Para concretar la mayoría de los negocios es inevitable que se expongan diversa información que pone en riesgo la integridad de sus propietarios, ya que hoy en día este tipo de información tiene un alto valor económico en el mercado, ya sea para fines de mercadotecnia o para cometer delitos informáticos u otros como el robo o la suplantación de identidad. Frente a todas estas amenazas el Estado mexicano ha reconocido el derecho a la privacidad, intimidad, protección de datos y autodeterminación de la información, creando un marco jurídico sólido en materia de protección de datos personales.
Asimismo, se ha valido de distintos instrumentos para garantizar el derecho a la protección de datos, siendo el más importante el aviso de privacidad. Por ese motivo, a continuación se abordan los aspectos más relevantes de este documento y un modelo de aviso de privacidad ubicado como Anexo en la página 6 de esta sección.
Qué es y quién debe realizarlo
Las personas físicas o morales que gestionen datos personales están obligadas a elaborar y poner a disposición un documento denominado aviso de privacidad a través del cual informen a su titular sobre su tratamiento, de acuerdo con los artículos 2 y 3 fracción I de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
Datos que deben protegerse
Se consideran datos personales a la información referente a una persona física identificada o identificable, es decir, todos aquellos rasgos que puedan determinar directa o indirectamente la identidad de un sujeto; por ejemplo, el nombre, la dirección, la CURP, el RFC o correo electrónico.
La protección también es extensiva a los que se refieren a la esfera más íntima de su titular, tales como: origen racial o étnico, preferencia sexual, opiniones políticas, datos biométricos, historia clínica, etc., y se les da el carácter de sensibles, porque su utilización indebida puede dar origen a discriminación o conllevar un riesgo para la persona, motivo por el cual la LFPDPPP prevé una regulación especial.
Importancia de crear un aviso de privacidad
Los propietarios de los datos personales deben estar al tanto de los términos y condiciones de los lineamientos para su obtención, uso, aprovechamiento, almacenamiento, transferencia, divulgación y disposición, para estar en posibilidades de ejercitar los derechos de acceso, rectificación, cancelación y oposición (ARCO), que consisten en:
- acceso: disponer de los datos que estén en posesión de una persona física o moral
- rectificación: pedir la corrección cuando fuesen inexactos
- cancelación: determinar que no se utilicen, y
- oposición: impedir que sean empleados para un objeto distinto al originalmente señalado
Consentimiento
Para tratar estos rasgos de identificación es indispensable obtener la aprobación de su dueño, misma que debe cumplir con las siguientes características (art. 5, Reglamento LFPDPPP —RLFPDPPP—):
- libre: de error, mala fe, violencia o dolo
- informada: que el titular tenga conocimiento del aviso de privacidad previo a la gestión de sus datos
- específica: referido a una o varias finalidades determinadas que justifiquen su administración e
- inequívoca: que existan elementos que demuestren su otorgamiento de forma innegable
Excepciones
No es necesario obtener el permiso para la gestión de los datos en los supuestos cuando (art. 10 LFPDPPP):
- esté previsto en una ley
- la información figure en fuentes de acceso público o se someta a un procedimiento de disociación
- tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el encargado
- exista una situación de emergencia que pueda dañar potencialmente a un individuo en su persona o bienes
- sean indispensables para la atención médica o la prestación de servicios sanitarios, mientras el interesado no esté en condiciones de otorgar la autorización, y
- se dicte resolución de autoridad competente
Clases de consentimiento
La anuencia puede ser expresa o tácita dependiendo de cómo se recopila la información, como se muestra enseguida:
Tipos de consentimiento |
Casos aplicables |
Formas en que se otorga |
Tácito (arts. 13 y 14, RLFPDPPP) |
Es permitido por regla general, salvo que la LFPDPPP lo requiera expreso |
Se entiende dado cuando se pone a disposición el aviso de privacidad y no se manifiesta oposición al tratamiento de los datos |
Expreso (arts. 15 y 16, RLFPDPPP) |
Si la información es financiera o patrimonial
|
|
Características
En términos del numeral 24 del RLFPDPPP, el formato sea físico o electrónico tiene que ser sencillo, con la información necesaria, expresado en un lenguaje claro y comprensible y con una estructura y diseño que facilite su entendimiento. Para tal fin, se deben observar los siguientes requisitos:
- no usar frases inexactas, ambiguas o vagas
- en caso de que se incluyan casillas no tienen que marcarse previamente, y
- no remitir a textos o documentos que no estén disponibles
- tomar en cuenta para su redacción los perfiles de los propietarios
- no incluir frases que induzcan a elegir una opción en específico
Modalidades
Existen tres tipos de avisos de privacidad según la forma en que sean recopilados los datos, como se muestra a continuación.
Aviso de privacidad integral
Resulta obligatorio cuando los indicadores se obtengan de manera personal de su propietario.
Reúne todos los requisitos previstos en los dispositivos 8, 15, 16, 33 y 36 de la LFPDPPP, 14, 30, 41, 68, 90 y 102 del RLFPDPPP y vigésimo al trigésimo primero de los Lineamientos del Aviso de Privacidad (LAP).
Aviso de privacidad simplificado
Es aplicable cuando los rasgos de identificación se recaban directamente del titular, pero no personalmente; por ejemplo, mediante un sitio web o vía telefónica (art. 27, RLFPDPPP).
El ordenamiento trigésimo cuarto de la LAP determina que debe contener al menos:
- identidad y domicilio del responsable
- mecanismos ofrecidos para que se conozca el alcance del aviso de privacidad integral
- finalidades del tratamiento, haciendo referencia explícita a aquellas que refieran a mercadotecnia, publicidad o prospección comercial, los medios para manifestar la negativa para la gestión de sus rasgos para fines no necesarios
Aviso de privacidad corto
Únicamente se admite cuando el espacio para la recaudación de los datos sea limitado, de tal forma que el lugar destinado para el aviso de privacidad también lo sea, como tratándose boletos, cajeros automáticos o mensajes SMS (art. 28, RLFPDPPP). Solo debe comprender lo siguiente:
- identidad y domicilio del encargado
- finalidades del tratamiento, y
- formas de acceder al aviso de privacidad integral
Contenido
Los componentes del formato varían dependiendo de si es simple, corto o integral. A continuación se explica la información esencial para elaborar un aviso de privacidad integral, ya que es el que reúne todos elementos.
Identidad y domicilio del responsable
Incluir el nombre o la razón o denominación social, además, es recomendable indicar el nombre comercial con el que los clientes reconocen al establecimiento u otros datos de contacto como su página web, correo electrónico y número telefónico.
Por su parte, el domicilio debe referenciar calle, número, colonia, entidad federativa, ciudad, municipio y código postal.
Datos personales sometidos al tratamiento
Señalar con precisión la información que se recaba del interesado, ya sea a través de un listado, o bien, de un catálogo que determine sus categorías.
Datos personales sensibles que se gestionan
Definir claramente los rasgos sensibles que se compilan, en caso contrario, se propone se indique la siguiente referencia: “Se informa que no se recabarán datos personales sensibles”.
Finalidades del tratamiento
Establecer el propósito del manejo de los datos; se deben observar los siguientes lineamientos:
- ser completo
- no utilizar frases inexactas, ambiguas o vagas, como: "entre otras finalidades", "otros fines análogos" o "por ejemplo"
- los objetivos tienen que ser determinados, descritos con claridad y sin lugar a confusión
- añadir las finalidades relativas a su empleo con fines de mercadotecnia, publicidad o prospección comercial, y
- distinguir entre los fines que dan origen y son necesarios para la existencia, mantenimiento y cumplimiento de la relación jurídica, de aquéllas que no lo son
Mecanismos para manifestar negativa
Asentar el medio por la cual el titular puede expresar su objeción para el manejo de sus datos a fines secundarios, el cual puede ser el propio aviso de privacidad u otro mecanismo que quede perfectamente delimitado
Cuando el aviso no se haga del conocimiento del dueño de manera directa o personal, se debe agregar una que informe que se tiene un plazo de cinco días hábiles para que se manifieste la negativa. Asimismo, quedan a salvo los derechos del interesado para revocar su consentimiento si no declara su rechazo.
Transferencias
Es posible compartir los datos personales a terceros dentro o fuera del territorio nacional, pero debe señalarse el destinatario, el objeto del encargo, la información afectada y las responsabilidades derivadas de su tratamiento.
Cláusula de aceptación de transferencia
Prever una estipulación que indique si el propietario acepta o no la comunicación de los datos a otras sujetos. No se requiere el permiso cuando:
- esté prevista en una ley o tratado en los que México sea parte
- se efectúe a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, a una matriz o a cualquier compañía del mismo grupo que opere bajo los procesos y políticas internas iguales
- sea vital por virtud de un contrato celebrado por el responsable y un tercero en interés del titular,
- es exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia
- sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial
- para el mantenimiento o cumplimiento de una relación jurídica entre el encargado y el interesado, y
- sea indispensable para la prevención o el diagnóstico médico
Medios para ejercer los derechos ARCO
Fijar los mecanismos que tiene el titular a su disposición para hacer valer las garantías ARCO, describiendo el procedimiento para atender las solicitudes, mismo que tiene que ser de fácil acceso, con la mayor cobertura posible, gratuito y debe contener los siguientes elementos:
- información o documentación que se debe acompañar a la solicitud
- plazos dentro del procedimiento
- medios para dar respuesta y por el cual se puede obtener la información requerida, y
- formularios que el responsable haya implementado para facilitar el ejercicio de dichas prerrogativas
- sistemas de acreditación de la identidad del interesado
Mecanismos para revocar el consentimiento
En cualquier momento se puede revocar la autorización dada para el manejo de los datos personales, para lo cual, el responsable debe establecer mecanismos y procedimientos que cumplan con las características previstos para el ejercicio de los derechos ARCO.
Opciones para limitar el uso de los datos
Dar a conocer al interesado las alternativas para restringir el empleo o divulgación de los elementos personales, ya sea a través de:
- el Registro Público de Consumidores o en el Registro Público de Usuarios conforme a la Ley Federal de Protección al Consumidor y la Ley de Protección y Defensa al Usuario de Servicios Financieros,
- su inscripción en listados de exclusión del encargado, sectoriales o generales, y
- la habilitación de medios por los cuales se pueda expresar el rechazo a seguir recibiendo comunicados o promociones por el encargado
Empleo de cookies
Alertar del uso de mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que permitan recabar datos personales de manera automática y simultánea (cookies o web beacons), mediante una advertencia colocada en un lugar visible que refleje el hecho de que a través de estos se obtienen dichos indicadores, así como la forma en que pueden deshabilitarse, salvo que sean necesarias por motivos técnicos.
Cambios al aviso de privacidad
Mencionar el medio y procedimiento implementado para dar a conocer las modificaciones o actualizaciones al aviso de privacidad.
Medios de difusión
El aviso puede darse a conocer mediante los siguientes instrumentos
(art. 17, LFPDPPP):
- impresos: entrega individual, colocación de letreros o anuncios
- digitales: correo electrónico, inserción en el sitio web u otros sistemas electrónicos
- visuales: proyección en pantallas o carteles, y
- sonoros: vía telefónica o grabaciones
Cuándo crear un nuevo aviso
En términos del dispositivo trigésimo tercero del LAP se requiere un nuevo aviso de privacidad cuando el responsable:
- cambie su identidad
- necesite compilar datos personales sensibles, patrimoniales o financieros adicionales si no se obtienen de manera personal
- cambie las finalidades que dieron origen a la relación jurídica o se incorporen nuevas que requieran de la autorización del interesado
- modifique las condiciones de las transferencias y sea necesario el consentimiento
Anexo
Comentario final
No contar con un aviso de privacidad cuando se está obligado, o bien, transgredir alguno de los derechos ARCO, podría ocasionar una multa de 100 a 320 veces el valor de la UMA ($8,688.00 a $27,801.60 para 2020) según lo indican los artículos 63, fracciones I, V, IX, XI y XIII y 64, fracciones I, II y III de la LFPDPP;, de ahí la relevancia de crear un documento que cumpla con todos y cada uno de los elementos esenciales previstos por la normativa, en el entendido de que debe ser acorde al tipo de información recolectada y a los fines para los cuales se administra.