Lineamientos del Aviso de Privacidad de la Secretaría de Economía

El pasado 17 de Enero del presente, la Secretaría de Economía publicó en el Diario Oficial de la Federación los Lineamientos del Aviso de Privacidad que tienen como objeto establecer el contenido y alcance de los avisos de privacidad de acuerdo con lo dispuesto en la LFPDPPP y su Reglamento. Los lineamientos constan de cinco capítulos con un total de cuarenta y un cláusulas y un anexo sobre buenas practicas que consiste en una serie de recomendaciones adicionales que puede contener el aviso de privacidad.

De acuerdo con la cláusula segunda, los lineamientos son de observancia obligatoria en toda la República Mexicana para las personas físicas o morales de carácter privado que traten datos personales en términos de la LFPDPPP y su Reglamento.

La cláusula tercera establece ocho definiciones que pretenden complementar las definiciones previstas en la LFPDPPP y su Reglamento, entre las más notables se encuentran «Cookies» y «Web beacons».

La cláusula décima establece que el aviso de privacidad debe ser un mecanismo de información eficiente y practico, deberá ser sencillo con información necesaria, expresado en español, con lenguaje claro y comprensible, y con una estructura y diseño, que facilite su entendimiento. Esta cláusula establece que el aviso de privacidad deberá:

I. No usar frase inexactas, ambiguas o vagas;

II. Tomar en cuenta para su redacción los perfiles de los titulares

III. No incluir textos o formatos que induzcan al titular a elegir una opción en especifico

IV. En caso de que se incluyan casillas para que el titular otorgue su consentimiento, no se deberán marcar previamente, y

V. No remitir a textos o documentos que no estén disponibles para el titular.

La cláusula décima primera establece los medios de difusión o reproducción del aviso de privacidad, entre los que se encuentran: formato físico, electrónico, óptico, sonoro, visual, o a través de cualquier otra tecnología que permita su eficaz comunicación. En todos los casos, el aviso de privacidad en cualquier de sus modalidades, deberá esta ubicado en un lugar visible y que facilite su consulta.

La cláusula décima quinta señala que el responsable deberá tomar las medidas necesarias y suficientes para garantizar que el aviso de privacidad dado a conocer al titular, sea respetado en todo momento por el o por terceros con los que guarde alguna relación jurídica, el responsable deberá comunicar el aviso de privacidad a los encargados y terceros a los que remita o transfiera datos personales, respectivamente.

De conformidad con la cláusula décima octava, el aviso de privacidad se podrá poner a disposición en tres diferentes modalidades:

(I) Aviso de Privacidad Integral;

(II) Aviso de Privacidad Simplificado;

(III) Aviso de Privacidad Corto.

La cláusula décima novena establece que el responsable podrá poner a disposición el aviso de privacidad en los siguientes casos:

I. Cuando los datos personales se obtengan personalmente del titular, el responsable deberá poner a su disposición el aviso de privacidad integral;

II. Cuando los datos personales se obtengan de manera directa o indirecta del titular, el responsable podrá poner a su disposición el aviso de privacidad integral o el simplificado, y

III. Cuando el espacio utilizado para la obtención de datos personales sea mínimo y limitado, de forma tal que los datos personales recabados o el especio para la difusión o reproducción del aviso de privacidad también los sean, se podrá utilizar la modalidad del aviso de privacidad corto.

El último párrafo de esta cláusula señala que el responsable podrá optar por cualquiera de las tres modalidades para la puesta a disposición de su aviso de privacidad, atendiendo las condiciones señaladas en el presente lineamiento con independencia de que estará obligado a contar con el aviso de privacidad integral.

La cláusula vigésima establece en doce incisos los elementos informativos que deberá contener el aviso de privacidad integral. Dichos elementos son los siguientes:

La identidad y domicilio del responsable que trata los datos personales;

II. Los datos personales que serán sometidos a tratamiento;

III. El señalamiento expreso de los datos personales sensibles que se tratarán;

IV. Las finalidades del tratamiento;

V. Los mecanismos para que el titular pueda manifestar su negativa para el tratamiento de sus datos personales para aquellas finalidades que no son necesarias, ni hayan dado origen a la relación jurídica con el responsable;

VI. Las transferencias de datos personales que, en su caso, se efectúen; el tercero receptor de los datos personales, y las finalidades de las mismas;

VII. La cláusula que indique si el titular acepta o no la transferencia, cuando así se requiera;

VIII. Los medios y el procedimiento para ejercer los derechos ARCO;

IX. Los mecanismos y procedimientos para que, en su caso, el titular pueda revocar su consentimiento al tratamiento de sus datos personales;

X. Las opciones y medios que el responsable ofrece al titular para limitar el uso o divulgación de los datos personales;

XI. La información sobre el uso de mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en su caso, y

XII. Los procedimientos y medios a través de los cuales el responsable comunicará a los titulares los cambios al aviso de privacidad.

La cláusula vigésima cuarta habla sobre la descripción de las finalidades del tratamiento de datos personales.

La cláusula vigésima quinta habla sobre el mecanismo para manifestar la negativa del tratamiento de los datos personales de los titulares.

La cláusula vigésima sexta establece los requisitos que el aviso de privacidad debe contener cuando el tratamiento involucra la transferencia nacional o internacional  de datos personales.  El aviso de privacidad debe contener la siguiente información:

I. Los terceros receptores o destinatarios de los datos personales, ya sea identificando cada uno de éstos por su nombre, denominación o razón social; o bien, indicando su tipo, categoría o sector de actividad, y

II. Las finalidades que justifican las transferencias de datos personales, las cuales deberán ser determinadas y distinguir entre aquéllas que requieren del consentimiento del titular para que se realicen, de las que se puedan llevar a cabo sin dicho consentimiento, de conformidad con lo que establece el artículo 37 de la Ley.

La cláusula vigésima octava establece el tipo de medios que debe incluir el responsable para atender las solicitudes de ejercicio de los derechos ARCO por parte de los titulares.

La cláusula vigésima novena establece el tipo de mecanismos y procedimientos que debe incluir el responsable para la revocar el consentimiento de los titulares.

La cláusula trigésima establece las opciones y medios para limitar el uso o divulgación de datos personales, distinto al ejercicio de los derechos ARCO o la revocación del consentimiento que el responsable deberá incluir en el aviso de privacidad, que podrán ser, entre otros:

I. La inscripción del titular en el Registro Público de Consumidores previsto en la Ley Federal de Protección al Consumidor y en el Registro Público de Usuarios conforme a la Ley de Protección y Defensa al Usuario de Servicios Financieros

II. El registro del titular en listados de exclusión propios del responsable, sectoriales o generales, de acuerdo con lo establecido en el artículo 110 del Reglamento de la Ley, señalando el nombre del listado, las finalidades para las cuales es aplicable la exclusión y, en su caso, el canal habilitado por el responsable para que el titular pueda obtener mayor información al respecto, o

III. La habilitación de medios por los cuales el titular pueda manifestar su negativa a seguir recibiendo comunicados o promociones por parte del responsable.

La cláusula trigésima primera establece la obligación del responsable de informar a los titulares sobre el uso de mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, así como la forma en que se podrán deshabilitar.

La cláusula trigésima tercera establece los casos y supuestos en los que se requiere de un nuevo aviso de privacidad. Dichos supuestos son los siguientes:

I. Cuando el responsable cambie su identidad;

II. Requiera recabar datos personales sensibles, patrimoniales o financieros adicionales a aquéllos informados en el aviso de privacidad original, cuando los mismos no se obtengan de manera personal o directa del titular y se requiera el consentimiento;

III. Cambie las finalidades que dieron origen o son necesarias para la relación jurídica entre el responsable y el titular; o bien, se incorporen nuevas que requieran del consentimiento del titular, o

IV. Modifique las condiciones de las transferencias o se vayan a realizar transferencias no previstas inicialmente, y el consentimiento del titular sea necesario.

La cláusula trigésima cuarta a trigésima séptima establecen los elementos informativos y mecanismos que debe contener el aviso de privacidad simplificado.

Las cláusulas trigésima octava a cuadragésima primera establecen los elementos informativos y mecanismos que debe contener el aviso de privacidad corto.

Por último, se incluye un anexo que forma parte integral de los lineamientos de privacidad sobre buenas practicas cuya observancia será opcional para los responsables, y podrán ser adoptadas por medio de los mecanismos de autorregulación a los que refiere la LFPDPPP y su Reglamento, así como en cumplimiento del principio de responsabilidad.

Es de destacarse la cláusula cuarta de dicho anexo que prevé que cuando el responsable trate datos personales de menores de edad o de personas que se encuentren en estado de interdicción o incapacidad establecida por ley, como buena práctica, el aviso de privacidad integral podrá informar sobre tal situación, señalando al menos lo siguiente:

I. Los mecanismos que tiene implementados para recabar el consentimiento de la persona que ejerce la patria potestad, o en su caso, del tutor o representante legal, de conformidad con las reglas de representación dispuestas en el Código Civil Federal, y

II. Las acciones, medidas y previsiones especiales que caractericen este tipo de tratamiento y que lleve a cabo el responsable, a fin de salvaguardar el derecho a la protección de datos personales de estos grupos de personas.

La cláusula sexta de dicho anexo que prevé como buena práctica que el aviso de privacidad integral pueda hacer del conocimiento del titular que sus datos serán tratados como parte de un proceso automatizado de toma de decisiones, sin que intervenga la valoración de una persona física, identificando el proceso respectivo.