Lic. Manuel Llaca Razo
Socio de Solución de Controversias y Litigio Fiscal
KPMG
La protección de datos personales es un derecho fundamental independiente del derecho a la intimidad, tal como se ha puesto de manifiesto en Europa. Siendo este el modelo que se ha implementado por la gran mayoría de los países preocupados por el reconocimiento de la protección de datos personales. En este sentido, diversos países han incorporado en su legislación normas específicas tendientes a lograr la protección de los datos personales en posesión de los particulares
En México, mediante la reforma constitucional publicada en el Diario Oficial de la Federación (DOF), el 1 de junio de 2009, se incorporó en nuestra Carta Magna la protección de los datos personales como garantía individual; lo anterior, al prever que el titular de los datos personales podrá ejercitar sus derechos de Acceso, Rectificación, Cancelación y Oposición (Derechos ARCO) al tratamiento de sus datos personales.
Aunado a lo anterior y derivado de la publicación de la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) y su reglamento, en México ha surgido una serie de obligaciones a cumplir para todas las personas físicas o morales que tengan acceso a datos personales como consecuencia de las relaciones que entablen con particulares, con el fin de lograr un tratamiento legítimo, controlado e informado, que garantice la privacidad y el derecho a la autodeterminación informativa de las personas, entre ellas la elaboración de los llamados “Avisos de Privacidad”.
Naturaleza jurídica de un aviso de privacidad
Es un contrato generado por el responsable (persona física o moral de carácter privado que decide sobre el tratamiento de datos personales) que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con lo que establece la LFPDPPP y su reglamento.
El aviso de privacidad debe informar al titular de datos personales:
- Identidad y domicilio del responsable que recaba los datos personales.
- Datos personales recabados.
- Señalamiento expreso de los datos personales sensibles que, en su caso, se traten.
- En caso de que el tratamiento de los datos personales requiera el consentimiento expreso del titular.
- Finalidades del tratamiento de los datos personales.
- Opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de sus datos personales.
- Mecanismos y procedimientos para que, en su caso, el titular pueda revocar su consentimiento al tratamiento de sus datos personales.
- Cómo ejercer los Derechos ARCO.
- Procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad.
- Qué transferencias de datos se podrían dar, así como la cláusula que indique si el titular acepta o no la transferencia de sus datos personales.
Como se puede apreciar de lo anterior y de conformidad con lo previsto en el Art. 1794 del Código Civil Federal (CCF), el aviso de privacidad es un contrato al contener:
- Objeto. Finalidad para el tratamiento de datos personales.
- Consentimiento. El cual se puede manifestar de manera tácita o expresa.
Por lo que, más allá de considerar el aviso de privacidad como un documento que solo contiene derechos y obligaciones, se deberá considerar a este como un verdadero contrato en el que las partes (titular y responsable) convienen en los derechos y obligaciones que se derivarán del vínculo que los relacione.
Infracciones y sanciones relacionadas con el aviso de privacidad
La LFPDPPP señala como infracciones relacionadas con el aviso de privacidad, las siguientes:
1. Omitir en el aviso de privacidad alguno o todos los elementos a que se refiere el Art. 16 de la Ley. Lo anterior se podrá sancionar con multas de 100 a 160,000 días de SMVDF.
2. Transferir datos a terceros sin comunicar a estos el aviso de privacidad que contiene las limitaciones a que el titular sujetó la divulgación de los mismos. Lo anterior se podrá sancionar con multas de 200 a 320,000 días de SMVDF.
Recomendaciones generales
Al elaborar un aviso de privacidad se recomienda identificar cuáles son las principales áreas de la organización, las operaciones que cada una de dichas áreas maneja para poder determinar las finalidades de uso de la información y las posibles transferencias que se pueden generar.
Es muy importante ser cuidadoso al momento de elaborar los avisos de privacidad, ya que no se trata de un “machote” que se pueda usar indistintamente; por ejemplo, no es lo mismo el aviso que deba hacer una empresa del sector farmacéutico, al aviso que deba preparar un hotel, un hospital o una escuela.
Se deben evitar redacciones que dejen al responsable la posibilidad de que existan finalidades diversas a las plasmadas, respecto de las cuales se podrán utilizar los datos personales, por ejemplo, el uso de vocablos “de manera enunciativa mas no limitativa”, “entre otros”, etcétera.
De igual forma se debe cuidar que el aviso sea acorde, no solo con la legislación en materia de protección de datos, sino también con legislación de carácter laboral, civil, mercantil, para evitar, que —como consecuencia de un aviso mal elaborado— se generen contingencias para la empresa; por ejemplo: el prever prestaciones laborales superiores a las que en realidad se otorgan al trabajador, por no hacer una revisión cuidadosa de las finalidades para las cuales la información del empleado podrá ser utilizada.
En todo momento, la sugerencia es buscar asesoría de abogados especializados en la materia para lograr un cumplimiento eficiente de la legislación en materia de protección de datos y evitar errores que coloquen en una posición vulnerable a la persona física o moral que maneje los datos personales.