La seguridad y confidencialidad de la información es obligación de todos

Nos guste o no, tenemos que reconocer que nuestra información está en todas partes. Los datos personales de nuestros clientes, proveedores, amigos y familia se andan paseando en emails, teléfonos inteligentes, tabletas electrónicas, laptops, tarjetas de memoria, usb drives y hasta en “la nube”; datos financieros y patrimoniales de empleados y clientes sufren la misma suerte, incluyendo hojas olvidadas en impresoras “públicas” por horas y la impresión en papel “reciclado”; nuestros nombres, teléfonos y direcciones desfilan por incontables mesas de recepción de restaurantes y ventanillas bancarias; y obviamente todo lo que hacemos en tanto en internet, como en nuestras computadoras y teléfonos, deja un rastro digital.

Independientemente de que los “convenios o contratos de confidencialidad” (NDA’s por sus siglas en inglés) no solo existen, sino son ampliamente conocidos por la comunidad de negocios, estos no son la única fuente, ni la más importante, de obligaciones de confidencialidad y seguridad de la información. De hecho, el único objetivo de un NDA es y debe ser la confidencialidad de la información; este instrumento no debe usarse como medio para buscar la “seguridad de la información” ni para satisfacer requisitos de otras leyes, como la de protección de datos personales.

La seguridad y confidencialidad de la información son dos cosas distintas; de hecho desde una perspectiva práctica podríamos considerar a la seguridad como el género y a la confidencialidad como la especie. La madre de todas las tareas universitarias (Wikipedia) define a “Seguridad de la Información” como: todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e Integridad de la misma.

Por otro lado, la confidencialidad de la información en su sentido positivo (punto de vista técnico) significa que “el acceso a la información únicamente se realice por personas que cuenten con la debida autorización”. En su sentido negativo (punto de vista legal), confidencialidad de la información significa que la misma no debe divulgarse o compartirse con terceros, sin autorización expresa de las partes involucradas.

Muchas leyes nos obligan a mantener la confidencialidad y/o seguridad de la información:

  • Si eres profesionista, la Ley General de Profesiones te obliga a guardar estrictamente el secreto de los asuntos que tus clientes te confíen;
  • Si eres empleado, la Ley Federal del Trabajo te obliga a guardar escrupulosamente los secretos técnicos, comerciales y de fabricación de los productos a cuya elaboración concurras directa o indirectamente, o de los cuales tengas conocimiento por razón del trabajo que desempeñas, así como de los asuntos administrativos reservados, cuya divulgación pueda causar perjuicios a la empresa;
  • A toda aquella persona que, con motivo de su trabajo, empleo, cargo, puesto, desempeño de su profesión o relación de negocios, tenga acceso a un secreto industrial del cual se le haya prevenido sobre su confidencialidad, la Ley de la Propiedad Industrial lo obliga a abstenerse de revelarlo sin causa justificada y sin consentimiento de la persona que guarde dicho secreto, o de su usuario autorizado.
  • Si eres una persona física o moral y contratas a un trabajador que esté laborando o haya laborado, o a un profesionista, asesor o consultor que preste o haya prestado sus servicios para otra persona, con el fin de obtener secretos industriales de ésta, la Ley de la Propiedad Industrial establece que serás responsable del pago de daños y perjuicios que le ocasione a dicha persona (física o moral).
  • Si tienes una página web (incluyendo sitios móviles) en donde se realizan transacciones comerciales electrónicas, la Ley Federal de Protección al Consumidor te obliga a:
    • Utilizar la información proporcionada por el consumidor en forma confidencial, por lo que no podrás difundirla o transmitirla a otros proveedores ajenos a la transacción, salvo autorización expresa del propio consumidor o por requerimiento de autoridad competente;
    • Utilizar alguno de los elementos técnicos disponibles para brindar seguridad y confidencialidad a la información proporcionada por el consumidor e informarás a éste, previamente a la celebración de la transacción, de las características generales de dichos elementos.
    • Si eres persona física o moral y tienes una base de datos o das tratamiento a  datos personales, tanto en el plano físico como electrónico, la Ley Federal de Protección de Datos Personales en Posesión de Particulares te obliga a establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
    • La misma ley establece que:
      • Si eres responsable o tercero que interviene en cualquier fase del tratamiento de datos personales, deberás guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.
      • Si los datos personales son vulnerados (si se te pierden, si hay un acceso no autorizado, si te hackean), deberás informar de forma inmediata a los titulares de los datos, a fin de que ellos puedan tomar las medidas correspondientes a la defensa de sus derechos.

Espero que ahora nos quede claro una idea muy simple: ¡la seguridad y confidencialidad de la información es obligación de todos! No importa si tienes o no firmado un contrato o cláusula de confidencialidad, la ley te obliga en la mayoría de los casos a proteger la confidencialidad, disponibilidad e integridad de la información.

 

Artículo originalmente publicado en: http://www.merca20.com/la-seguridad-y-confidencialidad-de-la-informacion-es-obligacion-de-todos/

Tu sitio web… ¿cumple con la ley de protección al consumidor?

Cuando creamos un sitio web, en nuestro proceso de planeación solemos pensar típicamente en: 1) contratar servicios de hosting, 2) registrar el nombre de dominio, 3) contratar a un equipo de trabajo consistente en: diseñador, webmaster, mercadólogo digital, un experto en SEO y tal vez hasta un community manager. Pero alguna vez nos detenemos a pensar: ¿cumple mi sitio web con la ley?

Tratándose de “compliance” existen dos leyes cuya observancia es obligatoria para sitios web que realizan actividades de comercio electrónico y/o tratan datos personales: la Ley Federal de Protección al Consumidor y la Ley Federal de Protección de Datos Personales en Posesión de Particulares (y su Reglamento). En esta ocasión trataremos los requisitos de la primera ley, que aparecen en el Capítulo VII BIS, denominado “De los derechos de los consumidores en las transacciones efectuadas a través del uso de medios electrónicos, ópticos o de cualquier otra tecnología”.

En primera instancia, nótese que el título de este capítulo de la ley de protección al consumidor es bastante amplio, por lo que aplica tanto a comercio electrónico tradicional (realizado en “sitios web”), como a aquél realizado a través de dispositivos móviles (m-commerce).

En la celebración de transacciones electrónicas realizadas entre proveedores y consumidores, el proveedor de bienes o servicios deberá cumplir lo siguiente:

I. Utilizará la información proporcionada por el consumidor en forma confidencial, por lo que no podrá difundirla o transmitirla a otros proveedores ajenos a la transacción, salvo autorización expresa del propio consumidor o por requerimiento de autoridad competente;

II. Utilizará alguno de los elementos técnicos disponibles para brindar seguridad y confidencialidad a la información proporcionada por el consumidor e informará a éste, previamente a la celebración de la transacción, de las características generales de dichos elementos;

III. Deberá proporcionar al consumidor, antes de celebrar la transacción, su domicilio físico, números telefónicos y demás medios a los que pueda acudir el propio consumidor para presentarle sus reclamaciones o solicitarle aclaraciones;

IV.- Evitará las prácticas comerciales engañosas respecto de las características de los productos;

V. Dará a conocer toda la información sobre los términos, condiciones, costos, cargos adicionales, en su caso, formas de pago de los bienes y servicios ofrecidos por el proveedor;

VI. Respetará la decisión del consumidor en cuanto a la cantidad y calidad de los productos que desea recibir, así como la de no recibir avisos comerciales; y

VII. Se abstendrá de utilizar estrategias de venta o publicitarias que no proporcionen al consumidor información clara y suficiente sobre los servicios ofrecidos, en especial tratándose de prácticas de mercadotecnia dirigidas a la población vulnerable, como los niños, ancianos y enfermos, incorporando mecanismos que adviertan cuando la información no sea apta para esa población.

Muchos de estos requisitos se cumplen a través de un documento que los abogados solemos llamar “Términos y Condiciones de Uso”. Este documento no requiere una forma especial, pero sí debe contener al menos la información señalada en las fracciones I, II, III y V. También es importante resaltar que antes de celebrar la transacción electrónica, es importante haber informado al consumidor sobre las características de los elementos de seguridad y confidencialidad, así como el domicilio físico y números telefónicos para atender reclamaciones, aclaraciones y quejas.

Aunque es una tendencia de derecho anglosajón, deberás decidir si adoptas el mecanismo “browse wrap” o “click wrap” para demostrar el consentimiento de los consumidores. El primero se da cuando el consumidor acepta tus términos y condiciones de uso solo por navegar en él (de ahí el término “browse wrap”). El segundo opera cuando el consumidor tiene que aceptar dichos términos y condiciones de uso haciendo clic en algún botón que diga “Acepto”, “De Acuerdo” o frases similares (“click wrap”). En mi opinión, el mecanismo “browse wrap” es apto para sitios web que no celebran transacciones electrónicas ni recopilan datos personales. El mecanismo “click wrap” es idóneo para sitios que realizan transacciones electrónicas y/o tratan datos personales.

Después de leer lo anterior, usando la caja de comentarios que aparece abajo me podrás responder la pregunta: “Tu sitio web… ¿cumple con la ley de protección al consumidor?”. Si tu respuesta es negativa no hay nada de qué preocuparse, ¡esto va a quedar entre tu y yo solamente!

 

Artículo publicado originalmente en: http://www.merca20.com/tu-sitio-web-cumple-con-la-ley-de-proteccion-al-consumidor/

 

Imagen de: http://www.freedigitalphotos.net/images/view_photog.php?photogid=2365

La confidencialidad está en todas partes

Es hasta cierto punto común pensar que los deberes de confidencialidad nacen siempre en virtud de un contrato relacionado con negocios, muchas veces de los conocidos como “Non Disclosure Agreements” o “NDA’s”. Si bien es cierto que este tipo de acuerdos o convenios son bastante comunes en los negocios, también es cierto que la fuente principal de obligaciones de confidencialidad y secrecía es la ley. El problema radica en que la mayor parte de gente de negocios no conoce estas leyes, y por lo tanto cree que solo se obliga en los términos de los contratos de confidencialidad que firma.

 

Si uno incumple un contrato la mayoría de las veces está en las manos de su contraparte la decisión de demandarlo o no, y si lo hace puede que pasen años antes de que tenga una repercusión negativa. En cambio, el desconocimiento de las “leyes de confidencialidad” puede costarles muy caro, pues la violación de las mismas puede acarrearles consecuencias económicas serias (multas de hasta más de $19 millones de pesos) o inclusive sanciones corporales (hasta 12 años de prisión).

 

Cuando usted realiza un negocio es importante analice todos los ángulos de confidencialidad de la información: (a) contratos y cláusulas de confidencialidad con su contraparte; (b) contratos y cláusulas de confidencialidad con sus empleados; (c) contratos y cláusulas de confidencialidad con sus proveedores; y (d) contratos y cláusulas de datos personales y avisos de privacidad que tenga su contraparte, entre otros.

 

Además de lo anterior, y con independencia a que esté usted realizando o no un negocio, siempre es importante que conozca lo que establecen las leyes más importantes de la materia en torno a obligaciones de confidencialidad:

 

Ley Reglamentaria del Artículo 5° Constitucional, relativo al Ejercicio de las Profesiones en el D.F. ARTICULO 36.- Todo profesionista estará obligado a guardar estrictamente el secreto de los asuntos que se le confíen por sus clientes, salvo los informes que obligatoriamente establezcan las leyes respectivas.
Ley de la Propiedad Industrial Artículo 84.- La persona que guarde un secreto industrial podrá transmitirlo o autorizar su uso a un tercero. El usuario autorizado tendrá la obligación de no divulgar el secreto industrial por ningún medio.Artículo 85.- Toda aquella persona que, con motivo de su trabajo, empleo, cargo, puesto, desempeño de su profesión o relación de negocios, tenga acceso a un secreto industrial del cual se le haya prevenido sobre su confidencialidad, deberá abstenerse de revelarlo sin causa justificada y sin consentimiento de la persona que guarde dicho secreto, o de su usuario autorizado.Artículo 86.- La persona física o moral que contrate a un trabajador que esté laborando o haya laborado o a un profesionista, asesor o consultor que preste o haya prestado sus servicios para otra persona, con el fin de obtener secretos industriales de ésta, será responsable del pago de daños y perjuicios que le ocasione a dicha persona.
Ley Federal de Protección al Consumidor Artículo 76 bis.- Las disposiciones del presente Capítulo aplican a las relaciones entre  proveedores y consumidores en las transacciones efectuadas a través del uso de medios electrónicos,  ópticos o de cualquier otra tecnología. En la celebración de dichas transacciones se cumplirá con lo  siguiente:I. El proveedor utilizará la información proporcionada por el consumidor en forma confidencial, por lo que no podrá difundirla o transmitirla a otros proveedores ajenos a la transacción, salvo autorización  expresa del propio consumidor o por requerimiento de autoridad competente;II. El proveedor utilizará alguno de los elementos técnicos disponibles para brindar seguridad y confidencialidad a la información proporcionada por el consumidor e informará a éste, previamente a la celebración de la transacción, de las características generales de dichos elementos;
Ley Federal de Protección de Datos Personales en Posesión de Particulares Artículo 19.- Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.Artículo 21.- El responsable o terceros que intervengan en cualquier fase del tratamiento de datos personales deberán guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.Artículos 63 y 64.- La multa por incumplir el deber de confidencialidad respecto de cualquier fase del tratamiento de datos personales puede ser de hasta $19,142,400 pesos (320,000 salarios mínimos).
Ley Federal del Trabajo Artículo 47.- Son causas de rescisión de la relación de trabajo, sin responsabilidad para el patrón:IX. Revelar el trabajador los secretos de fabricación o dar a conocer asuntos de carácter reservado, con perjuicio de la empresa;Artículo 134.- Son obligaciones de los trabajadores:XIII. Guardar escrupulosamente los secretos técnicos, comerciales y de fabricación de los productos a cuya elaboración concurran directa o indirectamente, o de los cuales tengan conocimiento por razón del trabajo que desempeñen, así como de los asuntos administrativos reservados, cuya divulgación pueda causar perjuicios a la empresa.
Código Penal Federal Artículo 210.- Se impondrán de treinta a doscientas jornadas de trabajo en favor de la comunidad, al  que sin justa causa, con perjuicio de alguien y sin  consentimiento del que pueda resultar perjudicado, revele algún secreto o comunicación reservada que conoce o ha recibido con motivo de su empleo, cargo o puesto.Artículo 211.- La sanción será de uno a cinco años, multa de cincuenta a quinientos pesos y suspensión de profesión en su caso, de dos meses a un año, cuando la revelación punible sea hecha por persona que presta servicios profesionales o técnicos o por funcionario o empleado público o cuando el secreto revelado o publicado sea de carácter industrial.Artículo 211 Bis.- A quien revele, divulgue o utilice indebidamente o en perjuicio de otro, información  o imágenes obtenidas en una intervención de comunicación privada, se le aplicarán sanciones de seis a doce años de prisión y de trescientos a seiscientos días multa.

Como puede apreciar, guardar la confidencialidad de la información es cosa seria. No tome a la ligera estas obligaciones que nacen no solo por la vía contractual, sino también por orden de ley en muy diversos ámbitos. Conozca sus obligaciones y busque la asesoría adecuada para cumplirlas cabalmente.

 

Originalmente publicado en: http://www.empresasydinero.com/la-confidencialidad-esta-en-todas-partes/

 

Image: renjith krishnan / FreeDigitalPhotos.net