Los convenios de confidencialidad, o Non-Declaration Agreement (NDA, por sus siglas en inglés), no deben confundirse con la obligación derivada de la LFPDPPP de implementar el aviso de privacidad, cuyas características se han detallado en otras ediciones.
Estos convenios se crean con el objeto de resguardar la información que se revela entre las partes y generalmente se firma previo al intercambio de información entre las empresas, siendo éstas denominadas generalmente, otorgante y receptor o parte reveladora y parte receptora.
El convenio de confidencialidad, que, en estricto sentido, es un contrato al crear derechos y obligaciones entre los firmantes, versa sobre información que no se desea sea compartida con más personas que aquéllas a quienes se les da a conocer, por lo que se permite su utilización únicamente por los autorizados para tales efectos.
Por lo regular, la información confidencial se delimita para tener perfectamente acotado lo que comprenderá, siendo por lo regular secretos industriales, know how, patentes, derechos de autor y demás elementos resguardados por la Ley de la Propiedad Industrial y la Ley Federal de Derechos de Autor unos de sus principales contenidos. En ellos, además de definirse qué se considera confidencial, se excluye lo que no se calificará como tal, el tiempo de vigencia del convenio y por cuánto tiempo adicional a ese lapso se reservará la confidencialidad de la información recibida, entre otros aspectos.
Pueden ser bilaterales, esto es, que las partes sean receptoras y reveladoras a la vez, o unilaterales, que implicaría una redacción de una forma tal que únicamente se revele información por una sola de las partes.
Si bien los convenios de confidencialidad son muy frecuentes en el área de las tecnologías de la información, no encuentran su fundamento en una disposición expresa, no obstante, se utilizan generalmente en las negociaciones de grandes corporativos.
El aviso de privacidad no versa sobre aspectos empresariales, sino exclusivamente sobre datos personales, por lo que el que se cuente con un convenio de confidencialidad no implica que se ha cumplido con el aviso de privacidad, pues la materia de protección es diferente.
Además, la LFDPPP señala textualmente que los titulares de la información son las personas físicas a quienes corresponden los datos personales (artículo 3o, fracción XVII), por ello, el citado aviso sólo es aplicable para la protección de la persona física, no así de las morales. Por ende, si se quiere utilizar ya un convenio de confidencialidad u otro contrato como aviso de privacidad, no sería posible, a menos que se redactara una cláusula en esos actos en los que se especificara la aprobación del uso de datos de un titular.
Se esperan los lineamientos que señalarán cómo deberán hacerse los avisos de privacidad por parte del IFAI en breve, por lo que se aconseja cumplir con ellos para no incurrir en sanciones.