México

Investigaciones y Verificaciones del INAI. ¿Estarías preparado?

Parece mentira, pero aunque nuestra Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPD) fue publicada allá por el mes de julio de 2010, algunas personas siguen creyendo que el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) no realiza funciones de investigación por la presunta comisión de infracciones en materia de datos personales.

No me refiero a la capacidad del INAI para imponer multas y ordenar su cobro a través del Servicio de Administración Tributaria (que existe y se ejerce), sino a la existencia de las funciones de investigación y verificación que preceden a cualquier posible multa por violación a las disposiciones de la LFPD.

Creer que el INAI no investiga ni verifica presuntas violaciones a la LFPD coloca a cualquier responsable (y encargado) en una posición vulnerable, que lo puede llevar a menospreciar el valor y la necesidad de las múltiples acciones de cumplimiento que se deben adoptar para cumplir con esta normativa.

Nuestra práctica en la materia permite abordar esta cuestión de forma práctica, con ejemplos elegidos de distintos procedimientos de investigación y verificación en los cuales he asesorado a distintas empresas.

5 días habiles

En términos generales, ese es el plazo que el INAI concede a los sujetos investigados para cumplir con sus requerimientos de información y documentación, cuando aquel da inicio a una investigación o profundiza en el conocimiento de los hechos durante una verificación.

¿Les parece poco tiempo?

Mi posición personal al respecto es que, ante cualquier requerimiento de información y documentación del INAI, cualquier responsable o encargado de datos personales, en estado de cumplimiento, puede contestar un requerimiento del INAI dentro de un plazo de 3 días hábiles (o menos, inclusive).

En términos coloquiales, soy de la idea de que quien tiene la casa ordenada puede recibir visitas en cualquier momento.

El (dichoso) Aviso de Privacidad

No lo duden, si el INAI decide investigar a un responsable (de oficio o a petición de parte), preguntará por este famoso documento:

Imagen1

Imagen1BIS

Al respecto, debemos ser concientes que el INAI no sólo busca conocer sobre la existencia del Aviso de Privacidad relacionado con su investigación, sino que además recabará información sobre la forma y el momento en que ponemos a disposición ese documento.

Como en cualquiera de los ejemplos que veremos, de la respuesta que brindemos a este sencillo requerimiento podrán desprenderse diversas consecuencias para el investigado.

Datos recabados, finalidades y consentimiento

Dentro de una investigación iniciada a petición de parte, el INAI también tendrá interés en saber:

  1. Qué tipo y qué número de datos personales hemos recabado de la persona denunciante, o de otros titulares de datos personales,
  2. Cuáles son las finalidades para las cuales hemos recabado esos datos,
  3. La forma en que hemos obtenido el consentimiento del denunciante para poder llevar a cabo el tratamiento de sus datos.

Imagen2

Imagen8

Como pueden apreciar, nuestras respuestas deben ser congruentes, dado que esta información tiene relación directa con el aviso de privacidad que el INAI ya nos habrá solicitado aportar; así por ejemplo, resultaría contradictorio indicar que hemos recabado 15 tipos de datos personales del denunciante mientras en el aviso de privacidad entregado indicamos que sólo recabamos 5 o 10 tipos de datos personales, o tratar los datos personales para finalidades de publicidad o prospección comercial y no enumerar esa finalidad en el mencionado aviso.

Conocimiento y organización de nuestras bases de datos

Los siguientes son ejemplos puntuales de dos investigaciones, pero demuestran que al INAI interesa conocer las particularidades de los tratamientos de datos personales que investiga; identificar si contamos con información suficiente alrededor de los hechos investigados (en lo particular) y sobre el tratamiento de datos personales en nuestra propia organización (en lo general):

Imagen7

Imagen3

Imagen4

Contar con la capacidad para responder a este tipo de preguntas presupone que como responsables de datos personales:

  1. Contamos con un inventario de nuestras bases de datos,
  2. Conocemos el contenido y organización de dichas bases de datos,
  3. Conocemos las finalidades del tratamiento de los datos personales,
  4. Podemos identificar las áreas y el personal de nuestra organización con acceso a las bases de datos.
  5. Conocemos los sistemas de información que se utilizan para tratar los datos personales.

Nuestro personal, nuestra responbilidad

La tentación de culpar al empleado de turno por una posible infracción de la LFPD es enorme y no ha desaparecido de nuestro medio; incluso algunos apelan al “sentido común” de los colaboradores como “vacuna” contra posibles violaciones a la ley de protección de datos personales.

No obstante lo anterior, nunca debemos olvidar que la capacitación del personal en materia de protección de datos personales forma parte del conjunto de las medidas de seguridad administrativas que debemos adoptar para proteger los datos personales (artículo 2, fracción V del Reglamento de la LFPD) y que, de hecho, contar con un programa de capacitación forma parte de las medidas contempladas como medios para cumplir con el Principio de Responsabilidad (artículo 48, fracción II del Reglamento de la LFPD).

Por esta razón, no debe extrañar que en determinadas investigaciones el INAI requiera información sobre las funciones de nuestro personal, su capacidad de acceso a datos personales y la existencia de capacitación en la materia:

Imagen5

Imagen5BIS
Imagen6
Imagen6BIS

Puesta a disposición del aviso de privacidad

No basta contar con estos avisos en un escritorio a la entrada de nuestras oficinas o que existan publicados en el último link de nuestra página web; debemos asegurar que cualquier medio a través del cual recabamos u obtenemos datos personales pone a disposición el aviso de privacidad correspondiente, en cualquiera de los modos que la normativa prevé (de forma directa o de forma personal).

Estos son ejemplos que ilustran la importancia de la forma y el momento de poner a disposición nuestros avisos de privacidad, y la relevancia que estos hechos pueden tener para el INAI durante una investigación o verificación de hechos:

Imagen10

Imagen10BIS

Responsable o Departamento de Datos Personales

Llegados a este punto, y dado que los principios y obligaciones previstos por la LFPD son múltiples y variados, pongamos sobre la mesa un último ejemplo, para demostrar que en el marco de una investigación o verificación el INAI podrá requerir información relacionada con cualesquiera de las obligaciones previstas por la normativa. Aquí, la designación a que se refiere el artículo 30 de la LFPD:

Imagen11

Dicho todo lo anterior, y con ejemplos reales de por medio, sólo preguntaría a cada uno de ustedes: Si el día de mañana el INAI iniciara una investigación porque mi organización ha sido denunciada, ¿estaríamos listos para contestar de manera integral, dentro del plazo concedido?

¡Hasta la próxima!

Imagen de geralt, via pixabay.

Anuncios

Mejorar los aspectos de privacidad y protección de datos, en un NAFTA renegociado. Entrevista en Bloomberg BNA.

Aunque el Tratado de Libre Comercio de América del Norte (TLCAN o NAFTA) no entró en vigor sino hasta el 1 de enero de 1994, lo cierto es que su contenido y alcance es el producto de años de negociaciones, que en su mayoría se produjeron durante los primeros años de la década de los 90.

En este contexto, ¿es de extrañar que el entorno digital y la protección de datos personales, como resultado del intercambio de bienes y servicios, no fuese contemplada en este tratado? Desde luego que no… eren, en verdad, otros tiempos.

En 2017, no es posible concebir que las negociaciones sobre un tratado de libre comercio sean ajenas al entorno digital que prevalece en nuestra sociedad, y que el intercambio de información para el desenvolvimiento del libre comercio se lleve a cabo sin un estándar de protección mínimo, para las datos personales que deben intercambiarse.

En este escenario, Emily Pickrell (Bloomberg® BNA) nos preguntó a Joel Gómez Treviño y un servidor, sobre nuestra posición entorno a la privacidad como parte de las negociaciones de un NAFTA renovado, y aprovechó la ocasión para preguntar sobre nuestra posición en relación con el Derecho al Olvido, Google® y la forma en que México ha abordado esta cuestión a partir de la aplicación de nuestra Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Pueden acceder al texto de la entrevista, en este enlace.

Imágenes de banderas, cortesía de Pixabay; la composición es nuestra.

Encargados Renegados II: Me quedo con tus datos.

Tenemos segunda parte de nuestra entrada anterior (Encargados Renegados) porque sucede que ésta generó varias confesiones interesantes, aunque no fueran dadas a conocer a través de la sección de comentarios de este blog. El caso es que algunos compañeros (y algún cliente), me contaron sobre experiencias similares a las que relaté en dicho post.

En esta ocasión, tenemos la reciente experiencia de una PYME que quería contratar un software ERP (Enterprise Resource Planning), con módulos de gestión de recursos humanos y clientes.

Esta PYME, responsable de datos personales, estaba a punto de toparse con las intenciones de apropiación de la empresa de software del ERP.

Veamos:

Cuando llegó la hora de hablar de los términos y condiciones para uso del software, y tal y como suele suceder en estos casos, nuestro encargado renegado de turno entregó a la PYME un contrato de adhesión en el cual, entre varias disposiciones sobre el tratamiento de la información a través de su software, disponía (palabras más, palabras menos):

Dentro del plazo de tres años, contados desde la fecha de celebración del presente contrato, El CLIENTE cederá a la EMPRESA la titularidad de la información y datos generados y almacenados hasta entonces mediante el uso del SOFTWARE (la BASE DE DATOS), para que la EMPRESA puede disponer de dicha BASE DE DATOS para finalidades propias. Lo anterior, sin perjuicio de que el CLIENTE pueda seguir generando y almacenado información de su propiedad, con uso del SOFTWARE.

Y la empresa de software, tan tranquila…

Con independencia de las implicaciones sobre el tratamiento de INFORMACIÓN CONFIDENCIAL que se verificaría a través del uso de un ERP (recordemos que no todo son datos personales), la pretensión de este encargado para hacerse con “la titularidad” de datos que perfectamente se referirían a empleados y clientes de la PYME, resulta bastante chocante; cuesta trabajo creer que exista este nivel de desconocimiento sobre la protección de datos personales y el papel que este tipo de empresas tienen en el tratamiento de esta información… pero lo cierto es así están las cosas a día de hoy.

En todo caso, recordemos que la “naturaleza” de un Encargado es la de NO SER responsable de los datos personales a los que tiene acceso por virtud de un contrato de prestación de servicios que delimita su actuación frente a un Responsable (de datos personales).

Esta visión negativa del papel de un encargado puede ayudar a comprender que esa es la forma en que se regula esta relación, porque el Responsable debe (y desea) mantener el control de los datos personales a los que estas entidades, denominadas Encargados, pueden acceder para prestar un servicio (no importa qué tipo de servicio, importa que implique tratamiento o acceso a los datos), y no forma parte de sus intenciones transferir o ceder los datos a dichos Encargados.

De hecho, recordemos también, la fracción V del artículo 50 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (RLFPD) prevé como una de las obligaciones del Encargado que lleve a cabo la supresión de los datos personales objeto del tratamiento una vez cumplida la relación jurídica con el responsable o por instrucciones del responsable. En la misma disposición reglamentaria se prevé que el Encargado sólo podrá conservar los datos personales si existe una previsión legal que así lo exija.

Cabe señalar que, en la práctica, la obligación prevista en la fracción V del artículo 50 del RLFPD también se cumple si el Encargado se obliga a “devolver” los datos personales al Responsable, sin que exista posibilidad de que pueda conservar copia de los datos “devueltos” (a menos que exista disposición legal que lo demande).

En la historia que relato, la PYME mostró a la empresa de software lo dispuesto por los artículos 49 a 55 del RLFP (debemos reconocer que la empresa mostró interés en el tema) y desde luego retiró su propuesta de contrato de adhesión. Han pedido un poco de tiempo para pedir asesoría y redactar de nuevo su contrato, conscientes de que la PYME no firmaría aquella transferencia/cesión de datos que originalmente proponía.

Estoy seguro que pronto volverá con un contrato que regule mejor su papel como Encargado… aunque aún tengo dudas sobre su intención de regularizar todos aquellos otros contratos que ya tiene celebrados, en los cuales ha pactado la apropiación de la información, de la forma que les he contado.

Mmmmmmmmmmmmm…

¡Hasta el próximo post!

Imagen cortesía de Sira Anamwong en FreeDigitalPhotos.net