IFAI vs. Google: lecciones de la protección de datos

La protección de datos personales es tan amplia que permea en el ámbito corporativo y laboral, de forma tal que desatenderla podría resultar en costosas consecuencias para la empresa. Por Rodrigo Orenday Serratos El 28 de enero de cada año se conmemora el Día Internacional de la Privacidad/Protección de Datos, en razón de que el Convenio 108 del Consejo de Europa para la Protección de las Personas con Respecto al Tratamiento Automatizado de Datos de Carácter Personal fue aprobado en esa fecha del año 1981, por lo que cada año en ese día las autoridades de protección de datos llevan a cabo en sus países foros y actividades sobre la materia. Justo la víspera de las antedichas celebraciones, el IFAI dio a conocer su resolución para iniciar un Procedimiento de Imposición de Sanciones contra Google México, subsidiaria mexicana de Google, Inc., derivado del incumplimiento de ésta a un requerimiento del propio IFAI para hacer valer el derecho de Oposición de un ciudadano mexicano para eliminar vínculos a notas encontradas a través del buscador, que él consideró lesivos para su honor y vida privada, y riesgosas para su seguridad e integridad física. Más allá de las discusiones abogadiles sobre la posibilidad de que el IFAI pretenda seguir en este caso la línea marcada por el Tribunal Europeo en el Caso Costeja relativo al “derecho al olvido”, por el que Google Spain fue multada, se desprenden aquí cuestiones de mucha mayor relevancia para las empresas de Internet, pues el asunto podría tener un efecto sofocante sobre sus modelos de negocios, así como efectos corporativos en cuanto a cómo el obviar los aspectos de tratamiento de datos personales en el planteamiento jurídico del modelo de negocios del responsable (quien “maneja” qué datos personales de quienes) podría exponerle a sanciones del IFAI. En esta nota expongo dos ejemplos claros de ello. 1. Aspectos corporativos; objeto social En el “Caso Costeja”, el argumento de la Agencia Española de Protección de Datos Personales (AEPD), sostenido por el Tribunal Europeo, fue que si bien Google Spain no presta el servicio de motor de búsqueda en España, el hecho que la labor de ventas de publicidad y promoción que ésta lleva a cabo sea la que provee los recursos para el servicio de búsqueda que su controladora estadounidense presta fue suficiente para establecer un vínculo que permitió a la AEPD ejercer jurisdicción sobre Google Spain. En el caso mexicano, las cosas son un poco más directas: la infracción deriva de las acciones del servicio de motor de búsqueda en Internet, y aunque Google México argumentó que es prestado por su controladora en EU, el expediente del IFAI muestra que los estatutos sociales de la subsidiaria mexicana contemplan dentro de su objeto social “… la prestación de todo tipo de servicios a través de medios electrónicos, incluyendo sin limitar, servicios de motor de búsqueda, de mensajería instantánea…”. No se olvide que las expresiones de las partes en una controversia y lo manifestado en documentos públicos, como es la escritura que contenga el acta constitutiva de una sociedad mercantil, hacen prueba plena en cualquier procedimiento, y desvirtuarla es en extremo complejo. Si el caso resultase en una resolución firme, y como tal inatacable, la lección obvia sería que el abogado que redacte los estatutos sociales de la empresa debería conocer y tener bien claros los alcances de sus actividades y sus implicaciones en materia de tratamiento de datos personales, puesto que aun cuando en realidad no lo hiciera, cualquier manifestación de la empresa en el sentido que ésta da tratamiento a datos personales que realmente no “maneja”, hecha tanto en instrumentos públicos como en documentos internos, podría exponerla a una contingencia como ésta. El asunto será, sin duda, muy vigilado, puesto que podría derivar en un nuevo caso de excepción para el llamado “rasgado del velo corporativo”: casos en los que excepcionalmente la responsabilidad limitada propia de las sociedades mercantiles no basta para aislarlas de la responsabilidad derivada de los actos u omisiones de otra(s) con la(s) que tenga vínculos. 2. Aspectos laborales; servicios de personal A este respecto es necesario atender a la definición de “Responsable” (del Tratamiento de Datos Personales) en la Ley: quien decide sobre el tratamiento de datos personales. Para comprender la relevancia de ello en materia laboral debe atenderse a los criterios que la Ley Federal del Trabajo establece para determinar el carácter de “patrón”: (i) utilización de los servicios de uno o varios trabajadores con elementos propios suficientes para cumplir las obligaciones derivadas de las relaciones con ellos; (ii) el ejercicio de funciones de dirección o administración sobre esos trabajadores, pero sobre todo (iii) la prestación de un trabajo personal subordinado. Aunque la práctica del outsourcing de personal ha estado bajo escrutinio de las autoridades desde hace tiempo, es muy común que los corporativos cuenten con una empresa, dentro del mismo grupo o fuera de éste, que les provea los servicios de personal que requiere para su actividad. Los términos bajo los cuales se recaben, procesen, almacenen y utilicen los datos personales de los trabajadores serían sin duda un elemento decisorio para que el IFAI pudiera llegar a determinar a quién corresponde el carácter de patrón de dicho personal, hecho que, al constar en el expediente formado por la autoridad de protección de datos, podría ser considerado como prueba plena por la autoridad laboral en otro(s) procedimiento(s). Naturalmente, la prestataria de los servicios del personal aportado por otra empresa tendría que tener datos personales de dicho personal, pues ello es necesario para identificarlos y permitirles el acceso a las instalaciones y a las plazas en que debieran realizar su labor; sin embargo, ello debería ser estructurado bajo la figura del “Encargado” y limitado de manera acorde con ello, puesto que de hacerse en términos tales que permitieran categorizar a una empresa como “Responsable” podría resultar en que también se la tomara como Patrón de las personas cuyos datos personales “maneje”. Conclusión: La protección de datos personales es tan amplia que permea en el ámbito corporativo y laboral, de forma tal que desatenderla podría resultar en costosas consecuencias para la empresa. Contacto: Twitter: @OrendayAbogados Blog: Orenday Serratos Abogados Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.

Busqueda

Enlaces Rápidos

MÁS COBERTURA

Siguientes artículos

También te puede interesar

Japón pide a Google que cambie sus prácticas anticompetencia en publicidad online

Demandan a Grindr en Reino Unido por presuntas violaciones de privacidad

Google despide a 28 trabajadores tras protesta contra el ‘genocidio’ en Gaza

Google alojó más de 100 videos de YouTube que promocionan pornografía deepfake con IA

Google invertirá 1,000 mdd para mejorar conectividad entre EU y Japón

Demandan a Grindr en Reino Unido por presuntas violaciones de privacidad

Google despide a 28 trabajadores tras protesta contra el ‘genocidio’ en Gaza

Google alojó más de 100 videos de YouTube que promocionan pornografía deepfake con IA

Google invertirá 1,000 mdd para mejorar conectividad entre EU y Japón

Google presenta su primera CPU basada en Arm para competir contra Amazon y Microsoft

Google estudia cobrar por un servicio de búsqueda gestionado por IA

Gmail, el servicio de Google que revolucionó los correos electrónicos, cumple 20 años

Google destruirá datos de navegación para resolver demanda sobre privacidad del consumidor

Nueva multa a Google, ahora por parte de Francia: deberá pagar 250 mde

Google estudia cobrar por un servicio de búsqueda gestionado por IA

Gmail, el servicio de Google que revolucionó los correos electrónicos, cumple 20 años

Google destruirá datos de navegación para resolver demanda sobre privacidad del consumidor

Nueva multa a Google, ahora por parte de Francia: deberá pagar 250 mde