Comentario emitido por: Nombre de usuario no publico

En relación con la publicación del presente anteproyecto, para Citibanamex Afore, S.A. de C.V. integrante del Grupo Financiero Citibanamex es de vital importancia proceder a la aclaración de distintos puntos que dan la razón de ser a la necesidad de este encriptamiento, uso de contraseñas y medios de autenticación de los trabajadores, en la Constancia sobre implicaciones del traspaso, lo cual lejano a ser en menoscabo de los derechos de los afiliados, es en el cumplimiento de la legislación aplicable a los documentos electrónicos (mensajes de datos) para su existencia y validez, así como en el debido cumplimiento de las obligaciones de protección de los datos personales de nuestros clientes y que se encuentran contenidos en la referida constancia y que por lo tanto sometemos a su análisis con fundamento en el artículo 25 Constitucional y el Título Tercero de la Ley General de Mejora Regulatoria, para ello, a continuación, se procede a explicar cada una de las razones por las cuales sería improcedente: I. Validez de los documentos digitales en la legislación mexicana. Como parte de la evolución que ha tenido el marco regulatorio mexicano frente al uso de las tecnologías digitales a fin de permitir que todos los documentos que anteriormente para su validez se exigía una firma autógrafa o encontrarse impresos en papel, ahora pudieran ser generados o preservarse en formato digital, a partir del año 2000 se llevaron a cabo diversas reformas entre ellas al Código de Comercio en donde se tomaron como base las disposiciones de la Ley Modelo de la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional. En virtud de lo anterior, de conformidad con lo dispuesto el en Código de Comercio vigente es posible que se le dé la misma validez al documento digital que aquel que tuviera una firma autógrafa del emisor y se permite el uso de los medios electrónicos, ópticos o cualquier otra tecnología, para la formación de los actos jurídicos. Estas reformas permitieron, que los prestadores de servicios financieros pudieran enviar documentos digitales a través de medios electrónicos, los cuales tienen la misma validez que un documento físico, incluso fuerza probatoria en juicio. Para ello es necesario que los mensajes de datos y envíos se realicen de acuerdo a los requerimientos establecidos en el propio código, entre los cuales justamente se encuentran el uso de contraseñas y la implementación de mecanismos de autenticación entre el emisor y el destinario de los documentos: Código de Comercio: Artículo 89 bis. - No se negarán efectos jurídicos, validez o fuerza obligatoria a cualquier tipo de información por la sola razón de que esté contenida en un Mensaje de Datos. Por tanto, dichos mensajes podrán ser utilizados como medio probatorio en cualquier diligencia ante autoridad legalmente reconocida, y surtirán los mismos efectos jurídicos que la documentación impresa, siempre y cuando los mensajes de datos se ajusten a las disposiciones de este Código y a los lineamientos normativos correspondientes. “ Artículo 90.- Se presumirá que un Mensaje de Datos proviene del Emisor si ha sido enviado: … II. Usando medios de identificación, tales como claves o contraseñas del Emisor o por alguna persona facultada para actuar en nombre del Emisor respecto a ese Mensaje de Datos, o” “Artículo 90 bis.- Se presume que un Mensaje de Datos ha sido enviado por el Emisor y, por lo tanto, el Destinatario o la Parte que Confía, en su caso, podrá actuar en consecuencia, cuando: I. Haya aplicado en forma adecuada el procedimiento acordado previamente con el Emisor, con el fin de establecer que el Mensaje de Datos provenía efectivamente de éste, o” Por lo anteriormente establecido, para la existencia legal y validez de las Constancias a ser enviadas por correo electrónico, es necesario que se cuenten con mecanismos de autenticación entre el emisor y el destinatario, como lo son el uso de contraseñas. Al ser esta materia, una facultad reservada al Congreso de la Unión, Siendo que para el cambio a estos lineamientos sería necesario que el Congreso de la Unión realizara la reforma conducente el Código de Comercio. II. Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Es importante señalar, que, a la luz de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares vigente, la Constancia sobre implicaciones del traspaso contiene Datos personales que entran dentro del ámbito de aplicabilidad de la referida ley. En ese sentido, el artículo 19 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares establece la obligación de los responsables (que es el caso de nuestra representada) para no adoptar medidas de seguridad menores a aquellas que mantengan para el manejo de su propia información. De esta forma, la referida ley establece que, para el cumplimiento de la obligación de observancia del principio de responsabilidad anteriormente indicado, se podrá establecer estándares, mejores prácticas internacionales, políticas corporativas, esquemas de autorregulación o cualquier otro mecanismo que determine adecuado para tales fines. En este sentido, nuestra representada forma parte de una entidad global altamente reconocida por prestación de servicios financieros a nivel mundial, en donde recoge los más altos estándares internacionales de calidad en la transferencia de información, en especial tratándose de aquella información relacionada a datos personales de los clientes. De tal suerte, que al día de hoy las políticas internas de nuestra institución obligan a que para la transmisión de los documentos que tengan datos personales de clientes, deben de ser encriptados, a fin de que se asegure la protección de los mismos y que sea el trabajador mismo y no un tercero el que tenga acceso de conformidad con las políticas de seguridad de la información y protección de datos. En este orden de ideas, en apego al cumplimiento de lo dispuesto por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, las constancias sobre implicaciones del traspaso, deben de ser encriptadas y utilizarse una contraseña por parte del destinatario para su apertura, mi representada en cumplimiento de esta disposición, lleva a cabo el encriptamiento de toda la documentación que envía. Este requerimiento es en la protección misma de los trabajadores, máxime cuando en nuestro gremio se han identificado prácticas poco ortodoxas por parte de ciertos agentes promotores en donde, valiéndose de la ignorancia de estos elementos por parte del público usuario, incluso son ellos mismos, los llevan a cabo el trámite de las direcciones de correo electrónico para recibir la información de los clientes. En virtud de lo anteriormente expuesto, al ser esta materia, una facultad reservada al Congreso de la Unión, para el cambio a estos lineamientos sería necesario que el Congreso de la Unión realizara la reforma conducente a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. III. Otros intermediarios financieros. Finalmente, llamamos a la atención de esta H. Autoridad que los argumentos emitidos anteriormente, son consistentes con las disposiciones y marco legal aplicable emitido por los reguladores de los otros intermediarios financieros que forman parte del sistema mexicano. Por ejemplo, la Comisión Nacional Bancaria y de Valores, ha establecido el mismo lineamiento de autenticación de clientes y contraseñas a cargo de las instituciones de crédito, en el envío de los estados de cuenta. De hecho, el propio Banco de México, ante el creciente aumento en los fraudes cibernéticos y vulnerabilidades de los sistemas de comunicación (entre ellos el correo electrónico) ha venido implementando medidas y reformas que coadyuvan al reforzamiento de controles para preservar el cuidado de la información de los clientes. “Del servicio de Banca Electrónica Sección Segunda - De la identificación del Usuario y la Autenticación en el uso del servicio de Banca Electrónica Artículo 313.- Las Instituciones deberán solicitar a sus Usuarios, para la celebración de operaciones o prestación de servicios a través de Medios Electrónicos, un segundo Factor de Autenticación de las Categorías 3 ó 4 a que se refiere el Artículo 310 de estas disposiciones, adicional al utilizado, en su caso, para iniciar la Sesión y en cada ocasión en que se pretenda realizar cada una de las operaciones y servicios siguientes: VI. Consultas de estados de cuenta de uno o más periodos u otras consultas que permitan conocer información relacionada con el Usuario y sus cuentas, tales como el domicilio, límites de crédito, beneficiarios o cotitulares, u otra que pueda ser utilizada como información de Autenticación. No será necesario el referido segundo factor, para el caso de la consulta de estados de cuenta, siempre que el Usuario haya iniciado su sesión con un Factor de Autenticación de las Categorías 3 o 4. (46) Las Instituciones podrán permitir a los Usuarios la impresión de estados de cuenta utilizando una tarjeta bancaria y un Factor de Autenticación Categoría 2 a que se refiere el Artículo 310 de las presentes disposiciones, en equipos electrónicos o de telecomunicaciones ubicados únicamente dentro de las Oficinas Bancarias que la Comisión determine, mediante disposiciones de carácter general, que cuentan con las medidas máximas de seguridad conforme a lo establecido por el artículo 96 de la Ley. (46) Igualmente, las Instituciones podrán permitir a sus Usuarios consultar los estados de cuenta, requiriendo únicamente un Factor de Autenticación Categoría 2 a que se refiere el Artículo 310 de estas disposiciones, siempre y cuando dichas consultas versen sobre operaciones de crédito y se realice la notificación a que se hace referencia en el Artículo 316 Bis 1 de las presentes disposiciones. En estos casos, las Instituciones deberán solicitar un Factor de Autenticación Categoría 2 a que se refiere el Artículo 310 de estas disposiciones, para dar cumplimiento a lo previsto por la fracción V del presente artículo.” Por lo anteriormente expuesto a esa H. Comisión Nacional, atentamente solicitamos sean considerados los presentes comentarios en torno a la razón de ser del encriptamiento, uso de contraseñas y medios de autenticación de los trabajadores en las Constancias sobre implicaciones del traspaso, con fundamento en el Título Tercero de la Ley General de Mejora Regulatoria a fin de reconsiderar la reforma indicada, la cual de ser aprobada en los términos propuestos, entre otras cuestiones: (i) conllevaría al incumplimiento de lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares al no protegerse de manera adecuada los datos de los clientes, con lo cual además se incentivaría malas prácticas en el mercado, y (ii) al carecer de las herramientas de autenticación establecidas por el Código de Comercio para la validez de los documentos digitales/mensajes de datos, el cual es el caso de las Constancias sobre implicaciones del traspaso enviadas a través de correo electrónico, implicaría que las mismas adolecieran de los requisitos legales para su validez legal, incluyendo su fuerza probatoria en juicio. En ambos casos vulnerando los derechos de los afiliados del país y poniendo en riesgo su información personal tanto para el trámite en referencia, como para otras malas prácticas que se pueden incentivar sin el cuidado apropiado de su información, así como la falta de validez de los documentos que necesitan, orillándolos a tener que regresar a esquemas que implican recibirlos en una sucursal o bien mediante una aplicación móvil (que si contiene datos de autenticación de emisor y destinatario) al cual no toda la población del país tiene acceso. Ciudad de México, a 12 de marzo de 2019.

Fecha: 12/03/2019 18:07:52

Comentario emitido vía correo electrónico

B000191825

Fecha: 12/03/2019 17:45:00

Comentario emitido por: Nombre de usuario no publico

A continuación, sírvanse encontrar nuestros comentarios en relación a las “Modificaciones y Adiciones a las Disposiciones de carácter general en Materia de Operaciones de los Sistemas de Ahorro para el Retiro”. Lo anterior con base en las obligaciones que, a cargo de las Administradoras de Fondos para el Retiro (en adelante “AFORES”), establece la legislación aplicable en materia de protección de datos personales, específicamente, por lo que refiere a la prohibición de condicionar o limitar a los trabajadores, la entrega, descarga o acceso a la Constancia sobre Implicaciones de Traspaso. I. De las Modificaciones y Adiciones a las Disposiciones de carácter general en Materia de Operaciones de los Sistemas de Ahorro para el Retiro (en adelante las “Disposiciones”). Con fecha 28 de febrero de 2019, la CONSAR publicó a través de su página de internet las Disposiciones en comento, mismas que en su artículo 180 especifican, entre otros, que “las Administradoras Transferentes tendrán estrictamente prohibido incorporar contraseñas, claves, factores de autenticación o mecanismos de cualquier naturaleza adicionales a los contemplados en este artículo que condiciones o limiten al trabajador la entrega, descarga o acceso a la constancia sobre implicaciones del Traspaso.”. La anterior prohibición podría resultar en responsabilidad administrativa de las AFORES por incumplimiento a la legislación en materia de protección de datos personales. II. Naturaleza de los datos tratados por las AFORES. El artículo 16° Constitucional reconoce los derechos humanos a la privacidad y a la autodeterminación informativa de las personas. En desarrollo y protección de dichos derechos el legislador expidió la Ley Federal de Protección de Datos Personales en Posesión de los Particulares “LFPDPPP”), misma que resulta aplicable a todas aquellas personas morales que, en razón de sus actividades, manejen datos personales de terceros. De conformidad con el artículo 3° de la LFPDPP, constituyen datos personales cualquier información concerniente a una persona física identificada o identificable. Adicionalmente, se califican como datos personales sensibles, aquellos que refieren a la esfera más íntima de su titular, tales como los que una AFORE maneja al administrar la cuenta única del trabajador al referirse a su esfera patrimonial. El tratamiento de datos personales para efectos de la multicitada Ley, se entiende cualquier uso o divulgación por cualquier medio. Lo que incluye cualquier acción de acceso, manejo, aprovechamiento, trasferencia o disposición de datos personales. Así, la expedición de una constancia sobre implicaciones de Traspaso a los Trabajadores la que refiere el artículo 180 de las Disposiciones califica como tratamiento de datos personales. III. De las Obligaciones en Materia de Protección de Datos Personales a cargo de las AFORES. Las AFORES revisten el carácter de “Responsables” del tratamiento de los datos personales que con motivo de sus actividades obtienen de los trabajadores. Como tal, deben conducirse de conformidad con los principios de consentimiento y responsabilidad aplicables a la materia. De lo contrario resultan responsables administrativamente. El principio de consentimiento, constriñe a la Responsable a obtener el consentimiento expreso y por escrito del titular de los datos sensibles previo al tratamiento. Tratándose de medios electrónicos, el consentimiento se obtendrá a través de la firma electrónica o cualquier mecanismo de autenticación que al efecto se establezca –Art. 9 LFPDPPP-. Adicionalmente el artículo 89 del Reglamento LPDPPP dispone que el titular deberá acreditar de manera fehaciente su identidad a través de medios electrónicos y otros mecanismos de autenticación, para acceder a los mismo. Por otro lado, el principio de responsabilidad establece la obligación de la Responsable de adoptar y mantener las medidas de seguridad –administrativas, técnicas y físicas- que permitan proteger los datos personales contra su uso o tratamiento no autorizado. Además, la Responsable no podrá adoptar medidas de seguridad menores a aquellas que mantengan para el manejo de su propia información –Art. 19 LFPDPPP-. IV. Sanciones en Caso de Incumplimiento a las Obligaciones legales en Materia de Protección de Datos Personales. El incumplimiento de las disposiciones en materia de protección de datos personales, específicamente por el tratamiento de datos personales sin el consentimiento expreso y fehaciente del titular, resulta en la imposición de sanciones de índole administrativa. Aunado a lo anterior, tratándose de datos sensibles las sanciones se duplicarán –Art. 63, fracción XII LFPDPPP-. V. Finalmente corresponde exclusivamente al Instituto Nacional de Transparencia y Acceso a la información diseñar e instrumentar las políticas para la modernización y operación eficiente del comercio electrónico, así como para promover el desarrollo de la economía digital y las tecnologías de la información en materia de protección de datos personales –Art. 43, fracción VIII LFPDPPP-.

Fecha: 06/03/2019 19:32:08