PROTECCIÓN DE DATOS PERSONALES

PROTECCIÓN DE DATOS PERSONALES

El artículo 12 de la Declaración Universal de Derechos Humanos estipula que “nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.”.

Por su parte, el artículo 19 (ídem) establece que “todo individuo tiene derecho a la libertad de opinión y de expresión; este derecho incluye (…) investigar y recibir informaciones y opiniones, y el de difundirlas, sin limitación de fronteras, por cualquier medio de expresión”. La libertad de expresión comprende la libertad de información, esto es el acceso a la información que está en manos de entidades públicas.

Estos derechos fundamentales están garantizados en México a través del artículo 6° de la Constitución Política de los Estados Unidos Mexicanos, en el que se señala que: “(…) El derecho a la información será garantizado por el Estado (…)”. Este ejercicio se rige por las fracciones II y III estipuladas en el mismo artículo: “II. La información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que fijen las leyes. III. Toda persona, sin necesidad de acreditar interés alguno o justificar su utilización, tendrá acceso gratuito a la información pública, a sus datos personales o a la rectificación de éstos.”.

Por este motivo se creó el INAI, para garantizar el derecho a la información y la privacidad de los datos personales en el país.

¿QUÉ ES EL INAI?

El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) es un órgano de carácter autónomo cuya misión es asegurar el acceso a la información pública y la protección de datos personales.

El INAI es la autoridad facultada para garantizar la protección de datos personales en el país, difundir este derecho, promover su ejercicio y supervisar el cumplimiento de las obligaciones de los organismos públicos y privados que conservan datos personales.

Para corroborar el acatamiento de las disposiciones, este órgano tiene el poder de realizar inspecciones a sistemas de bases de datos. Pese a los esfuerzos por garantizar la privacidad de los datos personales, los esfuerzos aún son insuficientes. Hasta 2017, México ocupaba el octavo lugar a nivel mundial por el robo de identidad.

¿QUÉ SON LOS DATOS PERSONALES?

Los datos personales son un conjunto de información referente a un individuo manifestada de forma escrita (numérica, alfabética y alfanumérica), gráfica, fotográfica, electrónica, acústica, etc., que permita identificarlo, hacerlo identificable y/o distinguirlo de otros individuos. Esta información le permite interactuar con otras personas, con una o más organizaciones y ser sujeto de derechos.

Los datos personales se clasifican en categorías según la finalidad:

  • Identificación
  • Laborales
  • Patrimoniales
  • Académicos
  • Datos personales sensibles:Ideológicos
    • Salud
    • Características personales
    • Características físicas

SON DATOS PERSONALES:

  • Nombre
  • Domicilio
  • Firma
  • Edad
  • Nacionalidad
  • Número telefónico personal
  • Número telefónico laboral
  • Puesto laboral
  • Fotografía
  • Audio de voz
  • Fecha de nacimiento
  • Acta de nacimiento
  • Acta de matrimonio
  • Acta de defunción
  • Correo electrónico
  • Sello digital
  • Currículum vitae
  • Dirección IP
  • Estado civil
  • Pasaporte
  • Cartilla militar
  • Cédula profesional
  • Credencial para votar
  • Licencia para conducir
  • Estado de cuenta
  • CLABE interbancaria
  • NIP’s
  • RFC
  • CURP
  • Número de Seguro Social
  • Hábitos de consumo
  • Trayectoria educativa
  • Título
  • Número de cédula
  • Certificado
  • Información fiscal
  • Historial crediticio
  • Cuentas bancarias
  • Comprobantes de ingresos y egresos
  • Etc.

¿QUÉ SON LOS DATOS PERSONALES SENSIBLES?

Si la información personal es delicada y su gestión requiere parámetros estrictos de confidencialidad, entonces se registra como dato personal sensible:  

  • Origen étnico
  • Origen racial
  • Estado de salud
  • Historial clínico
  • Información relacionada con cuestiones de carácter psicológico y/o psiquiátrico.
  • Tipo de sangre
  • ADN
  • Huella digital
  • Origen étnico
  • Origen racial
  • Estado de salud
  • Historial clínico
  • Información relacionada con cuestiones de carácter psicológico y/o psiquiátrico.
  • Tipo de sangre
  • ADN
  • Huella digital
  • Color de piel
  • Color de iris
  • Color de cabello
  • Señas particulares
  • Vida y hábitos sexuales
  • Radiografías
  • Afiliación política y/o sindical
  • Afiliación a OSC’s y ONG’s
  • Afiliación a asociaciones religiosas

El individuo es titular de sus datos personales y sensibles, él decide qué, cómo, cuándo y a quién los comparte. Es obligación del titular exigir la protección de sus datos personales y sensibles en el momento en el que los comparte con entidades públicas y privadas; y es obligación del INAI garantizar la gestión y protección de los datos en dichos entes.

La gestión y uso inadecuados de los datos personales pueden vulnerar la seguridad del individuo, su familia y sus propiedades, exponerlo a riesgos y hacerlo víctima de ilícitos como robo y/o usurpación de la identidad, secuestro, extorsión, pishing, robo, etc.

La gestión y uso inadecuados de los datos personales pueden vulnerar la seguridad del individuo, su familia y sus propiedades, exponerlo a riesgos y hacerlo víctima de ilícitos como robo y/o usurpación de la identidad, secuestro, extorsión, pishing, robo, etc.

 

EL ROBO DE IDENTIDAD EN NÚMEROS

  • 67% de los casos ocurren por pérdida de documentos
  • 63% por el robo de carteras y portafolios
  • 53% por información tomada directamente de una tarjeta bancaria

Por su parte, la mala administración y utilización de los datos personales sensibles pueden ocasionar violaciones a derechos humanos elementales, discriminación ilegal o arbitraria, acciones críticas que pongan en riesgo la vida del individuo y afectar su reputación.

Para garantizar la gestión y la privacidad, existen dos leyes de Protección de Datos Personales segmentadas por sector: la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (público); y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (privado).

En el ámbito público, la LGPDPPSO obliga a las instituciones y organismos de los tres poderes, autónomos, partidos políticos, fideicomisos y fondos públicos.

Mientras que la LFPDPPP obliga a las entidades privadas a implementar normativas para gestionar y proteger los datos personales de clientes, proveedores, socios y colaboradores.

Ambos marcos legales deben facilitar al individuo el acceso, rectificación, cancelación u oposición de sus datos, así como el bloqueo, supresión o destrucción de los mismos. A esto se le conoce como derechos ARCO.

¿QUÉ SON LOS DERECHOS ARCO?

Son el conjunto de acciones con las que el titular puede ejercer el control de sus datos personales y sensibles; estas son el acceso, rectificación, cancelación u oposición, de ahí su nombre, y que deben realizarse mediante una solicitud del interesado:

Acceso

Una empresa debe informar su tiene algún dato personal del titular en sus bases de datos.

Rectificación

El titular tiene derecho a que sus datos personales sean corregidos o actualizados en caso de ser incorrectos, imprecisos o incompletos.

Cancelación

Si el titular considera que sus datos ya no son necesarios para una empresa o institución, puede pedir que se bloqueen y supriman de las bases de datos.

Oposición

El titular está en su derecho de solicitar que la empresa o institución no utilice sus datos personales para ciertos fines, por ejemplo, publicitarios.

Mediante estos derechos, el titular puede exigir y conocer qué información tiene el responsable, cómo se garantiza el tratamiento adecuado de los datos y por cuánto tiempo. Las acciones de acceso, rectificación, cancelación u oposición (ARCO) de los datos deben estipularse en el aviso de privacidad de la empresa o institución, para cumplir el la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en lo sucesivo la Ley) y su Reglamento.

La solicitud del interesado debe contener la siguiente información:

  •         Nombre del titular
  •         Documentos que acrediten la identidad del titular
  •         Domicilio para recibir notificaciones
  •         Descripción del derecho que quiere ejercer el titular
  •         Descripción clara y precisa de la información que debe rectificarse, cancelarse o someterse a oposición
  •         Documentos o datos que faciliten la localización de la información que se someterá a derecho.

¿QUÉ ES UN AVISO DE PRIVACIDAD?

Es información en la que se comunica que el responsable gestiona los datos personales del titular, comparte las características con las que se lleva a cabo este tratamiento, así como los medios y procedimientos implementados para que el titular ejerza los derechos ARCO.

El principal objetivo del aviso es constituir y establecer las condiciones y términos de la gestión de la información y fortalecer la confianza del titular hacia la institución o empresa.

Toda empresa, persona o actividad, sin importar el giro, tamaño o tipo, que requiera datos personales está obligada a contar con un aviso de privacidad, emitirlo y ponerlo a la disposición de cualquier persona.    

El aviso de privacidad puede emitirse en formato impreso, electrónico, gráfico, sonoro u otro. Y debe estar visible ya sea en espacios amplios o reducidos, a través de tres modalidades: integral, simplificado y corto.

EJEMPLOS DE AVISO DE PRIVACIDAD

Aviso de privacidad integral

[Nombre completo del responsable si se trata de una persona física, o denominación o razón social en caso de ser una persona moral. En su caso, se sugiere incluir el nombre comercial], con domicilio en [indicar calle, número, colonia, ciudad, municipio o delegación, código postal y entidad federativa del domicilio para oír y recibir notificaciones], es el responsable del uso y protección de sus datos personales, y al respecto le informamos lo siguiente:

¿Para qué fines utilizaremos sus datos personales?

Los datos personales que recabamos de usted, los utilizaremos para las siguientes finalidades que son necesarias para el servicio que solicita:

  •         Finalidad principal A
  •         Finalidad principal B
  •         Finalidad principal C

De manera adicional, utilizaremos su información personal para las siguientes finalidades que no son necesarias para el servicio solicitado, pero que nos permiten y facilitan brindarle una mejor atención:

  •         Finalidad secundaria A
  •         Finalidad secundaria B

En caso de que no desee que sus datos personales sean tratados para estos fines adicionales, desde este momento usted nos puede comunicar lo anterior, [descripción del mecanismo que tenga implementado el responsable. Nota, el mecanismo de que se trate deberá permitir al titular negar su consentimiento previo a que sus datos personales sean tratados para estas finalidades].

La negativa para el uso de sus datos personales para estas finalidades no podrá ser un motivo para que le neguemos los servicios y productos que solicita o contrata con nosotros.

¿Qué datos personales utilizaremos para estos fines?

Para llevar a cabo las finalidades descritas en el presente aviso de privacidad, utilizaremos los siguientes datos personales: [listado de datos personales o sus categorías].

Además de los datos personales mencionados anteriormente, para las finalidades informadas en el presente aviso de privacidad utilizaremos los siguientes datos personales considerados como sensibles, que requieren de especial protección: [listado de datos personales sensibles o sus categorías].

¿Con quién compartimos su información personal y para qué fines?

Le informamos que sus datos personales son compartidos dentro y fuera del país con las siguientes personas, empresas, organizaciones y autoridades distintas a nosotros, para los siguientes fines:

Destinatario de los datos personales País(opcional) Finalidad
Nombre del tercero receptor o sector al que pertenece Descripción de la finalidad
Nombre del tercero receptor o sector al que pertenece Descripción de la finalidad*
Nombre del tercero receptor o sector al que pertenece Descripción de la finalidad*

Le informamos que para las transferencias indicadas con un asterisco (*) requerimos obtener su consentimiento. Si usted no manifiesta su negativa para dichas transferencias, entenderemos que nos lo ha otorgado [Esto sólo aplica para consentimiento tácito].

No autorizo que mis datos personales sean compartidos con los siguientes terceros [NOTA: este ejemplo de cláusula corresponde a un consentimiento tácito.]:

[Transferencia 1].

[Transferencia 2].

¿Cómo puede acceder, rectificar o cancelar sus datos personales, u oponerse a su uso?

Usted tiene derecho a conocer qué datos personales tenemos de usted, para qué los utilizamos y las condiciones del uso que les damos (Acceso). Asimismo, es su derecho solicitar la corrección de su información personal en caso de que esté desactualizada, sea inexacta o incompleta (Rectificación); que la eliminemos de nuestros registros o bases de datos cuando considere que la misma no está siendo utilizada conforme a los principios, deberes y obligaciones previstas en la normativa (Cancelación); así como oponerse al uso de sus datos personales para fines específicos (Oposición). Estos derechos se conocen como derechos ARCO.

Para el ejercicio de cualquiera de los derechos ARCO, usted deberá presentar la solicitud respectiva en [Describir los medios].

Para conocer el procedimiento y requisitos para el ejercicio de los derechos ARCO, usted podrá llamar al siguiente número telefónico […]; ingresar a nuestro sitio de Internet […] a la sección […], o bien ponerse en contacto con nuestro Departamento de Privacidad, que dará trámite a las solicitudes para el ejercicio de estos derechos, y atenderá cualquier duda que pudiera tener respecto al tratamiento de su información. Los datos de contacto del Departamento de Privacidad son los siguientes:

[Domicilio, teléfono, correo electrónico del departamento de datos o de la persona].

¿Cómo puede revocar su consentimiento para el uso de sus datos personales?

Usted puede revocar el consentimiento que, en su caso, nos haya otorgado para el tratamiento de sus datos personales. Sin embargo, es importante que tenga en cuenta que no en todos los casos podremos atender su solicitud o concluir el uso de forma inmediata, ya que es posible que por alguna obligación legal requiramos seguir tratando sus datos personales. Asimismo, usted deberá considerar que para ciertos fines, la revocación de su consentimiento implicará que no le podamos seguir prestando el servicio que nos solicitó, o la conclusión de su relación con nosotros.

Para revocar su consentimiento deberá presentar su solicitud en [Describir los medios].

Para conocer el procedimiento y requisitos para la revocación del consentimiento, usted podrá llamar al siguiente número telefónico […]; ingresar a nuestro sitio de Internet […] a la sección […], o bien ponerse en contacto con nuestro Departamento de Privacidad.

¿Cómo puede limitar el uso o divulgación de su información personal?

Con objeto de que usted pueda limitar el uso y divulgación de su información personal, le ofrecemos los siguientes medios:

  •         Su inscripción en el Registro Público para Evitar Publicidad, que está a cargo de la Procuraduría Federal del Consumidor, con la finalidad de que sus datos personales no sean utilizados para recibir publicidad o promociones de empresas de bienes o servicios. Para mayor información sobre este registro, usted puede consultar el portal de Internet de la PROFECO, o bien ponerse en contacto directo con ésta.
  •         Su registro en el listado de exclusión “[Nombre del listado]”, a fin de que sus datos personales no sean tratados para fines mercadotécnicos, publicitarios o de prospección comercial por nuestra parte. Para mayor información llamar al número telefónico […], enviar un correo electrónico a la siguiente dirección […], o bien, consultar nuestra página de Internet […].

El uso de tecnologías de rastreo en nuestro portal de Internet

Le informamos que en nuestra página de Internet utilizamos cookiesweb beacons y otras tecnologías a través de las cuales es posible monitorear su comportamiento como usuario de Internet, así como brindarle un mejor servicio y experiencia de usuario al navegar en nuestra página.

Los datos personales que obtenemos de estas tecnologías de rastreo son los siguientes: [descripción de datos personales], mismos que utilizamos para [descripción de finalidades].Asimismo, le informamos que compartiremos estos datos con:

Destinatario de los datos personales País(opcional) Finalidad
Nombre del tercero receptor o sector al que pertenece Descripción de la finalidad
Nombre del tercero receptor o sector al que pertenece Descripción de la finalidad
Nombre del tercero receptor o sector al que pertenece Descripción de la finalidad

Estas tecnologías podrán deshabilitarse siguiendo los siguientes pasos: [descripción del procedimiento].

Para mayor información sobre el uso de estas tecnologías, puede consultar el sitio de Internet […]

¿Cómo puede conocer los cambios a este aviso de privacidad?

El presente aviso de privacidad puede sufrir modificaciones, cambios o actualizaciones derivadas de nuevos requerimientos legales; de nuestras propias necesidades por los productos o servicios que ofrecemos; de nuestras prácticas de privacidad; de cambios en nuestro modelo de negocio, o por otras causas.

Nos comprometemos a mantenerlo informado sobre los cambios que pueda sufrir el presente aviso de privacidad, a través de [descripción del medio].

El procedimiento a través del cual se llevarán a cabo las notificaciones sobre cambios o actualizaciones al presente aviso de privacidad es el siguiente: [descripción del procedimiento].

Última actualización [día/mes/año].

Aviso de privacidad simplificado

[Nombre completo del responsable, si se trata de una persona física, o denominación o razón social en caso de ser una persona moral. Se sugiere, en su caso, incluir el nombre comercial], con domicilio en [indicar calle, número, colonia, ciudad, municipio o delegación, código postal y entidad federativa del domicilio para oír y recibir notificaciones], es el responsable del uso y protección de sus datos personales, y al respecto le informamos lo siguiente:

Los datos personales que recabamos de usted, los utilizaremos para las siguientes finalidades que son necesarias para el servicio que solicita:

  •         Finalidad principal A
  •         Finalidad principal B
  •         Finalidad principal C

De manera adicional, utilizaremos su información personal para las siguientes finalidades que no son necesarias para el servicio solicitado, pero que nos permiten y facilitan brindarle una mejor atención:

  •         Finalidad secundaria A
  •         Finalidad secundaria B

En caso de que no desee que sus datos personales sean tratados para estos fines adicionales, desde este momento usted nos puede comunicar lo anterior, [descripción del mecanismo que tenga implementado el responsable. IMPORTANTE, el mecanismo a que se hace referencia debe permitir al titular manifestar su negativa previamente al tratamiento de su información].

La negativa para el uso de sus datos personales para estas finalidades no podrá ser un motivo para que le neguemos los servicios y productos que solicita o contrata con nosotros.

Para conocer mayor información sobre los términos y condiciones en que serán tratados sus datos personales, como los terceros con quienes compartimos su información personal y la forma en que podrá ejercer sus derechos ARCO, puede consultar el aviso de privacidad integral en [describir medios].

Aviso de privacidad corto

[Nombre completo o razón o denominación social del responsable], con domicilio en [calle, número, colonia, delegación o municipio, ciudad, código postal y entidad federativa] utilizará sus datos personales recabados para [descripción de las finalidades]. Para mayor información acerca del tratamiento y de los derechos que puede hacer valer, usted puede acceder al aviso de privacidad integral a través de [descripción del medio].

Fuente: http://abcavisosprivacidad.ifai.org.mx

Mediante el aviso de privacidad, el responsable cumple el principio de información que establece la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.