Confidencialidad de datos del personal a la luz de la NOM-035

La protección de datos personales, sin duda ha cobrado relevancia, ya que son diversos los ámbitos en donde se maneja información personal

Las responsabilidades patronales en materia de datos personales se reducen en garantizar la seguridad y confidencialidad de la información que se obtiene de los trabajadores; crear un mecanismo orientado para la atención de los derechos de acceso, rectificación, cancelación y oposición (ARCO), así como implementar el aviso de privacidad respectivo en cualquiera de sus especies, en donde se precise las finalidades de la utilización de dichos datos. 

Lo anterior, pareciese que es sencillo, pero no es así, conlleva una serie de aspectos que todo patrón debe cuidar en el momento en que recopila la información personal de sus colaboradores, especialmente aquella que se considera sensible, tal como la referente a su estado de salud. 

De ahí que al estar próxima la entrada en vigor de la segunda parte de la NOM-035-STPS-2008, Factores de riesgo psicosocial-Identificación y prevención (norma), que tiene como objetivo establecer los elementos para identificar, analizar y prevenir los aludidos peligros, así como promover un entorno organizacional favorable en los edificios en donde se ubiquen los trabajadores, IDC Asesor Fiscal, Jurídico y Laboral se dio a la tarea de reunir a los connotados especialistas en derecho del trabajo y de protección de datos personales, el maestro Oscar Zavala Gamboa, profesor de la Facultad de Derecho de la UNAM y vocal de la SMDTSSla licenciada Karely Hernández Aguilar, especialista en materia laboral del despacho Tillit, Asesores empresariales y la licenciada Rosalba Bucio Dromundo, colaboradora del despacho CYM al servicio del grupo financiero Aserta para plantearles los siguientes cuestionamientos. 

¿La aplicación de la NOM-035-STPS-2018 puede llegar a afectar el derecho a la privacidad y de protección de los datos personales de los trabajadores?, y ¿por qué?

¿Cuáles son las obligaciones relacionadas con la manipulación de datos personales por parte del personal designado por los patrones para materializar la NOM-035-STPS-2018?

Si las compañías contratan a un tercero para aplicar en sus centros laborales la NOM ¿deben exigir la formalización de un convenio de confidencialidad? o ¿cuál es su recomendación?

La detección de trabajadores que necesitan atención médica a causa de un acontecimiento traumático severo pueden ser canalizados, entre otros, al médico del centro de trabajo si este existe ¿cómo se deben cuidar los resultados de las evaluaciones psicológicas o los exámenes médicos que el profesional aplique al empleado afectado?

Derivado de los datos que arrojen los cuestionarios para conocer a víctimas de acontecimientos traumáticos, los resultados de exámenes o evaluaciones y los registros a que obliga la NOM øes necesario entregar un aviso de privacidad especial o es suficiente con el comunicado que en su momento se hubiese entregado? O ¿es suficiente tener requisitado el formato de la Guía de referencia V, Datos del trabajador? 

Con la entrada en vigor de la NOM-035-STPS-2018 (NOM-035), se promueve que, mediante el diálogo social de empleadores, trabajadores y gobierno, se regulen los factores de riesgo psicosocial (FRP) en los centros de trabajo, así como su identificación, análisis y prevención. 

No obstante, se debe considerar la noción de riesgos psicosociales, pues de allí dependen los alcances y la interacción en los distintos ámbitos del mercado de trabajo. El Comité Mixto OIT-OMS en su novena reunión Ginebra, celebrada del 18 al 24 de septiembre de 1984, definió a los FRP, por una parte, como las interacciones entre el trabajo, su medio ambiente, la satisfacción en el trabajo y las condiciones de su organización, y por la otra, a las capacidades del trabajador, sus necesidades, su cultura y su situación personal fuera del trabajo. 

En ese sentido, debemos vincular la aplicación de la NOM-035 con lo que el lenguaje de los derechos humanos se conoce como derechos inespecíficos, y es allí donde entra la obligación de proteger la privacidad y los datos personales de los trabajadores, porque  precisamente en la identificación, el análisis y la prevención de esos factores de riesgo psicosocial, implican necesariamente un manejo de información personal sobre la cual se deben tomar las medidas suficientes para su protección. 

En términos generales, desde el 23 de octubre de 2019, los empleadores deben cumplir con las obligaciones derivadas de la NOM-035, tales como:

  • establecer una política interna que contemple la prevención de los FRP, la prevención de violencia laboral y la promoción de un entorno organizacional favorable
  • adoptar medidas para prevenir y controlar los FRP, así como contar con mecanismos seguros para la recepción de quejas por prácticas contrarias al entorno organizacional favorable y quejas de violencia laboral, e
  • identificar a los trabajadores que fueron sujetos a acontecimientos severos traumáticos durante o con motivo del trabajo y canalizarlos para su atención a las instituciones de seguridad social, o al médico del centro de trabajo o la empresa, mediante la aplicación de la guía de referencia I, contenida en la propia Norma

 

Como puede advertirse, tan solo con el cumplimiento de estas exigencias patronales, los centros de trabajo manejarán una importante cantidad de datos personales, de conformidad con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). 

Según el artículo 19 de este ordenamiento, los patrones son los responsables del tratamiento de los datos personales de sus trabajadores; por tanto, deben definir y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger esos datos contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado, tomando en consideración el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico. 

Sin embargo, existen compañías que contratan a terceros para la aplicación de la NOM-035, estos asesores cuentan con el acceso a toda la información de la propia compañía y de los trabajadores. En términos la LFPDPPP para transferir esta información a terceros, es preciso que, entre el patrón y el tercero contratado, exista una cláusula de confidencialidad, y que esa transferencia esté contenida e informada en el aviso de privacidad respectivo. 

No debe perderse de vista que la empresa (patrón) mantiene su figura de responsable del tratamiento de datos personales, mientras que el tercero contratado, es el encargado; por lo que ambos, deben tomar las medidas que les corresponda por la transferencia de información, en términos del artículo 36 de LFPDPPP. 

Por lo que hace a los datos personales sensibles, que por obvias razones los patrones deben recabar en el cumplimiento de las obligaciones que impone la norma, especialmente en acontecimientos traumáticos severos, y cuando los trabajadores son atendidos por el médico del centro de trabajo, deben obtener el consentimiento expreso y por escrito del titular de aquellos para su tratamiento, a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca. 

Cuando se genere una base de datos con información sensible de los trabajadores deberá justificarse su creación para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el sujeto regulado. Ambas obligaciones, en estricto acatamiento del artículo 9o. de la LFPDPPP. 

De hecho, llama poderosamente la atención que la Guía de Referencia V, Datos del trabajador de la NOM-035, señale que no es de cumplimiento obligatorio. Hay que recordar, que la operación completa de la NOM se alimenta de información de los propios trabajadores (datos personales y de información sensible), por lo que en un compliance laboral sugerimos revisar los avisos de privacidad de las empresas y ajustarlos a estas nuevas obligaciones, con un objetivo fundamental de proteger la información de los trabajadores y de la propia empresa. 

Seguramente un mal manejo de información no contraviene la NOM-035, pero sí a la normatividad en materia de datos personales, lo que puede llevar a grandes sanciones económicas, y al riesgo latente de difundir información personal de un trabajador, que podría motivar causas graves como su discriminación. 

Un mal manejo de datos personales que concluya en la vulneración de los principios aplicables en la materia se sanciona con multa de 100 a 160 (de 8,688 pesos a 13,900.80 pesos) o de 200 a 320,000 veces la Unidad de Medida de Actualización (de 17,376.00 a 27´801,600 pesos), según se trate.

La aplicación de la NOM-035-STPS-2018 puede llegar a afectar o lesionar el derecho a la privacidad de los trabajadores si los datos personales bajo nuestra “posesión” no se gestionan con apego a los principios y deberes detallados en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). 

El patrón se encuentra frente a una nueva obligación legal que debe cumplir, la cual involucra el tratamiento de datos personales.  

La LFPDPPP es de orden público, de observancia general y tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efectos de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas, y solo exime de su aplicación a las sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables, así como a las personas que lleven a cabo la recolección y el almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial. (arts. 1o. y 2o., LFPDPPP). 

Por tanto, al no existir excepción alguna que libere a los patrones de las exigencias previstas en la LFPDPPP, es recomendable que estos se capaciten en lo personal y capaciten a su personal en la manipulación de datos personales de sus empleados. 

 El precepto 3o. de la LFPDPPP define como tratamiento a la “obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.” 

Sabemos que el cumplimiento de las obligaciones legales no es optativo, y que la observancia y aplicación de la NOM-035-STPS-2018 implica necesariamente  dar “tratamiento” a los datos personales de la categoría de  salud considerados  por la legislación mexicana como  “datos personales sensibles”;  por ende, una gestión deficiente o indebida  por parte del patrón, o cualquier tercero que lo represente y que actué a su nombre,  afectará al trabajador como “titular” de dichos datos,  pudiendo presentarse una  vulneración en el uso para finalidades no autorizadas o  exposición a una serie de riesgos que debieron de haberse prevenido, adoptando las medidas mínimas de confidencialidad y seguridad que la legislación contempla, porque no existen medidas de seguridad que garanticen al 100 % que no existirá una vulneración o incidente de seguridad. 

La LFPDPPP define a los datos personales sensibles como “aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para este”. 

En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual” (art. 3, fracc. VI, LFPDPPP). Y la NOM en comento “trata” en concreto, datos personales asociados a:

  •  exámenes médicos y evaluaciones psicológicas
  • evaluaciones clínicas para detectar exposición a factores de riesgo psicosocial
  • eventos de violencia laboral, y
  • acontecimientos traumáticos severos

  Si el patrón no gestiona, en términos de ley, los datos personales de sus trabajadores, corre el riesgo de que sea haga acreedor a la imposición de multas por parte del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales –INAI–, sanciones que se duplican, tratándose de datos personales sensibles de salud. 

Si bien es cierto que el patrón no requiere anuencia del trabajador para recabar y transferir estos datos personales, ya que se solicitan para cumplir con una obligación legal y para poder operar el contrato de trabajo celebrado, ambas finalidades que se consideran excepciones al principio del consentimiento contemplado en la LFPDPPP; lo que no significa que se le exima al patrón de su deber de informar sobre el uso que se dará a la información recabada. 

Esta obligación de informar (principio de información), se materializa a través del aviso de privacidad. 

La LFPDPPP señala que todo “responsable” del manejo de datos personales (para estos efectos el patrón) debe observar los principios de:

  •  licitud. Los datos personales deben ser recabados y tratados lícitamente, según la ley. Ofrecer una expectativa razonable de privacidad
  • lealtad. No recabar datos personales a través de  medios engañosos o fraudulentos
  • calidad. Asegurarse que se recaban con veracidad y exactitud para reflejo fiel. La información debe ser exacta y actualizada en su obtención, aplicando medidas razonables para que así se mantenga
  • finalidad. El uso o finalidad para la cual se recaban los datos personales debe ser explícita, legítima y determinada e incluirlas en aviso de privacidad, y
  • proporcionalidad. Solo recabar datos adecuados o necesarios para la finalidad; y mínima cantidad de información requerida para conseguir la finalidad (principio de minimización) 

Especialmente por lo que toca a los principios de consentimiento, información y responsabilidad, el patrón requiere conocer la forma en que se materializan estos principios para estar en aptitud de cumplirlos.

El principio de responsabilidad cierra el círculo en relación con los principios reguladores de la protección de los datos personales. Se le conoce también como el principio de “rendición de cuentas”, porque implica la obligación de los responsables de velar por el cumplimiento del resto de los principios, adoptar las medidas necesarias para su aplicación, y demostrar ante los titulares y la autoridad, que cumple con sus obligaciones en torno a la protección de los datos personales. 

Así, los responsables del tratamiento están obligados a velar por la protección de los datos personales aun y cuando los datos estén siendo tratados por terceros contratados para tal efecto “encargados”. 

Este principio supone que el responsable tome las medidas suficientes para que los términos establecidos en el aviso de privacidad sean respetados por aquellos con los que mantenga una relación jurídica. 

Para cumplir con este principio, el responsable puede hacer uso de estándares, mejores prácticas, políticas corporativas y esquemas de autorregulación. 

Cabe destacar la reciente publicación del primer estándar en materia de protección de datos personales: Estandard ISO/IEC 27701, protección de datos, sólida herramienta de auxilio para los responsables en el cumplimiento con la protección de datos junto con diversas publicaciones y guías del INAI que fácilmente se localizan en su portal de Internet. 

Todo patrón debe contar con un aviso de privacidad, ponerlo a disposición y darlo a conocer no solo a sus clientes, proveedores y público en general, sino también a sus empleados, incluso desde que se les entrevista para evaluar si son o no candidatos a cierto puesto, y por supuesto, en la celebración del contrato de trabajo respectivo.

Si el aviso de privacidad no ha sido dado a conocer –comunicado– al trabajador en alguno de los supuestos anteriores, previo a recabar la información solicitada, en los cuestionarios propuestos por la STPS, el patrón debe dárselo a conocer en su versión “simplificada”, adjuntándolo al correo electrónico, si se usa ese medio de comunicación para entregar el cuestionario de la STPS o entregándolo físicamente al colaborador junto con el cuestionario a aplicar. 

La NOM en comento, señala que “no es de cumplimiento obligatorio” la Guía de Referencia II para la Identificación y Análisis de los Factores de Riesgo Psicosocial, consignado en el  numeral 8.1 inciso a) de la NOM-035-STPS-2018 para centros de trabajo que tengan hasta 50 trabajadores; y propone utilizar dicho cuestionario aplicándolo a todos los trabajadores del centro de trabajo; por tanto, el patrón debe implementar un mecanismo que le permita acreditar que entregó el cuestionario al total de sus trabajadores; es decir, que de alguna manera liga o vincula el cuestionario y la información sensible ahí contenida, con cada uno de sus trabajadores aun cuando no requiera que cada empleado anote su nombre o algún otro dato de identificación. 

En ese mismo cuestionario, en la fracción II, se obliga a cumplir diversos temas entre los cuales destaca, para efectos del “tratamiento” de datos personales, el numeral 4), el cual enfatiza en la protección de la privacidad y confidencialidad del manejo de los datos y que el uso de la información proporcionada por el trabajador (ver Guía de referencia V, Datos del trabajador) y de sus resultados serán exclusivamente para fines de mejora del ambiente de trabajo. 

Esto significa que, el contenido del numeral 4) en comento, materializa el principio de finalidad de la recolección de datos personales “para fines de mejora del ambiente de trabajo” y también muestra la relevancia de acatar los deberes de confidencialidad y de seguridad que la LFPDPPP señala como obligatorios para aquella persona que “trate” datos personales. 

Por lo que, en el aviso de privacidad, el patrón debe informar el tipo de datos que se van a solicitar, señalando expresamente que se recabarán y tratarán datos personales de salud, la finalidad para la cual se van a utilizar y con quien se van a compartir. 

Es necesario aclarar que el aviso puede mostrarse en tres versiones: el integral, el simplificado y el corto. Cada versión tiene un uso distinto. El primero señala e identifica al responsable del tratamiento de los datos personales, describe ampliamente el tratamiento de datos personales en posesión del responsable, transmisión de datos personales a terceros en vía de remisión o transferencia. El segundo, muestra solo finalidades principales y secundarias y datos de contacto para su reproducción en documentación contractual o cuestionarios y al pie de correos electrónicos. Mientras que el tercero, lo utiliza en espacios cortos como boletos para una rifa o controles de identificación en participantes de eventos deportivos. 

El patrón debe recabar la constancia de que el trabajador recibió el aviso de privacidad, ya sea a través de una confirmación automatizada del correo electrónico, que lo recibió y lo leyó; un correo generado por el trabajador confirmando que recibió y leyó el aviso o, mediante una firma autógrafa de aquel. 

Cualquier tercero que actué a nombre del patrón con alguna encomienda específica, en este caso,  de gestionar lo relacionado con la NOM-035-STPS-2018,  debe celebrar un convenio por escrito haciendo constar que ese tercero cuenta con medidas de seguridad que le permiten asegurar la protección y confidencialidad de la información bajo su custodia y tratamiento, describir con toda claridad y precisión el objeto de los servicios que se le estarán encomendando, el tipo de gestión a realizar, precisar los procedimientos a seguir en caso de que se presente una vulneración de seguridad, específicamente la prohibición de subcontratar servicios con otros terceros que no sean expresamente autorizados por el patrón, y una vez concluida la gestión, pactar la eliminación  de datos personales de terceros en su posesión a través de medios seguros y dejar vigente su obligación de confidencialidad y reserva respecto de dicha información aun cuando haya concluido el contrato de  prestación de servicios. 

Aquí, cabe comentar que el tercero es clasificado por la LFPDPPP como “encargado” y en su actuación, se debe limitar a ejecutar y gestionar solo lo expresamente autorizado y pactado con el patrón. Si este tercero efectúa alguna acción no contratada o hace un uso indebido de los datos personales bajo su custodia, se le considera como un nuevo “responsable” debiendo responder ante los “titulares” (empleados) de los datos personales. Sin embargo, existe una corresponsabilidad con el patrón, y este último no podría argumentar que la responsabilidad es solo del “encargado”. 

Por ello, la importancia de los términos en los que se contraten estos servicios especializados y la obligación del “encargado” —prestador de servicios— de aplicar medidas de seguridad y a guardar la debida confidencialidad. 

Es de destacar que la propia LFPDPPP señala que el responsable, en este caso, el patrón está constreñido a llevar a cabo esfuerzos razonables para limitar el periodo de tratamiento de datos personales sensibles. 

Cabe recordar que de las primeras multas que el INAI impuso, se encuentra aquella a la que se hizo acreedora una persona que subió a Internet sesiones de tratamiento psicológico de pacientes, las cuales contenían datos personales y nombres. 

Por lo que hace al deber de confidencialidad es necesario señalar que está contemplado en la LFPDPPP e implica la exigencia de guardar secreto respecto de los datos personales que son tratados. Tiene que cumplirse para evitar causar un daño a su titular; de no ser así, un tercero no autorizado podría tener acceso a determinada información. 

Cuando se tratan datos personales, el “responsable” debe adoptar medidas para evitar que quienes tengan acceso a estos divulguen dicha información. 

La obligación de confidencialidad tiene que hacerse cumplir una vez que finalice la relación contractual, laboral o de otra naturaleza, entre el responsable del tratamiento y quien tenga acceso a los datos personales para el desarrollo de las tareas o funciones que se le hubieran encomendado. 

Por lo mencionado es altamente recomendable verificar que los “encargados” o prestadores de servicios en la gestión de la NOM, también guarden confidencialidad de los datos personales que tratan a nombre y por cuenta del “responsable”; es decir, del patrón, aun después de concluida la relación con este.  Algunas acciones sugeridas para este efecto son:

  • establecer procedimientos para evitar fuga de información o el acceso indebido a los datos personales
  • capacitar al personal para que conozca sus obligaciones con relación al tratamiento de datos personales, e
  • incluir en los contratos u otros instrumentos jurídicos que celebre con terceros, cláusulas de confidencialidad y para que quienes tengan acceso a los datos personales en posesión del responsable cumplan con esta obligación de confidencialidad 

Por otro lado, el patrón se debe asegurar que el personal a cargo de recabar información sensible de sus trabajadores esté capacitado en la materia de protección de datos y que se le ha dotado con las suficientes herramientas físicas, técnicas, administrativas y jurídicas para realizar esta gestión. 

También, debe proveerles de un medio o canal seguro para recabar y conservar la información asegurando que esta permanecerá protegida, utilizando para ello mecanismos necesarios y suficientes hasta en tanto la documentación se encuentre bajo su custodia y sea proporcionada a la STPS. 

La LFPDPPP y su reglamento contemplan la necesidad de que se haga un análisis de riesgo al que se exponen los datos, considerando el tipo o categoría al que pertenecen. En caso de ser un dato sensible de salud, el entorno en el que se le dará tratamiento; por ejemplo, físico, en medios digitales o a través de un prestador de servicios de cómputo en la nube. Recordemos que el hecho de contratar a un prestador de servicios no exime de responsabilidad al patrón. 

De igual forma, se debe tener presente que el aviso de privacidad es general, obligatorio para el que recaba y trata datos personales y aplicable para todos aquellos titulares de datos con los que el patrón tenga relación, y que en virtud de tal vinculo, recaba y trata información personal. Y que la Guía de Referencia V, datos del trabajador o cualquier otro documento, no sustituye a ese aviso de privacidad. 

Se recomienda que el aviso de privacidad integral se elabore en dos versiones. Una versión general dirigida a clientes, prestadores de servicios y trabajadores en forma general; y un aviso dirigido con sumo detalle a empleados o trabajadores, el cual debe ser puesto a disposición desde el momento en que se entrevista a un candidato a empleado. La ley no prohíbe esta práctica y sí asegura al patrón una eficiente comunicación con sus trabajadores. 

La publicación de la NOM-035 obliga a aquellos patrones que ya cuentan con su aviso de privacidad Integral a modificarlo señalando que se tratarán datos sensibles de salud, las finalidades legales que hay que cumplir derivadas de dicha NOM, y se deben asegurar de que el total de sus empleados lo reciban y lo lean. 

Pueden “ponerlo a su disposición” fijando una versión impresa un pizarrón visible para los trabajadores en la zona de acceso del centro de trabajo; en la que checan o registran su asistencia, o lo puede comunicar a través de correo electrónico, en el que explique a todo el personal la obligación de cumplir con una nueva NOM. 

En ambos casos, se debe documentar que se puso a disposición, mediante un acta que levante un corredor o notario público; o recabar el consentimiento vía correo electrónico de cada trabajador, o si se hace entrega físicamente de la versión actualizada del aviso de privacidad, recabar la firma de recibido de cada uno de los colaboradores. Esto es así, porque al patrón le corresponde acreditar que cumplió informando a sus trabajadores del uso que se hará de la información de salud recabada con motivo de esta NOM.  

No respetar el derecho a la protección de datos de los empleados se traduce en la violación de una garantía constitucional en perjuicio de una persona física titular del dato personal y a la comisión de infracciones consignadas en la LFPDPPP. 

Esas infracciones implican la imposición de multas que el INAI podría fincar cuando tenga conocimiento de esas omisiones o violaciones de derechos a la protección y privacidad de datos cometidos en perjuicio de los empleados. De forma enunciativa, mas no limitativa dado el amplio alcance para la imposición de multas de las que goza el INAI, y considerando que preponderantemente se violentaria el cumplimiento de los principios información y de responsabilidad, si el patrón no cuenta con su aviso de privacidad, se le sancionará; pero aun cuando cuente con él, si carece de algún elemento obligatorios, esos errores u omisiones, son sancionables también. 

Como ya se mencionó, el principio de información se materializa a través del aviso de privacidad, que es el “documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente ley” (art. 3, fracción I LFPDPPP).

Los requisitos mínimos que debe contener el aviso de privacidad son visibles en el artículo 16 de la LFPDPPP; a saber:

  • identidad y domicilio del responsable que los recaba
  • finalidades del tratamiento de datos
  • opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos
  • medios para ejercer los derechos de acceso, rectificación, cancelación u oposición, de conformidad con la LFPDPPP
  • transferencias de datos que se efectúen, en su caso, y
  • procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad, según la LFPDPPP 

En el caso de datos personales sensibles, el aviso de privacidad deberá señalar expresamente que se trata de este tipo de datos. 

Como se precisó, en caso de que estas obligaciones sean incumplidas por el responsable (patrón), las consecuencias de dicho incumplimiento están contempladas en el artículo 66 de la LFPDPPP. Las sanciones pecuniarias van desde 100 y hasta 320,000 veces la Unidad de Medida de Actualización. 

Es vital mencionar que en caso de que el aviso de privacidad esté incompleto o contenga información errónea, muy probablemente el patrón se colocará en la mayoría de los supuestos de infracciones detallados en el artículo 65 de la LFPDPPP. 

Para desvirtuar esas infracciones, el responsable, léase el patrón, es a quien le corresponde probar que ha cumplido con todos los principios y deberes consignados en la LFPDPPP en cumplimiento con la obligación legal impuesta por la NOM-035-STPS-2018.

.
 .  (Foto: IDC)
.
 .  (Foto: IDC)