Estaba llenando el formulario de registro del Open Stack Day cuando me encuentro una política de privacidad (como muchos la tienen) pero al momento de ponerme a leerla me encuentro con unas descaradas cláusulas de que mis datos serán usados para fines meramente comerciales y acontinuación un par de botones de “Acepto tu política” y “Acepto que usarás mis datos para fines comerciales. ¿Alguien que conozca la ley de datos personales podría decirme si no es eso ilegal?
Aquí un screenshot de la parte notoria en donde Kío quiere que aceptes cederle tus datos personales:
Aquí el formulario de registro del Open Stack Day para que lo puedan verificar con sus propios ojos.
Y aquí el texto completo del aviso de no privacidad de Kío:
En cumplimiento con lo dispuesto por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDP) y su Reglamento Sixsigma Networks México, S.A. de C.V (en adelante, KIO), informa a los usuarios de la existencia de un registro, base de datos y/o fichero de carácter personal en el que se contienen datos personales tales como nombre, apellidos, correos electrónicos, y todos aquellos datos que el usuario proporcione a KIO ya sea por medios escritos, electrónicos o telefónicos (en adelante “Datos Personales”). KIO, a través de la persona designada y encargada para tal efecto, es responsable de la utilización de los Datos Personales, los cuales serán empleados con la finalidad de permitir la plena prestación de los servicios objeto de la actividad de KIO. Por lo anterior, los Datos Personales que sean proporcionados por los usuarios serán empleados por KIO en actividades de mercadotecnia por lo que el usuario autoriza a KIO a compartir los Datos Personales con terceras personas para tales fines. Mediante la cesión de los Datos Personales el usuario autoriza el tratamiento, la cesión y/o divulgación, en su caso, de dichos datos en los términos descritos. El usuario al momento de ingresar sus Datos Personales en el sistema que para tal efecto tiene KIO y a través de su página de internet fue informado del contenido del presente Aviso de Privacidad, asimismo, al ingresar los Datos Personales se entiende que el usuario ha manifestado su conformidad con el presente Aviso de Privacidad y ha otorgado su consentimiento para que KIO utilice los mencionados datos en términos del presente aviso. Por su parte, el usuario declara que los Datos Personales suministrados son exactos, auténticos y completos y son responsabilidad del usuario que ingresó dichos datos por lo que se libera a KIO de cualquier responsabilidad relacionada al respecto. El usuario será responsable de la exactitud, veracidad, autenticidad y vigencia de dichos Datos Personales. En términos de la LFPDP y su Reglamento, el usuario podrá requerir a KIO el acceso, rectificación, cancelación u oposición (ARCO) de los Datos Personales que KIO conserva del usuario o cualquier otro derecho que le confiera la LFPDP o cualquier otra legislación o reglamento aplicable, incluyendo la posibilidad de revocar su consentimiento en términos del último párrafo del artículo 8 de la LFPDP. Para estos efectos, el usuario deberá enviar una solicitud en términos de la LFPDP al siguiente correo electrónico drodriguez@kionetworks.com a fin de que KIO pueda procesar dicha solicitud de conformidad con lo establecido en la LFPDP KIO dejará de emplear los Datos Personales en caso de que exista una solicitud de revocación de consentimiento. Cualquier modificación al presente Aviso de Privacidad será notificado a los usuarios mediante la página electrónica de KIO. El usuario y KIO acuerdan sujetarse a las disposiciones de LFPDP y a cualquier otra legislación o reglamento relacionado. En caso de controversia están de acuerdo en sujetarse a los tribunales competentes de la Ciudad de México, por lo que renuncian desde ahora al fuero que pudiera corresponderles en razón de sus domicilios presentes o futuros.
No es ilegal en tanto cumplan con los principios que te marca la ley de licitud (Estas depositando tu confianza en el tratamiento), consentimiento (Estas dando tu permiso al tratamiento), calidad (son ciertos y actualizados), información (Te están informando del fin del tratamiento), proporcionalidad (No te piden datos mas que de marketing, no aspectos sensibles como religión o preferencia sexual) y responsabilidad (se comprometen a cuidarlos). En resumen estas otorgando el permiso para que ellos traten tus datos de manera adecuada y que en caso de que no sea así o tu lo desees puedas ejercer tus derechos ARCO, (Acceso, Rectificación, Cancelación u Oposición) o levantar tu queja al IFAI ante el incumplimiento de estos.
¿Es legal que te los pidan para darte un servicio? La ley marca en el principio de licitud:
“Se refiere al compromiso que deben asumir los entes privados (personas físicas o morales) que traten tu información cuando solicitas la prestación de un bien o servicio, respetando en todo momento la confianza que depositas en ellos para el buen uso que le darán a los datos.”
Mas info:
http://inicio.ifai.org.mx/_catalogs/masterpage/Como-ejercer-tu-derecho-a-proteccion-de-datos.aspx?a=m4
Pues en el mismo aviso te estan dando la opcion de safarte, con tan solo enviar un mail a drodriguez@kionetworks.com. Yo no le veo mayor problema. Velo como parte del costo del boleto, seguramente si no hicieran eso con los datos la entrada tendria un costo mayor.
Saludos
La parte que no me convence que sea completamente legal es la de “consentimiento (Estas dando tu permiso al tratamiento)” puesto que me están negando la entrega de un servicio a menos que yo les de mi consentimiento para que hagan con mis datos personales algo que yo no quiero.
Me queda claro que si les doy mi consentimiento y ellos usan mis datos personales para los fines comerciales que me están avisando no incurren en ninguna ilegalidad, pero lo que no me queda claro es porqué intentan obligarme (o chantajearme por medio de la negación de un servicio) a aceptar un uso de mis datos personales que no estoy de acuerdo. Probablemente este tipo de chantaje no sea materia de la LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES sino de la LEY FEDERAL DE PROTECCIÓN AL CONSUMIDOR
Estoy enterado de que puedo ejercer mis derechos ARCO para negarle a ese tal drodriguez@kionetworks.com (sea quien sea) el consentimiento que alguna vez le hubiere dado, pero no entiendo por qué en un principio tendría yo que dar un consentimiento que no quiero dar para después revocarlo. Debe ser obligatorio que el organizador del evento al que quiero asistir me de la opción de rechazar su política de _no_ privacidad y la opción de negar desde un principio todo consentimiento para el uso de mis datos personales.
A todo ésto, entiéndase “No tengo por qué verme en la necesidad de revocar un consentimiento que desde un principio me rehuso a otorgar”. Tendré que ponerme a estudiar la Constitución porque estoy seguro de que mis derechos siempre deben estar protegidos contra este tipo de abusos.
Artículo 16 de la Constitución Política de los Estados Unidos Mexicanos, segundo párrafo:
Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.
Párrafo adicionado DOF 01-06-2009
Creo que lo podría definir si es legal o no es el concepto de “obligarte”. Técnicamente no te están obligando a que des tus datos (al menos no con fuerza o una pistola), quieres el servicio, das algo a cambio. No quieres dar nada a cambio no recibes el servicio. Para darte el servicio requieren tus datos personales, la ley lo que los obliga es que esos datos efectivamente se utilizaran para los fines de proporcionarte el servicio y no para otra cosa. Una consultora nos ponía un caso muy extremo, supón que tienes que hacerte un análisis de sangre, pero no quieres que te la extraigan (la sangre y el DNA por ejemplo son datos personales y sensibles) entonces no es posible proveer el servicio sin la materia prima.
Draugmor: el ADN no se considera un dato personal ni sensible; probablemente una cadena analizada de tu ADN si, pero un tubito de sángre como tal no; mucho menos sensible porque no ayuda a tu localización; nuevamente se consideraría un dato personal y sensible tu secuencia de ADN, pero no como tal el tubo de sangre.
Ahora, ni siquiera en térmidos de la LFPDPPP KIO se vió inteligente, si bien es cierto que para “cumplir” hay que colocar en el aviso las razones por las cuales te estan solicitando tus datos, es un error y muy común el no decir, primero: ¿quienes son esos terceros?, la ley establece que cuando los datos serán compartidos con un tercero se debe de mencionar quién es este tercero, y este tercero nos debe de especificar cual es el trátamiento y los medios por los cuales protegerá nuestra información; y segundo ¿cuál es la justificación para que requieran mis datos?, si bien mencionan que espara fines de marketing, eso no es una justificación real.
Si voy a un banco y me niego a darles mis datos, me diran “ok, entonces no le doy el servicio” y la justificación es que por ley ellos deben de corroborar la información de cada uno de sus clientes; pero ¿cuál es la justificación de KIO para pedir información en un congreso?, marketing no es una justificación del servicio, es una justificación de venta y en efecto; se estan metiendo un problema legal muy importante. Ojalá alguién haya sido inteligente y haya ido al IFAI a denunciar.
scorpio: aunque esten dando la “oportunidad de safarte” esa “oportunidad” implica que ellos debieron de implementar controles de protección de datos que tienen un costo y una implicación. ¿Para que recabar información de la que se van a “safar” los asistentes?.
Una opción de “safarte” no se encuentra contemplada en la ley, en la ley se contempla una ventanilla, y la ventanilla tiene un periodo de respuesta. Esto no se menciona explicitamente como ventanilla, pero aunque así lo fuera tus datos durante el periodo de respuesta ya podrían ser compartidos, de forma legal, entre terceros que desconoces y de los cuales, debido a que el aviso de privacidad está mal redactado, no sabes cuales son los controles implementados que protegeran tu información.
“Safarse” no es una opción cuando de datos se tratan.