“Aviso de Privacidad”
Aviso de privacidad
El Aviso de Privacidad es el primer paso para cumplir con las
obligaciones exigidas por le Ley.
El Aviso de Privacidad es un
documento generado por la persona física (profesionista, médico, consultor,
etc.) o moral (empresa o negocio de carácter privado) responsable de la recopilación y tratamiento adecuado de datos
personales y debe ser puesto a disposición del titular de los datos
(Ej. Pedro Ramírez).
El Aviso de Privacidad puede
ser:
·
Físico (Ej. Escrito en papel)
·
Electrónico (Ej. colocado en la Página o sitio web)
·
Sonoro (Ej. Grabación telefónica)
El Aviso de Privacidad debe ser
sencillo, de fácil comprensión y debe incluir información clara y específica
sobre los siguientes aspectos:
1. Quién recopila los datos
2. Qué datos recopila (sensibles o
no);
3. Con qué finalidad los recopila;
4. Cómo limitar su uso o
divulgación;
5. Cómo revocar su uso;
6.
Cuál es el procedimiento que tiene el titular para ejercer sus derechos de
acceso, rectificación, corrección y oposición (mejor conocidos
como Derechos ARCO):
7. La forma en la que se comunican
cambios al Aviso de Privacidad; y
8. La aceptación o negativa para
autorizar la transferencia de datos a terceros.
IMPORTANTE:
Por Ley,
el Aviso de Privacidad debe
ponerse a disposición de los interesados (hacerse público y difundirse) antes
del 6 de julio de 2011, tal y como lo señala el Transitorio Tercero de
la Ley Federal de Protección de Datos Personales en Posesión de Particulares,
publicada el 6 de julio de 2010.
(Pro Dato, 2016)
LINEAMIENTOS del Aviso de privacidad.
Al
margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos. -
Secretaría de Economía.
Con fundamento en lo dispuesto por los artículos 3, fracción I, 15, 40 y
43, fracción III de la Ley Federal de Protección
de Datos Personales en Posesión de los Particulares y sus correlativos 23 y 26
del Reglamento, 5, fracción XVI
del Reglamento Interior de la Secretaría de Economía, y
CONSIDERANDO
Que el artículo 16 de la Constitución Política de los Estados Unidos
Mexicanos reconoce que toda
persona tiene derecho a la
protección de sus datos personales, al acceso, rectificación y cancelación de
los mismos, así como a manifestar
su oposición en los términos que fije la ley, la cual establecerá los supuestos de excepción
a los principios que rijan el tratamiento de datos;
Que el derecho a la protección de datos personales permite garantizar a la
persona el poder de disposición y
control que tiene sobre sus datos personales, y sobre el uso y destino que se
le da a los mismos;
Que la Ley Federal de Protección de Datos Personales en Posesión de los
Particulares (en lo sucesivo la Ley)
y su Reglamento, se constituyen en el marco general que establece las reglas,
requisitos, condiciones y obligaciones
mínimas para garantizar un adecuado tratamiento de la información personal por
parte de los particulares, sin
perjuicio de lo que establezca la normativa sectorial o específica aplicable al
tratamiento de datos personales
por parte de los particulares;
Que existen dos ejes fundamentales en la Ley y su Reglamento. El primero
se traduce en el establecimiento
de una serie de principios de protección de datos personales, de obligado
cumplimiento para los
particulares que los tratan, y que en su conjunto garantizan un adecuado manejo
de los mismos, a favor de la
privacidad y de la autodeterminación informativa de los titulares. El segundo
eje está representado por el reconocimiento
y desarrollo de los derechos inherentes a los titulares de los datos
personales;
Que entre los principios de protección de datos personales destaca el
principio de información, el cual tiene
por objeto dar a conocer al titular, de manera efectiva, la existencia del tratamiento
de su información personal y sus
características esenciales, en términos que le resulten fácilmente
comprensibles, con el objeto que
pueda ejercer su derecho a la autodeterminación informativa y protección de
datos personales ante el responsable;
Que en términos de los artículos 15 de la Ley y 23 de su Reglamento, el
principio de información se materializa
físicamente a través de la puesta a disposición del aviso de privacidad al
titular;
Que el aviso de privacidad es el documento mediante el cual el responsable
informa al titular sobre los términos
bajo los cuales serán tratados sus datos personales, destacando la identidad de
la persona física o moral que
decide llevar a cabo el mismo; las finalidades o acciones que motivan la
obtención, uso y custodia de la
información personal; los terceros a quienes se transferirán los datos
personales; los mecanismos para que
el titular pueda ejercer los derechos vinculados a la protección de datos
personales (en particular, los derechos
ARCO), entre otras cuestiones;
Que el aviso de privacidad permite al titular decidir de manera libre e
informada sobre el tratamiento de sus datos
personales;
Que la modalidad y momento en que habrá de ponerse a disposición del
titular el aviso de privacidad, dependerá
de las circunstancias específicas en que se recaben los datos personales,
previstas en la Ley y el Reglamento,
y vinculadas con los medios utilizados para la obtención de los datos
personales y el hecho de que
éstos se obtengan de manera personal, directa o indirecta de su titular;
Que es interés de la Secretaría de Economía, en su carácter de autoridad
reguladora, emitir los lineamientos
correspondientes para determinar el contenido y alcance del aviso de
privacidad, en coadyuvancia con
el Instituto Federal de Acceso a la Información y Protección de Datos, y
Que es interés del Instituto Federal de Acceso a la Información y
Protección de Datos, en su carácter de autoridad
garante del derecho a la protección de datos personales, vigilar y velar por la debida observancia de los
principios que rigen a este derecho, a los que se refiere la Ley y su
Reglamento; así como establecer una serie
de reglas mínimas, necesarias y uniformes en torno a la elaboración, contenido,
uso, modalidades y difusión del
aviso de privacidad,
Se expiden los siguientes:
Lineamientos
del aviso de privacidad
Capítulo I
Disposiciones Generales
Objeto
Primero. En términos del artículo 43,
fracción III de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, los presentes
Lineamientos tienen por objeto establecer el contenido y alcance de los avisos de privacidad, en
términos de lo dispuesto por dicha Ley y su Reglamento.
Ámbito de aplicación
Segundo. Los presentes Lineamientos serán
de observancia obligatoria en toda la República Mexicana, para las personas físicas o morales de
carácter privado que traten datos personales en términos de la Ley Federal de Protección de Datos
Personales en Posesión de los Particulares y su Reglamento.
Definiciones
Tercero. Sin perjuicio de las
definiciones previstas en los artículos 3 de la Ley Federal de Protección de Datos Personales en Posesión de los
Particulares y 2 de su Reglamento, para los efectos de estos Lineamientos se entenderá por:
I. Cookies: Archivo
de datos que se almacena en el disco duro del equipo de cómputo o del
dispositivo de comunicaciones
electrónicas de un usuario al navegar en un sitio de internet específico, el
cual permite intercambiar
información de estado entre dicho sitio y el navegador del usuario. La información de estado puede revelar
medios de identificación de sesión, autenticación o preferencias del usuario, así como cualquier dato
almacenado por el navegador respecto al sitio de internet;
II. Lineamientos: Lineamientos del Aviso de Privacidad;
III. Obtener
los datos personales de forma directa de su titular: Acto
en el cual el propio titular proporciona
los datos personales por algún medio que permite su entrega directa al
responsable, entre ellos, medios
electrónicos, ópticos, sonoros, visuales o cualquier otra tecnología, como
correo postal, internet o vía
telefónica, entre otros;
IV. Obtener
los datos personales de forma indirecta: Acto en el cual el
responsable obtiene los datos personales
sin que el titular se los haya proporcionado de forma personal o directa, como
por ejemplo a través de una
fuente de acceso público o una transferencia;
V. Obtener
los datos personales de forma personal de su titular: Acto
en el cual el titular proporciona
los datos personales al responsable o a la persona física designada por el
responsable, con la presencia
física de ambos;
VI. Poner
a disposición el aviso de privacidad de forma directa: Acto
en el cual se hace del conocimiento
del titular el aviso de privacidad por algún medio que permite su entrega
directa, entre ellos, medios
electrónicos, ópticos, sonoros, visuales o cualquier otra tecnología, como
correo postal, internet o vía
telefónica, entre otros;
VII. Poner
a disposición el aviso de privacidad de forma personal: Acto
en el cual el responsable o la persona
física designada por el responsable para tal fin entrega o hace del
conocimiento del titular el aviso
de privacidad, con la presencia física de ambos, y
VIII. Web
beacons: Imagen visible u oculta insertada dentro de un sitio
web o correo electrónico, que se utiliza
para monitorear el comportamiento del usuario en estos medios. A través de
éstos se puede obtener
información como la dirección IP de origen, navegador utilizado, sistema
operativo, momento en que se
accedió a la página, y en el caso del correo electrónico, la asociación de los
datos
anteriores con el destinatario.
Normativa sectorial
Cuarto. Lo establecido en los presentes
Lineamientos es sin perjuicio de lo que señale la normativa sectorial o específica, aplicable al
tratamiento de datos personales por parte de los particulares.
Medidas compensatorias
Quinto. Las medidas compensatorias a las
que refiere el artículo 18 de la Ley se instrumentarán conforme a lo establecido por la Ley, su
Reglamento, los Criterios Generales para la Instrumentación de Medidas Compensatorias sin la Autorización
Expresa del Instituto Federal de Acceso a la Información y Protección de Datos, publicados en el Diario Oficial
de la Federación el 18 de abril de 2012, y demás normatividad que resulte aplicable.
Capítulo II
Del Aviso de Privacidad
Principio de información
Sexto. En términos de los artículos 15
de la Ley y 23 de su Reglamento, el principio de información consiste en la obligación del
responsable de informar a los titulares sobre la existencia y características principales del tratamiento al que
serán sometidos sus datos personales, con objeto de que pueda ejercer sus derechos a la autodeterminación
informativa, privacidad y protección de datos personales. Este principio se materializa en la puesta a disposición
del aviso de privacidad en las tres modalidades a las que refiere el Decimoctavo de los presentes
Lineamientos: integral, simplificado y corto.
Aviso de privacidad
Séptimo. De conformidad con lo dispuesto
por el artículo 3, fracción I de la Ley, el aviso de privacidad es un documento físico, electrónico o en
cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al
tratamiento de sus datos personales, a fin de cumplir con el principio de información.
Objetivo del aviso de privacidad
Octavo. El aviso de privacidad tiene por
objeto delimitar los alcances y condiciones generales del tratamiento, así como informarlos a
los titulares, a fin de que estén en posibilidad de tomar decisiones informadas sobre el uso de sus datos
personales, y de mantener el control y disposición sobre ellos. Asimismo, el aviso de privacidad
permite al responsable transparentar dicho tratamiento, y con ello fortalecer el nivel de confianza de los
titulares.
Cumplimiento del principio de información
Noveno. Todo responsable está obligado a
cumplir con el principio de información y a poner a disposición de los titulares el aviso de
privacidad en términos de lo dispuesto por la Ley, su Reglamento y los
presentes Lineamientos, con
independencia de que el consentimiento no se requiera en términos del artículo
10 de la Ley.
Características del aviso de
privacidad
Décimo. En términos del artículo 24 del
Reglamento de la Ley, a fin de que el aviso de privacidad sea un mecanismo de información eficiente y
práctico, éste deberá ser sencillo, con información necesaria, expresado en español, con lenguaje claro y
comprensible, y con una estructura y diseño que facilite su entendimiento. Para ello, en el aviso de privacidad se
deberá:
I. No
usar frases inexactas, ambiguas o vagas;
II. Tomar
en cuenta para su redacción los perfiles de los titulares;
III. No
incluir textos o formatos que induzcan al titular a elegir una opción en
específico;
IV. En
caso de que se incluyan casillas para que el titular otorgue su consentimiento,
no se deberán marcar previamente,
y
V. No
remitir a textos o documentos que no estén disponibles para el titular.
Medios de difusión o reproducción del aviso de privacidad
Decimoprimero. De conformidad con lo dispuesto
por los artículos 17 de la Ley y 25 de su Reglamento, el aviso de privacidad, en las
modalidades de integral y simplificado a las que refiere el Decimoctavo,
fracciones I y II de los
presentes Lineamientos, podrá difundirse o reproducirse en cualquiera de los
siguientes medios: formato
físico, electrónico, óptico, sonoro, visual o a través de cualquier otra
tecnología que permita su eficaz comunicación.
En términos del artículo 28 del Reglamento de la Ley, el aviso de
privacidad corto, al que refiere el Decimoctavo, fracción III de los
presentes Lineamientos, podrá utilizarse cuando el espacio utilizado para la obtención de los datos personales sea
mínimo y limitado, de forma tal que los datos personales recabados también sean mínimos.
En todos los casos, el aviso de privacidad, en cualquiera de sus
modalidades, deberá estar ubicado en un lugar
visible y que facilite su consulta.
Capítulo III
De la Puesta a Disposición del
Aviso de Privacidad
Momentos para la puesta a disposición del aviso de privacidad
Decimosegundo. En términos de los artículos 3,
fracción I, 17 y 18 de la Ley, y 14, 27 y 29 de su Reglamento, el responsable deberá
poner a disposición del titular el aviso de privacidad en los siguientes momentos:
I. Cuando
los datos personales se obtienen de manera directa o personal del titular, el
responsable deberá poner a su
disposición el aviso de privacidad previo a la obtención de los mismos;
II. Cuando
los datos personales se hayan obtenido de manera indirecta de su titular, y
éstos procedan de una
transferencia consentida o de una en la que no se requiera el consentimiento
según el artículo 37 de la Ley; o
bien, de una fuente de acceso público, el responsable receptor o que obtiene los datos personales deberá poner a
disposición el aviso de privacidad al primer contacto con el titular. En caso de que el tratamiento
no requiera contacto con el titular, el responsable deberá hacer de su conocimiento el aviso de
privacidad previo al aprovechamiento de los datos personales para la finalidad respectiva, y
III. Cuando
el responsable pretenda tratar los datos personales para una finalidad distinta
a la consentida por el titular,
deberá poner a su disposición un nuevo aviso de privacidad con las características
del nuevo tratamiento, previo al aprovechamiento de los datos personales para
la finalidad respectiva.
Tratamiento con fines históricos, estadísticos y científicos
Decimotercero. En términos del artículo 18,
segundo párrafo de la Ley, el responsable no estará obligado a notificar el cambio en el aviso de
privacidad, cuando los datos personales los haya obtenido de manera indirecta de su titular, y éstos los
vaya a tratar con fines históricos, estadísticos o científicos.
Información de personas físicas con actividad comercial y datos de
representación y contacto
Decimocuarto. En términos de lo dispuesto por
el artículo 5 del Reglamento de la Ley, los responsables no estarán obligados a poner a
disposición el aviso de privacidad para la información que refiera a:
I. Personas
morales;
II. Personas
físicas en su calidad de comerciantes y profesionistas, y
III. Personas
físicas que presten sus servicios para alguna persona moral o persona física
con actividades empresariales y/o
prestación de servicios, consistente únicamente en su nombre y apellidos, las funciones o puestos
desempeñados, así como algunos de los siguientes datos
Laborales: domicilio físico,
dirección electrónica, teléfono y número de fax; siempre que esta información sea tratada para fines de representación
del empleador o contratista.
Comunicación del aviso de privacidad a encargados y terceros
Decimoquinto. Con objeto de cumplir con lo
establecido por los artículos 14 y 36 de la Ley, en el sentido de que el responsable deberá tomar las
medidas necesarias y suficientes para garantizar que el aviso de privacidad dado a conocer al titular,
sea respetado en todo momento por él o por terceros con los que guarde alguna relación jurídica; el
responsable deberá comunicar el aviso de privacidad a los encargados y terceros
a los que remita o transfiera
datos personales, respectivamente.
Aviso de privacidad integral en el formato para recabar los datos
personales
Decimosexto. El responsable no estará
obligado a facilitar el aviso de privacidad integral en el formato que recabe los datos personales,
cuando éstos se obtengan de manera personal de su titular, siempre que lo haya puesto a disposición por otro
medio previo al tratamiento de los datos personales.
Prueba del aviso de privacidad
Decimoséptimo. En términos del artículo 31 del
Reglamento de la Ley, para efectos de demostrar la puesta a disposición del aviso de
privacidad en cumplimiento del principio de información, la carga de la prueba
recaerá, en todos los casos, en el responsable.
Capítulo IV
De las Modalidades del Aviso de
Privacidad
Modalidades del aviso de privacidad
Decimoctavo. En términos de los artículos 17
de la Ley, y 26, 27 y 28 de su Reglamento, el aviso de privacidad se podrá poner a
disposición en las siguientes tres modalidades:
I. Aviso
de privacidad integral: cuando éste contenga la totalidad de los elementos
informativos a los que refieren
los artículos 8, 15, 16, 33 y 36 de la Ley, y 14, 30, 41, 68, 90 y 102 de su
Reglamento, y el Vigésimo de los
presentes Lineamientos;
II. Aviso
de privacidad simplificado: cuando el aviso de privacidad contenga los
elementos informativos a los que
refieren los artículos 17, fracción II de la Ley y 27 de su Reglamento, y el
Trigésimo cuarto de los presentes
Lineamientos, y
III. Aviso
de privacidad corto: cuando el aviso de privacidad sea redactado en los
términos del artículo 28 del
Reglamento de la Ley y del Trigésimo octavo de los presentes Lineamientos.
Aplicación de las modalidades
Decimonoveno. De conformidad con lo dispuesto
en el artículo 17 de la Ley y 27 y 28 de su Reglamento, así como en el Decimosegundo de los
presentes Lineamientos, el responsable podrá poner a disposición el aviso
de privacidad en las modalidades a las que refiere el lineamiento anterior, en
los siguientes casos:
I. Cuando
los datos personales se obtengan personalmente del titular, el responsable
deberá poner a su disposición el
aviso de privacidad integral;
II. Cuando
los datos personales se obtengan de manera directa o indirecta del titular, el
responsable podrá poner a su
disposición el aviso de privacidad integral o el simplificado, y
III. Cuando
el espacio utilizado para la obtención de los datos personales sea mínimo y
limitado, de forma tal que los
datos personales recabados o el espacio para la difusión o reproducción del
aviso de privacidad también lo
sean, se podrá utilizar la modalidad de aviso de privacidad corto.
La puesta a disposición del aviso de privacidad simplificado o corto no
exime al responsable de su obligación
de proveer los mecanismos para que el titular pueda conocer el contenido del
aviso de privacidad integral. El
responsable no podrá establecer un cobro para el titular por el uso de estos
mecanismos.
El responsable podrá optar por cualquiera de las tres modalidades a las que
refiere el Decimoctavo de los presentes
Lineamientos para la puesta a disposición de su aviso de privacidad, atendiendo
las condiciones señaladas en el
presente lineamiento, con independencia de que estará obligado a contar con el
aviso de privacidad integral.
Capítulo V
Del Contenido de los Avisos de
Privacidad
Sección I
Del Contenido del Aviso de
Privacidad Integral
Elementos informativos del aviso de privacidad integral
Vigésimo. El aviso de privacidad integral
deberá contener, al menos, la siguiente información, de conformidad con lo que establecen los
lineamientos de la presente Sección:
I. La
identidad y domicilio del responsable que trata los datos personales;
II. Los
datos personales que serán sometidos a tratamiento;
III. El
señalamiento expreso de los datos personales sensibles que se tratarán;
IV. Las
finalidades del tratamiento;
V. Los
mecanismos para que el titular pueda manifestar su negativa para el tratamiento
de sus datos personales para
aquellas finalidades que no son necesarias, ni hayan dado origen a la relación jurídica con el responsable;
VI. Las
transferencias de datos personales que, en su caso, se efectúen; el tercero
receptor de los datos personales,
y las finalidades de las mismas;
VII. La
cláusula que indique si el titular acepta o no la transferencia, cuando así se
requiera;
VIII. Los
medios y el procedimiento para ejercer los derechos ARCO;
IX. Los
mecanismos y procedimientos para que, en su caso, el titular pueda revocar su
consentimiento al tratamiento de
sus datos personales;
X. Las
opciones y medios que el responsable ofrece al titular para limitar el uso o
divulgación de los datos
personales;
XI. La
información sobre el uso de mecanismos en medios remotos o locales de
comunicación electrónica, óptica
u otra tecnología, que permitan recabar datos personales de manera automática y simultánea al tiempo que el titular
hace contacto con los mismos, en su caso, y
XII. Los
procedimientos y medios a través de los cuales el responsable comunicará a los
titulares los cambios al aviso de
privacidad.
Identidad y domicilio del responsable
Vigésimo primero. El aviso de privacidad deberá
señalar el nombre completo cuando se trate de persona física, o en su caso la denominación o
razón social de la persona moral, así como el domicilio completo del responsable, de conformidad con el
artículo 16, fracción I de la Ley.
El domicilio del responsable deberá indicar, al menos, la calle, número,
colonia, ciudad, municipio o delegación,
código postal y entidad federativa, y deberá corresponder a aquél para oír y
recibir notificaciones.
Datos personales que se tratarán
Vigésimo segundo. El aviso de privacidad deberá
indicar los datos personales que el responsable tratará para la consecución de las finalidades
para las que los obtiene, tanto los que recaba personal o directamente del titular, como aquéllos que obtiene
indirectamente, por medio de fuentes de acceso público o transferencias, en términos del
artículo 15 de la Ley.
El responsable podrá cumplir con este contenido identificando los datos
personales que trata o las categorías
de los mismos.
El listado de datos personales o en su caso la mención de las categorías
no deberá incluir frases inexactas,
ambiguas o vagas, como "entre
otros datos personales" o "por ejemplo".
Señalamiento expreso de datos personales sensibles
Vigésimo tercero. En términos del artículo 16,
último párrafo de la Ley, el listado nominal de los datos personales que se tratarán o la
categoría de los mismos, a los que refiere el lineamiento anterior, deberán señalar expresamente cuáles de éstos
son sensibles, de conformidad con la definición del artículo 3, fracción VI de la Ley.
Finalidades del tratamiento
Vigésimo cuarto. De conformidad con los artículos
16, fracción II de la Ley, y 14, 30, 40, 41 y 42 de su Reglamento, el aviso de privacidad
deberá describir las finalidades para las cuales se tratarán los datos personales, de acuerdo con los
siguientes criterios:
I. El
listado de finalidades descritas deberá ser completo y no utilizar frases
inexactas, ambiguas o vagas, como "entre otras finalidades", "otros fines análogos" o "por
ejemplo";
II. Las
finalidades descritas en el aviso de privacidad deberán ser determinadas, lo
cual se logra, de conformidad con
el artículo 40, segundo párrafo del Reglamento de la Ley, cuando con claridad,
sin lugar a confusión y de manera
objetiva se especifica para qué objeto serán tratados los datos personales;
III. En
el listado de finalidades se deberán incluir las relativas al tratamiento con
fines de mercadotecnia, publicidad
o prospección comercial, en caso de que el responsable trate los datos
personales para dichos fines;
IV. Se
deberá identificar y distinguir entre las finalidades que dieron origen y son
necesarias para la existencia,
mantenimiento y cumplimiento de la relación jurídica entre el responsable y
titular, de aquéllas que no lo
son, y
V. Se
deberá informar sobre el mecanismo que el responsable tiene implementado para
que el titular pueda manifestar
su negativa para el tratamiento de sus datos personales con relación a las finalidades que no son necesarias para
la relación jurídica entre el responsable y titular.
Mecanismo para manifestar la negativa
Vigésimo quinto. El mecanismo al que refiere la
fracción V del lineamiento anterior, podrá ser implementado a través de la inclusión
de casillas u opciones de marcado en el propio aviso de privacidad, o bien fuera de éste, por el medio que
el responsable determine, el cual deberá estar disponible al momento en que el titular consulta el aviso de
privacidad. En todos los casos, este mecanismo debe permitir que el titular manifieste su negativa previo al
tratamiento de sus datos personales o al aprovechamiento de los mismos.
En términos del párrafo segundo del artículo 14 del Reglamento de la Ley,
cuando el aviso de privacidad no
se haga del conocimiento del titular de manera directa o personal, se deberá
incluir en éste una declaración o
advertencia que informe al titular que tiene un plazo de cinco días hábiles
para que, de ser el caso,
manifieste su negativa para el tratamiento de sus datos personales con respecto
a las finalidades que no son
necesarias, ni dieron origen a la relación jurídica con el responsable.
Quedan a salvo los derechos del titular para ejercer sus derechos a la revocación
del consentimiento u oposición,
en caso de que no manifieste la negativa para el tratamiento de sus datos
personales previo a la entrega de
los mismos o de su aprovechamiento.
Transferencias de datos personales
Vigésimo sexto. En términos de los artículos 16,
fracción V y 36 de la Ley, y 68
de su Reglamento, el aviso de privacidad deberá informar
que, en su caso, el tratamiento involucra la transferencia nacional o internacional de datos personales.
Para ello, deberá contener la siguiente información:
I. Los
terceros receptores o destinatarios de los datos personales, ya sea
identificando cada uno de éstos
por su nombre, denominación o razón social; o bien, indicando su tipo,
categoría o sector de actividad, y
II. Las
finalidades que justifican las transferencias de datos personales, las cuales
deberán ser determinadas y
distinguir entre aquéllas que requieren del consentimiento del titular para que
se realicen, de las que se puedan
llevar a cabo sin dicho consentimiento, de conformidad con lo que establece el artículo 37 de la Ley.
El responsable no estará obligado a informar en el aviso de privacidad
sobre las comunicaciones de datos personales
que existan entre éste y los encargados, lo que se reconoce como remisión, en
términos del artículo 2, fracción
IX del Reglamento de la Ley.
Cláusula para consentir la transferencia de datos personales
Vigésimo séptimo. En términos del artículo 36,
segundo párrafo de la Ley, cuando las transferencias no actualicen los casos de excepción al
consentimiento que establece el artículo 37 de la Ley, el aviso de privacidad deberá incluir una cláusula
que permita al titular señalar si consiente o no la transferencia de sus datos personales.
Medios para el ejercicio de derechos ARCO
Vigésimo octavo. De acuerdo con lo previsto en
los artículos 16, fracción IV y 33 de la Ley, y 90 y 102 de su Reglamento, el aviso de privacidad
deberá informar al titular sobre:
I. Los
medios habilitados por el responsable para atender las solicitudes de ejercicio
de derechos ARCO, los cuales
deberán implementarse de forma tal que no se limite el ejercicio de estos
derechos por parte de los
titulares;
II. Los
procedimientos establecidos para el ejercicio de los derechos ARCO; o bien, los
medios a través de los cuales el
titular podrá conocer dichos procedimientos, los cuales deberán ser de fácil
acceso para los titulares y con
la mayor cobertura posible, considerando su perfil y la forma en que mantienen contacto cotidiano o común
con el responsable; gratuitos; que estén debidamente habilitados, y que hagan sencillo el
acceso a la información. Los datos de identificación y contacto de la persona o departamento de datos
personales que dará trámite a las solicitudes de los titulares para el ejercicio de los derechos
ARCO, al que refiere el artículo 30 de la Ley.
Los procedimientos a los que refiere la fracción II del presente
lineamiento deberán incluir, al menos, lo siguiente:
a) Los
requisitos, entre ellos, los mecanismos de acreditación de la identidad del
titular y la personalidad de su
representante, y la información o documentación que se deberá acompañar a la solicitud;
b) Los
plazos dentro del procedimiento;
c) Los
medios para dar respuesta;
d) La
modalidad o medio de reproducción mediante la cual el titular podrá obtener la
información o datos personales
solicitados a través del ejercicio del derecho de acceso, es decir, copias simples, documentos electrónicos o
cualquier otro medio, y
e) Los
formularios, sistemas y otros métodos simplificados que, en su caso, el
responsable haya implementado
para facilitar al titular el ejercicio de los derechos ARCO.
Mecanismos y procedimientos para la revocación del consentimiento
Vigésimo noveno. Para efectos de los artículos 8,
último párrafo de la Ley y 21 de su Reglamento, el aviso de privacidad deberá señalar
expresamente la siguiente información:
I. Los
medios habilitados por el responsable para atenderlas solicitudes de revocación
del consentimiento de los
titulares, los cuales deberán implementarse de forma tal que no se limite el ejercicio de este derecho por parte de
los titulares, y
II. El
procedimiento establecido para la atención de las solicitudes de revocación del
consentimiento, el cual deberá
tomar en consideración lo dispuesto por el artículo 21 del Reglamento de la
Ley; o bien, los medios a través
de los cuales el titular podrá conocer dicho procedimiento, los cuales deberán
ser de fácil acceso para los
titulares y con la mayor cobertura posible, considerando su perfil y la forma en que mantienen contacto cotidiano o
común con el responsable; gratuitos; que estén debidamente habilitados, y que hagan sencillo el
acceso a la información.
Los procedimientos a los que refiere la fracción II anterior, deberán
informar, al menos, lo siguiente:
a) Los
requisitos, entre ellos, los mecanismos de acreditación de la identidad del
titular y la personalidad de su
representante y, en su caso, la información o documentación que se deberá acompañar a la solicitud;
b) Los
plazos dentro del procedimiento, y
c) Los
medios para dar respuesta.
Opciones y medios para limitar el uso o divulgación de los datos
personales
Trigésimo. El aviso de privacidad deberá
informar sobre las opciones y medios que, en su caso, el responsable haya instrumentado para
que el titular pueda limitar el uso y divulgación de sus datos personales, distintos al ejercicio de los derechos
ARCO o a la revocación del consentimiento, de conformidad con el artículo 16, fracción III de la Ley,
como podrán ser, entre otros:
I. La
inscripción del titular en el Registro Público de Consumidores previsto en la
Ley Federal de Protección al
Consumidor, y en el Registro Público de Usuarios conforme a la Ley de
Protección y Defensa al Usuario
de Servicios Financieros, en términos del artículo 111 del Reglamento de la
Ley;
II. El
registro del titular en listados de exclusión propios del responsable,
sectoriales o generales, de acuerdo con lo establecido en el
artículo 110 del Reglamento de la Ley, señalando el nombre del listado, las finalidades para las
cuales es aplicable la exclusión y, en su caso, el canal habilitado por el responsable para que el titular
pueda obtener mayor información al respecto, o
III. La
habilitación de medios por los cuales el titular pueda manifestar su negativa a
seguir recibiendo comunicados o
promociones por parte del responsable.
Cuando así se requiera, el aviso de privacidad describirá los
procedimientos para el uso de estas opciones o
medios; o bien, informará los mecanismos por los cuales el titular podrá
conocer estos procedimientos.
Uso de cookies, web beacons u otras tecnologías similares
Trigésimo primero. En términos del artículo 14,
último párrafo del Reglamento de la Ley, cuando el responsable utilice mecanismos en
medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar
datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos,
en ese momento deberá informar al titular, a través de una comunicación o advertencia colocada en un lugar
visible, sobre el uso de esas tecnologías y sobre el hecho de que a través de las mismas se obtienen datos
personales, así como la forma en que se podrán deshabilitar, esto último salvo que dichas tecnologías sean
necesarias por motivos técnicos.
Asimismo, el responsable deberá incluir en el aviso de privacidad la
información a la que refiere el artículo 14
del Reglamento de la Ley y aquélla que deba ser informada en los términos de
los presentes Lineamientos, entre
ella, los datos personales que se recaban y las finalidades del tratamiento.
Cambios al aviso de privacidad
Trigésimo segundo. De conformidad con el artículo
16, fracción VI de la Ley, el aviso de privacidad deberá señalar el medio y
procedimiento implementado por el responsable para dar a conocer al titular los cambios o actualizaciones efectuados
al mismo.
Con relación al procedimiento, el responsable podrá incluir este elemento
en el aviso de privacidad cuando el
medio instrumentado para dar a conocer los cambios o actualizaciones en el
aviso de privacidad no se dirija directamente
a cada titular, como por ejemplo una publicación generalizada en su página de
internet.
Casos en los que se requiere un nuevo aviso de privacidad
Trigésimo tercero. El responsable no podrá hacer uso
de los medios y procedimientos señalados en el lineamiento anterior, sino que estará
obligado a poner a disposición de los titulares un nuevo aviso de privacidad, de conformidad con lo que
establece la Ley, su Reglamento y los presentes Lineamientos, cuando el responsable:
I. Cambie
su identidad;
II. Requiera
recabar datos personales sensibles, patrimoniales o financieros adicionales a
aquéllos informados en el aviso
de privacidad original, cuando los mismos no se obtengan de manera personal o directa del titular y se
requiera el consentimiento;
III. Cambie
las finalidades que dieron origen o son necesarias para la relación jurídica
entre el responsable y el
titular; o bien, se incorporen nuevas que requieran del consentimiento del
titular, o
IV. Modifique
las condiciones de las transferencias o se vayan a realizar transferencias no
previstas inicialmente, y el
consentimiento del titular sea necesario.
Sección II
Del Contenido del Aviso de
Privacidad Simplificado
Elementos informativos del aviso de privacidad simplificado
Trigésimo cuarto. De conformidad con lo que
establecen los artículos 17, fracción II de la Ley y 27 de su Reglamento, el aviso de privacidad
simplificado deberá contener, al menos, la siguiente información, de conformidad con lo dispuesto en la
presente Sección:
I. La
identidad y domicilio del responsable;
II. Las
finalidades del tratamiento, y
III. Los
mecanismos que el responsable ofrece para que el titular conozca el aviso de
privacidad integral.
La divulgación inmediata de la información antes señalada no exime al
responsable de la obligación de proveer
los mecanismos para que el titular conozca el contenido del aviso de privacidad
integral.
Identidad y domicilio del responsable
Trigésimo quinto. La identidad y domicilio del
responsable se informará en idénticos términos que en el aviso de privacidad integral, de
conformidad con el Vigésimo primero de los presentes Lineamientos.
Finalidades del tratamiento
Trigésimo sexto. El aviso de privacidad
simplificado deberá informar sobre las finalidades determinadas para las cuales se tratan los datos
personales, las cuales, en su caso, deberán hacer referencia explícita a aquéllas que refieran a mercadotecnia,
publicidad y prospección comercial; distinguir entre las finalidades que son necesarias y dieron origen a la
relación jurídica entre el responsable y el titular, de las que no lo son; así como señalar el mecanismo habilitado
para que el titular pueda, en su caso, manifestar su negativa para el tratamiento de sus datos personales
para las finalidades que no son necesarias para la relación jurídica con el responsable.
Lo anterior en términos de lo señalado en el Vigésimo cuarto y Vigésimo quinto
de los presentes Lineamientos.
Mecanismos para que el titular conozca el aviso de privacidad integral
Trigésimo séptimo. El aviso de privacidad
simplificado deberá señalar los mecanismos que el responsable ha implementado para que
los titulares puedan conocer el aviso de privacidad integral. Para la elección de estos mecanismos, el
responsable deberá elegir aquéllos que sean de fácil acceso para los titulares y con la mayor cobertura
posible, considerando su perfil y la forma en que mantienen contacto con el responsable; gratuitos; que estén
debidamente habilitados y disponibles en todo momento, y que hagan sencillo el acceso a la información.
Cuando el aviso de privacidad simplificado se haga del conocimiento de los
titulares por medios remotos o locales de comunicación electrónica,
óptica u otra tecnología, por ese mismo medio deberá ponerse a disposición el aviso de privacidad
integral.
Lo anterior sin perjuicio de que el titular pueda solicitar el aviso de
privacidad integral por un medio distinto al
indicado en el aviso de privacidad simplificado, en ejercicio de su derecho de
acceso, de conformidad con lo dispuesto
en el artículo 23 de la Ley.
Sección III
Del Contenido del Aviso de
Privacidad Corto
Elementos informativos del aviso de privacidad corto
Trigésimo octavo. En términos del artículo 28 del
Reglamento de la Ley y fracción III del Decimoctavo de los presentes Lineamientos, el aviso
de privacidad corto deberá contener, al menos, los siguientes elementos informativos, de conformidad con lo
dispuesto por los lineamientos de la presente Sección:
I. La
identidad y domicilio del responsable;
II. Las
finalidades del tratamiento, y
III. Los
mecanismos que el responsable ofrece para que el titular conozca el aviso de
privacidad integral.
La divulgación inmediata de la información antes señalada no exime al
responsable de la obligación de proveer
los mecanismos para que el titular conozca el contenido del aviso de privacidad
integral.
Identidad y domicilio del responsable
Trigésimo noveno. La identidad y domicilio del
responsable se informará en idénticos términos que en el aviso de privacidad integral, de
conformidad con el Vigésimo primero de los presentes Lineamientos.
Finalidades del tratamiento
Cuadragésimo. Al considerar que el aviso de
privacidad corto se utiliza cuando el espacio para la obtención de los datos personales y
para difundir el aviso de privacidad es mínimo y limitado, y los datos personales que se recaban también son
mínimos; en esta modalidad, el aviso de privacidad deberá contener, al menos, el listado de finalidades
determinadas para las cuales se tratarán los datos personales, incluidas aquéllas que refieran a
mercadotécnica, publicidad y prospección comercial.
Mecanismos para que el titular conozca el aviso de privacidad integral
Cuadragésimo primero. El aviso de privacidad corto
deberá contener este elemento informativo en términos
de lo señalado en el Trigésimo séptimo de los presentes Lineamientos.
TRANSITORIO
Unico. Los presentes Lineamientos entrarán en vigor
tres meses después al de su publicación en el Diario Oficial de la Federación.
México, D.F., a 28 de
diciembre de 2012.- El Secretario
de Economía, Ildefonso
Guajardo Villarreal.- Rúbrica.
ANEXO
Buenas prácticas en el aviso de
privacidad
El presente anexo forma parte integral de los Lineamientos del Aviso de
Privacidad, y su objetivo es establecer
buenas prácticas en materia de aviso de privacidad, cuya observancia será
opcional para los responsables, y
podrán ser adoptadas por medio de los mecanismos de autorregulación a los que
refiere la Ley y su Reglamento,
así como en cumplimiento del principio de responsabilidad.
Buenas prácticas en la identidad y domicilio del responsable
Primero. Como una buena práctica, el
aviso de privacidad podrá incluir, de manera adicional, el nombre comercial del responsable, a través
del cual es identificado o reconocido comúnmente por el público en general, o concretamente por el
público objetivo a quien va dirigido el aviso de privacidad.
Asimismo, el responsable podrá incluir otros datos de contacto como la
dirección de su página de internet, correo
electrónico, fax, número telefónico, entre otros.
Buenas prácticas en el listado de datos personales
Segundo. Como buena práctica, el aviso de
privacidad podrá distinguir entre los datos personales que son necesarios para las finalidades que dan
origen a la relación jurídica entre el responsable y el titular, de aquéllos que serán tratados para
finalidades secundarias o accesorias, así como asociar el tipo de dato personal o categoría con la finalidad
para la cual se tratará.
Asimismo, el aviso de privacidad podrá informar sobre las fuentes a través
de las cuales el responsable obtiene
los datos personales que tratará, así como precisar por cada fuente qué datos
personales obtiene de éstas.
Buenas prácticas en información sobre transferencias
Tercero. Como buena práctica, el aviso de
privacidad podrá relacionar los datos personales o categorías de datos personales que se transfieren
con la finalidad respectiva.
Tratamiento de datos personales de menores de edad y personas en estado de
interdicción o incapacidad
Cuarto. Cuando el responsable trate
datos personales de menores de edad o de personas que se encuentren en estado de interdicción o
incapacidad establecida por ley, como buena práctica, el aviso de privacidad integral podrá informar
sobre tal situación, señalando al menos lo siguiente:
I. Los
mecanismos que tiene implementados para recabar el consentimiento de la persona
que ejerce la patria potestad, o
en su caso, del tutor o representante legal, de conformidad con las reglas de representación dispuestas en el Código
Civil Federal, y
II. Las
acciones, medidas y previsiones especiales que caractericen este tipo de
tratamiento y que lleve a cabo el
responsable, a fin de salvaguardar el derecho a la protección de datos personales
de estos grupos de personas.
Obtención del consentimiento expreso y expreso y por escrito del titular
Quinto. En los casos en que la Ley, su
Reglamento o demás normativa aplicable requieran del consentimiento expreso, o expreso y
por escrito, del titular para el tratamiento de sus datos personales, el aviso de privacidad podrá ser el medio
para recabar el mismo, en cuyo caso, deberá incluir una casilla de marcado o cualquier otro mecanismo a
fin de que el titular manifieste su consentimiento.
Lo anterior sin perjuicio de las disposiciones establecidas en la Ley y su
Reglamento para la obtención del consentimiento
expreso o expreso y por escrito del titular, así como del establecimiento de
otros mecanismos que pueda
instrumentar el responsable para tal fin.
Toma de decisiones sin intervención humana
Sexto. En términos del artículo 112 del
Reglamento de la Ley, cuando se traten datos personales como parte de un proceso de toma de
decisiones sin que intervenga la valoración de una persona física, el responsable
deberá informar al titular que esta situación ocurre. Para ello, el responsable
deberá dar a conocer al titular
la comunicación o advertencia correspondiente, previa a la realización del
proceso.
De manera adicional, y como buena práctica, el aviso de privacidad
integral podrá hacer del conocimiento del
titular que sus datos serán tratados como parte de un proceso automatizado de
toma de decisiones, sin que
intervenga la valoración de una persona física, identificando el proceso
respectivo.
Atención de quejas y denuncias
Séptimo. En términos del artículo 100 del
Reglamento de la Ley, a manera de buena práctica, el aviso de privacidad podrá incluir una mención o
declaración específica para informar al titular sobre el derecho que le asiste
para acudir ante el Instituto en caso de considerar que su derecho a la
protección de datos personales ha
sido vulnerado.
(Diario Oficial de la Federacion,
2016)
Conclusión
El aviso de Privacidad nos ayuda
a que nuestros datos sean protegidos, es el medio por el cual para que una
empresa u organización al pedir o exigir nuestro datos, nos debe mostrar este
dicho documento, de otra manera, no estamos obligados a dar nuestros datos a
absolutamente nadie.
Bibliografía
Diario Oficial de la Federacion. (25
de 06 de 2016). Obtenido de
http://www.dof.gob.mx/nota_detalle.php?codigo=5284966&fecha=17/01/2013
No hay comentarios.:
Publicar un comentario