Mecanismos sancionadores en caso del Mecanismos sancionadores en caso del tratamiento indebido de datos personales Dra. Isabel Davara Fdez. de Marcos VIII EncuentroIberoamericano de Protección de Datos 29 de Septiembre de 2010 México, D.F. idavara@davara.com.mx idavara@davara.com.mx
31
Embed
Mecanismos sancionadores en caso del - VIII Encuentro ...viiiencuentroiberoamericano.ifai.org.mx/downloads/05-2A - Isabel... · protección de datos (Gramm‐Leach‐Bliley Act–GLB
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Mecanismos sancionadores en caso delMecanismos sancionadores en caso del tratamiento indebido de datos
personales
Dra. Isabel Davara Fdez. de MarcosVIII EncuentroIberoamericano de Protección de Datos
Naturaleza de las sancionesNaturaleza de las sanciones
CivilCivil
PenalPenalAdministrativaAdministrativa
Otra
(inter partes, prensa, etc.)
Otra
(inter partes, prensa, etc.)
Tipos de sancionesTipos de sanciones
Económica Administrativa Judicial Otra
Aplicación y efectos de las sancionesAplicación y efectos de las sanciones
Efectividad de las sancionesEfectividad de las sancionesPreviene una
infracción posterior
Detiene la infracción
Depende de la autoridad d i l
Es indepen‐diente de la i d i de quien la
imponeindemniza‐
ción
Sanciona el incumpli‐miento
Modelos en los que se puede basar MéxicoModelos en los que se puede basar México
Estados Unidos
++
y
Unión Europea
Federal Trade Commission (FTC)Federal Trade Commission (FTC)La FTC tiene competencia para aplicar diferentes leyes relacionadas con
La FTC tiene competencia para aplicar diferentes leyes relacionadas con
La FTC no es una APD, es una agencia de protección de los consumidores
La FTC no es una APD, es una agencia de protección de los consumidores
diferentes leyes relacionadas con protección de datos (Gramm‐Leach‐BlileyAct –GLB Act‐; Fair Credit Reporting Act –FCRA‐, y Federal Trade Commission Act –
diferentes leyes relacionadas con protección de datos (Gramm‐Leach‐BlileyAct –GLB Act‐; Fair Credit Reporting Act –FCRA‐, y Federal Trade Commission Act –FTCA‐, esta última en casos de prácticas
injustas o deceptivas).FTCA‐, esta última en casos de prácticas
injustas o deceptivas).
FTCFTCFTC
(potestad sancionadora)
FTC
(potestad sancionadora)
Desde 2001, la FTC ha empleado su autoridad en un total de 29 casos
http://www ftc gov/os/testimony/1009
Desde 2001, la FTC ha empleado su autoridad en un total de 29 casos
http://www ftc gov/os/testimony/1009
La FTC puede iniciar procedimientos, administrativos o judiciales, en casos de incumplimiento, tales como ChoicePoint
que dio lugar a una resolución que
La FTC puede iniciar procedimientos, administrativos o judiciales, en casos de incumplimiento, tales como ChoicePoint
que dio lugar a una resolución quehttp://www.ftc.gov/os/testimony/100922datasecuritytestimony.pdf y
que dio lugar a una resolución que ordenaba pagar US$ 10 millones como indemnización civil por violar la FCRA y
otros US$ 5 millones como indemnización
que dio lugar a una resolución que ordenaba pagar US$ 10 millones como indemnización civil por violar la FCRA y
otros US$ 5 millones como indemnización a las víctimas por robo de identidad.a las víctimas por robo de identidad.
Poderes de la FTCPoderes de la FTC
FTCFTC
Poder de investigación/inspección
Poder de investigación/inspección
Procesos administrativosProcesos administrativos
Poder de aplicación/sanción (enforcement)
Poder de aplicación/sanción (enforcement)
Procesos judicialesProcesos judiciales
Procedimiento civilProcedimiento civil
Comisión Nacional de Informática y Libertades (CNIL)
Contra sus resoluciones cabe recursoContra sus resoluciones cabe recursoLa CNIL es una APD (una de las más antiguas en Europa puesto que fue
creada por la ley de 6 de enero de 1978)
La CNIL es una APD (una de las más antiguas en Europa puesto que fue
creada por la ley de 6 de enero de 1978)
Contra sus resoluciones cabe recurso jurisdiccional en vía contencioso‐
administrativa ante el Conseil d´Etat(Tribunal Supremo en el orden
Contra sus resoluciones cabe recurso jurisdiccional en vía contencioso‐
administrativa ante el Conseil d´Etat(Tribunal Supremo en el orden
administrativo)administrativo)
CNILCNILCNIL
(potestad sancionadora)
CNIL
(potestad sancionadora)
Puede imponer multas de hastaPuede imponer multas de hasta
Tiene postestades de inspección y sancionadora (puede: a) imponer
sanciones conforme a la Ley de 6 de
Tiene postestades de inspección y sancionadora (puede: a) imponer
sanciones conforme a la Ley de 6 dePuede imponer multas de hasta 300.000 euros en casos de reincidencia
Puede imponer multas de hasta 300.000 euros en casos de reincidencia
sanciones, conforme a la Ley de 6 de agosto de 2004, b) puede ordenar el cese de un tratamiento, y c) puede revocar
autorizaciones)
sanciones, conforme a la Ley de 6 de agosto de 2004, b) puede ordenar el cese de un tratamiento, y c) puede revocar
autorizaciones)
Admisibilidad de ADRAdmisibilidad de ADR
APEC
•Se recomienda a las economías miembros a que compartan experiencias sobre diferentes procedimientos en la investigación de infracciones en materia de privacidad y estrategias de regulación para resolver disputas que impliquen tales infracciones, i l d j l tió d j i d l ió t j di i l d fli tAPEC incluyendo, por ejemplo, gestión de quejas y mecanismos de resolución extrajudicial de conflictos.
DirectivaDirectiva95/46/CE
• No
95/46/CE
OCDEOCDE
•19. Al implantar nacionalmente los principios expuestos en las Partes II y III, los países miembro deberían establecer procedimientos o instituciones jurídicas, administrativas u otras para la protección de la intimidad y de las libertades individuales respecto a los datos personales. Los países miembro deberían, en particular, procurar:
•[…]•d) prever las sanciones y recursos suficientes en caso de incumplimiento de las medidas con las cuales se implanten los principios expuestos en las Partes II y III,•[ ]•[…]
FIPS
• Cumplimiento/Compensación del daño• Es aceptado ampliamente que el núcleo de los principios de la protección de datos sólo puede ser efectivo si existen mecanismos para garantizar su cumplimiento. En ausencia de un mecanismo de cumplimiento y compensación del daño, un código de práctica es meramente sugestivo más que prescriptivo, y no garantiza el cumplimiento con los principios de la protección de datos. Entre los mecanismos alternativos de cumplimiento están la autorregulación; la legislación que establece remedios privados para los consumidores; y/o las regulaciones que garantizan el cumplimiento a través de sanciones civiles o penales.
• 5. Enforcement/Redress• It is generally agreed that the core principles of privacy protection can only be effective if there is a mechanism in place to enforce them. Absent an enforcement and redress mechanism, a fair information practice code is merely suggestive rather than prescriptive, and does notensure compliance with core fair information practice principles. Among the alternative enforcement approaches are industry self‐regulation; legislation that would create private remedies for consumers; and/or regulatory schemes enforceable through civil and criminal sanctions.
CONVENIO CONVENIO 108 CE
•Artículo 10. Sanciones y recursos•Cada Parte se compromete a establecer sanciones y recursos convenientes contra las infracciones de las disposiciones de derecho interno que hagan efectivos los principios básicos para la protección de datos enunciados en el presente capítulo.
RESOLUCIÓN RESOLUCIÓN DE MADRID
•No, sólo procesos judiciales o administrativos.
Potestades de la autoridad de control/supervisión
InvestigaciónInvestigación
Intervención
Iniciar procedimientos
Iniciar procedimientos Intervenciónlegales o
judicialeslegales o judiciales
Aplicación de las sancionesAplicación de las sancionesCriterios para
lla determinación
de las sanciones
Sanción Prescripción de las
sanciones
Posibilidad de revisión judicial
Otras medidas (inmovializa‐ción, medidas cautelares,
t )etc.)
Efectividad del mecanismo sancionadorEfectividad del mecanismo sancionador
Modelo Modelo Modelo APD
Modelo APD
No atiende casos particulares
FTCFTCAtienden casos particulares
APD EuropeaAPD
Europea
Actúa para proteger a los
Protegen al denunciante y al mismo tiempo alp g
consumidores en general
mismo tiempo al resto de titulares del derecho
En la prácticaEn la práctica
Modelo Modelo Modelo APD
Modelo APD
Sanción en determinados casos
FTCFTCSanción a quien trató ilícitamente datos personales
APD EuropeaAPD
Europea
Tutela indirecta puesto que no
Tutela del interesado cuyos datos fueronp q
atiende al caso particular
datos fueron tratados ilícitamente
Órganos de control y competentes (tratamientos por el sector privado)
Secretaría de Economía
f d l d l bl
Secretaría de Economía
f d l d l blDifundir el conocimiento de las obligaciones en torno a la protección de datos personales
entre la iniciativa privada nacional e internacional con actividad comercial en
territorio mexicano y promover las mejores
Difundir el conocimiento de las obligaciones en torno a la protección de datos personales
entre la iniciativa privada nacional e internacional con actividad comercial en
territorio mexicano y promover las mejores
Procuraduría Federal del Consumidor(Profeco)
P l id
Procuraduría Federal del Consumidor(Profeco)
P l idterritorio mexicano y promover las mejores prácticas comerciales en torno a la protección
de datos
territorio mexicano y promover las mejores prácticas comerciales en torno a la protección
de datos
Proteger a los consumidoresProteger a los consumidores
IFAI
Autoridad garante de la LFPDPPP
IFAI
Autoridad garante de la LFPDPPP
Comisión Federal de TelecomunicacionesComisión Federal de Telecomunicaciones
Otras
C i ió N i l i d
Otras
C i ió N i l i dRegistro Nacional de Usuarios de
Telefonía Móvil (RENAUT)Registro Nacional de Usuarios de
Telefonía Móvil (RENAUT)
Comisión Nacional Bancaria y de Valores, Comisión Nacional para la Protección y Defensa de los Usuarios
de Servicios Financieros, etc.
Comisión Nacional Bancaria y de Valores, Comisión Nacional para la Protección y Defensa de los Usuarios
de Servicios Financieros, etc.,,
Infracciones en la LFPDPPP (1)Infracciones en la LFPDPPP (1)
I. No cumplir con la solicitud del titular para el
acceso,
I. No cumplir con la solicitud del titular para el
acceso,
II. Actuar con negligencia o dolo en la
II. Actuar con negligencia o dolo en la
III. Declarar dolosamente la III. Declarar
dolosamente la IV DarIV Dar V. Omitir en el V. Omitir en el
VI. Mantener datos personales inexactos cuando
resulte imputable al
VI. Mantener datos personales inexactos cuando
resulte imputable al IX. Cambiar
sustancialmenteIX. Cambiar
sustancialmenterectificación, cancelación u oposición al
tratamiento de sus datos
personales, sin razón fundada, en los términos
rectificación, cancelación u oposición al
tratamiento de sus datos
personales, sin razón fundada, en los términos
dolo en la tramitación y respuesta de solicitudes de
acceso, rectificación, cancelación u oposición de
dolo en la tramitación y respuesta de solicitudes de
acceso, rectificación, cancelación u oposición de
inexistencia de datos personales, cuando exista
total o parcialmente en las bases de datos del
responsable;
inexistencia de datos personales, cuando exista
total o parcialmente en las bases de datos del
responsable;
IV. Dar tratamiento a los datos personales en contravención a los principios establecidos en la presente Ley;
IV. Dar tratamiento a los datos personales en contravención a los principios establecidos en la presente Ley;
aviso de privacidad,
alguno o todos los elementos a que se refiere el artículo 16 de
esta Ley;
aviso de privacidad,
alguno o todos los elementos a que se refiere el artículo 16 de
esta Ley;
responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente
procedan cuando resulten
responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente
procedan cuando resulten
VII. No cumplir con el
apercibimiento a que se refiere la fracción I del artículo 64;
VII. No cumplir con el
apercibimiento a que se refiere la fracción I del artículo 64;
VIII. Incumplir el deber de
confidencialidad establecido en el artículo 21 de
esta Ley;
VIII. Incumplir el deber de
confidencialidad establecido en el artículo 21 de
esta Ley;
sustancialmente la finalidad originaria del tratamiento de los datos, sin observar lo
dispuesto por el artículo 12;
sustancialmente la finalidad originaria del tratamiento de los datos, sin observar lo
dispuesto por el artículo 12;en los términos
previstos en esta Ley;
en los términos previstos en esta
Ley;
datos personales;datos personales; responsable;responsable; resulten afectados los
derechos de los titulares;
resulten afectados los
derechos de los titulares;
Infracciones en la LFPDPPP (2)Infracciones en la LFPDPPP (2)
X. Transferir datos a terceros sin comunicar a
X. Transferir datos a terceros sin comunicar a XI. Vulnerar la
id d dXI. Vulnerar la
id d dXII. Llevar a cabo l t f iXII. Llevar a cabo l t f i
XIII. Recabar o t f i d tXIII. Recabar o t f i d t
XVI. Continuar con el uso
XVI. Continuar con el uso
XVII. Tratar los datos personales de manera que se afecte o impida el ejercicio de los d h d
XVII. Tratar los datos personales de manera que se afecte o impida el ejercicio de los d h d XVIII. Crear bases XVIII. Crear bases
XIX. Cualquier incumplimiento XIX. Cualquier incumplimiento
éstos el aviso de privacidad que contiene las limitaciones a que el titular sujetó la
divulgación de los mismos;
éstos el aviso de privacidad que contiene las limitaciones a que el titular sujetó la
divulgación de los mismos;
seguridad de bases de datos,
locales, programas o
equipos, cuando resulte imputable al responsable;
seguridad de bases de datos,
locales, programas o
equipos, cuando resulte imputable al responsable;
la transferencia o cesión de los
datos personales, fuera de los casos
en que esté permitida por la
Ley;
la transferencia o cesión de los
datos personales, fuera de los casos
en que esté permitida por la
Ley;
transferir datos personales sin el consentimiento expreso del titular, en los
casos en que éste sea exigible;
transferir datos personales sin el consentimiento expreso del titular, en los
casos en que éste sea exigible;
XIV. Obstruir los actos de
verificación de la autoridad;
XIV. Obstruir los actos de
verificación de la autoridad;
XV. Recabar datos en forma engañosa y fraudulenta;
XV. Recabar datos en forma engañosa y fraudulenta;
ilegítimo de los datos personales cuando se ha
solicitado el cese del mismo por el Instituto o los titulares;
ilegítimo de los datos personales cuando se ha
solicitado el cese del mismo por el Instituto o los titulares;
derechos de acceso,
rectificación, cancelación y oposición
establecidos en el artículo 16 de la Constitución Política de los
derechos de acceso,
rectificación, cancelación y oposición
establecidos en el artículo 16 de la Constitución Política de los
de datos en contravención a lo dispuesto por el artículo 9,
segundo párrafo de esta Ley, y
de datos en contravención a lo dispuesto por el artículo 9,
segundo párrafo de esta Ley, y
pdel responsable a las obligaciones establecidas a su
cargo en términos de lo previsto en la presente Ley.
pdel responsable a las obligaciones establecidas a su
cargo en términos de lo previsto en la presente Ley.
Estados Unidos Mexicanos;
Estados Unidos Mexicanos;
Aplicación de la sanciónAplicación de la sanción
AutoridadAutoridad
Previsión d l
Previsión d l
Efectivdad de la Efectivdad de la
de la sanciónde la
sanción
sanciónsanción
Algunas cuestiones a considerarAlgunas cuestiones a considerar
mo
mo Público o privadoPúblico o privado ón
ón
Detener la Detener la dodo Sanción por la Sanción por la
mecanism
mecanism
Administrativo o judicial
A priori o a posteriori
Administrativo o judicial
A priori o a posteriori e
la sanció
e la sanció infracción
Prevenir la comisión de infracciones
Sancionar la
infracción
Prevenir la comisión de infracciones
Sancionar la l ind
ividud
l ind
ividud infracción cometida
Acceso a la autoridad o institución que aplica la sanción
infracción cometida
Acceso a la autoridad o institución que aplica la sanción
rácter del
rácter del posteriori
Legislativo o contractual
Otros mecanismos ( bli id d d l
posteriori
Legislativo o contractual
Otros mecanismos ( bli id d d l
Efectos d
Efectos d Sancionar la
infracción cometidaSancionar la
infracción cometida
tecciónde
tecciónde Posibilidad de
recursoPosibilidad de
recurso
CaCa
(publicidad de la sanción, etc.)(publicidad de la sanción, etc.) Pr