La ley federal canadiense des sector privado: Diez años después

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

VIII Encuentro de Autoridades Iberoamericanas sobre Protección de Datos

México, D.F.
29 de septiembre de 2010

Palabras de Chantal Bernier
Comisionado adjunto para la protección de la intimidad en Canadá

English version
Version française


En la Oficina del Comisionado de Protección de la Vida Privada de Canadá, hemos seguido con sumo interés las gestiones que han redundado en la adopción de la Ley Federal de Protección de Datos Personales en Posesión de Particulares. Nos alegramos de la medida ya que contribuirá a proteger el derecho a la vida privada de los ciudadanos mexicanos, que son nuestros compatriotas norteamericanos además que traer un ventaje economíco a las empresas mexicanas que son nuestros “partners” comerciales.

La adopción de la ley federal mexicana llega en el momento más oportuno. Vivimos en una época en que la tecnología de la información pone en tela de juicio nuestras expectativas ante la protección de nuestros datos personales, así como las medidas de protección de estos datos. El volumen, la volatilidad y la vulnerabilidad de los datos personales en la era digital exigen un marco normativo de protección mayor y moderno.

Mi presentación esta mañana desarrollá ese tema de la siguiente manera:

  1. En primer lugar, repasaré el marco canadiense de protección de la vida privada.
  2. A continuación, haré una reseña de las semejanzas y diferencias entre la nueva ley federal mexicana y la ley federal canadiense.
  3. Por último, hablaré de algunas conclusiones que hemos sacado de los diez primeros años de existencia de la Ley de protección de la información personal y los documentos electrónicos mediante algunos ejemplos concretos.

Marco canadiense de protección de la vida privada

Mientras México celebra la adopción de su nueva Ley Federal de Protección de Datos Personales en Posesión de Particulares, Canadá celebra el décimo aniversario de su propia ley. En efecto, en 2000, la Oficina del Comisionado de Protección de la Vida Privada de Canadá se hallaba en una situación parecida a la que vive el IFAI este año.

En el momento en que se promulgó la ley federal canadiense que atañe al sector privado, es decir, nuestra  Ley de protección de la información personal y los documentos electrónicos o LPRPDE, por su nombre en francés, la oficina canadiense contaba ya veinte años de existencia velando por el respeto de la ley federal sobre la protección de los datos personales en el sector público. Así pues, nos encontrábamos ante circunstancias más o menos idénticas a las que vive el IFAI hoy día.

Pero a pesar de estas semejanzas y aunque sobre decirlo, no tengo más remedio que recordar que el contexto actual nada tiene que ver con el de hace diez años.

En abril del año 2000, cuando la LPRPDE obtuvo la sanción real, seguíamos preguntando a la gente si tenía una dirección de correo electrónico. Hoy día, nos extraña sobremanera encontrarnos con alguien que no esté inscrito en Facebook.

Hace diez años aún no existían Foursquare, LinkedIn ni Twitter, y Google recién venía de instalarse en un edificio de Palo Alto. Dos años antes, la empresa todavía se las arreglaba en el garaje de un amigo de sus fundadores.

Hace diez años, las multinacionales eran empresas bien asentadas. Tuvieron tiempo de perfeccionar sus prácticas a medida que iban prosperando. Hoy día, las multinacionales son empresas que siguen en la adolescencia, en el mejor de los casos.

A menudo se comenta que el planteamiento canadiense en lo que se refiere a la protección de la vida privada o de los datos personales se sitúa a medio camino entre lo que se practica en Europa y lo que se hace en EE.UU.

Y es que, en muchos sentidos, la cultura jurídica de Canadá es fruto de la mezcla de tradiciones británicas y francesas que han marcado su historia. Empero, el modelo canadiense de protección de la vida privada también se debe en gran parte a la influencia contemporánea de la Unión Europea y de EE.UU.

La ley sobrela protección de los datos personales, es decir nuestra ley que va dirigida al sector público, cuenta ya un cuarto de siglo y se aplica a los ministerios y organismos públicos federales.

En lo que respecta al sector privado, tres provincias —Quebec, Alberta y Colombia Británica— han adoptado sus propias leyes, que se reconocen como similares en lo fundamental a la LPRPDE.

Una cuarta provincia, Ontario, tiene una ley que se aplica a los datos personales referentes a la salud, también reconocida como similar a la ley federal.

No obstante, incluso en estas provincias, la LPRPDE puede seguir aplicándose a los entes del sector privado que se rigen por la legislación federal —por ejemplo, los bancos, las compañías de transportes y telecomunicación— así como a los datos personales en el marco de transacciones interprovinciales e internacionales.

La normativa fundamental descrita en la LPRPDE se basa en diez principios relativos a la equidad en el procesamiento de la información que a su vez se conforman a los principios de la OCDE generalmente relativos a la responsabilitdad, los fines, el consentimiento y las medidas de seguridad, que voy a desarrollar mas allá.

La función de Comisaria de protección de datos personales es, ante todo, la de una defensora del pueblo que se esfuerza por resolver los conflictos por la vía de la negociación, la mediación y la conciliación. No obstante, cuando no logramos nuestros objetivos amistosamente, podemos presentar los expedientes al Tribunal Federal, lo que, por cierto, hacemos de vez en cuando. No obstante, logramos resolver la mayoría de los casos sin tener que acudir a los tribunales.

La LPRPDE nos ha sido de gran utilidad por el momento. Gracias a su neutralidad desde el punto de vista tecnológico, hemos podido resolver casos que hubieran parecido inconcebibles cuando la ley se redactó en su día.

No obstante, cabrá modificar esta ley para que pueda seguir protegiendo  el derecho de los ciudadanos y ciudadanas canadienses durante varias décadas aún. Los legisladores han previsto un examen parlamentario quinquenal de la LPRPDE; el próximo debería ser en 2011.

Conclusión: Es necesario investigar con otro país
Esperamos que esto redunde en la concretización y el reforzamiento de nuestra capacidad de colaboración con otras administraciones encargadas de la protección de datos en el ámbito internacional. La medida resulta imperativa ya que los datos personales se hallan suspendidos en una especie de órbita perpetua a merced de multinacionales cuyas actividades se desarrollan exclusivamente en línea, y cuyo único activo suele resumirse en el contenido generado por los usuarios.

Esperamos que nuestro poder de llevar a cabo investigaciones discrecionales se vea ampliado para que podamos hacer frente de manera más adecuada a los nuevos retos que van surgiendo en lo que se refiere al derecho a la vida privada.

Conclusión: La denuncia de los casos de incumplimiento de la protección de datos debe ser obligatoria

En este contexto, consideramos que la denuncia de infracciones relativas a los datos privados —que es una práctica recomendada por el Consejo del Tesoro de Canadá para los organismos públicos, pero totalmente facultativa para las organizaciones del sector privado— debería revestir carácter obligatorio.

Conclusión: El concepto de consentimiento debe actualizarse

Por último, nos parece primordial estudiar más detenidamente la cuestión del consentimiento. ¿Cuál es el valor del consentimiento de los empleados? ¿Cómo se puede obtener un consentimiento válido cuando resulta difícil concretar la finalidad de los datos que se trata de recabar?

Cuando la tecnología en cuestión es compleja o cuando los objetivos de la compilación de datos pueden cambiar —hablamos de la investigación en el campo de la salud o de datos de tipo genético—, ¿puede obtenerse realmente un consentimiento válido? Esas cuatro recomendaciones son esenciales para actualizar nuestra ley de datos personales en el sector privado.

Semejanzas y contrastes entre la Ley Federal de Protección de Datos Personales en Posesión de Particulares y la Ley canadiense de protección de la información personal y los documentos electrónicos

Hemos leído con sumo interés la Ley Federal de Protección de Datos Personales en Posesión de Particulares y nos hemos percatado de muchas semejanzas y contrastes entre la ley mexicana y nuestra LPRPDE canadiense, que planteo aquí para situar la cuestión.

He aquí algunos de los aspectos que me han llamado la atención:

  • ¿A qué se aplica la ley?
  • ¿En qué consiste un dato personal?
  • ¿Cuáles son los principios en los que se basa la protección de los datos personales?
  • ¿Contiene la ley disposiciones concretas sobre la circulación transfronteriza de los datos?
  • ¿Cuáles son las medidas de aplicación previstas en la ley?
  • ¿Cuáles son las sanciones previstas en la ley?

A continuación desarrollaré estos puntos.

¿A qué se aplica la ley?

La LPRPDE emplea el concepto de actividad comercial de manera que sólo se aplica con motivo de una transacción.

El artículo 2.(1) de la ley define la actividad comercial como “Cualquier actividad habitual o cualquier acto aislado que tiene carácter comercial por su naturaleza, incluyendo la venta, el trueque o el alquiler de listas de donantes, de afiliados o de recaudación de fondos”. Este concepto fundamental para la interpretación del campo de aplicación de la ley se basa en la naturaleza de la actividad en cuestión.

 De este modo, todas las actividades de una organización activa en el mundo de los negocios y que recoge, usa o comunica datos personales con motivo de sus actividades de negocio deberían atenerse a la ley. Sin embargo, una organización sin afán de lucro, como una universidad o un organismo benéfico, no estaría sujeta a la ley, a menos que dicha entidad venda ocasionalmente listas de datos de donantes actuales o anteriores, por ejemplo, en cuyo caso estas actividades concretas sí deberían atenerse a la LPRPDENote de bas de page 1.

¿En qué consiste un dato personal?

La LPRPDE no distingue entre los datos personales y los datos personales confidenciales. Sin embargo, en su primer año de implementación no se sabía demasiado bien lo que se entendía por dato personal, como bien lo demuestran algunos de los expedientes que estudiamos en su día.

Por ejemplo, varias empresas se apresuraron a argumentar que algunos de los datos atribuidos a los clientes —concretamente, sus números de cuenta o de tarjeta de crédito— pertenecían en realidad a la empresa y no al cliente, ya que estos datos habían sido producidos por la empresa y no proporcionados por los clientes.

El artículo 2º de la LPRPDE puntualiza, sin embargo, que un  dato personal es “cualquier dato relativo a una persona identificable”. Dicho artículo no dice que la información debe provenir de una persona o ser proporcionada por ella, ni tampoco habla del titular de la información. Se limita a afirmar que para que un dato sea considerado personal, debe guardar relación con una persona identificable.

¿Cuáles son los principios en los que se basa la protección de los datos personales?

En vez de basarse en los ocho principios en los que se inspira la Ley, los que concibieron nuestra ley para el sector privado adoptaron principios generales —diez prácticas equitativas para el procesamiento de la información, derecho de acceso y rectificación, y poder de vigilancia otorgado a un comisario o, en este caso, comisaria,

encargada de asegurar la protección de los datos personales y que disponga de extensos poderes de investigación— pero no las exigencias más oficiales como son la inscripción de los responsables y la notificación en caso de procesamiento, o la denuncia de las infracciones cometidas contra la confidencialidad de los datos personales.

Los diez principios de equidad para el tratamiento de la información en los que se basa la LPRPDE son los siguientes:

  • Responsabilidad
  • Definición de los fines de la recopilación de datos
  • Consentimiento
  • Limitación de la recopilación
  • Limitación del uso, comunicación y conservación
  • Exactitud
  • Medidas de seguridad
  • Transparencia
  • Acceso a los datos personales
  • Posibilidad de denunciar el incumplimiento de los principios

¿Contiene la ley disposiciones concretas sobre la circulación transfronteriza de los datos?

Como comentaba al principio de mi intervención, el vertiginoso auge que han ido tomando las actividades en línea u “on line” —ya se trate de actividades económicas o sociales— conlleva una circulación de datos sin precedentes entre territorios de diversa competencia.

La ley mexicana no trata de la transferencia de datos más allá de las fronteras del país, pero sí prevé un marco regulador de la transferencia de datos a terceros. El principio adoptado resulta comparable al previsto por la ley canadiense: la LPRPDE estipula que una organización sigue siendo responsable de los datos que confía a un tercero.

La LPRPDE no supone una traba para nuestra economía. De hecho, se afirma en la ley propiamente dicha que tiene por cometido apoyar y fomentar el comercio electrónico a la vez que proteger los datos personales.

El mercado mundial tendría todas las de ganar si los consumidores pudieran tener la certeza de que sus datos personales están protegidos,  incluso después de haber traspasado las fronteras de su país de origen.

No se trata aquí de una dejadez generalizada. La ley exige que los datos personales sean protegidos, independientemente de su procedencia o ubicación. Cualquier persona que transfiera datos personales mientras se encuentra en Canadá debe asegurarse de que dichos datos estén protegidos y se procesen de acuerdo con la normativa aplicable en Canadá.

Contrariamente al planteamiento  “de estado a estado” adoptado por la Unión Europea, que va acompañado por una evaluación de la “conveniencia” del otro país, Canadá se ha inclinado por un planteamiento “de organización a organización”.

De acuerdo con la LPRPDE, son las organizaciones las que deben velar por la protección de los datos personales transmitidos con motivo de cualquier acuerdo de tercerización.

La organización debe asegurar —ya sea por medio de un contrato o de otro modo— un nivel de protección equiparable al previsto por la LPRPDE durante el procesamiento de la información por terceros.

Por “nivel de protección equiparable” se entiende que la protección ofrecida por el tercero encargado de procesar los datos personales debe ser comparable al nivel de protección que los datos hubieran obtenido de no haber sido transferidos.

Esto no significa que las medidas de protección deban ser idénticas en todas partes. Sólo quiere decir que deben de poder equipararse de manera general.

Cuando una organización decide delegar el procesamiento de los datos a un tercero, debe tomar todas las medidas razonables necesarias para impedir el uso o la divulgación ilícita de los datos personales mientras se encuentren en manos del tercero que se ocupa de procesarlos.

La organización también debe asegurarse de la protección adecuada de los datos en todo momento.

¿Cuáles son las medidas de aplicación previstas en la ley?

La ley mexicana describe un mecanismo claro y riguroso ante las posibles infracciones.

La Oficina del Comisionado de Protección de la Vida Privada de Canadá suele intervenir de cuatro maneras:

  • Investigamos cuando recibimos quejas de particulares;
  • Llevamos las investigaciones por iniciativa propia cuando tenemos motivos fundados de sospechar que se ha infringido la ley;
  • Procedemos a las auditorías necesarias cuando todo deja suponer que las prácticas de una organización o industria en lo que se refiere al manejo de la información personal son contrarias a la ley;
  • Evaluamos los factores relativos a la vida privada que nos presentan las organizaciones.

En numerosas intervenciones, ya sea en el marco de una investigación, de una auditoría o de un examen de las evaluaciones de los factores relativos a la vida privada, el criterio que aplicamos para determinar si resulta razonable recabar datos personales se divide en cuatro partes.

Utilizamos este criterio por primera vez en 2003, en un asunto en el que se enfrentaron un empleado ferroviario y su empresa. Al empleado le preocupaba el hecho de que las cámaras digitales ocultas recién instaladas en las áreas de trabajo pudieran utilizarse para vigilar a los empleados, su comportamiento y desempeño.

El comisario de la época se inspiró en un caso que pasó ante la Corte Suprema de Canadá en 1986 —el caso Oakes— en el que se tuvieron que establecer las circunstancias bajo las cuales resultaba razonable limitar los derechos y libertades individuales en una sociedad libre y democrática.

Las cuatro interrogantes que surgieron de este caso son las siguientes:

  1. ¿Es precisa la medida para cubrir una necesidad demostrable?
  2. ¿Puede la medida cubrir esta necesidad como es debido?
  3. ¿Hay alguna proporción entre la infracción a la vida privada y la ventaja obtenida?
  4. ¿Existe algún medio menos invasivo de lograr los mismos fines?

El comisario de la época reconoció que los objetivos de la empresa, es decir, la disminución del robo y del vandalismo y la seguridad del personal podían parecer apropiados a priori. No obstante, y tras haber sopesado la situación a la luz del criterio en cuatro partes que le había inspirado el caso Oakes, el comisario resolvió que la utilización de cámaras de vigilancia no se justificaba en este caso concreto.

Este criterio en cuatro partes nos sirve asimismo para estudiar asuntos que atañen al sector público. Por ejemplo, nos ha permitido hace poco tomar una decisión en relación con el uso de escáneres de ondas milimétricas en los aeropuertos canadienses. 

¿Cuáles son las sanciones previstas en la ley?

La Oficina del Comisionado de Protección de la Vida Privada de Canadá no tiene el poder de imponer multas a las organizaciones.

No obstante, si una empresa se niega a seguir nuestras recomendaciones, pedimos al Tribunal Federal que emita una orden conminándola a atenerse a ellas y a pagar una indemnización si procede.  

No les sorprenderá saber que la posibilidad de ser llevado a juicio resulta ser una herramienta de lo más persuasivo y casi todo el mundo prefiere atenerse a nuestras recomendaciones.

No obstante, reconocemos la importancia de que la ley mexicana haya previsto sanciones concretas.

Conclusiones sacadas a lo largo de estos diez años

Asunto Facebook: O cómo la autoridad encargada de la protección de datos de un país de 34 millones de habitantes puede mejorar la suerte de cientos de millones de internautas

El primer caso de importancia que comentaré esta mañana ya lo conocen de sobra: se trata, naturalmente, de la investigación que hemos llevado a cabo sobre la gestión de datos personales por parte de Facebook.

La Oficina del Comisionado de Protección de la Vida Privada de Canadá estudió las prácticas y políticas de la empresa en lo que se refiere a la protección de los datos personales a raíz de una queja depositada en mayo 2008  por el Consultorio Jurídico de Interés Público y Política de Internet de Canadá (CIPPIC, por su nombre en francés), que depende de la Universidad de Ottawa.

Así fue como Canadá se convirtió en el primer país en llevar a cabo una investigación a fondo sobre las prácticas de Facebook en relación con la protección de la vida privada.

La queja, depositada a tenor de la LPRPDE, se refería a once aspectos de este sitio web de interacción social, entre los cuales cabe destacar:

  • Los parámetros de confidencialidad predeterminados del sitio;
  • La obtención e utilización de datos personales con fines publicitarios;
  • La comunicación de datos personales pertenecientes a los usuarios a terceros que se ocupan de elaborar aplicaciones;
  • La obtención y utilización de datos personales de personas no inscritas en Facebook.

Entre los principales aspectos analizados figuraban las cuestiones de la notificación y del consentimiento. Deseábamos saber si la información ofrecida por Facebook a los usuarios resultaba suficiente clara para que éstos pudieran dar su consentimiento válido a la obtención, utilización y divulgación de los datos personales que les correspondían.

También deseábamos comprobar si dicha información se proporcionaba a los usuarios de manera clara y transparente.

Otro motivo de inquietud para nosotros giraba en torno a la conservación de los datos personales por Facebook, sobre todo de los que los usuarios deseaban desactivar al anular su cuenta.

Los mecanismos de seguridad también figuraban entre las preocupaciones descritas en la queja, sobre todo en lo que se refiere a aproximadamente un millón de terceros dedicados a elaborar las aplicaciones ofrecidas por la plataforma Facebook, como juegos, cuestionarios, horóscopos, etc.

Terminamos nuestra investigación en julio de 2009 y llegamos a la conclusión de que no existía ninguna prueba de infracción de la LPRPDE con respecto a las cuatro áreas mencionadas, ni en relación con las alegaciones de proceder engañoso y falsas pretensiones por parte de Facebook.

En cuanto a otros aspectos relacionados principalmente con los parámetros de confidencialidad predeterminados o con la obtención y utilización de datos personales con fines publicitarios, llegamos a la conclusión de que Facebook sí había infringido la LPRPDE. No obstante, la comisaria adjunta encargada de la investigación consideró que los problemas se habían resuelto con las medidas correctivas propuestas por Facebook.

En cambio, consideramos que determinadas actividades de Facebook seguían infringiendo la LPRPDE.

Nuestras inquietudes giraban en torno a los siguientes aspectos:

  • Las aplicaciones elaboradas por terceros;
  • La desactivación y anulación de las cuentas;
  • Las cuentas de los usuarios fallecidos;
  • Los datos personales de los no usuarios.

Por ejemplo, Facebook no se esforzaba lo suficientemente por obtener el consentimiento previo y válido de los usuarios antes de confiar sus datos personales a terceros que elaboraban aplicaciones.

Por el contrario, estos cientos de miles de personas que elaboraban aplicaciones tenían un acceso prácticamente ilimitado a los datos personales de los usuarios y de sus amigos.

Facebook no aceptó de inmediato adoptar nuestras recomendaciones para estas cuatro cuestiones pendientes.

Entonces, la Oficina del Comisionado de Protección de la Vida Privada de Canadá entabló conversaciones más a fondo —y a menudo bastante intensas— con los responsables de Facebook.

La semana pasada, la comisaria Stoddart tuvo el placer de anunciar que estas conversaciones han dado fruto y que todos los aspectos que quedaban pendientes se resolvieron de manera satisfactoria.

Sin embargo, la comisaria puntualizó que los aspectos resueltos eran únicamente los que se mencionaban en la queja presentada por la CIPPIC. La Oficina del Comisionado emprendió, pues, una investigación sobre nuevas quejas presentadas desde entonces contra Facebook, y que se referían a otros aspectos del sitio de esta red social.

Hemos sacado varias conclusiones de nuestra primera investigación sobre Facebook, y paso a detallarles algunas:

  • Ante todo, este asunto ha demostrado que la mediación puede resolver casos sin precedentes, incluso los más complejos.
  • A continuación, el éxito de esta primera investigación sobre Facebook demuestra las ventajas que ofrece una ley neutral en lo que se refiere a la tecnología.Efectivamente y como ya he mencionado, Facebook ni tan siquiera existía cuando se redactó la LPRPDE e Internet no tenía la importancia que reviste hoy día en nuestra vida cotidiana y aún menos los sitios de redes sociales.
  • Por último, nuestras investigaciones sobre Facebook —y todas las otras que llevamos a cabo en sectores comerciales muy allegados a la tecnología, principalmente la que estamos realizando sobre la grabación por Google de los datos transmitidos por sus redes Wi-Fi no seguras— ponen de manifiesto la importancia que tiene contar con una alta capacidad tecnológica en una oficina de comisionado de protección de la vida privada.

Resulta imperativo para una autoridad de protección de datos poder contar entre sus empleados con personas que tengan conocimientos especializados sobre las industrias que se trata de regular. Dado que los datos personales se recogen y conservan en una infraestructura tecnológica, las autoridades encargadas de proteger dicha información deben dominar las características de esta tecnología.

Hemos podido utilizar nuestro poder de persuasión para convencer a Facebook a comprometerse a realizar importantes mejoras en el funcionamiento de su sitio. Además, estas mejoras no sólo se aplican a Canadá, sino a todos los demás países.

Hasta los gigantes mundiales como Facebook reconocen que la adopción de nuestras recomendaciones es el mejor camino a seguir.

Se trata, pues, de una gran victoria en el ámbito de la protección de la vida privada, tanto a escala nacional como internacional.

El asunto Abika: Cómo hacer respetar la ley en un mundo en que las fronteras se van esfumando

El segundo caso relevante que deseo plantear también tiene que ver con  Internet, pero muestra la manera en que dos territorios de distinta competencia pueden colaborar conforme a normas que ya han quedado establecidas.

Se trata del caso de Accusearch, Inc., empresa de Wyoming que trabaja en línea con el nombre de Abika.com.

Abika ofrecía toda una gama de servicios de investigación sobre particulares y encargaba a terceros que recabaran sus correspondientes datos personales a partir de bases de datos y registros públicos y privados.

En junio de 2004 la Oficina del Comisionado recibió una queja en la que se indicaba que Accusearch había procedido de manera rutinaria a recabar, utilizar y difundir datos personales de ciudadanos y ciudadanas canadienses con fines ilícitos, todo ello sin contar con su consentimiento previo y sin que los interesados estuvieran al tanto.

Según las afirmaciones de la parte acusadora, las actividades de Accusearch infringían la LPRPDE canadiense, pese a que la empresa estuviera ubicada en Estados Unidos.

De entrada, la Oficina del Comisionado de Protección de la Vida Privada de Canadá renunció a investigar alegando que no le correspondía hacerlo por no ser la instancia apropiada.

No obstante, en el marco de un control judicial, el Tribunal Federal de Canadá confirmó que la Oficina del Comisionado tenía la autoridad necesaria para investigar la queja relativa a Accusearch, Inc., pese a su ubicación en EE.UU. y a la dificultad que ello planteaba para realizar una investigación eficaz.

Según el Tribunal, la Oficina del Comisionado tenía autoridad para investigar este asunto porque había vínculos reales e importantes entre la organización y Canadá. Esta decisión nos sirvió de base para establecer nuestra competencia en otros casos similares.

Por consiguiente, la Oficina del Comisionado procedió a su propia investigación sobre Accusearch y su sitio Abika.com, fundándose mayormente en los datos proporcionados por la Comisión Federal del Comercio de EE.UU.

Al terminar sus pesquisas, la Oficina del Comisionado llegó a la conclusión de que Accusearch había infringido importantes disposiciones de la LPRPDE por su manera de recabar, utilizar y difundir datos personales pertenecientes a residentes canadienses.

La Oficina del Comisionado descubrió que la empresa transmitía a terceros los datos personales de ciudadanos y ciudadanas canadienses sin su consentimiento previo y sin que estuvieran al tanto.

Por otra parte, la Oficina del Comisionado se dio cuenta de que Abika.com aceptaba normalmente solicitudes de obtención de datos personales y contestaba a dichas solicitudes sin plantearse si resultaba apropiado o no. Entre los documentos que FTC nos entregó había uno que contenía los nombres y datos de los solicitantes, las fechas y estado de sus solicitudes y una columna titulada “Notas” con ciertos datos de las solicitudes.

Algunos comentarios de la columna “Notas” permiten hacerse una idea del tipo de información que Abika.com estaba dispuesta a obtener en nombre de sus clientes.

En un primer caso podía leerse lo siguiente: “Confío en que funcione. La nueva amiga de mi antiguo novio ha robado mi dirección de correo electrónico y no para de acosarme. ¡Necesito ayuda!”.

En un segundo caso encontramos esto: “Mi novio dice que trabaja en Oaxaca, México. Sin embargo, yo creo que ha regresado a Madrid, España, ya que, cuando respondí a su mensaje, noté que había seis horas de diferencia entre la hora en que envió su mensaje y la hora en que yo lo recibí… Es la diferencia horaria que hay entre Toronto, Canadá, y Madrid, España; no la que hay con Oaxaca en México; sólo quiero saber la verdad.

Aunque la mayoría de las solicitudes parecían venir de particulares, algunas venían de empresa. La Oficina del Comisionado pudo comunicarse con una de ellas, una oficina de técnicos jurídicos. Según la hoja electrónica, Abika había prestado sus servicios a esta oficina seis veces entre 2004 y 2005. Durante una entrevista con la Oficina del Comisionado, la oficina en cuestión mostró una gran cooperación y respondió a todas las preguntas sin vacilación alguna.

La Oficina del Comisionado supo que la empresa había difundido datos personales a sabiendas de su finalidad, una finalidad que a cualquier persona razonable le hubiera parecido totalmente inaceptable. La comisaria adjunta recomendó que Abika.com renunciara a recabar, utilizar y difundir datos personales de personas residentes en Canadá sin su conocimiento y consentimiento previos.

Al mismo tiempo, la Comisión Federal del Comercio de EE.UU. llevó a cabo su propia investigación sobre las actividades de Accusearch y entabló diligencias contra la empresa ante el Tribunal del Distrito de Wyoming, logrando así frenar la venta de datos personales de los clientes. El fallo del tribunal fue confirmado ulteriormente por el Tribunal de Apelación del Décimo Circuito de EE.UU.

El expediente objeto de la apelación se relacionaba con la transmisión de datos entre EE.UU. y Canadá, la manera en que los agentes recababan, utilizaban y difundían datos personales sin el conocimiento de los titulares y sin obtener su consentimiento previo, así como la forma en que el intercambio de datos personales en línea infringía el derecho a la vida privada.

Dado que la Oficina del Comisionado se veía afectada por el litigio relativo a Accusearch, Inc. y que las cuestiones planteadas tenían que ver con la circulación transfronteriza de datos, la Oficina del Comisionado obtuvo permiso para presentar un informe amicus curiae delante el tribunal EE.UU. con motivo de la apelación por parte de Accusearch.

En su informe, la Oficina del Comisionado hacía constar en qué medida la sentencia del Tribunal iba a tener un impacto directo en el derecho a la vida privada de los ciudadanos y ciudadanas canadienses así como en la reputación de las organizaciones afectadas por las actividades de los agentes.

Entre otras cosas, el informe subrayaba que, al recabar, utilizar y difundir datos personales mediante Internet sin estar autorizados a hacerlo, los agentes que recopilaban datos podían causar perjuicios y generar consecuencias en el extranjero.

En su fallo, el Tribunal de Apelación del Décimo Circuito de EE.UU. llegó a la conclusión de que la empresa sabía que sus investigadores obtenían datos confidenciales de manera fraudulenta o ilícita. Por consiguiente, el Tribunal consideró que la empresa había intentado a sabiendas convertir los datos en una mercancía a disposición del público sin que se supiera en ningún momento con qué finalidad.

Debido a esta decisión, Abika.com ha de respetar una conminación que le prohíbe difundir datos confidenciales de cuentas telefónicas, así como otros “datos personales de los clientes”, sin obtener previamente su consentimiento explícito por escrito.

El fallo del Tribunal de Apelación del Décimo Circuito de EE.UU. reconoce claramente una infracción contra el derecho a la privacidad debida al comercio en línea y no autorizado de datos personales. Al mismo tiempo, marca la aparición de una importante y novedosa forma de protección, tanto para los ciudadanos canadienses como para los estadounidenses.

Permítanme añadir que, al declarar ilegales las prácticas de Accusearch, la ley de EE.UU.  ha contribuido a uniformizar los métodos utilizados para proteger la vida privada en EE.UU. y Canadá.

Esta uniformización servirá de guía, a su vez, para las organizaciones que tengan previsto terciarizar funciones de procesamiento de datos en EE.UU., y permitirá que las personas utilicen Internet con confianza.

En resumen, el caso de Accusearch ha significado un paso importante para la cooperación y la colaboración internacionales, cada vez más necesarias para la protección de la vida privada en ambos lados de la frontera.

El caso Accusearch puso de manifiesto que las empresas ya no necesitan estar presentes físicamente en un determinado país para poder operar en él.

De ahí que las autoridades de protección de datos deban estar preparadas para colaborar entre sí, con el fin de respetar el derecho a la privacidad de los ciudadanos y ciudadanas de sus respectivos países, aun cuando —inevitablemente— los datos personales de dichos ciudadanos se manejen en otros ámbitos de competencia.

Caso TJX: No respetar las leyes sale caro

El último caso que plantearé esta mañana es el de TJX, también conocido como el mayor robo de datos personales perpetrado hasta la fecha.

TJX es un gigante americano especializado en el comercio minorista, con tiendas en varios países, incluido Canadá. Cuando los cibercriminales se introdujeron en el sistema informático de TJX, tuvieron acceso a los datos personales de los clientes estadounidenses, pero también de los de Canadá, Reino Unido e Irlanda.

La información robada incluía datos de tarjetas de pago, así como datos de clientes que devolvían mercancía sin presentar recibo, concretamente sus nombres, direcciones, y números de permisos de conducir.

Según TJX, los criminales consiguieron introducirse en un primer momento en el sistema pirateando una red local inalámbrica en el exterior de dos tiendas de Miami, en julio de 2005. Los ladrones estuvieron robando datos durante año y medio, hasta que TJX terminó por detectar un programa informático sospechoso en una de las secciones de su sistema informático.

Tras una investigación efectuada en colaboración con una oficina de un comisionado provincial, llegamos a la conclusión de que TJX había infringido la ley.

Nuestra investigación puso de manifiesto una serie de graves problemas:

  • TJX recogía demasiada información y la almacenaba durante demasiado tiempo;
  • TJX olvidó actualizar sus sistemas de seguridad en el momento oportuno;
  • TJX no vigiló de manera adecuada su sistema para descubrir las intrusiones.

¿Qué podemos aprender de estos fallos relativos a la seguridad y a la protección de la vida privada?

La primera lección es fundamental: no se deben recoger más que los datos personales estrictamente necesarios. Es evidente que la información que no se posee no puede perderse.

La investigación reveló que era preocupante que la empresa conservara los números de permisos de conducir y otros datos de los consumidores, que permitían identificarlos cuando devolvieran mercancías sin recibo.

TJX respondió que dicha información se recogía con el fin de prevenir posibles fraudes. Entendemos la necesidad de detectar las devoluciones fraudulentas, pero esto conlleva serios problemas cuando se trata de recabar y almacenar por tiempo indefinido los números de permisos de conducir de los clientes, así como otros datos de naturaleza delicada que permitan su identificación.

Ante estos problemas, TJX propuso un proceso innovador con el que tratar la cuestión de las devoluciones fraudulentas. El personal de la tienda sigue solicitando del cliente un documento de identidad cuando los motivos comerciales así lo justifican. Sin embargo, nada más entrar en el sistema, los datos como el número del permiso de conducir se convierten en función de unos algoritmos en un nuevo número de identificación que puede atribuirse fácilmente al cliente.

Este nuevo sistema permite a la empresa efectuar un seguimiento de las mercancías devueltas sin presentación de recibo, sin que sea preciso conservar un número de permiso de conducir en el sistema.

Centrémonos ahora en el problema del almacenamiento de datos durante un periodo de tiempo demasiado amplio. Algunos de los datos robados a TJX se referían a transacciones efectuadas en 2002. El almacenamiento de datos durante un periodo de tiempo superior al necesario se opone a las prácticas idóneas de gestión de la información.

Segunda lección: cuando los datos personales dejan de ser necesarios, hay que deshacerse de ellos de forma segura.

La tercera gran lección que se desprende de esta historia es que para proteger los datos personales es preciso recurrir a medidas de seguridad apropiadas.

Llegamos a la conclusión de que TJX no consiguió gestionar de forma adecuada el riesgo de intrusión, habida cuenta de la cantidad de datos personales de clientes que tenía almacenados. Por lo tanto, TJX no respetó las normas de la industria. Si bien es cierto que la empresa tenía desde hacía tiempo prevista la implantación de un sistema de cifrado más eficaz, también lo es que el proceso de implantación se prolongó durante dos años, durante los cuales se siguieron perpetrando infracciones contra la protección de datos.

La cuarta lección crucial tiene que ver con la importancia de vigilar los sistemas informáticos para prevenir y combatir posibles intrusiones. Durante de año y medio aproximadamente, TJX no fue consciente de que los piratas informáticos iban y venían a sus anchas por su sistema informático.

En nuestra investigación, TJX repetía sin cesar que “no habían hecho más que lo que suelen hacer otros tantos minoristas”.

En efecto, justo antes de hacerse público el caso de TJX, Visa USA informaba que sólo un poco más de la tercera parte de los mayores minoristas de EE.UU. cumplían las normas de seguridad de la industria.

Según tengo entendido, la situación ha mejorado, tanto en EE.UU. como en Canadá. Me parece que los expertos en materia de seguridad no necesitan más que una sola palabra —TJX— para convencer a sus superiores de que inviertan en la puesta al día de políticas y sistemas de seguridad.

“Progresamos tan lentamente como los demás” no es una excusa válida. Por supuesto, garantizar la seguridad de la información supone cierto nivel de inversión, pero el precio es mucho más asequible en comparación con el que habría que pagar en el caso de tener que hacer frente a una grave infracción contra la protección de datos.

TJX anunció que los costos por la infracción superaban los 200 millones de dólares. Varios analistas estiman que el verdadero importe es aún más elevado.

Entre los expertos en materia de seguridad, parece imperar la opinión de que resulta mucho menos costoso instaurar medidas de seguridad eficaces que tener que enfrentarse a un problema debido a la ausencia de ellas.

En definitiva, todas las consecuencias que hemos sacado del caso TJX podrían resumirse de la siguiente manera: no proteger los datos personales de sus clientes acaba costando muy caro a la empresa.

Cuestiones administrativas: cambio de cultura interno y nuevo público destinatario

No me cabe duda alguna de que el IFAI tendrá otras tantas experiencias que compartir con la comunidad internacional con motivo del 10º aniversario de la Ley Federal de Protección de Datos Personales en Posesión de Particulares.

De momento, los miembros que conforman el personal quizás estarán más preocupados por los grandes retos operativos a los que tienen que enfrentarse en los próximos meses.

Uno de los más importantes consiste sin duda en hallar los medios más eficaces para contactar con los responsables del procesamiento de datos en el sector privado.       

Durante los primeros años de vigencia de la LPRPDE, utilizamos varias herramientas para establecer relaciones con nuestro nuevo público destinatario dentro del sector privado. Utilizábamos principalmente folletos y guías impresas, y ofrecíamos presentaciones e informes en persona.

También utilizamos el sitio web de la Oficina del Comisionado para difundir nuestras publicaciones y los textos de nuestros discursos, así como para publicar resúmenes de las conclusiones derivadas de nuestras investigaciones, en los que se ofrecían ejemplos concretos sobre la aplicación de la ley.

Cabe recordar una vez más que en 2001, la Red no revestía la misma importancia que hoy. En 2001 llegamos a distribuir algo más de 34.000 publicaciones impresas y nuestro sitio web recibió alrededor de 193.000 consultas. En 2009 los impresos distribuidos no han llegado a los 14.000 ejemplares, menos de una tercera parte con respecto a 2001, mientras que nuestro sitio web ha recibido más de 2 millones de consultas, diez veces más respecto al número total de consultas de 2001.

Durante el primer año de existencia de la ley canadiense sobre el sector privado, constatamos que las empresas aseguraban claramente que habían adoptado normativas modelo para la protección de los datos personales, de plena conformidad con las obligaciones jurídicas de la empresa.

Sin embargo, desde ese primer año de entrada en vigor de la ley, las investigaciones que llevamos a cabo tras recibir quejas de particulares demostraron que las empresas solían olvidarse de garantizar en la práctica la aplicación y el respeto de dichas normativas.

Una normativa modelo sobre la protección de los datos personales resulta fútil si no se acompaña de políticas y protocolos exhaustivos y detallados.

Por otro lado, dichos protocolos y políticas se vuelven inútiles si no se difunden, respetan y aplican coherentemente.

Las infracciones contra el derecho a la vida privada que conllevan denuncias pueden imputarse con frecuencia a fallos o carencias en los procesos o sistemas generales de procesamiento de datos de las organizaciones y empresas. Durante los primeros años, algunos problemas se producían por seguir ciegamente las prácticas tradicionales, aun a riesgo de no ser ya suficientes a tenor de la nueva ley o de la nueva tecnología.

Por ejemplo, la información se almacenaba durante demasiado tiempo, o bien no el suficiente. Los datos personales no estaban protegidos por las medidas de seguridad más adecuadas. Algunas empresas no contaban con los protocolos necesarios para gestionar quejas y peticiones de acceso a los datos personales o ,incluso, no se conocían o no se respetaban dichos protocolos dentro de la empresa.

Otras empresas seguían recabando datos sin precisar la finalidad, o bien recogían sin motivo aparente datos confidenciales, como ,por ejemplo, el número de seguridad social, utilizado como indicador identificativo por el gobierno de Canadá.

Así pues, durante estos primeros años nos hemos esforzado por ayudar a las empresas, apoyándolas en sus iniciativas para atenerse al cumplimiento de la ley, a la vez que las informábamos de las ventajas comerciales que podrían disfrutar con ello.

Conclusión

Para terminar, me gustaría resumir las grandes conclusiones a las que hemos llegado tras los diez primeros años de aplicación de la LPRPDE de los que he hablado en mi presentación.

  • Ninguna empresa, ni siquiera una multinacional gigantesca, está por encima de la ley y no debe escaparse de las autoridades que aplican la ley.
  • La colaboración internacional es fundamental en el campo de la transferencia internacional de datos personales.
  • La ubicuidad de las tecnologías de la información exige que las autoridades encargadas de proteger los datos personales cuenten con una gran capacidad tecnológica.
  • Las tecnologías de la información generalmente superan los conocimientos de la población general, por lo cual es fundamental sensibilizar y educar al público.
  • La protección de los datos personales es una ventaja económica y su violación es una vulnerabilidad económica.

Por último, deseo saludar a los miembros del IFAI. Tendrán que guiar a las empresas de todo tipo y tamaño a través de uno de los cambios culturales más notables de su historia reciente, precisamente en un momento en que su propia organización se encuentra viviendo un cambio igual de importante al hacerse cargo de este nuevo mandato.

Les deseo mucho ánimo y les recuerdo la enorme importancia de la labor que vienen realizando. Les doy las gracias por su amable recibimiento y les aseguno de nuestro continuo apoyo.

Date de modification :