Principios de protección de datos personales
Los responsables se encuentran obligados a informar a las personas titulares de los datos personales, las características principales del tratamiento al que será sometida su información personal, lo que se materializa a través del aviso de privacidad. En ese sentido, todo responsable que trate datos personales, sin importar la actividad que realice o si se trata de una persona física o moral, requiere elaborar y poner a disposición los avisos de privacidad que correspondan a los tratamientos que lleven a cabo.
Es importante tomar en cuenta que con independencia de que se requiera o no el consentimiento de la persona titular para el tratamiento de sus datos personales, el responsable está obligado a poner a su disposición el aviso de privacidad.
Por otro lado, resulta pertinente aclarar que los responsables deben tener el número de avisos de privacidad que resulten necesarios de acuerdo con los tipos de tratamientos que realicen.
La puesta a disposición del aviso de privacidad implica hacer del conocimiento de la persona titular dicho documento.
El responsable puede utilizar el medio que considere conveniente para difundir su aviso de privacidad, pero debe tener en cuenta que este medio debe estar acorde con la forma en que obtiene los datos personales y la modalidad de aviso de privacidad que utilice. En todo caso, el aviso de privacidad deberá estar ubicado en un lugar visible y que facilite su consulta.
Los elementos que debe contener el aviso de privacidad integral son:
Considerando lo anterior las obligaciones que tiene el responsable son:
1.- Poner a disposición de las personas titulares el aviso de privacidad en los términos que fije la normativa, aunque no se requiera el consentimiento de las personas titulares para el tratamiento de los datos personales;
2. Poner a disposición de la persona titular el aviso de privacidad previo a la obtención de los datos personales, cuando éstos se obtengan de manera directa o personal de la persona titular;
3. Poner a disposición de la persona titular el aviso de privacidad al primer contacto que se tenga con éste, cuando los datos personales se hayan obtenido de una transferencia consentida, de una que no requiera el consentimiento, o bien de una fuente de acceso público;
4. Poner a disposición de la persona titular el aviso de privacidad previo a iniciar el uso de los datos personales para la finalidad para la que se obtuvieron (aprovechamiento), cuando éstos no se hayan obtenido de manera directa de la persona titular, el tratamiento no requiera del contacto con él y se cuente con datos para contactarlo;
5. Poner a disposición de la persona titular el aviso de privacidad previo a iniciar el uso de los datos personales para las nuevas finalidades (aprovechamiento), cuando el responsable requiera tratar los datos personales para finalidades distintas y no compatibles con aquéllas para las cuales los recabó inicialmente;
6. Redactar el aviso de privacidad de manera que sea claro, comprensible y con una estructura y diseño que facilite su entendimiento, y atendiendo lo siguiente: no usar frases inexactas, ambiguas o vagas; tomar en cuenta los perfiles de las personas titulares; no incluir textos o formatos que induzcan a la persona titular a elegir una opción en específico; no pre-marcar casillas en las que se solicite el consentimiento de la persona titular, y no remitir a textos o documentos que no estén disponibles;
7. Ubicar el aviso de privacidad en un lugar visible y que facilite su consulta, con independencia del medio de difusión o reproducción que se utilice;
8. Comunicar el aviso de privacidad a encargados y terceros a los que remita o transfiera datos personales;
9. Demostrar el cumplimiento del principio de información, en caso de que así se requiera;
10. Cuando se utilice la modalidad integral del aviso de privacidad, incluir todos los elementos informativos previstos en la normativa correspondiente;
11. Utilizar la versión integral del aviso de privacidad cuando los datos personales sean obtenidos personalmente de las personas titulares;
12. Elaborar y tener disponible para su consulta el aviso de privacidad integral, con independencia de que se ponga a disposición de las personas titulares el aviso de privacidad en su versión simplificada o corta previo a la obtención o aprovechamiento de los datos personales;
13. No establecer cobros para la consulta del aviso de privacidad;
14. Cuando así ocurra, informar en su portal de Internet, a través de una comunicación o advertencia colocada en un lugar visible y a la cual se pueda acceder desde el momento en que se ingresa a dicho portal, que están siendo utilizadas tecnologías de rastreo, que a través de éstas se pueden recabar datos personales y la forma en cómo se pueden deshabilitar, y
15. Poner a disposición de las personas titulares un nuevo aviso de privacidad en los siguientes casos:
(i) cambie la identidad del responsable;
(ii) se requiera recabar nuevos datos personales sensibles, patrimoniales o financieros y se requiera el consentimiento de la persona titular;
(iii) se requiera tratar los datos personales para nuevas finalidades que requieran el consentimiento de la persona titular, y
(iv) se requiera realizar nuevas transferencias que requieran el consentimiento de la persona titular.
Las medidas compensatorias son mecanismos alternos para dar a conocer a las personas titulares el aviso de privacidad, a través de su difusión en medios de comunicación masiva u otros mecanismos de amplio alcance, en lugar de poner a disposición el aviso a cada persona titular, de manera personal o directa.
Lo anterior, siempre y cuando resulte imposible dar a conocer el aviso de privacidad a la persona titular o exija esfuerzos desproporcionados. En ese sentido, los responsables pueden implementar medidas compensatorias para dar a conocer su aviso de privacidad a través de medios de comunicación masiva, y no de manera directa o personal a cada persona titular, cuando esto último resulte imposible o exija esfuerzos desproporcionados.
El responsable deberá contar con el consentimiento de la persona titular para el tratamiento de sus datos personales. La solicitud del consentimiento deberá ir siempre ligada a las finalidades concretas del tratamiento que se informen en el aviso de privacidad, es decir, el consentimiento se deberá solicitar para tratar los datos personales para finalidades específicas, no en lo general.
El consentimiento debe ser informado, por lo que previo a su obtención, es necesario que la persona titular conozca el aviso de privacidad.
El consentimiento se debe obtener en todos los casos, menos cuando ocurra alguno de los supuestos que prevé la LFPDPPP en su artículo 10, los cuales son los siguientes:
- Cuando el tratamiento sea necesario porque así lo ordena una ley;
- Los datos personales se obtengan de una fuente de acceso público;
- Los datos personales se sometan a un procedimiento previo de disociación, de forma tal que no se pueda identificar su titular;
- El tratamiento tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre la persona titular y el responsable, por ejemplo, la relación entre un doctor y su paciente;
- Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes;
- Los datos personales sean indispensables para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras la persona titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la Ley General de Salud y demás disposiciones jurídicas aplicables, y que el tratamiento se realice por una persona sujeta al secreto profesional u obligación equivalente, o
- Se dicte resolución de autoridad competente.
Entonces, cuando ocurra alguno de estos supuestos no será necesario la obtención del consentimiento, ni tácito, ni expreso, ni expreso y por escrito. Es importante señalar que una parte importante de los tratamientos ocurren en el marco de una relación jurídica entre el responsable y la persona titular, en la que no se requerirá el consentimiento. Por relación jurídica se entiende el vínculo entre sujetos, respecto de determinados bienes o intereses, el cual está regulado por el derecho y tiene consecuencias jurídicas. Entonces, para determinar que una situación está enmarcada en una relación jurídica deben existir los siguientes factores:
- Un vínculo entre los sujetos;
- Dos o más sujetos;
- Estar regulado por el derecho, y
- Producir consecuencias jurídicas. Es importante señalar que el hecho de que no se requiera el consentimiento para el tratamiento, no implica que no se deberán cumplir los otros principios, lo que incluye la obligación de poner a disposición de la persona titular el aviso de privacidad.
El consentimiento puede ser tácito, expreso o expreso y por escrito, dependiendo del tipo de datos personales que se tratarán.
Ahora bien, podría ser el caso de que la organización decidiera tratar los datos personales para finalidades distintas a las que informó originalmente en el aviso de privacidad, y para las cuales obtuvo el consentimiento inicial por parte de las personas titulares. En esos casos, será necesario solicitar el consentimiento de las personas titulares para las nuevas finalidades, siempre y cuando estas finalidades no actualicen los supuestos de excepción que señala el artículo 10 de la LFPDPPP, es decir:
- Esté previsto en una Ley;
- Los datos figuren en fuentes de acceso público;
- Los datos personales se sometan a un procedimiento previo de disociación;
- Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre la persona titular y el responsable;
- Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes;
- Sean indispensables para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras la persona titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la Ley General de Salud y demás disposiciones jurídicas aplicables y que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente;
- Se dicte resolución de autoridad competente.
En estos casos en los que hubo cambio en las finalidades, será además necesario cumplir con el principio de información, de conformidad con lo siguiente:
- Si las nuevas finalidades requieren el consentimiento de la persona titular, será necesario poner a su disposición un nuevo aviso de privacidad con la información relativa a las nuevas finalidades.
- Si las nuevas finalidades no requieren el consentimiento de la persona titular, será suficiente con actualizar el aviso de privacidad existente e informar sobre estos cambios por el medio que así lo haya decidido el responsable y se haya incluido en el aviso de privacidad.
El principio de calidad significa que, conforme a la finalidad o finalidades para las que se vayan a tratar los datos personales, éstos deben ser exactos, correctos, completos, actualizados y pertinentes.
El responsable debe adoptar las medidas que considere convenientes para procurar que los datos personales cumplan con estas características, a fin de que no se altere la veracidad de la información, ni que ello tenga como consecuencia que la persona titular se vea afectada por dicha situación.
Plazo de conservación = 𝑇𝑖𝑒𝑚𝑝𝑜 𝑟𝑒𝑞𝑢𝑒𝑟𝑖𝑑𝑜 𝑝𝑎𝑟𝑎 𝑙𝑙𝑒𝑣𝑎𝑟 𝑎 𝑐𝑎𝑏𝑜 𝑙𝑎𝑠 𝑓𝑖𝑛𝑎𝑙𝑖𝑑𝑎𝑑𝑒𝑠 𝑑𝑒𝑙 𝑡𝑟𝑎𝑡𝑎𝑚𝑖𝑒𝑛𝑡𝑜 + 𝑝𝑙𝑎𝑧𝑜𝑠 𝑙𝑒𝑔𝑎𝑙𝑒𝑠, 𝑎𝑑𝑚𝑖𝑛𝑖𝑠𝑡𝑟𝑎𝑡𝑖𝑣𝑜𝑠, 𝑐𝑜𝑛𝑡𝑎𝑏𝑙𝑒𝑠, 𝑓𝑖𝑠𝑐𝑎𝑙𝑒𝑠, 𝑗𝑢𝑟í𝑑𝑖𝑐𝑜𝑠 𝑒 ℎ𝑖𝑠𝑡ór𝑖𝑐𝑜𝑠 𝑎𝑝𝑙𝑖𝑐𝑎𝑏𝑙𝑒𝑠 + 𝑝𝑒𝑟𝑖𝑜𝑑𝑜 𝑑𝑒 𝑏𝑙𝑜𝑞𝑢𝑒𝑜.
Una vez concluido el plazo de conservación, y siempre que no exista disposición legal o reglamentaria que establezca lo contrario, el responsable debe proceder a la supresión de los datos personales, tomando en consideración, por ejemplo, las recomendaciones de la Guía para el Borrado Seguro de Datos Personales. Es importante recordar que el plazo de conservación debe incluir un periodo de bloqueo, ya que los datos personales deben ser bloqueados antes de que sean eliminados o suprimidos.
El responsable debe establecer y documentar procedimientos para la conservación, bloqueo y supresión de los datos personales.
El bloqueo es la acción que tiene por objeto impedir el tratamiento de los datos personales para cualquier finalidad, con excepción de su almacenamiento y acceso para determinar posibles responsabilidades en relación con el tratamiento de los datos personales, hasta el plazo de prescripción correspondiente. Concluido dicho periodo se deberá proceder a la supresión de los datos.
El tratamiento por el responsable deberá ser de manera lícita y leal, lo que supone que tiene que actuar con apego a las leyes en general y en lo particular a la normatividad sobre protección de datos personales. En ese sentido, el responsable sólo podrá hacer con los datos personales aquello que esté legalmente permitido.
En ese sentido, la obtención de los datos personales no podrá hacerse a través de medios engañosos, ni fraudulentos, por ejemplo:
- No se recaben datos personales con dolo, mala fe o negligencia;
- No se vulnere la confianza de la persona titular con relación a que sus datos personales serán tratados conforme a lo acordado;
El responsable tiene las siguientes obligaciones en torno a los principios de licitud y lealtad:
- Tratar siempre los datos personales con apego al cumplimiento de la legislación mexicana y el derecho internacional;
- No hacer uso de medios engañosos o fraudulentos para la obtención de los datos personales, y
- Respetar en todo momento la expectativa razonable de privacidad de la persona titular.
Los datos personales sólo pueden ser tratados para cumplir con la finalidad o finalidades que hayan sido informadas a la persona titular en el aviso de privacidad y, en su caso, consentidas por éste. Se entiende por finalidad del tratamiento, el propósito, motivo o razón por el cual se tratan los datos personales.
El responsable deberá evitar que las finalidades que describa en el aviso de privacidad sean inexactas, ambiguas o vagas, como “de manera enunciativa más no limitativa.
En ese sentido, las finalidades del tratamiento de datos personales deberán ser determinadas, es decir, deberán especificar para qué objeto se tratarán los datos personales de manera clara, sin lugar a confusión y con objetividad.
Es importante que el responsable tome en consideración que no se pueden llevar a cabo tratamientos para finalidades distintas que no resulten compatibles o análogas con aquéllas para las que se hubiese recabado de origen los datos personales y que hayan sido previstas en el aviso de privacidad, a menos que:
- Lo permita de forma explícita una ley o reglamento, o
- El responsable haya obtenido el consentimiento para el nuevo tratamiento.
Derivado de lo anteriormente mencionado el responsable tiene la obligación de:
- Tratar los datos personales únicamente para la finalidad o finalidades que hayan sido informadas a la persona titular en el aviso de privacidad y, en su caso, consentidas por éste;
- Informar en el aviso de privacidad todas las finalidades para las cuales se tratarán los datos personales, y redactarlas de forma tal que sean determinadas;
- Identificar y distinguir en el aviso de privacidad entre las finalidades primarias y secundarias;
- Ofrecer a la persona titular de los datos personales un mecanismo para que pueda manifestar su negativa al tratamiento de sus datos personales para todas o algunas de las finalidades secundarias;
- Cuando el aviso de privacidad se dé a conocer a través de un medio indirecto, como el correo postal, informar a la persona titular que tiene cinco días hábiles para manifestar su negativa para el tratamiento de su información para finalidades secundarias;
- No condicionar el tratamiento para finalidades primarias, a que se puedan llevar a cabo las finalidades secundarias;
- Tratar los datos personales para finalidades distintas que no resulten compatibles o análogas con aquéllas para las que se hubiese recabado de origen los datos personales y que hayan sido previstas en el aviso de privacidad, al menos que lo permita una ley o reglamento, o se obtenga el consentimiento de la persona titular de los datos.
Mejor conocido como el principio de “rendición de cuentas”, ya que establece la obligación de los responsables de velar por el cumplimiento del resto de los principios, adoptar las medidas necesarias para su aplicación, y demostrar ante las personas titulares y la autoridad, que cumple con sus obligaciones en torno a la protección de los datos personales. Bajo este principio, los responsables del tratamiento están obligados a velar por la protección de los datos personales aún y cuando los datos estén siendo tratados por encargados. Asimismo, este principio supone que el responsable tome las medidas suficientes para que los términos establecidos en el aviso de privacidad sean respetados por aquéllos con los que mantenga una relación jurídica.
Para cumplir con el principio de responsabilidad, el responsable puede hacer uso de:
- Estándares
- Mejores prácticas internacionales;
- Políticas corporativas;
- Esquemas de autorregulación;
Se debe tomar en cuenta que las medidas que adopte el responsable, además de garantizar el debido tratamiento, deben privilegiar los intereses de la persona titular y su expectativa razonable de privacidad.
Ahora bien, entre las medidas que el responsable puede adoptar para cumplir con el principio de responsabilidad se encuentran, al menos, las siguientes:
Por otra parte es obligación del responsable velar por el cumplimiento de los principios y responder por el tratamiento de los datos personales, aún por aquéllos comunicados a encargados; Adoptar medidas para garantizar el debido tratamiento, privilegiando los intereses de la persona titular y la expectativa razonable de privacidad, y tomar medidas para que los terceros con quienes mantiene una relación jurídica que implique el tratamiento de los datos personales, respeten el aviso de privacidad en el que se establezcan las condiciones de dicho tratamiento.
El responsable deberá de tratar sólo aquellos datos personales que resulten necesarios, adecuados y relevantes en relación con las finalidades para las cuales se obtuvieron. De igual forma, el responsable deberá realizar esfuerzos razonables para que los datos personales tratados sean los mínimos necesarios para lograr la finalidad o finalidades para las cuales se obtuvieron.
Respecto datos personales sensibles, además de lo anterior, el responsable debe realizar esfuerzos razonables para limitar el periodo de tratamiento al mínimo indispensable.
Es importante destacar que de conformidad con el artículo 9 de la LFPDPPP, no podrán crearse bases de datos que contengan datos personales sensibles, sin que se justifique la creación de estas para finalidades legítimas, concretas y acordes con las actividades del responsable. En ese sentido, sólo podrán crearse bases de datos personales sensibles cuando:
- Obedezca a un mandato legal;
- Se justifique para la seguridad nacional, el orden, la seguridad y la salud públicos, así como derechos de terceros, o
- El responsable lo requiere para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persiga.
Los responsables deberán:
- Tratar sólo aquellos datos personales que resulten necesarios, adecuados y relevantes en relación con las finalidades para las cuales se obtuvieron;
- Tratar el menor número posible de datos personales;
- Limitar al mínimo posible el periodo de tratamiento de datos personales sensibles, y
- Crear bases de datos con datos personales sensibles sólo cuando:
- obedezca a un mandato legal;
- se justifique para la seguridad nacional, el orden, la seguridad y la salud públicos, así como derechos de terceros, o el responsable lo requiera para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persiga.