

En la tienda, el empleado de Movistar le informó que para financiar su equipo tenía que solicitar autorización a “la financiera de Movistar”: “Una cosa rápida. En menos de 5 minutos sabremos si te autorizan la financiación”.

La cosa comenzó “mal” cuando, después de pedirle su DNI, mi amigo indicó que tenía NIE. “En tal caso necesitamos tu nómina”, a lo que mi amigo respondió con mucha honra “Soy autónomo” y preguntó qué se hacía en estos casos “tan raros”.

Con un poco de displicencia, le dijeron que “entonces” tendría que presentar una copia de su última declaración de la renta. Estaban de suerte, justo traía una copia en el móvil y pudo facilitarla por correo electrónico. Sin embargo, hasta donde él sabe, nunca usaron los datos de su declaración, por las razones que ahora explicaré.

Cuando hubo indicado el modelo del móvil que deseaba, el empleado de la tienda ingresó el NIE de mi amigo en “el sistema”, espero algunos segundo y acto seguido sentenció: “No ha sido autorizada, no han autorizado tu financiación”.

Mi amigo le dijo al empleado: “¿No autorizaron una financiación de 13 euros al mes? ¿Sabes que he sido cliente por muchos años de Movistar y que nunca he tenido ningún problema con ellos? Cada mes les pagó más de 80 euros”. La respuesta fue emblemática: “No es cosa de Movistar. Tu relación con ellos es independiente; la que autoriza o niega es “la financiera”. “No les interesa tu historial con Movistar”.

Lo cierto es que mi amigo se quedó con una sensación incomoda; una cierta seguridad de que “algo” no había salido bien debido a que era autónomo, extranjero o ambos al mismo tiempo. Cuando lo analizó con más calma en su casa, se fue a la cama con una idea en la cabeza: “la financiera de Movistar” no le concedió la financiación debido a un criterio previo y automatizado.

Un año después, y como ya les he contado, este amigo ya contaba con la nacionalidad española y se vio en la necesidad de comunicar su nueva condición a cuantas personas e instituciones puedan imaginar; no obstante, y por raro que parezca, olvidó comunicar su cambio de NIE a DNI a los amigos de Movistar.

¿Cómo se dio cuenta de su error? Pues porque un año después volvió a intentarlo, un año después volvió a pedir a Movistar (a la financiera de Movistar) que le financiera la adquisición de un móvil “nuevecito”.

Cuando el empleado de turno le pidió sus datos, mi amigo proporcionó su nuevo número de identificación, es decir, su DNI. Después de comprobar varias veces, el empleado le preguntó: “Es usted el titular de la línea, ¿verdad? Porque asociado a esta línea, me aparece su nombre, pero otro número de identificación, un NIE.” Y entonces, mi amigo explicó que ese había sido su NIE, y que por lo visto había olvidado actualizar el dato ante Movistar.

El empleado le respondió: “Pues entonces no puedo hacer otra cosa. Tengo que pedir la autorización de la financiación usando el NIE, porque ese es el número que aparece asociado a la línea”. Mi amigo preguntó si además necesitaba aportar su declaración de la renta, a lo que el empleado le contestó: “No es necesario, con el NIE ya nos dice en automático si lo autorizan o no.”

Por supuesto, ustedes ya saben qué sucedió…

Por segunda vez consecutiva, “la financiera de Movistar” negó a mi amigo la financiación de su teléfono móvil y, convencido de lo que estaba pasando, se giró a ver su novia para decirle: “Me lo niegan por ser extranjero… si ingresan un NIE, en automático te niegan la financiación.” El empleado escuchó su comentario y le dijo de manera espontánea: “¡Hombre, eso no es laaaaaaa regla!” “Alguna vez sí conceden financiación si tienes un NIE”. Silencio a continuación.

Sin ánimo de confrontación, mi amigo preguntó cómo podía cambiar su información y el empleado le dijo que tendría que llamar a Movistar para solicitar la actualización de sus datos personales; tarea que logró concluir dos días después, tras comprobar en la web de Movistar que sus datos fiscales indicaban que su NIF correspondía con su DNI.

Con la convicción reforzada, y a pesar de no contar con tiempo para estos menesteres, mi amigo acudió a otra tienda Movistar, y solicitó financiación para un nuevo móvil. En esta ocasión lo atendió una empleada, quien con toda naturalidad le pidió sus datos de identificación y comprobó “en el sistema” la titularidad de la línea móvil… y comprobó que tiene un contrato Fusión… y comprobó una vez más la titularidad de la línea, y mi amigo supo que en esa pantalla aparecía, asociado a su número móvil, un DNI.

Para terminar de comprobar sus sospechas, mi amigo le ofreció a la empleada de Movistar su última declaración de la renta. Ésta le respondió: “¡Ohhhh!, ¡No!, No es necesario. Con tu DNI es suficiente; de inmediato nos dicen si autorizan o no la financiación” … Y regresó la mirada a la pantalla del ordenador.

Después de unos segundos de expectación, la empleada, sin decir nada, dio media vuelta y entró en un pequeño cuarto que estaba a sus espaldas; cuando salió portaba en sus manos una cajita negra, acompañada de una sonrisa: “El último que nos quedaba”. Y a partir de ahí, todo fue miel sobre hojuelas: copia del DNI, firma por aquí, firma por allá… y un móvil nuevo financiado, en poder de mi amigo.

La misma persona, pero con dos números de identificación diferentes, obtuvo resultados igualmente diferentes. Cuando pidió su financiación con un NIE: RECHAZADA, sin mediar explicación. Dos días después, la misma operación con su DNI: AUTORIZADA sin mayor trámite.

Por su puesto, mi amigo soy YO.

Es evidente, ¿no?

Lo que acabo de contar lo he vivido en primera persona; todas las sospechas y todos los cabreos asociados a la sensación de haber sido discriminado por el hecho de ser extranjero, los he vivido yo. No tengo la menor duda que así funcionan las cosas con “la financiera de Movistar”. Esta empresa denegó las financiaciones que solicité, en dos ocasiones, porque en su sistema se ingresó un NIE; y cuando solicité lo mismo, con un DNI en la mano, ¡sorpresa! financiación concedida.

Para completar “la experiencia del usuario” (lector de este blog), voy a pedir a Telefónica Consumer Finance (la financiera de Telefónica) que me proporcione información con fundamento en los artículos 13 de la Ley Orgánica 15/1999 (LOPD) y 36 del Reglamento de la LOPD, en relación con la última financiación que denegó al titular del NIE X0000000X. En concreto, deseo conocer cuáles han sido los criterios de valoración utilizados para rechazar la financiación que solicité, y en última instancia el programa usado para hacerlo.

¿Y qué dicen esos artículos?

Pues aquí los tienen:

Artículo 13 Impugnación de valoraciones

1. Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad.

2. El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad.

3. En este caso, el afectado tendrá derecho a obtener información del responsable del fichero sobre los criterios de valoración y el programa utilizados en el tratamiento que sirvió para adoptar la decisión en que consistió el acto.

4. La valoración sobre el comportamiento de los ciudadanos, basada en un tratamiento de datos, únicamente podrá tener valor probatorio a petición del afectado.

Artículo 36 Derecho de oposición a las decisiones basadas únicamente en un tratamiento automatizado de datos

Los interesados tienen derecho a no verse sometidos a una decisión con efectos jurídicos sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, tales como su rendimiento laboral, crédito, fiabilidad o conducta.

No obstante, los afectados podrán verse sometidos a una de las decisiones contempladas en el apartado 1 cuando dicha decisión:

a) Se haya adoptado en el marco de la celebración o ejecución de un contrato a petición del interesado, siempre que se le otorgue la posibilidad de alegar lo que estimara pertinente, a fin de defender su derecho o interés. En todo caso, el responsable del fichero deberá informar previamente al afectado, de forma clara y precisa, de que se adoptarán decisiones con las características señaladas en el apartado 1 y cancelará los datos en caso de que no llegue a celebrarse finalmente el contrato.

b) Esté autorizada por una norma con rango de Ley que establezca medidas que garanticen el interés legítimo del interesado.

Para más inri, deben saber que en ningún momento se me proporcionó la información a que se refiere el artículo 26.2.a) del Reglamento de la LOPD; es decir, no se me informó que la decisión sobre la financiación que solicitaba sería tomada a partir del tratamiento automatizado de mis datos personales y que se evaluarían características de mi persona, a partir de dicha información.

Creo que será interesante conocer la respuesta del responsable y, si vale la pena, compartiré en este espacio la respuesta (o el silencio) que reciba por parte de la famosa financiera. También, espero seguir contando con conexión a Internet, para actualizar este blog. Hay mucho de donde cortar, y desde luego puedo estar equivocado en mis sospechas… pero como dicen en estas tierras ibéricas desde las que ahora escribo: “blanco y en botella”.

Mientras eso sucede, deseo dejar claro que no tengo nada en contra del uso de medios automatizados para la toma de decisiones que pueden afectar de manera significativa a los interesados o que tienen efectos jurídicos sobre ellos; sin embargo, y más allá de lo que les he contado el día de hoy, sí soy contrario (y la ley, también lo es), a que los criterios empleados para la toma de esas decisiones tengan carácter discriminatorio.

Como es obvio, existen numerosas razones por las cuales cualquier entidad financiera puede negar la solicitud de financiación, a cualquier persona… lo importante es dejar claro si el primer y gran filtro que utiliza para determinar su decisión final es la nacionalidad del solicitante y si existe en su operación, como regla general, la negación automática de cualquier solicitud proveniente de este tipo de interesados/afectados.

PD. Si eres de México, debería interesarte leer el artículo 112 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares:

Tratamiento de datos personales en decisiones sin intervención humana valorativa

Artículo 112. Cuando se traten datos personales como parte de un proceso de toma de decisiones sin que intervenga la valoración de una persona física, el responsable deberá informar al titular que esta situación ocurre.

Asimismo, el titular podrá ejercer su derecho de acceso, a fin de conocer los datos personales que se utilizaron como parte de la toma de decisión correspondiente y, de ser el caso, el derecho de rectificación, cuando considere que alguno de los datos personales utilizados sea inexacto o incompleto, para que, de acuerdo con los mecanismos que el responsable tenga implementados para tal fin, esté en posibilidad de solicitar la reconsideración de la decisión tomada.

¡Hasta el próximo post!

Mejorar los aspectos de privacidad y protección de datos, en un NAFTA renegociado. Entrevista en Bloomberg BNA.

Aunque el Tratado de Libre Comercio de América del Norte (TLCAN o NAFTA) no entró en vigor sino hasta el 1 de enero de 1994, lo cierto es que su contenido y alcance es el producto de años de negociaciones, que en su mayoría se produjeron durante los primeros años de la década de los 90.

En este contexto, ¿es de extrañar que el entorno digital y la protección de datos personales, como resultado del intercambio de bienes y servicios, no fuese contemplada en este tratado? Desde luego que no… eren, en verdad, otros tiempos.

En 2017, no es posible concebir que las negociaciones sobre un tratado de libre comercio sean ajenas al entorno digital que prevalece en nuestra sociedad, y que el intercambio de información para el desenvolvimiento del libre comercio se lleve a cabo sin un estándar de protección mínimo, para las datos personales que deben intercambiarse.

En este escenario, Emily Pickrell (Bloomberg® BNA) nos preguntó a Joel Gómez Treviño y un servidor, sobre nuestra posición entorno a la privacidad como parte de las negociaciones de un NAFTA renovado, y aprovechó la ocasión para preguntar sobre nuestra posición en relación con el Derecho al Olvido, Google® y la forma en que México ha abordado esta cuestión a partir de la aplicación de nuestra Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Pueden acceder al texto de la entrevista, en este enlace.

Imágenes de banderas, cortesía de Pixabay; la composición es nuestra.