Ivonne Muñoz, México
Imagine usted que su nombre completo, domicilio, teléfono, correo electrónico y perfil profesional están dentro de un CD, y a su vez que sus datos comparten espacio con otras trescientos mil personas; que ese CD cuesta de $80 a $500, y que es adquirido ya sea por una compañía automotriz, una aseguradora, un servicio de telemarketing e incluso, un partido político.
Imagine lo que se puede hacer con esos datos: llamadas telefónicas, envío de campañas masivas de email, visitas a su domicilio, papelería publicitaria en el buzón de casa, etc.
Seguro usted ya está hecho a la idea de que esto es algo que nos sucede todos los días, es decir, que convivimos con esas acciones y casi… casi… lo vemos como actos normales de la economía mundial.
Lo que usted probablemente no se ha detenido a pensar, es: ¿cómo obtuvieron mis datos? ¿quién se los dio? ¿están seguros? ¿quién los tiene? ¿cómo los utilizan? ¿por qué los tienen?… todas estas preguntas y más nos llevan a pensar entonces en la necesaria y urgente protección de nuestra información, y no me refiero a información de empresa, sino a la más valiosa que hay en su vida: su información personal.
A efecto de controlar esta situación, existe desde hace unos ya, el tan conocido Principio de Autodeterminación Informativa, mismo que en palabras llanas es aquel que nos da derecho a definir cómo, quién, por qué, cuándo y dónde se realiza el manejo de nuestra información personal; la práctica de este principio-derecho, nos lleva al tema ya en análisis en los últimos años: la Protección de Datos Personales.
Con respecto a México, la protección de datos personales existe en el ámbito de la Administración Pública Federal y Estatal, esto a través de los Institutos de Transparencia y Acceso a la Información que han realizado un gran esfuerzo legislativo y administrativo para la implementación de medidas de seguridad en la realización de facto del Principio de Autodeterminación Informativa.
Por otra parte, en el sector privado existen dos instituciones orientadas a la regulación básica para la realización de opt-in y opt-out: en el sector del consumidor a través del Registro Público de Consumidores (PROFECO) y en el sector financiero con la existencia del REUS Registro de Usuarios de Servicios Financieros (CONDUSEF).
Con y a pesar de los esfuerzos realizados en los últimos cinco años, existía una controversia: la inconstitucionalidad de la protección de datos personales y la transparencia dentro de la administración pública, situación que se soluciona con las reformas realizadas al artículo sexto constitucional (Julio 20, 2007), al 73 constitucional (Abril 30, 2009) y hoy al 16 Constitucional (Junio 01, 2009).
El texto de la reforma constitucional, enuncia en su totalidad el Derecho a la Autodeterminación Informativa. La pregunta es: ¿qué sigue? ¿para cuando la Ley Federal de Protección de Datos Personales? Caray, ya vamos en la versión #7…
La reforma consiste en recorrer el párrafo segundo y adicionar como segundo párrafo el siguiente texto:
Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.
La reforma entra en vigor mañana, Junio 02 de 2009.
Abogada y Maestra en Comercio Electrónico
Dedicada al estudio de la relación entre Tecnología y Derecho desde 1999.
Escribo y también doy clases y conferencias de este tema además de ser consultora y Directora en IT Lawyers SC.
Auditor Líder ISO 27001:2013
Es un tema amplio y complejo que se puede ver desde muchos puntos de vista.
Como usuario puedo hablar de mis experiencias. Antes del Registro Público de Consumidores recibía muchas llamadas de gente que pretendía vender lo que sea. Con el registro disminuyeron, pero no cesaron. Aún recibo ofertas para mejorar mi paquete de telefonía e internet o adquirir nuevos créditos por parte de los bancos en los que tengo cuenta. También sigo recibiendo extorsiones (el clásico primo de Estados Unidos en problemas, o el premio millonario en algún programa de TV que nunca he visto) o la “encuesta” para minar más datos personales.
Aunque existe el registro y la consciencia de buenas prácticas, y la mayor parte de las empresas tienen decencia de repetarlas, dudo mucho que infringir esos principios tenga consecuencias legales. También recibo telefónicamente mensajes grabados para invitarme a votar por el PVEM, por supuesto nunca les he proporcionado mis datos y no me hace feliz que los tengan. Supongo que alguna acción tendría consecuencias similares a las cobranzas de los bancos, es decir los bancos pueden incurrir en malas prácticas contra los clientes morosos (como llamadas en la madrugada, amenazas de “acciones extrajudiciales,” estrategias de policía-bueno/policía malo, etc.) y al quejarse en Condusef el banco solamente dice “Lo sentimos, no sabíamos nada de la situación. Nosotros subcontratamos los servicios de cobranza y no somos responsables de las acciones de dichas empresas, así que te cambiaremos a otra empresa de cobranza.” Lo que a la autoridad le parece aceptable y da al banco la autorización para cobrar comisiones por “aclaraciones improcedentes.”
Aún así, el gobierno debe ser muy cuidadoso en la implementación de dichos registros, porque pueden terminar muy mal. Sin un registro nacional centralizado las empresas deben esforzarse y gastar sus propios recursos en adquirir, procesar y mantener actualizadas sus bases de datos personales. Un registro mal implementado (si termina a la venta como el padrón electoral) puede ahorrarles todo ese trabajo a las empresas con la ventaja de ser obligatorio y de alcance nacional, además ser finanzado por los contribuyentes. O puede resultar un fiasco como el RENAUT.
En el caso del registro de usuarios de teléfonos móviles, no estuve de acuerdo por varias razones (como que fuera a la empresa que da el servicio a la que hubiera que darle más datos personales que los necesarios para celebrar un contrato, o el fácil acceso por parte de “cualquier autoridad” a funciones avanzadas como geolocalización) y dejé de utilizar mi teléfono móvil. Meses después mi mamá pensó que no usaba teléfono por ser pobre y me regaló uno para estar localizable. En este caso, lo único que tuvo que hacer mi mamá fue ir a la tienda, pedir el teléfono y los únicos datos que tuvo que dar (además de nombre, dirección y teléfono) fueron mi nombre completo y fecha de nacimiento. Con estos datos el vendedor pudo determinar el CURP y en consecuencia registrarme. No fue necesaria mi presencia o identificación y yo me enteré que estaba dado de alta solamente hasta que recibí el regalo. ¿Y si la persona que quisiera darme un regalo en realidad no fuera mi mamá? ¿Y si el regalo que quisiera dejarme no fuera exactamente un teléfono?
Ya terminando quiero mencionar también lo fácil que es conseguir datos personales de forma masiva. Digamos que una importante refresquera que distribuye garrafones de agua de puerta en puerta decide hacer un sorteo para regalar una casa. Cada garrafón trae en la tapa un número para registrar por internet. Lo único que se necesita para entrar al sorteo es dejar datos personales.
Y por último, en el aspecto legal me gustaría ver 2 cosas. La primera que se permitiera el uso de seudónimos como en la ley de derechos de autor, (con un registro autónomo y confidencial como el del IMPI) y que la verdadera identidad sólo fuera revelada tras el fallo de un juez. La segunda es que malas prácticas como violar la confidencialidad de los datos adquiridos, el cruzamiento con otras bases de datos, la minería de datos, y cualquier uso que no sea el mismo propósito con el que se le preguntaron sus datos al usuario, tengan mayores consecuencias que un “usted disculpe.”
Y no hubo quien le diera la contra 😛
gracias por la informacion, saludos
Espero que mi email no sea utilizado para otros fines, jeje no veo porque tiene que ser obligatorio, en fin.
Esto de proveer nuestros datos a cualquiera y por dondequiera si que es de pensarse.
Hola,
Tengo la siguiente consulta. En la empresa donde laboro, están comenzando a reglamentar la definición de las contraseñas de los correos electrónicos y como medida a ello, dispondrá que el encargado de redes conozca de nuestra contraseña y peor aún que él sea quien nos la defina.
La medida tomada, presenta como finalidad brindar seguridad al medio electrónico y para ello sugieren que el encargado de redes será el responsable de colocar una contraseña compleja y seguro.
¿Es esta forma la más apropiado?. A mi parecer, no estoy de acuerdo y creo que si lo que se necesita es definir contraseñas complejas y seguro, lo más apropiada será sujetarse a un formato o sintaxis que cada empleado deberá respetar para definir su contraséña y esta luego sea verificada por el responsable de redes. Pero qué sea esta persona quién mantenga una lista de claves de cada uno de las cuentas de los trabajadores. no lo veo bien.
A ello el empleador, aduce que como la información es de la empresa, lo ve conveniente que las claves sea de conocimiento del responsable de redes y yo pregunto, ¿Que acaso el empleado no tiene privacidad en la información que gestiona?.
Deja estas interrogantes y espero de ayuda para resolver mi consulta.
Un abrazo.
Jim Sáenz
Hola Jim,
De antemano, gracias por consultar mi blog 🙂
Hay dos perspectivas para el tema en cuestión:
A. Medida de seguridad informática: por controles no es la práctica más segura
B. Medida de protección jurídica: es lo adecuado, dado que la información gestionada por el empleado no es propiedad de éste, sino de la empresa, es por ello que no constituye como tal una violación a la privacidad.
Saludos, Ivonne
Hola Ivonne:
Me parece muy importante lo de la autodeterminación informativa, en este momento paso por un problema ya que bancomer esta empeñado en llamar a mi casa incluso de madrugada preguntando por un Sr. Humberto García tengo 4 años diciendoles que no vive al teléfono al que se empeñan en seguir llamando, ya escribi una vez a Bancomer y me dicen que solo la persona que tiene el crédito puede hacer el cambio de los datos personales, ya escribi a la CONDUSEF, yo estoy en Ensenada, Baja California y me dicen que viaje a la Paz, Baja California Sur para que presente mi queja por escrito, además de llenar una solicitud de queja donde me piden datos que no les puedo proporcionar como tipo y número de contrato, tipo y número de cuenta entre otras cosas. Por si fuera poco aun no termino de quitarme ha esta institucón bancaria, cuando ya estan llamando de otras para preguntar igual por el Sr. Humberto García que para ofrecerle sus tarjetas, seguros de vida y demás, yo también me quede ….¿de donde demonios siguen tomando mi número de teléfono de referencia para “encontrar a esta persona”? y despues de leer esta nota me queda muy claro, y la verdad es que es injusto que nos molesten todos los dias, incluso a veces cada 10 minutos para preguntarte por esta persona, aun no encuentro quien me ayude con bancomer cuando ya me tengo que preocupar por todas las instituciones que otorgan créditos porque cualquiera de ellas puede obtener una información que además ni siquiera se toman la molestia de corroborar.
Gracias, Saludos
Alicia