Por El Aviso de Privacidad, según es definido en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares como el “documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales […]”, es el medio por el cual se les da a conocer a los titulares, entre otras cosas, los tipos y/o categorías de datos personales que serán sometidos a tratamiento, y las finalidades para las cuales, estos mismos serán utilizados.
En el artículo 16 de dicha ley, se establecen los seis requisitos que un aviso de privacidad debe contener. No obstante, al no resultar suficientes dichos seis elementos, en el 2013 se publicaron en el Diario Oficial de la Federación los Lineamientos del Aviso de Privacidad, en donde se añadieron, en el lineamiento vigésimo, siete elementos adicionales para completar el Aviso de Privacidad Integral. Asimismo, cabe señalar que el artículo 26 del Reglamento de la ley en cita, liga los seis requisitos del aviso de privacidad contemplados en la ley, con los siete de los lineamientos. Además, resulta necesario indicar, que con anterioridad a los Lineamientos en comento, no se distinguían las distintas modalidades de aviso de privacidad, i.e. Integral, Simplificado y Corto, mismos que tienen, cada uno de ellos, usos y requisitos específicos establecidos por la normativa para poder ser puestos a disposición de los titulares de datos personales en el momento y lugar apropiados.
Aunado a lo anterior, se puede observar que el legislador procedió a agregar los siguientes elementos: i) datos personales sometidos a tratamiento, ii) señalamiento expreso de los datos personales sensibles, iii) mecanismos que tienen los titulares para manifestar su negativa para las finalidades no necesarias, iv) finalidades de las transferencias de datos personales y el tercero receptor de los mismos, v) cláusula que indique si el titular acepta o no las transferencias, vi) mecanismos para la revocación del consentimiento y vii) señalamiento del uso de tecnologías que recaban datos de manera automática (e.g. páginas web, aplicaciones móviles).
En este orden de ideas, resulta aplicable la mención de la importancia que el IFAI ha otorgado a los avisos de privacidad. Sin embargo, esto no significa que sólo debamos enfocarnos en éste, pues, si bien es cierto que dicho Instituto ha otorgado a estos una mayor publicidad desde la entrada en vigor de la ley, también lo es que, a la fecha, este mismo Instituto ha impuesto distintas multas concernientes a otras conductas violatorias de la referida ley.
Asimismo, podrá resultar fácil, e incluso práctico para algunos responsables, que al ver y escuchar los anuncios recordatorios e insistentes de esta autoridad, procedan a la inmediata redacción del aviso de privacidad. No obstante, muchos responsables no son conscientes, y además al día de hoy son escépticos, de que para realizar tan sólo un aviso de privacidad, es necesario indagar más en la empresa u organización de lo que se cree. En primera instancia, no basta con mencionar al azar los datos personales que se recaban o pretenden recabar, ni mucho menos señalar finalidades de manera aleatoria para las cuales podamos utilizar dichos datos. La legislación con todo lo que establece, obliga a que cada empresa u organización conozca ampliamente sus bases de datos físicas y electrónicas, es decir, conocer el tipo de datos que en ellas se tratan, identificar los sujetos a quienes pertenecen los mismos, entre otras cuestiones. A mayor abundancia, se presenta la situación de que muchas empresas u organizaciones ni siquiera conocen si transfieren y/o remiten datos personales, ergo, no se percatan si sus contratos, ya sean de prestación de servicios, o de otra naturaleza, cuentan con cláusulas que regulen la relación entre responsables transferentes y responsables receptores o entre responsables y encargados. En este sentido, cabría preguntarse, ¿cómo se pretende cumplir con cada uno de los requisitos del aviso de privacidad, si se desconoce el flujo de datos personales que existe?
Por otro lado, además de los famosos avisos de privacidad, y tal como se ha viniendo diciendo en el presente artículo, existen diversas obligaciones indicadas en la legislación, que tanto los responsables como los encargados deben cumplir para no incurrir en algún tipo de violación a la multicitada ley. A manera de visualización, resulta relevante la imagen inicial.
Como se puede observar, detrás de un aviso de privacidad se encuentran: una política de protección de datos, las funciones y obligaciones establecidas para el personal, un departamento o responsable de datos personales, la implementación de medidas de seguridad según los tipos de datos personales que se tratan en la empresa u organización, un procedimiento adecuado para la atención de derechos de acceso, rectificación, cancelación, oposición, revocación del consentimiento, y limitación del uso y divulgación de datos personales, la capacitación y formación continua al personal, entre otros.
Contratos (asentamiento de la relación jurídica)
Es importante contar con una regulación eficaz de los contratos, ya sea con prestadores de servicios (encargados), o con otros responsables del tratamiento de datos personales (responsables receptores). Cada contrato debe contar con cláusulas que regulen adecuadamente el tratamiento de datos entre responsable y encargado, o entre responsable transferente y responsable receptor, con la finalidad de otorgar a cada empresa u organización una mayor certeza en sus actividades y deslindarse de obligaciones legales que no le corresponden a la misma.
Políticas de Privacidad y Protección de Datos Personales
La elaboración de políticas de privacidad están contempladas en el artículo 48 del reglamento de la ley que nos ocupa. Una política de privacidad o de datos personales, va más allá de un aviso de privacidad. En esta política, entre otras cosas, se establecen las funciones y obligaciones que tiene el personal de una empresa (tomando en cuenta todos los niveles jerárquicos) respecto al tratamiento de datos personales. Además, en esta misma, se señalan los procedimientos que han sido implementados que deberán seguirse, por ejemplo, en caso de alguna solicitud de derechos ARCO u ocurrencia de una vulneración de seguridad.
Cabe señalar en este apartado, que no basta con redactar una política de manera general, es decir, se debe analizar cada situación en concreto, con el fin de implementar dichos procedimientos de la manera más eficiente para cada empresa u organización, y que no constituya una carga para la misma.
Capacitación continua al personal
Uno de los grandes errores de una empresa, es no capacitar a su personal, o no hacerlo de manera continua. Existen empresas de gran tamaño que se limitan a capacitar al personal directivo, o de puestos altos, confiando en que estos lo comunicarán a sus subordinados. No obstante, lo que en la práctica sucede es que, este personal en ciertos casos no comprende en su totalidad el alcance y las limitantes de la materia, o por otras razones no lo transmite de manera eficaz.
Esta problemática, por lo general se presta cuando una empresa no quiere invertir en empleados que ocupan puestos pequeños, en los cuales hay mucha rotación. Empero, el personal que realiza este tipo de actividades, normalmente tiene conocimientos nulos respecto a buenas prácticas, o manejo general de datos personales, y pueden ocasionar grandes pérdidas para la empresa, que pueden ser prevenidas con un entrenamiento en medidas de seguridad de datos personales en su puesto de trabajo. Ejemplos comunes de esto pueden ser: el envío de correos electrónicos con direcciones abiertas, adjuntar un documento con información confidencial, dar acceso a una base de datos a un tercero no autorizado, no contar con contraseñas fuertes, entre otros.
Designación de una persona o departamento de datos personales.
El artículo 30 de la ley, establece como obligación para los responsables el establecer una persona, o departamento de datos personales, para dar trámite a solicitudes de derechos por parte de los titulares. Si bien parece una tarea fácil, la realidad es que requiere un mayor análisis. La primera equivocación con la que se topan los responsables, es designar a alguien que no tiene suficiente poder dentro de la organización o encomendar esta tarea a un departamento de atención a clientes, u otro similar.
Los dos ejemplos anteriores, no resultan para nada prácticos ni funcionales. En primera instancia, porque la persona que carece de poderes suficientes se encontrará muy limitada respecto a las tareas que quiera implementar. En segunda, porque el departamento de atención a clientes está conformado por otro perfil de empleados, quienes no conocen los principios básicos que rigen la materia, y porque da lugar a confusiones graves: no es lo mismo atender una solicitud de derechos ARCO, a una queja común y corriente de un cliente; habrá que recordar que existen plazos y requisitos establecidos por la ley que los responsables tienen que observar para dar contestación en tiempo y forma a toda solicitud.
La elección de una persona, o de un departamento de datos personales, está sujeta a cada empresa u organización. Dependerá del tamaño de la empresa, si se quiere externalizar el servicio, contratar a alguien en especial para este puesto, o combinar departamentos, e.g. jurídico y sistemas.
A mayor abundamiento, este requisito debe incluirse en el aviso de privacidad correspondiente para que todo titular que quiera ejercer alguno de sus derechos pueda con facilidad identificar el departamento o persona, y enviar su solicitud.
Inventario de bases de datos
Así como cada empresa u organización es única, las bases de datos personales también lo son, por la razón de que cada una de ellas está conformada por distintos tipos datos personales y finalidades. En estos términos, ¿por qué se utilizaría un aviso de privacidad que mencione finalidades mezcladas de empleados, clientes, visitantes y proveedores, cuando el tratamiento de los datos personales no es el mismo? A manera de ejemplo, está el caso de los controles de acceso de visitantes. En las recepciones de los edificios, normalmente se solicita a los visitantes, datos como: nombre, motivo de la visita, hora de entrada y de salida, y una firma. Además, sólo se pide esta información con el fin de llevar un control adecuado de visitantes, generar una estadística o registro histórico, y mantener la seguridad tanto de las instalaciones, como de las personas, en el edificio. Entonces, ¿por qué a un visitante se le colocaría un aviso de privacidad que indique como finalidad la emisión de facturas? En este sentido, para poder conocer con exactitud cuántos avisos de privacidad se deben poner a disposición, es necesario realizar un inventario de bases de datos.
Las tareas y actividades indicadas en los párrafos que anteceden, son cruciales para generar el aviso de privacidad que corresponda según las finalidades de cada base de datos que cada empresa tenga. Ahora bien, aunque la legislación no es clara respecto a la cantidad de avisos de privacidad que una empresa u organización debe poner a disposición, con lo anteriormente dicho, resulta evidente mencionar que dependiendo de las actividades y bases de datos de cada empresa, es la cantidad de avisos de privacidad que se deben generar. Es decir, como cada empresa es única, cada una tiene distintas bases de datos, y las encamina hacia diferentes finalidades.
En virtud de lo anterior, se puede concluir que el tener un solo aviso de privacidad, con los requisitos mínimos que exige la ley (sin tomar en cuenta los lineamientos), y no desarrollar las demás implementaciones exigibles por la legislación en materia de protección de datos, representa para una empresa u organización cumplir con un porcentaje mínimo de la normativa. Aunado a esto, a continuación se mencionan las conductas que se constituyen como violatorias a los ordenamientos de la materia.
- No cumplir con la solicitud del titular para el acceso, rectificación, cancelación u oposición al tratamiento de sus datos personales.
- Actuar con negligencia o dolo en la tramitación y respuesta de solicitudes de acceso, rectificación, cancelación u oposición de datos personales.
- Declarar dolosamente la inexistencia de datos personales.
- Dar tratamiento a los datos personales en contravención a los principios establecidos en la ley.
- Omitir en el aviso de privacidad, alguno o todos los elementos.
- Mantener datos personales inexactos cuando resulte imputable al responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de los titulares.
- No cumplir con el apercibimiento que se prevé en la ley.
- Incumplir el deber de confidencialidad.
- Cambiar sustancialmente la finalidad originaria del tratamiento de los datos.
- Transferir datos a terceros sin comunicar a éstos el aviso de privacidad que contiene las limitaciones a que el titular sujetó la divulgación de los mismos.
- Vulnerar la seguridad de bases de datos, locales, programas o equipos.
- Llevar a cabo la transferencia o cesión de los datos personales sin el consentimiento de los titulares.
- Recabar o transferir datos personales sin el consentimiento expreso del titular, cuando sea exigible.
- Obstruir los actos de verificación de la autoridad.
- Recabar datos en forma engañosa y fraudulenta.
- Continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del mismo por el Instituto o los titulares.
- Tratar los datos personales de manera que se afecte o impida el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
- Crear bases de datos personales sensibles sin que se justifique su creación.
- Cualquier incumplimiento de las obligaciones a cargo del responsable.
De lo anterior se colige, que el no contar con un aviso de privacidad alguno, o tenerlos sin que estén completos, constituye una sola infracción de las diecinueve enumeradas. Es por esto que, si su empresa u organización se ha limitado en cumplir con este requisito, está en este momento vulnerable a una inspección, verificación o multa por parte del IFAI.
