Día de la Protección de Datos 2014. Acciones en 2013 desde México
Héctor E. Guzmán Rodríguez
Director del Área de Protección de Datos Personales y Privacidad en Bello, Gallardo, Bonequi y Garcia, SC (BGBG – México)
Asociado de APEP
Twitter: @HectorGuzmanMx
Este 28 de enero se celebra la 8va. edición del Día de la Protección de Datos, un evento que ya alcanza niveles internacionales, desde sus inicios en Europa.
Y es precisamente por lo cual, desde una perspectiva internacional, hemos considerado interesante difundir, a través de la Asociación Profesional Española de la Privacidad (“APEP”), la información que a finales de 2013 publicó en México el Instituto Federal de Acceso a la Información y Protección de Datos (“IFAI”), en su Comunicado 139/13.
Sanciones y procedimientos en 2013
El primer dato que destaca el IFAI en dicho Comunicado, derivado de su actividad como autoridad encargada de aplicar la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (“LFPD”), es el monto de las multas que impuso durante 2013. En total, más de 56 millones de pesos (equivalentes, el 20 de enero de 2014, a 3.161.554,24 euros).
Dicho monto deriva de los 18 procedimientos sancionadores tramitados en ese año, que culminaron con la imposición y determinación de las 16 multas que el IFAI relaciona con detalle en el Comunicado aludido.
Los sectores de actividad en que participan los Responsables que mayor cantidad de sanciones acumularon durante el 2013, podrían resumirse en los siguientes:
– Instituciones financieras,
– Instituciones o Centros Educativos, y
– Empresas de telecomunicaciones.
Puntualmente, fueron sancionadas otro tipo de entidades:
– Un grupo de farmacias,
– Una cadena de gimnasios,
– Un centro de desintoxicación, y
– Un centro de educación y servicios psicológicos.
Por otro lado, destaca la imposición de la multa de $41,874 pesos (unos 2.333 euros) que el IFAI impuso a un “médico particular”; la única persona física que a día de hoy ha sido sancionada por incumplimiento de la LFPD.
Conductas sancionadas
En el Comunicado que analizamos, el IFAI enumera las siguientes conductas como “las principales faltas en que incurrieron las empresas” sancionadas:
– La transferencia de datos a terceros, sin comunicar a éstos el Aviso de Privacidad con las limitaciones de divulgación de los datos personales de los titulares;
– La violación de los principios de licitud, finalidad, información, consentimiento y responsabilidad;
– La omisión en el Aviso de Privacidad de las opciones y medios que ofrecen a los titulares para limitar el uso o divulgación de sus datos, y
– La obstrucción de los actos de verificación de dicha autoridad.
Otras acciones en 2013
En congruencia con la importancia que ha dado a los denominados “Avisos de Privacidad”, en 2013 el IFAI puso a disposición del público su Generador de Avisos de Privacidad (el “GAP”), una herramienta a través de la cual “los responsables del tratamiento de datos pueden obtener gratuitamente estos documentos.”
Sin referirse a ello de forma expresa en su Comunicado, cabe hacer mención en este resumen, que en el mismo año el IFAI publicó:
– En enero, los “Lineamientos del Aviso de Privacidad”,
– En junio, el “Modelo de aviso de privacidad corto para video-vigilancia”, cuyas recomendaciones de adopción permiten apreciar en México, de forma paulatina, la aparición de “carteles de videovigilancia” similares a los que en España ya es frecuente encontrar en diversos espacios públicos y privados.
– En octubre, las “Recomendaciones en materia de seguridad de datos personales” – basadas en diversos estándares internacionales sobre seguridad de la información, y
Por otro lado, nuestra experiencia permite constatar que durante 2013 el IFAI promovió el uso del “Formato Único de Ejercicio de Derechos”, como medio estandarizado para que los particulares puedan reclamar ante aquél la indebida atención al ejercicio de sus derechos ARCO, por parte de aquellos Responsables ante los cuales los hubiesen ejercido.
Análisis general
Estadísticamente hablando, las cifras proporcionadas por el IFAI permiten afirmar que, durante 2013, se resolvieron 1,5 procedimientos de imposición de sanciones al mes.
Este dato, sin duda, requiere una valoración más profunda, que pasa al menos por las siguientes consideraciones:
– El tiempo que llevan en vigor, tanto la LFPD como su Reglamento;
– La fecha desde la cual resulta exigible, tanto a Responsables como a Encargados del Tratamiento, la adopción de las Medidas de Seguridad previstas en el Capítulo III del Reglamento de la LFPD: 22 de junio de 2013, conforme al artículo Cuarto Transitorio de este último ordenamiento.
– La reciente publicación de las “Recomendaciones en materia de seguridad de datos personales”, que hemos referido anteriormente.
Lo anterior, más aquellas otras medidas que el IFAI adopte durante este 2014, nos permiten ser optimistas y esperar que, en enero de 2015, podremos hablar de cifras al alza que sustenten una convicción clara y personal: la cultura de la protección de datos personales continuará creciendo en México, aun a costa de la imposición de nuevas sanciones.
Finalmente, invitamos a todos los lectores para que, a través de este enlace, conozcan los pormenores de los actos de difusión que el IFAI realizará de forma simultánea y diferida en diez ciudades de la República Mexicana, como parte de los actos asociados al Día de la Protección de Datos 2014.