Ejemplos de Aviso de Privacidad y para la Protección de Datos Personales en México

sobreAvisoAutor: LCP Efrén Campos Zepeda

El 5 de Julio del 2010, se publica en el Diario oficial de la federación (DOF) la Ley Federal de Protección de Datos Personales en posesión de los particulares (LFPDPPP). Esta Ley regula a los particulares, sean personas físicas o morales de carácter privado, que lleven acabo el tratamiento de “Datos Personales” con fines comerciales o de divulgación, a efecto de que generen un “Aviso de Privacidad” que tutele la garantía constitucional de Privacidad, que fuera consignada por reforma al artículo 16 de nuestra Carta Magna publicada en el DOF el 1 de junio de 2009, y la consiguiente reforma al artículo 73 Constitucional en materia de datos personales, publicada en el DOF el 30 de abril de 2009, que faculta a la Federación para legislar en materia de datos personales en posesión de los particulares.

Así nace la obligación de emitir el Aviso de Privacidad que es el documento físico, electrónico o en cualquier otro formato (como puede ser visual o sonoro) generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales de conformidad con lo que establece la LFPDPPP.

De esta forma, profesionales como los médicos, contadores, abogados, consultores, PYMES, REPECOS, Colegios, Escuelas, Universidades Privadas, Agencias de Publicidad, Marketing y Diseño, Consultores, Hoteles, Comercializadoras, en general toda empresa y/o corporativo de servicios y productos, que recaben información de proveedores, clientes y empleados, deberá contar con este Aviso de Privacidad. Por ello y dado la importancia de esta nueva obligación este artículo pretende tratar de manera sucinta lo concerniente al aviso de privacidad, a efecto de generar una idea más precisa de este nuevo requerimiento que deberán cumplir particulares y empresas.

I. ¿Que Son los Datos Personales?

Como se mencionó con anterioridad, la reforma constitucional que dio origen a la Garantía de Privacidad, refiere que “toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en términos que fije la LFPDPPP”; por ello es importante entender primeramente qué son los datos personales.

Debe entenderse por Dato Personal, toda información concerniente o relativa a una persona física o identificable tales como:

  • Identificación (Nombre, edad, domicilio, sexo, RFC, CURP…)
  • Patrimoniales (Cuentas bancarias, saldos propiedades…)
  • Salud (Estados de salud físicos y mentales…)
  • Biométricos (Huellas dactilares, iris, voz, firma autógrafa…)
  • Otros (Ideología, afiliación política, religión, origen étnico, preferencia sexual…)

Adicionalmente se considera “Dato Personal Sensible”: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual. (Art. 3 F.VI LFPDPPP)

Calculadora ISR 2024 de Regalo: Descárgala y calcula fácilmente el ISR, IMSS e Infonavit de 2024 desde una sencilla Hoja en Excel, es completamente GRATIS!

II. El aviso de Privacidad:

Es una declaración que informa al titular de los datos personales: quién recaba (responsable), qué recaba (información que se recaba), para qué recaba (las finalidades del tratamiento), cómo limitar el alcance (uso o divulgación,) cómo revocar su consentimiento, cómo ejercer derechos ARCO (los medios de acceso, rectificación, cancelación, y oposición), cómo comunicar cambios al aviso (procedimiento y medio), si se acepta o no que los datos se comuniquen a terceros (transferencias), en su caso, si se recaban datos sensibles.

El aviso de privacidad tiene como propósito principal hacer del conocimiento del titular de los datos personales, primero, que su información personal será recabada y utilizada para ciertos fines y, segundo, las características del tratamiento al que serán sometidos sus datos personales. Lo anterior con el fin legítimo de que el titular tome decisiones informadas con relación a sus datos personales y controle el uso de su información personal. Así, el aviso de privacidad permite al responsable del tratamiento de los datos:

  • Transparentar al titular las finalidades y transferencias a que son sometidos sus datos personales.
  • Informar al titular cómo ejercer los derechos que la ley le otorga.

En términos de los artículos 3, fracción I, 17 y 18 de la Ley, y 14, 27 y 29 de su Reglamento, el responsable deberá poner a disposición del titular el aviso de privacidad en los siguientes momentos:

I. Cuando los datos personales se obtienen de manera directa o personal del titular, el responsable deberá poner a su disposición el aviso de privacidad previo a la obtención de los mismos;
II. Cuando los datos personales se hayan obtenido de manera indirecta de su titular, y éstos procedan de una transferencia consentida o de una en la que no se requiera el consentimiento según el artículo 37 de la Ley; o bien, de una fuente de acceso público, el responsable receptor o que obtiene los datos personales deberá poner a disposición el aviso de privacidad al primer contacto con el titular. En caso de que el tratamiento no requiera contacto con el titular, el responsable deberá hacer de su conocimiento el aviso de privacidad previo al aprovechamiento de los datos personales para la finalidad respectiva, y
III.Cuando el responsable pretenda tratar los datos personales para una finalidad distinta a la consentida por el titular, deberá poner a su disposición un nuevo aviso de privacidad con las características del nuevo tratamiento, previo al aprovechamiento de los datos personales para la finalidad respectiva.

III. Modalidades del Aviso de Privacidad:

En términos de los artículos 15 de la Ley y 23 de su Reglamento, el principio de información consiste en la obligación del responsable de informar a los titulares sobre la existencia y características principales del tratamiento al que serán sometidos sus datos personales, con objeto de que pueda ejercer sus derechos a la autodeterminación informativa, privacidad y protección de datos personales. Este principio se materializa en la puesta a disposición del aviso de privacidad en tres modalidades de Aviso: integral, simplificado y corto.

Así el responsable podrá desarrollar un Aviso de Privacidad Completo o utilizar otra modalidad establecida en la Ley que permite al responsable simplificar el contenido para fines prácticos.

1. Aviso de privacidad completo:

Este aviso se estipula para cuando los datos se recaben de manera personal del titular; es decir, al momento en que se recaban los datos personales, el responsable debe facilitar al titular el formato mediante el cual obtendrá los datos y también el aviso de privacidad completo. Deberá incluir todos los elementos informativos citados en los artículos 8, 15, 16 y 36 de la Ley que son:

I. La identidad y domicilio del responsable que trata los datos personales;
II. Los datos personales que serán sometidos a tratamiento;
III. El señalamiento expreso de los datos personales sensibles que se tratarán;
IV. Las finalidades del tratamiento;
V. Los mecanismos para que el titular pueda manifestar su negativa para el tratamiento de sus datos personales para aquellas finalidades que no son necesarias, ni hayan dado origen a la relación jurídica con el responsable;
VI. Las transferencias de datos personales que, en su caso, se efectúen; el tercero receptor de los datos personales, y las finalidades de las mismas;
VII. La cláusula que indique si el titular acepta o no la transferencia, cuando así se requiera;
VIII. Los medios y el procedimiento para ejercer los derechos ARCO;
IX. Los mecanismos y procedimientos para que, en su caso, el titular pueda revocar su consentimiento al tratamiento de sus datos personales;
X. Las opciones y medios que el responsable ofrece al titular para limitar el uso o divulgación de los datos personales;
XI. La información sobre el uso de mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en su caso, y
XII. Los procedimientos y medios a través de los cuales el responsable comunicará a los titulares los cambios al aviso de privacidad.

2. Aviso de privacidad simplificado:

Cuando los datos personales simplificados se obtengan de manera directa del titular por cualquier medio electrónico, óptico o sonoro, el aviso debe darse a conocer de manera inmediata, es decir, cuando el titular ingrese al sistema o aplicación mediante el cual se recabarán sus datos, sin que pueda ser en un momento posterior. Esta modalidad de aviso deberá incluir, al menos, la información que refiere a identidad y domicilio del responsable y las finalidades del tratamiento (artículo 17 de la Ley); este aviso deberá proveer los mecanismos para que el titular conozca el aviso de privacidad completo.

3. Aviso de Privacidad Corto:

En términos del artículo 28 del Reglamento de la Ley, el aviso de privacidad corto, podrá utilizarse cuando el espacio utilizado para la obtención de los datos personales sea mínimo y limitado, de forma tal que los datos personales recabados también sean mínimos y deberá proveer los mecanismos para que el titular conozca el aviso de privacidad completo.

En todos los casos, el aviso de privacidad, en cualquiera de sus modalidades, deberá estar ubicado en un lugar visible y que facilite su consulta.

Además, es importante recalcar que conformidad con lo dispuesto por los artículos 17 de la Ley y 25 de su Reglamento, el aviso de privacidad, en las modalidades de integral y simplificado, podrá difundirse o reproducirse en cualquiera de los siguientes medios: formato físico, electrónico, óptico, sonoro, visual o a través de cualquier otra tecnología que permita su eficaz comunicación.

IV. Medios para el ejercicio de derechos ARCO.

De acuerdo con lo previsto en los artículos 16, fracción IV y 33 de la Ley, y 90 y 102 de su Reglamento, el aviso de privacidad deberá informar al titular sobre:

I. Los medios habilitados por el responsable para atender las solicitudes de ejercicio de derechos ARCO, los cuales deberán implementarse de forma tal que no se limite el ejercicio de estos derechos por parte de los titulares;
II. Los procedimientos establecidos para el ejercicio de los derechos ARCO; o bien, los medios a través de los cuales el titular podrá conocer dichos procedimientos, los cuales deberán ser de fácil acceso para los titulares y con la mayor cobertura posible, considerando su perfil y la forma en que mantienen contacto cotidiano o común con el responsable; gratuitos; que estén debidamente habilitados, y que hagan sencillo el acceso a la información. Los datos de identificación y contacto de la persona o departamento de datos personales que dará trámite a las solicitudes de los titulares para el ejercicio de los derechos ARCO, al que refiere el artículo 30 de la Ley. Los procedimientos deberán incluir, al menos, lo siguiente:

a) Los requisitos, entre ellos, los mecanismos de acreditación de la identidad del titular y la personalidad de su representante, y la información o documentación que se deberá acompañar a la solicitud;
b) Los plazos dentro del procedimiento;
c) Los medios para dar respuesta;
d) La modalidad o medio de reproducción mediante la cual el titular podrá obtener la información o datos personales solicitados a través del ejercicio del derecho de acceso, es decir, copias simples, documentos electrónicos o cualquier otro medio, y;
e) Los formularios, sistemas y otros métodos simplificados que, en su caso, el responsable haya implementado para facilitar al titular el ejercicio de los derechos
ARCO.

Así mismo, para efectos de los artículos 8, último párrafo de la Ley y 21 de su Reglamento, el aviso de privacidad deberá prever mecanismos y procedimientos para la revocación del consentimiento y, deberá señalar expresamente la siguiente información:

I. Los medios habilitados por el responsable para atender las solicitudes de revocación del consentimiento de los titulares, los cuales deberán implementarse de forma tal que no se limite el ejercicio de este derecho por parte de los titulares, y;
II. El procedimiento establecido para la atención de las solicitudes de revocación del consentimiento, el cual deberá tomar en consideración lo dispuesto por el artículo 21 del Reglamento de la Ley; o bien, los medios a través de los cuales el titular podrá conocer dicho procedimiento, los cuales deberán ser de fácil acceso para los titulares y con la mayor cobertura posible, considerando su perfil y la forma en que mantienen contacto cotidiano o común con el responsable; gratuitos; que estén debidamente habilitados, y que hagan sencillo el acceso a la información.

Los procedimientos a los que refiere la fracción II anterior, deberán informar, al menos, lo siguiente:

a) Los requisitos, entre ellos, los mecanismos de acreditación de la identidad del titular y la personalidad de su representante y, en su caso, la información o documentación que se deberá acompañar a la solicitud;
b) Los plazos dentro del procedimiento, y;
c) Los medios para dar respuesta.

V. Casos en los que se requiere un nuevo aviso de privacidad.

El responsable estará obligado a poner a disposición de los titulares un nuevo aviso de privacidad, cuando:

I. Cambie su identidad;
II. Requiera recabar datos personales sensibles, patrimoniales o financieros adicionales a aquéllos informados en el aviso de privacidad original, cuando los mismos no se obtengan de manera personal o directa del titular y se requiera el consentimiento;
III.Cambie las finalidades que dieron origen o son necesarias para la relación jurídica entre el responsable y el titular; o bien, se incorporen nuevas que requieran del consentimiento del titular, o;
IV.Modifique las condiciones de las transferencias o se vayan a realizar transferencias no previstas inicialmente, y el consentimiento del titular sea necesario.
VI. Infracciones y Sanciones que se establecen:

La Ley contempla por el incumplimiento de las obligaciones relacionadas con el aviso de privacidad las siguientes infracciones y sanciones:

multa aviso de privacidad En definitiva el aviso de privacidad es una medida bastante adecuada para evitar la transferencia de datos personales e incluso su lucro; sin embargo, considero que desgraciadamente nuestros legisladores tardaron en reaccionar ante todo el tráfico y mal uso que se ha venido dando a dicha información, toda vez que ya han existido muchos casos de robos de identidad; del mismo modo considero que ahora será necesaria la vigilancia adecuada en el cumplimiento cabal de las medidas regulatorias anteriormente comentadas, toda vez que de no ser así, podríamos llegar al absurdo de que todo lo que se
ha reglamentado al respecto sería letra muerta.

Por otro lado, cabe señalar que los responsables tienen una tarea bastante importante, ya que resulta necesario hacer consciente de la magnitud que esta exigencia impone a todo el personal que maneje dichos datos y llevar un verdadero control de ellos.

1 Tomado de la Guía Práctica para generar el Aviso de Privacidad emitida por el IFAI y la Secretaría de Economía del Gobierno Federal.

Fuente: CCPG

2 comentarios en «Ejemplos de Aviso de Privacidad y para la Protección de Datos Personales en México»

  1. Ando en busca de una ayuda para la captura de las Actividades Vulnerables para efectos de Reportarlos ante el portal de PREVENCION CONTRA EL LAVADO DE DINERO. Se que existe el instructivo en ese mismo portal, es una hoja de excel con todo el contenido que en ocasiones llega a confundir todo lo que dice. En estos días el portal tiene muchos problemas y no se puede realizar la captura de uno en uno y como siempre ellos adjudican que es nuestra configuración del equipo que estamos utilizando. En esta semana han reconocido que ellos son los que tienen el problema, mas con ese problema no puedo capturar los avisos y será necesario subir un archivo XML que es la otra opción que tienen.
    Agradecezco su respuesta al mi petición.
    Buen día.. . .!!!

    Responder

Deja un comentario

Accede gratis a la aplicación web para la Descarga Masiva de XML del SAT

No te enviaremos SPAM, a nosotros tampoco nos gusta.

Descarga gratis la calculadora 2024 de ISR, IMSS e Infonavit en Excel.

No te enviaremos SPAM, a nosotros tampoco nos gusta.

Descarga la Tablas de ISR para 2024 en Excel de regalo de la RMF (Anexo 8).

No te enviaremos SPAM, a nosotros tampoco nos gusta.

Escanea el código