Existe información referente a una persona física que puede determinar directa o indirectamente la identidad de un sujeto; por ejemplo, el nombre, la dirección, la CURP, el RFC o el correo electrónico; o bien, que se refiere a la esfera más íntima de su titular (origen racial o étnico, preferencia sexual, opiniones políticas, datos biométricos, historia clínica, etc.), cuya utilización indebida puede dar origen a discriminación o conllevar un riesgo para aquel.
Dicha información es denominada como datos personales y sensibles y se encuentra protegida por el artículo 16 de Constitución Mexicana de los Estados Unidos Mexicanos, el cual establece que toda persona tiene derecho a la protección de sus datos personales, así como de acceder a los mismos, y en su caso, obtener su rectificación, cancelación y manifestar su oposición en los términos que fijen las leyes.
Para llevar a cabo esta protección, los preceptos 2 y 3 fracción I de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), obligan a todo aquel que gestione datos personales a elaborar y poner a disposición del titular un aviso de en el que informen sobre su tratamiento, para que los propietarios de los datos estén al tanto de los términos y condiciones de los lineamientos para su obtención, uso, aprovechamiento, almacenamiento, transferencia, divulgación y disposición, para estar en posibilidades de ejercitar los derechos de acceso, rectificación, cancelación y oposición (ARCO), que consisten en:
- acceso: disponer de los datos que estén en posesión de una persona física o moral
- rectificación: pedir la corrección cuando fuesen inexactos
- cancelación: determinar que no se utilicen, y
- oposición: consiste en impedir que sean empleados para un objeto distinto al originalmente señalado
A pesar de que los derechos ARCO son mayormente conocidos por los titulares, pocos saben cómo ejercitarlos; por tal motivo, a continuación se muestran las exigencias y los procedimientos previstos por la LFPDPPP para hacerlos valer.
Cómo ejercitar los derechos ARCO
Personas facultadas
Conforme al artículo 28 del Reglamento de la LFPDPPP (RLFPDPPP), los derechos ARCO se ejercerán:
por el titular, previa acreditación de su identidad, a través de la presentación de la copia de su documento de identificación y habiendo exhibido el original para su cotejo. También podrán ser admisibles los instrumentos electrónicos por medio de los cuales sea posible identificar fehacientemente al titular, u otros mecanismos de autenticación permitidos por otras disposiciones legales o reglamentarias, o aquellos previamente establecidos por el responsable. La utilización de firma electrónica avanzada o del instrumento electrónico que lo sustituya eximirá de la presentación de la copia del documento de identificación, y
por el representante del titular, previa acreditación de la identidad del titular, del representante y la existencia de la representación, mediante instrumento público o carta poder firmada ante dos testigos, o declaración en comparecencia personal del titular
Para el ejercicio de los derechos de menores de edad serán los padres, tutores o curadores los que iniciarán la solicitud, adjuntando los documentos siguientes:
documento que acredite la identidad de menor
acta de nacimiento del menor
identificación oficial del padre, madre, tutor, curador, o representante que pretenda ejercer el derecho, y
carta en la que se manifieste, bajo protesta de decir verdad, que es quien ejerce la patria potestad, tutela o curatela del menor, y que no se encuentra dentro de alguno de los supuestos legales de suspensión o limitación de la misma
Medios
La solicitud se presentará ante el responsable del tratamiento de los datos a través de los medios precisados en el aviso de privacidad; mismos que podrán ser remotos o locales de comunicación electrónica u otros que considere pertinentes. Asimismo, el responsable podrá señalar formularios, sistemas y otros métodos simplificados para facilitar a los titulares el ejercicio de sus derechos.
Requisitos
El artículo 29 de la LFPDPPP indica que deberá presentarse una solicitud que contenga los siguientes requisitos, mismos que pueden visualizarse en el ejemplo de la solicitud de acceso, rectificación, cancelación y oposición de datos personales reproducida en la página cuatro de esta sección:
información general:
nombre del titular de los datos personales
documentos que acrediten la identidad del titular, y en su caso, el representante legal
domicilio o cualquier medio para recibir notificaciones (de no cumplir con este requisito, el responsable tendrá por no presentada la solicitud, dejando constancia de ello)
descripción clara y precisa de los datos personales que se quieran rectificar, cancelar u oponerse a su tratamiento
descripción del derecho que se quiere ejercer o de lo que solicita el titular, y
documentos o información que faciliten la localización de los datos personales, entre ella, el área responsable del tratamiento
información específica: dependiendo el derecho a ejercer; por ejemplo:
modalidad en la que prefiere que se reproduzcan los datos personales solicitados (acceso)
modificaciones que solicita que se realicen a los datos personales, así como aportar los documentos que sustenten la solicitud (rectificación)
causas que motivan la petición de que se eliminen los datos de los archivos, registros o bases de datos del responsable del tratamiento (cancelación), y
causas o la situación que lo llevan a solicitar que finalice el tratamiento de sus datos personales, así como el daño o perjuicio que le causaría que dicho tratamiento continúe; o bien, deberá indicar las finalidades específicas respecto de las cuales desea ejercer este derecho (cancelación)
Procedimiento
Cuando la información proporcionada en la solicitud sea insuficiente o errónea para atenderla, o no se acompañen los documentos obligatorios, el responsable podrá requerir al titular, por una vez y dentro de los cinco días siguientes a la recepción de la solicitud, que aporte los elementos o documentos necesarios para dar trámite a la misma. El titular contará con 10 días para atender el requerimiento, contados a partir del siguiente en que lo haya recibido; y de no dar respuesta en dicho plazo, se tendrá por no presentada la solicitud.
Si el responsable no requiere al titular documentación adicional para la acreditación de su identidad o de la personalidad de su representante, se entenderá por acreditada la misma con la documentación aportada desde la presentación de la petición.
Una vez atendido el requerimiento, el responsable, en todos los casos, comunicará al titular, en un tiempo máximo de 20 días, contados desde la fecha en que se recibió la solicitud su respuesta. La contestación deberá referirse exclusivamente a los datos personales que específicamente se hayan indicado en la solicitud correspondiente, y deberá presentarse en un formato legible y comprensible y de fácil acceso, por lo que si se usan códigos, siglas o claves se deberán proporcionar los significados respectivos.
Si resulta procedente, deberá hacerse efectiva dentro de los 15 días siguientes a la fecha en que se comunica la respuesta. Cabe destacar que los lapsos antes referidos podrán ser ampliados una sola vez por un periodo igual, siempre que se notifique al solicitante las causas que justificaron dicha ampliación.
Negativa
El responsable podrá negar el acceso a los datos personales, o a realizar la rectificación o cancelación o conceder la oposición al tratamiento de los mismos, en los siguientes supuestos:
si el solicitante no es el titular de los datos personales, o el representante legal no está debidamente acreditado para ello
cuando en su base de datos, no se encuentren los datos personales del solicitante
cuando se lesionen los derechos de un tercero
no exista un impedimento legal, o la resolución de una autoridad competente, que restrinja el acceso a los datos personales, o no permita la rectificación, cancelación u oposición de los mismos, y
si la rectificación, cancelación u oposición haya sido previamente realizada
La negativa podrá ser parcial en cuyo caso el responsable efectuará el acceso, la rectificación, la cancelación u oposición requerida por el titular, pero el responsable deberá informar el motivo de su decisión y comunicarla al titular, o a su representante legal, en los plazos establecidos para tal efecto, por el mismo medio por el que se llevó a cabo la solicitud, acompañando, en su caso, las pruebas que resulten pertinentes.
Cumplimiento por el responsable
Derecho de acceso
La obligación de acceso se dará por cumplida cuando el responsable ponga a disposición del titular los datos personales en sitio, debiendo determinar el periodo durante el cual el titular podrá presentarse a consultarlos, mismo que no podrá ser menor a 15 días. Transcurrido ese plazo, sin que el titular haya acudido a tener acceso a sus datos personales, será necesaria la presentación de una nueva solicitud de derechos.
También podrá hacerlo mediante la expedición de copias simples, medios magnéticos, ópticos, sonoros, visuales u holográficos, o utilizando otras tecnologías de la información que se hayan previsto en el aviso de privacidad, pero en todos los casos, el acceso deberá ser en formatos legibles o comprensibles para el titular.
La entrega de los datos personales será gratuita, debiendo cubrir el titular únicamente los gastos justificados de envío o con el costo de reproducción en copias u otros formatos. No obstante, si la misma persona reitera su solicitud en un periodo menor a 12 meses, los costos no serán mayores a tres veces la UMA ($268.86 para 2021); salvo que existan modificaciones sustanciales al aviso de privacidad que motiven nuevas consultas.
Derecho de rectificación
El responsable deberá rectificar los datos personales que resulten ser inexactos o incompletos, conforme a lo indicado en la solicitud, además de ofrecer mecanismos que faciliten el ejercicio de este derecho en beneficio del titular.
Derecho de cancelación
La cancelación implica el cese en el tratamiento por parte del responsable, a partir de un bloqueo de los mismos y su posterior supresión, con el propósito impedir el tratamiento, a excepción del almacenamiento, o posible acceso por persona alguna, salvo que alguna disposición legal prevea lo contrario; para tal efecto, el responsable deberá:
definir un periodo de bloqueo con el único propósito de determinar posibles responsabilidades en relación con su tratamiento hasta el plazo de prescripción legal o contractual de estas, y notificarlo al titular o a su representante en la respuesta a la solicitud de cancelación, que se emita dentro del plazo de 20 días
atender las medidas de seguridad adecuadas para el bloqueo
llevar a cabo el bloqueo en el lapso de 15 días, y
transcurrido el periodo de bloqueo, llevar a cabo la supresión correspondiente, bajo las medidas de seguridad previamente establecidas por el responsable
Derecho de oposición
Para el ejercicio del derecho de oposición, los responsables podrán gestionar listados de exclusión propios en los que incluyan los datos de las personas que han manifestado su negativa para que trate sus datos personales, ya sea para sus productos o de terceras personas. La inscripción del titular a dichos listados deberá ser gratuita y otorgar al titular una constancia de su inscripción al mismo, a través de los mecanismos que el responsable determine.
Incumplimiento
En caso de que el responsable de los datos ignore la solicitud del titular, este último podrá iniciar un procedimiento de protección de derechos ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) a partir de que haya vencido el tiempo de respuesta previsto para el responsable. Este procedimiento también tendrá lugar cuando:
no entregue al titular los datos personales solicitados o lo haga en un formato incomprensible
se niegue a efectuar modificaciones o correcciones a los datos personales, y
el titular no esté conforme con la información entregada por considerar que es incompleta o no corresponda a la requerida
Para ello, bastará que el titular de los datos acompañe a su escrito el documento que pruebe la fecha en que presentó la solicitud de los derechos ARCO.
Recibida la petición se dará traslado de la misma al responsable, para que, en 15 días, emita respuesta, ofrezca las pruebas que estime pertinentes y manifieste por escrito lo que a su derecho convenga. El INAI admitirá las pruebas que estime pertinentes y procederá a su desahogo.
Concluido el desahogo de las pruebas, el Instituto notificará al responsable el derecho que le asiste para que, de considerarlo necesario, presente sus alegatos dentro de los cinco días siguientes a su notificación.
Una vez analizadas las pruebas y demás elementos de convicción que estime pertinentes, se resolverá sobre la solicitud de protección de datos formulada dentro de los 50 días contados a partir de la fecha de presentación de la solicitud de protección de datos.
De resultar favorable al titular de los datos, se requerirá al responsable para que, en el plazo de 10 días siguientes a la notificación o cuando así se justifique, uno mayor que fije la propia resolución, haga efectivo el ejercicio de los derechos objeto de protección, debiendo dar cuenta por escrito de dicho cumplimiento al Instituto dentro de los siguientes 10 días.
Comentarios finales
No cumplir con la solicitud del titular para el ejercicio de derechos ARCO sin razón fundada, o actuar con negligencia o dolo en la tramitación y respuesta de solicitudes, se sancionará con el apercibimiento para que se lleve a cabo los actos solicitados y multa de 100 a 160,000 veces la UMA ($8,962.00 a $14,339.200.00 para 2021).