Preguntas y Respuestas Sobre Aviso de Privacidad
Las personas físicas o morales cualquiera que sea su giro o la industria a la que pertenezcan como parte de su operación suelen recabar para diversos fines datos de las personas con las cuales tienen relaciones comerciales, legales o de otro tipo. Por ejemplo, las empresas obtienen datos de sus empleados, clientes o proveedores para contratación laboral, compraventa de productos, prestación de servicios, etcétera. Algunos de los datos que recaban de las personas son el nombre, edad, sexo, domicilio, teléfono, correo electrónico, número de cuenta bancaria, estado de salud, entre otros. Sin embargo, la obtención de estos datos, su tratamiento y protección debe hacerse con sujeción a la ley.
En México por disposición de la nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares publicada en el Diario Oficial de la Federación (DOF) el 20 de marzo de 2025, tanto las personas físicas como las personas morales de carácter privado, que recaben datos personales están obligadas a contar con un aviso de privacidad.
El aviso de privacidad debe ser exhibido y proporcionado a las personas de las cuales se recaban datos personales con el objeto de darles a conocer los fines para los cuales se solicitan sus datos y el tratamiento que se les dará a los mismos.
Para que los datos personales puedan ser usados por el responsable (quien decide sobre el tratamiento de los datos personales), el propietario de los mismos deberá manifestar su consentimiento expreso de que así sea, salvo los casos de excepción que expresamente dispone la ley.
En la Ley Federal de Protección de Datos Personales en Posesión de los Particulares se encuentran las disposiciones relativas al aviso de privacidad y a los derechos de los titulares de los datos personales, esta ley tiene como objetivo regular el tratamiento legítimo, controlado e informado de los datos personales a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.
Las empresas y las personas, suelen tener dudas respecto a qué es el aviso de privacidad, el contenido que debe llevar, su obligatoriedad y las consecuencias legales en caso de no contar con este aviso, es por eso que en esta sección presentamos preguntas y respuestas sobre el aviso de privacidad.
¿Qué es el aviso de privacidad?
¿Quiénes están obligados a proporcionar el aviso de privacidad?
¿Quienes no están obligados a proporcionar el aviso de privacidad?
¿Qué son los datos personales?
¿Cuáles son los datos personales?
¿Qué son los datos personales sensibles?
¿Cuáles son los datos personales sensibles?
¿Cuál es el contenido del aviso de privacidad?
¿Cómo se da a conocer el aviso de privacidad?
¿Qué pasa si el responsable de los datos personales omite algún elemento del aviso de privacidad?
¿Qué se entiende por tratamiento de datos personales?
¿Se requiere del consentimiento del titular de los datos personales para el tratamiento de sus datos personales?
¿En qué casos no se requiere el consentimiento del titular de los datos personales para el tratamiento de sus datos personales?
¿Qué son los derechos ARCO?
¿Qué es el derecho de acceso?
¿Qué es el derecho de rectificación?
¿Qué es el derecho de cancelación?
¿Qué es el derecho de oposición?
¿Cómo se ejercen los derechos ARCO?
¿El responsable de los datos personales puede transferirlos a terceros?
¿En qué casos pueden transferirse los datos personales sin el consentimiento del titular de los datos?
¿Cuáles son las obligaciones del tercero quien recibe los datos personales?
¿Qué conductas constituyen delitos y son sancionadas con prisión en materia de tratamiento indebido de datos personales?
¿Cuál es el procedimiento de protección de derechos en materia de datos personales?
¿Ante quién se sigue el procedimiento de protección de derechos en materia de datos personales?
El aviso de privacidad es el documento que de forma física, electrónica o en cualquier otro formato, generado por el responsable, pone a disposición de la persona titular de la información a partir del momento en el cual se recaben sus datos personales, con el objeto de informarle los propósitos del tratamiento de los mismos.
El aviso de privacidad deberá ser proporcionado por las personas físicas o morales de carácter privado que recaben datos personales, como por ejemplo los bancos, los hospitales, las escuelas, los abogados, los doctores, los laboratorios, por mencionar algunos.
No están obligados a proporcionar el aviso de privacidad:
- Las sociedades de información crediticia como por ejemplo el buró de crédito.
- Las personas que llevan a cabo la recolección y almacenamiento de datos personales que sea para uso exclusivamente personal y sin fines de divulgación o utilización comercial, por ejemplo las personas que llevan una agenda personal de contactos.
Los datos personales se refieren a cualquier información que pertenezca a una persona identificada o identificable.
Algunos ejemplos de datos personales son:
- Nombre
- Domicilio
- Edad
- Estado civil
- Teléfono particular
- Teléfono celular
- Correo electrónico
Aquellos datos personales que afecten a la esfera más íntima de la persona titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para esta.
Se consideran datos personales sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares dispone que el aviso de privacidad deberá por lo menos tener el siguiente contenido:
- Identidad y domicilio del responsable.
- Los datos personales que serán sometidos a tratamiento, identificando aquéllos que son sensibles.
- Las finalidades del tratamiento de datos personales, distinguiendo aquéllas que requieran el consentimiento de la persona titular.
- Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los mismos.
- Los mecanismos, medios y procedimientos para ejercer los derechos ARCO (acceso, rectificación, cancelación u oposición), de conformidad con la ley.
- El procedimiento y medio por el cual el responsable de los datos comunicará a los titulares de estos de cambios al aviso de privacidad.
El aviso de privacidad se pone a disposición del titular de los datos personales a través de formatos impresos, digitales, visuales, sonoros o de cualquier otra tecnología.
- Cuando los datos personales sean obtenidos personalmente a través de formatos impresos, deberá ser dado a conocer en ese momento, salvo que se hubiera facilitado el aviso de privacidad con anterioridad.
- Cuando los datos personales sean obtenidos por cualquier medio electrónico, óptico, sonoro, visual o a través de cualquier otra tecnología, deberá ser proporcionado en su modalidad simplificada y señalar el sitio donde se podrá consultar el aviso de privacidad integral.
Si el responsable de los datos personales omite señalar en el aviso de privacidad alguno o todos los requisitos que debe contener de conformidad con la ley, incurre en infracción y en consecuencia se hará acreedor a la imposición de multa por parte de la Secretaría Anticorrupción y Buen Gobierno.
El tratamiento de los datos personales se refiere a cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales o automatizados aplicados a los datos personales, relacionadas con la obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación, difusión, almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o disposición de datos personales.
Para que el responsable de los datos personales pueda obtener, usar, registrar, organizar, conservar, elaborar, utilizar, comunicar, difundir, almacenar, poseer, acceder, manejar, aprovechar, divulgar, transferir o disponer de los datos personales, será necesario que el titular manifieste su consentimiento. No obstante ello, la ley dispone los casos específicos en los cuales no será necesario dicho consentimiento.
De conformidad con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, no se requerirá del consentimiento del titular de los datos personales para el
- Una disposición jurídica así lo disponga.
- Los datos personales figuren en fuentes de acceso público.
- Los datos personales se sometan a un procedimiento previo de disociación.
- Los datos personales se requieran para ejercer un derecho o cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable.
- Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes.
- Los datos personales sean indispensables para efectuar un tratamiento para atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, o la gestión de servicios sanitarios, mientras la persona titular no esté en condiciones de otorgar el consentimiento, conforme a la Ley General de Salud y demás disposiciones jurídicas aplicables.
- Exista una orden judicial, resolución o mandato fundado y motivado de autoridad competente.
Los derechos ARCO son los derechos de acceso, rectificación, cancelación y oposición previstos en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares que podrán ser ejercidos por los titulares de los datos o por su representante legal.
El derecho de acceso se refiere al derecho que tienen los titulares de los datos personales a acceder a sus datos que obren en posesión del responsable. Este derecho se refiere también al derecho a conocer la información relacionada con las condiciones y generalidades de su tratamiento a través del aviso de privacidad.
El derecho de rectificación es el derecho que tiene el titular de los datos personales a rectificarlos o corregirlos cuando sean inexactos, incompletos o no se encuentren actualizados.
El derecho de cancelación es el derecho que tiene el titular de los datos personales para que sus datos sean cancelados de los archivos, registros, expedientes y sistemas del responsable, a fin de que los mismos ya no estén en posesión del responsable.
El derecho de oposición es el derecho que tiene el titular de los datos personales para oponerse a que sus datos sean tratados.
El titular de los datos personales o su representante legal en cualquier momento podrá solicitar al responsable de los datos el ejercicio de los derechos ARCO (acceso, rectificación, cancelación u oposición) respecto de los actos que le conciernen por medio de una solicitud.
La solicitud deberá contener:
- El nombre del titular de los datos personales, su domicilio u otro medio para recibir notificaciones.
- Los documentos que acrediten la identidad del titular de los datos personales y en su caso los documentos que acrediten la personalidad e identidad del representante legal del titular.
- La descripción clara y precisa de los datos personales respecto de los cuales se busca ejercer los derechos ARCO, salvo que se trate del derecho de acceso.
- La descripción del derecho ARCO que se pretende ejercer, o bien, lo que solicita la persona del titular y,
- Cualquier otro elemento o documento que facilite la localización de los datos personales.
El responsable de los datos personales podrá transferir los datos personales a terceros nacionales o extranjeros, distintos de la persona encargada y deberá comunicar a estos el aviso de privacidad y las finalidades a las que el titular de los datos personales sujetó su tratamiento.
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares señala expresamente los casos de excepción en los cuales los datos personales podrán ser transferidos nacional o internacionalmente sin que sea necesario el consentimiento de su titular. Estos casos se presentan cuando la transferencia:
- Esté prevista en una Ley o Tratado en los que México sea parte.
- Sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios.
- Sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable.
- Sea necesaria por virtud de un contrato celebrado o por celebrar en interés de la persona titular, por el responsable y un tercero.
- Sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia;
- Sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y
- Sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y la persona titular.
El tercero receptor de datos personales tendrá las mismas obligaciones que correspondan al responsable que transfirió los datos.
Son delitos en materia de tratamiento indebido de datos personales las siguientes conductas:
- Que una persona con autorización para tratar datos personales, con ánimo de lucro, vulnere la seguridad de las bases de datos bajo su custodia.
- Que una persona con el fin de alcanzar un lucro indebido, trate datos personales mediante engaño, aprovechándose del error en el que se encuentre el titular de los datos o la persona autorizada para transmitirlos.
El procedimiento de protección de derechos, es el procedimiento mediante el cual el titular de los datos o su representante legal expresa con claridad su reclamación y los preceptos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares que estima vulnerados.
El procedimiento de protección de derechos en materia de datos personales se sigue ante la Secretaría Anticorrupción y Buen Gobierno.
Nota aclaratoria: Los supuestos previstos tratándose del aviso de privacidad son diversos y su configuración en la realidad puede variar y por ende dar lugar a consecuencias jurídicas distintas. Lo mencionado en este espacio es de carácter meramente informativo e ilustrativo.