UE

¿Aviso o Registro? Cómo, cuándo y qué informar

Lo que hoy pretendo comentar en el blog es una cuestión relativamente simple que, sin embargo, creo que se ha cuestionado poco desde la entrada en vigor de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPD) y del resto de normativa que paulatinamente ha sido publicada y entrado en.

Esta cuestión, relacionada con el principio de información sobre el tratamiento de datos personales, pasa por preguntarse:

  • ¿Es el Aviso de Privacidad el mejor medio para que los titulares sean informados sobre todos los aspectos relativos al tratamiento de sus datos personales?,
  • ¿Resulta razonable pensar que en todos los casos los titulares leerán un Aviso de Privacidad Integral cuando éste se pone a su disposición, cada vez que proporcionan sus datos a un responsable?,
  • ¿En la práctica, la obligación de informar a través de Avisos de Privacidad ha supuesto una facilidad para los responsables para cumplir con su obligación de informar a los titulares sobre el tratamiento de sus datos personales?
  • ¿Existían alternativas prácticas y efectivas para el cumplimiento del principio de información, distintas a la generación y puesta a disposición de Avisos de Privacidad (en cualquiera de sus modalidades)?

Para responder a lo anterior, partamos de lo obvio: la LFPD no nos ofrece alternativas.

Su artículo 15 es meridianamente claro: “El responsable tendrá la obligación de informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, a través del aviso de privacidad.” Ese ha sido el medio elegido por el legislador mexicano y personalmente he comprobado que pocos abogados cuestionan la idoneidad del medio elegido (y el posterior “desarrollo” que esta elección ha supuesto).

De hecho, creo que en México se ha dado una desmedida importancia al Aviso de Privacidad (principio de información) frente a la difusión y exigencia de cumplimiento de los otros SIETE principios que rigen el tratamiento de los datos personales. Tanto es así, que entre responsable transferente y responsable receptor debe existir un intercambio de Avisos de Privacidad; el responsable también debe comunicar al encargado el (los) aviso(s) que regulen el tratamiento de los datos personales a los que éste tenga acceso por virtud del servicio que preste al primero.

¿Por qué percibo como desmedida dicha importancia? Veamos:

Adicionalmente a la LFPD, a día de hoy podemos encontrar la siguiente normativa, publicaciones, videos y herramientas relacionadas con “el” Aviso de Privacidad:

Sin lugar a dudas, alguien le está dando su importancia al tema. Es importante hacerlo, desde luego, aunque el resultado personalmente constatado es que los sujetos obligados circunscriben el alcance de la ley y la extensión de sus obligaciones a contar con UN aviso de privacidad… y nada más. Obviamente, nada más alejado de la realidad.

Pero hablando de alternativas, creo que resulta práctico saber que éstas existen y que quizás pudieran resultar más eficaces de lo que inicialmente podíamos imaginar (y menos costosas de lo que algunos vendieron cuando la LFPD era apenas un proyecto).

El Registro de Bases de Datos que tratan datos personales se constituye como una alternativa (casi indispensable en países con poca cultura sobre protección de datos) que, por una parte, incrementa la atención y necesidad que los responsables asumen en relación con el cumplimiento de la normativa sobre protección de datos y que, por otro lado, facilita la comunicación de información hacia los ciudadanos sobre aspectos fundamentales relativos a quién y para qué se tratan sus datos.

Después de todo, cuando existe un Registro, resulta muy fácil acreditar si se ha cumplido o no con la obligación de inscribir las bases de datos en posesión de cualquier responsable y, en su caso, sancionar a aquellos obligados que no cumplieron con este mínimo deber de registro.

Asimismo, cuando existe, la obligación de inscribir nuestras bases de datos en un Registro (de acceso público) disminuye la cantidad de recursos que deben destinarse para informar a los titulares sobre aspectos como el tipo o categoría de datos que deben tratarse en relación con finalidades determinadas; los aspectos formales relacionados con el ejercicio de los derechos ARCO; las finalidades originarias del tratamiento y aquéllas que no lo son; la existencia de transferencias de datos, entre otros aspectos. Lo anterior es posible si tomamos en cuenta que la identificación de un número de registro y un hiperenlace a la información de nuestras bases de datos registradas podría proporcionarse a través de una cláusula mucho más corta que los actuales Avisos de Privacidad integrales que deben generarse en México.

Además, al día de hoy, podemos afirmar que la identificación del momento que legalmente resulta procedente poner a disposición de los titulares el Aviso de Privacidad correspondiente, y la definición de la modalidad adecuada (y apropiada) para hacerlo, de entre aquellas disponibles, se ha vuelto un dolor de cabeza para muchos responsables; sin contar además con la posible infracción en que éstos pueden incurrir en caso de no haber redactado adecuadamente sus Avisos de Privacidad (art. 63, fracc. V de la LFPD).

Algunos responsables comienzan a percibir que la redacción y puesta a disposición de los Avisos de Privacidad se ha convertido en una obligación de difícil (y a veces costoso) cumplimiento que, en el peor de los casos, puede transformarse (aun teniendo la intención de cumplir con la ley) en un medio que ponemos a disposición de la autoridad para acreditar, precisamente, que la hemos violado al omitir elementos informativos que deben constar en estos Avisos.

El hecho es que, en nuestro país, se optó por evitar a los responsables “la carga administrativa” que, según se mire, constituye la inscripción de bases de datos en un Registro a cargo de la autoridad de control y sanción (el INAI) y, en su lugar, en el contexto de un Principio de Responsabilidad que aún no acaba de arraigar, se dejó en sus manos la obligación de poner a disposición de los titulares toda la información relativa al tratamiento de sus datos personales.

Por no apartarme del ejercicio comparativo que deseo ejercer en este blog, analicemos dos casos que aún continúan vigentes en países de la Unión Europea:

  1. El “Registro General de Protección de Datos” de la Agencia Española de Protección de Datos, y
  2. El “Register of data controllers” de la Information Commissioner’s Office del Reino Unido.

En el primero, los interesados podrán encontrar información sobre los ficheros (bases de datos) de responsables (públicos o privados) consistente en:

  • Nombre o razón social del responsable del fichero,
  • Nombre del fichero,
  • Finalidad y usos declarados,
  • Dirección en la que el interesado puede ejercitar los derechos de oposición, acceso, rectificación y cancelación de la información contenida en el fichero,
  • Identificación y finalidad del fichero,
  • Origen y procedencia de datos,
  • Tipos de datos, estructura y organización del fichero,
  • Cesión y comunicación de datos, y
  • Transferencias internacionales.

En el segundo deben inscribirse los responsables (no las bases de datos) que no están exentos de hacerlo por cualquier motivo establecido por la ley (por ejemplo, organizaciones sin fines de lucro); y es de llamar la atención que existe un costo anual general de 35 libras esterlinas por estar inscrito. En este registro de responsables podemos encontrar la siguiente información:

  • Número de registro,
  • Fecha de registro y fecha de expiración,
  • Identificación y domicilio del responsable,
  • Actividad del responsable,
  • Descripción del tratamiento de los datos,
  • Finalidades del tratamiento,
  • Tipos o clases de datos tratados,
  • Colectivos de titulares sobre los cuales se tratan datos personales,
  • Cesiones de datos, y
  • Transferencias de datos.

Como podemos observar, en un Registro de Bases de Datos como el que actualmente existe a cargo de la Agencia Española de Protección de Datos, se pone a disposición de los titulares casi la misma información que actualmente debemos incluir en un Aviso de Privacidad, con excepción clara de la información relativa a los requisitos, plazos y procedimientos para el ejercicio de los derechos ARCO, revocación del consentimiento y limitaciones para la divulgación de los datos personales, que en México debe incluirse en dicho Aviso; mientras que de manera menos exhaustiva se proporciona información similar en el registro inglés en relación con el responsable y no con las bases de datos como elemento de registro.

Llegados a este punto, y antes de agotar al lector, cabe preguntar: ¿son la panacea los registros de bases de datos o responsables?

La respuesta es un contundente NO y, de hecho, si la propuesta de Reglamento General de Protección de Datos es aprobada en cuanto a esta formalidad de inscripción, podemos comenzar a cantar “Las Golondrinas” a este tipo de registros, puesto que se consideran innecesarios frente a la existencia de un Principio de Responsabilidad (accountability) que aún no existe de forma extendida en el la Unión Europea en materia de protección de datos personales.

Pero, desde mi particular punto de vista, aunque en determinados países se perciba que no han aportado todos los resultados que de ellos se esperaba, creo que durante el tiempo que han existido estos registros en la Unión Europea, éstos han aportado al menos dos resultados concretos:

  1. La conciencia (no generalizada, seamos honestos) de una obligación de cumplimiento, por parte de los responsables, que en mayor o menor medida saben que incumplen la normativa si sus bases de datos (o ellos mismos) no están debidamente inscritos, y
  2. La posibilidad de que los responsables no tengan que redactar enormes avisos o políticas de privacidad en cada canal de entrada de datos personales, pudiendo hacer referencia o generando enlaces a la información electrónica de sus registros, como parte de la información preceptiva que sí deben publicar en dichos canales.

Como efecto colateral, aunque en las páginas web de miles de responsables europeos podamos encontrar políticas de privacidad que informan sobre el tratamiento de los datos personales que éstos recaban, los titulares se ven (felizmente) liberados de la posibilidad de encontrar en cada formulario que rellenan un Aviso de Privacidad Integral que, por su extensión, invita –precisamente– a no ser leído.

Como es obvio, todo lo anteriormente dicho no cambia ni una sola coma de nuestra legislación, por lo que seguirá siendo necesario que los responsables desarrollen aquellos Avisos de Privacidad que preceptivamente deben poner a disposición de los titulares en el momento de recabar sus datos o antes de aprovecharlos si los obtuvieron de forma indirecta.

Sin embargo, poner de relieve que existen otros modelos, alternativas que podrían facilitar y alentar el cumplimiento de la obligación de informar a los titulares sobre el tratamiento de sus datos personales, puede consistir en una pequeña aportación para impulsar una reflexión sobre el modelo que hemos adoptado y, en su caso, el planteamiento de una modificación de nuestra normativa para evitar que la próxima vez que acudamos al supermercado, no nos ataque un Aviso de Privacidad como el que hace tiempo me encontré:

Ataque de API

Ataque de API

Hasta el próximo post…

México ¿y Safe Harbor?

El pasado 6 de octubre 2015 el Tribunal de Justicia de la Unión Europea emitió la ya conocida como “Sentencia Safe Harbor” (aunque otros gusten de llamarla “Sentencia Facebook”); el 8 de octubre aporté en la Asociación Profesional Española de Privacidad (APEP) mi particular visión sobre los primeros efectos que dicha sentencia podría tener, en cualquier empresa americana que importa datos personales desde Europa.

En esa fecha (8 de octubre) me encontraba en México y seguía a través de las redes sociales las diversas posturas, críticas, análisis y reacciones a la Sentencia Safe Harbor. Existían (y existen) un montón de preguntas en mi cabeza, pero estando donde estaba, dos tenían un peso específico: ¿qué efectos podría tener la Sentencia en México? y ¿cuándo se dejarían sentir dichos efectos?

En mi caso, la ola expansiva llegó el 20 de octubre, a través de un “addendum” fechado el 5 de octubre de 2015.

Por obvias razones, me reservo los detalles sobre las partes y los servicios involucrados, pero baste decir que los efectos tomaron forma a partir de un compromiso que hasta antes del 6 de octubre era relativamente normal encontrar en un acuerdo sobre tratamiento de datos personales, en el que se previera la subcontratación de servicios.

Dando por sentado que la transferencia de datos personales desde el responsable europeo hacia la empresa mexicana estaba previamente autorizada por la autoridad nacional competente de aquél, el giro de tuerca vino cuando en el indicado addendum se pidió a la empresa mexicana garantizar (palabras más, palabras menos) que en la hipótesis de que ésta llevara a cabo la subcontratación de terceros con residencia en los EEUU (sub-encargados, a todos los efectos):

  1. Éstos estarían adheridos a los Principios de Puerto Seguro, con anterioridad a la fecha de su contratación,
  2. Que éstos conservarían su adhesión a los Principios de Puerto Seguro,
  3. Que en caso de que los terceros (insisto, sub-encargados a efectos del tratamiento de los datos) perdiesen o no renovasen su adhesión a los Principios de Puerto Seguro, se comunicaría esta situación al responsable (europeo) y se detendría de inmediato el tratamiento de datos personales en los Estados Unidos de América.

Ni más, ni menos.

La parte mexicana, enterada de la Sentencia Safe Harbor (porque se la resumí), ha atinado a preguntar: ¿y cómo garantizo yo todo eso que me piden desde Europa, si me dices ahora que esto de Puerto Seguro ya no sirve?

Si lo de Puerto Seguro ha sido declarado inválido, ¿no estamos en una situación parecida a la tercera exigencia? Porque ya no se trata de que mis subcontratistas estén o no estén adheridos, sino que dicha adhesión, por sí misma, ya no tiene valor ¿correcto? A efectos prácticos, da lo mismos si están o no adheridos, pues aunque lo estuvieran, eso ya no garantiza nada a los europeos, ¿correcto?

Y siguió en su particular análisis: Si todo lo anterior es así, cuando trate con clientes europeos, ya puedo descartar eso de enviar los datos hacia los EEUU, ¿no? Porque directamente pueden acusarme de enviar los datos hacia un lugar que ellos mismos han declarado no seguro, ¿correcto?

El cliente no es tonto. A todas sus preguntas, era imposible contestar otra cosa que no fuera: estás en lo correcto.

Y mientras no cambien las cosas, hará bien en pensar de esa forma, y hará bien en detener el flujo de datos (al menos de sus clientes europeos) hacia sub-encargados con residencia en los EEUU, pues el propio Grupo de Trabajo del Artículo 29 ha dejado claro que después de la sentencia, cualquier transferencia amparada en la Decisión 2000/520 de la Comisión Europea, es ilegal.

Quise darle alternativas.
Le conté de las Cláusulas Tipo y de las Reglas Corporativas Vinculantes, le hablé del consentimiento expreso del titular de los datos personales… pero llegaron los alemanes y anunciaron que las primeras tampoco les parecen opciones adecuadas, y que con el consentimiento del titular/afectado, hay que andarse con mucho cuidadito.

O sea… un gran desorden, aunque se anuncie un “principio de acuerdo” del cual no ha salido una fecha (al menos tentativa) para resolver el entuerto.

Lo cierto es que a día de hoy (28 de octubre) nadie se ha puesto realmente de acuerdo, y parece que esto irá para largo (al menos, para las empresas, será un plazo muuuuuy largo).

Influencia europea en la normativa mexicana de protección de datos personales

Sobre el tema de este post, cabe señalar que no es la primera vez que se escribe al respecto. Hace años ya que un excelente experto español en privacidad (@Samuel_Parra) escribió sobre las similitudes entre la Ley Orgánica 15/1999, de 13 diciembre, de Protección de Datos de Carácter Personal (la «LOPD») y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la «LFPD»), en este post.

Por otra parte, en 2012 Graham Greenleaf publicó en la Revista de la Universidad de Oxford International Data Privacy Law, el siguiente artículo: The influence of European data privacy standards outside Europe: implications for globalization of Convention 108. En éste, el autor no dejó de mencionar a México como un país cuya legislación de protección de datos personales ha sido influenciada por la legislación del viejo continente.

Desde entonces, varias cosas han sucedido en México: el Reglamento de la LFPD fue publicado y actualmente todas sus disposiciones se encuentran en vigor; entre otros, también fueron publicados los Lineamientos del Aviso de Privacidad y las Recomendaciones en Materia de Seguridad de Datos Personales; además, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (el “INAI”) ya ha sancionado a varios responsables por diversas violaciones a la LFPD.

En la Unión Europea, es posible que a finales de este 2015 veamos la conclusión del proceso de reforma y modernización de la normativa europea de protección de datos personales (aunque nada puede darse por sentado).

Dicho lo anterior, sólo queda confesar que desde la publicación de la LFPD siempre he deseado compartir un ejercicio comparativo entre ésta, la LOPD española, y las disposiciones de la Directiva 95/46/CE (la «Directiva de Protección de Datos” o la “Directiva 95/46/CE”), que pueda servir para subrayar las fuentes europeas de la normativa mexicana sobre la materia, extendiendo la comparación hacia las disposiciones reglamentarias de la LFPD y la LOPD.

La LFPD y la LOPD guardan semejanzas no sólo en cuanto sus finalidades y medios de protección; también encontraremos coincidencias significativas en sus conceptos, significados y principios, sin olvidar que la segunda incorpora en el derecho español las disposiciones de la Directiva de Protección de Datos.

Por lo que, a manera de despedida a la “Directiva 95/46/CE” (¿de verdad ocurrirá pronto?), me gustaría dejar como referencia la siguiente tabla comparativa, en la que pretendo identificar conceptos y principios comunes entre las legislaciones de referencia, indicando los artículos que en cada normativa los regulan o definen:

CONCEPTO / PRINCIPIO

LFPD LOPD REGLAMENTO LFPD REGLAMENTO LOPD

DIRECTIVA 95/46/CE

Datos Personales / Datos de carácter personal

art. 3, V

art. 3.a) N/A art. 5.1.f)

art. 2.a)

Titular / Afectado o Interesado

art. 3, XVII

art. 3.e) N/A art. 5.1.a)

art. 2.a)

Base de Datos / Fichero

art. 3, II

art. 3.b) N/A art. 5.1.k)

art. 2.c)

Responsable / Responsable del fichero o tratamiento

art. 3, XIV

art. 3.d) N/A art. 5.1.q)

art. 2.d)

Tratamiento

art. 3, XVII

art. 3.c) N/A art. 5.1.t)

art. 2.b)

Encargado / Encargado del tratamiento

art. 3, IX

art. 3.g) art. 49 art. 5.1.i)

art. 2.e)

Consentimiento / Consentimiento del interesado

art. 3,IV

art. 3.h) art. 12 art. 5.1.d)

art. 2.h)

Transferencia (nacional)

art. 3.XIX

N/A art. 67 a 73 N/A

N/A

Cesión o comunicación de datos

N/A

art. 3.i) N/A art. 5.1.d)

Considerando 30

Transferencia internacional o a países terceros

art. 3.XIX

arts. 33 y 34 arts. 67 a 70 y 74 a 76 art. 5.1.s)

arts. 25 y 26

Fuentes de acceso público / Fuentes accesibles al público

art. 3, X

art. 3.j) art. 7 art. 7

Considerando 50

Datos personales sensibles / Datos especialmente protegidos

art. 3, VI

art. 7 art. 56 art. 5.1.g)

Datos de salud

art. 8

Derechos ARCO

arts. 28 a 35

arts. 15 a 17 art. 2, II arts. 23 a 36

arts. 10, 12 y 14

Principio del Consentimiento

arts. 9 a 10

art. 6 arts. 11 a 22 arts. 12 a 17

arts. 7.a); 8.2.a) y 26.1.a)

Principio de Información

art. 15

art. 5 arts. 23 a 35 arts. 18 y 19

arts. 10 y 11

Principio de Calidad

art. 11

art. 4.3 y 4.4 arts. 36 a 39 art. 8.5; 8.6 y 8.7

art. 6

Principio de Proporcionalidad

art. 13

art. 4.1 arts. 45 y 46 art. 8.4

art. 6.1.c)

Principios de Licitud y Lealtad

art. 7

art. 4.7 arts. 10 y 44 art. 8.1

arts. 5 y 6.1.a)

Principio de Finalidad

art. 12

art. 4.2 arts. 40 a 43 art. 8.2 y 8.3

art. 6.1.b)

Principio de Responsabilidad

art. 14

No existe arts. 47 y 48 No existe

No existe

Como puede apreciarse, existen claros antecedentes de la LFPD en los cuerpos legales europeos de referencia. La comparativa, desde luego, no es exhaustiva y puede extenderse a disposiciones más específicas. El acceso a los textos completos de la normativa analizada, a través de los links correspondientes, así como la consulta exhaustiva de los artículos mencionados (y del resto de sus disposiciones), queda en manos de aquellos que deseen profundizar en ello.

Esta realidad, y el hecho de que mi primer contacto y desarrollo profesional esté relacionado con la normativa española y europea, servirán como pretexto para que en futuras entradas de este blog recuerde y traiga a colación informes jurídicos, opiniones y resoluciones que seguramente nos ayudarán a resolver dudas sobre el cumplimiento y la aplicación de la LFPD, mediante un ejercicio de derecho comparado que sólo puedo vislumbrar como enriquecedor.

Serán ustedes, amigos, quienes finalmente decidan si dicho ejercicio cumple este objetivo.

Hasta el próximo post.