INAI investiga uso de información personal por parte de plataformas tecnológicas

El INAI abrió carpetas de investigación para revisar el aviso de privacidad de DiDi, Facebook, Twitter, Google y Apple, amparado en la legislación mexicana sobre protección de datos personales

Eva Rosete

El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) ha iniciado carpetas de investigación para revisar los avisos de privacidad de las compañías DiDi, Facebook, Twitter, Google y Apple por la presentación de una denuncia ciudadana, según una investigación publicada en El Economista

¿Qué es un dato personal?

Es cualquier información concerniente a una persona física identificada o identificable, como pueden ser nombre, apellidos, dirección postal, número de teléfono o dirección de correo electrónico.

“Realizará una investigación de los hechos relacionados con el cumplimiento de la ley en la materia”, dijo la Dirección General de Investigación y Verificación del Sector Privado en las carpetas de investigación de cada empresa a las que tuvo acceso El Economista

Oficios:

  • Apple INAI.3S.08.02-211/2021 
  • Google INAI/SPDP/DGIVSP/2647/21
  • Twitter INAI/SPDP/DGIVSP/2485/21
  • Facebook INAI/SPDP/DGIVSP/2427/21
  • DiDi INAI/SPDP/DGIVSP/2670/21

El ABC de la privacidad

Según el denunciante las empresas no cumplen con los siguientes lineamientos que el manual ABC del Aviso de Privacidad  –hecho por el INA– establece como factores necesarios: 

  1. La identidad y el domicilio del responsable
  2. Los mecanismos para que el titular pueda manifestar su negativa para finalidades secundarias o accesorias. 
  3. El señalamiento expreso de los datos personales sensibles que se trate. 
  4. La cláusula que indica si el titular acepta o no la transferencia cuando así se requiera.
  5. Los medios y el procedimiento para ejecutar los derechos ARCO.
  6. Los mecanismos y procedimientos para que, en su caso, el titular pueda revocar su consentimiento de sus datos personales. 
Articulo 16. (2021)

En el caso de Apple, el denunciante escribió: “podemos concluir que la política de privacidad o el aviso de privacidad del responsable en este caso es bastante ambigua y no contiene elementos indispensables que marca la Ley Federal de Protección de Datos Personales”, los cuales se encuentran en el Artículo 16.

La demanda

El INAI solicitó al ciudadano más información sobre “los datos personales que proporcionó a Google, los hechos e incumplimientos que atribuye a la compañía y cualquier otro dato adicional que coadyuve a la investigación”. 

DiDi, como otros servicios digitales internacionales, en sus políticas de privacidad considera algunas legislaciones del mundo en materia de políticas de privacidad, la empresa de transporte se basa en la legislación de Singapur considerada como estándar internacional, comentó Jonathan Mendoza, secretario de Protección de Datos Personales del INAI, para El Economista

Esta empresa también es investigada —desde el 1 de julio— por la Administración de Ciberespacio de China y fue eliminada de la lista de aplicaciones por infringir las leyes de recopilación y uso de datos personales de los usuarios chinos. 

Te puede interesar: DiDi Global Inc. bloqueado por China

Guía de cumplimiento

La Ley Federal de Protección de Datos Personales en Posesión de Particulares aplica a todas las personas físicas y morales que traten con datos personales, en la guía para cumplir con los principios y deberes del INAI, publicada en junio del 2016, se mencionan dos excepciones: 

  1. Las sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables.
  2. Las personas físicas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.

Lo anterior se encuentra en el Artículo 2 de la ley, mientras que en el Artículo 5 del reglamento de la misma (ley), se señalan las siguientes excepciones:

  1. La relativa a personas morales.
  2. Aquélla que refiera a personas físicas en su calidad de comerciantes y profesionistas.
  3. La de personas físicas que presten sus servicios para alguna persona moral o persona física con actividades empresariales y/o prestación de servicios, consistente únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como algunos de los siguientes datos laborales: domicilio físico, dirección electrónica, teléfono y número de fax; siempre que esta información sea tratada para fines de representación del empleador o contratista.

Las infracciones y sanciones ya están previstas en la ley

La ley se aplica de forma general a todo el territorio, en la Guía se especificó: “es la única ley que regula el tratamiento de datos personales en posesión de los particulares en el país”. 

La intervención del INAI podría depender de la jurisdicción en la que operan estas empresas.  Cynthia Solís, socia del despacho Lex Inf  —especializado en protección de datos personales— explicó a El Economista que  “eso lo va a determinar en una decisión en la corte”.