En México: Avisos de Privacidad, sólo la punta del Iceberg

iceberg_pdPor Mayra A. Cavazos Calvillo

El Aviso de Privacidad, según es definido en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares como el “documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales […]”, es el medio por el cual se les da a conocer a los titulares, entre otras cosas, los tipos y/o categorías de datos personales que serán sometidos a tratamiento, y las finalidades para las cuales, estos mismos serán utilizados.

ap_icebergEn el artículo 16 de dicha ley, se establecen los seis requisitos que un aviso de privacidad debe contener. No obstante, al no resultar suficientes dichos seis elementos, en el 2013 se publicaron en el Diario Oficial de la Federación los Lineamientos del Aviso de Privacidad, en donde se añadieron, en el lineamiento vigésimo, siete elementos adicionales para completar el Aviso de Privacidad Integral. Asimismo, cabe señalar que el artículo 26 del Reglamento de la ley en cita, liga los seis requisitos del aviso de privacidad contemplados en la ley, con los siete de los lineamientos. Además, resulta necesario indicar, que con anterioridad a los Lineamientos en comento, no se distinguían las distintas modalidades de aviso de privacidad, i.e. Integral, Simplificado y Corto, mismos que tienen, cada uno de ellos, usos y requisitos específicos establecidos por la normativa para poder ser puestos a disposición de los titulares de datos personales en el momento y lugar apropiados.

Aunado a lo anterior, se puede observar que el legislador procedió a agregar los siguientes elementos: i) datos personales sometidos a tratamiento, ii) señalamiento expreso de los datos personales sensibles, iii) mecanismos que tienen los titulares para manifestar su negativa para las finalidades no necesarias, iv) finalidades de las transferencias de datos personales y el tercero receptor de los mismos, v) cláusula que indique si el titular acepta o no las transferencias, vi) mecanismos para la revocación del consentimiento y vii) señalamiento del uso de tecnologías que recaban datos de manera automática (e.g. páginas web, aplicaciones móviles).

En este orden de ideas, resulta aplicable la mención de la importancia que el IFAI ha otorgado a los avisos de privacidad. Sin embargo, esto no significa que sólo debamos enfocarnos en éste, pues, si bien es cierto que dicho Instituto ha otorgado a estos una mayor publicidad desde la entrada en vigor de la ley, también lo es que, a la fecha, este mismo Instituto ha impuesto distintas multas concernientes a otras conductas violatorias de la referida ley.

Asimismo, podrá resultar fácil, e incluso práctico para algunos responsables, que al ver y escuchar los anuncios recordatorios e insistentes de esta autoridad, procedan a la inmediata redacción del aviso de privacidad. No obstante, muchos responsables no son conscientes, y además al día de hoy son escépticos, de que para realizar tan sólo un aviso de privacidad, es necesario indagar más en la empresa u organización de lo que se cree. En primera instancia, no basta con mencionar al azar los datos personales que se recaban o pretenden recabar, ni mucho menos señalar finalidades de manera aleatoria para las cuales podamos utilizar dichos datos. La legislación con todo lo que establece, obliga a que cada empresa u organización conozca ampliamente sus bases de datos físicas y electrónicas, es decir, conocer el tipo de datos que en ellas se tratan, identificar los sujetos a quienes pertenecen los mismos, entre otras cuestiones. A mayor abundancia, se presenta la situación de que muchas empresas u organizaciones ni siquiera conocen si transfieren y/o remiten datos personales, ergo, no se percatan si sus contratos, ya sean de prestación de servicios, o de otra naturaleza, cuentan con cláusulas que regulen la relación entre responsables transferentes y responsables receptores o entre responsables y encargados. En este sentido, cabría preguntarse, ¿cómo se pretende cumplir con cada uno de los requisitos del aviso de privacidad, si se desconoce el flujo de datos personales que existe?

Por otro lado, además de los famosos avisos de privacidad, y tal como se ha viniendo diciendo en el presente artículo, existen diversas obligaciones indicadas en la legislación, que tanto los responsables como los encargados deben cumplir para no incurrir en algún tipo de violación a la multicitada ley. A manera de visualización, resulta relevante la imagen inicial.

Como se puede observar, detrás de un aviso de privacidad se encuentran: una política de protección de datos, las funciones y obligaciones establecidas para el personal, un departamento o responsable de datos personales, la implementación de medidas de seguridad según los tipos de datos personales que se tratan en la empresa u organización, un procedimiento adecuado para la atención de derechos de acceso, rectificación, cancelación, oposición, revocación del consentimiento, y limitación del uso y divulgación de datos personales, la capacitación y formación continua al personal, entre otros.

Contratos (asentamiento de la relación jurídica)

Es importante contar con una regulación eficaz de los contratos, ya sea con prestadores de servicios (encargados), o con otros responsables del tratamiento de datos personales (responsables receptores). Cada contrato debe contar con cláusulas que regulen adecuadamente el tratamiento de datos entre responsable y encargado, o entre responsable transferente y responsable receptor, con la finalidad de otorgar a cada empresa u organización una mayor certeza en sus actividades y deslindarse de obligaciones legales que no le corresponden a la misma.

Políticas de Privacidad y Protección de Datos Personales

La elaboración de políticas de privacidad están contempladas en el artículo 48 del reglamento de la ley que nos ocupa. Una política de privacidad o de datos personales, va más allá de un aviso de privacidad. En esta política, entre otras cosas, se establecen las funciones y obligaciones que tiene el personal de una empresa (tomando en cuenta todos los niveles jerárquicos) respecto al tratamiento de datos personales. Además, en esta misma, se señalan los procedimientos que han sido implementados que deberán seguirse, por ejemplo, en caso de alguna solicitud de derechos ARCO u ocurrencia de una vulneración de seguridad.

Cabe señalar en este apartado, que no basta con redactar una política de manera general, es decir, se debe analizar cada situación en concreto, con el fin de implementar dichos procedimientos de la manera más eficiente para cada empresa u organización, y que no constituya una carga para la misma.

Capacitación continua al personal

Uno de los grandes errores de una empresa, es no capacitar a su personal, o no hacerlo de manera continua. Existen empresas de gran tamaño que se limitan a capacitar al personal directivo, o de puestos altos, confiando en que estos lo comunicarán a sus subordinados. No obstante, lo que en la práctica sucede es que, este personal en ciertos casos no comprende en su totalidad el alcance y las limitantes de la materia, o por otras razones no lo transmite de manera eficaz.

Esta problemática, por lo general se presta cuando una empresa no quiere invertir en empleados que ocupan puestos pequeños, en los cuales hay mucha rotación. Empero, el personal que realiza este tipo de actividades, normalmente tiene conocimientos nulos respecto a buenas prácticas, o manejo general de datos personales, y pueden ocasionar grandes pérdidas para la empresa, que pueden ser prevenidas con un entrenamiento en medidas de seguridad de datos personales en su puesto de trabajo. Ejemplos comunes de esto pueden ser: el envío de correos electrónicos con direcciones abiertas, adjuntar un documento con información confidencial, dar acceso a una base de datos a un tercero no autorizado, no contar con contraseñas fuertes, entre otros.

Designación de una persona o departamento de datos personales.

El artículo 30 de la ley, establece como obligación para los responsables el establecer una persona, o departamento de datos personales, para dar trámite a solicitudes de derechos por parte de los titulares. Si bien parece una tarea fácil, la realidad es que requiere un mayor análisis. La primera equivocación con la que se topan los responsables, es designar a alguien que no tiene suficiente poder dentro de la organización o encomendar esta tarea a un departamento de atención a clientes, u otro similar.

Los dos ejemplos anteriores, no resultan para nada prácticos ni funcionales. En primera instancia, porque la persona que carece de poderes suficientes se encontrará muy limitada respecto a las tareas que quiera implementar. En segunda, porque el departamento de atención a clientes está conformado por otro perfil de empleados, quienes no conocen los principios básicos que rigen la materia, y porque da lugar a confusiones graves: no es lo mismo atender una solicitud de derechos ARCO, a una queja común y corriente de un cliente; habrá que recordar que existen plazos y requisitos establecidos por la ley que los responsables tienen que observar para dar contestación en tiempo y forma a toda solicitud.

La elección de una persona, o de un departamento de datos personales, está sujeta a cada empresa u organización. Dependerá del tamaño de la empresa, si se quiere externalizar el servicio, contratar a alguien en especial para este puesto, o combinar departamentos, e.g. jurídico y sistemas.

A mayor abundamiento, este requisito debe incluirse en el aviso de privacidad correspondiente para que todo titular que quiera ejercer alguno de sus derechos pueda con facilidad identificar el departamento o persona, y enviar su solicitud.

Inventario de bases de datos

Así como cada empresa u organización es única, las bases de datos personales también lo son, por la razón de que cada una de ellas está conformada por distintos tipos datos personales y finalidades. En estos términos, ¿por qué se utilizaría un aviso de privacidad que mencione finalidades mezcladas de empleados, clientes, visitantes y proveedores, cuando el tratamiento de los datos personales no es el mismo? A manera de ejemplo, está el caso de los controles de acceso de visitantes. En las recepciones de los edificios, normalmente se solicita a los visitantes, datos como: nombre, motivo de la visita, hora de entrada y de salida, y una firma. Además, sólo se pide esta información con el fin de llevar un control adecuado de visitantes, generar una estadística o registro histórico, y mantener la seguridad tanto de las instalaciones, como de las personas, en el edificio. Entonces, ¿por qué a un visitante se le colocaría un aviso de privacidad que indique como finalidad la emisión de facturas? En este sentido, para poder conocer con exactitud cuántos avisos de privacidad se deben poner a disposición, es necesario realizar un inventario de bases de datos.

Las tareas y actividades indicadas en los párrafos que anteceden, son cruciales para generar el aviso de privacidad que corresponda según las finalidades de cada base de datos que cada empresa tenga. Ahora bien, aunque la legislación no es clara respecto a la cantidad de avisos de privacidad que una empresa u organización debe poner a disposición, con lo anteriormente dicho, resulta evidente mencionar que dependiendo de las actividades y bases de datos de cada empresa, es la cantidad de avisos de privacidad que se deben generar. Es decir, como cada empresa es única, cada una tiene distintas bases de datos, y las encamina hacia diferentes finalidades.

En virtud de lo anterior, se puede concluir que el tener un solo aviso de privacidad, con los requisitos mínimos que exige la ley (sin tomar en cuenta los lineamientos), y no desarrollar las demás implementaciones exigibles por la legislación en materia de protección de datos, representa para una empresa u organización cumplir con un porcentaje mínimo de la normativa. Aunado a esto, a continuación se mencionan las conductas que se constituyen como violatorias a los ordenamientos de la materia.

  1. No cumplir con la solicitud del titular para el acceso, rectificación, cancelación u oposición al tratamiento de sus datos personales.
  2. Actuar con negligencia o dolo en la tramitación y respuesta de solicitudes de acceso, rectificación, cancelación u oposición de datos personales.
  • Declarar dolosamente la inexistencia de datos personales.
  1. Dar tratamiento a los datos personales en contravención a los principios establecidos en la ley.
  2. Omitir en el aviso de privacidad, alguno o todos los elementos.
  3. Mantener datos personales inexactos cuando resulte imputable al responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de los titulares.
  • No cumplir con el apercibimiento que se prevé en la ley.
  • Incumplir el deber de confidencialidad.
  1. Cambiar sustancialmente la finalidad originaria del tratamiento de los datos.
  2. Transferir datos a terceros sin comunicar a éstos el aviso de privacidad que contiene las limitaciones a que el titular sujetó la divulgación de los mismos.
  3. Vulnerar la seguridad de bases de datos, locales, programas o equipos.
  • Llevar a cabo la transferencia o cesión de los datos personales sin el consentimiento de los titulares.
  • Recabar o transferir datos personales sin el consentimiento expreso del titular, cuando sea exigible.
  • Obstruir los actos de verificación de la autoridad.
  1. Recabar datos en forma engañosa y fraudulenta.
  • Continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del mismo por el Instituto o los titulares.
  • Tratar los datos personales de manera que se afecte o impida el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
  • Crear bases de datos personales sensibles sin que se justifique su creación.
  • Cualquier incumplimiento de las obligaciones a cargo del responsable.

De lo anterior se colige, que el no contar con un aviso de privacidad alguno, o tenerlos sin que estén completos, constituye una sola infracción de las diecinueve enumeradas. Es por esto que, si su empresa u organización se ha limitado en cumplir con este requisito, está en este momento vulnerable a una inspección, verificación o multa por parte del IFAI.

Aviso de privacidad integral: ¿sirve colocarlo en la web del responsable?

aviso_privacidad_mx

Por Mayra A. Cavazos Calvillo

En México, la normativa especializada prevé que los responsables pueden hacer uso de tres modalidades de “Avisos de Privacidad”: Integral, Simplificado y Corto; cada uno de ellos sujetos al cumplimiento de determinados requisitos (decimoctavo de los “Lineamientos del Aviso de Privacidad”).

En el Considerando de dichos Lineamientos se establece que “el aviso de privacidad es el documento mediante el cual el responsable informa al titular sobre los términos bajo los cuales serán tratados sus datos personales, destacando la identidad de la persona física o moral que decide llevar a cabo el mismo; las finalidades o acciones que motivan la obtención, uso y custodia de la información personal; los terceros a quienes se transferirán los datos personales; los mecanismos para que el titular pueda ejercer los derechos vinculados a la protección de datos personales (en particular, los derechos ARCO), entre otras cuestiones”.

Se prevén asimismo tres formas a través de las cuales los responsables podrán obtener datos personales: de forma directa, indirecta y personal (tercero de los Lineamientos, fracciones III, IV y V, respectivamente), indicando que se recaban datos personales de forma personal cuando “el titular proporciona los datos personales al responsable o a la persona física designada por el responsable, con la presencia física de ambos”.

En este sentido, cuando se recaban datos personales de forma personal de su titular, la normativa es explícita al respecto, pues el lineamiento decimonoveno, fracción I, establece que “[…] cuando los datos personales se obtengan personalmente del titular, el responsable deberá poner a su disposición el aviso de privacidad integral“.

No obstante, a dicha disposición le corresponde una excepción: el lineamiento decimosexto, que a la letra dispone: “el responsable no estará obligado a facilitar el aviso de privacidad integral en el formato que recabe los datos personales, cuando éstos se obtengan de manera personal de su titular, siempre que lo haya puesto a disposición por otro medio previo al tratamiento de los datos personales”.

Si se separa el lineamiento decimosexto en dos partes, tenemos por un lado, que los responsables no necesariamente deberán incluir el aviso de privacidad integral en los formularios o formatos a través de los cuales recaben datos personales de forma personal de su titular. Y, por el otro, que para que proceda la excepción anterior, los responsables deberán haber puesto a disposición de los titulares previo al tratamiento de sus datos el aviso de privacidad integral por otro medio –pudiendo ser a través de formatos impresos, digitales, visuales, sonoros o cualquier otra tecnología.

Frente a esta disposición, existe un problema de interpretación que en la práctica ya despierta ciertas dudas: ¿el poner a disposición de los titulares el aviso de privacidad integral en la página web del responsable, actualizaría la excepción antes indicada?

En lato sensu, el colocar un aviso de privacidad integral en una página web que no contenga ningún tipo de restricción, accesible para cualquier persona con conexión a Internet, podría significar el cumplimiento de dicha excepción, ya que el aviso de privacidad integral habría sido puesto a disposición de los titulares. Además, este medio de difusión es compatible con el artículo 17 de la Ley Federal de Protección de Datos en Posesión de los Particulares (en adelante, la “LFPD”), ya que un aviso de privacidad accesible a través de una página web equivale a ponerlo a disposición mediante un formato digital.

Sin embargo, actualmente existen interpretaciones en stricto sensu, que concluyen que la excepción contenida en este lineamiento de ninguna manera se actualizaría si los responsables se limitaran a poner a disposición el aviso de privacidad integral en sus respectivas páginas web: ninguno de ellos podría probar que todos y cada uno de los titulares accedieron a dicha página y que conocieron el aviso de privacidad integral, con anterioridad al tratamiento de sus datos.

Esta última interpretación puede significar que el supuesto contenido en el lineamiento decimosexto requeriría un esfuerzo que para algunos responsables resultaría desproporcionado: ¿poner avisos de privacidad en todos y cada uno de los puntos o áreas por las cuales se recaben datos personales de manera personal, a pesar de ya estar el mismo a disposición en la página web del responsable e incluso en la entrada de sus instalaciones?

Para algunos, la respuesta sería afirmativa: si los responsables no desean incluir avisos de privacidad integrales en todos los formularios que utilizan para recabar datos personales de forma personal, éstos estarían obligados a colocar Avisos de Privacidad Integrales en todos aquellos lugares o puntos en los que aquéllos se obtienen de esta forma, en previsión de que algún titular no hubiese tenido acceso al aviso correspondiente de forma previa y fuese a proporcionar sus datos por vez primera.

Para entender mejor esta situación, basta pensar en responsables dedicados a la industria hotelera, deportiva y/o recreativa, que en virtud de sus actividades y organización no recaban datos personales en un solo momento, sino que pueden hacerlo durante toda la vigencia de la estancia de sus huéspedes o de la membresía de sus socios.

De lo anterior descrito se colige que para poder facilitar a los titulares un aviso de privacidad simplificado o corto, podría no ser suficiente poner a disposición el aviso de privacidad integral en la página web del responsable; interpretación que en la práctica eliminaría la funcionalidad de los avisos de privacidad integrales puestos a disposición de cualquier interesado en la página web de cualquier responsable que cuente con una.

En tanto no exista una interpretación judicial (o administrativa) al respecto, consideramos recomendable que aquellos responsables que cuenten con una página web continúen utilizándola como medio de difusión de sus avisos de privacidad integrales, adoptando medidas de refuerzo para informar en sus formularios que recaban datos personales sobre la publicación de dichos avisos en este medio electrónico.

El Aviso de Privacidad en la legislación mexicana

aviso_privacy

Por Joel Gómez Treviño

En columnas anteriores he comentado temas relacionados a la protección de datos personales, dada la importancia que tiene la ley de la materia en las actividades cotidianas de prácticamente todas las empresas y profesionistas. El aviso de privacidad es el documento más importante y obligatorio a la luz de la ley y su reglamento. Este instrumento lo define la ley como el “documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley”. El responsable es la “persona física o moral de carácter privado que decide sobre el tratamiento de datos personales”. Existe la creencia de que con solo leer el famoso artículo 15 y 16 de la ley es suficiente para redactar el aviso de privacidad, lo cual es falso, pues hay que tomar en cuenta lo que a su vez dice el reglamento de la ley.

En términos generales y sin profundizar en temas legales, las características y contenidos de un aviso de privacidad deben ser los siguientes:

1.        Debe estar redactado de manera sencilla, clara y comprensible; con estructura fácil de leer;

2.        Debe estar sujeto al consentimiento del titular; y contener lo siguiente:

3.        Identidad y domicilio del responsable;

4.        Finalidades del tratamiento de datos:

•          Información que se recaba de los titulares y con qué fines;

•          Las finalidades deberán ser determinadas (ser específicas, deben informar claramente para qué objeto serán tratados los datos personales);

•          Identificar y distinguir entre las finalidades que dieron origen y son necesarias para la relación jurídica entre el responsable y el titular, de aquéllas que no lo son.

•         Mecanismo para manifestar negativa de aquellas finalidades que no son necesarias para la relación jurídica entre el responsable y el titular.

•          Si existen, se deberán incluir las finalidades relativas al tratamiento para fines mercadotécnicos, publicitarios o de prospección comercial.

5.        Opciones y medios para limitar uso o divulgación de los datos personales;

6.        Medios para ejercer los derechos ARCO (acceso, rectificación, cancelación y oposición);

7.        Si hay transferencias de datos (Si el titular acepta o no la transferencia de sus datos);

8.        Procedimiento para comunicar cambios al aviso de privacidad.

Omitir en el aviso de privacidad, alguno o todos los elementos anteriores puede culminar en una multa que impondrá el IFAI al responsable de los datos personales, que puede ser de entre $6,233 a $9,972,800 pesos. Otras infracciones relacionadas con el aviso de privacidad pueden repercutir en una multa de hasta $19,945,600 pesos. ¡Usted decide si hace caso omiso de estas recomendaciones! Recuerde, copiar y pegar los anteriores puntos en su aviso de privacidad es como auto recetarse una aspirina… de momento le puede quitar el dolor de cabeza, pero a la larga le puede salir el caldo más caro que las albóndigas.