Elabora tu Aviso de Privacidad

Lic. Carlos Eduardo Castillejos Avendaño

Lic. Juan de Dios Hernández Hernández

Especialistas en Protección de Datos Personales, Transparencia y Rendición de Cuentas.

Actualmente las normas de Protección de Datos Personales (PDP) obligan a todas aquellas personas que obtienen, usan, tratan, disponen o resguardan datos de terceros, a protegerlos. Sobre todo, a hacer del conocimiento del titular sus derechos y sus obligaciones; también a contar con las características, los elementos formales y materiales que debe contener todo el aviso de privacidad (AP). Este trabajo es necesario para materializar el cumplimiento de la obligación del poseedor de los datos personales a fin de estar en la posibilidad de disponerlos para los fines que fueron recolectados.

Mucha gente piensa que solamente las grandes compañías deben de tener aviso de privacidad. Pero la realidad es que toda empresa que cuente con una base de datos de sus clientes, por muy pequeño que sea el negocio, debe contar con él.

La elaboración de un AP, a pesar de que debe incluir las características técnicas que requiere la norma, tiene que ser sencillo en su lectura para los usuarios. En este periodo, nos hemos percatado de la diversidad que existe en los avisos, algunos son demasiado breves y no incluyen los elementos necesarios, y otros llegan a ser tan complejos que hacen imposible su lectura y comprensión ya que agregan términos jurídicos poco usados que generan confusión e inseguridad a los titulares de los datos personales.

Por eso, debemos, como poseedores de esta información, contar con un ap que no genere inseguridad, confusión o duda. Incluso garantizar que el titular tenga el acceso a sus datos personales como lo menciona la Constitución mexicana. Por ello, en este artículo les ofrecemos a los lectores de Foro Jurídico algunas recomendaciones para su AP de acuerdo con la norma mexicana, con la finalidad de generar seguridad para ambas partes, y así evitar sanciones económicas o comisión de algún ilícito.

La obligación de los poseedores de datos personales consiste en elaborar y poner a disposición el aviso de privacidad a los titulares tal y como lo menciona la Ley Federal de Protección de Datos Personales en Posesión de Particulares: “Artículo 15.- El responsable tendrá la obligación de informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, a través del aviso de privacidad.” De no hacerlo, incurriría en una infracción, como se indica en el artículo 63, fracción V de la misma norma que señala: “Artículo 63.- Constituyen infracciones a esta Ley, las siguientes conductas llevadas a cabo por el responsable: Fracción V. omitir en el aviso de privacidad, alguno o todos los elementos […]” Esta omisión tiene una sanción con multa de 100 a 160 mil días de Salario Mínimo Vigente en el Distrito Federal, que cuantificando van desde la cantidad 7 mil pesos, hasta 11 millones 216 mil pesos de acuerdo con el artículo 64 de esta misma norma.

Tomando en cuenta lo anterior, es importante conocer los elementos formales y materiales que debe cumplir el aviso de privacidad. No basta con elaborarlo como lo mencionaremos a continuación, sino también el modo y los medios para ponerlo a disposición, dependiendo de la forma de obtención de datos personales y el tipo de información que se obtiene. Esto para evitar sorpresas cuando la autoridad nos requiera demostrar el cumplimiento de la norma en cuanto a la PDP, particularmente en cuanto a la puesta a disposición del aviso de privacidad.

Para tales efectos señalamos, a forma de cita, el siguiente lineamiento: “Décimo Séptimo.- En términos del artículo 31 del Reglamento de la Ley –para efectos de demostrar la puesta a disposición del aviso de privacidad en cumplimiento del principio de información, la carga de la prueba recaerá, en todos los casos, en el responsable.-, para efectos de demostrar la puesta a disposición del aviso de privacidad en cumplimiento del principio de información, la carga de la prueba recaerá, en todos los caso, en el representante”.

El Aviso de Privacidad

Es necesario conocer a fondo el aviso de privacidad por ser el documento que nos permite cumplir con el principio de información mencionado en la ley. Éste es un documento físico, electrónico o de cualquier otra tecnología generado por el responsable y puesto a disposición de los titulares de los datos personales. Es decir, es elaborado por quien obtiene la información y la entrega a las personas a quien los solicita, según sea el caso, podrá ser el interesado o los padres de familia, tutores o representantes legales cuando se trate de un menor de edad o incapacitados legales.

El objeto del aviso de privacidad es delimitar los alcances y condiciones generales para el tratamiento de la información personal de terceros, a fin de que se tenga un control sobre ella, llamado derecho a la autodeterminación informativa. A la par, al poseedor le permite transparentar dicho tratamiento y fortalecer los niveles de confianza de los titulares. Por lo anterior, el aviso debe ser sencillo, con información necesaria, expresado en español, con un lenguaje claro y comprensible, con una estructura o diseño. Lo anterior para facilitar su entendimiento, por consiguiente no debe emplearse palabras inexactas, ambiguas o vagas al perfil dirigido; tampoco incluirse textos ni formatos que induzcan a elegir una opción específica. Para el caso de un formato con casillas para marcado, es necesario verificar que no se encuentren previamente marcadas y por último, no incluir textos o documentos inexistentes, y estar ubicado en un lugar visible y que facilite su consulta.

Poner a Disposición el Aviso de Privacidad

El responsable de los datos personales tiene la posibilidad de poner a disposición del titular las diversas versiones de aviso de privacidad, sea corto o simplificado, pero siempre debe entregar el integral pudiendo hacerlo:

• Previo a la obtención
• Al primer contacto
• Previo al aprovechamiento
• Previo al aprovechamiento cuando se pone a disposición un nuevo aviso de privacidad cuando cambien de finalidad.

Algunos avisos de privacidad
llegan a ser tan complejos que
hacen imposible su lectura
y comprensión, generando
incertidumbre en los titulares
de los datos personales.

Es importante considerar que la prueba de que el AP sea conocida por el titular de los datos personales recae en el responsable; por lo cual es necesario entregar una copia del aviso al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), acto que dará un respaldo y seguridad a ambas partes.

Modalidades del Aviso de Privacidad

En la ley se encuentran mencionados únicamente 2 tipos de aviso de privacidad, que particularmente dependen del contenido y la estructura:

• Aviso de Privacidad Completo o Integral: Este aviso deberá incluir todos los elementos informativos citados en los artículos 8, 15, 16 y 36 de la Ley. Se usa Cuando los datos se recaben de manera personal del titular y se debe dar a conocer Al momento en que se recaban los datos personales, es decir, cuando el responsable facilite al titular el formato mediante el cual obtendrá los datos, deberá facilitar también el aviso de privacidad completo.

• Aviso de Privacidad Simplificado: Esta modalidad de aviso deberá incluir, al menos, la información que refiere a identidad y domicilio del responsable y las finalidades del tratamiento como lo establece el artículo 17 de la Ley. Asimismo, este aviso deberá proveer los mecanismos para que el titular conozca el aviso de privacidad completo. Este aviso se usa cuando los datos personales se obtengan de manera directa del titular por cualquier medio electrónico, óptico o sonoro. Se debe de dar a conocer al titular de los datos De manera inmediata, es decir, cuando el titular ingrese al sistema o aplicación mediante el cual se recabarán sus datos, sin que pueda ser en un momento posterior.

Casos en los que se Requiere un Nuevo Aviso de Privacidad

El responsable no podrán usar los datos personales obtenidos con anterioridad, a pesar de haber colocado un aviso de privacidad con todos los elementos formales y materiales. Es necesario poner a disposición de los titulares un nuevo aviso de privacidad en los casos que la empresa cambie alguno de los siguientes datos:

• Cambie su identidad
• Datos sensibles
• Patrimoniales
• Financieros
• Cambie finalidades
• Incorpore nuevas finalidades
• Modifique las condiciones de transferencia
• Se vaya a realizar una transferencia no prevista
• El consentimiento del titular sea necesario

Contenido del Aviso de Privacidad

La sociedad mexicana tiene la obligación moral de cuidar sus datos personales, ya que la solución y la protección no depende únicamente de los gobernantes ni de las leyes sino también de la colaboración y participación de la sociedad, es por ello necesario que todos conozcamos los elementos que debe contener cada uno de los avisos de privacidad.

Aviso de Privacidad Integral

• La identidad y domicilio del responsable: Nombre completo si es persona física, en caso de que sea persona moral, la denominación o razón social. El domicilio deberá indicar: Calle, Número, Colonia, Ciudad, Municipio o Delegación, Código Postal, Entidad Federativa. Estos datos deberán coincidir con el domicilio para oír y recibir notificaciones.
• Datos personales que se tratarán: Debe indicar los datos personales que tratarán debiendo identificarlos por medio de un listado, sin frases inexactas, ambiguas, vagas.
• Señalamiento expreso de datos personales sensibles: Mediante un listado nominal de los datos personales debiendo expresar cuáles de estos son sensibles.
• Finalidades del tratamiento: Describir claramente las finalidades para las que se trataran los datos personales, sin usar frases inexactas, ambiguas o vagas por ejemplo: entre otras finalidades, otros fines análogos, y las finalidades; incluyendo mencionar si se utilizarán para finalidades de mercadotecnia, publicidad o prospección comercial; conjuntamente identificar claramente las finalidades primarias o necesarias, directas y las finalidades secundarias o complementarias, indirectas; e informar de los mecanismos implementados para que el titular de los datos personales pueda manifestar la negativa al tratamiento de su información personal.
• Mecanismos para manifestar la negativa: Los mecanismos pueden ser casillas de marcado, opciones de marcado, debiendo de ser previos al tratamiento de la información, así mismo quedan a salvo los derechos para ejercer la revocación del consentimiento u oposición al tratamiento.
• Transferencia de datos personales: El aviso de privacidad integral obligatoriamente debe contener información relativa a la trasferencia de información, sea nacional o internacional, mencionar siempre y en todo momento los terceros o destinatarios, identificar plenamente las finalidades.
• Cláusula para consentir la transferencia de datos personales: El aviso de privacidad debe incluir una cláusula que permita al titular de los datos personales señalar si acepta o niega la transferencia de datos.
• Medio para el ejercicio de los derechos de acceso, rectificación, cancelación u oposición: Medios habilitados para ejercer el derecho de acceso, rectificación, cancelación u oposición; siempre disponibles y accesibles a los titulares; debiendo ser los medios gratuitos, de mayor cobertura y enfocados directamente al sector de los titulares; de igual manera manifestar los datos de identificación, los formatos y requisitos, plazos, medios para dar respuesta, medios de reproducción para ejercer los derechos otorgados por la normativa que es aplicable para el tratamiento de la información personal.
• Mecanismos y procedimientos para la revocación del consentimiento: En el aviso de privacidad integral deben indicarse los medios habilitados para la atención a la solicitud de revocación de consentimiento, el procedimiento.
• Opciones y medios para limitar el uso o divulgación de los datos personales: En el aviso de privacidad se debe informar sobre las opciones y medios implementados para que el titular pueda limitar el uso y divulgación, éstos son totalmente distintos a los derechos de acceso, rectificación, cancelación u oposición.
• Uso de tecnología en obtención de datos personales: Cuando el responsable haga uso de medios remotos o locales de comunicación electrónica, óptica u otra tecnología para recabar datos, de inmediato debe de comunicarlo en un lugar visible, siempre con la opción de deshabilitarlo.
• Cambios de aviso de privacidad: En el aviso de privacidad debe de indicarse el medio y la forma para dar a conocer el titular de los datos personales de los cambios o actualización del aviso de privacidad.

La obligación de los poseedores
de datos personales
consiste en elaborar y poner
a disposición el aviso de
privacidad a los titulares tal y
como lo menciona la LFPDPP.

Aviso de Privacidad Simplificado

Una vez que cuenta con la información necesaria para redactar su aviso de privacidad, se sugiere elaborar primero el aviso de privacidad integral. Éste podrá tener la extensión que el responsable considere conveniente, sin embargo se sugiere que la información proporcionada sea la relevante y necesaria para que el titular tome decisiones informadas respecto de sus datos personales y conozca los términos principales del tratamiento de su información personal. Cuando el aviso de privacidad integral se encuentre listo, se recomienda al responsable extraer del mismo la información que se requiere para elaborar el aviso de privacidad simplificado.

Estos son los elementos y las características que debe contener la versión simplificada:

• La identidad del responsable: Igual al proporcionado en el aviso de privacidad integral.
• El domicilio del responsable: Igual al proporcionado en el aviso de privacidad integral.
• Las finalidades del tratamiento: Debe informarse para qué se utilizarán los datos personales, deben ser explícitos, mencionar si se usaran para fines de mercadotecnia, publicidad y prospección comercial, de igual forma distinguir entre finalidades necesarias y finalidades secundarias.
• Los mecanismos habilitados para que el titular de los datos personales pueda manifestar su negativa para las finalidades secundarias.
• Los mecanismos para dar a conocer el aviso de privacidad.

El responsable debe señalar el mecanismo implementado para dar a conocer el aviso de privacidad integral, que deberán:

•  Ser de fácil acceso para los titulares de los datos personales.
• Contar con medios usados sean de mayor cobertura posible.
• Tomar en cuenta el perfil de los titulares de los datos personales.
• Considerar la forma de contacto con los titulares de los datos personales.
• Ser de acceso gratuito para los titulares a los datos personales.
• Ser debidamente habilitado.
• Estar disponible en todo momento.
• Contar con un sencillo acceso a la información.

El responsable de tener la información debe contar con los avisos de privacidad simplificado e integral para poder entregarlo por cualquier medio en el momento en el que el titular lo solicite.

El objeto del aviso de
privacidad es delimitar
los alcances y condiciones
generales para el tratamiento
de la información personal de
terceros, a fin de que se
tenga un control sobre su
información personal.

En términos jurídicos, la norma es perfecta debido a que permite encontrar desde las principales características y los requisitos que debe tener el aviso de privacidad hasta el tratamiento integral de los datos personales, con la finalidad de no incurrir en una falta a la norma y que legalmente podamos ser sancionados económicamente y pudiendo llegar a consumar un delito.

Tal vez y siendo el punto más importante, que siempre nosotros los especialistas en esta materia, discutimos que las multas no deberían de ser tan excesivas, tomando en consideración al principio “la sanción no inhibe la comisión de los delitos”, y en un momento dado puede generar la venta de bases de datos y lo que buscamos no es la oferta de información personal, sino que el titular de los datos personales cuenten con el derecho de poder.

Para solucionar la situación real de obtención indebida de información personal, es necesario e importante como particulares, conocer nuestros derechos que nacen desde el momento en que nos la solicitan, hasta la supresión definitiva de los mismos; por su parte, los responsables cumplir su compromiso de no compartirla e indicarles a los titulares toda la información relacionada con el tratamiento.