Al realizar actos jurídicos a favor de la Sociedad con proveedores, clientes, trabajadores, compañías del grupo y cualquier otra parte interesada, tratamos datos personales de apoderados para: dar origen o mantener relaciones jurídicas y comerciales, dar cumplimiento a obligaciones contractuales y regulatorias, atender requerimientos, emitidos por autoridades competentes, mantener actualizada la información del titular, evaluar la calidad del servicio.
A su vez transferimos dichos datos personales para: cumplir obligaciones derivadas de relaciones contractuales, atender requerimientos de sociedades integrantes del grupo empresarial y autoridades competentes, enviar información a terceros que presten servicios a la sociedad o participen en su sector.
Lo anterior depende de las necesidades de cada sociedad, pero la meta es asegurar el cumplimiento de las obligaciones a su cargo como responsable, e incluso aquellas que le correspondan a las sociedades de su grupo empresarial, proveedores, autoridades o terceros como encargados considerando que los apoderados habitualmente son trabajadores o externos.
Conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, el responsable es aquella persona física o moral de carácter privado que decide sobre el tratamiento de datos personales mientras que el encargado es la persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable.
Habitualmente, sólo se solicitan datos personales de identificación (nombre completo, firma autógrafa, domicilio para oír y recibir notificaciones, teléfono, nacionalidad, copia de su identificación oficial y copia de su comprobante del domicilio que proporcione), laborales (ocupación, profesión o actividad, lugar de trabajo, solicitudes de empleo, referencias personales, recomendaciones, capacitación, documentos de selección y reclutamiento, nombramiento, incidencias y demás que se puedan derivar o surgir de la relación laboral del individuo o de prestación de servicios) o informáticos (dirección de correo electrónico particular, firma electrónica), para lo cual se puede emplear el aviso de privacidad corto cuando se obtienen los datos personales por medios impresos y el espacio utilizado para la obtención de los datos personales es mínimo y limitado, de forma tal que los datos personales recabados o el espacio para la difusión o reproducción del aviso de privacidad también lo sean, de forma tal que los datos personales obtenidos también sean mínimos.
También se puede emplear el aviso de privacidad simplificado cuando los datos del apoderado los obtenga la sociedad por medios que permitan su entrega directa al responsable, entre ellos, medios electrónicos, ópticos, sonoros, visuales o cualquier otra tecnología, como correo postal, internet o vía telefónica, entre otros o de forma indirecta como fuentes de acceso público o una transferencia;
En ambos casos deberá contener: la identidad y domicilio del responsable, las finalidades del tratamiento y los mecanismos que el responsable ofrece para que el titular conozca el aviso de privacidad integral.
Conforme al último punto, en ambos casos, es necesario especificar la existencia del aviso de privacidad integral, para tales efectos se recomienda el uso de la página web de la empresa como una plataforma dinámica, donde se recabe por medios electrónicos el consentimiento y se haga de conocimiento del titular los medios con los que cuenta para el ejercicio de sus derechos ARCO por petición al titular del área responsable en la Sociedad y los encargados, según sea el caso.
“Es necesario especificar la existencia del aviso de privacidad integral, para tales efectos se recomienda el uso de la página web de la empresa como una plataforma dinámica, donde se recabe por medios electrónicos el consentimiento y se haga de conocimiento del titular los medios con los que cuenta para el ejercicio de sus derechos ARCO por petición al titular del área responsable en la Sociedad y los encargados.”
Sin embargo, también se obtienen datos personales sensibles (antecedentes penales, procesos o procedimientos legales previos o en curso, identificación en listas de personas bloqueadas emitida por autoridad competente o sociedad de información crediticia), por medio de fuentes de acceso público, motores de búsqueda o redes sociales en la red mundial denominada Internet, así como en motores especializados (Lexis Nexis, buró de crédito, etc.), en cuyo caso se tendrá que emplear el aviso de privacidad integral por defecto, lo cual puede implicar obtener los datos personales del apoderado mediante su presencia física, o por medios que permitan su entrega directa al responsable, entre ellos, medios electrónicos, ópticos, sonoros, visuales o cualquier otra tecnología, como correo postal, internet o vía telefónica, entre otros.
Para tales efectos, se aconseja:
- Establecer una cláusula en contrato, individual de trabajo o de prestación de servicios según sea el caso, cuyas estipulaciones se ajusten al contenido obligatorio del aviso de privacidad corto o simplificado.
- En dicha cláusula se debe estipular la existencia de un aviso de privacidad integral, la página web donde se puede consultar dicho aviso, en la cual también se provea el mecanismo para formalizar el documento que se ajuste al caso concreto, conforme al tipo de datos que se recaban, y obtener el consentimiento del apoderado en el mismo acto que se celebra el contrato.
- Dicho documento será generado como un archivo electrónico que genere la plataforma automáticamente, lo cual puede implicar el uso de firma electrónica avanzada para la identificación tanto del apoderado como del representante de la Sociedad como responsable, y en su caso el encargado, para que el documento electrónico generado constituya una prueba electrónica plena o se imprima para solicitar las firmas autógrafas correspondientes posteriormente en un modelo híbrido, de acuerdo a las necesidades así como los recursos técnicos y económicos de la sociedad.
Todos los datos personales recibidos deben ser protegidos y resguardados como información confidencial, de tal forma que se restrinja su acceso, por lo cual será necesario que se tomen las medidas de seguridad de la información guardada en medios electrónicos y bodegas de carácter administrativo, físico y técnico pertinentes.
“Todos los datos personales recibidos deben ser protegidos y resguardados como información confidencial, de tal forma que se restrinja su acceso, por lo cual será necesario que se tomen las medidas de seguridad de la información guardada en medios electrónicos y bodegas de carácter administrativo, físico y técnico pertinentes.”
Dicho esquema debe documentarse en una política junto con los procedimientos que involucren el tratamiento y transmisión de datos personales, donde se especifique la capacitación que se otorga al personal de las áreas de compras, ventas, legal, recursos humanos y cualquier otra área involucrada en la sociedad como encargados que apoyan a la sociedad como responsable para que clasifiquen y resguarden apropiadamente dichos datos personales, al igual que las transferencias que se hagan de datos personales de apoderados a autoridades como encargados, para monitorear el ejercicio responsable de las facultades que se les otorgan.
Resulta muy importante que se conozcan las consecuencias detrás de las finalidades para el tratamiento y transferencia de datos personales al interior de la sociedad para que se cumpla lo que se estipulo en el aviso de privacidad y dicho documento refleje la realidad de lo que ocurre con los datos personales tanto en el plano material como en el digital de principio a fin para no dar pie a usos no autorizados por los apoderados.
Los beneficios de estas medidas son:
- Omitir gastos en servicios legales o representación legal en procesos judiciales o procedimientos administrativos que impliquen multas, penas de prisión u otras consecuencias.
- Mejorar los procesos internos de la sociedad en materia de gestión de datos personales.
- Fomentar el cumplimiento normativo y la ética al interior de la organización.
- Coordinar el otorgamiento o revocación de poderes con autoridades y áreas involucradas en ellos con base en contrataciones, renuncias o despidos de trabajadores y contratación, terminación o recisión prestaciones de servicios a cargo de proveedores.