INAI

Investigaciones y Verificaciones del INAI. ¿Estarías preparado?

Parece mentira, pero aunque nuestra Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPD) fue publicada allá por el mes de julio de 2010, algunas personas siguen creyendo que el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) no realiza funciones de investigación por la presunta comisión de infracciones en materia de datos personales.

No me refiero a la capacidad del INAI para imponer multas y ordenar su cobro a través del Servicio de Administración Tributaria (que existe y se ejerce), sino a la existencia de las funciones de investigación y verificación que preceden a cualquier posible multa por violación a las disposiciones de la LFPD.

Creer que el INAI no investiga ni verifica presuntas violaciones a la LFPD coloca a cualquier responsable (y encargado) en una posición vulnerable, que lo puede llevar a menospreciar el valor y la necesidad de las múltiples acciones de cumplimiento que se deben adoptar para cumplir con esta normativa.

Nuestra práctica en la materia permite abordar esta cuestión de forma práctica, con ejemplos elegidos de distintos procedimientos de investigación y verificación en los cuales he asesorado a distintas empresas.

5 días habiles

En términos generales, ese es el plazo que el INAI concede a los sujetos investigados para cumplir con sus requerimientos de información y documentación, cuando aquel da inicio a una investigación o profundiza en el conocimiento de los hechos durante una verificación.

¿Les parece poco tiempo?

Mi posición personal al respecto es que, ante cualquier requerimiento de información y documentación del INAI, cualquier responsable o encargado de datos personales, en estado de cumplimiento, puede contestar un requerimiento del INAI dentro de un plazo de 3 días hábiles (o menos, inclusive).

En términos coloquiales, soy de la idea de que quien tiene la casa ordenada puede recibir visitas en cualquier momento.

El (dichoso) Aviso de Privacidad

No lo duden, si el INAI decide investigar a un responsable (de oficio o a petición de parte), preguntará por este famoso documento:

Imagen1

Imagen1BIS

Al respecto, debemos ser concientes que el INAI no sólo busca conocer sobre la existencia del Aviso de Privacidad relacionado con su investigación, sino que además recabará información sobre la forma y el momento en que ponemos a disposición ese documento.

Como en cualquiera de los ejemplos que veremos, de la respuesta que brindemos a este sencillo requerimiento podrán desprenderse diversas consecuencias para el investigado.

Datos recabados, finalidades y consentimiento

Dentro de una investigación iniciada a petición de parte, el INAI también tendrá interés en saber:

  1. Qué tipo y qué número de datos personales hemos recabado de la persona denunciante, o de otros titulares de datos personales,
  2. Cuáles son las finalidades para las cuales hemos recabado esos datos,
  3. La forma en que hemos obtenido el consentimiento del denunciante para poder llevar a cabo el tratamiento de sus datos.

Imagen2

Imagen8

Como pueden apreciar, nuestras respuestas deben ser congruentes, dado que esta información tiene relación directa con el aviso de privacidad que el INAI ya nos habrá solicitado aportar; así por ejemplo, resultaría contradictorio indicar que hemos recabado 15 tipos de datos personales del denunciante mientras en el aviso de privacidad entregado indicamos que sólo recabamos 5 o 10 tipos de datos personales, o tratar los datos personales para finalidades de publicidad o prospección comercial y no enumerar esa finalidad en el mencionado aviso.

Conocimiento y organización de nuestras bases de datos

Los siguientes son ejemplos puntuales de dos investigaciones, pero demuestran que al INAI interesa conocer las particularidades de los tratamientos de datos personales que investiga; identificar si contamos con información suficiente alrededor de los hechos investigados (en lo particular) y sobre el tratamiento de datos personales en nuestra propia organización (en lo general):

Imagen7

Imagen3

Imagen4

Contar con la capacidad para responder a este tipo de preguntas presupone que como responsables de datos personales:

  1. Contamos con un inventario de nuestras bases de datos,
  2. Conocemos el contenido y organización de dichas bases de datos,
  3. Conocemos las finalidades del tratamiento de los datos personales,
  4. Podemos identificar las áreas y el personal de nuestra organización con acceso a las bases de datos.
  5. Conocemos los sistemas de información que se utilizan para tratar los datos personales.

Nuestro personal, nuestra responbilidad

La tentación de culpar al empleado de turno por una posible infracción de la LFPD es enorme y no ha desaparecido de nuestro medio; incluso algunos apelan al “sentido común” de los colaboradores como “vacuna” contra posibles violaciones a la ley de protección de datos personales.

No obstante lo anterior, nunca debemos olvidar que la capacitación del personal en materia de protección de datos personales forma parte del conjunto de las medidas de seguridad administrativas que debemos adoptar para proteger los datos personales (artículo 2, fracción V del Reglamento de la LFPD) y que, de hecho, contar con un programa de capacitación forma parte de las medidas contempladas como medios para cumplir con el Principio de Responsabilidad (artículo 48, fracción II del Reglamento de la LFPD).

Por esta razón, no debe extrañar que en determinadas investigaciones el INAI requiera información sobre las funciones de nuestro personal, su capacidad de acceso a datos personales y la existencia de capacitación en la materia:

Imagen5

Imagen5BIS
Imagen6
Imagen6BIS

Puesta a disposición del aviso de privacidad

No basta contar con estos avisos en un escritorio a la entrada de nuestras oficinas o que existan publicados en el último link de nuestra página web; debemos asegurar que cualquier medio a través del cual recabamos u obtenemos datos personales pone a disposición el aviso de privacidad correspondiente, en cualquiera de los modos que la normativa prevé (de forma directa o de forma personal).

Estos son ejemplos que ilustran la importancia de la forma y el momento de poner a disposición nuestros avisos de privacidad, y la relevancia que estos hechos pueden tener para el INAI durante una investigación o verificación de hechos:

Imagen10

Imagen10BIS

Responsable o Departamento de Datos Personales

Llegados a este punto, y dado que los principios y obligaciones previstos por la LFPD son múltiples y variados, pongamos sobre la mesa un último ejemplo, para demostrar que en el marco de una investigación o verificación el INAI podrá requerir información relacionada con cualesquiera de las obligaciones previstas por la normativa. Aquí, la designación a que se refiere el artículo 30 de la LFPD:

Imagen11

Dicho todo lo anterior, y con ejemplos reales de por medio, sólo preguntaría a cada uno de ustedes: Si el día de mañana el INAI iniciara una investigación porque mi organización ha sido denunciada, ¿estaríamos listos para contestar de manera integral, dentro del plazo concedido?

¡Hasta la próxima!

Imagen de geralt, via pixabay.

Anuncios
Fuente http://es.freeimages.com/photographer/drouu-49945

Vigilas, ¿pero no avisas?

Puestos a cumplir, llama la atención que en México sigamos en fase de incumplimiento extremo cuando de informar a los titulares de datos personales sobre la captación de sus imágenes a través de sistemas de videovigilancia se trata.

La percepción y la realidad es que actualmente no existen tantos avisos legalmente exigidos, como sistemas y videocámaras operan cotidianamente en nuestro país.

Creo que la noción del cumplimiento de la LFPD a través de UN Aviso de Privacidad nos ha llevado a este punto, sumado al concepto de datos personales que aún prevalece en la generalidad de las personas y organizaciones.

Que nuestra imagen sea un dato personal y que por ello merezca la misma protección que otros datos como nuestro nombre, domicilio, estado civil, cuentas bancarias o estado de salud, no resulta obvio para todo el mundo. Conforme a la experiencia acumulada durante los diversos cursos que sobre la materia he impartido en los últimos años en México; muchos aún se sorprenden cuando les indico que los sistemas de videovigilancia que pululan en nuestro entorno están sujetos a la normativa de datos personales.

Por ir directo al grano, insistiré: nuestra imagen, en cualquier tipo de soporte, es un dato personal, en la medida en que se trata de información concerniente a una persona física identificada o identificable.

Conforme a lo anterior, si un particular no exento de la aplicación de la LFPD trata este tipo de información, a través de sistemas propios o cuya instalación, gestión y mantenimiento encarga a un tercero, debe cumplir con la normativa de protección de datos personales.

Aunque existen varias cuestiones a tener en cuenta cuando videovigilamos, tales como las finalidades determinadas de la actividad, la orientación de las cámaras, los plazos de conservación de las imágenes, entre otras, centraré la atención en el cumplimiento del principio de información, en relación con el tratamiento de imágenes captadas a través de estos sistemas para finalidades de seguridad (también conocidos como CCTV o de circuito cerrado).

Como es de conocimiento general, la normativa aplicable indica que los responsables que traten datos personales deberán informar sobre todos los extremos relacionados con dicho tratamiento, a través de avisos de privacidad.

Dos puntos más concretos sobre estos avisos lo constituyen el momento y la modalidad que los responsables pueden utilizar para informar a los titulares sobre el tratamiento de sus datos.

Al respecto, y al margen de las disposiciones aplicables que sustentan la siguiente información, es necesario indicar que el ahora INAI publicó el 7 de julio de 2013 el Comunicado IFAI/065/13, titulado “PERSONAS FÍSICAS Y MORALES QUE VIDEO VIGILEN DEBEN CONTAR CON AVISO DE PRIVACIDAD”, en el que indicó:

“El Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) puso a disposición en su página de Internet un modelo de aviso de privacidad que podrá ser utilizado por los responsables del tratamiento de datos personales que cuentan con sistemas de Video Vigilancia.

 “El aviso de privacidad deberá elaborarse en un formato corto y visible, de tal modo que las personas que accedan a un lugar en donde existan dichos sistemas tengan conocimiento de que están siendo video-grabadas y conozcan quién está a cargo de sus datos personales recabados (imágenes y sonidos) y los usos que se les dará.”

El Modelo de Aviso de Privacidad Corto para Video-Vigilancia (actualizado) dado a conocer por nuestra autoridad de protección de datos personales, cuyo texto íntegro puede ser consultado aquí, establece, entre otras cuestiones, lo siguiente:

“La video-vigilancia (V-V) se define como el uso de cámaras de video fijas o móviles con o sin sonido, o de sistemas cerrados de televisión que involucren la colocación de una o varias cámaras en espacios privados o públicos, limitadas a la supervisión o monitoreo de ese espacio y de las personas que en él se encuentran.”

“La propuesta que se realiza a continuación se trata exclusivamente de un modelo de aviso de privacidad para ser colocado en la zona en la que ocurre la video-vigilancia, cuando la finalidad de esta última sea la seguridad del espacio videovigilado, o cuestiones análogas o compatibles.”

“Se sugiere utilizar la modalidad de aviso de privacidad corto, al que refiere la fracción III del Decimoctavo de los Lineamientos del Aviso de Privacidad en la zona en la que ocurre la V-V.”

“Es importante que el responsable tome en cuenta que el hecho de que difunda el aviso de privacidad en su modalidad corta en la zona en que ocurre la video-vigilancia, no lo exime de su obligación de contar con el aviso de privacidad integral que señala la fracción I del lineamiento antes citado.”

“Los responsables que realicen V-V podrán cumplir con el principio de información colocando avisos visibles para las personas dentro de los espacios sujetos a videograbación, al menos, en la(s) entrada(s) a zonas que se encuentren bajo V-V, independientemente de si son interiores o exteriores.”

“Una manera adicional para cumplir con el principio de información es ubicar el aviso de privacidad en su modalidad corto cerca de la(s) cámara(s) que están siendo utilizadas, siempre y cuando éstas se encuentren en un lugar visible, o bien, el uso de audios que reproduzcan el aviso de privacidad corto para que sean escuchados por los titulares en las zonas bajo V-V.”

Mi experiencia es que aquellos responsables que han decidido seguir la recomendación consistente en la colocación de avisos cortos de videovigilancia, no suelen apegarse a los dos modelos que el INAI ha difundido a través del documento que hemos citado, sino que, respetando los requisitos de contenido informativo, aprovechan la exigencia legal para incorporar sus colores corporativos y jugar con la distribución del espacio, para integrar el cumplimiento normativo al entorno en el cual son colocados estos avisos:

ZonaVideovigilada

De lo cual se deduce, como dice un estimado amigo, que en muchas ocasiones, esto de cumplir con la ley, también es un tema de voluntad; porque si vigilas, ¿por qué no avisas?

Hasta el próximo post…