AVISO DE PRIVACIDAD

 

La Constitución Política de los Estados Unidos Mexicanos, en su artículo 16 segundo párrafo indica que toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.

 

FUNDAMENTO LEGAL DEL AVISO DE PRIVACIDAD:

Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento.

 

OBJETO:

La protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

 

AUTORIDAD RESPONSABLE DE PROMOVER EL EJERCICIO DE LA LEY REGULADORA Y DE VIGILAR LA DEBIDA OBSERVANCIA DE LAS DISPOSICIONES PREVISTAS, INCLUIDO EL CUMPLIMIENTO DE OBLIGACIONES POR PARTE DE LOS SUJETOS REGULADOS.

El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales.

 

 

 

GLOSARIO

 

DATOS PERSONALES: Cualquier información concerniente a una persona física identificada o identificable.

  • Datos de identificación. Información concerniente a una persona física que permite diferenciarla de otras en una colectividad, tales como: nombre; estado civil; firma autógrafa y electrónica; Registro Federal de Contribuyentes (RFC); Clave Única de Registro de Población (CURP); número de cartilla militar; lugar y fecha de nacimiento; nacionalidad; fotografía; edad, entre otros.
  • Datos de contacto. Información que permite mantener o entrar en contacto con su titular, tal como: domicilio; correo electrónico; teléfono fijo; teléfono celular, entre otra.
  • Datos laborales. Información concerniente a una persona física relativa a su empleo, cargo o comisión; desempeño laboral y experiencia profesional, generada a partir de procesos de reclutamiento, selección, contratación, nombramiento, evaluación y capacitación, tales como: puesto, domicilio de trabajo, correo electrónico institucional, teléfono institucional; referencias laborales; fecha de ingreso y salida del empleo, entre otros.
  • Datos sobre características físicas. Información sobre una persona física relativa a su fisonomía, anatomía, rasgos o particularidades específicas, como: color de la piel, del iris o del cabello; señas particulares; estatura; peso; complexión; cicatrices, tipo de sangre, entre otras.
  • Datos académicos. Información concerniente a una persona física que describe su preparación, aptitudes, desarrollo y orientación profesional o técnica, avalada por instituciones educativas, como lo son: trayectoria educativa; títulos; cédula profesional; certificados; reconocimientos; entre otros.
  • Datos patrimoniales o financieros. Información concerniente a una persona física relativa a sus bienes, derechos, cargas u obligaciones susceptibles de valoración económica, como pueden ser: bienes muebles e inmuebles; información fiscal; historial crediticio; ingresos y egresos; cuentas bancarias; seguros; afores; fianzas, número de tarjeta de crédito, número de seguridad, entre otros.
  • Datos biométricos. Información sobre una persona física relativa a imagen del iris, huella dactilar, palma de la mano u otros análogos.
  •  Sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste; los que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual
    1. Datos ideológicos. Información sobre las posturas ideológicas, religiosas, filosóficas o morales de una persona.
    2. Datos sobre opiniones políticas. Opinión de una persona con relación a un hecho político o sobre su postura política en general.
    3. Datos sobre afiliación sindical. Pertenencia de una persona a un sindicato y la información que de ello derive.
    4. Datos de salud. Información concerniente a una persona física relacionada con la valoración, preservación, cuidado, mejoramiento y recuperación de su estado de salud físico o mental, presente, pasado o futuro, así como información genética.
    5. Datos sobre vida sexual. Información de una persona física relacionada con su comportamiento, preferencias, prácticas o hábitos sexuales, entre otros.
    6. Datos de origen étnico o racial. Información concerniente a una persona física relativa a su pertenencia a un pueblo, etnia o región que la distingue por sus condiciones e identidades sociales, culturales y económicas, así como por sus costumbres, tradiciones, creencias.

 

PARTICULARES: Personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, con excepción de: I. Las sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables, y II. Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.

 

TRATAMIENTO: engloba la obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.

 

DERECHO A LA AUTODETERMINACIÓN INFORMATIVA DE LAS PERSONAS: Prerrogativa que todo individuo tiene frente a cualquier ente público o privado, por la cual nadie debe introducirse, sin autorización expresa (de él mismo o por mandato de ley o judicial), en aquellos aspectos que no son públicos –sino de su vida personal, familiar, documentos, correspondencia y domicilio–, para conocerlos, conservarlos, procesarlos y/o transmitirlos, independientemente de que dicha acción le cause o no, algún daño o molestia.

 

RESPONSABLE: Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales.

 

TITULAR: La persona física a quien corresponden los datos personales.

 

 

El Aviso de Privacidad es el documento físico, electrónico o en cualquier otro formato (por ejemplo sonoro), a través del cual el RESPONSABLE informa al TITULAR sobre la existencia y características principales del tratamiento al que serán sometidos sus datos personales, la información que se recabará del él y con qué fines; de igual forma, se cumple el principio de información que establece la Ley y Reglamentos en la materia.

 

Permite al RESPONSABLE transparentar el tratamiento o uso que da a los datos personales que están en su posesión, así como los mecanismos que tiene habilitados para que el TITULAR ejerzan sus derechos con relación a su información personal, lo que, sin duda, fortalece el nivel de confianza del TITULAR con relación a la protección de sus datos personales.

 

 

MODALIDADES

 

Aviso de Privacidad Integral

¿Cuándo aplica? 

Cuando los datos se recaben personalmente del titular (presencia física).

El documento deberá contener: identidad y domicilio del responsable; finalidades del tratamiento de los datos; mecanismos para que el titular manifieste su negativa para el uso de datos en finalidades secundarias o accesorias; los datos personales tratados; señalar expresamente si se recaban datos sensibles; la transferencia de datos que en su caso se efectúen; cláusula que indique si el titular acepta o no la transferencia; medios y el procedimiento para ejercer los derechos ARCO; mecanismos y procedimientos para revocar la autorización; opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de sus datos personales; el uso de cookies, web beacons o cualquier otra tecnología similar o análoga; procedimientos y medios por los cuales el responsable comunicará a los titulares los cambios en el Aviso de Privacidad.

 

 

Aviso de Privacidad Simplificado

¿Cuándo aplica?

Cuando los datos personales se obtengan de manera directa del titular, por la vía no presencial, por ejemplo, a través de Internet o vía telefónica.

Identidad y domicilio del responsable; finalidades del tratamiento, distinguiendo las que dieron origen y son necesarias para la relación jurídica entre titular y responsable, de las que no lo son; los mecanismos para que el titular pueda manifestar previamente su negativa para el tratamiento de sus datos personales respecto de aquellas finalidades secundarias o accesorias; y los mecanismos para que el titular conozca el aviso de privacidad integral.

 

 

Aviso de Privacidad Corto

¿Cuándo aplica?

Cuando el espacio utilizado para la obtención de los datos personales sea mínimo y limitado, de forma que el espacio para la difusión o reproducción del aviso también lo sean (ejemplo: cupones o boletos para una rifa o sorteo; el cajero automático; mensaje SMS)

Deberá contener: la identidad y domicilio del responsable; finalidades del tratamiento, sin que sea necesario distinguir las finalidades secundarias o accesorias; y los mecanismos para que el titular conozca el aviso de privacidad integral.

 

 

 

Derechos de Titulares de Datos Personales

 

Derechos ARCO

 

Cualquier titular, o en su caso su representante legal, podrá ejercer los derechos de ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN previstos en la Ley aplicable. 

 

Derecho de Acceso: Los titulares tienen derecho a acceder a sus datos personales que obren en poder del responsable, así como conocer el Aviso de Privacidad al que está sujeto el tratamiento. 

 

Derecho de Rectificación: El titular de los datos tendrá derecho a rectificarlos cuando sean inexactos o incompletos. La solicitud de rectificación deberá indicar a qué datos personales se refiere, así como la corrección que haya de realizarse y deberá ir acompañada de la documentación que ampare la procedencia de lo solicitado. El responsable podrá ofrecer mecanismos que faciliten el ejercicio de este derecho en beneficio del titular.

 

Derecho de Cancelación: El titular tendrá en todo momento el derecho a cancelar sus datos personales. 

 

Derecho de Oposición: El titular tendrá derecho en todo momento y por causa legítima a oponerse al tratamiento de sus datos. De resultar procedente, el responsable no podrá tratar los datos relativos al titular. La cancelación de datos personales dará lugar a un periodo de bloqueo tras el cual se procederá a la supresión del dato. El responsable podrá conservarlos exclusivamente para efectos de las responsabilidades nacidas del tratamiento, salvo ciertas excepciones.

 

 

Los datos personales deben ser resguardados de tal manera que permitan el ejercicio sin dilación de estos derechos.

 

 

Procedimiento de Verificación 

 

El Instituto puede realizar procedimientos de verificación con el objeto de comprobar el cumplimiento de las disposiciones previstas en la Ley reguladora.

A través de este procedimiento se requiere al responsable la exhibición de documentación realizando las visitas en el establecimiento en donde se encuentren las bases de datos respectivas; dichos procedimientos podrán iniciarse de oficio o a petición de parte, por instrucción del Pleno del Instituto.

 

Cualquier persona podrá denunciar ante el Instituto las presuntas violaciones a las disposiciones previstas en la Ley y demás ordenamientos aplicables, siempre que no se ubiquen en los supuestos de procedencia del procedimiento de protección de derechos. En este caso, el Pleno determinará, de manera fundada y motivada, la procedencia de iniciar la verificación correspondiente.

 

Las visitas de verificación concluirán con el levantamiento del acta correspondiente, en la que quedará constancia de las actuaciones practicadas durante la visita o visitas de verificación. Dicha acta se levantará en presencia de dos testigos propuestos por la persona con quien se hubiera entendido la diligencia o por quien la practique si aquélla se hubiera negado a proponerlos.

 

El personal del Instituto está dotado de fe pública, que sirve para constatar la veracidad de los hechos en relación con los trámites a su cargo.

 

El procedimiento de verificación concluirá con la resolución que emita el Pleno del Instituto, en la cual, en su caso, se establecerán las medidas que deberá adoptar el responsable en el plazo que la misma establezca. La resolución del Pleno podrá instruir el inicio del procedimiento de imposición de sanciones. 

 

Infracciones

 

Las infracciones serán sancionadas por el Instituto con: 

  1. El apercibimiento para que el responsable lleve a cabo los actos solicitados por el titular, en los términos previstos por la Ley, tratándose del supuesto de que el titular solicitó el ejercicio de los Derechos ARCO;
  2. Multa de 100 a 160,000 días de salario mínimo vigente en la Ciudad de México, en los siguientes casos:
    1. Actuar con negligencia o dolo en la tramitación y respuesta de solicitudes de acceso, rectificación, cancelación u oposición de datos personales; 
    2. Declarar dolosamente la inexistencia de datos personales, cuando exista total o parcialmente en las bases de datos del responsable;
    3. Dar tratamiento a los datos personales en contravención a los principios establecidos en la Ley;  
    4. Omitir en el aviso de privacidad, alguno o todos los elementos requeridos por la Ley; 
    5. Mantener datos personales inexactos cuando resulte imputable al responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de los titulares; 
    6. No cumplir con algún apercibimiento hecho por el Instituto;
  3. Multa de 200 a 320,000 días de salario mínimo vigente en el Ciudad de México, en los casos siguientes:
    1. Incumplir el deber de confidencialidad, obligación que adquirió al intervenir en la fase de tratamiento de Datos Personales; 
    2. Cambiar sustancialmente la finalidad originaria del tratamiento de los datos, sin obtener nuevamente y de forma previa el consentimiento del titular; 
    3. Transferir datos a terceros sin comunicar a éstos el aviso de privacidad que contiene las limitaciones a que el titular sujetó la divulgación de los mismos; 
    4. Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable; 
    5. Llevar a cabo la transferencia o cesión de los datos personales, fuera de los casos en que esté permitida por la Ley; 
    6. Recabar o transferir datos personales sin el consentimiento expreso del titular, en los casos en que éste sea exigible;
    7. Obstruir los actos de verificación de la autoridad;
    8. Recabar datos en forma engañosa y fraudulenta; 
    9. Continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del mismo por el Instituto o los titulares;
    10. Tratar los datos personales de manera que se afecte o impida el ejercicio de los derechos de acceso, rectificación, cancelación y oposición;
    11. Crear bases de datos que contengan datos personales sensibles, sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el sujeto regulado. 
  4. En caso de que de manera reiterada persistan las infracciones citadas en los incisos anteriores, se impondrá una multa adicional que irá de 100 a 320,000 días de salario mínimo vigente en el Ciudad de México. Tratándose de infracciones cometidas en el tratamiento de datos sensibles, las sanciones podrán incrementarse hasta por dos veces, los montos establecidos.

 

Las sanciones que se señalan se impondrán sin perjuicio de la responsabilidad civil o penal que resulte.

 

 

De los Delitos en Materia del Tratamiento Indebido de Datos Personales

 

El incumplimiento en materia de Protección de Datos Personales podría derivar en imposición de penas privativas de la libertad, de acuerdo con lo siguiente:

  • Se impondrán de tres meses a tres años de prisión al que, estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia. 
  • Se sancionará con prisión de seis meses a cinco años al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos.
  • Tratándose de datos personales sensibles, las penas a que se refiere este Capítulo se duplicarán.