Antes de hablar sobre, qué es y para qué sirve es preciso conocer de dónde surge la necesidad de un aviso de privacidad y la protección de los datos personales.
Los avances y uso extensivo de la tecnología y las telecomunicaciones han permitido que en muchas ocasiones los datos personales sean utilizados para fines distintos de los que originalmente fueron recabados y más aún compartidos con terceros no autorizados por el titular de estos.
A fin de resguardar y ejercer el derecho de titulares de los datos en México, en el año 2001, se presentó la primera iniciativa de Ley en materia de protección de datos personales, pero fue hasta el 2010 que el Congreso de la Unión aprobó la que hoy en día conocemos como la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
Pero, ¿qué es un dato personal? es cualquier información relacionada con una persona física, que pueda identificarla o hacerla identificable, los más común de pensar es, en el nombre, teléfono, dirección, correo electrónico, pero también existen otros datos que pueden hacer identificable a una persona y que hoy en día son muy comunes de utilizar como la imagen, huellas dactilares, reconocimiento de iris, tipo de sangre.
En nuestra legislación, se señala que todo aquel que pida o solicite por cualquier medio físico o electrónico un dato personal, deberá hacerle saber al titular de los mismos, quién será el responsable de proteger y resguardar la información, para qué fines se está solicitando, si es necesario y con quién compartirá la información, por cuanto tiempo la tendrá y en qué momento podrá o no eliminarla, para todo esto será necesario la creación de un documento que lo avale.
El Instituto Nacional de Acceso a la Información (INAI) define al aviso de privacidad como un documento físico, electrónico o en cualquier otro formato (por ejemplo sonoro), a través del cual el responsable informa al titular sobre la existencia y características principales del tratamiento al que serán sometidos sus datos personales, pero, ¿quién está obligado a tener uno?, todo aquel que trate datos personales, sin importar la actividad que realice, o si se trata de una persona física o moral.
Este documento tiene como finalidad establecer y delimitar el alcance, términos y condiciones del tratamiento de datos personales a fin de que su titular pueda tomar decisiones informadas con relación al uso de estos, por ende también permite que el responsable, transparente el tratamiento y uso que dará a los datos.
La Ley reconoce tres modalidades de aviso de privacidad: integral, simplificado y corto, cada uno con contenido distinto y reglas generales de aplicación diferentes, por ejemplo, el simplificado deberá contener la identidad y domicilio del responsable; las finalidades del tratamiento, distinguiendo las que dieron origen y son necesarias para la relación jurídica entre titular y responsable, de las que no lo son; los mecanismos para que el titular pueda manifestar previamente su negativa para el tratamiento de sus datos personales respecto de aquellas finalidades secundarias o accesorias, y los mecanismos para que el titular conozca el aviso de privacidad integral, los casos en que deberá utilizarse será cuando los datos personales se obtengan de manera directa del titular, a través de internet o vía telefónica.
Pero cuando el espacio utilizado para la obtención de los datos personales sea mínimo y limitado, de forma tal que la información personal recabada o el espacio para la difusión o reproducción del aviso de privacidad también lo sean, como podría ser el caso de cupones o boletos para una rifa o sorteo, o bien, el cajero automático o un mensaje SMS, se deberá utilizar el aviso de privacidad corto, el cual solo contendrá la identidad y domicilio del responsable, la finalidad general del tratamiento y los mecanismos para que el titular conozca el aviso de privacidad integral.
El aviso de privacidad integral como su nombre lo señala, debe integrarse de todos los elementos de información para que el titular pueda saber que sucede con sus datos personales desde el momento en que se los solicitan, por ello, el aviso integral deberá contener:
1.- Nombre y domicilio del responsable
2.- Las finalidades del tratamiento
3.- Los mecanismos para que el titular pueda manifestar su negativa para finalidades secundarias o accesorias
4.- Los datos personales tratados
5.- El señalamiento expreso de los datos personales sensibles que se traten
6.- La transferencias de datos que en su caso se efectúen
7.- La cláusula que indique, si el titular acepta o no la transferencia de sus datos
8.- Los medios y el procedimiento para ejercer sus derechos de acceso, rectificación, cancelación y/u oposición
9.- Los mecanismos y procedimientos para que, en su caso, el titular pueda revocar su consentimiento al tratamiento de sus datos personales
10.- Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de sus datos personales
11.- El uso de cookies, web beacons o cualquier otra tecnología similar o análoga
12.- Los procedimientos y medios por los cuales el responsable comunicará a los titulares los cambios en el aviso de privacidad
El Instituto Nacional de Acceso a la Información (INAI), tiene categorizados a los datos personales y los sensibles, de la forma siguiente:
|
DATOS PERSONALES |
DATOS PERSONALES SENSIBLES (Es necesario firma expresa para su útilización) |
|
Datos de identificación. Información concerniente a una persona física que permite diferenciarla de otras en una colectividad, tales como: nombre; estado civil; firma autógrafa y electrónica; Registro Federal de Contribuyentes (RFC); Clave Única de Registro de Población (CURP); número de cartilla militar; lugar y fecha de nacimiento; nacionalidad; fotografía; edad, entre otros. |
Datos ideológicos. Información sobre las posturas ideológicas, religiosas, filosóficas o morales de una persona. |
|
Datos de contacto. Información que permite mantener o entrar en contacto con su titular, tal como: domicilio; correo electrónico; teléfono fijo; teléfono celular, entre otra. |
Datos sobre opiniones políticas. Opinión de una persona con relación a un hecho político o sobre su postura política en general. |
|
Datos laborales. Información concerniente a una persona física relativa a su empleo, cargo o comisión; desempeño laboral y experiencia profesional, generada a partir de procesos de reclutamiento, selección, contratación, nombramiento, evaluación y capacitación, tales como: puesto, domicilio de trabajo, correo electrónico institucional, teléfono institucional; referencias laborales; fecha de ingreso y salida del empleo, entre otros. |
Datos sobre afiliación sindical. Pertenencia de una persona a un sindicato y la información que de ello derive. |
|
Datos sobre características físicas. Información sobre una persona física relativa a su fisonomía, anatomía, rasgos o particularidades específicas, como: color de la piel, del iris o del cabello; señas particulares; estatura; peso; complexión; cicatrices, tipo de sangre, entre otras. |
Datos de salud. Información concerniente a una persona física relacionada con la valoración, preservación, cuidado, mejoramiento y recuperación de su estado de salud físico o mental, presente, pasado o futuro, así como información genética. |
|
Datos académicos. Información concerniente a una persona física que describe su preparación, aptitudes, desarrollo y orientación profesional o técnica, avalada por instituciones educativas, como lo son: trayectoria educativa; títulos; cédula profesional; certificados; reconocimientos; entre otros. |
Datos sobre vida sexual. Información de una persona física relacionada con su comportamiento, preferencias, prácticas o hábitos sexuales, entre otros. |
|
Datos patrimoniales o financieros. Información concerniente a una persona física relativa a sus bienes, derechos, cargas u obligaciones susceptibles de valoración económica, como pueden ser: bienes muebles e inmuebles; información fiscal; historial crediticio; ingresos y egresos; cuentas bancarias; seguros; afores; fianzas, número de tarjeta de crédito, número de seguridad, entre otros. |
Datos de origen étnico o racial. Información concerniente a una persona física relativa a su pertenencia a un pueblo, etnia o región que la distingue por sus condiciones e identidades sociales, culturales y económicas, así como por sus costumbres, tradiciones, creencias. |
|
Datos biométricos. Información sobre una persona física relativa a imagen del iris, huella dactilar, palma de la mano u otros análogos. |
|
Es importante saber que el responsable no siempre estará obligado a dar a conocer el aviso de privacidad, como cuando los datos personales los haya obtenido de forma indirecta y estos se encuentren destinados a fines históricos, estadísticos o científicos, cuando se recabe información de personas morales o de personas físicas en su calidad de comerciantes y profesionistas.
Para generar su aviso de privacidad es necesario tomar en cuenta las recomendaciones siguientes; conocer sus obligaciones y deberes, identificar las actividades y procedimientos en los que utiliza datos personales, identificar como obtiene datos personales, identificar el flujo de datos personales que trata, para que fines utiliza los datos y la transferencia que realiza de estos, identifique el perfil de los titulares y los mecanismos que les ofrece para que decidan sobre sus datos, por último, piense en información adicional que hable sobre sus prácticas de privacidad y con esto comience a redactar su aviso de privacidad.