Regulación de privacidad de las empresas
¿Tu empresa ya cuenta con una regulación de privacidad para el tratamiento de datos personales? ¿Sabes en qué consiste el aviso de privacidad y las sanciones aplicables en caso de no cumplir con las disposiciones de Ley?
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su reglamento constituyen el marco legal el cual establece reglas, requisitos, obligaciones y sanciones para dar el tratamiento correcto a los datos personales.
De acuerdo al artículo 16 de la Constitución Política de los Estados Unidos Mexicanos, toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos. Esto se traduce en DERECHOS ARCO los cuales te darán la facultad de:
Derechos ARCO:
Acceso: Es la facultad de solicitar el acceso a los datos personales que se encuentran en las bases de datos, sistemas, archivos, registros o expedientes del responsable, que los almacena o utiliza, así como conocer la información relacionada con las condiciones y generalidades del tratamiento que se les da.
Rectificación: Es la facultad de solicitar al responsable la corrección de los datos personales en su posesión, cuando estos sean inexactos o incompletos o no se encuentren actualizados.
Cancelación: Es la facultad de solicitar que los datos personales sean suprimidos o eliminados de los archivos, registros, expedientes, sistemas, bases de datos del responsable y dejen de ser tratados por esta última.
De ser procedente la cancelación, los datos deberán ser bloqueados y, posteriormente, suprimidos de los archivos, registros, expedientes, sistemas o bases de datos en que se encuentren.
Oposición: Es la facultad de solicitar al responsable que se abstenga de utilizar información personal para ciertos fines, por ejemplo, la publicación de datos personales en alguna fuente de acceso público, o de requerir que se concluya el uso de los mismos a fin de evitar un daño o afectación a su persona
Obligaciones
En México todas las empresas del sector privado que obtengan, usen, almacenen o transfieran datos personales están obligadas a brindar la información necesaria a los titulares sobre el tratamiento de sus datos y obtener su consentimiento. Es por eso que recomendamos ampliamente lo siguiente:
Incluir el aviso de privacidad en la página web, recepción, correos electrónicos o en cualquier lugar en el que se recaben datos personales, el cual deberá informar al usuario el tratamiento al que se someterán. Este debe contener lo siguiente:
Identidad del responsable.
Datos que se recolectarán.
Finalidades de su tratamiento.
Derechos de que goza el titular.
En caso de transferencia de datos, informar sobre el procedimiento.
Consentimiento del titular, ya sea tácito o expreso, salvo algunas excepciones previstas en la Ley de la materia.
Permitir que se ejerzan los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).
Se debe puntualizar dentro del Aviso de Privacidad los medios y procedimientos que el responsable ha implementado para que los titulares ejerzan los derechos.
También existen otros dos tipos de aviso de privacidad, a saber, el integral, el cual consiste en el documento físico o electrónico más extenso y, el corto, que se coloca en espacios limitados como en correos electrónicos, mensajes de texto, etc.
Cabe mencionar que los datos personales tienen un ciclo de vida que se refiere al periodo por el cual existen los datos personales en una base de datos, y se podrían resumir en las siguientes etapas:
CREACIÓN U OBTENCIÓN DE DATOS: es por parte del responsable y exclusivamente se deben de recabar datos que sean necesarios para el tratamiento al que se pretenden someter estos datos.
ALMACENAMIENTO: ya que fueron capturados, es necesario almacenarlos con el debido sistema de seguridad y el implementar un proceso de respaldo y recuperación para garantizar la retención.
USO: se le debe dar el uso adecuado y para los fines que se le informó al titular.
CESIÓN: en caso de requerir una transferencia de datos a terceros o que algún tercero tenga acceso a la base de datos, deben de estar identificados y tener delimitadas sus funciones y responsabilidades.
DESTRUCCIÓN: es necesario especificar por cuánto tiempo se van a conservar los datos personales. Una vez finalizado el plazo o el propósito, los datos deberán ser destruidos. En virtud de los artículos 5 y 89 del Reglamento General de Protección de Datos (RGPD), los datos personales podrán conservarse por más tiempo siempre y cuando se trate de archivos de interés público, fines de investigación o estadísticos.
¿QUÉ VIGENCIA TIENE EL AVISO DE PRIVACIDAD?
El aviso de privacidad será vigente de forma indefinida, salvo que cambie la naturaleza jurídica del responsable y/o encargado, de tal forma que ello permita extinguir sus obligaciones frente al titular. Sin embargo, es recomendable mantener actualizado el aviso de privacidad, así como cualquier modificación que se le haga a este.
¿Aviso de privacidad o Convenio de Confidencialidad?
Son dos documentos diferentes y para distintas finalidades, aunque el concepto de privacidad y confidencialidad están relacionados, no son lo mismo. Por ejemplo, para el convenio de confidencialidad se necesita previa firma y puede ser para categorías distintas como proteger el know-how de la empresa, secretos comerciales, estados financieros, un acto jurídico a celebrar, etc.
En cambio, el aviso de privacidad es una declaración unilateral de la voluntad y se puede firmar antes o después de proporcionar los datos y exclusivamente es para el tratamiento de datos personales.
SANCIONES
Las infracciones a la Ley incluidas en el artículo 63 de la Ley Federal de Protección de Datos Personales en Posesión de los particulares serán sancionadas de la siguiente manera:
Apercibimiento para que el responsable lleve a cabo los actos solicitados por el titular.
Multa de 200,000 a 320,000 salarios mínimos.
En caso de que, de manera reiterada, persistan las infracciones, se aplicarán multas adicionales.
