AUTORREGULACIÓN Y SELLOS DE CONFIANZA – Lex Informática

Dr. Alfredo Reyes Krafft

AUTORREGULACIÓN Y SELLOS DE CONFIANZA

Es innegable que la autorregulación constituye una herramienta muy atractiva para los sectores comerciales o de servicios, entre otras cuestiones, porque se ajusta a sus necesidades siempre cambiantes, por tanto, hace flexible su modificación en caso necesario, sin tener que pasar por el complejo aparato legislativo.

La autorregulación ha surgido como la reglamentación derivada de la autonomía privada de los empresarios que tratan datos o de las organizaciones en que se agrupan, para adoptar códigos deontológicos, de conducta o códigos tipo, ajustados a las peculiaridades del sector que representan. La autorregulación se ha fomentado tempranamente desde la OCDE y también es una posibilidad contemplada en la Unión Europea en la Directiva 95/46, la Directiva 2002/58/CE sobre tratamiento de datos personales y protección de la intimidad en las comunicaciones electrónicas, así como la Directiva 2000/31/CE, de 8 de junio, sobre el comercio electrónico.

Una experiencia muy positiva en la materia es el  Consejo de Autorregulación y Ética Publicitaria (Consejo de Autorregulación y Etica Publicitaria) organismo autónomo de la iniciativa privada, creado en México hace 10 años por anunciantes, Agencias de Publicidad y/o Comunicación, Asociaciones y medios de Comunicación, con el fin de fungir como conciliador en controversias de índole publicitario, dictando resoluciones basadas en un Código de Ética Publicitario. Todo lo anterior aprovechando la experiencia de organismos similares en otros países, especialmente los de Autocontrol España, CONAR Brasil y CONAR Chile para la adaptación de los principios de la autorregulación en México. Y todo lo anterior con el fin de promover una cultura de autorregulación publicitaria entre las empresas anunciantes, medios de comunicación, agencias de publicidad y relaciones públicas, así como en universidades y centros de enseñanza superior de México, con el fin de fomentar el ejercicio responsable de la libertad de expresión publicitaria, en beneficio del consumidor final.

CONAR ha resuelto satisfactoriamente el 98% de sus casos a través de sus Consejo Directivo en sus sesiones ordinarias mensuales. El quórum mínimo requerido por las sesiones es de 10 asistentes, entre Consejeros Permanentes, Presidentes y/o Directores de empresas y agencias ó instituciones asociadas.

Las controversias publicitarias se presentan ante CONAR y  pueden ser solicitadas a petición de parte o de manera “ex oficio”; el procedimiento de análisis es totalmente objetivo e imparcial, y la información del trámite es tratada con absoluta confidencialidad.

Ya en materia de sellos de confianza, la Asociación Española de Normalización y Certificación (AENOR) publicó el Libro Blanco sobre los Sistemas de Autorregulación, los Sellos y las Marcas de Confianza en Mercados Digitales y Códigos de Buenas prácticas para el Comercio Electrónico en Diciembre del 2002, en el marco del Proyecto i+Confianza: Autorregulación y Sistemas Extrajudiciales Off-Line On-Line

de Solución de Conflictos para Entornos de Comercio Electrónico, con muy buenos resultados, llegando a la conclusión que el proceso de concesión de cada marca condiciona notablemente su resultado, ya que el consumidor podrá valorar de forma diferente aquellas marcas en las que se ha llevado a cabo una revisión por parte de un tercero independiente, y en consecuencia ha habido una verificación detallada del cumplimiento del documento normativo, a aquellas en las que ha habido una auto declaración por parte de la empresa sin la confrontación por terceros

Ya en materia respecto de la protección de Datos Personales, la Declaración de Cartagena realizada en mayo del 2004 en el marco del encuentro de la Red Iberoamericana de Protección de Datos (RedIPD, 2006) se acordó “proporcionar e impulsar iniciativas de autorregulación sectorial que complementen y faciliten la aplicación del marco regulatorio sobre protección de datos”. Lo anterior como “Códigos Deontológicos o de buenas prácticas complementando o desarrollando los marcos regulatorios existentes”.

Mediante la Declaración de México de Noviembre del 2005  (RedIPD, 2006) la Red Iberoamericana de Protección de Datos creó el Grupo de Instrumentos de Autorregulación para analizar la validez y eficacia de dichos Códigos de Conducta o instrumentos análogos.

La Comisión Europea define a la autorregulación  (RedIPD, 2006), como “el conjunto de normas que se aplican a una pluralidad de responsables del tratamiento que pertenezcan a la misma actividad profesional o al mismo sector industrial, cuyo contenido haya sido determinado fundamentalmente por miembros del sector industrial o profesión en cuestión”

El Grupo de Trabajo reunido en Bolivia en el seno de la Reunión de la Red Iberamericana de Protección de Datos  (RedIPD, 2006), concluye haciendo las siguientes recomendaciones:

“1.- Incorporar en los textos legales sobre protección de datos disposiciones explícitas tendientes a utilizar mecanismos de autorregulación que: (a) Representen un valor añadido en su contenido respecto de los dispuesto en la leyes, y (b) Contengan o estén acompañadas de mecanismos que permitan medir su nivel de eficacia en cuanto al cumplimiento y el grado de protección de los datos personales.

2.- Invitar a los Estados y a los responsables del tratamiento de datos personales a promover la adopción y aplicación de mecanismos de autorregulación en los diferentes sectores.

3.- Concebir la autorregulación como un mecanismo que no sustituye ni es suficiente por si solo para garantizar la protección de datos personales y como una herramienta complementaria al marco legal para fomentar la cultura de protección de los datos personales.

4.- Consagrar medidas efectivas en caso de incumplimiento de los instrumentos de autorregulación.

Promover mecanismos de publicidad de los instrumentos de autorregulación, con especial atención a la existencia de Registros Públicos”.

La Asociación Mexicana de Internet en el 2007 implementó en México los Sellos de Confianza AMIPCI, distintivos que acreditan la sujeción al Código de ética de la Asociación, el cumplimiento de disposiciones legales en materia de Comercio Electrónico (Ley Federal de Protección al Consumidor) y la adopción del APEC Privacy Framework (toda vez que en ese entonces no había legislación ad-hoc en materia de Datos Personales) (Asociación Mexicana de Internet). El distintivo se otorga a través de una licencia de marca de certificación y amparado por un certificado digital de firma electrónica.

Vamos a profundizar en los detalles que dieron origen a éste sello de confianza mexicano:

Dentro del  proyecto del grupo de Cooperación Económica Asia-Pacífico (APEC), llamado Data Privacy Pathfinder. Este proyecto es una división del Grupo de Dirección de Comercio Electrónico y fue creado formalmente en 2007 para analizar e identificar las mejores prácticas en materia de privacidad, así como el rol de los sellos de confianza como impulsores del flujo de información a nivel internacional.

La iniciativa Pathfinder promueve el trabajo conjunto entre el sector privado, los gobiernos, representantes de organizaciones de consumidores y grupos que representen el interés público en aspectos de privacidad y protección de datos con el propósito de desarrollar un sistema que permita al sector privado crear sus propias reglas transfronterizas para la protección de la privacidad y los datos personales, apoyándose en el uso de sellos de confianza para el consumidor (trustmarks).

El objetivo es encontrar un balance: liberar el intercambio de información electrónica, especialmente para propiciar el desarrollo del comercio electrónico; y por el otro, dar certeza a los ciudadanos, garantizándoles la protección y el buen uso de datos de carácter privado.

En ese sentido, los sellos de confianza y en general, el acreditar que se cumple con los estándares establecidos en un instrumento nacido en el terreno de la autorregulación, puede reportar grandes beneficios en el ámbito comercial, como lo es la obtención de una cartera de clientes fiel a la empresa, debido a la confianza generada por ésta, en relación al tratamiento de su información personal y su consecuente impacto económico, reflejado en las ganancias de la empresa.

Los Sellos de Confianza originalmente surgieron para fomentar la confianza del consumidor en las transacciones de comercio electrónico por Internet

Es al final de la década de los 90`s cuando “a iniciativa del Canadian Institute of Chartered Accountants (CICA) y del American Institute of Chartered Public Accountants (AICPA)”[1], surgen los “sellos de confianza” (SysTrust o WebTrust), éste fue el detonante para que otras empresas del sector privado empresarial (principalmente) apoyaran este tipo de prácticas, generándose una gran gama de sellos, con mayores o menores beneficios.

Y a todo esto, ¿Qué son los sellos de confianza? Como su nombre lo sugiere son marcas (distintivos) en su mayoría electrónicas, las cuales son otorgadas casi siempre por alguna entidad privada, son publicados en las páginas Web e indican que la empresa: cumple con las leyes, códigos éticos y de buenas prácticas; brinda una mayor seguridad tecnológica y procedimental antes, durante y después de la transacción; además de que establecen mecanismos alternativos para resolver controversias entre comprador y vendedor.

En pocas palabras estos distintivos pretenden “aumentar la confianza de los consumidores sobre la seguridad, privacidad, transparencia y funcionalidad de las empresas que los obtienen, al cumplir con los requisitos establecidos.[2]

En México fue hasta mediados del año 2007 cuando surgen los sellos de confianza, originalmente promovidos por algunas empresas representantes de la industria como una forma de hacer ver a los legisladores que también a la industria le interesaba contar con una legislación adecuada en materia de protección de datos personales, es de hacer notar que hasta esa fecha algunos legisladores le habían impuesto a la industria el “San Benito” de  no querer una legislación sobre la materia por haberse opuesto a una iniciativa de ley presentada por el entonces Senador Antonio García Torres con un modelo generalista de protección de datos a ultranza. De ahí que desde su concepción se sometieron en la parte relativa al Marco sobre privacidad de la Cooperación Económica del Asia-Pacífico (APEC por sus siglas en Ingles) a través de avisos de privacidad y sus respectivos resúmenes

El proyecto fue impulsado por la Asociación Mexicana de Internet (AMIPCI), teniendo como peculiaridad el apoyo del Gobierno Federal a través de la Secretaria de Economía (Fondo PROSOFT) y la Procuraduría Federal del Consumidor.

La AMIPCI revisa que la empresa o Institución que cuenta con un sitio Web en operación y que solicita el sello, cumpla con cuatro aspectos, y mediante un pago otorga el sello de confianza en un documento electrónico con un certificado digital, bajo la figura de una licencia de marca de certificación.

Los elementos que la AMPCI vigila que cumplan las empresas e Instituciones son:

  1. Cumplir con el marco legal aplicable a cada sector:
  1. En lo que concierne al sector privado deben ajustarse a lo señalado por la Ley Federal de Protección al Consumidor en sus artículos 16, 17, 18 bis, 76 bis (Proporcionar en el Sitio Web números telefónicos, dirección y demás información de la organización que permitan al comprador realizar aclaraciones o reclamaciones; usar la información recabada sólo para los fines solicitados garantizando la confidencialidad de la misma y no ceder dicha información a terceros; evitar prácticas de envío spam[3]así como eliminar las prácticas comerciales engañosas.)
  1. En lo que concierne al sector público deben cumplir con lo señalado en Ley Federal de Transparencia y acceso a la información Pública y los Lineamientos de Protección de Datos Personales.
  1. Sujeción al Marco sobre privacidad de la Cooperación Económica del Asia-Pacífico (APEC por sus siglas en Ingles) a través de avisos de privacidad y sus respectivos resúmenes.
  1. Observancia del Código de Ética de la AMIPCI.
  1. Cumplimiento de los términos y condiciones establecidos en el contrato celebrado entre la AMIPCI y los titulares del sello.

 

De esta manera, al cumplir con estos cuatro puntos se otorga el sello de confianza, y con ello se reconoce a las empresas o instituciones (sectores público y privado) que promueven el cumplimiento de la privacidad de la información y están legítimamente establecidas.

Es de resaltar que la AMIPCI también ofrece como mediador un procedimiento entre las partes para resolver las controversias que pudieran suscitarse con los consumidores de los titulares del sello.

Los sellos de confianza es una solución importante que refleja el firme compromiso de sus tenedores respecto de la protección de datos personales y busca generar confianza en los internautas que día con día navegan por la red y con ello darle un impulso más al desarrollo del Comercio Electrónico.

La Asociación Mexicana de Internet ha llegado a tener más de 400 sitios Web con este distintivo único en su tipo en nuestro país, el cual promueve la protección de datos personales, la comunicación entre proveedores y usuarios, y el compromiso ético y de confidencialidad de los proveedores de bienes y servicios en línea; fomenta la confianza de los internautas mexicanos, las buenas prácticas en línea y la corresponsabilidad de los internautas y proveedores durante su actividad, certificando la constitución legal de las organizaciones establecidas en México que cuentan con una página Web, la capacidad jurídica de las personas físicas que tienen un sitio Web y la existencia de líneas de contacto, términos y condiciones de uso y políticas de privacidad en el sitio Web correspondiente.

Es curioso que en México, el sitio web del Gobierno Federal entre otras entidades gubernamentales, las cuales, voluntariamente aceptan que además de los lineamientos de protección de datos personales emitidos por el propio IFAI y con independencia de las facultades del propio Instituto en materia de control y vigilancia del cumplimiento de los Lineamientos en la materia, cuenten con sello de confianza AMIPCI, lo cual demuestra la utilidad práctica del mismo y la confianza que éste ha generado entre los consumidores mexicanos.

Es más, en el ámbito internacional, la suscripción del Memorándum de Entendimiento por parte de la Asociación Mexicana de Internet (AMIPCI) con TradeSafe y ECNetwork de Japón, SOSA de Taiwán; el Instituto de Comercio Electrónico de Corea del Sur; CommerceNet y Case Trust de Singapur y TRUSTe de los Estados Unidos, que son los 2 principales proveedores de servicios de sellos de confianza de la región Asia Pacífico y que conforman la Asia-Pacific Trustmark Alliance (ATA). El Memorándum se suscribió el 7 de noviembre de 2007 y en virtud del mismo, la AMIPCI se integra formalmente a la ATA, mediante el Sello de Confianza AMIPCI, el cual participa en el “Pathfinder de Privacidad de APEC” y es compatible con los sellos de confianza de dicha organización regional.

Con la incorporación al grupo del sello de confianza  Euro-Label  se pretende en corto plazo constituir la World Trustmark Alliance

De igual forma, destaca la suscripción del Memorándum de Entendimiento firmado el 20 de noviembre de 2008 en el marco del “II Congreso E-Commerce Latam 2008”, celebrado en la Ciudad de México, por la Asociación Mexicana de Internet (AMIPCI), la Cámara de Comercio Electrónico de Colombia, la Asociación Española de Comercio Electrónico y Marketing Relacional, la Cámara de Comercio de Santiago de Chile, la Cámara Brasileña de Comercio Electrónico y la Cámara Argentina de Comercio Electrónico. En virtud del Memorándum, las organizaciones firmantes se comprometieron a trabajar conjuntamente para la definición de un marco normativo mínimo para facilitar la adopción, el uso y el reconocimiento recíproco de sellos de confianza a nivel de Iberoamérica.

El sello de confianza mexicano deberá constituirse  no sólo como un evaluador de las políticas de privacidad y existencia física, sino como un evaluador de procesos, incluyendo también la verificación de existencia de medidas de seguridad, receptor de quejas, enlace entre las instituciones reguladoras y los individuos e incluso mediador en caso de quejas y conflictos. Y en ese sentido la AMIPCI está adecuando su sello de confianza para convertirlo en un mecanismo de autorregulación a los que se refiere la Ley Federal de Protección de Datos Personales en posesión de particulares y su Reglamento

El art. 43 de la Ley Federal de Protección de Datos Personales en posesión de particulares delega a la Secretaría de Economía la atribución de “fijar los parámetros necesarios para el correcto desarrollo de los mecanismos y medidas de autorregulación”,  incluyendo la “promoción de Normas Mexicanas o Normas Oficiales Mexicanas, en coadyuvancia con el Instituto”.

Artículo 44.- “Las personas físicas o morales podrán convenir entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulación vinculante en la materia, que complementen lo dispuesto por la presente Ley. Dichos esquemas deberán contener mecanismos para medir su eficacia en la protección de los datos, consecuencias y medidas correctivas eficaces en caso de incumplimiento. 

Los esquemas de autorregulación podrán traducirse en códigos deontológicos o de buena práctica profesional, sellos de confianza u otros mecanismos y contendrán reglas o estándares específicos que permitan armonizar los tratamientos de datos efectuados por los adheridos y facilitar el ejercicio de los derechos de los titulares. Dichos esquemas serán notificados de manera simultánea a las autoridades sectoriales correspondientes y al Instituto.”

La atribución de la Secretaría de Economía al respecto es específicamente emitir o determinar los parámetros bajo los cuales el  Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) podrá o no autorizar mecanismos y medidas de autorregulación, lo anterior lo deberá hacer a través de regulación marco local e incluso Normas Oficiales Mexicanas o Normas Mexicanas, para lo que deberá atender a lo dispuesto por la Ley de Metrología y Normalización, no podemos dejar de considerar que el responsable del Registro de Autorregulación es el IFAI.

Con base en lo anterior el término de Autorregulación pudiera considerarse que no es correcto, toda vez que la Autorregulación supone cierta normatividad, es cierto, pero que parte del destinatario de la misma, es autoimpuesta. En éste caso la autoridad impone los parámetros de la misma, la autoriza, supervisa y establece un Registro Público, por tanto considero que debiera hablarse mas de Corregulación que de Autorregulación.

La denominada por la norma Autorregulación Vinculante, que como comenté en el párrafo anterior, es mas bien Corregulación, debe ir más allá de lo establecido por la Norma, sería inconcebible un esquema de autorregulación que diga lo mismo que dice la Ley o que vaya en contra de la misma:

Capítulo VI: De la Autorregulación Vinculante

Objeto de la autorregulación 

Artículo 79. De conformidad con lo establecido en el artículo 44 de la Ley, las personas físicas o morales podrán convenir entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulación vinculante en materia de protección de datos personales, que complementen lo dispuesto por la Ley, el presente Reglamento y las disposiciones que se emitan por las dependencias en desarrollo del mismo y en el ámbito de sus atribuciones. Asimismo, a través de dichos esquemas el responsable podrá demostrar ante el Instituto el cumplimiento de las obligaciones previstas en dicha normativa.

Lo anterior con el objeto de armonizar los tratamientos que lleven a cabo quienes se adhieren a los mismos y facilitar el ejercicio de los derechos de los titulares.

En cuanto a la normativa que sobre el particular refiere el Reglamento, éste hace una adición significativa y me refiero específicamente a la demostración que debe de hacer el solicitante al IFAI del cumplimiento a lo dispuesto por la Ley, el Reglamento, los Parámetros emitidos por la Secretaría de Economía: y las Disposiciones Sectoriales correspondientes:

Objetivos específicos de la autorregulació

Artículo 80. Los esquemas de autorregulación podrán traducirse en códigos deontológicos o de buenas prácticas profesionales, sellos de confianza, políticas de privacidad, reglas de privacidad corporativas u otros mecanismos, que incluirán reglas o estándares específicos y tendrán los siguientes objetivos primordiales: 

  1. Coadyuvar al cumplimiento del principio de responsabilidad al que refiere la Ley y el presente Reglamento;
  2. Establecer procesos y prácticas cualitativos en el ámbito de la protección de datos personales que complementen lo dispuesto en la Ley;
  • Fomentar que los responsables establezcan políticas, procesos y buenas prácticas para el cumplimiento de los principios de protección de datos personales, garantizando la privacidad y confidencialidad de la información personal que esté en su posesión;
  1. Promover que los responsables de manera voluntaria cuenten con constancias o certificaciones sobre el cumplimiento de lo establecido en la Ley, y mostrar a los titulares su compromiso con la protección de datos personales;
  2. Identificar a los responsables que cuenten con políticas de privacidad alineadas al cumplimiento de los principios y derechos previstos en la Ley, así como de competencia laboral para el debido cumplimiento de sus obligaciones en la materia;
  3. Facilitar la coordinación entre los distintos esquemas de autorregulación reconocidos internacionalmente;
  • Facilitar las transferencias con responsables que cuenten con esquemas de autorregulación como puerto seguro;
  • Promover el compromiso de los responsables con la rendición de cuentas y adopción de políticas internas consistentes con criterios externos, así como para auspiciar mecanismos para implementar políticas de privacidad, incluyendo herramientas, transparencia, supervisión interna continua, evaluaciones de riesgo, verificaciones externas y sistemas de remediación, y
  1. Encauzar mecanismos de solución alternativa de controversias entre responsables, titulares y terceras personas, como son los de conciliación y mediación. 

Estos esquemas serán vinculantes para quienes se adhieran a los mismos; no obstante, la adhesión será de carácter voluntario.

Este artículo es particularmente interesante pues establece la posibilidad de que los esquemas de autorregulación puedan traducirse en Códigos Deontológicos o de Buenas Prácticas Profesionales, Sellos de Confianza (a los que ya hemos hecho referencia), Políticas de Privacidad (aquí hay que distinguir las Políticas de Privacidad del Aviso de Privacidad, una política corporativa atiende al interior de la empresa como directriz marcada por la dirección y el aviso de privacidad es el medio que utiliza el Responsable para comunicar a los Titulares la información que recaba de ellos y con que fines lo hace), Reglas de Privacidad Corporativa u otros mecanismos.

Es momento entonces de distinguir entre las Reglas de Privacidad Transfronteriza (CBPRs) que normalmente ocupan grandes corporativos u organizaciones  transnacionales, en el marco del Privacy Framework de APEC,  que incluyen un conjunto de reglas que establecen sus prácticas relacionadas con el manejo de cualquier información personal transferida internacionalmente (Un ejemplo pudiera ser el art. 37 fracción III de la Ley, que establece que las transferencias de datos se pueden llevar a cabo sin consentimiento del titular cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas)

Y las Reglas Corporativas Vinculantes (CBRs) basados en la Directiva Europea 95/46/CE que no son mas que Códigos de Conducta adoptados por organizaciones para la transferencia internacional de datos, considerando que la normativa europea permite transferencias de datos con países que no cuenten con un “nivel adecuado de protección”, cuando el responsable del tratamiento otorgue garantías suficientes.

Por lo anterior podemos concluir que el modelo mexicano establecido en el Reglamento es compatible con las Reglas de Privacidad Transfronteriza (CBPRs) y las Reglas Corporativas Vinculantes (CBRs)

El artículo en comento establece también  que los Códigos, Sellos, Políticas o Reglas deberán incluir disposiciones o estándares específicos considerando como objetivos: el cumplimiento al principio de Responsabilidad, que a mi juicio apunta a la Accountability a que hace referencia APEC como principio de Rendición de Cuentas; a la cualificación de políticas y prácticas en la materia; la promoción de certificación; constancias de seguimiento e implementación de políticas, procedimientos y buenas prácticas, la vinculación con normas de competencia laboral para empleados del responsable y encargados; hace referencia también a la coordinación con otros esquemas de autorregulación como pudiera ser el Safe Harbor Agreement,  al que ya nos hemos referido en páginas anteriores; destaca también la parte relativa a supervisión, herramientas y control del riesgo, así como a mecanismos alternativos de solución de controversias.

Este último punto de mecanismos alternativos de solución de controversias será de gran apoyo para los Responsables y Encargados puesto que pudiera considerarse integrar en un mecanismo de autorregulación la mediación, de tal suerte que vía la negociación con el Titular de los datos se pudiera llegar a un arreglo (convenio de transacción), previo a la imposición de sanciones por parte del Instituto.

Considerando obviamente la adhesión voluntaria a dichos esquemas de autorregulación, pero vinculante para los adherentes.

Incentivos para la autorregulación

Artículo 81. Cuando un responsable adopte y cumpla un esquema de autorregulación, dicha circunstancia será tomada en consideración para determinar la atenuación de la sanción que corresponda, en caso de verificarse algún incumplimiento a lo dispuesto por la Ley y el presente Reglamento, por parte del Instituto.

Asimismo, el Instituto podrá determinar otros incentivos para la adopción de esquemas de autorregulación, así como mecanismos que faciliten procesos administrativos ante el mismo.

Otro incentivo para los esquemas de autorregulación es precisamente la posible atenuación de sanciones por parte del IFAI, es de hacer notar que esta circunstancia no está considerada en los puntos a considerar para fundar y motivar sus resoluciones, que se encuentran detallados en el artículo 65 de la Ley. Además esta disposición abre la puerta al IFAI para determinar otros incentivos para la adopción de esquemas de autorregulación. 

Contenido mínimo de los esquemas de autorregulación

Artículo 82. Los esquemas de autorregulación deberán considerar los parámetros que emita la Secretaría, en coadyuvancia con el Instituto, para el correcto desarrollo de este tipo de mecanismos y medidas de autorregulación, considerando al menos lo siguiente: 

  1. El tipo de esquema convenido, que podrá constituirse en códigos deontológicos, código de buena práctica profesional, sellos de confianza, u otros que posibilite a los titulares identificar a los responsables comprometidos con la protección de sus datos personales;
  2. Ámbito de aplicación de los esquemas de autorregulación;
  • Los procedimientos o mecanismos que se emplearán para hacer eficaz la protección de datos personales por parte de los adheridos, así como para medir la eficacia;
  1. Sistemas de supervisión y vigilancia internos y externos;
  2. Programas de capacitación para quienes traten los datos personales;
  3. Los mecanismos para facilitar los derechos de los titulares de los datos personales;
  • La identificación de las personas físicas o morales adheridas, que posibilite reconocer a los responsables que satisfacen los requisitos exigidos por determinado esquema de autorregulación y que se encuentran comprometidos con la protección de los datos personales que poseen, y
  • Las medidas correctivas eficaces en caso de incumplimiento.

El Reglamento en éste artículo indica las bases que deben de considerar los Parámetros que definirá, en coadyuvancia con el IFAI, la Secretaría de Economía; 

Certificación en protección de datos personales 

Artículo 83. Los esquemas de autorregulación vinculante podrán incluir la certificación de los responsables en materia de protección de datos personales.

En caso de que el responsable decida someterse a un procedimiento de certificación, ésta deberá ser otorgada por una persona física o moral certificadora ajena al responsable, de conformidad con los criterios que para tal fin establezcan los parámetros a los que refiere el artículo 43, fracción V de la Ley.

Es importante aclarar que la Certificación no constituye por si misma un esquema de autorregulación, esto es si el mecanismo de autorregulación incluye algún tipo de certificación, éste deberá cumplir con los criterios establecidos por los parámetros a que hemos hecho referencia. 

Personas físicas o morales acreditadas

Artículo 84. Las personas físicas o morales acreditadas como certificadores tendrán la función principal de certificar que las políticas, programas y procedimientos de privacidad instrumentados por los responsables que de manera voluntaria se sometan a su actuación, aseguren el debido tratamiento y que las medidas de seguridad adoptadas son las adecuadas para su protección. Para ello, los certificadores podrán valerse de mecanismos como verificaciones y auditorías.

El procedimiento de acreditación de los certificadores a los que refiere el párrafo anterior, se llevará a cabo de acuerdo con los parámetros que prevé el artículo 43, fracción V de Ley. Estos certificadores deberán garantizar la independencia e imparcialidad para el otorgamiento de certificados, así como el cumplimiento de los requisitos y criterios que se establezcan en los parámetros en mención.

En concordancia con mi comentario anterior esta certificación deviene del mecanismo de autorregulación elaborado con base a los Parámetros definidos por la Secretaría de Economía, y el certificador deberá certificar el cumplimiento de los requisitos y condiciones establecidos por el mecanismo de autorregulación.   Esto es que existen dos tipos de certificación, la que es parte de un mecanismo de autorregulación y aquella que no lo es (ésta última no cuenta con una regulación específica en la Ley o el Reglamento. 

Parámetros de autorregulación

Artículo 85. Los parámetros de autorregulación a los que se refiere el artículo 43, fracción V de la Ley contendrán los mecanismos para acreditar y revocar a las personas físicas o morales certificadoras, así como sus funciones; los criterios generales para otorgar los certificados en materia de protección de datos personales, y el procedimiento de notificación de los esquemas de autorregulación vinculante.

El Reglamento en éste artículo también  indica las bases que deben de considerar los Parámetros que definirá, en coadyuvancia con el IFAI, la Secretaría de Economía; 

Registro de esquemas de autorregulación

Artículo 86. Los esquemas de autorregulación notificados en términos del último párrafo del artículo 44 de la Ley formarán parte de un registro, que será administrado por el Instituto y en el que se incluirán aquéllos que cumplan con los requisitos que establezcan los parámetros previstos en el artículo 43, fracción V de la Ley. 

El IFAI se constituye como el Responsable del Registro de Esquemas de Autorregulación

En resumen  los mecanismos de autorregulación ofrecen un valor agregado en la protección de datos personales porque añaden garantías de cumplimiento a los principios rectores de la Ley, lo anterior otorga ventajas competitivas al Responsable e incremento de la reputación comercial cara a los consumidores de la empresa que se adhiere, permiten además cubrir especificidades de sectores en lo particular y tienen una función más preventiva que reactiva.

México D.F. 10 de febrero del 2012

[1] http://www.amipci.org.mx/en_los_medios.php?mcmvme=266 (2 de noviembre del 2011)

[2] “Libro Blanco sobre los Sistemas de Autorregulación, los Sellos y Marcas de Confianza en Mercados Digitales y Códigos de Buenas Prácticas para el comercio electrónico”, Dr. Miguel Ángel Martínez, http://www.e-global.es/confianza/libro_blanco_sellos.zip y http://noticias.juridicas.com/articulos/20-Derecho%20Informatico/200302-1355131211033420.html (16 de diciembre del 2011)

 

[3] Son mensajes no solicitados, habitualmente de tipo publicitario, enviados en cantidades masivas, ya sea por correo electrónico u otros medios.

Share

LEX INFORMÁTICA: VALIDÉZ JURÍDICA DE LA FIRMA AUTÓGRAFA DIGITALIZADA EN DISPOSITIVOS ELECTRÓNICOS

17 FEBRERO, 2016

Dr. Alfredo A. Reyes Krafft

Las evidencias electrónicas de una firma autografa digitalizada en un dispositivo electrónico  permiten que se pueda presentar en juicio respaldada por un informe pericial caligráfico como es habitual por la aplicación tradicional de las consideraciones debidas a la firma manuscrita en la normativa procesal.

  1. Objetivo.

El objetivo del presente documento es describir la naturaleza y tratamiento de la Firma Autógrafa Digitalizada en dispositivos electrónicos como medio de prueba. Conforme a lo señalado a continuación, la firma autógrafa digitalizada constituye una forma válida para expresar el consentimiento de los contratantes y dar formalidad a los contratos que requieran celebrarse por escrito. Asimismo, en principio, la firma autógrafa digitalizada estampada en o en conjunto con el contrato correspondiente debe entenderse como un medio de prueba documental con requisitos específicos de valoración establecidos en los ordenamientos civiles y mercantiles. Pues el hecho de que esté contenida en un medio electrónico no le quita de ninguna forma su naturaleza de Firma Autógrafa

2. Naturaleza de los medios electrónicos como medios de prueba.

En el momento en que una persona plasma su firma autógrafa sobre un dispositivo electrónico, los trazos de la firma se vinculan como imagen al texto del contrato  permitiendo su conservación de forma inalterada (en los términos del art. 49 del Código de Comercio y la Norma Oficial Mexicana de Conservación de Mensajes de Datos) y posibilitando reproducir la firma para su ulterior consulta e inclusive, dependiendo de la tecnología utilizada, permite conocer las características del acto generador tales como la presión ejercida al momento de realizar el trazo y la inclinación del instrumento utilizado para realizarla. Lo anterior de tal forma que la firma autógrafa capturada en un mensaje de datos  esto es generada y conservada en medios electrónicos, por lo que su valoración, al igual que cualquier otra información generada dichos medios electrónicos, dependerá de la fiabilidad de el método utilizado para capturarla y resguardarla.

Por lo novedoso de el tema, no existe un criterio definitivo sobre el tipo de prueba que representa la firma autógrafa en medios electrónicos, mismos que pueden presentarse como prueba documental o como descubrimientos de la ciencia (avances tecnológicos).

Sin perjuicio de que puedan presentarse como avances tecnológicos, la tendencia del comercio electrónico es el reconocimiento de los mensajes de datos como pruebas documentales privadas.[1] Este entendimiento se encuentra reconocido en la tesis Prueba de inspección. Debe Desecharse cuando los puntos propuestos para su desahogo puedan ser comprobados a través de la documental, entendida como la información generada o comunicada que conste en medios electrónicos o en cualquier otra tecnología, que puede ser reproducida, no solamente en el papel sino también en algún disquete o disco óptico.[2]

En éste caso y como prueba documental, los medios electrónicos formarían prueba plena en tanto no sean objetados. En caso de ser objetados deberán otorgarse otras pruebas, como la pericial caligráfica o informática, para confirmar su veracidad.[3]

La valoración de los medios electrónicos como prueba se deberá realizar, como se señala en las secciones C. y D. siguientes, atendiendo principalmente a la fiabilidad de los método en los que se recabe, la integridad de la información y la posibilidad de atribuirla a las partes.

3. Tratamiento de los medios electrónicos en materia civil.

En materia civil, el artículo 1803 del Código Civil Federal reconoce que el consentimiento es expreso cuando la voluntad se manifiesta por escrito y por medios electrónicos. De esta forma, la voluntad que se expresa mediante la firma autógrafa digitalizada constituye un medio válido para expresar el consentimiento expreso y dar validez a los actos realizados por el firmante ya que debe entenderse que se trata del consentimiento expresado por escrito[4] capturado en un medio electrónico.

En el mismo sentido, el artículo 1834 Bis del mismo ordenamiento reconoce que los contratos que requieran forma escrita y firma otorgada por las partes cumplirán dichos requisitos cuando se utilicen medios electrónicos siempre que la información generada en forma íntegra (i) sea atribuible a las personas obligadas, y (ii) accesible para su ulterior consulta.

Por lo que se refiere a la calidad probatoria de la firma autógrafa digitalizada, el artículo 79 del Código Federal de Procedimientos Civiles establece que para conocer la verdad, puede el juzgador valerse de cualquier cosa o documento sin más limitaciones que las pruebas estén reconocidas por la Ley y tengan relación inmediata con los hechos controvertidos. En ese sentido, el artículo 210-A del Código Federal de Procedimientos Civiles reconoce como prueba la información generada o comunicada que conste en medios electrónicos, ópticos o en cualquier otra tecnología. También establece que para valorar la fuerza probatoria de la información se estimará la fiabilidad del método en que haya sido generada, comunicada, recibida o archivada y, en su caso, si es posible atribuir a las personas obligadas el contenido de la información relativa y ser accesible para su ulterior consulta. Finalmente, dicho artículo 210-A establece que cuando la ley requiera que un documento sea conservado y presentado en su forma original, ese requisito quedará satisfecho si se acredita que la información generada, comunicada, recibida o archivada por medios electrónicos, ópticos o de cualquier otra tecnología, se ha mantenido íntegra e inalterada a partir del momento en que se generó por primera vez en su forma definitiva y ésta pueda ser accesible para su ulterior consulta.

Conforme a lo antes señalado, en materia civil, la parte que desee acreditar la validez de una firma autógrafa digitalizada deberán en primer lugar demostrar la fiabilidad de los medios electrónicos en los que se capturó , y mantienen la información de forma íntegra y accesible para su ulterior consulta; y en segundo lugar que la información es atribuible a la persona que haya suscrito el acto correspondiente (es decir a quien o quiens hayan estampado su firma autógrafa). Para estos efectos el litigante podrá presentar peritajes y dictámenes elaborados por especialistas en informática sobre el sistema electrónico utilizado y periciales caligráficas sobre la propia firma.

4. Tratamiento de los medios electrónicos en materia mercantil.

Conforme al artículo 89 del Código de Comercio, en los actos de comercio y en la formación de los mismos podrán emplearse los medios electrónicos, ópticos o cualquier otra tecnología. Asimismo, el artículo 93 del mismo ordenamiento establece que cuando la ley exija (i) forma escrita para los contratos, dicho requisito se tendrá por cumplido tratándose de mensajes de datos (información generada, enviada, recibida o archivada por medios electrónicos, ópticos o cualquier otra tecnología) siempre que la información se mantenga íntegra y sea accesible para su ulterior consulta, y (ii) que el documento sea firmado por las partes, dicho requisito se tendrá por cumplido tratándose de mensajes de datos siempre que sea atribuible a dichas partes.

En relación a lo anterior, el Código de Comercio establece una equivalencia funcional entre el documento en papel y el mensaje de datos. Al respecto, el artículo 89 de dicho ordenamiento establece “Las actividades reguladas por este Título se someterán en su interpretación y aplicación a los principios de neutralidad tecnológica, autonomía de la voluntad, compatibilidad internacional y equivalencia funcional del Mensaje de Datos en relación con la información documentada en medios no electrónicos y de la Firma Electrónica en relación con la firma autógrafa. Además el art 89 bis del mismo ordenamiento claramente establece: “No se negarán efectos jurídicos, validez o fuerza obligatoria a cualquier tipo de información por la sola razón de que esté contenida en un Mensaje de Datos”

Por lo que se refiere a la firma autógrafa digitalizada como medio de prueba, el artículo 1205 del Código de Comercio establece que son admisibles como medios de prueba todos aquellos elementos que puedan producir convicción en el ánimo del juzgador acerca de los hechos controvertidos o dudosos por lo que se tomarán como pruebas, entre otros, los documentos privados, los mensajes de datos y, en general, cualquier otro similar. Por su parte, el artículo 1298-A del mismo ordenamiento reconoce como prueba los mensajes de datos y establece que para valorar la fuerza probatoria de los mismos deberá estimarse la fiabilidad del método en que haya sido generada, archivada, comunicada o conservada. Toda vez que la firma autógrafa se representa en un mensaje de datos ésta debe reconocerse como un medio de prueba de la celebración del contrato respecto del cual fue otorgada.

Conforme a lo antes señalado, en materia mercantil, al igual que en materia civil, la parte que desee acreditar la validez de una firma autógrafa digitalizada deberán en primer lugar demostrar que los medios electrónicos en los que se capturó son fiables, y mantienen la información de forma íntegra y accesible para su ulterior consulta; y en segundo lugar que la información es atribuible a la persona que haya suscrito el acto correspondiente. Para efectos de lo anterior, el litigante podrá presentar peritajes y dictámenes elaborados por especialistas en informática o calígrafos sobre el sistema electrónico utilizado y la propia firma.

5. Riesgos.

Los principales riesgos relativos al uso de firmas autógrafas digitalizadas pueden dividirse en (i) insuficiencia tecnológica, y (ii) capacitación tecnológica del juez ante el cual se presenten las pruebas.

Por lo que se refiere al primer punto, la parte que captura la firma autógrafa en un medio electrónico debe ser capaz de demostrar plenamente que la información capturada se mantuvo íntegra y que es atribuible a las partes. Respecto de la integridad de la información el hardware y software utilizados para capturar y conservar la firma tienen medidas de seguridad que impidan su manipulación una vez consignada la firma y que permitan detectar cualquier manipulación realizada respecto de la misma o del texto al que está vinculada.

Entre los requisitos podremos considerar:

  • Captura de elementos biométricos dinámicos de la firma (coordenadas sucesivas y presión del trazo realizado sobre la tableta, con una frecuencia de muestreo adecuada)
  • Vinculación de la firma con el documento garantizando la identidad del firmante y la integridad del documento con la firma integrada.
  • Imposibilidad de incrustar la firma en otros documentos, por parte de quien capta la firma o custodia el documento.
  • Confidencialidad de los datos biométricos y Protección de la información conforme a la Ley Federal de protección de Datos Personales en Posesión de Particulares y su reglamento
  • Posibilidad de comprobar la firma por el titular
  • Soporte duradero: El documento electrónico está a disposición del firmante en el momento de la firma y en cualquier momento futuro en que requiera tener acceso a el.

Por lo que se refiere a la capacitación tecnológica del juzgador, es importante hacer referencia de la posibilidad de demostrar con peritajes y dictámenes la fiabilidad de la información presentada.

[1] Ver Toledo Gonzalez, Vicente “Criterios de los Tribunales Federales Mexicanos sobre Medios Electrónicos”, en Derecho y Medios Electrónicos, Porrúa, México, 2012, pag. 308. Linares Carranza, Andrés “Los Medios Electrónicos como Elementos de Prueba” en Derecho y Medios Electrónicos, Porrúa, México, 2012, pag. 284. Pérez Segura, Osiris Berencie y Carranco Marínez Marisol, Contratos y Transacciones por Medios Electrónicos, Trillas, México, 2013

[2] Segundo Tribunal Colegiado de Circuito en Materias Penal y Administrativa del Vigésimo Primer Circuito. Queja 39/2006.

[3] Artículos 1296 del Código de Comercio y 203 del Código Civil Federal.

[4] La Real Academia Española define “escribir” como “representar las palabras o las ideas con letras u otros signos trazados en papel u otra superficie”.  http://lema.rae.es/drae/?val=escrito. En este caso los signos se otorgan sobre una superficie que convierte el trazo en información que a su vez puede ser reproducida.

Share