Infractora: IMM Internet Media México, S. de R.L. C.V.inicio.ifai.org.mx/pdf/resoluciones/2014/PS...

$: Infractora: IMM Internet Media México, S. de R.L. C.V.inicio.ifai.org.mx/pdf/resoluciones/2014/PS 5.pdf · Igualmente, con objeto de acreditar su situación financiera presentó$
Instituto Federal d e Acceso a la

lnfonnación y Protección de

Datos

Infractora: IMM Internet Media México, S. de R.L. de C.V.

Expediente: PS.0005/14

Visto para resolver en definitiva el procedimiento de imposición de sanciones, cuyo expediente se cita al rubro , se procede a dictar la presente Resolución con base en los siguientes:

ANTECEDENTES

l. El 25 de noviembre de 2013, en el periódico Reforma se publicó un Edicto a nombre de la empresa IMM Internet Media México, S. de R. L. de C.V., en los siguientes términos:

"[ ... ]

EDICTO Que en los autos relativos al Asunto Determinación de Medidas Compensatorias, promovido por /MM INTERNET MEDIA M~XICO S.R.L. DE C. V., ante e/ Instituto Federal De Acceso a la Información (sic) de Protección de Datos (sic) con número de expediente 3S.SE15.027113; la Secretarfa de Protección de Datos Personales de/Instituto Federal De Acceso a la Información de Protección de Datos (sic) dictó los siguientes autos determinaron lo que a la letra dicen: (sic)

[ ... ] DETERMINA

-PRIMERO. Autorizar parcialmente la solicitud de autorización de la medida compensatoria propuesta por IMM INTERNET MEDIA MÉXICO S.R.L. DE C. V por lo que respecta exclusivamente a sus clientes con los que no se tienen una relación jurídica vigente, de conformidad con lo señalado en el considerando Quinto, numerales 1 y V. Adicionalmente respecto de los titulares antes referidos, se recomienda a los responsables dar a conocer el aviso de privacidad a dichos titulares, utilizando los datos de contacto con los que se cuenta.

[ ... ]"

11 . El 11 de marzo de 2014, el Secretario de Protección de Datos Personales de este Instituto, emitió la orden de verificación 3S.07-02-001/2014-001/2014 y el oficio de comisión IFAI/SPDP/0026/2014, a efecto de que se realizara la visita de verificación a la presunta infractora en su domicilio ubicado en Bosques de Radiatas número 42, Colonia Bosques de las Lomas, Delegación Cuajimalpa, Código Postal 05120, México, Distrito Federal.

111. El 30 de abril de 2014, una vez sustanciado el procedimiento de verificación, este Pleno dictó la Resolución ACT/PRIV/30/04/2014.03.02.01, en el expediente de verificación IFA1.3S.07.02-001/2014,. en el que ordenó iniciar el procedimiento de imposición de sanciones.

1

Instituto Fede ra l de Acceso a la

Información y Protección de

Datos


Expediente: PS.OOOS/14

IV. El 20 de mayo de 2014, con fundamento en los artículos 61 y 62 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares; 140 y 141 de su Reglamento, el Director General de Sustanciación y Sanción, adscrito a la Secretaría de Protección de Datos Personales de este Instituto, dictó Acuerdo de inicio del procedimiento de imposición de sanciones en contra de IMM Internet Media México, S. de R.L. de C.V., en el expediente PS.0005/14, dándole a conocer un informe de los hechos constitutivos de las presuntas infracciones, otorgándole un término de quince días hábiles para que rindiera pruebas e hiciera manifestaciones con relación a los hechos que le fueron imputados.

De igual forma, se le requirió remitiera la documentación que reflejara su situación financiera actual , a fin de que esta autoridad contase con los elementos que le permitieran cumplir con lo dispuesto en el artículo 65, fracción IV, de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, al momento de emitir su Resolución.

V. El 22 de mayo de 2014, fue notificado a la presunta infractora el Acuerdo anterior, con fundamento en los artículos 35, fracción 1 y 36 de la Ley Federal de Procedimiento Administrativo, de aplicación supletoria a la ley de la materia, como lo dispone su artículo 5, segundo párrafo.

VI. El 12 de junio de 2014, la presunta infractora presentó ante este Instituto un escrito dando contestación al Acuerdo de inicio del procedimiento de imposición de sanciones, manifestando lo que a su derecho convino y ofreciendo las pruebas que estimó pertinentes.

Igualmente, con objeto de acreditar su situación financiera presentó copia simple del dictamen de estados financieros correspondiente a los ejercicios fiscales de 2012 y 2013.

VIl. El 26 de junio de 2014, el Director General de Sustanciación y Sanción, con fundamento en lo dispuesto por los artículos 62, segundo párrafo, de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares; 141 y 142 de su Reglamento; 50 de la Ley Federal de Procedimiento Admin istrativo; 79, 81 , 87 y 93 , del Código Federal de Procedimientos Civiles, de aplicación supletoria a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, en términos de lo dispuesto por su artículo 5, emitió Acuerdo de admisión de pruebas y plazo para alegatos.

En el Acuerdo mencionado se tuvo por autorizada como vía para recibir todas las notificaciones que se emitieran en el procedimiento, la dirección de correo electrónico señalada por la presunta infractora.

VIII. El 26 de junio de 2014, fue notificado a la presunta infractora el Acuerdo anterior, vía correo electrónico, con fundamento en el artículo 35, fracción 11 , de la Ley Federal de Procedimiento Administrativo.

2

Insti tuto Fede ral de Ac ceso a la

lnfonnación y Protección de Da tos



IX. El 9 de julio de 2014, el Secretario de Protección de Datos Personales y el Director General de Sustanciación y Sanción, con fundamento en lo dispuesto por el artículo 62, cuarto párrafo, de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y 143, segundo párrafo, de su Reglamento y en el punto Tercero del Acuerdo por el que se delegan al Secretario de Protección de Datos Personales diversas facultades para dictar, conjuntamente con los directores generales que se indican, diversos acuerdos en los procedimientos de verificación, protección de derechos e imposición de sanciones, publicado en el Diario Oficial de la Federación el 4 de marzo de 2014, emitieron Acuerdo de ampliación del plazo para dictar Resolución, por un periodo de 50 días hábiles más.

X. El 10 de julio de 2014, se notificó a la presunta infractora el Acuerdo anterior con fundamento en lo dispuesto por el artículo 35, fracción 11, de la Ley Federal de Procedimiento Administrativo.

XI. El 31 de julio de 2014, con fundamento en los artículos 62, último párrafo, de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y 143 de su Reglamento, el Director General de Sustanciación y Sanción emitió Acuerdo decretando el cierre de la instrucción.

XII. El 31 de julio de 2014, se notificó a la presunta infractora el Acuerdo anterior con fundamento en lo dispuesto por el artículo 35, fracción 11, de la Ley Federal de Procedimiento Administrativo.

CONSIDERAN DOS

Primero. El Pleno del Instituto Federal de Acceso a la Información y Protección de Datos, es competente para conocer del presente asunto, de conformidad con lo ordenado por el artículo 6°, Apartado A, fracción VIII , de la Constitución Política de los Estados Unidos Mexicanos; artículo Séptimo transitorio del Decreto por el que se reforman. y adicionan diversas disposiciones de la Constitución Política de Jos Estados Unidos Mexicanos, en materia de transparencia, publicado en el Diario Oficial de la Federación el 7 de febrero de 2014; así como los artículos 3, fracción XI , 38, 39, fracción VI y 61 al 65, de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, publicada en el Diario Oficial de la Federación el 5 de julio de 2010; 140 al 143 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, publicado en el Diario Oficial de la Federación el 21 de diciembre de 2011 ; 2, 3, fracciones 1, 11 , 111 , IV y VIl , 4, 5, fracción 1, y 15, fracciones 1 y 111 , del Reglamento Interior del Instituto Federal de Acceso a la Información y Protección de Datos, publicado en el Diario Oficial de la Federación el 20 de febrero de 2014.

Segundo. Este Pleno resolverá sobre las presuntas infracciones atribu idas a IMM Internet Media México, S. de R.L. de C.V., consistentes en la violación a lo estipulado por los

3

Instituto Federal de Acceso a la


Datos



artículos 6, 7, 14, 15, 16, fracciones 1, 11 y 111, 17, fracción 11 y 19 de la Ley Federal de Protección de Datos Personales en Posesión de los Particu lares, al haber incurrido en las siguientes conductas:

A. Declarar dolosamente la inexistencia de datos personales, cuando existan total o parcialmente en sus bases de datos, conducta infractora prevista en el artículo 63, fracción 111, de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

B. Incumplir con los principios de licitud, responsabilidad e información , previstos en los artículos 6, 7, 14 y 15 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, al no contar con procedimientos de conservación , bloqueo y supresión de datos personales a que se refiere la Ley de la materia, ni con medidas de seguridad que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado; así como fue omisa en dar a conocer al titular la información relativa a su identidad, domicilio y finalidades del tratamiento al que serían sometidos sus datos personales, en contravención a los artículos 16, fracciones 1 y 11 , 17, fracción 11 y 19 de la Ley en cita, lo que constituye la infracción establecida en el artículo 63 , fracción IV, del mismo ordenamiento jurídico.

C. No establecer en su aviso de privacidad las opciones y medios que tienen los titulares para limitar el uso o divulgación de sus datos personales, infringiendo con su conducta lo dispuesto por el artículo 16, fracción 111, de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, lo que constituye la infracción prevista en su artículo 63, fracción V.

Respecto de las conductas antes descritas, se determinarán las sanciones que en su caso correspondan, de conformidad con el artículo 64, fracción 11 , del mismo ordenamiento jurídico.

Para tales efectos, es importante señalar lo que disponen los siguientes preceptos en el caso concreto.

El artículo 38 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, dispone que este Instituto tenga por objeto vigilar y verificar su debida observancia:

"Artículo 38.- El Instituto, para efectos de esta Ley, tendrá por objeto difundir el conocimiento del derecho a la protección de datos personales en la sociedad mexicana, promover su ejercicio y vigilar por la debida observancia de las disposiciones previstas en la presente Ley y que deriven de la misma; en particular aquellas relacionadas con el cumplimiento de obligaciones por parte de los sujetos regulados por este ordenamiento."

4

Instituto Federal de Acceso a la I nfonnación y Protección de

Datos



Para lograr dicho objeto, el Instituto cuenta, entre otras, con las atribuciones establecidas en el artículo 39, fracciones 1 y VI, de la Ley de la materia que se transcriben:

"Artículo 39.- El Instituto tiene las siguientes atribuciones:

l. Vigilar y verificar el cumplimiento de las disposiciones contenidas en esta Ley, en el ámbito de su competencia, con las excepciones previstas por la legislación;

[ ... ]

VI. Conocer y resolver los procedimientos de protección de derechos y de verificación señalados en esta Ley e imponer las sanciones según corresponda;

[ ... ]"

Ahora bien, el Instituto ejerce las atribuciones a que se refiere el artículo 39, fracciones 1 y VI, de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, a través del procedimiento de verificación regulado por los diversos 59 y 60 de la ley señalada, que a la letra establecen:

"Artículo 59.- El Instituto verificará el cumplimiento de la presente Ley y de la normatividad que de ésta derive. La verificación podrá iniciarse de oficio o a petición de parte.

[ ... ]"

"Artículo 60.- En el procedimiento de verificación el Instituto tendrá acceso a la información y documentación que considere necesarias, de acuerdo a la resolución que lo motive.

[ ... ]"

De igual manera, el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares regula la sustanciación del procedimiento de verificación y, de manera específica, los artículos 128, 129 y 137, disponen lo siguiente:

"Artículo 128. El Instituto, con el objeto de comprobar el cumplimiento de las disposiciones previstas en la Ley o en la regulación que de ella derive, podrá iniciar el procedimiento de verificación, requiriendo al responsable la documentación necesaria o realizando las visitas en el establecimiento en donde se encuentren las bases de datos respectivas."

"Artículo 129. El procedimiento de verificación se iniciará de oficio o a petición de parte, por instrucción del Pleno del Instituto.

S



Datos

[ . .. ]"



"Artículo 137. El procedimiento de verificación concluirá con la resolución que emita el Pleno del Instituto, en la cual, en su caso, se establecerán las medidas que deberá adoptar el responsable en el plazo que la misma establezca.

La resolución del Pleno podrá instruir el inicio del procedimiento de imposición de sanciones o establecer un plazo para su inicio, el cual se llevará a cabo conforme a lo dispuesto por la Ley y el presente Reglamento.

[ ... ]"

Ahora bien, obran en el expediente que se resuelve, copia certificada de diversas actuaciones relativas al procedimiento de verificación IFAI.3S.07.02-001 /2014, entre ellas, la Resolución emitida por este Pleno el 30 de abril de 2014, que ordenó iniciar el procedimiento de imposición de sanciones a la presunta infractora.

En tal virtud, con fecha 20 de mayo de 2014, el Director General de Sustanciación y Sanción, con fundamento en los artículos 61 y 62 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y 140 de su Reglamento, emitió Acuerdo de inicio del procedimiento de imposición de sanciones en el expediente PS. 0005/14, preceptos que a la letra señalan:

"Articulo 61.- Si con motivo del desahogo del procedimiento de protección de derechos o del procedimiento de verificación que realice el Instituto, éste tuviera conocimiento de un presunto incumplimiento de alguno de los principios o disposiciones de esta· Ley, iniciará el procedimiento a que se refiere este Capítulo, a efecto de determinar la sanción que corresponda."

"Artículo 62.- El procedimiento de imposición de sanciones dará comienzo con la notificación que efectúe el Instituto al presunto infractor, sobre los hechos que motivaron el inicio del procedimiento y le otorgará un término de quince días para que rinda pruebas y manifieste por escrito lo que a su derecho convenga. En caso de no rendirlas, el Instituto resolverá conforme a los elementos de convicción de que disponga.

El Instituto admitirá las pruebas que estime pertinentes y procederá a su desahogo.

Asimismo, podrá solicitar del presunto infractor las demás pruebas que estime necesarias. Concluido el desahogo de las pruebas, el Instituto notificará al presunto infractor el derecho que le asiste para que, de considerarlo necesario, presente sus alegatos dentro de los cinco días siguientes a su notificación.

El Instituto, una vez analizadas las pruebas y demás elementos de convicción que estime pertinentes, resolverá en definitiva dentro de los cincuenta días siguientes a la

6

1 nstiruto Federal de Acceso a la

Información y Protección de Datos



fecha en que inició el procedimiento sancionador. Dicha resolución deberá ser notificada a las partes.

Cuando haya causa justificada, el Pleno del Instituto podrá ampliar por una vez y hasta por un período igual este plazo.

El Reglamento desarrollará la forma, términos y plazos en que se sustanciará el procedimiento de imposición de sanciones, incluyendo presentación de pruebas y alegatos, la celebración de audiencias y el cierre de instrucción."

"Artículo 140. Para efectos del artículo 61 de la Ley, el Instituto iniciará el procedimiento de imposición de sanciones cuando de los procedimientos de protección de derechos o de verificación , se determinen presuntas infracciones a la Ley susceptibles de ser sancionadas conforme al artículo 64 de la misma. Desahogado el procedimiento respectivo, se emitirá la resolución correspondiente.

El procedimiento iniciará con la notificación que se haga al presunto infractor, en el domicilio que el Instituto tenga registrado, derivado de los procedimientos de protección de derechos o de verificación.

La notificación irá acompañada de un informe que describa los hechos constitutivos de la presunta infracción, emplazando al presunto infractor para que en un término de quince días, contados a partir de que surta efectos la notificación, manifieste lo que a su derecho convenga y rinda las pruebas que estime convenientes."

Tercero. En ese sentido, se procede al análisis y valoración de la copia certificada del expediente relativo al procedimiento de verificación IFAI.3S.07.02-001/2014, mismo que por tratarse de un documento público, se le concede pleno valor probatorio, con relación a los hechos legalmente afirmados por la autoridad encargada de su sustanciación, así como por este Pleno al emitir la Resolución correspondiente, según lo dispuesto en los artículos 79, 129, 130, 200 y 202 del Código Federal de Procedimientos Civiles, que a continuación se transcriben:

"ARTÍCULO 79.- Para conocer la verdad, puede el juzgador valerse de cualquier persona, sea parte o tercero, y de cualquier cosa o documento, ya sea que pertenezca a las partes o a un tercero, sin más limitaciones que las de que las pruebas estén reconocidas por la ley y tengan relación inmediata con los hechos controvertidos."

"ARTÍCULO 129.- Son documentos públicos aquellos cuya formación está encomendada por la ley, dentro de los límites de su competencia, a un funcionario público revestido de la fe pública, y los expedidos por funcionarios públicos, en el ejercicio de sus funciones.

7



Datos



"ARTÍCULO 130.- Los documentos públicos expedidos por autoridades de la Federación, de los Estados, del Distrito Federal y Territorios o de los Municipios, harán fe en el juicio, sin necesidad de legalización."

"ARTICULO 200.- Los hechos propios de las partes, aseverados en la demanda, en la contestación o en cualquier otro acto del juicio , harán prueba plena en contra de quien los asevere, sin necesidad de ofrecerlos como prueba".

"ARTÍCULO 202.- Los documentos públicos hacen prueba plena de los hechos legalmente afirmados por la autoridad de que aquéllos procedan; pero, si en ellos se contienen declaraciones de verdad o manifestaciones de hechos de particulares , los documentos sólo prueban plenamente que, ante la autoridad que los expidió, se hicieron tales declaraciones o manifestaciones; pero no prueban la verdad de lo declarado o manifestado.

Las declaraciones o manifestaciones de que se trata prueban plenamente contra quienes las hicieron o asistieron al acto en que fueron hechas, y se manifestaron conformes con ellas. Pierden su valor en el caso de que judicialmente se declare su simulación."

[ ... )"

Con base en el análisis y valoración que de manera conjunta se hace a las constancias que integran el expediente del procedimiento de verificación IFAI.3S.07.02-001 /2014, se advierte que el acta de verificación que con fecha 13 de marzo de 2014 fue levantada, se realizó con fundamento en los artículos 60, último párrafo, de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, así como 135 y 136 de su Reglamento, por verificadores facultados para ello, con base en el oficio de comisión expedido por el Secretario de Protección de Datos Personales de fecha 11 de marzo de 2014, para llevar a cabo la diligencia de verificación y el levantamiento de la misma, quienes están dotados de fe pública, en términos del artículo 130 del Reglamento citado.

En tal virtud, el acta a que se hace referencia , es un medio probatorio idóneo y lo asentado en la misma constituyen hechos ciertos legalmente afirmados por la autoridad que la elaboró.

Asimismo, las manifestaciones de hechos propios de la presunta infractora conten idas en el mismo documento, hacen prueba plena en su contra, de conformidad con lo establecido en los artículos 200 y 202, segundo párrafo, del Código Federal de Procedimientos Civiles.

8


lnfonnación y Protección de Datos

Infractora: IMM Internet Media México, S. de R. L. de C.V.


Además, existe presunción de legalidad de los actos llevados a cabo por los verificadores adscritos a la Dirección General de Verificación, lo cual se sustenta en lo dispuesto por el artículo 8 de la Ley Federal de Procedimiento Administrativo, que senala:

"Articulo 8. El acto administrativo será válido hasta en tanto su invalidez no haya sido declarada por autoridad administrativa o jurisdiccional, según sea el caso."

En consecuencia, se tuvieron por ciertos los hechos contenidos en el acta de visita de verificación, valorada en la Resolución ACT-PRIV/30/04/2014.03.02.01 de fecha 30 de abril de 2014 de la que se coligen las presuntas violaciones a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, por parte de la presunta infractora, las cuales fueron descritas en los Considerandos Cuarto, Quinto y Sexto de la Resolución referida, misma que al ser un documento público hace prueba plena.

Sirven de apoyo a lo anterior, la Tesis emitida por el Tribunal Colegiado del Vigésimo Circuito, así como los criterios sostenidos por la Sala Superior del Tribunal Federal de Justicia Fiscal y Administrativa, que señala lo siguiente:

Tesis: XX. 303 K Semanario Judicial de la Federación Octava Época 209484 38 de 59 TRIBUNAL COLEGIADO DEL VIGESIMO CIRCUITO Tomo XV, Enero de 1995 Pag. 227 Tesis Aislada (Común) [TA]; 8a. Época; T.C .C.; S.J.F.; Tomo XV, Enero de 1995; Pág. 227

DOCUMENTO PÚBLICO. QUE DEBE ENTENDERSE POR. Se entiende por documento público, el testimonio expedido por funcionario público, en ejercicio de sus funciones, el cual tiene valor probatorio y hace prueba plena, ya que hace fe respecto del acto contenido en él.

TRIBUNAL COLEGIADO DEL VIGESIMO CIRCUITO Amparo en revisión 428/94. Esmeralda Ramírez Pérez. 20 de octubre de 1994. Unanimidad de votos. Ponente: Francisco A Velasco Santiago. Secretario: Rafael León González.

"ACTAS DE VISITA.- TIENEN VALOR PROBA TORIO PLENO.- De conformidad con lo dispuesto por los artículos 129 y 202 del Código Federal de Procedimientos Civiles, las actas de auditoría levantadas como consecuencia de una orden de visita expedida por un funcionario público en ejercicio de sus funciones, tienen la calidad de un documento público con valor probatorio pleno; por tanto, corresponde al particular desvirtuar lo asentado en las actas, probando la inexactitud de los hechos asentados en ellas. (SS-193)"

9


1 nfonnación y Protección de

D atos



Juicio Atrayente No. 11189/4056/88.- Resuelto en sesión de 29 de septiembre de 1992, por mayoría de 6 votos y 1 con los resolutivos.- Magistrado Ponente: Jorge A. García Cáceres.- Secretario: Lic. Ada/berta G. Salgado Borrego.

ACTAS DE VISITA.- SU CARÁCTER.- Conforme a los artículos 129 y 202 del Código Federal de Procedimientos Civiles de aplicación supletoria en materia fiscal, 46, fracción 1, 54 vigente hasta el 31 de diciembre de 1989, y 234, fracción /, del Código Fiscal de la Federación, las actas de visitas domicil iarias levantadas por personal comisionado de la Secretaría de Hacienda y Crédito Público, son documentos públicos que hacen prueba plena de los hechos en ella contenidos: por tanto, cuando se pretenda desvirtuar éstos, la carga de la prueba recae en el contribuyente para que sea éste quien mediante argumentos v elementos probatorios eficaces y fundados demuestre que los hechos asentados en ellas son incorrectos, restándoles así la eficacia probatoria que como documentos públicos poseen. (SS-1 03)

Juicio de Competencia Atrayente No. 56/89.- Resuelto en sesión de 18 de septiembre de 1991, por unanimidad de 9 votos.- Magistrado Ponente: Alberto García Cáceres.- Secretario: Lic. Ada/berta G. Salgado Borrego. RTFF. Tercera Época, Año IV, No. 47, Noviembre 1991, p. 7.

Cuarto. En el presente considerando se analizará la prueba de la presunta infractora ofrecida mediante escrito de 12 de junio de 2014, presentado ante este Instituto en la misma fecha y que le fue admitida, consistente en:

• La "PRESUNCIONAL LEGAL Y HUMANA. En todo aquello que favorezca los intereses de mi representada y que se relaciona con todos y cada uno de los hechos y manifestaciones de derecho del presente ocurso. "

Con la prueba que nos ocupa no se desvirtúan las conductas infractoras que se le atribuyeron en la Resolución ACT-PRIV/30/04/2014.03.02.01, emitida por este Pleno el 30 de abril de 2014, ya que de los hechos probados no resultó alguno que le favoreciera, por lo siguiente:

Esta prueba no puede ser valorada a favor de la presunta infractora, toda vez que en la visita de verificación que se le practicó, se conoció de la existencia de datos personales que, por una parte, manifestó que recababa de sus 24 empleados, existiendo discrepancia entre dichos datos y los que informa recabar a través de su aviso de privacidad, así como los que en realidad obtiene, tal y como se hizo constar en la citada Resolución, en la que a foja 30 señaló:

10

Inst ituto Fede ral de Acceso a la


Da tos

Acta de Verificación Nombre completo RFC Dirección Comprobante de domicilio CURP IFE Currículum Documentos relacionados con IMSS



Aviso de Privacidad Contenido de Carpeta Nombre completo Nombre completo Razón social RFC RFC Dirección Dirección Comprobante de domicilio Comprobante de domicilio CURP Poder Notarial IFE Identificación oficial Currículum Correo electrónico Documentos relacionados Teléfono con eiiMSS

Acta de nacimiento Acta de matrimonio Estados de cuentas bancarias Números de cuentas bancarias y cuentas clave para transferencias electrónicas Comprobantes de operaciones bancarias Formatos migratorios para trámites de estancia en el país y, Estado civil.

De lo anterior, quedó acreditado que de manera dolosa ocultó datos personales que recaba de sus empleados, siendo notoria la discrepancia entre lo manifestado por la persona con quien se entendió la visita de verificación , respecto de los datos que requiere en su aviso de privacidad y los que obran en los expedientes de sus empleados, que en copia fueron proporcionados a los verificadores, razón por la cual este hecho probado no le favorece y sí en cambio se actualiza la infracción que se le imputa, prevista en el artículo 63, fracción 111 , de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

De igual manera , dicha probanza carece de valor probatorio alguno, en virtud de que es un hecho probado en autos del procedimiento de imposición de sanciones que se resuelve, que omitió informar a los titulares de datos personales los medios que tienen para limitar el uso o divulgación de los mismos, a través de su aviso de privacidad, al reconocer expresamente en su escrito de fecha 12 de junio de 2014, presentado el mismo día ante este Instituto al contestar el emplazamiento al presente procedimiento que: " ... es un hecho cierto, ya que el aviso de privacidad con el que contaba mi representada era omiso en cuanto al (sic) señalar las opciones y medios disponibles para los titulares para

11


lnfonnación y Protecc ió n de

Datos



limitar el uso o divulgación de sus datos personales ... ", en contravención al artículo 16, fracción 111, de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Asimismo, dicha probanza, carece de eficacia probatoria, en virtud de que quedó probado en autos que fue omisa en dar a conocer a los títulares la información relativa a la exístencía y características principales del tratamiento al que serían sometídos sus datos personales, a través de su aviso de prívacidad, toda vez que recabó mediante correo electrónico diversos datos personales de un empleado a quien en ese momento no le informó los mecanismos para conocer dicho aviso de privacídad, ya que, como lo manifestó en la visita que le fue practicada, éste lo pone a disposición de los titu lares cuando se firma el contrato de trabajo respectivo; así como que no contaba con procedimientos de conservación, bloqueo y supresión de datos personales, ni con medidas de seguridad que permitieran proteger los datos personales contra daño, pérdida, alteración, destruccíón o el uso, acceso o tratamiento no autorizado, dejando de observar los principios de licitud, responsabilidad e información, previstos en los artículos 6, 7, 14 y 15 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, contraviniendo con su conducta los artículos 16, fracciones 1 y 11, 17, fracción 11 y 19 del mismo ordenamiento jurídico.

Las anteriores conductas fueron reconocidas por IMM Internet Medía México, S. de R.L. de C.V. y asentadas en el acta de visita de verificacíón de fecha 13 de marzo de 2014, que en la parte conducente se transcribe:

"( ... ]

27. Indique la manera en que da a conocer a los empleados su Aviso de Privacidad de acuerdo al artículo 16, de la LFPDPPP. ---------------------------------Respuesta: al comenzar el proceso de reclutamiento, se entrega currículum, prosigue una entrevista y al momento de firmar contrato se hace de su conocimiento el Aviso de Privacidad.

[ ... ]

32 . Cuando los datos personales de sus empleados han dejado de ser necesarios para el cumplimiento de las finalidades , de conformidad con el artículo 11 de la LFPDPPP ¿Son cancelados? ------------------------------------------Respuesta: No existe un procedimiento de cancelación de datos personales, no obstante conservan los datos personales, no cuentan con plazos de conservación.

33. ¿Cuando se cancelan los datos personales avisa dicha circunstancia a los empleados, según lo dispuesto en el artículo 25, párrafo tercero de la L F P D P P P? -------------------------------------------------------------------------------------------Respuesta: No existe un procedimiento de cancelación. --------------------------

12



Infractora: IMM Internet Media México, S. de R.L. de c.v.


a) Describa la manera en que comunica a los empleados la cancelación de sus datos pe rs on a les. ----------------------------------------------------------------------------------Respuesta: No existe un procedimiento de cancelación---------------------------

34. Precise el tiempo que resguarda los datos personales de sus empleados, y la forma en que se procedería a su total cancelación una vez que éstos han dejado de ser útiles para la relación con su Representada, de acuerdo a lo establecido en los artículos 13 y 25 de la LFPDPPP.-----------------------------------Respuesta: No tienen previstos plazos de conservación.--------------------------

[ .. . ]

48. En dónde se encuentran los 860 registros de clientes referidos en respuesta a los requerimientos de esta autoridad.--------------------------------------Respuesta: en un sistema alojado en cómputo en la nube, se intentó acceder a dichos registros, pero nunca se pudo. No obstante dichos registros pertenecían a clientes. proveedores y empleados. --------------------

49. ¿Dichos registros fueron destruidos?---------------------------------------------------Respuesta: se desconoce y se cree que en algún lugar de la red existen.----

50. Manifieste lo que a derecho convenga en referencia a lo expresado en respuesta a los requerimientos del Instituto, relacionado con los 860 registros de proveedores y clientes. --------------------------------------------------------------------Respuesta: Se tuvieron los 860 registros en IMM Internet Media México. S. de R.L. de C.V., formando parte de su base de datos. Dicha información se resguardaba en un archivo electrónico, información que fue eliminada sin que pueda ser corroborada la eliminación referida. ---------------------------------

[ ... )"

De lo antes expuesto se concluye que la prueba analizada no es idónea para desvirtuar las conductas atribuidas a la presunta infractora.

Por otra parte, con relación a la "PRUEBA INSTRUMENTAL DE ACTUACIONES. En todo aquello que favorezca los intereses de mi representada y que se relaciona con todos y cada uno de los hechos y manifestaciones de derecho del presente ocurso", es de indicar que tal y como fue determinado en el Acuerdo de Admisión de Pruebas de fecha 26 de junio de 2014, emitido por el Director General de Sustanciación y Sanción, la misma no fue admitida por no encontrarse contemplada com.o tal en el artículo 93 del Código Federal de Procedimientos Civiles.

13


1 nfonnación y Protección de

Datos



No obstante lo anterior, y a fin de cumplir con el principio de exhaustividad que rige a toda Resolución que pone fin a un procedimiento seguido en forma de juicio, esta autoridad procedió al análisis de las constancias que integran el expediente que nos ocupa, advirtiendo que ninguna beneficia a IMM Internet Media México, S. de R.L. de C.V, circunstancia que deriva de las consideraciones vertidas al analizar la prueba presuncional legal y humana, que en obvio de repeticiones innecesarias se tienen aquí por reproducidas como si a la letra se insertasen.

En consecuencia, con las actuaciones habidas en el expediente que ahora se resuelve, no se desvirtuaron las infracciones que le fueron atribuidas en la Resolución ACTPRIV/30/04/2014.03.02.01 de fecha 30 de abril de 2014, emitida por este Pleno en el procedimiento de verificación IFAI.3S.07.02-001/2014; por el contrario, ha quedado acreditada la transgresión por parte de IMM Internet Media México, S. de R.L. de C.V. , a los artículos 6, 7, 14, 15, 16, fracciones 1, 11, y 111 , 17, fracción 11 y 19 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Quinto. En este Considerando se analizarán las manifestaciones contenidas en el escrito de la infractora de fecha 12 de junio de 2014, a través del cual dio contestación a las presuntas conductas infractoras que se le atribuyeron en el Acuerdo de in icio del 20 de mayo del mismo año, señalando medularmente lo siguiente:

a) "En cuanto al segundo hecho imputado en contra de mi representada como constitutivo de infracción contenido en el considerando CUARTO de la resolución número ACT-PR/V/3010412014. 03. 02.01 emitida dentro del procedimiento de verificación identificado con el número de expediente IFA/.3S.07.02-001/2014, del cual esa H. Autoridad pretende actualizar fa fracción lff del artículo 63 de LFDPPP al señalar que mi representada pretendió ocultar de manera dolosa a esa H. Autoridad los datos personales que en fa práctica recaba mi representada de sus empleados, me permito realizar en nombre de mi representada las siguientes manifestaciones.

[ .. .]

En ese sentido, de manera particular es importante señalar que cuando se formuló fa pregunta número 24, fa persona que en el momento atendía fa diligencia procedió a responder dicha pregunta con fa información que en su momento contaba, y como bien señala esta autoridad, los verificadores solicitaron revisar fas carpetas en donde se resguardan Jos datos personales de lo (sic) empleados y fa persona con quien entendían fa diligencia accedió y proporcionó todos los medios y facilidades para que los verificadores revisaran fa carpeta en donde se resguardan los datos personales de los empleados de mi representada.

Es importante de lo anterior, desprender que fa persona con quien en su momento se entendió la diligencia no declaró dolosamente fa inexistencia de datos personales, ya que debemos recordar que el Dolo no es mas (sic) que fa

14

Ins tituto Federal de Acceso a la

lnfonnació n y Protección de

Datos



maquinación que sirve para engañar al otro, y suponiendo si (sic) conceder esta hubiera sido la intención de la persona quien entendió la diligencia sin duda no hubiera dado las facilidades de verificación a los C. Verificadores para accesar a la carpeta de los documentos de los empleados de mi representada, esto con la intención de llevar a cabo las maquinaciones necesarias para engañar a esta autoridad, hecho que no sucedió, si no (sic) todo lo contrario, ya que la persona con quien se entendió la diligencia presto todos los medios y facilidades para que los verificadores pudieran realizar la verificación sin algún obstáculo.

Por lo que esa autoridad deberá concluir, que no puede considerar el actuar de mi representada durante el desahogo de la visita de verificación como una conducta encaminada a engañar a la autoridad respecto a los datos que se manifestaron se recababan dentro en (sic) la pregunta número 24 y los datos personales archivados dentro en (sic) la carpeta donde se resguardan los datos personales de los empleados de mi representada, cuando la persona con quien se entendió la diligencia dio todas las facilidades a la autoridad para revisar los documentos que en su momento iba solicitando el verificador."

Al respecto, es de señalar que no le asiste la razón a la infractora, toda vez que la conducta dolosa con la que se condujo quedó acreditada en la Resolución ACTPRIV/30/04/2014.03.02.01, de fecha 30 de abril de 2014, lo que se dedujo de la valoración del acta de verificación de fecha 13 de marzo de 2014, a su aviso de privacidad y a los expedientes laborales que proporcionó, advirtiéndose la discordancia entre los datos personales que la infractora refirió recabar, de aquellos que informa a los titulares que recaba y los que realmente detenta en su base de datos.

Por lo tanto, la manifestación de la infractora en el sentido de que la persona que atendió la visita proporcionó la información con la que en ese momento contaba, resultó insostenible, ya que fue precisamente dicha persona quien en el momento en que se practicó la visita, aportó el aviso de privacidad de la infractora y los expedientes de sus empleados, a requerimiento de la autoridad verificadora, por lo que es claro que sí contaba con toda la información de los datos personales a los cuales da tratamiento; de ahí la conducta dolosa con que se condujo al ocultar datos personales que en la práctica recaba de sus empleados y que forman parte de su base de datos.

No es óbice a lo anterior, lo alegado por la infractora en el sentido de que otorgaron todas las facilidades para llevar a cabo la visita de verificación, y que por esta razón su conducta no puede considerarse dolosa, lo cual resulta incorrecto, ya que de conformidad con lo dispuesto por el artículo 64 de la Ley Federal de Procedimiento Administrativo, los propietarios, responsables, encargados u ocupantes de establecimientos objeto de verificación están obligados a permitir el acceso y a dar facilidades e informes a los verificadores para el desarrollo de su labor y, por su parte, el diverso 60 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, establece que en el procedimiento de verificación el Instituto tendrá acceso a la información y documentación

15

1 nstin11o Federal de Acceso a la

Info rmac ión y Protección de

D atos


Expediente : PS.OOOS/14

que considere necesarias, por lo que el haber otorgado las facilidades para el desarrollo de la visita de verificación que se realizó, no implica haber actuado de buena fe, en razón de que dichos ordenamientos son orden público y observancia general en términos de lo dispuesto por el artículo 1 o de los referidos ordenamientos jurídicos.

Para pronta referencia se transcriben en lo conducente los siguientes artículos:

Ley Federal de Procedimiento Administrativo

"Artículo 64.- Los propietarios, responsables, encargados u ocupantes de establecimientos objeto de verificación estarán obligados a permitir el acceso y dar facilidades e informes a los verificadores para el desarrollo de su labor. "

Ley Federal de Protección de Datos Personales en Posesión de los Particulares

"Artículo 60.- En el procedimiento de verificación el Instituto tendrá acceso a la información y documentación que considere necesarias, de acuerdo a la resolución que lo motive.

[ . .. ]"

b) Por lo que respecta a la manifestación de la infractora consistente en que: "En cuanto al tercer hecho imputado en contra de mi representada como constitutivo de infracción contenido en el considerando QUINTO de la resolución número ACT-PRIV/3010412014. 03. 02.01 emitida dentro del procedimiento de verificación identificado con el número de expediente IFAI.3S.07.02-00112014, del cual esa H. Autoridad pretende actualizar la fracción V del artículo 63 de LFDPPP (sic) al señalar que mi representada fue omisa al no informar a los titulares de los datos personales, a través del aviso de privacidad, las opciones y medios con los que cuentan los titulares para limitar el uso o divulgación de sus datos personales, es un hecho cierto, ya que el aviso de privacidad con el que contaba mi representada era omiso en cuanto al (sic) señalar las opciones v medios disponibles para los titulares para limitar el uso o divulgación de sus datos personales, situación que ha sido corregida y subsanada.

Respecto de lo manifestado por la infractora en cuanto a la conducta infractora que se le atribuye consistente en omitir en su aviso de privacidad el elemento a que se refiere la fracción 111 , del artículo 16 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, y en virtud de que existe confesión expresa de la infractora en el sentido de que su aviso de privacidad no contenía las opciones y medios para que los titulares pudieran limitar el uso o divulgación de sus datos personales, tal manifestación hace prueba plena en su contra sin que admita prueba en contrario, de conformidad con lo dispuesto en los artículos 95, 96, 123, 199 y 200 del Código Federal de Procedimientos Civiles y, por ende, la misma será sancionada en términos de lo establecido en el artículo 64, fracción 11 , de la ley de la materia.

16




1 nfonnación y Protección de Datos

A continuación se transcriben los artículos del Código antes referidos:

"ARTICULO 95.- La confesión puede ser expresa o tácita : expresa, la que se hace clara y distintamente, ya al formular o contestar la demanda, ya absolviendo posiciones, o en cualquier otro acto del proceso; tácita, la que se presume en los casos señalados por la ley."

"ARTICULO 96.- La confesión solo produce efecto en lo que perjudica al que la hace; pero si la confesión es la única prueba contra el absolvente debe tomarse íntegramente, tanto en lo que lo favorezca como en lo que le perjudique."

,.ARTÍCULO 123.- Contra la confesión expresa de hechos propios no se admitirá, a la parte que la hubiere hecho, prueba de ninguna clase; a no ser que se trate de demostrar hechos ignorados por ella al producir la confesión , debidamente acreditados, o de hechos posteriores, acreditados en igual forma."

"ARTICULO 199.- La confesión expresa hará prueba plena cuando concurran, en ella, las circunstancias siguientes:

1.- Que sea hecha por persona capacitada para obligarse;

11. Que sea hecha con pleno conocimiento, y sin coacción ni violencia, y

111. Que sea de hecho propio o, en su caso, del representado o del cedente, y concerniente al negocio."

"ARTICULO 200.- Los hechos propios de las partes, aseverados en la demanda, en la contestación o en cualquier otro acto del juicio, harán prueba plena en contra de quien los asevere, sin necesidad de ofrecerlos como prueba."

Asimismo, sirve de apoyo a lo anteriormente señalado la jurisprudencia que a continuación se transcribe:

Tesis: 1.1o.T. J/34 Semanario Judicial de la Federación y su Gaceta Novena Época 196523 1 de 1 PRIMER TRIBUNAL COLEGIADO EN MATERIA DE TRABAJO DEL PRIMER CIRCUITO Tomo VIl, Abril de 1998 Pag. 669 Jurisprudencia (Común)

17

I nstituto Federal de Acceso a la

1 nformación y Protección de

D atos



PRUEBA CONFESIONAL. ALCANZA PLENO VALOR CUANDO ES CLARA Y PRECISA. Si bien es cierto que la prueba confesional puede decidir una controversia y ser bastante para resolverla, haciendo inútil el estudio de otros medios de convicción, esto sólo es admisible cuando la confesión es expresa, clara y perfectamente referida a los términos de la controversia, de manera que, sin lugar a dudas implique el reconocimiento de la pretensión o bien de la excepción opuesta.

e) Asimismo, la infractora manifestó que: "En cuanto al cuarto hecho imputado en contra de mi representada como constitutivo de infracción contenido en el considerando SEXTO de la resolución número ACT-PR/V/3010412014. 03. 02.01 emitida dentro del procedimiento de verificación identificado con el número de expediente /FA/. 3S. 07.02-00112014, del cual esa H. Autoridad pretende actualizar la fracción IV del artículo 63 de LFDPPP (sic) al señalar que mi representada da tratamiento a /os datos personales en contravención a /os principios establecidos por la ley, por /os siguientes motivos:

a) Al no contar con procedimientos de conservación, bloqueo y suspensión de (sic) datos personales a que se refiere la LFPDPPP.

Respecto a este hecho, manifiesto que el mismo no se actualiza, en virtud de que mi representada de los datos personales que maneja, actualmente todos se encuentran siendo utilizados conforme a /as finalidades previstas en /os avisos de privacidad que mi representada ha puesto a disposición de sus titulares, y por lo tanto mi representada trata los datos personales de conformidad a /os principios establecidos en la ley de la materia.

b) Al no contar con /as medidas de seguridad que permitan proteger los datos personales contra daño, perdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado, tan es así, manifiesta la autoridad, que no existe la certeza de la eliminación segura de mas (sic) de ochocientos registros que contenían datos personales.

Mi representada cuenta con /as medidas de seguridad necesarias en proporción a /os datos personales que ésta almacena, ya que la misma ha designado a so/o una empleada de mi representada para el manejo y almacenamiento de los datos personales, y en el caso particular de los datos personales de /os empleados, /os mismos se resguardan bajo llave, conforme a lo verificado por /os verificadores que atendieron la diligencia el pasado 13 de marzo de 2014".

En cuanto a las manifestaciones de la infractora anteriormente transcritas, es de indicarle que las mismas resultan insuficientes para desvirtuar la conducta irregular que se le atribuyó, consistente en incumplir con el principio de licitud previsto en los artículos 6 y 7 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, ya que conforme a dicho principio, los datos personales deberán recabarse y tratarse de manera lícita, es decir, conforme a las disposiciones establecidas en la Ley antes citada y demás normatividad aplicable, por lo que al no contar la infractora con procedimientos de conservación , bloqueo y supresión de datos personales, ni con medidas de seguridad que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado, tal y como quedó acreditado en la Resolución

18

Ins tituto Federal de Acceso a la lnfonnac ión y Protecció n de

Datos



ACT/PRIV/30/04/2014.03.02.01 , de fecha 30 de abril de 2014, emitida por este Pleno, es claro que el tratamiento que daba a los datos personales de sus empleados, no cumplía con el principio en cuestión.

Lo anterior es así, ya que según su dicho, actualmente ya cuenta con medidas de seguridad y ha designado a una empleada para el manejo y almacenamiento de los datos personales, e incluso, los relativos a sus empleados los resguarda bajo llave; aseveraciones que resultan gratuitas, ya que no aportó en el presente procedimiento prueba alguna que así lo demostrara, estando debidamente acreditado en autos que al momento de la visita domiciliaria que le fue practicada, dicho tratamiento no cumplía con el principio de licitud, por lo que con sus manifestaciones no desvirtúa la conducta infractora que nos ocupa.

Por otra parte, en cuanto a lo manifestado en el inciso e), en el que señala lo siguiente:

[ .. . ]

e) Al recabar datos personales mediante correo electrónico, y ser omisa en dar a conocer por el mismo medio, la información relativa a la existencia y características principales del tratamiento al que serán sometidos los datos personales.

Esa H. Autoridad hace referencia a este hecho como un hecho infractor, cuando es omisa en analizar que (sic) datos se están proporcionando y con que (sic) finalidad, en el caso concreto mi representada recababa datos a través de correos electrónicos con la intención y única finalidad de formalizar una relación jurídica contractual laboral y comercial con los posibles candidatos a vacantes y sus proveedores respectivamente, hecho que de ninguna manera viola los principios de tratamiento de datos personales contemplados en la ley de la materia. "

En cuanto a las manifestaciones esgrimidas por la infractora, anteriormente transcritas, resultan inoperantes para controvertir la conducta que se le atribuye, consistente en incumplir el principio de información previsto en los artículos 6 y 15 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, al haber recabado de un Titular (aspirante a empleado) datos personales a través de correo electrónico, siendo omisa en darle a conocer por el mismo medio al menos la información relativa a su identidad , domicilio y finalidades del tratamiento al que serían sometidos sus datos personales, así como el mecanismo para que conociera el texto completo de su aviso de privacidad, de conformidad con lo dispuesto en el artículo 17, fracción 11 , de la ley de la materia.

Lo anterior es así, ya que sólo se limita a señalar que esta autoridad es omisa en analizar los datos que se están proporcionando y con qué finalidad ; que recaba datos a través de correos electrónicos con la intención y única finalidad de formalizar una relación jurídica contractual laboral con sus posibles candidatos a ocupar una vacante, lo que considera de ninguna manera viola los principios del tratamiento de datos personales; sin embargo, tal

19



Datos



y como quedó acreditado en el acta de visita de verificación de fecha 13 de marzo de 2014, la infractora, al dar respuesta a la pregunta 27 que le fuera formulada por personal verificador, reconoció que su aviso de privacidad lo hacía del conocimiento de los titulares hasta el momento en que se firmaba el contrato de trabajo, por lo que con su conducta infringió el referido principio de información.

Finalmente, por lo que toca al principio de responsabilidad, la infractora fue omisa en controvertir y aportar prueba alguna para desvirtuar su incumplimiento. De igual modo, al haber quedado acreditado que con su conducta incumplió los principios de licitud e información, también dejó de observar, en consecuencia, el principio de responsabilidad, previsto en el artículo 14 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, conforme al cual debió velar por el cumplimiento de los principios de protección de datos personales establecidos en el artículo 6 de la citada ley, adoptando las medidas necesarias para su aplicación y, al no hacerlo así, dio tratamiento a los datos personales en contravención a los referidos principios.

Sexto. Por lo que respecta a las manifestaciones vertidas por la infractora en el escrito que denomina "alegatos" de fecha 3 de julio de 2014, presentado el mismo día ante este Instituto, cabe señalar que las mismas son inatendibles. por inoperantes, en virtud de que no están relacionadas con las conductas infractoras materia del presente procedimiento de imposición de sanciones contenidas en la Resolución ACT-PRIV/30/04/2014.03.02.01, de fecha 30 de abril de 2014, por tanto, no forman parte de la Litis.

Lo anterior es así, ya que la infractora a través de dichos "alegatos" pretende se revoque el punto Sexto del Acuerdo de fecha 26 de junio de 2014, a través del cual, en la sustanciación del mencionado procedimiento, el Director General de Sustanciación y Sanción determinó no admitir la prueba testimonial por ella ofrecida, siendo que los alegatos no son el medio a través del cual proceda inconformarse en contra del Acuerdo que nos ocupa, en virtud de que éste constituye un acto de trámite del procedimiento de imposición de sanciones que no es de imposible reparación, por lo que el momento oportuno para impugnarlo será, en su caso, al controvertir la presente Resolución con la que se pone fin al procedimiento, ante el Tribunal Federal de Justicia Fiscal y Administrativa.

Séptimo. A efecto de fundar y motivar la cuantía de las multas a imponer, esta autoridad tomará en cuenta lo dispuesto en los artículos 64 y 65 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. El segundo de los preceptos mencionados, establece que el Instituto fundará y motivará sus resoluciones considerando los siguientes elementos:

20

Ins tituto Federal de Acceso a la Info nnación y Protección de

Datos

l. La naturaleza del dato



En el caso a estudio, resulta inaplicable en virtud de que las conductas que son materia de infracción, no tienen que ver con la naturaleza del dato.

11. La notoria improcedencia de la negativa del responsable, para realizar los actos solicitados por el titular, en términos de esta Ley

En el caso en estudio, el supuesto normativo resulta inaplicable, ya que las conductas infractoras materia de la presente Resolución, no tienen su origen en la negativa de un Responsable a realizar los actos que hubiera solicitado un Titular en ejercicio de sus derechos de acceso, rectificación, cancelación y oposición.

111. El carácter intencional o no, de la acción u omisión constitutiva de la infracción

En cuanto al presente elemento, es preciso resaltar que de conformidad con lo dispuesto en el artículo 1 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, ésta es de orden público y de observancia general en toda la República y tiene por objeto la protección de los datos personales en posesión de los particulares, por lo que tutela derechos fundamentales , favoreciendo en todo tiempo a las personas la protección más amplia.

Por lo que al haber sido expedida por el Congreso de la Unión y publicada en el Diario Oficial de la Federación el 5 de julio de 201 O, por el Presidente de la Repúbl ica en uso de la facultad establecida en el artículo 89, fracción 1, de la Constitución Política de los Estados Unidos Mexicanos, habiendo entrado en vigor al día siguiente de su publicación, tales circunstancias obligan a la infractora a su cumplimiento, por tratarse de un sujeto regulado por la misma, al llevar a cabo el tratamiento de datos personales.

En efecto, el artículo 2 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares establece que:

"Artículo 2.- Son sujetos regulados por esta Ley, los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, [ ... ]

[ ... ]"

Asimismo, según su artículo 3, para los efectos de la Ley antes citada, se entiende por tratamiento de datos:

"Artículo 3.-

21


lnfonnación y Protección de Datos

[ ... ]


Expediente : PS.0005/14

XVIII. Tratamiento: La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.

[ ... ]"

En ese sentido, la infractora contravino lo dispuesto en los artículos 6, 7, 14, 15, 16, fracciones 1, 11 y 111 , 17, fracción 11 y 19, de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, ya que aun conociendo las obligaciones que en ella se establecen, por ser un sujeto obligado a observarla, su conducta se considera intencional , porque con conocimiento de causa incurrió en dichas violaciones, sin que esto influyera en su ánimo para abstenerse de realizarlas , infracciones que se encuentran previstas en el artículo 63, fracciones 111 , IV y V, de la ley en cita .

IV. La capacidad económica del responsable

Con la finalidad de dar cumplimiento a lo dispuesto por el artículo 65, fracción IV, de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, el Director General de Sustanciación y Sanción, en el Acuerdo de inicio del procedimiento de imposición de sanciones de fecha 20 de mayo de 2014 , requirió a la infractora para que en un término de quince días hábiles proporcionara la documentación idónea en la que se contuvieran los datos que reflejaran su situación financiera actual; habiendo exhibido para tales efectos copia simple de su dictamen de estados financieros correspond iente a los ejercicios fiscales 2012 y 2013.

Del dictamen antes señalado, se advierte que su capital contable al 31 de diciembre de 2013, ascendía a la suma de $270 '845,280.00 (doscientos setenta millones ochocientos cuarenta y cinco mil doscientos ochenta pesos 00/100 m.n.), cantidad que se considerará como referente de su capacidad económica, de conformidad con lo previsto en el artículo 65, fracción IV, de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

V. La reincidencia

El elemento en análisis no se actualiza, en virtud de que no existe ningún otro procedimiento iniciado a la infractora, en el que haya resultado sancionada por las mismas conductas atribuidas en el presente procedimiento, en términos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Por lo anterior, la reincidencia no se considerará para efectos de agravar o incrementar las sanciones a imponer.

22

Ins tituto Fede ra l de Acceso a la

lnfo nnac ión y Pro tección de

Datos



Octavo. Ahora bien, con el objeto de abundar en las razones y motivos que este Pleno toma en cuenta para determinar las multas a imponerse a la infractora, es oportuno hacer referencia a la finalidad de sancionar las conductas ilícitas, que consiste en disuadir la comisión de éstas que infrinjan la ley. Dicha finalidad no se alcanzaría cuando por idénticas infracciones, se impusieran multas semejantes a infractores con una distinta capacidad económica, es decir, que la sanción debe imponerse de acuerdo a la capacidad económica de cada caso en particular.

Sirven de apoyo la tesis aislada emitida por el Primer Tribunal Colegiado del Primer Circuito, que a continuación se transcribe:

Séptima Epoca, Sexta Parte: Registro: 256146 Instancia: Tribunales Colegiados de Circuito Tesis Aislada Fuente: Semanario Judicial de la Federación 46 Sexta Parte Materia(s): Administrativa Tesis : Página: 67

MULTA, CUANTIFICACION DE LA. CAPACIDAD ECONOMICA DEL INFRACTOR. Al imponerse una sanción pecuniaria, como no se trata de cobrar una prestación debida a título de impuesto o derecho, sino de sancionar una conducta ilíc ita prevista en la ley, en principio es lícito que las autoridades tomen en cuenta la situación económica del infractor para cuantificar la multa dentro de las condiciones relativas a su levedad o gravedad, pues si la intención del legislador al imponer las multas es castigar al infractor y disuadir a los causantes de cometer infracciones, es claro que esa finalidad no se alcanza correctamente si por infracciones semejantes se imponen multas semejantes a causantes con una notoria diferencia en su capacidad económica, pues la sanción resultaría más onerosa para el infractor económicamente débil. Por lo demás, en este aspecto, deberán razonarse cuidadosamente, no sólo las multas que se impongan sino también los argumentos mediante los cuales se impugne el monto de una multa que, a primera vista, no resulte desproporcionada a la capacidad económica del causante, dentro de los límites mínimos y máximo de la sanción, atentas las circunstancias de la infracción.

(Énfasis añadido)

Noveno. En conclusión, una vez analizadas y valoradas en su conjunto las pruebas y elementos de convicción que obran en el expediente PS.OOOS/14, además de las manifestaciones realizadas por la infractora en su contestación al Acuerdo de inicio, este Pleno determina que no desvirtuó las imputaciones hechas en su contra dentro del procedimiento de imposición de sanciones que nos ocupa, por el contrario, han quedado

23


Jnfonnación y Protección de

Datos



acreditadas las infracciones cometidas por IMM Internet Media México, S. de R.L. de C.V., previstas en el artículo 63, fracciones 111 , IV y V, de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

1) Respecto de la conducta constitutiva de infracción prevista en el artículo 63, fracción 111 , de la Ley Federal de Protección de Datos Personales en Posesión de los Particu lares, cometida por IMM Internet Media México, S. de R.L. de C.V., consistente en declarar dolosamente la inexistencia de datos personales cuando existan tota l o parcialmente en sus bases de datos, esta autoridad determina que su gravedad es alta , toda vez que de conformidad con lo dispuesto por el artículo 64 de la Ley Federal de Procedimiento Administrativo, en la visita de verificación que le fue practicada estaba obligado a proporcionar de manera veraz los informes que le fueran requeridos por los verificadores para el desarrollo de su labor, a fin de que éstos se allegaran de los elementos de convicción necesarios vinculados con el objeto de la verificación; no obstante lo anterior, el infractor ocultó de manera dolosa los datos personales que en la práctica recaba de sus empleados y que forman parte de su base de datos, a pesar de que en la orden por la que se inició en su contra el procedimiento de verificación, se le advirtió que de no dar cabal cumplimiento a la misma se procedería a sancionar en los términos correspondientes, creando convicción en esta autoridad para determinar procedente y fundada la imposición de la multa en un monto superior al mínimo establecido en el artículo 64, fracción 11, del mismo ordenamiento jurídico.

Así, una vez comprobada la com1s1on de la conducta infractora y para efectos de determinar la cuantía de la multa a imponer, han sido considerados los elementos de intencionalidad y capacidad económica de la infractora, además de la gravedad de la conducta, por lo que, con fundamento en el artículo 64 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, que en su fracción 11 , establece que las infracciones previstas en las fracciones 11 a VIl, del artículo 63, serán sancionadas por el Instituto, con multa de 100 a 160,000 días de salario mínimo vigente en el Distrito Federal ; en consecuencia , se sanciona a IMM Internet Media México, S. de R.L. de C.V. , con una multa de $1 '619,000.00 (un millón seiscientos diecinueve mil pesos 00/100 m.n.), equivalente a 25,000 días de salario mínimo vigente en el Distrito Federal (DSMVDF), en la fecha en que ocurrieron los hechos motivo de la sanción , es decir, en el año 2013, en términos de la Resolución que fija los salarios mínimos generales y profesionales vigentes a partir del 1 de enero de 2013, publicada en el Diario Oficia l de la Federación el 21 de diciembre de 2012, correspondiente a $64.76 (sesenta y cuatro pesos 76/100 m.n.).

2) La conducta constitutiva de infracción prevista en el artículo 63, fracción IV, de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, llevada a cabo por la infractora, consistente en dar tratamiento a los datos personales en contravención a los principios de licitud, responsabilidad e información, previstos en los artículos 6, 7, 14 y 15 de la citada ley, se considera de gravedad media, toda vez que los datos personales de los titulares no fueron tratados conforme a las disposiciones

24

Instituto Fed eral de Acceso a la

Información y Protección de D atos



establecidas por la ley de la materia; creando conv1cc1on en esta autoridad para determinar procedente y fundada la imposición de la multa en un monto superior al mínimo establecido en el artículo 64, fracción 11 , del mismo ordenamiento jurídico.

Así, una vez comprobada la comisión de la conducta infractora y para efectos de determinar la cuantía de la multa a imponer, han sido considerados los elementos de intencionalidad y capacidad económica de la infractora, además de la gravedad de la conducta, por lo que, con fundamento en el artículo 64 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, que en su fracción 11, establece que las infracciones previstas en las fracciones 11 a VIl, del artículo 63, serán sancionadas por el Instituto, con multa de 100 a 160,000 días de salario mínimo vigente en el Distrito Federal; en consecuencia, se sanciona a IMM Internet Media México, S. de R.L. de C.V., con una multa de $1'295,200.00 (un millón doscientos noventa y cinco mil doscientos pesos 00/100 m.n.), equivalente a 20,000 DSMVDF, en la fecha en que ocurrieron los hechos motivo de la sanción, es decir, en el año 2013, en términos de la Resolución que fija los salarios mínimos generales y profesionales vigentes a partir del 1 de enero de 2013, publicada en el Diario Oficial de la Federación el 21 de diciembre de 2012, correspondiente a $64.76 (sesenta y cuatro pesos 76/100 m.n.).

3) La conducta constitutiva de infracción prevista en el artículo 63, fracción V , de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, llevada a cabo por la infractora, consistente en no establecer en su aviso de privacidad las opciones y medios que tienen los titulares para limitar el uso o divulgación de sus datos personales en contravención a lo dispuesto en el artículo 16, fracción 111 , de la citada ley, se considera de gravedad media, al dejar de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas, creando convicción en esta autoridad para determinar procedente y fundada la imposición de la multa en un monto superior al mínimo establecido en el artículo 64, fracción 11 , del mismo ordenamiento jurídico.

Así , una vez comprobada la comisión de la conducta infractora y para efectos de determinar la cuantía de la multa a imponer, han sido considerados los elementos de intencionalidad y capacidad económica de la infractora, además de la gravedad de la conducta, por lo que, con fundamento en el artículo 64 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, que en su fracción 11 , establece que las infracciones previstas en las fracciones 11 a VIl , del artículo 63, serán sancionadas por el Instituto, con multa de 100 a 160,000 días de salario mínimo vigente en el Distrito Federal; en consecuencia, se sanciona a IMM Internet Media México, S. de R.L. de C.V., con una multa de $1 '165,680.00 (un millón ciento sesenta y cinco mil seiscientos ochenta pesos 00/100 m.n.), equivalente a 18,000 DSMVDF, en la fecha en que ocurrieron los hechos motivo de la sanción, es decir, en el año 2013, en términos de la Resolución que fija los salarios mínimos generales y profesionales vigentes a partir del 1 de enero de 2013, publicada en el Diario Oficial de la Federación el 21 de diciembre de 2012, correspondiente a $64.76 (sesenta y cuatro pesos 76/100 m.n.).

25

1 nstituto Fede ral de Acceso a la




Las multas impuestas se consideran proporcionales a la capacidad económica de la infractora, por lo que no se pone en riesgo el desarrollo normal de sus actividades.

Por lo expuesto y fundado, este Pleno:

RESUELVE

PRIMERO. Con fundamento en los artículos 63, fracción 111 y 64, fracción 11 , de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y por los motivos expuestos en los considerandos Segundo a Noveno de la presente Resolución, se impone a IMM Internet Media México, S. de R.L. de C.V. , una multa de $1 '619,000.00 (un millón seiscientos diecinueve mil pesos 00/100 m.n.).

SEGUNDO. Con fundamento en los artículos 63, fracción IV y 64, fracción 11 , de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y por los motivos expuestos en los considerandos Segundo a Noveno de la presente Resolución, se impone a IMM Internet Media México, S. de R.L. de C.V., una multa de $1 '295,200.00 (un millón doscientos noventa y cinco mil doscientos pesos 00/100 m.n.).

TERCERO. Con fundamento en los artículos 63, fracción V y 64, fracción 11, de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y por los motivos expuestos en los considerandos Segundo a Noveno de la presente Resolución, se impone a IMM Internet Media México, S. de R.L. de C.V., una multa de $1 '165,680.00 (un millón ciento sesenta y cinco mil seiscientos ochenta pesos 00/100 m.n.).

CUARTO. Notifíquese al Infractor.

QUINTO. En su oportunidad, túrnese original de la presente Resolución a la autoridad fiscal competente Secretaría de Finanzas del Gobierno del Distrito Federal , a efecto de que haga efectivas las multas impuestas.

De conformidad con el artículo 57 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, la presente Resolución será susceptible de difundirse públicamente, en versión pública, eliminando aquellas referencias al titular de los datos que lo identifiquen o lo hagan identificable.

Contra la resolución que pone fin a este procedimiento procede el juicio contencioso administrativo federal ante el Tribunal Federal de Justicia Fiscal y Administrativa, en términos de lo dispuesto por el artículo 144 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y 14 de la Ley Orgánica del citado Tribunal.

26

Instituto Fedenl d e Acceso a la

Información y Protección de D atos

Infractora: IMM Internet Media México, S. de R. L. de C.V.


Así lo resolvieron, por unanim ida~\los Comisionados presentes del Instituto Federal de Acceso a la Información y Protec~~' de Datos, en sesión celebrada el 9 de octubre de 2014, ante el Secretario de Protecci · n de atos Personales.

Osear Mau cío Guerra Ford Comisionado

Luis Gustavo Parra Noriega Secretario de Protección de Datos Personales

27

Infractora: IMM Internet Media México, S. de R.L. C.V.inicio.ifai.org.mx/pdf/resoluciones/2014/PS...

Documents

Transcript of Infractora: IMM Internet Media México, S. de R.L. C.V.inicio.ifai.org.mx/pdf/resoluciones/2014/PS...