Cuándo y cómo contar con un Aviso de Privacidad

Los datos personales son información confidencial, privada y que se asocian a una persona para identificarla. En ocasiones, algunas personas requieren recabar datos personales de otras para poder ofrecer servicios o productos, o en virtud de una relación laboral, comercial, o un proceso de contratación o reclutamiento. Cuando una persona requiere recabar datos personales de otra, sin que su propósito sea de carácter personal, deberá contar con un Aviso de Privacidad.

En esta guía se dará a conocer cuándo se debe contar con un Aviso de Privacidad, quiénes son los jugadores o participantes relacionados con un Aviso de Privacidad, así como los requisitos que deberá incluir el mismo.

1. Propósito y necesidad de un Aviso de Privacidad

El Aviso de Privacidad es un documento por el cual una persona que recaba datos personales de otra, le da a conocer principalmente y al menos:

• qué datos recaba, por ejemplo, nombre, sexo, domicilio, teléfono y/o correo electrónico, entre otros;
• la forma en que recaba los mismos, por ejemplo usando tecnología, verbalmente, o por medios físicos o escritos;
• las finalidades y propósitos del tratamiento de datos personales; y
• la manera y mecanismos que lleva a cabo para protegerlos, por ejemplo encriptación de datos o la celebración de convenios de confidencialidad con quienes comparte dicha información.

Como comentamos al inicio de esta guía, se deberá contar con un Aviso de Privacidad cuando se recaben datos de una persona siempre que su propósito no sea de carácter personal. Un propósito que no es carácter personal, sería cualquier propósito comercial, publicitario, laboral o público, incluyendo si se trata de la actividad económica o profesional de la persona que solicita los datos, por lo tanto, en dichos casos, es obligación de quien recaba datos (los Responsables de datos personales), preparar un Aviso de Privacidad y ponerlo a disposición de quienes recaba o solicita datos.

En relación con lo anterior, un caso de recabación de datos para un propósito personal sería cuando alguien solicita el teléfono y nombre de una persona para contactarlo sin que esos datos se vayan a utilizar para el desarrollo profesional de quien lo solicita o para que le venda a quien revela su información, algún producto, para prestarle un servicio, o para enviarle publicidad; por ejemplo dos personas que se comparten datos personales para contactarse y tener una relación privada de amistad, no tendrán necesidad de preparar o contar con un Aviso de Privacidad.

2. Participantes del Aviso de Privacidad

2.1 Titulares de Datos Personales

El Titular de datos personales es la persona que puede ser identificada con sus datos personales, y por lo tanto es la propietaria o dueña de dichos datos personales; todas las personas son titulares o propietarios de sus propios datos personales que incluyen por ejemplo, su nombre, su edad, su sexo, así como su información de contacto como teléfono y correo electrónico, entre otros, inclusive sus pasatiempos o intereses similares.

Un Titular de datos personales puede ser cualquier persona en calidad de cliente, consumidor o comprador de productos, proveedor de servicios o productos, participante de un concurso o sorteo, estudiante, ciudadano, usuario de servicios online, trabajadores ya sea del sector público o privado o candidatos de procesos de reclutamiento para una posición laboral.

2.2 Responsables de Datos Personales

El Responsable de datos personales es la persona que recaba datos personales de sus Titulares. El Responsable podrá ser cualquier persona, empresa, entidad o institución de gobierno que recaba datos personales de dichos Titulares para cierto fin por ejemplo, ofrecer un servicio o producto o dar cumplimiento a una obligación por un contrato o por alguna regulación.

Por lo anterior, una misma persona o entidad podrá ser Titular de datos personales y a su vez Responsable del tratamiento de datos personales de otras personas.

2.3 Encargado de Datos Personales

Los Responsables de Datos Personales podrán delegar o tercerizar en otra persona física o moral llamada Encargado, la facultad de tratamiento y protección de datos personales de los Titulares, asumiendo en todo momento el Responsable, la responsabilidad de dicho tratamiento. Si el Responsable de datos personales, es una persona moral, siempre deberá de contar con un Encargado, sea interno o externo a su organización.

En el primer caso, es decir, cuando el Responsable delega las obligaciones de protección y tratamiento a un colaborador que dependa de él, el Encargado será una persona que trabaja dentro de la misma organización o directamente para el Responsable.

En el segundo caso, cuando el Responsable terceriza la facultad de tratamiento y protección, el Encargado será una persona o entidad ajena al Responsable o a su organización. El servicio tercerizado, resulta adecuado cuando el Responsable debe recabar datos personales de una cantidad significativa de Titulares, y que para su tratamiento, procesamiento y resguardo, resulte necesario contar con herramientas, mecanismos o inclusive tecnología de nivel más profesional y/o automatizado.

3. Forma y Contenido del Aviso de Privacidad

El Aviso de Privacidad debe ser claro, visible y de fácil acceso para los Titulares de datos, bastará que el mismo se encuentre a disposición de los Titulares a través de medios físicos, es decir en las oficinas o sucursales del Responsable, o en medios electrónicos como los sitios web del Responsable. El Aviso de Privacidad debe ponerse a disposición de los Titulares a través de formatos impresos, digitales, visuales, sonoros o cualquier otra tecnología.

Cuando los datos personales hayan sido obtenidos personalmente del Titular, el Aviso de privacidad deberá ser presentado en el momento en que se recaban los datos, salvo que se hubiere mostrado dicho aviso con anterioridad. Cuando los datos personales sean obtenidos directamente del titular por cualquier medio electrónico, óptico, sonoro, visual, o a través de cualquier otra tecnología, como mediante interfaces o formatos digitales especiales, el Responsable deberá proporcionar en esa misma interfaz o página web, al menos su nombre completo, su domicilio, así como las finalidades del tratamiento de datos, e indicar la forma en que el Titular podrá visualizar el texto completo del Aviso de privacidad.

El tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas en el Aviso de Privacidad. Si el Responsable pretende tratar los datos para un fin distinto que no resulte compatible o análogo a los fines establecidos en el Aviso de Privacidad, se requerirá obtener nuevamente el consentimiento del Titular.

El Aviso de Privacidad, deberá contener al menos, la siguiente información:

• Identidad y domicilio del Responsable: nombre y domicilio, completos del Responsable;
• Datos personales que se recaban: se deberán indicar cuáles y qué tipo de datos personales se recaban (por ejemplo, nombre, ocupación, estado civil, domicilio, teléfono, correo electrónico, CURP, RFC, etc.);
• Forma de recabación de datos personales: indicación y descripción de cómo se recaban los datos personales (por ejemplo, directamente del titular, a través de formularios físicos o digitales, etc.);
• Finalidades del tratamiento de los datos personales: se deberán indicar todas y cada una de ellas, por lo general las finalidades se podrán segmentar en las que resulten más importantes y menos importantes, pero en todo caso siempre deberán incluirse todas finalidades. En el caso de una relación laboral, una finalidad principal por la que se recabe información fiscal como el RFC, sería el pago del salario y retención de impuestos, sin ese dato, no se podría llevar a cabo dicha obligación por el patrón; en el mismo caso, recabar un dato como intereses o pasatiempos, sería menos importante porque su finalidad podría ser compartir publicidad o promociones;
• Transferencias de datos personales, en su caso: indicar a quién se transferirán y para qué finalidad; en particular si se transferirán al extranjero; y
• Medios para ejercer los derechos ARCO: indicar cómo puede el titular acceder, rectificar, cancelar u oponerse al tratamiento de sus datos personales (ver apartado Derechos ARCO de esta guía).

Adicionalmente, se podrá incluir:

• Opciones y medios para limitar el uso o divulgación de los datos;
• Medios de protección y resguardo de la información de datos personales implementados por el Responsable;
• Cómo puede el Titular manifestar su negativa para el tratamiento de sus datos personales para fines específicos;
• Uso de cookies y otras tecnologías de rastreo, en su caso;
• Mecanismos para que el Titular pueda presentar una queja ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales en caso de considerar que se han vulnerado sus derechos;
• La forma en cómo se informará al Titular sobre los cambios al aviso de privacidad;
• Fecha en que se elaboró o actualizó por última vez el aviso de privacidad; y
• Datos de contacto del Responsable o Encargado, en su caso.

4. Datos Personales Sensibles

Los Datos Personales pueden ser o no sensibles, estos últimos son aquellos que afectan y están relacionados con la esfera más íntima de sus Titulares o cuya utilización indebida puede dar origen a discriminación o implicar un riesgo grave para éstos. Los datos sensibles incluyen el origen racial, creencias religiosas, creencias morales, preferencia sexual, estado de salud, opiniones políticas; la ley no es exhaustiva respecto a los datos sensibles de una persona, es decir no solamente deberán ser considerados como datos sensibles, los indicados en el presente párrafo, por lo que, en tanto cualquier dato personal tenga la posibilidad de ser asociado con alguien y dicha información pueda ser utilizada para discriminar a una persona, debe ser considerado con un dato personal sensible.

Cuando las personas Responsables recaben datos personales sensibles deberán contar con el previo consentimiento expreso de su Titular, es decir la autorización por escrito firmado de los propietarios o Titulares de dichos datos sensibles. No podrán crearse bases de datos que contengan datos personales sensibles, sin que se justifique la creación de las mismas para finalidades que sean lícitas o legalmente válidas y acordes con las actividades o fines que persigue el Responsable.

5. Tipos de Aviso de Privacidad

La ley no establece tipos especiales de Avisos de Privacidad, ya que cada aviso de privacidad deberá adaptarse a los distintos perfiles y circunstancias legales por las cuales una persona deba recabar datos personales de otra. En ese sentido, se podrán distinguir los siguientes tipos de avisos de privacidad:

a. Dirigido a Clientes: este aviso de privacidad lo emiten empresas a quienes sean sus consumidores o usuarios;
b. Para Candidatos y Empleados;
c. Para Proveedores (de productos o servicios);
d. Dirigido a personas en calidad de ciudadanos;
e. Dirigido a ciertas entidades o empresas de un sector específico;
f. Dirigido a Estudiantes o Padres de Familia de una institución escolar; y/o
g. Dirigido participantes de un concurso.

6. Derechos ARCO

Además de tener el derecho de conocer el Aviso de Privacidad al que está sujeto el tratamiento de sus datos personales, los Titulares tienen derecho en todo momento a Acceder, Rectificar, Cancelar y Oponerse al tratamiento de los mismos (los "Derechos ARCO").

• Derecho de Acceder: el Titular deberá conocer la forma en que podrá acceder a los mismos, sea de forma física en las oficinas del Responsable, o a través de medios electrónicos.
• Derecho de Rectificar: El Titular de los datos tendrá derecho a rectificar sus datos cuando sean inexactos o incompletos.
• Derecho de Cancelar: El Titular tendrá en todo momento el derecho a cancelar sus datos personales. La cancelación de datos personales dará lugar a un periodo de bloqueo, es decir, una vez que el Titular ejerce su derecho de cancelación, el Responsable no podrá utilizar, procesar, tratar, transferir o de cualquier forma disponer los datos personales del Titular, tras dicho periodo de bloqueo, se procederá a la supresión definitiva de los datos personales. Cabe señalar que el Responsable podrá conservar aquellos datos personales que fueren necesarios exclusivamente para efectos de dar cumplimiento a responsabilidades nacidas del tratamiento o relación jurídica, por ejemplo (pagos de cuotas patronales, avisos o notificaciones a autoridades etc). El periodo de bloqueo puede variar, según el tipo de relación jurídica o comercial por el cual haya sido necesario recabar datos personales, por ejemplo en una relación laboral, el Responsable, es decir el trabajador tendrá hasta 60 días para iniciar un proceso de conciliación y arbitraje en contra del patrón, y por hasta un año respecto a ciertas prestaciones, por lo que el bloqueo podrá durar hasta un año, en favor del patrón.
• Derecho de Oposición: El Titular podrá oponerse al tratamiento de sus datos para que no se utilicen para ciertos fines, o para requerir que se concluya el uso de los mismos a fin de evitar un daño a su persona. En una solicitud de oposición, la persona titular deberá manifestar las causas legítimas o la situación específica que lo llevan a requerir el cese del tratamiento, así como el daño o perjuicio que le causaría que el Responsable continúe con el tratamiento de sus datos.

Cuando un Titular de datos requiera ejercer o hacer uso de alguno, o todos sus Derechos ARCO, podrá realizarlo a través del procedimiento que se establezca en el Aviso de Privacidad, el cual conforme a lo comentado, deberá estar a su disposición. En todo caso, el proceso para ejercer los Derechos ARCO deberá incluir la forma en que el Titular puede contactar al Encargado o Responsable de datos y el tiempo en el que el mismo contestará que ha recibido y atenderá su solicitud, el cual no podrá ser menor a 20 días. El Responsable directamente o a través de su Encargado no podrá negarse a atender una solicitud de ejercicio de uno o todos los Derechos ARCO por Titulares de datos.

7. Conclusión

Cuando una persona requiere recabar datos personales de otra sin que dicho propósito sea personal, será obligación de quien recaba datos personales (Responsable de datos personales), preparar un Aviso de Privacidad y ponerlo a disposición de quienes recaba o solicita datos (Titular de datos personales).

El Aviso de Privacidad es un documento que protege y brinda seguridad a los Titulares de datos personales al darles a conocer qué datos y para qué se utilizarán los mismos; resulta necesario que el Aviso de Privacidad incluya quién es el Responsable, es decir, la persona que recaba los datos personales y su información de contacto, así como los propósitos de recabación, uso y procesamiento de los datos personales.

Cuando el Responsable recabe datos personales sensibles, es decir aquellos que afectan la esfera íntima del Titular y pueden ser utilizados con fines discriminatorios, el Responsable además de contar con el Aviso de Privacidad y ponerlo a disposición del Titular, deberá contar con consentimiento expreso del mismo sobre la recabación de dichos datos sensibles; si el Responsable no recaba datos sensibles, la puesta a disposición del Aviso de Privacidad será suficiente para dar cumplimiento a la regulación.

Entre los derechos más importantes del Titular, que el Responsable debe darle a conocer, se encuentran los Derechos ARCO, de acceso, rectificación, cancelación y oposición, (acceder a los datos, corregir inconsistencias, solicitar la supresión de datos, y oponerse al tratamiento) que deberán poder ejercerse en cualquier momento, atendiendo a los procesos que indique el Aviso de Privacidad, y a través de la información de contacto del Responsable o Encargado de Datos.

Modelos y ejemplos para descargar en formatos Word y PDF

• Aviso de privacidad
• Acuerdo Unilateral de confidencialidad
• Aviso de Privacidad para Candidatos y Empleados
• Política de Cookies
• Autorización de Candidatos o Empleados para recabar datos personales sensibles