Preguntas y Respuestas Sobre Aviso de Privacidad

El aviso de privacidad es el documento impreso o en formato electrónico, visual, sonoro o en cualquier otra tecnología generado por quien recaba los datos personales y que pone a disposición del titular de esos datos, para darle a conocer la información que obtiene de él y los fines para los cuales esa información es recabada.

El aviso de privacidad deberá ser proporcionado por las personas físicas o morales de carácter privado que recaben datos personales, como por ejemplo los bancos, los hospitales, las escuelas, los abogados, los doctores, los laboratorios, por mencionar algunos.

No están obligados a proporcionar el aviso de privacidad:

• Las sociedades de información crediticia como por ejemplo el buró de crédito.
• Las personas que llevan a cabo la recolección y almacenamiento de datos personales que sea para uso exclusivamente personal y sin fines de divulgación o utilización comercial, por ejemplo las personas que llevan una agenda personal de contactos.

Los datos personales se refieren a cualquier información que pertenezca a una persona física identificada o identificable.

Sí, sólo las personas físicas son titulares de los datos personales que les conciernen.

Algunos ejemplos de datos personales son:

• Nombre
• Domicilio
• Edad
• Estado civil
• Teléfono particular
• Teléfono celular
• Correo electrónico

Los datos personales sensibles son aquellos datos personales que pueden afectar a la esfera más íntima de su titular y que cuya utilización indebida puede dar lugar a discriminación o a poner en riesgo grave a su titular.

Se consideran sensibles aquellos datos que puedan revelar:

• El origen racial o étnico
• Información genética
• Estado de salud presente y futuro
• Creencias religiosas, filosóficas y morales
• Opiniones políticas
• Afiliación sindical
• Preferencia sexual

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares dispone que el aviso de privacidad deberá por lo menos tener el siguiente contenido:

• Identidad y domicilio de quien recaba los datos personales.
• Las finalidades para las cuales serán tratados los datos.
• Las opciones o medios que el que recaba los datos ofrezca a los titulares para limitar el uso o divulgación de los mismos.
• Lo medios para ejercer los derechos de acceso, rectificación, cancelación u oposición.
• Las transferencias que en su caso se efectúen de los datos.
• El procedimiento y medio por el cual el que recaba los datos comunicará a los titulares de estos de cambios al aviso de privacidad.
• La indicación de que se recaban datos personales sensibles (según sea el caso).

El aviso de privacidad se pone a disposición del titular de los datos personales a través de formatos impresos, digitales, visuales, sonoros o de cualquier otra tecnología.

• Si los datos son obtenidos personalmente del titular, quien recaba los datos, deberá proporcionar el aviso de privacidad en el momento en que recaba los datos o en un momento anterior.
• Si los datos son obtenidos directamente del titular pero por medios digital, óptico sonoro, visual o de cualquier otra tecnología, quien recaba los datos deberá proporcionar al titular de manera inmediata por lo menos la información de la identidad y domicilio de quien recaba los datos, así como las finalidades para las cuales serán tratados los datos y proporcionar los mecanismos para que titular conozca el texto completo del aviso de privacidad.

Si quien recaba datos personales omite dar a conocer el aviso de privacidad al titular de los datos o bien, omite señalar en el mismo alguno de los requisitos mínimos que debe contener de conformidad con la ley, incurre en infracción y en consecuencia se hará acreedor a la imposición de multa por parte del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales.

El tratamiento de datos personales se refiere a la obtención, uso, divulgación o almacenamiento de los datos.

Para que el que recaba los datos personales pueda tratar los datos personales será necesario que el titular manifieste su consentimiento. No obstante ello, la ley dispone los casos específicos en los cuales no será necesario dicho consentimiento.

De conformidad con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, no se requerirá del consentimiento del titular de los datos personales para que sus datos sean obtenidos, usados, divulgados o almacenados cuando:

• Así se encuentre previsto en la ley.
• Los datos se encuentren en fuentes de acceso público.
• Tengan el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y quien recaba los datos.
• Exista una situación de emergencia que pueda dañar a un individuo en su persona o en sus bienes.
• Sean indispensables para la atención, prevención, diagnóstico médico.
• Se dicte resolución de autoridad competente.

Los derechos ARCO son los derechos de acceso, rectificación, cancelación y oposición previstos en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares que podrán ser ejercidos por los titulares de los datos o por su representante legal.

El derecho de acceso se refiere al derecho que tienen los titulares de los datos personales a acceder a sus datos que obren en poder de la persona que los recabó. Este derecho se refiere también al derecho que tiene el titular de conocer el aviso de privacidad al que está sujeto.

El derecho de rectificación es el derecho que tiene el titular de los datos personales a rectificarlos cuando sean inexactos o incompletos.

El derecho de cancelación es el derecho que tiene el titular de los datos personales para que sus datos sean bloqueados y suprimidos.

El derecho de oposición es el derecho que tiene el titular de los datos personales para oponerse a que sus datos sean tratados.

El titular de los datos personales en cualquier momento podrá solicitar al que recaba los datos el acceso, rectificación, cancelación u oposición por medio de una solicitud que dirigirá a la persona que haya sido designada por el que recaba los datos para el trámite de estas solicitudes.

La solicitud deberá contener:

• El nombre del titular de los datos personales, su domicilio u otro medio para darle a conocer la respuesta a su solicitud.
• Los documentos que acrediten la identidad del titular de los datos personales y en su caso los documentos que acrediten la representación legal del titular.
• La descripción clara y precisa de los datos personales respecto de los cuales se busca ejercer los derechos ARCO o alguno de ellos.
• Si se trata de la rectificación de datos personales, el titular deberá indicar las modificaciones que hayan de realizarse.

Quien recaba los datos personales podrá transferirlos a terceros siempre y cuando lo haya informado al titular de los datos personales en el aviso de privacidad y además que el titular haya manifestado su consentimiento para que sus datos sean transferidos. No obstante ello, la ley señala los casos de excepción en los cuales no se requiere el consentimiento del titular de los datos personales para que sus datos sean transferidos.

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares señala expresamente los casos de excepción en los cuales los datos personales podrán ser transferidos nacional o internacionalmente sin que sea necesario el consentimiento de su titular. Estos casos se presentan cuando la transferencia:

• Esté prevista en una ley o tratado de los que México sea parte.
• Sea necesaria para la prevención, diagnóstico, tratamiento médicos o asistencia sanitaria.
• Se haga a sociedades controladoras, subsidiarias, afiliadas bajo el control común de quien recaba los datos o a una sociedad matriz o a cualquier sociedad del mismo grupo de quien recaba los datos y que opere bajo las mismas políticas y procesos.
• Sea necesaria por virtud de un contrato entre el titular de los datos, quien los recaba y un tercero.
• Sea necesaria para la salvaguarda de un interés público o para la procuración de justicia.
• Sea necesaria para el ejercicio o defensa de un derecho en un proceso judicial.
• Sea precisa para mantener o cumplir una relación jurídica entre quien recibe los datos y el titular de los mismos.

El tercero receptor de datos personales tendrá las mismas obligaciones que correspondan a quien transfirió los datos.

Si el responsable de los datos personales les da un tratamiento distinto a los fines para los cuales fueron recabados, el titular podrá enviar solicitud al responsable oponiéndose a que sus datos sean tratados.

Además si el responsable trata los datos personales violando los principios establecidos en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, incurrirá en infracción y se hará acreedor a multas que impondrá el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales.

Son delitos las siguientes conductas:

• Que una persona con autorización para tratar datos personales, con ánimo de lucro, vulnere la seguridad de las bases de datos bajo su custodia.
• Que una persona trate los datos personales mediante engaño, aprovechándose del error en el que se encuentre el titular de los datos.

Es el procedimiento mediante el cual el titular de los datos expresa su reclamación y los preceptos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares que estima vulnerados.

El procedimiento de protección de derechos en materia de datos personales se sigue ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales.

Nota aclaratoria: Los supuestos previstos tratándose del aviso de privacidad son diversos y su configuración en la realidad puede variar y por ende dar lugar a consecuencias jurídicas distintas. Lo mencionado en este espacio es de carácter meramente informativo e ilustrativo.