Renegotiated NAFTA might help bridge Mexico-U.S. privacy issues

Privacy attorneys in Mexico insist that privacy protections for personal data should be a top priority in any digital trade discussions, because of Mexico’s stringent individual privacy laws.

“If they are going to renegotiate NAFTA, they should include a section on the protection of personal data,” Joel Gomez, a Mexico City-based internet privacy lawyer, told Bloomberg BNA. Doing so would help ameliorate perceptions “that the U.S. is less strict when it comes to protecting data privacy rights.”

Including mutually agreed upon data privacy rules in NAFTA would help push U.S. companies to follow the principles of the Mexican law, Gomez said. Mexico is dealing with the U.S.—its largest trading partner—so every privacy difference that can be resolved in a trade agreement “could be best for all the parties.”

Possible Models

As far as serving as a model, the Trans-Pacific Partnership (TPP) trade agreement has a chapter on digital trade, but stopped short of provisions that would improve individual privacy protections, Gomez said.

However, the EU-U.S. Privacy Shield data transfer program might serve as a stronger model for a NAFTA privacy provision, Gomez said.

The Privacy Shield allows U.S. companies that self-declare their compliance with EU-approved privacy and security principles to legally transfer personal data from the EU to the U.S. Some 2,000 U.S. companies are certified under the scheme, including Google and Microsoft Corp. Tens of thousands of EU companies also rely on the program to legally transfer data to certified U.S. companies.

“Mexico follows the view of Europe that there is a need for a high level of protection of personal data,” Gomez said. “The Privacy Shield has a good list of requirements for minimum protections.”

Google Mexico

A dispute between Mexico’s privacy regulator and Alphabet Inc.’s Google Mexico demonstrates how a NAFTA privacy provision would be beneficial, Gomez said.

Google Mexico has asserted that it isn’t bound by Mexican law in regard to the search engine functions carried out by its U.S. parent.

The situation with Google Mexico “is an example of the kinds of problems Mexico is running into trying to enforce its own laws on foreign companies,” Gomez said. Data privacy rules in NAFTA could be a good place for Mexico and the U.S. to address such issues, he said.

Mexico’s privacy regulator recognizes the right to be forgotten, which is the right for individuals to request that personal information be removed from online search results if individual privacy outweighs the public right to know about certain information. The INAI has sought to enforce that right against Google Mexico. But others say that the right to be removed from a data search is a flawed internal interpretation of Mexico’s privacy law, inspired by a similar interpretation in the European Union.

[Fragmento de la entrevista que Bloomberg BNA realizó a Joel Gómez Treviño, publicada el 4 de mayo de 2017. Ver nota completa en este enlace.]

Opiniones sobre privacidad de datos en Bloomberg BNA

Joel Gómez es frecuentemente entrevistado por el Centro de Recursos de Derecho de Privacidad y Seguridad de Datos de Bloomberg BNA, medio que busca su opinión en temas relacionados con regulación y aplicación de leyes de privacidad y protección de datos personales en México y América Latina. A continuación compartimos una compilación de diversos artículos que abordan estos temas.

Por qué la página oficial de Chavela Vargas ahora anuncia clínicas dentales en japonés

La práctica de secuestrar o robar un dominio de una marca o personaje famoso se conoce como ciberocupación, cybersquatting en inglés, y existe desde los inicios mismos de internet. Se trata de aprovecharse de la popularidad o buen posicionamiento de un nombre de dominio ya existente en beneficio propio. “Los piratas de dominios saben que pueden hacer dinero con ello”, dice a Verne Joel Alejandro Gómez Treviño, abogado especialista en Derecho Informático y Propiedad Intelectual.

La forma más sencilla de hacer dinero en este negocio es a través del modelo de publicidad pay per click, explica el abogado. Si tuviéramos casas.com, por ejemplo, podríamos llenar la web con enlaces a páginas de inmobiliarias, que a su vez tendrían que pagar centavos de dólar por cada usuario que llegue a su portal por esa vía. En opinión de Gómez Treviño, el caso de la página de Chavela Vargas puede ser un “esquema sofisticado” de pay per click, ya que incluye enlaces a por lo menos cinco clínicas dentales en Japón. El portal que perteneció a la cantante aún está enlazado en su cuenta verificada de Twitter, donde tiene más de 134.000 seguidores.

La otra forma de ganar dinero con esta práctica es esperar a que algún interesado compre el nombre del dominio en cuestión. Implica poca inversión, ya que un punto com puede costar desde cinco dólares, y en ocasiones puede venderse en miles de dólares.

Muchos famosos han peleado batallas legales por ciberocupación ante el Centro de Arbitraje y Mediación de la Organización Mundial de la Propiedad Intelectual. Madonna ganó el nombre de la web madonna.com a un hombre que compró el dominio en 1998 y lo había convertido en una página de pornografía. Donald Trump también salió victorioso tras demandar a Scott Stephens, quien se adueñó del dominio trumpestates.com y ofrecía entregárselo al ahora presidente de Estados Unidos a cambio de convertirse en un concursante del programa de televisión El Aprendiz.

[Fragmento de la entrevista que El País realizó a Joel Gómez Treviño, publicada el 11 de abril de 2017. Ver nota completa en este enlace.]

Amazon y MercadoLibre operan con prácticas abusivas en México

Los expertos reconocen que estas empresas transnacionales, banderas de la economía digital, aprovechan los vacíos legales y la falta de supervisión de las autoridades, mientras cabildean para minimizar las regulaciones que pudieran limitar su actuación.

“La tendencia es bastante clara: prácticamente todos los términos y condiciones de los grandes proveedores son muy similares porque se protegen ellos muy bien, no dejan un espacio a la luz, y donde no son responsables por nada. Es algo que viene sucediendo desde que tenemos la existencia del gran poderío tanto de los jugadores en internet de e-commerce, de redes sociales y demás”, dijo Joel Gómez Treviño, presidente de la Academia Mexicana de Derecho Informático.

Un problema de fondo

Si bien existen disposiciones para el comercio electrónico en el Código de Comercio y la Ley Federal de Protección al Consumidor, las autoridades no están facultadas a registrar y revisar la legalidad de los términos y condiciones de estas firmas.

“La legislación respecto de comercio electrónico no es amplia y al día de hoy no existe obligación expresa de registro de los modelos de contrato de adhesión que utilicen los proveedores que se dedican a comercializar este tipo de servicios ante esta Procuraduría”, consignó Gerardo Fuentes Medina, director de Contratos de Adhesión en la Profeco, en el análisis de los términos y condiciones de MercadoLibre, realizado el año pasado y del cual El Economista tiene copia.

La permisividad evidencia además que el marco legal quedó desfasado, dijo Joel Gómez Treviño, también coordinador del Comité de Derecho de las TICS y Datos Personales de la Asociación Nacional de Abogados de Empresa, entrevistado para comentar sobre el tema. Este desfase deriva en acciones abusivas y poco claras por parte de las firmas de comercio electrónico, y la minimización de la defensa de los usuarios (tanto vendedores como compradores). Por ejemplo, Amazon establece que cualquier proceso de arbitraje se dirimirá en Seattle, en el estado de Washington, fuera de la jurisdicción mexicana.

Gómez Treviño resaltó además que los castigos planteados en la Ley no son suficientes para que las empresas eviten las prácticas abusivas. Para muchas compañías, aseguró, es más fácil pagar la multa que cumplir con la ley. “Estas compañías con tanto poderío económico también tienen un poderío de lobbying que no tiene el consumidor. Tienen despachos de abogados especialistas que están haciendo lobbying todo el tiempo para que las decisiones de las autoridades les sean favorables”, dijo.

Gómez Treviño ve necesaria una modificación al artículo 76 Bis de la Ley Federal de Protección al Consumidor e incrementar las multas, a fin de generar un mecanismo “que invite a cumplir con lo que la Ley señala”. También sugiere la creación de una norma que haga obligatorios los registros de contratos de adhesión para que la Profeco determine su legalidad.

“Hay una defensa muy común desde la trinchera de los marketplaces. El argumento es trillado y es usado siempre: ‘No pongamos barreras al comercio electrónico, no sobrerregulemos porque se va a desincentivar el comercio electrónico’. Siempre existe esta argumentación por el lado de las empresas, algo con lo que yo pudiera estar parcialmente de acuerdo siempre y cuando actuaran conforme a derecho”, dijo.

[Fragmento de la entrevista que El Economista realizó a Joel Gómez Treviño, publicada el 28 de marzo de 2017. Ver nota completa en este enlace.]

México “enfrenta” ciberdelitos con ley de hace casi 20 años

El anonimato de muchos usuarios en las redes sociales y una legislación anticuada son parte del cóctel que amenaza la seguridad y privacidad de periodistas y figuras públicas, quienes son víctimas de ataques virtuales y reales a medida en que se popularizan más las redes sociales.

La principal razón es que el Código Penal Federal, que tipifica los delitos informáticos en sus artículos 211 bis 1 al 7, no se ha actualizado desde 1999, lo que genera la probable impunidad en este tipo de casos, afirmó Joel Gómez Treviño, presidente de la Academia Mexicana de Derecho Informático.

“Se están creando nuevas formas de ciberataques y las autoridades desafortunadamente están maniatadas por varias razones: la falta de una legislación adecuada. La legislación penal federal se forma en 1999, es decir, ya tenemos casi 20 años con el Código Penal Federal, y es una figura que está muy muy mal redactada”, dijo Gómez Treviño en entrevista con el HuffPost México.

El especialista afirmó que “hace falta una urgente modificación a la ley mexicana en materia de delitos cibernéticos porque lo que tenemos hoy no es suficiente”.

En específico, Gómez Treviño urgió la firma de un convenio Budapest, —un tratado europeo de cibercriminalidad— que da flexibilidad a las autoridades para perseguir probables delitos cometidos bajo el laxo amparo de los avances en las tecnologías de información.

La jurisdicción del país llamado internet

Las deficiencias para atajar los ciberdelitos no se limitan a las mal actualizadas leyes mexicanas. De acuerdo con el especialista, es imposible investigar vía web ya que hay que tomar en cuenta que la mayoría de las plataformas que soportan las redes sociales están ubicadas en el extranjero, primordialmente en Estados Unidos.

Además, las autoridades mexicanas no cuentan con la capacitación suficiente en estos delitos, a pesar de que existen cuerpos policiales supuestamente especializados, como las policías cibernéticas federal y sus versiones estatales. En su caso, sus facultades son muy limitadas.

“Si bien tenemos policía cibernética federal y algunas estatales, en su mayor parte se dedican a hacer patrullajes en internet para detectar pedófilos”, consideró el abogado especialista en derecho informático, protección de datos personales y propiedad intelectual. “Además, son autoridades que no tienen dientes, o sea que solo tienen facultades de investigación y no pueden actuar en lo absoluto. Hace falta una gran labor en México para evitar los ciberdelitos”.

El caso De Mauleón

Recordando el reciente caso del columnista del periódico El Universal, Héctor De Mauleón, quien denunció el pasado 1 de marzo amenazas en su contra por parte de un tuitero, Gómez Treviño precisó que internet es el medio más no el objeto propiamente del delito, por lo que la policía cibernética procedió con la detención del agresor José Castrejón Aguilar.

Recalcó que el Código Penal estipula una penalidad de tres días a un año de prisión o de seis a doce meses de multa a quien “de cualquier modo” amenace a otro con causarle un daño en su persona, sus bienes, su honor, sus derechos o la persona o derechos de alguien con quien tenga algún vínculo la víctima; y que es elección del juez tomar medidas cautelares para defender los intereses de las personas que puedan estar en riesgo.

Por otra parte, Gómez Treviño lamentó que aunque las amenazas en internet han aumentado a pasos agigantados, el tema solo es reconocido cuando los involucrados son personajes de la vida pública y que poco se escuchan las amenazas que cotidianamente reciben otro tipo de personas.

“Esas personas reciben amenazas de manera cotidiana, ahora que pasó el Día Internacional de la Mujer (8 de marzo) se habló mucho de la violencia digital a las mujeres, en fin podríamos citar violencia en contra de los niños, el abuso infantil, el ciberbullying, entre otros, lo triste es que solo toman relevancia aquellas que están relacionadas a la prensa”, sentenció.

[Fragmento de entrevista que The Huffington Post realizó a Joel Gómez Treviño, publicada el 24 de marzo de 2017. Ver nota completa en este enlace.]

Una lucha tecnológica contra Trump estará en la privacidad de las nubes

Desde el 2013, las grandes transnacionales tecnológicas como Apple, Google o Microsoft han emprendido luchas legales y prácticas de transparencia para defender su reputación que las involucraba en los programas de vigilancia masiva de Estados Unidos, revelados por Edward Snowden.

Pero la llegada de Donald Trump a la Casa Blanca avivó las preocupaciones sobre la privacidad de los usuarios y el futuro de los negocios digitales que gestionan datos de usuarios de todo el mundo, aunado a que el nuevo presidente republicano heredó de su antecesor, Barack Obama, la máquina de espionaje más grande del mundo: la Agencia de Seguridad Nacional (NSA).

“Se pone en un riesgo alto el paradigma del cómputo en la nube porque hay que tener en mente los principales jugadores del cómputo en la nube son estadounidenses. Tenemos la nube de Amazon, la de Google, la de Amazon o la de Apple que son los grandes prestadores de nube con matriz en Estados Unidos, por lo que están sujetos a la jurisdicción estadounidense. Y se pone en riesgo porque están sujetos a hacer lo que Estados Unidos quiera desde el punto de vista administrativo o judicial”, explica Joel Gómez Treviño, presidente de la Academia Mexicana de Derecho Informático.

El Artículo 4º del Reglamento a la Ley Federal de Datos Personales en Posesión de Particulares (LFPDPPP) obliga a las empresas internacionales con representación en México o que realicen tratamiento de datos utilizando medios localizados en el territorio nacional a sujetarse a la legislación mexicana.

Pero existen antecedentes donde las autoridades del país se han visto con muy pocos dientes para defender la legislación y jurisdicción de la Ley mexicana sobre las empresas transnacionales. El caso de Google sobre el derecho al olvido en el país es un ejemplo.

“Los encargados que tengan acceso a tus datos personales que se encuentren fuera del territorio nacional deberán estar sujetos a las disposiciones de la Ley mexicana. Suena muy bonito pero una cosa es lo que diga y otra es que tengas las garras para hacer cumplir a esa empresa americana o extranjera. Ya lo vimos con el caso de Google donde se excusan que son empresas diferentes, que el servicio de búsqueda se maneja en otro lado, y se empiezan a esconder en resquicios legales y es muy difícil hacerlos cumplir”, considera Joel Gómez, también coordinador del Comité de Derecho de las TICS y Datos Personales de la Asociación Nacional de Abogados de Empresa.

[Fragmento de la entrevista que El Economista realizó a Joel Gómez Treviño, publicada el 7 de marzo de 2017. Ver nota completa en este enlace.]

1 2 3