publicación especializada en colaboración con miércoles 25 de abril del 2018 • Año 1 • Número 1 • Ciudad de México

Legal
Jurídico y fiscal

El derecho
y las tecnologías
de la información
De la nueva ley fintech, que regula innovaciones como el
crowdfunding o las criptomonedas, a la protección de datos personales
y el escándalo de Facebook, la convergencia entre el mundo jurídico y el
digital es una tendencia irreversible que promete más innovaciones.

eleconomista.com.mx/legal
 índice editorial

JOrge nacer gobera

presidente y director general

Raúl Beyruti sánchez

VICEPRESIDENTE
LUIS MIGUEL González
di­r ec­tor general editorial

josé luis grosvenor

di­r ec­tor COMERCIAL

Roy Campos
consejero

Joaquín López-Dóriga l.
Ostolaza
consejero

Manuel Campuzano Treviño

consejero

ARTURO HERNÁNDEZ

Índice
di­r ec­tor de cir­c u­l a­c ión

Una aventura
Hugo valenzuela
coordinador de operación editorial

gerardo ramírez

3
director de tecnologías y soluciones
digitales
El futuro del

a través del
josé soto galindo
editor online
mercado jurídico
fernando villa del ángel es convergente
editor de fotografía

ecosistema jurídico
carlos flores muñoz
coordinador de diseño
Carlos Gámez habla sobre lo
inevitable: el cruce de las tecnologías
de la información con la práctica del

L
derecho. Aún hay esperanza.
editor: a complejidad del mundo jurídico ha sido una
josé soto galindo
de sus características natas. El entramado legal de la vi-
4
jose.soto@eleconomista.mx

coeditores:
Sobre la nueva ley da pública y las relaciones privadas en nuestras socie-
antonio becerril, rodrigo riquelme
fintech de México dades es una tarea compleja que requiere de extrema
editor gráfico:
Alejandro j. ríos precisión para construir ambientes justos y equitativos.
diseño:
Claudia Arias, Nelly Jiménez,
Joel Gómez Treviño analiza las Para abonar, las tecnologías de la información y la comunicación han
Paola Ceja y David Mercado novedades de ley para regular a supuesto impactos en las formas de organización de los profesiona-
ilustraciones:
nayelly tenorio, las empresas financieras de base les del derecho, en las formas para ejercer y desarrollar las distintas
édgar zúñiga
tecnológica. El camino se ha iniciado. prácticas y en la aparición de nuevos actores, dinámicos e innovado-
res, que inyectan nuevos bríos al ecosistema.
director general En El Economista estamos preocupados por atender a la co-
6 Un ciberdelito es un
antonio vera

gerente de soluciones
munidad de abogados y a todos los profesionales del derecho y abor-
personalizadas
janeth nieto
delito es un ciberdelito dar la complejidad del mundo jurídico. Nuestro objetivo es ofrecerles
contacto soluciones, ideas o inspiración en un área apasionante del conoci-
Tel. 1801 0518
correo electrónico:
Se llaman ciberdelitos porque se miento o incluso plantearles nuevos problemas, retos e inquietudes.
jnieto@vlex.com
ejecutan con medios tecnológicos En coincidencia con los nuevos modelos de desarrollo de iniciati-
digitales, pero muchos pueden vas de alto impacto, hemos encontrado al aliado perfecto. Se trata de
atención a suscriptores
5237-0766 o del interior sin costo tipificarse desde el mundo físico. vLex, la mayor colección de conocimiento jurídico del mundo. vLex
01800-0188000
integra en una sola plataforma digital la legislación y jurisprudencia
ventas de publicidad
Tel. 5326.5454 ext. 2414
de más de 130 países, con una actualización permanente y con un ri-

es una publicación de el economista

grupo editorial, s.a. de c.v. impreso
13 Datos personales guroso tratamiento editorial. Nuestros suscriptores ya están familia-
rizados con este servicio, pues tienen acceso a contenidos de la bi-
el 25 de abril del 2018. editor Héctor E. Guzmán y Rodrigo blioteca de vLex a través de El Economista.
responsable: luis miguel gonzález Méndez Solís analizan las mejores
márquez. av. san jerónimo 458, col. Ahora damos el segundo paso de esta alianza: el diseño de este
jardines del pedregal, c.p. 01900, prácticas internacionales en
ciudad de méxico. teléfonos (0155) materia de protección de datos material de consulta llamado Legal, que integra reportajes, entrevis-
5326-5454, fax 5687-3821 y 5682-
9070. certificado de licitud de
personales. Una guía indispensable. tas, perfiles y opiniones sobre los temas más actuales del mundo ju-
título número 3735 y de contenido
número 3152 del 13/iv/1989. expedidos
rídico. Esta primera edición quisimos dedicarla a la convergencia del
por la comisión calificadora de derecho y las tecnologías de la información y el conocimiento. Agra-
12 Tenemos que hablar
publicaciones y revistas ilustradas
de la secretaría de gobernación. no. decemos a nuestros colaboradores por el esfuerzo intelectual dedi-
de reserva al título en derechos
de autor 04-2010-062514292800- de Facebook cado en las siguientes páginas, profesionales de la práctica del de-
107 franqueo pagado. impreso en
talleres de editorial cobrica, s.a. de recho y su reflexión cotidiana desde espacios como Hogan Lovells,
c.v., álvaro obregón 120, col. santa
anita, c.p. 08300, ciudad de méxico. Mauricio Jalife y Rhett H. Nieto Baker McKenzie, Thomson Reuters, Jalife | Caballero, Lex Informática,
distribución: el economista grupo
editorial, s.a. de c.v. santander 25 col. abordan las implicaciones del caso Calderón & De la Sierra, Academia Mexicana de Derecho Informáti-
san rafael azcapotzalco, delegación
azcapotzalco, c.p. 02010, ciudad
Facebook-Cambridge Analytica. co, Davara Abogados, Academia Multidisciplinaria de Derecho y TIC,
de méxico. fun­d a­d o en di­c iem­
bre de 1988. suplemento legal, año 1,
¿Hay algo que podamos hacer? Bello, Gallardo, Bonequi y García (BGBG), Basham, Ringe y Correa,
no. 1. pro­hi­bi­do usar in­for­ma­ción S.C. y el maestro Luis Bartolini Esparza. Pero sobre todo agradece-
de el eco­n o­m is­ta en si­t ios web.
mos a ustedes, los lectores, por su acompañamiento en esta nue-
14 Consultorio
de­re­chos re­ser­va­dos.
va aventura.
Los expertos de Baker McKenzie
han creado la guía definitiva para Luis Miguel González
no perderse con la nueva ley fintech.
el tiraje diario auditado por el
instituto verificador de medios
Director General Editorial
(ivm) es de 37,163 ejemplares.

el economista

2 Legal
miércoles 25 de abril del 2018
 análisis
La convergencia entre los bufetes
con los departamentos jurídicos
corporativos puede mejorar la calidad
del servicio y generar valor

tivos necesitan mitigar y administrar el

riesgo, mientras demuestran eficien-
cias para agregar valor al negocio; se
centran en mejorar costos y transpa-
rencia. Los bufetes están organizados
para darle prioridad a las ganancias en
el corto plazo, lo que desincentiva las
mejoras de eficiencia, la innovación o

El futuro del mercado

las inversiones a largo plazo, por ejem-
plo, en tecnología.
¿Cómo convergerán los intereses de
los bufetes con los de sus clientes, los

jurídico es convergente
departamentos jurídicos corporativos?
A través de la colaboración y el aprove-
chamiento de modelos de servicios al-
ternativos y de tecnología para mejorar
la calidad del servicio y generar valor.
hay un choque entre el comprador (departamento jurídico corporativo) y el Los bufetes de abogados utilizan a
vendedor (firmas jurídicas) y también enormes oportunidades de colaboración los proveedores alternativos de servi-
cios legales principalmente para servi-

E
l mundo legal es una
industria compleja y,
aunque los abogados
puedan resistirse a los
cambios, experimenta-
mos una transformación que no tie-
ne vuelta atrás. Cuando hablamos de
innovación, es inevitable pensar en
automatización y nuevas tecnolo-
gías, como blockchain, cloud compu-
ting, machine learning e inteligencia
artificial. Es verdad que la transfor-
mación en el mercado jurídico pasa
por la tecnología, pero empieza con
la interacción con otros actores y con
las oportunidades de una nueva diná-
mica de trabajo.
No hace mucho tiempo, la mayo-
ría de las prácticas legales se llevaban
a cabo entre dos partes estrechamente
definidas: los departamentos jurídicos
corporativos y los bufetes de abogados.
Hoy ya se suman a esta dinámica los
proveedores de tecnología legal y los
proveedores alternativos de servicios
legales (ALSP, por sus sigla en inglés).
Juntos, estos actores trabajan para
cambiar el modelo tradicional de fir-
ma legal/cliente. Se trata de un eco-
sistema legal diferente y más diverso
y que es probable que se vuelva más
complejo y dinámico. Las empresas y
los bufetes ya experimentan las conse-
cuencias de este nuevo panorama.
Para las empresas, el cambio em-
pieza en la redirección de sus gastos,
tratando de maximizar la eficiencia.
Según el informe 2018 State of Corpo-
rate Law Departments (1), de Thom-
son Reuters, CLOC y Acritas Sharper
Insight, cada vez se gasta más en ope-
raciones departamentales internas,
hasta un promedio de 43% del pre-
supuesto total. El 53% de los depar-
tamentos jurídicos ha reducido el nú-
mero de firmas con las que trabajan y
como consecuencia, 61% de los depar-
tamentos jurídicos corporativos hace
un mayor uso de herramientas tecno-
lógicas para impulsar la eficiencia.
Para las firmas de abogados tradi-
cionales de Estados Unidos, la primera
consecuencia se reflejó en la demanda,
que ha estado prácticamente estan-
cada, con crecimiento de 0.7 a 0.1%
entre 2014 y 2017. El aumento en el
número de abogados y la demanda es-
tancada perpetúan un ciclo de dismi-
nución de la productividad. Las horas
productivas de los abogados han baja-
do de 125 horas a 121 horas por semana
entre 2012 y 2017. En general, las ta-
sas de ejecución de cobros (Realization
Rates, en inglés) también están dismi-
nuyendo: en las 100 firmas jurídicas
más grandes de Estados Unidos han
bajado de 92.1 a 80.7% de 2007 a 2017
y en las firmas medianas, de 91.3 a 83
por ciento. Todo se refleja en márge-
nes de ganancias más bajos (de 44.3%
en 2011 a 36.1% en 2017).
Básicamente, hay un choque de
intereses importante entre el compra-
dor (departamento jurídico corpora-
tivo) y el vendedor (firmas jurídicas).
Los departamentos jurídicos corpora-
cios relacionados con el litigio (34% de
uso para servicios de e-Discovery; 31%
para revisión y clasificación de docu-
mentos y 28% para investigación y
apoyo para litigios). Además, los depar-
tamentos jurídicos son más propensos
a utilizar a los proveedores alternativos
carlos de servicios legales en áreas especiali-
gámez zadas (29% de uso para servicios regu-
latorios de riesgo y cumplimiento; 21%
• El autor es director
para asesoramiento legal especializado;
senior de Innovación
para el Negocio Legal 17% para investigación legal y 15% para
de Thomson Reuters gestión de propiedad intelectual).
El potencial de crecimiento reside
en las alianzas entre firmas de aboga-
dos y proveedores alternativos de ser-
vicios legales para desarrollar solucio-
nes combinadas y escalables y en la
aplicación de tecnología para servicios
de mayor valor agregado, como el uso
de inteligencia artificial para automati-
zar las revisiones de contratos comple-
jos o simples, en gran volumen.
Las firmas y los departamentos ju-
rídicos más innovadores se basan en
datos y trabajan en colaboración con
otras partes en el ecosistema legal pa-
ra crear un resultado óptimo. La clave
será la innovación constante y la con-
vergencia. Es hora de que la relación
departamento jurídico/firma de abo-
gados se renueve y aplique los dife-
rentes enfoques que están creando los
Bibliografía nuevos actores en la industria para re-
(1) The 2018 State of ducir costos y ser más eficientes.
Corporate Law Departments
Report: Modern Law El ecosistema ya está (lenta y a re-
Departments Taking More gañadientes) trabajando en conjunto.
Proactive Stencil. Éste es un comienzo y el futuro es
https://bit.ly/2IN8QvS brillante.

el economista
Legal
miércoles 25 de abril del 2018 3
 ley fintech
¿La esperada ley fintech
impulsará o frenará el sector en México?
E
l fenómeno fintech no
es exclusivo de México. Es una
tendencia prácticamente a es-
cala mundial. De conformidad
con la Condusef, el término
fintech deriva de las palabras finance tech-
nology y se utiliza para denominar a las em-
presas que ofrecen productos y servicios fi-
nancieros, haciendo uso de tecnologías de la
información y comunicación, como páginas
de internet, redes sociales y aplicaciones pa-
ra celulares. Según Fintech Radar de Finno-
vista, existen más de 238 startups fintech en
México, lo que ha colocado al país como líder
en este sector en América Latina.
El 9 de marzo de 2018 fue publicada en el
Diario Oficial de la Federación la Ley para Re-
gular las Instituciones de Tecnología Finan-
ciera (conocida abreviadamente como ley
fintech), mediante decreto por el que tam-
bién se reformaron y  adicionaron diversas
disposiciones de leyes financieras como la de
Instituciones de Crédito, la del Mercado de
Valores y la llamada Ley Antilavado.
De acuerdo con Endeavor México, uno de
los principales logros de los emprendedores
del sector fintech es que han comenzado a de-
mocratizar los servicios financieros, al grado
de que algunas de sus empresas son hoy im-
portantes vehículos de inclusión financiera.
Llama la atención una estadística digna de
preocupación: 53 millones de adultos mexi-
canos carecen de acceso a servicios finan-
cieros básicos; 61% de los mexicanos mayo-
res de 15 años no tiene una cuenta bancaria.
Por ello, esta ley era no sólo muy esperada por
el sector fintech mexicano, sino también era
muy necesaria para poder mejorar la pene-
tración de servicios financieros al segmento
no bancarizado de la población.
La ley fintech regula los servicios finan-
cieros que prestan las Instituciones de Fi-
nanciamiento Colectivo e Instituciones de
Fondos de Pago Electrónico, denominadas
4 Legal
en su conjunto como Instituciones de Tec-
nología Financiera o ITF. Establece un mar-
co jurídico en el que las sociedades y entida-
des financieras puedan ser autorizadas para
utilizar “Modelos Novedosos”, entendién-
dose estos como aquellos mecanismos que
para la prestación de servicios financieros
utilicen herramientas o medios tecnológi-
cos con modalidades innovadoras distin-
tas a las existentes en el mercado al momen-
to en que se otorgue la autorización temporal
correspondiente.
Se contempla una regulación para cripto-
monedas. Se entiende por activos virtuales la
representación de valor registrada electró-
nicamente y utilizada entre el público como
medio de pago para todo tipo de actos jurí-
dicos y cuya transferencia únicamente puede
llevarse a cabo a través de medios electróni-
cos. Para realizar operaciones con los activos
virtuales, las ITF deberán contar con la previa
autorización del Banco de México.
Otra novedad es la inclusión de lo que
hoy se conoce como Open Banking (apertu-
ra de los datos de los bancos a desarrollado-
res,  startups  y otros miembros del ecosis-
tema fintech). Se prevé el establecimiento de
Interfaces de Programación de Aplicaciones
(API), que son el conjunto de reglas y espe-
cificaciones que son usadas por aplicaciones
para comunicarse entre ellas.
Una de las áreas que preocupan de esta ley
es que el término “disposiciones de carácter
general” aparece 124 veces. Buena parte de la
regulación pendiente será diseñada median-
te estas “disposiciones” que emanarán prin-
cipalmente de la Comisión Nacional Bancaria
y de Valores y del Banco de México. Ojalá que
estas multicitadas “disposiciones” sean pro-
pulsores y no obstaculizadores de las fintech
en México.
Joel A. Gómez Treviño
El autor es presidente de la AMDI. Experto en
derecho informático y nuevas tecnologías.
análisis
Abogados financieros tecnológicos,
el perfil que llegó para quedarse
Julio César Zerecero Marín
D
• El autor
es asesor erivado de los cambios disruptivos en la banca
jurídico
mexicana provocados por la revolución digital,
digital
en BBVA la manera de ofrecer servicios y productos fi-
Bancomer nanciaros ha evolucionado abruptamente. Esto tiene co-
y experto
mo motor la aplicación de soluciones tecnológicas apli-
en derecho
financiero, cadas a modelos de negocios financieros novedosos, en
tecnológico donde el uso de plataformas para la operación física ha
e innovación.
logrado una evolución del sector bancario.
Detrás de estos modelos disruptivos de negocios hay
equipos multidisciplinarios trabajando en conjunto para
proponer ideas, construir y ejecutar nuevos modelos de
negocio innovadores, que marcan tendencias en el mer-
cado. En este tornado de disrupción, hay jugadores clave
encargados de traducir y amalgamar el lenguaje tecno-
lógico y de innovación a las leyes bancarias tradicionales,
estos híbridos producto de dos mundos, el tecnológico y
el financiero, cuentan con una visión y características es-
peciales que dan pie al nacimiento de los abogados fi-
nancieros tecnológicos.
Los abogados financieros tecnológicos son proacti-
vos, flexibles y colaborativos, están abiertos a escuchar
nuevas ideas y puntos de vista de profesionales con es-
pecialidades diferentes, tales como la ingeniería, el diseño
y la innovación. Construyen en equipo mediante la cola-
boración y la comunicación simple y objetiva.
¿Cómo se forman este tipo de abogados? Son perso-
nas sin un rango de edad establecido. Estructurados por
la curiosidad, son capaces de
Detrás de estos modelos disruptivos enfrentarse a nuevos retos y
de negocios hay equipos a información, para com-
multidisciplinarios trabajando prenderla, asimilarla y cons-
truir nuevos esquemas, bus-
en conjunto para proponer ideas, cando que sucedan las cosas
construir y ejecutar nuevos modelos mediante la argumentación
de negocio innovadores, que respaldada por la normativa
marcan tendencias en el mercado. aplicable vigente. En caso de
no existir regulación, desa-
rrollan razonamientos crea-
tivos jurídico-tecnológicos lo suficientemente sólidos y
armonizados con el espíritu de las leyes bancarias para
ser tomados por los reguladores como modelos para ge-
nerar leyes posteriormente.
Son abogados con una visión global interconectada
a través de las tecnologías de la información y el inter-
cambio de información con diversos especialistas a esca-
la mundial, quienes trabajan en conjunto de forma trans-
versal evitando a toda costa construir en silos, siempre
compartiendo información bajo un esquema colabora-
tivo para brindar destellos de juventud a un sistema fi-
nanciero que ha comenzado a rejuvenecer. Son abogados
con una curiosidad nata, en constante contacto con las
nuevas tendencias y los esquemas tradicionales, creando
una sinergia positiva entre la vieja y nueva banca.
Presenciamos el inicio de una revolución digital que
va a impactar de manera positiva al sector bancario en
México. Es necesaria la existencia y multiplicación de los
abogados financieros tecnológicos que posean una agu-
da sensibilidad de negocio digital, capaces de identificar
las grandes oportunidades que la economía digital brin-
da para el presente y el futuro del mundo.
el economista
miércoles 25 de abril del 2018

Isabel Davara, el derecho
y la protección de datos
Esta abogada dirige uno de los
despachos más prestigiados de
méxico en derecho y tecnologías de
la información. lleva una relación
permanente con la academia y su
vinculación con la industria.
E
l despacho Dava-
ra Abogados, liderado
por la doctora Isabel
Davara Fernández de
Marcos, se especiali-
za en el derecho de las Tecnologías
de la Información y Comunicación
y, sobre todo, en la protección de
datos personales. Es un despacho
boutique que atiende a clientes de la
industria y la academia en México,
comandado por una de las aboga-
das con mayor prestigio en México.
“La protección de datos personales
es el derecho fundamental del siglo
XXI. La identidad digital se ha vuel-
to más importante que la identidad
física”, dice Isabel Davara.
La especialización de este bufete
lo ha puesto en un lugar privilegia-
do para atender las necesidades de
la industria. Se trata de diseñar so-
luciones jurídicas innovadoras para
el desarrollo de plataformas de co-
mercio electrónico, economía cola-
borativa o la llegada de servicios de
tecnologías financieras o fintech.
La profesión de la abogacía corre
por su linaje familiar. Isabel Dava-
ra ha enfocado su especialización ju-
rídica en las áreas de protección de
datos personales, firma electrónica
y tecnologías financieras. Es doctora
en derecho, licenciada en derecho y
en ciencias económicas empresaria-
les por la jesuita Universidad Pontifi-
cia de Comillas en Madrid. En el 2005,
fundó en México Davara Abogados.
Davara tiene 15 libros publicados
sobre protección de datos y ha co-
laborado en la publicación de más
de 100 artículos sobre el tema. Es la
coordinadora del Diplomado en De-
recho de las Tecnologías de la Infor-
mación y Comunicaciones del ITAM
(Instituto Tecnológico Autónomo de
el economista
Legal
miércoles 25 de abril del 2018
cortesía: davara abogados
México), que ha formado a 13 ge-
neraciones de profesionales, y fun-
ge como vicepresidenta Legal de la
Asociación de Internet.mx. Ha for-
mado parte del Comité de Privacidad
de Datos en la American Chamber of
Commerce, en su capítulo Ciudad de
México.
A través de su bufete jurídico, Da-
vara fomenta la vinculación entre in-
dustria y academia, para fortalecer
los fundamentos jurídicos y la for-
mación de profesionales que puedan
atender necesidades actuales del de-
recho y la tecnología, como comer-
cio electrónico, tecnologías financie-
ras o nuevos modelos de economía
colaborativa. El despacho, en mu-
chos casos, relata Davara, es funda-
mental para el soporte de otras áreas
y aporta la asesoría necesaria para
tratar, por ejemplo, casos de delitos
cibernéticos. “No hay área del dere-
cho que no se vea afectada por el uso
de las tecnologías de la información y
las comunicaciones”, dice.
perfil
La protección de
datos personales
es el derecho
fundamental del siglo XXI.
La identidad digital se ha
vuelto más importante que
la identidad física.
Estamos muy
especializados
[en protección de
datos] y por eso podemos
tener un sitio privilegiado
en el mercado frente a
otros despachos.
Esta abogada de origen español
considera que México tiene uno de
los regímenes más comprehensi-
vos en protección de datos perso-
nales y la regulación de la industria
ha logrado posicionarse como uno
de los modelos a seguir en América
Latina. Aunque el régimen jurídico
puede no ser perfecto, desde hace
isabel ocho años México comenzó a to-
davara mar el camino correcto para esta-
blecer esquemas que protejan a los
usuarios. La existencia de un órga-
• Socia Fundadora de no de protección como el Inai brin-
Davara Abogados,
boutique legal da una certeza jurídica a los usua-
especializada en derecho rios, dice Davara.
de las tecnologías de la Davara ha buscado consolidar a
información.
su despacho como una pieza esen-
• Doctora en derecho
y licenciada en cial para el tema de la protección
ciencias económicas y de datos en México, ha ayudado a
empresariales. que se sigan desarrollando y for-
• Miembro de la
taleciendo sus esquemas legales y
International Association
of Privacy Professionals académicos, para que estén actua-
(IAPP). lizados y vayan de acuerdo con las
• Vicepresidenta Legal necesidades de la industria.
de la Asociación de
Internet.mx. “Estamos muy especializados
• Reconocida como líder [en protección de datos] y por eso
de privacidad por la podemos tener un sitio privile-
International Association giado en el mercado frente a otros
of Privacy Professionals.
despachos más generalistas y más
grandes. Nosotros somos una bou-
tique y sólo nos dedicamos a esto”,
dice Isabel Davara.
Antonio Becerril
antonio.becerril@eleconomista.mx
5
 reportaje
Un ciberdelito es un
delito es un ciberdelito
Como si fuera el poema de stein, los ciberdelitos son derivaciones de
conductas punibles en el mundo físico cometidas a través de las TIC
U
n delito es un delito
es un delito. Esta alusión
al poema “Sacred Emily”
de Gertrude Stein (“Ro-
se is a rose is a rose is a ro-
se”) parece gratuita en el ámbito de la im-
partición de justicia, pero cuando se habla
de ciberdelitos, es decir, de aquellos ac-
tos que suceden a través de las tecnologías
de la información y la comunicación, es-
te verso parece reducir la discusión sobre
el concepto legal a sus mínimos posibles.
Dicha discusión sobre los delitos in-
formáticos y su tipificación dentro de
los ordenamientos jurídicos en México
enfrenta, por lo general, dos posturas:
aquella que ve como indispensable una
reforma legislativa para incluir un catá-
logo de delitos que regule el uso de inter-
6 Legal
net y los dispositivos informáticos frente
a quienes piensan que si bien es nece-
sario examinar la legislación actual pa-
ra adecuarla de forma pormenorizada al
uso de la tecnología, también es preci-
so que abogados, policías de investiga-
ción, ministerios públicos y jueces re-
ciban capacitación constante para saber
cómo adecuar y procesar un ciberdelito
respecto de la norma vigente.
Un delito es el acto u omisión que
sancionan las leyes penales, de acuer-
do al Código Penal Federal mexicano, el
cual añade que un delito puede ser ins-
tantáneo, permanente o continuado y
que puede realizarse de forma dolosa
o culposa. Esta definición es suficiente
para los fines que persigue, pero parece
agotarse en sí misma.
Kaspersky Lab Siguiendo la teoría del delito, el doc-
registró en 2017 tor Alfredo Reyes Krafft, socio del des-
un aumento de pacho Lex Informática, refiere que un
59%
en ataques de ataques
delito es una conducta humana típica,
antijurídica y culpable, por lo que un
delito es una actividad realizada por una
persona, que está expresamente pro-
de malware en hibida, que va contra el orden jurídico
América Latina con y que es reprochable. Bajo esta defini-
ción, un delito es independiente del me-
una tasa promedio de
dio tecnológico por el que se lleve a cabo.
33 incidentes
por segundo.
“El robo, independientemente de la
tecnología que una persona utilice para
llevarlo a cabo, no dejará de tipificarse
como delito de robo”, dijo Reyes Krafft.
La ley penal mexicana, conteni-
da tanto en el Código Penal Federal co-
mo en los códigos de los estados, incluye
una diversidad de delitos que se encuen-
el economista
miércoles 25 de abril del 2018

tran debidamente tipificados y sancio-
nados de acuerdo con una serie de va-
riables, como su gravedad, intención o
responsabilidad, de forma separada a si
se cometieron en el mundo físico o en el
mundo digital.
Marco jurídico del ciberdelito
La definición de delito abarca a la mayo-
ría de las actividades punibles, según los
ordenamientos jurídicos federales o es-
tatales, que se llevan a cabo a través de
medios informáticos. Se les conoce co-
múnmente como ciberdelitos y englo-
ban acciones como phishing, pharming,
ciberacoso, usurpación de identidad, ci-
berterrorismo o instalación y ejecución
deransomware, por ejemplo.
El llamado phishing (de pescar, en in-
glés) hace referencia a la persuasión co-
metida contra una persona a través de
medios digitales con el fin de que entre-
gue información de manera voluntaria
mediante algún tipo de engaño. Dentro
de esta actividad caben los enlaces envia-
dos por aplicaciones de mensajería ins-
tantánea y por correo electrónico o los
que se encuentran publicados en redes
sociales, e incluso, el redireccionamien-
to de sitios y páginas de internet que su-
plantan a otras, al que se le ha denomina-
do pharming, y cuyo fin es que el usuario
registre cierta información, como datos
personales o número de cuentas banca-
rias y contraseñas, en campos a los que
otra persona tiene acceso con facilidad.
el economista
Legal
miércoles 25 de abril del 2018
• El autor es
socio en
Calderón &
De la Sierra.
Experto
en nuevas
tecnologías
y protección
de datos
personales
El phishing es utilizado para acceder
a información bancaria o financiera del
usuario de un dispositivo informático,
con el fin de cometer el delito de fraude,
el cual se encuentra tipificado en el Códi-
go Penal Federal. Este delito también fi-
gura en la mayoría de los códigos pena-
les estatales y en algunos casos —como
en Colima— la utilización de medios in-
formáticos o electrónicos para llevarlo a
cabo supone una consideración especial.
Sin embargo, el phishing también
puede ser ejecutado con otros fines, co-
mo tomar el control de un dispositivo
electrónico, extraer información con-
fidencial o secuestrar información para
realizar una extorsión, lo que se conoce
como ransomware (de secuestro, en in-
glés), y que también está tipificada en el
ordenamiento penal federal.
Lo mismo ocurre con otros delitos,
como la comercialización de obras pro-
tegidas por el derecho de autor o pirate-
ría, la revelación de secretos industriales,
la clonación de tarjetas y medios de pa-
go, las amenazas, el uso no autorizado de
imagen, la difamación e, incluso, la por-
nografía infantil. Estas faltas, que pueden
ser llevadas a cabo a través de medios in-
formáticos o con acciones en el mundo
físico, se encuentran tipificadas en los
códigos penales y en algunas leyes espe-
ciales. “Lo que hay que hacer es un ejer-
cicio de tipificación de la conducta, que
dicha conducta se adecue al tipo penal en
específico”, dijo Reyes Krafft.
reportaje
Implicaciones legales en
torno a la ciberseguridad
Luis Mario Lemus Rivero
C
on el desarrollo de las nuevas tecnologías, la uni-
versalización de internet y la consolidación de las
economías digitales, los ciberataques se han con-
vertido en una amenaza constante. Aunque la tecnolo-
gía hace mucho por nosotros, también puede acarrear
varios problemas.
La ciberseguridad es una rama de la seguridad de la
información y, en este sentido, supone procesos que im-
plican la prevención de un riesgo, su detección y su reac-
ción. Pero ¿cómo prevenir un ciberataque? ¿Qué res-
ponsabilidades existen en materia de ciberseguridad?
¿Cómo proteger la información en mi empresa?
En México hay cierta incertidumbre respecto de los
marcos jurídicos que existen en torno a la tecnología. Se
cree que vivimos en un país que carece de leyes que regu-
lan los actos jurídicos que se realizan a través de medios
electrónicos. Pero es importante resolver dicha disyuntiva,
pues en nuestro país existen diversas leyes que regulan la
protección de la información, incluida aquella que es tra-
tada por medios electrónicos, como lo son la Ley Fede-
ral de Protección de Datos Personales en Posesión de los
Particulares, la Ley Federal de Protección al Consumidor,
la Ley de la Propiedad Industrial y el Código Penal Federal.
De acuerdo con un estudio publicado por Berkeley
Research Group en 2017 sobre la situación real de la ci-
berseguridad en las empresas, encontramos que la mayor
fuente de brechas e incidentes se deben al factor huma-
no y sólo 22% de incidentes se debe a hackers. Es im-
portante destacar que, en su mayoría, los malwares se
detonan cuando una
persona abre un archivo Se cree que no tenemos
o una liga infectada, por leyes que regulen los
lo que el factor huma- actos jurídicos a través
no juega un papel im- de medios electrónicos.
portante en este tema.
Para prevenir un in- Pero no es así: existen
cidente, es indispensa- diversas leyes que
ble que las empresas regulan la protección de
desarrollen e imple- la información, incluida
menten una política in-
tegral de seguridad de aquella que es tratada
la información, respon- por medios electrónicos.
siva sobre el uso de las
tecnologías al interior de la organización, la elaboración
de lineamientos BYOD (Bring Your Own Device), que se
capacite al personal y se realice un análisis de brecha que
permita a la empresa conocer las medidas de seguridad
actuales y las faltantes.
El no tomar en cuenta estas medidas para prevenir
un incidente tiene consecuencias muy graves, que van
desde una sanción económica, responsabilidades de ca-
rácter penal y civil, hasta un delicado impacto reputa-
cional en la empresa, que puede acarrear como resulta-
do su quiebra.
México, desde la parte gubernamental, está traba-
jando en una Estrategia Nacional de Ciberseguridad. No
obstante, aún hay varios retos por delante, entre ellos la
adhesión a uno de los instrumentos mas importantes en
materia de ciberdelincuencia, el Convenio de Budapest.
7
 reportaje
En el año
2017 el Gobierno
del presidente Enrique Peña
Nieto publicó la Estrategia
Nacional de Ciberseguridad con
5 objetivos estratégicos:
sociedad ​y ​derechos; economía ​
e ​innovación; instituciones ​
públicas; seguridad ​pública, y
seguridad ​nacional.
Para Cynthia Solís, también socia de
Lex Informática, la labor de dicho ejer-
cicio corresponde al ministerio público
o al juez. Esto puede constituir un pro-
blema si las autoridades carecen de los
conocimientos técnicos para adecuar la
conducta a un tipo de delito en específico.
Deficiencias
Para Reyes Krafft, el que existan estos ti-
pos penales dentro del marco jurídico
mexicano no supone que su redacción
—y por tanto sus implicaciones— sea la
más adecuada para perseguir ciberdeli-
tos, lo que ha generado una gran canti-
dad de conflictos tanto en su interpreta-
ción como en su puesta en práctica.
La deficiencia en la redacción de or-
denamientos jurídicos que hacen refe-
rencia a delitos informáticos se debe, de
acuerdo con los especialistas, al desco-
nocimiento de los legisladores acerca de
temas vinculados a las tecnologías de la
información. Esto se ha vuelto una cons-
tante a escala federal y en los marcos le-
gales de las entidades. Códigos penales
como el de Sinaloa o Puebla tipifican de
forma expresa delitos informáticos, pe-
ro la redacción de los artículos conlleva
una confusión de conceptos que no abo-
na al esclarecimiento de este tipo de ac-
ciones ilícitas.
Propuestas
En este momento se encuentra en co-
misiones de la Cámara de Diputados, en
calidad de pendiente, una iniciativa pro-
puesta por la diputada Sofía González
Torres, del grupo parlamentario del Par-
tido Verde, y por el diputado Waldo Fer-
nández, del PRD, la cual busca reformar
8 Legal
Se cree que México y adicionar diversas disposiciones tan-
to del Código Penal Federal como del
no tiene regulación Código Nacional de Procedimientos
Penales en materia de delitos informá-
en materia de ticos, evidencias digitales y medidas de
cooperación internacional para com-
ciberdelitos, pero batir el ciberdelito.
si bien las leyes no Estas reformas y adiciones incluyen
una “reingeniería normativa a los deli-
especifican que tos que están relacionados con los sis-
temas informáticos o que son cometi-
deben ocurrir o dos con el uso de las tecnologías de la
información y comunicación”, co-
que han ocurrido mo es el caso de los delitos de porno-
en redes sociales grafía de personas menores de 18 años
y el de acceso ilícito a sistemas y equi-
o en sistemas pos de informática.
Además, la propuesta supone la adi-
informáticos, los ción de un delito cometido por quien
“intercepte de forma deliberada sin au-
delitos existen torización o excediendo la que posea,
y tienen una sin permiso o consentimiento legal-
mente reconocido por cualquier medio
penalización: técnico, datos informáticos, informa-
ción o comunicaciones dirigidas, ori-
Alejandra Wade. ginadas o efectuadas en o dentro de
un sistema informático o sistema que
utilice sistemas de tecnologías de in-
formación y comunicación incluidas
las emisiones electromagnéticas que
transporten datos, información o co-
municaciones” y la de una fracción
XXII al artículo 387 para tipificar el
fraude informático.
La iniciativa también busca intro-
ducir un catálogo de delitos informá-
ticos dentro del Capítulo III del Código
Penal Federal, el cual considere acti-
vidades como el “abuso de dispositi-
vos”, la “falsificación informática” y la
“usurpación de identidad ajena”, según
el documento publicado en la Gace-
ta Parlamentaria el 7 de noviembre del
2017. Esta propuesta pretende agre-
gar también una sección al Código Na-
cional de Procedimiento Penales, que
abarque los actos de investigación ne-
cesarios para la obtención de eviden-
cias digitales y que regule la conserva-
ción, registro y preservación de datos
informáticos almacenados, la obten-
ción de datos en tiempo real; así como
la protección de datos personales en
investigaciones y la obtención de datos
almacenados en otro Estado.
Para los especialistas, más que una
miscelánea de nuevos delitos, lo que
hace falta para corregir las deficien-
cias en los ordenamientos judiciales en
cuanto a la tipificación de ciberdelitos
es una reforma quirúrgica, de preci-
sión, que permita hacer más aplicable
el marco jurídico existente.
“En la práctica, no se ha logrado te-
ner una iniciativa que sea congruente y
que sea aceptada tanto por la sociedad
civil como por la industria, por lo que
la recomendación es trabajar con lo ya
existente en lugar de proponer refor-
mas estructurales”, dijo Cynthia Solís.
Un ejemplo de esto es que si se con-
sidera que el delito de usurpación de
identidad ya existe en los códigos pe-
nales estatales, como el de la Ciudad de
México y el del Estado de México, sólo
es necesario homologarlo y hacer que
figure en el ordenamiento federal, sin
importar si se lleva a cabo mediante
dispositivos informáticos o con instru-
mentos físicos.
A esto también debe sumarse la ela-
boración de Normas Oficiales Mexi-
el economista
miércoles 25 de abril del 2018

canas que permitan que la industria se
adecue a estándares de seguridad, pa-
ra que los usuarios de los sistemas in-
formáticos puedan utilizarlos de forma
más segura y confiable, con el conoci-
miento de que existirán protocolos de
cooperación entre los propios provee-
dores de servicios. NYCE, el organismo
mexicano dedicado al desarrollo de es-
tándares para la industria, ha elaborado
normas que buscan satisfacer la necesi-
dad de marcos jurídicos claros y especí-
ficos para la industria; sin embargo, es-
tas normas aún no se han elevado a la
categoría oficial (NOM).
También la sociedad civil ha impul-
sado esfuerzos para que a las personas
que hagan uso de los sistemas infor-
máticos les sea más sencillo presentar
una denuncia en caso de haber sido
víctimas de un delito vinculado a estas
tecnologías.
CYnergia es una plataforma desa-
rrollada por el Consejo Cívico de Ins-
tituciones de Coahuila, A.C. cuyo
objetivo es hacer un monitoreo de los ci-
berdelitos cometidos principalmente en el
estado de Coahuila, pero que también
agrega aquellos ocurridos en otras par-
tes del país.
“Se cree que México no tiene regu-
lación en materia de ciberdelitos, pero
si bien las leyes no especifican que de-
ben ocurrir o que han ocurrido en redes
sociales o en sistemas informáticos, los
delitos existen y tienen una penaliza-
ción; lo que sí hace falta es un esfuerzo
en la capacitación de ministerios públi-
cos, de la defensoría y de los jueces, para
poder conservar y recibir como pruebas
aquello que se genere a través de medios
el economista
Legal
miércoles 25 de abril del 2018
digitales”, dijo Alejandra Wade, direc-
tora del Consejo Cívico de Instituciones
de Coahuila.
Wade también mencionó el compro-
miso del presidente Enrique Peña Nieto
para impulsar una estrategia de ciberse-
guridad, la cual si bien se concretó a fi-
nales de 2017 con la publicación de la
Estrategia Nacional de Ciberseguridad
(ENCS), parece haber llegado demasiado
tarde, por el momento que cruza la Ad-
ministración federal, a menos de un año
de concluir sus labores.
Para la doctora Anahiby Becerril,
miembro de la Academia Multidiscipli-
naria en Derecho y Tecnologías A.C., este
documento es un buen primer paso que
demuestra la voluntad por establecer un
marco jurídico adecuado y congruente
con las necesidades de la población en su
relación con la tecnología. Sin embargo,
la importancia radica en la implementa-
ción que se le dé a la estrategia y el pro-
blema que representa su continuidad en
el marco del proceso electoral de este año.
“Nuestra preocupación es que el gana-
dor debería darle continuidad a esta es-
trategia y la percepción que existe es que
es probable que esto no ocurra”, dijo la
doctora Anahiby Becerril.
Las dos posturas que se enfrentan
en relación con la ciberseguridad pue-
den ser integradas a través de los objeti-
vos y los ejes transversales que impulsa
la Estrategia Nacional de Ciberseguridad
(ENCS). El momento político que vive el
país hace que se olvide que una estra-
tegia es una estrategia es una estrategia,
que requiere de continuidad.
Rodrigo Riquelme
rodrigo.riquelme@eleconomista.mx
reportaje
entrevista
“La educación en derecho de las tecnologías
de la información es un pendiente en México”
J ulio Téllez, profesor e investigador del Instituto de Investigaciones Jurídicas
de la UNAM, autor del libro Derecho Informático, un precedente de los es-
tudios sobre el derecho de las tecnologías, la sociedad de la información y
del conocimiento, ofrece su visión acerca de la educación superior sobre estos temas.
¿Cuál es el panorama de la educación superior en relación con el
derecho informático?
—En principio, hace ya varios años que trascendió el término derecho informático,
ahora hablamos de derecho de las tecnologías. A este respecto, existen dos compro-
misos de la academia sobre el tema: por un lado, tomar a las tecnologías de la infor-
mación y la comunicación como un instrumento para la consecución de los fines óp-
timos del derecho, que son la justicia y el bien común. El otro es la tecnología como un
objeto de estudio y eventual regulación.
En ambas vertientes, la educación en México está quedando mucho a deber por
parte de los planes de estudio de las universidades mexicanas. Nos estamos desfasan-
do porque vivimos en una sociedad de la información y del conocimiento y el derecho
y quienes estudian y ejercen la carrera no están a la altura de esta sociedad. A veces de-
cimos que los juristas nos debemos a la sociedad y pareciera que no estamos suficien-
temente interiorizados para identificar sus problemas y, en consecuencia, poder darles
respuesta. Esto ha obstaculizado que se logren reformas en relación con la protec-
ción de datos personales, gobierno electrónico o delitos informáticos. Es lamentable
que algunas instituciones, entre ellas la propia UNAM y el Tecnológico de Monterrey,
pese a que introdujeron esta materia en sus programas, después decidieron quitarla.
¿Cómo afecta esta deficiencia educativa en la elaboración de
regulaciones sobre las tecnologías de la información?
—Hay quienes ignoran que estamos frente a una vorágine de nuevos problemas. Es
necesario crear un nuevo orden jurídico que pueda dar soluciones a estos nuevos desa-
fíos, pero el problema es que a quienes son los encargados de tomar las decisiones les
cuesta mucho trabajo reconocer que son ignorantes, cuando este concepto designa a
alguien que desconoce ciertas cosas y que tiene la ventana de oportunidad de poder
conocerlas, esto quiere decir que no es reprochable o criticable el que alguien sea igno-
rante, lo reprochable es no hacer lo suficiente para salir de la ignorancia.
Espero que el año electoral no entorpezca decisiones como la integración de Mé-
xico al Convenio de Estrasburgo en materia de protección de datos personales, o al
Convenio de Budapest, en materia de regulación en ciberdelitos. La academia está
tratando de hacer lo más posible para que estos avances no pasen desapercibidos.
¿Cómo debe ser la legislación respecto del uso de las tecnologías y el
combate a los delitos informáticos?
—La legislación no siempre debe tener un sentido negativo, de limitar, sancionar o sus-
cribir. También debe estimular el buen uso de estas tecnologías, es decir que sean los
ciudadanos quienes podamos gestionar nuestro propio conocimiento y que no deje-
mos que las empresas, como Google, sean las que generen y gestionen el conocimien-
to, porque su propósito es generar un beneficio económico y, al menos en el caso de
las universidades públicas, el objetivo es fomentar una sociedad en la que exista me-
nos pobreza, menos analfabetismo y un mayor nivel de crítica.
¿Qué papel juega la academia?
—Afortunadamente, la ignorancia que abunda no solo en las instituciones de
gobierno sino también en las empresas, ha hecho que estas volteen a ver a la academia
y eso es provechoso. Ahora nos invitan a eventos para conocer nuestra opinión y la
academia tiene este tipo de compromisos y estamos dispuestos a asumirlo.
Además, como mercado laboral, el derecho de las tecnologías también es muy
atractivo y estimulante y las universidades deberían estar preocupadas porque los
egresados se coloquen en entornos gubernamentales o empresariales, en los que pue-
dan dar respuesta a los múltiples problemas que está generando el mal uso de las tec-
nologías de la información. (Rodrigo Riquelme)
9
 panel de expertos
Tema:
Mejores prácticas internacionales
Soluciones que podemos aprender
de la experiencia internacional materiales
de consulta

R
esulta innegable que la importancia de la pro-
tección de los datos personales y de la privacidad ha
héctor e. aumentado en los últimos años como resultado de
guzmán
rodríguez
tres fenómenos generales: la emisión de nuevas le- españa
yes en la materia (donde el nuevo Reglamento General de Protec-
ción de Datos de la Unión Europea ocupa un lugar relevante), el
• El autor es socio
crecimiento exponencial de los servicios digitales y la presencia
Agencia Española
en Bello, Gallardo,
Bonequi y García de vulneraciones a la seguridad que han puesto en riesgo los datos de Protección de Datos
(BGBG) y es experto personales de millones de individuos.
en protección de
Frente a esta realidad, crece en México el interés y la necesidad Big data
datos personales y
privacidad. por comprender cuáles son las medidas legales, técnicas y organi- Código de buenas prácticas en protección de datos
zativas que debemos adoptar para cumplir con el objeto de la Ley para proyectos de Big Data
Federal de Protección de Datos Personales en Posesión de los Par- https://bit.ly/2qWEilJ
ticulares (LFPDPPP).
Las organizaciones más sofisticadas han asimilado que dicha Videovigilancia
protección no se brinda a través de un aviso de privacidad, dado Guía de Videovigilancia - 2014
que este documento sólo comprende el cumplimiento del prin-
cipio de información relativo al tratamiento de datos personales. https://bit.ly/1E7xv6c
Las organizaciones con políticas sólidas reconocen la existencia
de otros principios y obligaciones que deben ser atendidos para
alcanzar un nivel integral de cumplimiento dirigido a la protec-
Educación / Alumnos
ción de este activo. Informe sobre la utilización por parte de profesores
Debemos destacar que cualquier responsable de datos perso- y alumnos de aplicaciones que almacenan datos en
nales debe adoptar medidas para el cumplimiento del principio nube con sistemas ajenos a las plataformas educativas
de responsabilidad, que en su nivel más elemental se constituye https://bit.ly/2FORemf
como “la obligación de velar y responder por el tratamiento de los
datos personales que se encuentren bajo su custodia o posesión, Seguridad
o por aquellos que haya comunicado a un encargado (artículo 47 Guía de Seguridad de Datos - 2010
del Reglamento de la LFPDPPP). El mismo numeral de referencia
https://bit.ly/2qq5qZb
dispone que para cumplir con esta obligación “el responsable po-
drá valerse de estándares, mejores prácticas internacionales, po-
líticas corporativas, esquemas de autorregulación o cualquier otro
mecanismo que determine adecuado para tales fines”.
Pero, ¿en qué consisten las mejores prácticas internacionales? reino unido
¿Existen fuentes o referencias para encontrarlas? ¿Cualquiera de
ellas será útil para mi organización? Information
En gran medida, las mejores prácticas internacionales han sido Commissioner’s Office
desarrolladas e impulsadas por autoridades de protección de da-
tos y por organizaciones cuyo objeto comprende la promoción de Recursos Humanos / Empleados y Candidatos
la seguridad de la información y de los datos personales. También
The employment practices code
es posible encontrar mejores prácticas desarrolladas por empre-
sas privadas, que tienden a estar orientadas a su propia actividad. https://bit.ly/1U70EpT
En el presente espacio deseamos brindar al lector referencias
para la búsqueda de mejores prácticas relacionadas con activida-
des de tratamiento específicas, que han sido desarrolladas por au- Videovigilancia
toridades y organizaciones internacionales. La lista que acompaña In the picture: A data protection code of practice for
este artículo no es exhaustiva, pero demuestra el nivel de especia- surveillance cameras and personal information
lización que es posible alcanzar en la búsqueda de acciones y me- https://bit.ly/1KR3cDX
didas para la protección de los datos personales relacionadas con
determinadas actividades y colectivos.
Anonimización de datos personales
En todos los casos, siempre será recomendable que nuestra or-
ganización determine su nivel de cumplimiento global y, en su Anonymisation: managing data protection risk code
caso, aquel relacionado con actividades o colectivos específicos of practice
que resulten esenciales para el negocio. https://bit.ly/1RPK2Wm

el economista

10 Legal
miércoles 25 de abril del 2018
 panel de expertos

de protección de datos personales

7 consejos para brindar una mayor
protección a los datos personales

L
as mejores prácticas internacionales en materia
de protección de datos personales son medidas que han
rodrigo sido generalmente aceptadas como métodos estandari-
méndez zados para realizar un buen y correcto tratamiento de la
hong kong solís información. En México, el correcto tratamiento de datos persona-
les se regula conforme a los principios de legalidad, consentimien-
• El autor es asociado
Privacy Commissioner senior en Hogan to, información, calidad, finalidad, lealtad, proporcionalidad y res-
for Personal Data Lovells y experto en ponsabilidad, establecidos en la Ley Federal de Protección de Datos
protección de datos y Personales en Posesión de los Particulares y su reglamento. Por su
telecomunicaciones.
Servicios de Internet / Menores de edad similitud a escala mundial, los mencionados principios funcionan
Collection and Use of Personal Data through the Internet como ejes rectores en la implementación de buenas prácticas inter-
– Points to Note for Data Users Targeting at Children nacionales de la mano de la autorregulación.
A continuación se mencionan algunas buenas prácticas inter-
https://bit.ly/1IPF3Bj nacionales que, en nuestra experiencia, diversas empresas han co-
menzado a implementar aun cuando no se encuentran expresa-
Publicidad / Mercadotecnia Directa mente obligadas en términos de la regulación aplicable en México:
New Guidance on Direct Marketing
https://bit.ly/2EDZDDL 1 controles de acceso de las empresas han comenzado a incluir en
a la información sus códigos de ética y de conducta dispo-
Algunas empresas han tenido a bien im- siciones que adviertan a sus empleados del
plementar medidas de control respecto del correcto tratamiento de los datos persona-
Servicios de Salud / Pacientes quienes acceden y tratan información per- les que recaben, estableciendo principios y
Care for Patients Protect Their Personal Data sonal. Lo anterior es realizado a través de bi- normas que deberán observarse para tal fin.
tácoras y división entre roles de empleados
https://bit.ly/2JD7hSp conforme a sus funciones. 6 capacitación de personal
Cada vez es más común que el sector pri-
2 escritorios limpios vado invierta en la capacitación continua de
Esta práctica corporativa consiste en que sus empleados y, en materia de protección
los lugares de trabajo se mantengan lim- de datos, esto no es la excepción. Las em-
internacional pios de documentos en el momento en que presas han comenzado a implementar ca-
pacitaciones constantes de su personal,
los trabajadores no se encuentran en ellos.
Es una buena práctica que tiene el efecto de para efecto de que éste se encuentre infor-
Grupo de Trabajo mitigar la fuga de información o el acceso a mado y preparado en conocer cómo deben
tratarse los datos personales dentro de la
del Artículo 29 ella por personas no autorizadas.
organización y qué hacer en caso de una
3 destrucción y digitalización contingencia.
Recursos Humanos / Empleados y de información y políticas
Candidatos paperless 7 auditorías y actualizaciones
En armonía con el cuidado del medio am- periódicas
Opinion 2/2017 on data processing at work Realizar al menos una vez al año auditorías
biente, el sector privado ha comenzado
https://bit.ly/2sY8v4h a digitalizar los documentos en papel y a para evaluar el estatus de la compañía res-
implementar políticas paperless. Las em- pecto de la implementación y observancia
presas han implementado políticas de eli- de la ley es una buena práctica que la em-
Drones presas están implementando. De igual for-
minación segura de documentos digitali-
Opinion 01/2015 on Privacy and Data Protection zados a través de empresas especializadas ma, la obligación constante hacia los em-
Issues relating to the Utilisation of Drones en destrucción de archivos y la contratación pleados de cambiar las contraseñas para el
de servicios de almacenamiento seguro de acceso a sus equipos de cómputo es algo
https://bit.ly/2EEcN3C documentos, ya sea en servidores propios que ha ayudado a las empresas a mantener
o en la nube. protegida su información.
Internet de las Cosas / IoT conclusión
Opinion 8/2014 on the on Recent Developments on
4 sellos de confianza En un mundo globalizado, en donde la in-
Principalmente aquellas empresas dedica- formación se vuelve el activo más impor-
the Internet of Things das al comercio electrónico buscan obtener tante en cualquier organización, es necesario
https://bit.ly/2HgBng9 una certificación a través de sellos de con- que las empresas creen e implementen me-
fianza, que avalen que sus sitios cumplen canismos para la protección y correcto tra-
con la normativa en protección de datos y tamiento de la información que tratan día a
protección al consumidor. día. Mucho dependerá el giro de la empre-
sa y de los datos personales que trate pa-
5 códigos de ética ra efecto de implementar las prácticas ade-
y de conducta cuadas, que brinden una mayor protección a
Los departamentos de protección de datos la información.

el economista
Legal
miércoles 25 de abril del 2018 11
 opinión

mauricio
jalife
daher
• El autor
es socio en
Jalife | Caballero
y experto en
propiedad
intelectual.

Facebook-Cambridge,
el impacto del nuevo desafío
Lo que la mente detrás del fenómeno
La psicografía de los usuarios de Facebook constituye ha revelado es el alcance de lo que pue-
una herramienta para usos políticos que exhibe nuestra de hacerse con el procesamiento auto-
exposición a ser descifrados y anticipados por nuestra matizado de datos personales de vo-
tantes potenciales con fines políticos,
continua presencia en redes sociales e internet y los resultados, en voz de Aleksandr

L
a revelación que
se ha filtrado sobre la in-
tervención de Cambrid-
ge Analytica en la cam-
paña presidencial de
Estados Unidos, que pudo haber influi-
do en la decisión de millones de votan-
tes a través del procesamiento de in-
formación de cuentas de Facebook, ha
encendido la polémica sobre un tema
cuyo potencial estaba ya medido, pe-
ro que ahora, a la vista de su materia-
lización, expone categóricamente las
incapacidades del sistema normativo
para disuadir estas conductas.
De hecho, la primera andanada de
preguntas surge a partir de la determi-
nación de hasta dónde los datos de los
particulares que son procesados mate-
máticamente constituye un uso ilegal,
o se trata de la medición de tendencias
que despersonalizan la vinculación di-
recta de la información de individuos
en lo particular. ¿Qué no es el propó-
sito de la publicidad y la propaganda
convencer y seducir con una discreta
manipulación de las emociones? ¿No
es acaso el marketing directo un pre-
cedente que establece, a través de una
decantación del universo de consumi-
dores, una oferta dirigida con alto po-
tencial de efectividad?
Kogan, son aplastantes. Segmentan-
do a los usuarios de Facebook por edad,
raza, religión, ubicación y otras prefe-
rencias medibles, es posible determinar
sus motivaciones, resortes y caracterís-
ticas, de manera que sea posible influir
en sus percepciones de forma sutil pe-
ro consistente. Algo parecido, ha dicho
Kogan, a lo que hace Netflix para reco-
mendarnos películas a partir de nues-
tro propio historial televisivo.
Esta psicografía de los usuarios de
Facebook claramente constituye una
herramienta para usos políticos que
exhibe de manera brutal nuestra ex-
posición a ser descifrados y anticipa-
dos por nuestra continua presencia en

el economista

12 Legal
miércoles 25 de abril del 2018

En su dimensión jurídica, el caso Facebook-Cambridge Analytica
plantea disyuntivas inmediatas. La primera es la línea de
contención que se debe imponer a las empresas que manejan
datos, a fin de conocer cómo y para qué los emplean, cómo los
procesan y qué utilidades les generan.
redes sociales e internet. Los usos del
procesamiento matemático de datos
de usuarios de redes sociales no só-
lo es de utilidad para la toma de deci-
siones comerciales, permitiendo an-
ticipar demandas incrementales de
productos y servicios, y densidades
geográficas de clientes bajo segmen-
tación de consumo, sino que sus apli-
caciones se extienden hacia ámbitos
de manifiesta conveniencia social.
Por ejemplo, para establecer ciertas
tendencias en materia de salud que
puedan traducirse en políticas de
prevención de enfermedades con al-
tos niveles de efectividad. Si en algún
momento de la historia la máxima de
que el conocimiento y la información
conceden poder es ahora y su poten-
cial es decisivo en muchas de las áreas
de nuestra vida que considerábamos
ajenas a la informática.
El uso de estas 50 millones de
cuentas de Facebook ha generado el
inicio de investigaciones en diversas
jurisdicciones y las disculpas públi-
cas de la empresa, pero es claro que el
valor emblemático del asunto debe-
rá conducir a la adopción de políticas
públicas y leyes de novedosa manu-
factura, que respondan a esta desa-
fiante realidad. No bastará, de hoy en
adelante, con prohibiciones genera-
les que impidan el tráfico de bases de
datos, o la posibilidad de ser borrado
que se concede a cada usuario.
Bajo esta óptica, los difundidos y
respetables derechos ARCO (por el
acrónimo de las palabras acceso, rec-
tificación, cancelación y oposición),
como máxima expresión de la defen-
sa de los datos personales, quedan to-
talmente desbordados y expuestos.
A partir de las evidencias surgidas
del trabajo de Cambridge Analytica,
los gobiernos deberán revisar con-
cienzudamente qué se puede hacer y
qué no con los datos, cómo y cuáles
son procesables, y quién y cómo pue-
de aprovechar los resultados. La dis-
cusión, desde luego, no pasa sólo por
las decisiones unilaterales de un pu-
ñado de legisladores que se perciban
como los empoderados para definir
los cauces de la regulación, sino que
será tarea y responsabilidad colectiva
el economista
Legal
miércoles 25 de abril del 2018
• El autor
partiendo de la pluralidad y comple-
jidad que estas tareas aparejan.
En su dimensión jurídica, el tema
plantea disyuntivas inmediatas que
tienen que ser rápidamente contes-
tadas. La primera es la línea de con-
tención que se debe imponer a las
empresas que manejan datos, a fin
de conocer cómo y para qué los em-
plean, cómo los procesan, qué utili-
dades les generan, a quiénes venden
los resultados y qué decisiones son
tomadas a partir de los mismos. Lue-
go, se debe esclarecer de qué manera
los resultados regresan en la forma de
mensajes directos a los usuarios, que
al haber sido filtrados por el sistema,
se convierten en blanco de determi-
nados contenidos bajo el sesgo de las
preferencias ya analizadas.
La propia Ley Federal de Protec-
ción de Datos Personales en Posesión
de los Particulares, que no ha cumpli-
do siquiera una década de existencia,
al ser contrastada a la luz de este caso,
muestra sus claras limitaciones. No se
diga del cúmulo de disposiciones en
materia electoral, que distan mucho y
hasta ingenuamente, de prevenir los
efectos directos y contundentes que
estos fenómenos pueden ocasionar
en los procesos democráticos.
En la arquitectura de estas reglas,
deben mantenerse como paráme-
tro las matrices de los derechos hu-
manos de reciente cuño y los que han
sido reinterpretados a la luz de las
nuevas tecnologías. Derechos fun-
damentales como los de acceso y co-
nectividad, con otros tan influyentes
como los de libre expresión, privaci-
dad y el derecho a la información, de-
berán ser sumados a la ecuación de la
ponderación.
Además, nuestro país deberá ser
cuidadoso de atender, sí, al ámbito
internacional, pero no es válido sólo
esperar a que las soluciones confec-
cionadas en otras latitudes nos sean
derivadas, en un ejercicio de simple
peso gravitatorio. Esta vez, a las pro-
puestas en otros países, habrá que
añadir una buena dosis de interpre-
tación “a la mexicana”. De otra ma-
nera, las soluciones nunca acabarán
de ser “nuestras”.
opinión
Los verdaderos términos
y condiciones de Facebook
Rhett H. Nieto Gutiérrez
L
es jefe de
as consecuencias de las revelaciones públicas hechas por
Christopher Wylie y Channel 4 acerca de las operaciones de re-
seguridad TI
en FEMSA copilación de datos que hizo Cambridge Analytica a partir del
y experto en
gestión de
2013 a través de Facebook han dominado la conversación entre los es-
tecnologías pecialistas de seguridad de la información por semanas. El volumen ma-
de la sivo de información personal al que tenía acceso la compañía y la pre-
información.
sunción de su uso ilícito en relación con campañas políticas en Estados
Unidos y otras partes del mundo ha provocado que Mark Zuckerberg
testifique en una audiencia pública ante el Senado de Estados Unidos.
Ésta, desafortunadamente, resultó ser más un curso rápido sobre
cómo funciona Facebook que un serio cuestionamiento sobre las po-
líticas de administración de datos personales que realiza la compañía.
En mi opinión, son dos puntos los que destacan del caso: primero, a
pesar de que Zuckerberg insista en que el usuario es el dueño de su in-
formación y tiene a su disposición herramientas para protegerla o limi-
tar su uso, la realidad es que dichas herramientas se encuentran fuera
del alcance del usuario promedio de la plataforma. Como ejemplo, pue-
do mencionar la aplicación misma que Facebook desarrolló para iden-
tificar si un usuario ha sido víctima del mal uso de su información, ésta
se encuentra enlistada exclusivamente dentro de las páginas de ayuda
y soporte técnico de la plataforma.
El segundo punto a destacar es el que fuera posible para Cambrid-
ge Analytica —y otras empresas similares de captura de datos— hacer-
se no sólo de la información de aquellos usuarios que aceptaron utilizar
la aplicación “This Is Your Digital Life”, sino de la de todos los ami-
gos conectados a éstos. Lo anterior provocó que el número de usua-
rios afectados escalara de 270,000 —quienes inicialmente contesta-
ron la encuesta asociada a la
aplicación— a más de 87 mi- Las herramientas para
llones de personas —la tota- proteger o limitar el uso
lidad de amigos de quienes de la información personal
ejecutaron la encuesta ori-
en Facebook se encuentran
ginal. Aunque esta situa-
ción fue corregida en el 2015, fuera del alcance del
cuando se detectó la captu- usuario promedio de la
ra indiscriminada de infor- plataforma.
mación, para entonces esta
posibilidad era conocida y
aprovechada por aquellos interesados en manipular, a través de redes
sociales, la percepción, reputación y en consecuencia, los resultados de
importantes contiendas electorales.
Si Facebook tuviera una verdadera intención en asegurar y salva-
guardar la privacidad de sus usuarios, debe hacer un mejor trabajo de
concienciación acerca de los riesgos en los que se incurre al compar-
tir información en la plataforma, entre la que puede mencionarse, por
ejemplo, edad, género, estado civil y sentimental, lugar de trabajo y ubi-
cación en tiempo real, afiliación política, preferencias de compra, canti-
dad y frecuencia de las interacciones realizadas con marcas y partidos
políticos en los últimos siete días, entre muchísimos otros datos que Fa-
cebook recopila como parte de sus métricas.
Es vital contar, además, con herramientas visibles y fáciles de utili-
zar para limitar la captura, manejo y diseminación de dicha información,
o al menos, tan claras y comprensivas como las que Facebook pone al
servicio de anunciantes y sus socios publicitarios. De lo contrario, corre-
mos el riesgo constante y, como pudimos descubrir después del escán-
dalo, no un riesgo imaginario, de que nuestra información se intercam-
bie al mejor postor y nuestra posibilidad de detener el mal uso de que
se pierda en un océano de menús, la oscuridad de una interfaz gráfica
inaccesible o decenas de páginas de términos y condiciones de uso que
nunca nos detenemos a leer.
13
 consultoría
Preguntas y respuestas:
Ley para Regular a las Instituciones
de Tecnología Financiera
gASPAR gUTIÉRREZ, socio; sERGIO lEGORRETA, socio; LORENZO RUIZ DE VELASCO, socio; CARLOS VELA, socio, Y ALFONSO MARTÍNEZ, asociado senior
Crowdfunding,
pagos electrónicos
y modelos novedosos
México ha estrenado una nueva regulación para las
iniciativas financieras de base tecnológica o fintech. se
trata de un ejercicio legislativo que intenta abordar
todos los supuestos de un ecosistema en evolución
1 ¿Qué implica que los títulos ofrecidos a
través de una Institución de Financiamiento
Colectivo (crowdfunding) no puedan estar
inscritos en el Registro Nacional de Valores?
Implica que dichos títulos no podrán ser
listados ni negociados en Bolsas de Va-
lores. No obstante, las Instituciones de
Tecnología Financiera (ITF) de financia-
miento colectivo (crowdfunding) podrán
obtener fondeo a través de medios de
comunicación masiva dirigidos al público
en general.
2 ¿Cuáles son los “beneficios no monetarios”
que las instituciones de fondos de pago
electrónico podrán ofrecer a sus clientes,
conforme a disposiciones del Banco de
México?
Se refiere a beneficios que no representen
una obligación de pago con cargo a la ITF
y que no puedan ser redimibles o con-
vertibles en efectivo. Esta incluye, entre
otros, programas de antigüedad, lealtad
o recompensas que únicamente puedan
utilizarse ante la ITF correspondiente (o
sus afiliadas), y si bien no serán converti-
bles en efectivo, sí pueden intercambiarse
por mercancía (artículos de oficina, uten-
silios de cocina, etcétera) como premio a
14
los usuarios de las operaciones realizadas
con las ITF.
3 ¿Cómo debe definirse jurídicamente el
término “Modelo Novedoso” al que hace
referencia la ley en su artículo 82?
El Modelo Novedoso se refiere la autori-
zación que le permitirá a la empresa so-
licitante actuar temporalmente bajo un
marco regulatorio flexible, para poder de-
sarrollar nuevos modelos de negocio, me-
diante la utilización de herramientas tec-
nológicas inexistentes en el mercado de
servicios financieros que se desea abarcar.
Dicho mercado estará delimitado inicial-
mente a cierta región, tipo de producto o
servicio y número de clientes potenciales.
De las operaciones de las ITF
4 ¿Cuáles deben ser los criterios jurídicos
para determinar el momento en que una
Institución de Tecnología Financiera
debe hacer un reporte ante la autoridad
financiera correspondiente?
Deben ser los criterios de prevención de
lavado de dinero, bajo los cuales los re-
portes deben prepararse y presentarse a
partir del momento en que la ITF tenga
conocimiento, ya sea a través de sus sis-
temas automatizados o de su personal, de
que han ocurrido (i) operaciones relevan-
tes, con clientes de la IFT que pretendan
utilizar o utilicen efectivo en dólares fuera
de los límites permitidos, (ii) operaciones
inusuales, que sean realizadas o que se
intenten realizar por clientes cuyo perfil
transaccional histórico difiere del monto,
frecuencia o naturaleza de dichas ope-
raciones, y/o (iii) operaciones internas
preocupantes, realizadas por empleados
de la IFT, que sean sospechosas y pudieren
estar relacionadas con lavado de dinero.
5 ¿Cuáles son los fedatarios públicos
autorizados para protocolizar el
otorgamiento de los poderes suficientes
a los representantes de los respectivos
promoventes que presenten la solicitud
correspondiente para ser registrados como
ITF?
Se refiere a los notarios públicos, ante
quienes se podrán otorgar válidamente
poderes para los representantes de las
empresas promoventes.
el economista
Legal
miércoles 25 de abril del 2018

Baker McKenzie | México • MEXFTT@bakermckenzie.com
6 ¿Cómo se define el “registro de cuentas sobre
movimientos transaccionales” que deberá
llevar cada ITF para identificar a cada
titular de los recursos y saldos que maneja?
Es el registro detallado y actualizado de los
ingresos, transferencias y retiros de recur-
sos, fondos de pago electrónico o activos
virtuales realizados por los clientes en sus
respectivas cuentas con las ITF, que permi-
tan a la ITF identificar y conocer el perfil de
operaciones de dichos clientes, así como la
determinación exacta de sus saldos posi-
tivos o negativos. La información del per-
fil operativo de cada cliente se define con
base en base los montos, tipo, naturaleza y
frecuencia de las operaciones que realicen
en sus cuentas.
7 ¿Cuáles deben ser los criterios legales bajo los
cuales el Banco de México determinará el uso
que el público da a los activos virtuales?
Los criterios deberán ser (i) de protección a
los usuarios, en el sentido de que los activos
virtuales que en su momento sean autori-
zados por el Banco de México cumplirán
con ciertos requisitos mínimos de seguri-
dad y operatividad, y de que podrán ser uti-
lizados legalmente como medios de pago a
el economista
Legal
miércoles 25 de abril del 2018
Para realizar este consultorio, nos dirigimos a los expertos de Baker McKenzie
México, una firma legal con más de 50 años de experiencia en todas las áreas
de práctica, a quienes hicimos distintas preguntas a propósito de la nueva
regulación fintech en México. Esperamos que este ejercicio editorial pueda
ayudar a resolver dudas e inquietudes sobre el tema abordado.
través de las ITF, en el entendido de que los
activos virtuales no son moneda de curso
legal, por lo que no estarán respaldados
por el gobierno federal ni por el Banco de
México, y (ii) certidumbre jurídica, a efecto
de que inversionistas que deseen participar
en la industria de activos virtuales puedan
hacerlo mediante las ITF previamente au-
torizadas, con plena certeza en cuanto a
la licitud y supervisión por las autoridades
financieras de sus inversiones en dichas ITF.
De los delitos, sanciones
y auditorías
8 ¿Cuáles son las acciones de las Instituciones
de Tecnología Financiera que se harán
merecedoras de una sanción administrativa?
La Comisión Nacional Bancaria y de Va-
lores (CNBV) podrá imponer sanciones
administrativas (i) a personas o empresas
no autorizadas para operar como ITF, que
se ostenten o se publiciten como tales; (ii)
aquellas ITF que no segreguen sus propias
cuentas de las cuentas de sus clientes; (iii)
las ITF que no realicen un adecuado moni-
toreo de sus operaciones, en base a su per-
fil de riesgo; (iv) entidades financieras que
adquieran acciones de las ITF sin autoriza-
ción regulatoria previa, entre otros casos.
El Banco de México podrá sancionar
administrativamente (i) a quien realice
operaciones con activos virtuales o divisas
sin contar con autorización previa; (ii) a las
ITF de fondos de pagos electrónicos, por
exceder los límites de operaciones que es-
tablecerá el Banco de México; y (iii) en ge-
neral, por infringir la regulación secundaria
que emitirá el Banco de México.
9 ¿Cuáles serán las sanciones?
Paras las ITF y aquellas empresas que
operen con Modelos Novedosos, tanto la
CNBV como el Banco de México, según
corresponda, podrán imponerles sanciones
cuyo monto dependerá de la gravedad de
la infracción, y que podrá variar de 1,000
UMA (aproximadamente 80,600 pesos)
a 150,000 UMA (aproximadamente 12
millones 90,000 pesos).
10 ¿Cuáles son los supuestos de delito
que incluye la Ley para Regular a las
consultoría
Instituciones de Tecnología Financiera?
Entre los principales delitos se encuentran:
(i) utilizar de manera indebida los recursos,
fondos de pago electrónico o activos vir-
tuales de los clientes de las IFT, (ii) cuando
el personal facultado de las ITF no devuelva
los recursos que le sean solicitados por los
clientes, (iii) ostentarse y/o realizar acti-
vidades propias de una IFT sin haber sido
autorizado para ello, (iv) llevar a cabo ope-
raciones con activos virtuales o divisas sin
contar con la autorización previa del Banco
de México, entre otros supuestos.
Las penas de prisión por los delitos es-
tablecidos bajo la ley Fintech varían de 2 a
15 años, dependiendo de sus agravantes, y
las multas bajo dichos delitos pueden lle-
gar hasta las 300,000 UMA (aproximada-
mente 24 millones 180,000 pesos).
11 ¿Qué servicios utilizados por las fintech
deben ser auditables?
Los servicios que implican el resguardo
de datos particulares deben estar sujetos
a inspección o auditoría por parte de las
autoridades financieras. Las IFT deberán
proporcionar evidencia a las autoridades
financieras de que sus sistemas de alma-
cenamiento y custodia sobre dichos datos
particulares tienen controles suficientes, y
de que sus procesos para el manejo de la
información de clientes y de sus operacio-
nes cumplen con las disposiciones aplica-
bles en materia de privacidad.
Los sistemas que las IFT hayan im-
plementado en materia de prevención de
lavado de dinero (PLD) deben ser audita-
bles, a efecto de verificar el cumplimiento
de dichos sistemas con las disposiciones
PLD aplicables y evitar que las IFT sean
utilizadas para canalización de recursos de
procedencia ilícita.
12 ¿Afectará la auditabilidad de algunos de los
servicios tecnológicos utilizados por las ITF
la continuidad de su funcionamiento?
No debería. Los servicios tecnológicos po-
drán ser prestados por las ITF de manera
eficiente y la auditabilidad servirá para pro-
porcionar mayor certeza a clientes e inver-
sionistas sobre la operación de las IFT.
15