RLFPD

Encargados Renegados II: Me quedo con tus datos.

Tenemos segunda parte de nuestra entrada anterior (Encargados Renegados) porque sucede que ésta generó varias confesiones interesantes, aunque no fueran dadas a conocer a través de la sección de comentarios de este blog. El caso es que algunos compañeros (y algún cliente), me contaron sobre experiencias similares a las que relaté en dicho post.

En esta ocasión, tenemos la reciente experiencia de una PYME que quería contratar un software ERP (Enterprise Resource Planning), con módulos de gestión de recursos humanos y clientes.

Esta PYME, responsable de datos personales, estaba a punto de toparse con las intenciones de apropiación de la empresa de software del ERP.

Veamos:

Cuando llegó la hora de hablar de los términos y condiciones para uso del software, y tal y como suele suceder en estos casos, nuestro encargado renegado de turno entregó a la PYME un contrato de adhesión en el cual, entre varias disposiciones sobre el tratamiento de la información a través de su software, disponía (palabras más, palabras menos):

Dentro del plazo de tres años, contados desde la fecha de celebración del presente contrato, El CLIENTE cederá a la EMPRESA la titularidad de la información y datos generados y almacenados hasta entonces mediante el uso del SOFTWARE (la BASE DE DATOS), para que la EMPRESA puede disponer de dicha BASE DE DATOS para finalidades propias. Lo anterior, sin perjuicio de que el CLIENTE pueda seguir generando y almacenado información de su propiedad, con uso del SOFTWARE.

Y la empresa de software, tan tranquila…

Con independencia de las implicaciones sobre el tratamiento de INFORMACIÓN CONFIDENCIAL que se verificaría a través del uso de un ERP (recordemos que no todo son datos personales), la pretensión de este encargado para hacerse con “la titularidad” de datos que perfectamente se referirían a empleados y clientes de la PYME, resulta bastante chocante; cuesta trabajo creer que exista este nivel de desconocimiento sobre la protección de datos personales y el papel que este tipo de empresas tienen en el tratamiento de esta información… pero lo cierto es así están las cosas a día de hoy.

En todo caso, recordemos que la “naturaleza” de un Encargado es la de NO SER responsable de los datos personales a los que tiene acceso por virtud de un contrato de prestación de servicios que delimita su actuación frente a un Responsable (de datos personales).

Esta visión negativa del papel de un encargado puede ayudar a comprender que esa es la forma en que se regula esta relación, porque el Responsable debe (y desea) mantener el control de los datos personales a los que estas entidades, denominadas Encargados, pueden acceder para prestar un servicio (no importa qué tipo de servicio, importa que implique tratamiento o acceso a los datos), y no forma parte de sus intenciones transferir o ceder los datos a dichos Encargados.

De hecho, recordemos también, la fracción V del artículo 50 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (RLFPD) prevé como una de las obligaciones del Encargado que lleve a cabo la supresión de los datos personales objeto del tratamiento una vez cumplida la relación jurídica con el responsable o por instrucciones del responsable. En la misma disposición reglamentaria se prevé que el Encargado sólo podrá conservar los datos personales si existe una previsión legal que así lo exija.

Cabe señalar que, en la práctica, la obligación prevista en la fracción V del artículo 50 del RLFPD también se cumple si el Encargado se obliga a “devolver” los datos personales al Responsable, sin que exista posibilidad de que pueda conservar copia de los datos “devueltos” (a menos que exista disposición legal que lo demande).

En la historia que relato, la PYME mostró a la empresa de software lo dispuesto por los artículos 49 a 55 del RLFP (debemos reconocer que la empresa mostró interés en el tema) y desde luego retiró su propuesta de contrato de adhesión. Han pedido un poco de tiempo para pedir asesoría y redactar de nuevo su contrato, conscientes de que la PYME no firmaría aquella transferencia/cesión de datos que originalmente proponía.

Estoy seguro que pronto volverá con un contrato que regule mejor su papel como Encargado… aunque aún tengo dudas sobre su intención de regularizar todos aquellos otros contratos que ya tiene celebrados, en los cuales ha pactado la apropiación de la información, de la forma que les he contado.

Mmmmmmmmmmmmm…

¡Hasta el próximo post!

Imagen cortesía de Sira Anamwong en FreeDigitalPhotos.net 

Anuncios

Encargados renegados: ¡ESO YO NO TE LO FIRMO!

Hace algunos días, participé en la reunión de uno de mis clientes con su proveedor de servicios de call center.

Debo aclarar que desde hace un par de semanas estamos en proceso de renovación del contrato de prestación de servicios y del convenio de protección de datos que las partes firmaron como addendum después de haber sido asesorado mi cliente al respecto. Cabe señalar también que a este call center lo tenemos bajo la lupa, debido a la sospecha de fugas de datos que habrían ocurrido en su organización

El caso es que, lo que debió ser un ejercicio de aclaración de ideas, roles y responsabilidades, terminó convirtiéndose en una reunión tensa e inverosímil.

Esto es lo que pasó:

Dentro del proceso de renovación del contrato, comenzamos a solicitar al proveedor determinada información sobre el cumplimiento del servicio y mencionamos la existencia de información sobre una posible vulneración de seguridad. Además, le pedimos que proporcionara evidencia sobre la adopción de diversas medidas de seguridad administrativas y técnicas en relación con los sistemas de información en que procesa los datos personales que son responsabilidad de mi cliente.

Después de una actitud inicialmente cooperativa, el proveedor  comenzó a negar la entrega de información y, finalmente, solicitó que nos reuniéramos.

Para no hacer el cuento demasiado largo, vayamos al punto en el cual el proveedor presentó, de forma más o menos clara, cuál era su posición. Las siguientes afirmaciones resumen las ideas de nuestro encargado renegado:

  • Yo no tengo obligación de adoptar medidas de seguridad para el tratamiento de tus datos [*ojos abiertos];
  • De hecho, esa responsabilidad es de “los dueños de las plataformas” donde están tus datos (o sea, unos sub-contratistas), no de nuestra empresa [* ojos más abiertos];
  • Además, ustedes deberían participar en esta responsabilidad; nunca han revisado quiénes tienen acceso a su información cuando prestamos el servicio [*ojo cuadrado];
  • Mis empleados tampoco son responsables de lo que hacen con tus datos, porque ustedes no nos has dado un manual para saber cómo manejarlos [* boca abierta];
  • De hecho, en la próxima renovación del contrato (*nota: aún creen que habrá renovación) no vamos a firmar el convenio “ése” de los datos personales, porque nosotros no podemos ni queremos asumir esas responsabilidades, que más bien son de ustedes…

plop

Repuestos del PLOP, mi cliente preguntó al proveedor: ¿Y entonces, para qué te queremos? ¿para qué te hemos contratado?

Con dignidad un tanto fingida, el proveedor respondió: ¡Bueno! Nosotros les damos el servicio de call center, pero de sus datos no tenemos por qué responder… ustedes son los RESPONSABLES de ellos, ¿no?

En este punto intervine y pregunté: Pero tú sabes que la ley de datos personales establece que ustedes son un ENCARGADO, ¿verdad? Y también sabes que deben existir cláusulas para regular esta relación, para cumplir con este normativa, ¿verdad?

– Pues la verdad es que no estoy seguro de eso que me dices. Ustedes son el único cliente que me pide firmar esa especie de convenio; todos los demás clientes firman el contrato que les damos, y sólo negociamos las tarifas. Por eso no queremos firmar ese convenio en la siguiente renovación.

Ya estaba listo para otro PLOP, cuando mi cliente aún tuvo ganas de participar, y sacó a relucir mucho conocimiento de estos temas:

  • Vinimos con espíritu constructivo, por lo que de verdad, con todo respeto, debo decirte que no tienen idea de lo que están hablando; necesitan urgentemente una asesoría especializada [¡Zas!].
  • La firma del convenio de protección de datos que firmamos con ustedes la pedimos hace tiempo como parte de nuestra adecuación a la ley; su inclusión en un futuro contrato no es negociable, siempre debe formar parte del contrato de prestación de servicios con nosotros.
  • Como call center, cualquier cliente esperaría que USTEDES fueran los mejor preparados para cumplir con la ley de datos personales; ustedes son ENCARGADOS y forma parte de su actividad tener acceso a los datos de terceros.
  • Es verdad que como responsable de los datos mantenemos el control de esa información, y es verdad que su empresa debe seguir nuestras instrucciones, pero eso no tiene como consecuencia que deba ser mi empresa la que adopte o proporcione las medidas de seguridad para proteger los datos a los que tienes acceso; no tiene sentido… si así fuera,  ¿para qué externalizo este servicio?
  • Necesitan revisar el marco legal, el “nuevo” marco legal sobre datos personales; las cosas ya no son como antes, y nosotros no podemos mantener este servicio con una empresa que no asume su papel de encargado del tratamiento de esa información.

Contuve mis ganas de aplaudir al cliente… y guardé silencio, esperando la respuesta del proveedor.

– Hablaremos con nuestros abogados para que nos digan qué debemos hacer, pues sigo sin estar convencido que debamos aceptar “tanta” responsabilidad.

Y con ello terminó la reunión, sin acuerdo de por medio.

Mi cliente ya comenzó a buscar nuevo call center, y yo me quedé pensando varias cosas:

  1. Esto lo tengo que contar en el blog.
  2. Ya comenzó la etapa en que algunas empresas van a perder clientes porque creen que la ley de datos personales no les aplica (algo que no les incumbe) o de lo cual pueden escapar vía contractual. En el fondo, esta manera de pensar es más cotidiana de lo que uno quisiera admitir.
  3. Serán cada vez más los responsables de datos personales que asuman como “deber de diligencia” la elección de aquellos encargados que ofrezcan “garantías de cumplimiento” sobre las medidas de seguridad que implementan para la protección de esta información, que tratan en nombre de aquéllos
  4. Es deseable que en México se desarrollen, más pronto que tarde, directrices como las que recientemente emitieron, de manera conjunta, la Agencia Española de Protección de Datos, la Autoridad Catalana de Protección de Datos y la Agencia Vasca de Protección de Datos: Directrices para la elaboración de contratos entre responsables y encargados del tratamiento. Sería de mucha ayuda que no sólo unos cuantos abogados especializados fuésemos por ahí exigiendo la existencia de estos contratos/convenios/cláusulas.

Ustedes, ¿en qué lado de la mesa estarían en una situación similar?

¡Hasta el próximo post!

Imagen principal cortesía de pakorn en FreeDigitalPhotos.net

Fuente http://es.freeimages.com/photographer/drouu-49945

Vigilas, ¿pero no avisas?

Puestos a cumplir, llama la atención que en México sigamos en fase de incumplimiento extremo cuando de informar a los titulares de datos personales sobre la captación de sus imágenes a través de sistemas de videovigilancia se trata.

La percepción y la realidad es que actualmente no existen tantos avisos legalmente exigidos, como sistemas y videocámaras operan cotidianamente en nuestro país.

Creo que la noción del cumplimiento de la LFPD a través de UN Aviso de Privacidad nos ha llevado a este punto, sumado al concepto de datos personales que aún prevalece en la generalidad de las personas y organizaciones.

Que nuestra imagen sea un dato personal y que por ello merezca la misma protección que otros datos como nuestro nombre, domicilio, estado civil, cuentas bancarias o estado de salud, no resulta obvio para todo el mundo. Conforme a la experiencia acumulada durante los diversos cursos que sobre la materia he impartido en los últimos años en México; muchos aún se sorprenden cuando les indico que los sistemas de videovigilancia que pululan en nuestro entorno están sujetos a la normativa de datos personales.

Por ir directo al grano, insistiré: nuestra imagen, en cualquier tipo de soporte, es un dato personal, en la medida en que se trata de información concerniente a una persona física identificada o identificable.

Conforme a lo anterior, si un particular no exento de la aplicación de la LFPD trata este tipo de información, a través de sistemas propios o cuya instalación, gestión y mantenimiento encarga a un tercero, debe cumplir con la normativa de protección de datos personales.

Aunque existen varias cuestiones a tener en cuenta cuando videovigilamos, tales como las finalidades determinadas de la actividad, la orientación de las cámaras, los plazos de conservación de las imágenes, entre otras, centraré la atención en el cumplimiento del principio de información, en relación con el tratamiento de imágenes captadas a través de estos sistemas para finalidades de seguridad (también conocidos como CCTV o de circuito cerrado).

Como es de conocimiento general, la normativa aplicable indica que los responsables que traten datos personales deberán informar sobre todos los extremos relacionados con dicho tratamiento, a través de avisos de privacidad.

Dos puntos más concretos sobre estos avisos lo constituyen el momento y la modalidad que los responsables pueden utilizar para informar a los titulares sobre el tratamiento de sus datos.

Al respecto, y al margen de las disposiciones aplicables que sustentan la siguiente información, es necesario indicar que el ahora INAI publicó el 7 de julio de 2013 el Comunicado IFAI/065/13, titulado “PERSONAS FÍSICAS Y MORALES QUE VIDEO VIGILEN DEBEN CONTAR CON AVISO DE PRIVACIDAD”, en el que indicó:

“El Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) puso a disposición en su página de Internet un modelo de aviso de privacidad que podrá ser utilizado por los responsables del tratamiento de datos personales que cuentan con sistemas de Video Vigilancia.

 “El aviso de privacidad deberá elaborarse en un formato corto y visible, de tal modo que las personas que accedan a un lugar en donde existan dichos sistemas tengan conocimiento de que están siendo video-grabadas y conozcan quién está a cargo de sus datos personales recabados (imágenes y sonidos) y los usos que se les dará.”

El Modelo de Aviso de Privacidad Corto para Video-Vigilancia (actualizado) dado a conocer por nuestra autoridad de protección de datos personales, cuyo texto íntegro puede ser consultado aquí, establece, entre otras cuestiones, lo siguiente:

“La video-vigilancia (V-V) se define como el uso de cámaras de video fijas o móviles con o sin sonido, o de sistemas cerrados de televisión que involucren la colocación de una o varias cámaras en espacios privados o públicos, limitadas a la supervisión o monitoreo de ese espacio y de las personas que en él se encuentran.”

“La propuesta que se realiza a continuación se trata exclusivamente de un modelo de aviso de privacidad para ser colocado en la zona en la que ocurre la video-vigilancia, cuando la finalidad de esta última sea la seguridad del espacio videovigilado, o cuestiones análogas o compatibles.”

“Se sugiere utilizar la modalidad de aviso de privacidad corto, al que refiere la fracción III del Decimoctavo de los Lineamientos del Aviso de Privacidad en la zona en la que ocurre la V-V.”

“Es importante que el responsable tome en cuenta que el hecho de que difunda el aviso de privacidad en su modalidad corta en la zona en que ocurre la video-vigilancia, no lo exime de su obligación de contar con el aviso de privacidad integral que señala la fracción I del lineamiento antes citado.”

“Los responsables que realicen V-V podrán cumplir con el principio de información colocando avisos visibles para las personas dentro de los espacios sujetos a videograbación, al menos, en la(s) entrada(s) a zonas que se encuentren bajo V-V, independientemente de si son interiores o exteriores.”

“Una manera adicional para cumplir con el principio de información es ubicar el aviso de privacidad en su modalidad corto cerca de la(s) cámara(s) que están siendo utilizadas, siempre y cuando éstas se encuentren en un lugar visible, o bien, el uso de audios que reproduzcan el aviso de privacidad corto para que sean escuchados por los titulares en las zonas bajo V-V.”

Mi experiencia es que aquellos responsables que han decidido seguir la recomendación consistente en la colocación de avisos cortos de videovigilancia, no suelen apegarse a los dos modelos que el INAI ha difundido a través del documento que hemos citado, sino que, respetando los requisitos de contenido informativo, aprovechan la exigencia legal para incorporar sus colores corporativos y jugar con la distribución del espacio, para integrar el cumplimiento normativo al entorno en el cual son colocados estos avisos:

ZonaVideovigilada

De lo cual se deduce, como dice un estimado amigo, que en muchas ocasiones, esto de cumplir con la ley, también es un tema de voluntad; porque si vigilas, ¿por qué no avisas?

Hasta el próximo post…