En las relaciones entre particulares, a veces se emplea el convenio de confidencialidad como si tuviera los mismos efectos legales que un aviso de privacidad. A continuación, expongo y explico las características que los distinguen entre sí.
“El aviso de privacidad es una declaración unilateral de la voluntad porque en su contenido el responsable explica al titular los alcances del tratamiento y transferencia de sus datos personales y su aceptación del aviso de privacidad genera el consentimiento.”
El convenio de confidencialidad, es una figura jurídica que surgió en la década de los años 40 del siglo XX como consecuencia de la práctica en el derecho marítimo y cuyo uso fue popularizado en los 70 por las compañías de tecnologías de la información[1] y llegó como una figura de la familia del derecho común a la legislación mexicana como una obligación en diversas materias.
El aviso de privacidad tiene un marco jurídico especializado con leyes, reglamentos y lineamientos.
La confidencialidad se encuentra regulada en diversas disposiciones de la legislación mexicana solo como una obligación aplicable a sujetos específicos en circunstancias particulares, que puede integrarse a varios contratos o convenios en diversas materias, lo cual permite establecerlo primero conforme a las reglas generales de los contratos enunciadas en la teoría general del contrato, después a las estipulaciones expresas de las partes, en acatamiento a la libertad contractual y finalmente, a las normas del contrato nominado o reglamentado por la ley con el que se tenga más analogía.[2] Es puro porque contiene parcialmente elementos extraños a los tipos legales; es complejo o mixto porque combina en su contenido diversos tipos legales.
El aviso de privacidad es una declaración unilateral de la voluntad porque en su contenido el responsable explica al titular los alcances del tratamiento y transferencia de sus datos personales y su aceptación del aviso de privacidad genera el consentimiento.
En el convenio de confidencialidad, el titular que emite la información puede ser persona física o moral tanto en relaciones de derecho privado como de derecho público, porque la protección se enfoca en información que surge de la actividad que realiza el sujeto a nivel profesional y como consecuencia de relaciones comerciales, negocios y en general los actos jurídicos que celebra.
En el aviso de privacidad, para efectos del derecho privado, el titular de los datos personales siempre es una persona física, porque esa información permite que sea identificada o identificable, mientras que en el derecho público, cumple dicha función pero también puede ser una persona moral, conforme a la tesis aislada P. II/2014 (10a.),[3] identificada con el registro digital 2005522, publicada el 14 de febrero de 2014, donde se extiende el alcance de los derechos de privacidad y protección de datos personales de las personas físicas a las personas jurídicas colectivas únicamente para que la información entregada en un proceso o procedimiento a la autoridades por personas morales, sea confidencial cuando tenga el carácter de privada por contener datos que pudieran equipararse a los personales, sean sensibles o no, o bien, reservada temporalmente, si se actualiza alguno de los supuestos previstos en la legislación procesal vigente aplicable y para tales efectos deben emplearse las leyes estatales y federales que consideran a las autoridades como sujetos obligados a la protección de datos personales, pero lo anterior no afecta a los particulares.
El convenio de confidencialidad puede ser unilateral, bilateral o multilateral. Lo anterior permite que una o varias personas reúnan a la vez las calidades tanto de emisor como de receptor al intercambiar mutuamente información considerada como confidencial.
“El convenio de confidencialidad puede ser unilateral, bilateral o multilateral. Lo anterior permite que una o varias personas reúnan a la vez las calidades tanto de emisor como de receptor al intercambiar mutuamente información considerada como confidencial.”
Para ser emisor se requiere ser titular de la información o contar con la autorización de quien tenga derecho de otorgarla para su divulgación; mientras que para ser receptor solo se requiere de capacidad legal plena (de goce y ejercicio). En el aviso de privacidad, el titular siempre será el emisor mientras que el encargado y/o responsable siempre serán los receptores porque la información se transmite de forma unilateral.
El convenio de confidencialidad abarca diversos tipos de secretos: societario, comercial, técnicos, industrial, profesional, bancario, fiduciario, gubernamental, médico profesional, de fabricación, del consumidor, de comunicaciones reservadas, secretas o privadas, información privilegiada y entre ellas los datos personales y datos sensibles. El aviso de privacidad solo contempla datos personales y datos personales sensibles.
El convenio de confidencialidad busca que la información se utilice conforme al uso autorizado o finalidad del acto jurídico que puede variar de acuerdo a las necesidades de las partes como crear una relación comercial, celebrar un contrato, asegurar la protección de la propiedad intelectual del emisor o mantener el control de la divulgación de la información en cuestión. De manera optativa, se puede establecer una lista de personas autorizadas para el uso de la información confidencial e incluso obligados solidarios.
El aviso de privacidad además de especificar los alcances del tratamiento de los datos personales permite establecer las condiciones en las cuales es permisible transferir a terceros la información que deben ser plenamente identificadas e implica que no solo existan responsables sino también encargados de la protección de los datos personales haciendo del conocimiento del titular de forma obligatoria que otros sujetos pudieran resultar responsables en caso de que se suscite un uso indebido de los mismos.
El convenio de confidencialidad establece límites claros sobre el tipo de información considerada como confidencial para racionalizar el alcance de la protección, cumplimiento de la obligación e incluso el cálculo de la indemnización por daños y perjuicios frente a autoridad competente.
“El aviso de privacidad además de especificar los alcances del tratamiento de los datos personales permite establecer las condiciones en las cuales es permisible transferir a terceros la información que deben ser plenamente identificadas e implica que no solo existan responsables sino también encargados de la protección de los datos personales haciendo del conocimiento del titular de forma obligatoria que otros sujetos pudieran resultar responsables en caso de que se suscite un uso indebido de los mismos.”
El aviso de privacidad considera por defecto a los datos personales como información confidencial y exige el establecimiento de medidas específicas para asegurar el cumplimiento de la obligación dependiendo de su tratamiento y transferencia.
El Convenio de Confidencialidad permite que las partes decidan cuándo concluye la vigencia del acto jurídico a través de un plazo o condición, sea la pérdida de la calidad de confidencial de la información o la conclusión de la relación comercial que dio origen al acto.
El aviso de privacidad será vigente de forma indefinida salvo que cambie la naturaleza jurídica del responsable y/o encargado de tal forma que ello permita extinguir sus obligaciones frente al titular.
Conforme a lo antes expuesto, independientemente de si se usa uno o ambos se aconseja crear cláusulas que considerando los actos jurídicos o negocios que motiven su celebración, estipulen lo siguiente:
- En su caso, la forma en la cual se adherirán nuevos emisores o receptores y titulares con motivo del desarrollo de la operación y a qué personas se autorizará el tratamiento o la transferencia de datos personales, así como el acceso restringido a dicha información confidencial.
- La manera en la cual receptores, responsables y/o encargados cumplirán sus obligaciones frente a titulares de datos personales y emisores de información confidencialidad, según sea el caso.
- Los mecanismos o medidas que garantizan preservar la confidencialidad de la información o los datos personales.
- Las diferencias en el tratamiento, transferencia y uso que se da a información analógica y en medios digitales para el cumplimiento de las obligaciones y las medidas de seguridad correspondientes que eviten poner en riesgo la misma.
- Los planes y políticas que se tienen implementados para aplicarse en escenarios de prevención y reacción.
El beneficio de estas medidas es la simplificación del proceso de celebración de negocios sin descuidar el cumplimiento de obligaciones entre las partes en materia de datos personales y confidencialidad de la información.
[1] Michelle Dean. “Contracts of Silence: How the Non-Disclosure Agreement Became a Tool for Powerful People to Stymie Journalists From Informing the Public”. Columbia Journalism Review. Disponible en: https://www.cjr.org/special_report/nda-agreement.php#:~:text=There’s%20no%20clear%20origin%20story,the%20context%20of%20maritime%20law
[2] Ramón Sánchez Medal. De los Contratos Civiles. México, Porrúa, 2015, p. 546.
[3] Michelle Dean, “Contracts of Silence”. Disponible en: https://www.cjr.org/special_report/nda-agreement.php#:~:text=There’s%20no%20clear%20origin%20story,the%20context%20of%20maritime%20law.