You are on page 1of 2

VIOLACION Principios De Protección De Datos Personales

Situación empresa automotriz

SÍNTESIS EJECUTIVA
INFRACTOR: ASTERISCO AUTO. (“ASTERISCO AUTO”)
SECTOR: Servicios
AUTORIDAD: IFAI (Autoridad Mexicana Hizo Cumplimiento Principios De Protección De Datos Personales)
ANTECEDENTES:
• Con fecha 25 de febrero de 2013, el IFAI recibió denuncia relativa a una empresa que ofrecía servicios de verificación
vehicular, mecánica y grúa, y que no obstante la Titular no les había proporcionado sus datos personales y había rechazado
dicho servicio, se le habían comenzado a realizar cargos automáticos mensuales a su tarjeta de crédito por cuenta del
servicio y se le había registrado como miembro activo de la empresa.
• En consecuencia, con fecha 7 de marzo de 2013, el IFAI hizo un requerimiento de información al Infractor.
• Por otra parte, el 13 de marzo de 2013, el IFAI recibió otra denuncia por diverso Titular también en contra del Infractor
señalando que había recibido una llamada en la que le informaban de un cargo automático a su tarjeta de crédito, por lo que
el Titular trató de investigar cómo habían obtenido sus datos sin éxito. Así mismo el Titular denunció que no había podido
ejercer sus derechos ARCO, debido a que no encontró aviso de privacidad en la página de Internet del Infrator.
• Con fecha 21 de marzo de 2013, por oficio del Director General de Verificación se formuló un nuevo requerimiento de
información a Asterisco Auto, relacionado con la segunda denuncia.
• Con fecha 3 de abril de 2013, Asterisco Auto, dio respuesta a los dos requerimientos que le fueron formulados, en
idénticos términos, negando que hubiera tratado los datos de los denunciantes.
• Con fecha 24 de mayo de 2013, el Director General de Verificación determinó procedente acumular los expedientes de
investigación antes señalados, por tratarse de hechos similares denunciados en contra de Asterisco Auto.
• Con fecha 17 de junio de 2013, el Secretario de Protección de Datos Personales y el Director General de Verificación
emitieron un Acuerdo de Inicio de Procedimiento de Verificación, en contra del Infractor. Se realizó una visita de verificación
en el domicilio del Infractor, y otra en el domiclio del call center,lugar en donde el Infractor señaló que se capturaban los
datos de los clientes en una base de datos excel.
• El 28 de agosto de 2013, el Pleno del IFAI emitió resolución mediante la cual determinó ordenar el inicio del procedimiento
de imposición de sanciones.
• Con fecha 9 de septiembre de 2013, se emitió el Acuerdo de inicio del procedimiento de imposición de sanciones, dándole
a conocer al Infractor un informe con los hechos constitutivos de las presuntas infracciones y otorgándole un plazo de 15
días hábiles para que rindiera pruebas e hiciera manifestaciones sobre lo que a su derecho conviniera.
• Al expediente del procedimiento se agregó copia del escrito del Infractor de fecha 20 de septiembre en el que acompañó
anexos relacionados con las adecuaciones que dijo haber efectuado a su aviso de privacidad en cumplimiento a la
resolución del 28 de agosto.
• El Infractor se abstuvo de dar contestación al acuerdo de inicio, por lo que el 7 de octubre de 2013, el Director General de
Sustanciación y Sanción dictó un nuevo acuerdo, por medio del cual se tuvo por perdido su derecho de rendir pruebas y
manifestar lo que a su derecho conviniera, y se le otorgó el plazo de cinco días hábiles para presentar alegatos. El Infractor
tampoco presentó alegatos.
• Con fecha 4 de febrero de 2014 los comisionados del IFAI resolvieron imponer a Asterisco Auto diversas multas.
PUNTOS CONTROVERTIDOS EN EL PROCEDIMIENTO DE IMPOSICIÓN DE SANCIÓN:
• Si el Infractor inicialmente declaro dolosamente la inexistencia de los datos personales para posteriormente reconocer que
sí contaba con ellos.
• Si el aviso de privacidad del Infractor cumplía con todos sus requisitos como si se establece o no el domicilio del Infractor,
las opciones y medios que éste ofrece a los titulares para limitar el uso o divulgación procedimiento y el medio por el cual el
Infractor comunicará a los titulares de cambios al mismo.
• Si recabó datos personales de carácter financiero, sin haber obtenido el consentimiento expreso de sus titulares.
ARGUMENTOS DE DEFENSA DEL INFRACTOR:
• El Infractor no compareció al procedimiento de imposición de sanción.
RESOLUCIÓN:
Se aplicaron multas al Infractor derivadas de los siguientes incumplimientos:
• Declarar dolosamente la inexistencia de los datos personales, cuando estos existían en sus bases de datos.
• Omitir en su aviso de privacidad el domicilio, las opciones y medios que ofrecía a los titulares para limitar el uso o
divulgación de los datos personales y el procedimiento y medio por el cual comunicaría a los titulares de cambios al aviso de
privacidad.
• Recabar datos personales de carácter financiero, sin el consentimiento expreso de sus titulares, estando obligada a ello.
SANCIÓN: La sanción fue efectuada por la IFAI. Por un monto correspondiente a la ley de su país.


Delitos en materia de tratamiento indebido de datos personales
- Artículo 269F: VIOLACIÓN DE DATOS PERSONALES. El que, sin estar facultado para ello, con provecho propio o de un
tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee
códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en
pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales
mensuales vigentes.
- Artículo 269G: SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES. El que con objeto ilícito y
sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o
ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a
1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más
grave.
-Artículo 269J : TRANSFERENCIA NO CONSENTIDA DE ACTIVOS. El que, con ánimo de lucro y valiéndose de alguna
manipulación informática o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un
tercero, siempre que la conducta no constituya delito sancionado con pena más grave, incurrirá en pena de prisión de
cuarenta y ocho (48) a ciento veinte (120) meses y en multa de 200 a 1500 salarios mínimos legales mensuales vigentes.

BIBLIOGRAFIA:
 http://www.deltaasesores.com/articulos/autores-
invitados/otros/3576-ley-de-delitos-informaticos-en-
colombia
 http://protecciondedatosmexico.wordpress.com/
 http://gruposti.org/cursos/course/view.php?id=3