La Comisión de Acceso a la Información Pública (CAIP) confirmó que fue violada la ley federal de datos personales cuando se solicitó información a los usuarios del metrobús para la entrega o regalo de tarjetas de acceso para este transporte público.
Como lo adelantó Intolerancia Diario, al solicitar información para la entrega de tarjetas para sistema de Red Urbana de Transporte Articulado (RUTA) se violó la legislación federal, ya que no se mostró algún aviso de privacidad como lo marca la norma.
Días antes, especialistas del tema se pronunciaron al respecto, lo que ahora fue corroborado por el comisionado presidente de CAIP, Javier Fregoso, quien pidió al gobierno de Rafael Moreno Valle a cumplir la ley.
Aclaró que en este caso, los ciudadanos a los que les pidieron sus datos personales tendrían que presentar una denuncia ante el Instituto Federal de Acceso a la Información Pública y de Protección de Datos Personales (IFAI).
El mismo secretario del Transporte (ST), Bernardo Huerta Couttolenc, reconoció que la empresa Heureka fue la que solicitó y ha continuado pidiendo datos a los ciudadanos para la entrega de las tarjetas de prepago.
Por lo tanto, Lilia Vélez Iglesias, presidenta de la Asociación Mexicana de Acceso a la Información (Amedi) capitulo Puebla y Jorge Machuca, representante de México Infórmate en el estado, coincidieron en señalar que se violó la ley federal.
La violación
En entrevista al término de la sesión de CAIP de este miércoles, Javier Fregoso recomendó al gobierno del estado es que sea más transparente, luego de que se solicitó la información a los pasajeros de RUTA.
“Yo estoy enterado que se hizo esto y que inclusive se tomó, de acuerdo a información de los medios, inmediatamente acciones para retirar esto.
”Yo creo que eso es totalmente violatorio a la ley de protección de datos personales, en este caso como fue en posesión de particulares, porque tengo entendido que fue una empresa, obviamente quien tiene que emitir una opinión al respecto es el IFAI, que es la que regula la cuestión de datos personales en posesión de particulares.”
Por lo tanto, el comisionado presidente de CAIP indicó que cualquier ciudadano puede presentar una denuncia ante el IFAI.
—¿Ustedes (CAIP) no pueden hacer de conocimiento al IFAI?
—Yo creo que el problema no es de conocimiento, sino lo que procede en este caso.
Así que recomendó al gobierno del estado es que sea más transparente. “Estamos viviendo un escenario a nivel nacional donde lo que es el proceso legal normativo en cuanto a la transparencia, acceso a la información y rendición de cuentas está siendo transformado.
”Seguiremos, como órganos garantes estando atentos, ver cómo se dan los principales casos (…) más que un exhorto pediría que se ciernan al cumplimiento de la ley, que sean coparticipes y corresponsables.
”Porque en este escenario debemos estar todos, los ciudadanos, los sujetos obligados y los órganos garantes, independientemente de cualquier esfera que sea: Ejecutivo, Legislativo, Judicial o autónomos.”
Los datos
Durante el primer día de la entrega de las tarjetas para el RUTA se les pidió la credencial del Instituto Federal de Elector (IFE), aunque posteriormente no se pidió solamente este documento, sino cualquier identificación con fotografía.
Bernardo Huerta indicó que la empresa fue la que estaba solicitando los datos, con lo que tal vez sin querer también la estaba culpando de estar violando la ley, la que marca que se debió presentar un aviso de privacidad para que los ciudadanos estuvieran seguros que sus datos personales no fueran mal utilizados.
Sin embargo, sin este requisito de ley se llenaron formatos con datos de las credenciales de elector, apuntando número de folio, domicilio del usuario a un número indeterminado de pasajeros, datos que aún están en poder de la empresa.
Pero no solo se les pedía a los solicitantes la credencial para votar, sino de la misma se apuntaba el nombre, la dirección, número de teléfono fijo y de celular, correo electrónico, edad, género y finalmente se pidió la firma.
Luego de que medios de comunicación documentaron la anómala situación, llegó una llamada de oficinas centrales de la dependencia para frenar la toma de datos de la credencial para votar aunque el formato muestra claramente un espacio para el número del IFE.
Así fue como cientos de usuarios entregaron su credencial, mientras los empleados apuntaban, para entregar la tarjeta del metrobús sin mayor problema y el usuario se iba contento.
Intolerancia Diario documentó cómo los formatos expedidos por la ST, llamados “Control de registro entrega tarjeta sistema Ruta- Ciudad de Puebla”, solicitaba toda la información arriba detallada.
La ley
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares fue creada con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.
En la misma ley marca que el aviso de privacidad es un documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de esta ley.
El consentimiento será expreso cuando la voluntad se manifieste verbalmente, por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología o por signos inequívocos.
Se entenderá que el titular conciente tácitamente el tratamiento de sus datos, cuando habiéndose puesto a su disposición el aviso de privacidad no manifieste su oposición.
El artículo 16 señala que el aviso de privacidad deberá contener, al menos la identidad y el domicilio del responsable que los recaba, las finalidades del tratamiento de datos, las opciones y los medios que el responsable ofrezca a los titulares para limitar el uso o la divulgación de los mismos.
Además de los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición, de conformidad con lo dispuesto en esta ley; en su caso, las transferencias de datos que se efectúen, así como el procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad, de conformidad con lo previsto en esta ley.
El artículo 17 señala que el aviso de privacidad debe ponerse a disposición de los titulares a través de formatos impresos, digitales, visuales, sonoros o cualquier otra tecnología.
Además de que cuando los datos personales hayan sido obtenidos personalmente del titular, el aviso de privacidad deberá ser facilitado en el momento en que se recaba el dato de forma clara y fehaciente, a través de los formatos por los que se recaban, salvo que se hubiera facilitado el aviso con anterioridad.
El artículo 19 establece que todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
Asimismo en el capítulo III de los Derechos de los Titulares de Datos Personales en el artículo 23, señala que los titulares tienen derecho a acceder a sus datos personales que obren en poder del responsable, así como conocer el aviso de privacidad al que está sujeto el tratamiento.
Además, según el artículo 30, todo responsable deberá designar a una persona, o departamento de datos personales, quien dará trámite a las solicitudes de los titulares para el ejercicio de los derechos a que se refiere la ley.
El artículo 63 señala que constituyen infracciones a esta ley conductas llevadas a cabo por el responsable, entre ellas omitir en el aviso de privacidad, por lo que podría la empresa hacerse acreedora a una multa de 100 a 160 mil días de salario mínimo vigente en el Distrito Federal.
La violación
En entrevista para Intolerancia Diario tanto Lilia Vélez como Jorge Machuca señalaron que si la empresa —como lo afirmó Bernardo Huerta— fue la responsable de solicitar los datos, está violando la ley. Asimismo, señalaron que tendría que ser la misma empresa o la Secretaría del Transporte la que aclare dónde se encuentra esta información.
El representante del organismo México Infórmate, Jorge Machuca, señaló que es muy importante esta aclaración, ya que de ello depende si se aplica la ley del estado o la federal en este caso.
Sin embargo, señaló que en la ley de transparencia estatal existe un vacío legal, ya que no se ha legislado en la protección de datos personales en Puebla.
A pesar de esta laguna, se podría aplicar el artículo 9 de la ley de transparencia, en la que marca que los sujetos obligados —como la ST— si están administrando o generando datos, son responsables de su resguardo.
“Pero como en este caso, si el gobierno se desmarcó —con declaraciones de Bernardo Huerta—y es la empresa la que mueve el asunto, primero debe mostrar el aviso de privacidad para solicitar la información a los ciudadanos”
Señaló que aunque ahora solo se esté pidiendo el nombre de la persona es un dato personal, por lo que debe haber garantía de resguardo y una base de datos.
“En el aviso de privacidad se debe tener identificada la sede de la empresa, tiene que salir el nombre de la persona responsable de esa información, para que el ciudadano pueda ejercer los derechos de acceso a sus datos personales.”
Lo anterior quiere decir que la ley federal de protección de datos personales protege al ciudadano a tener accedo a sus datos e inclusive a su derecho de cancelación.
“Si una persona no está de acuerdo, aunque haya dado sus datos, tiene derecho a pedir que lo quiten de esa lista o base de datos, pero primero tiene que saber qué empresa fue la que tomó su información.
”Es bien importante distinguir quien lo maneja, es importante saber quien los maneja, así sea un solo nombre”, señaló al insistir que la ST debe aclarar quién tiene la información que se tomó, independientemente del número de personas.
Explicó que toda la protección de datos tiene un origen constitucional en el artículo 16, que es el que reconoce la protección de la información de los ciudadanos por medio del llamado ARCO (Acceso, Rectificación, Cancelación y Oposición). “Es importante que la empresa confirme o desmienta la posesión”, indicó.
La ley federal de protección de datos personales señala que la empresa tuvo que mostrar —en este caso, a los pasajeros— un aviso de privacidad antes o en el momento de la solicitud de datos, lo que no se ha hecho.
Por su parte, Lilia Vélez señaló que los datos que se recabaron solo pueden usarse para fines vinculados con el metrobús, ya que si se utilizan para otro fin la fracción VIII y IX del artículo 97 de la ley de transparencia vigente señala lo que genera responsabilidades de datos personales
“Valdría la pena recordar que el Congreso se comprometió a legislar el tema y no ha cumplido”, señaló la especialista en temas de transparencia
—¿No era necesario que la empresa presentara el aviso de privacidad como lo marca la ley? Porque finalmente la Secretaria del Transporte reconoce que la empresa es la que pidió la información y no ellos
—Si fue la empresa sí, debía tener aviso de privacidad y lo regula la ley federal.
—Sí, así lo reconoció Bernardo Huerta.
—Entonces es obligatorio el aviso. Y podría en algún momento presentarse queja en el IFAI (Instituto Federal de Acceso a la Información Pública).
—¿La queja la tiene que presentar alguno de los ciudadanos a los que lo solicitaron?
—Sí, se puede decir que recabaron datos sin presentar aviso y por lo tanto incumplieron la ley federal— dijo Vélez Iglesias.
