La protección de datos personales está incluida en el texto Constitucional (art. 16), y en lo particular, está regulada por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), con la finalidad de salvaguardar la prerrogativa de toda persona a la protección de su información personal en poder de algún particular, obligando a que dicho tratamiento sea legítimo, controlado e informado, garantizando su privacidad y el derecho a la autodeterminación informativa, a través del aviso de privacidad (art. 1o).
A pesar de la importancia del tema, y de las fuertes multas aplicables por el incumplimiento a las disposiciones en esta materia, las personas físicas o morales siguen sin cumplirlas o desconocen su verdadero alcance, por ello conviene volver a explorar los aspectos generales de la LFPDPPP, y de mayor importancia, los del aviso de privacidad.
Si bien esas medidas se consideran autorregulatorias, su observancia es obligatoria y, por lo tanto, el no hacerlo podrá ser sancionado por el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) como el órgano encargado de vigilar y verificar la observancia de la LFPDPPP.
El IFAI podrá realizar procedimientos de verificación a petición de parte, y tener acceso a la información y documentación que considere necesarios. Terminada esta revisión, si el Instituto concluyera que existe un presunto incumplimiento a los deberes previstos en la LFPDPPP, podrá iniciar un procedimiento para imponer sanciones.
Actualmente, esos procedimientos están siendo tema principal dentro del IFAI, pues ya han vencido los plazos establecidos en la normatividad para cumplir en su totalidad con las obligaciones señaladas.
Para dimensionar la magnitud del problema, es indispensable señalar que dentro del catálogo de sanciones, existen multas de enorme cuantía que pueden superar los $21’000,000.00, que podrán incrementarse hasta el doble cuando las infracciones estén relacionadas con el tratamiento de datos sensibles (afecten la esfera más íntima del titular, o cuya utilización indebida pueda originar discriminación o conlleve riesgo grave como el origen racial, étnico, estado de salud, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas y preferencia sexual).
Aspectos generales
Involucrados
Conforme a la ley, el titular es la persona física a quien se refieren los datos personales, aun cuando estos estén en posesión de un tercero.
Por su parte, el responsable será el individuo o persona moral de carácter privado que decide sobre el tratamiento.
Aplicación
Acatarán la LFPDPPP todas las personas físicas o morales de naturaleza particular, que en el desarrollo de sus actividades traten datos personales (art. 2o).
Sin embargo, esta ley no será aplicable siempre que se trate de información relativa a personas (art. 5o, Reglamento de la LFPDPPP—RLFPDPPP—):
- morales (aun cuando un criterio del Poder Judicial Federal les otorga ciertos privilegios)
- físicas, que actuando como comerciantes y profesionistas, presten sus servicios para alguna empresa o sujeto con actividades empresariales, consistente únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como algunos de los datos laborales, siempre que sea tratada para fines de representación del empleador o contratista
Dato personal
Cualquier información concerniente a una persona física identificada o identificable (si su identidad puede determinarse mediante un dato personal), por ejemplo: nombre, apellidos, dirección, número telefónico, entre otros (art. 3o, LFPDPPP).
Dato personal sensible
Será aquel que afecte la esfera más íntima de su titular, o cuya utilización indebida origine la discriminación o conlleve un grave riesgo para él, por citar ejemplos: el origen racial o étnico, estado de salud, información genética, creencias religiosas o filosóficas, etc.
Tratamiento y consentimiento
El tratamiento implica la obtención, uso, divulgación o almacenamiento de información personal por cualquier medio, mientras que el consentimiento es la manifestación de la voluntad del titular mediante la cual se realiza el tratamiento.
Como se aprecia en las definiciones, estas figuras son dos cosas distintas.
Al respecto, la LFPDPPP prescribe que todo tratamiento está sujeto al consentimiento de su titular, que se podrá otorgar por dos formas (art. 8o):
- tácita, cuando se ponga a disposición del titular el aviso de privacidad y este no hubiese manifestado oposición alguna
- expresa, si se declara verbalmente, por escrito, por medios electrónicos u otra tecnología, o por signos inequívocos
Ergo, antes de solicitar información personal es menester presentar el mencionado aviso y así cubrir el requisito del consentimiento tácito.
No obstante, si esos datos son sensibles, se deberá obtener el consentimiento expreso y por escrito, con la firma autógrafa, electrónica u otro mecanismo de autentificación (art. 9o, LFPDPPP).
Aviso de privacidad
La LFPDPPP lo define como el documento físico, electrónico o de cualquier otro formato creado por el responsable, puesto a disposición del titular para informarle qué datos le son recabados y con qué fines (arts. 3o y 15).
Así, todo responsable que trate datos personales estará obligado a elaborar y poner a disposición su aviso de privacidad, con el objeto de establecer y delimitar el alcance, términos y condiciones a que sujetará el tratamiento de tales datos, y con esto el titular, en el ejercicio de su derecho a la autodeterminación informativa, tome decisiones conscientes en relación con su información, y además, mantenga el control y disposición sobre la misma.
¿En qué momento se exhibe?
La oportunidad en la que se pondrá a disposición el aviso de privacidad dependerá tanto de la forma en que se obtengan los datos personales, como de si se allegaron de ellos de forma directa o indirecta.
Si se obtuvieron (arts. 17 y 18, LFPDPPP):
- de forma personal del titular, el aviso de privacidad será facilitado en el momento en que se recabaron los datos de forma clara y fehaciente, mediante los formatos por los que se consiguen, salvo que se hubiese facilitado con anterioridad
- directamente del titular por cualquier medio electrónico, óptico, sonoro, visual u otra tecnología, el responsable proporcionará al titular de manera inmediata, al menos la información referente a su identidad y domicilio, así como la finalidad del tratamiento; de igual modo le comunicará los mecanismos para acceder al texto completo del mencionado aviso
- de forma indirecta del titular, y si el tratamiento (art. 29, RLFPDPPP):
- involucra el contacto directo con este, el citado aviso se proporcionará al primer contacto que se tenga
- no requiere ese contacto, se exhibirá el referido aviso de forma previa al uso de los datos personales
Elementos
En la elaboración del aviso de mérito se incluirá, como mínimo (art. 16, LFPDPP):
- la identidad y domicilio del responsable
- cuál es la finalidad del tratamiento
- las opciones y medios que el responsable ofrezca para limitar el uso o divulgación
- los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición (ARCO)
- de existir, las reglas a que se sujetarán las transferencias de datos
- el procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso
Modalidades
Se reconocen tres tipos de aviso de privacidad: integral, simplificado y corto. Se distinguirán por la información contenida, y su elección dependerá de la forma en la que se recaben los datos (arts. 26, 27 y 28, RLFPDPPP).
- integral, constituido con todos los requisitos enlistados en el artículo 16 de la LFPDPPP, y se usará cuando los datos sean obtenidos de manera personal, es decir, con la presencia física del titular. Por regla general su exhibición se hace en formato impreso, electrónico o digital
- simplificado, contendrá como mínimo (trigésimo cuarto, Lineamientos del Aviso de privacidad —LAP—):
- la identidad y domicilio del responsable
- los mecanismos que el responsable ofrezca para que el titular conozca el aviso de privacidad en su totalidad
- las finalidades del tratamiento
Será utilizado si los datos son conseguidos de forma directa del titular, como podría ser vía telefónica o Internet
- corto, estará conformado con al menos (trigésimo octavo, LAP):
- la identidad y domicilio del responsable
- los mecanismos que el responsable ofrece para que el titular conozca el aviso de privacidad completo
- las finalidades del tratamiento
Será usado siempre que el espacio utilizado para obtener los datos sea mínimo y limitado, por lo cual, los datos requeridos también serán ínfimos
Generador de avisos
Con la finalidad de que los particulares cumplan cabalmente con la LFPDPPP, la página de Internet del IFAI tiene a disposición del público, de forma gratuita, un Generador de Avisos de Privacidad como una herramienta fácil de usar, y, sobre todo, que cubre todos los lineamientos necesarios para la validez de dicho documento.
A continuación se precisan los pasos a seguir para su uso.
1 Acceda a la página de Internet del IFAI inicio.ifai.org.mx/. Posicione el cursor en el apartado de “Protección de Datos Personales” y dé clic
2 Ubique la flecha en la columna de Instrumentos y presione el ícono de “Generador de Avisos de Privacidad”. Una vez dentro del apartado del Generador de Avisos de Privacidad, será necesario registrarse llenando un formulario con los siguientes datos: nombre o razón social, usuario, contraseña y correo electrónico
3 Finalizado el registro, debe regresar a la página principal y nuevamente acceder con su usuario y contraseña
4 Dentro de la pantalla desplegada se visualizarán tres opciones: nuevo aviso, mis avisos y modificar cuenta de usuario. Este generador permite tener más de un aviso de privacidad, por ende, en este apartado se podrán consultar todos los que se creen.
Por tratarse del primer aviso, se posicionará el cursor en la sección “Nuevo Aviso” y se dará clic.
La página mostrará un mensaje exigiendo al usuario responder un cuestionario, con el cual se conformará el aviso de privacidad. El tiempo estimado para completarlo es de una y media a dos horas aproximadamente. De estar de acuerdo con el lapso exigido, apriete el botón “Crear Aviso”
5 Sección I. Información estadística: son datos de censo por parte del IFAI y será necesario indicar la actividad económica del usuario, por sector y rama, y el tamaño de la empresa
6 Sección II. Modalidad del aviso de privacidad: se elegirá el tipo de aviso que se generará de conformidad con sus necesidades, ya sea integral, simplificado o corto. En esta ocasión optaremos por uno integral, toda vez que resulta ser el más completo de los tres
7 Sección III. Identidad y domicilio del responsable: este segmento será completado con el nombre y apellidos, si de trata de una persona física; la denominación o razón social, en el evento de ser una persona moral; el nombre comercial; domicilio, calle y número, colonia, ciudad, código postal, delegación, y país; de contar con ella, su página de Internet
8 Sección IV. Finalidades del tratamiento: es de vital importancia dentro del aviso de privacidad, pues conforma una de sus principales funciones, al informar al titular para qué se utilizarán sus datos personales, por ello, es indispensable identificarlas a cabalidad.
También será necesario asentar si la información personal se usará con fines publicitarios o de prospección comercial.
Por último, se podrá optar por incluir en el aviso el mecanismo para que el titular pueda manifestar su negativa para que sus datos sean tratados para finalidades secundarias. Lo más recomendable es incorporarlo, ya que es una obligación del responsable ofrecerla, y, adicionalmente, se debe de hacer antes del tratamiento
9 Sección V. Datos personales recabados: seleccionar la manera en que se informará sobre los datos personales a tratar. Para tal efecto, lo más sencillo es elegir la primera opción, consistente en el listado que por su nombre identifique cada uno de los datos; posteriormente se deberá responder la pregunta 2, y se indicará qué información se recabará.
Si se van a solicitar datos sensibles (aspectos de origen racial o étnico, estado de salud, creencias religiosas, opiniones políticas, etc.), no bastará con informar las finalidades del tratamiento, sino que también será imperioso contar con el consentimiento expreso del titular.
En este punto, esté consciente de que si posteriormente se recaba un dato que no esté enumerado en su aviso de privacidad, podrá ser sujeto a una sanción por parte del IFAI
10 Sección VI. Transferencia de datos personales: indicar si existirá o no transferencia de datos personales, es decir, si la información recabada será transmitida a terceros. De ser afirmativa la respuesta, se llenarán los espacios relativos a los terceros que tratarán los datos
11 Sección VII. Medios y procedimiento para el ejercicio de los derechos ARCO: el responsable está obligado a designar a una persona o departamento de datos personales que se encargue de tramitar las solicitudes hechas por los titulares por cualquiera de sus derechos ARCO, los cuales se mencionarán en el propio aviso de privacidad
12 Sección VIII. Medios y procedimiento para la revocación del consentimiento: se informarán las opciones ofrecidas a los titulares en el supuesto de que quisieran revocar su consentimiento
13 Sección IX. Opciones y medios para limitar el uso y divulgación de los datos personales: insertar las herramientas ofrecidas para que el titular pueda limitar el uso y divulgación de sus datos
14 Sección X. Uso de cookies, web beacons y otras tecnologías de rastreo: aplicará si el responsable cuenta con una página de Internet, y en ella se utilizan herramientas de rastreo o de almacenaje de información
15 Sección XI. Cambios al aviso de privacidad: se reseñarán los medios por los cuales se darán a conocer al titular los cambios realizados al mismo
16 Sección XIII. Consentimiento del titular: se identificará qué tipo de consentimiento se requerirá, ya sea expreso o expreso por escrito, en función del tipo de dato recabado. Una vez que esté completo este apartado, el aviso de privacidad estará finalizado
17 La siguiente pantalla muestra el folio del aviso de privacidad creado, y, además, despliega tres botones que permitirán previsualizar el aviso para descargarlo y guardarlo, imprimirlo, modificarlo o eliminarlo
18 En la visualización del aviso se verificará que toda la información sea correcta, y en el evento de no encontrar ningún error, se podrá descargar en formato PDF o Word, para posteriormente imprimirlo
Beneficios
Optar por utilizar la herramienta ofrecida por el IFAI garantiza que el aviso de privacidad cumplirá con todos los requisitos señalados por la legislación de la materia, siempre que se ponga el debido cuidado en responder en su totalidad el cuestionario desplegado.
Entonces, acatar cabalmente la LFPDPPP ayudará a los empresarios a no ver perjudicado su patrimonio al ser sujetos de multas por parte del IFAI; adicionalmente, el hecho de que el generador sea gratuito implica un ahorro importante.
No obstante, es imperioso recalcar que el crear un aviso de privacidad usando la herramienta brindada por el IFAI no implica que este cuente con algún reconocimiento especial o registro por parte de dicha autoridad, por lo que, no salvará al responsable de cualquier revisión, o de la imposición de una multa si se transgrede la normatividad.
Comentario final
La protección de datos y a la autodeterminación informativa (uso y destino) son derechos humanos resguardados por la Constitución, al constituir parte de la identidad de cualquier persona.
En ese entendido, no basta con la salvaguarda constitucional ni con las herramientas puestas a disposición por parte del IFAI como órgano gubernamental encargado de la protección de datos personales, sino que es menester la participación en lo individual de cada ciudadano, ya sea como responsable del tratamiento o titular de los datos personales.
Así, cada particular que trate datos personales debe garantizar que se hará con base en los principios prescritos en la LFPDPPP, y, además, que al hacerlo se está respetando el derecho de los titulares al informarles qué datos se les están recabando y cuál es su finalidad.
