Aviso de privacidad
Aviso de Privacidad y obligaciones de protección de datos personales.
Hacemos referencia a las obligaciones derivadas de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en lo sucesivo “LFPDP” o “Ley”), así como las acciones que deberán de implementarse por parte de la Empresa Materiales Textiles, S. A. de C. V., (referida simplemente como “MATEX”) para dar cumplimiento a la misma:
- Antecedentes –Información General
La LFPDP fue publicada el 5 de julio de 2010 en el Diario Oficial de la Federación y entró en vigor el 6 de julio del mismo año. No obstante, de conformidad con los artículos transitorios Tercero y Cuarto de la misma, algunas obligaciones específicas como la de dar a conocer el aviso de privacidad, entraron en vigor hasta un año después de su publicación, es decir, el 6 de julio de 2011.
A continuación resumimos el contenido de la Ley y ponemos a consideración una guía práctica sobre las obligaciones a cumplir por parte de entidades que tienen relación con el tratamiento de datos personales:
- Ámbito de aplicación. La Ley es aplicable a MATEX en virtud de tratarse de una empresa que en el día a día lleva a cabo tratamiento de datos personales[1].
- Definiciones importantes. Algunas de las definiciones importantes contenidas en la LFPDP son:
2.1 “Datos Personales”: cualquier información concerniente a una persona física identificada o inidentificable.
2.2 “Encargado”: persona física o moral que sola o conjuntamente con otra lleve a cabo el tratamiento datos personales por cuenta del Responsable
2.3 “Responsable”: persona física o moral de carácter privado que decide sobre el tratamiento de datos personales.
2.4 “Transferencia”: toda comunicación de datos personales realizada a persona distinta del responsable o encargado del tratamiento.
2.5 “Tratamiento”: la obtención, uso, divulgación o almacenamiento de datos personales por cualquier medio.
- Tipos de Datos Personales. Por su naturaleza y el tipo de consentimiento requerido para su tratamiento en cada caso, los datos personales se han catalogado en tres tipos,: (i) ordinarios (aun cuando este término no está expresamente definido en la LFPDP) se considera aquella información relacionada con una persona física que no se cataloga expresamente como sensible (según se define más adelante); (ii) sensibles, aquellos que se refieren a la esfera más íntima de su titular o cuya utilización indebida pueda dar origen a discriminación o que conlleve un riesgo grave para éste; y (iii) financieros: pese a que tampoco están expresamente definidos por la Ley, son aquellos para los que su tratamiento se deberá contar con el consentimiento expreso del titular.
- Consentimiento. El principio general de la LFDP es que el titular (empleados, proveedores o clientes –personas físicas-), tiene el derecho de decidir si quiere compartir o no su información, por lo que es indispensable contar con el consentimiento del titular para recabar almacenar o transferir datos personales.
El consentimiento puede ser “tácito” cuando el titular no rechaza el Aviso de Privacidad puesto a su disposición, lo que aplica a datos personales ordinarios. Los datos personales financieros requerirán consentimiento expreso, mientras que los catalogados como sensibles requerirán consentimiento expreso y por escrito.
No se requiere el consentimiento del titular cuando: (i) esté previsto en una ley; (ii) tengan el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable, dentro de las que se podrían encuadrar relaciones entre ___, como consultor y sus clientes; (iii) emergencias médicas (siempre y cuando sea absolutamente necesario y el titular no esté en condiciones de otorgar el consentimiento); (iv) los datos figuren en fuentes de acceso público; (v) los datos personales se sometan a un procedimiento de disociación; (vi) exista una resolución dictada por autoridad competente que elimine el requisito; y (vii) en una emergencia, cuando una persona o sus bienes estén en peligro potencial.
- Transferencia de Datos Personales. Los Datos Personales pueden ser transferidos a terceros en México o en el extranjero, siempre que dicha transferencia haya sido notificada en el aviso de privacidad y el cesionario los utilice para los fines señalados en el aviso.
No será necesario el consentimiento para transferir datos personales cuando:
5.1 Se transfiere a encargados (actúan a nombre y por cuenta del responsable, intermediarios);
5.2 La transferencia está prevista en ley;
5.3 Se requiere transferir los datos personales para tratamientos médicos;
5.4 Se transfiere a empresas filiales, subsidiarias o matrices;
5.5 La transferencia es necesaria en virtud de un contrato celebrado entre la entidad que lleva a cabo la transferencia y el titular o se requiere para mantener o cumplimentar un contrato entre el responsable y el Titular;
5.6 Si el motivo de la transferencia es de interés público o está relacionada con la administración de justicia, así como para defender o ejercer derechos en procedimientos judiciales.
- Derechos de acceso, rectificación y cancelación. Los Titulares tienen derecho a accesar, rectificar, cancelar u oponerse al tratamiento de sus datos personales.
- Medidas de seguridad. Las entidades responsables deberán adoptar las medidas y procedimientos de seguridad necesarios para proteger los datos personales de daño, perdida, alteración, destrucción, así como de su uso, acceso o tratamiento no autorizado.
- Sanciones. Las infracciones a la Ley pueden dar lugar a las siguientes sanciones: i) apercibimiento; ii) multa de 100 a 160,000 días de salario mínimo vigente en el DF en el caso de que la empresa no cumpla con el requisito de poner a disposición de los titulares el aviso de privacidad; iii) Multa de 200 a 320 días de salario mínimo general vigente en el D.F. cuando se incumpla con deberes de confidencialidad, se cambie la finalidad del tratamiento de los datos sin avisar, se transfiera a terceros sin consentimiento o se haga cualquier uso ilegítimo de los datos.
- Acciones a Implementar por el Departamento de Recursos Humanos de
Materiales Textiles, S. A. de C. V.
Las obligaciones inmediatas a cumplir[2] son las siguientes: i) La designación de una persona o departamento de datos personales para atender solicitudes de acceso, rectificación, cancelación y oposición de datos personales; y ii) La expedición de avisos de privacidad para informar a empleados, contratistas, clientes –personas físicas- y demás personas con quienes Matex tengan un trato regular, acerca de la finalidad del uso de sus datos y el nombre del responsable de su protección.
De conformidad con lo anterior, a continuación presentamos una propuesta de medidas a tomarse por parte de MATEX para dar cumplimiento a las disposiciones de la LFDP.
- Nombramiento de Departamento de Datos Personales.
Para evitar modificaciones al aviso de privacidad cada vez que cambia un funcionario, recomendamos que se designe un departamento de datos personales dentro de la estructura de MATEX en lugar de una persona determinada, y que pueda prestar servicios a todas las empresas y a los empleados de éstas, sin estar atenidos a una línea de mando, el cual puede formar parte del departamentos de Recursos Humanos.
Es importante tomar en cuenta que el departamento de datos personales (o la persona encargada) no necesariamente es quien debe manejar la base de datos o documentos en los que se contengan los datos personales. La LFPDP únicamente exige que dentro de sus funciones se encuentre la de “atender las solicitudes” de ejercicio de los derechos de acceso, rectificación, cancelación u oposición. En otras palabras, el departamento de datos personales deberá ser el contacto a quien se podrá acudir para recibir y responder a las solicitudes de información, dichas solicitudes debe de ser respondidas en un plazo máximo de 20 días hábiles, contados a partir de la fecha de recepción de la solicitud por parte del Titular.
A.1. Derecho de Acceso. Los empleados o demás titulares de derechos podrán solicitar a MATEX que les informe si en sus bases de datos cuenta con datos personales[3]. Las obligaciones del Departamento o contacto específico de datos personales, en este caso, se limitarán a i) Investigar en bases de datos internas si se cuenta con dicha información; y ii) Preparar y presentar la respuesta al titular de los datos.
A.2 Derecho de Rectificación. Los empleados o demás titulares de datos podrán solicitar que se corrijan sus datos, mediante la presentación de la solicitud correspondiente. Las obligaciones del departamento de datos personales serán recibir la solicitud y hacer las gestiones internas para la corrección o, en caso de no proceder por alguna razón, gestionar la contestación al titular.
A.3 Derecho de Cancelación. En caso de que algún titular de datos solicite la cancelación de sus datos, MATEX deberá dejar de llevar a cabo el tratamiento de los mismos y, eventualmente, bloquearlos. En este caso, la petición sólo es procedente cuando ya no es necesaria para las actividades de MATEX o para el cumplimiento de contratos celebrados entre MATEX y el titular.
A.4 Derecho de Oposición. Es la facultad de los titulares de datos personales para solicitar a MATEX el abstenerse de llevar a cabo el tratamiento de datos personales en determinadas situaciones, como por ejemplo para efectos publicitarios.
Es importante tomar en cuenta que aun cuando el nombramiento del Departamento de Datos Personales es una obligación vigente a esta fecha, los titulares únicamente podrán ejercer ante las empresas los derechos de acceso, rectificación, cancelación y oposición hasta los 18 meses contados a partir de la entrada en vigor de la Ley, es decir, hasta el mes de enero de 2012.
Departamento responsable del manejo de datos personales y en cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de Particulares, será el
Área Administrativa a cargo del Lic. Rafael Fuertes Segarra y la Lic. Gabriela Hernández López, dicha información personal será utilizada para proveer los servicios y productos que han sido solicitados a la empresa MATEX
[1] En términos generales, el término “Tratamiento” se refiere a cualquier operación que involucre datos personales, desde su obtención, transferencia, uso, generación de bases de datos con los mismos, divulgación, almacenamiento o cancelación.
[2] De conformidad con los artículos transitorios Tercero y Cuarto de la LFDP, estos requisitos se debieron de haber cumplido antes del 6 de julio de 2011; sin embargo los particulares sólo podrán exigir a las empresas los derechos de acceso, rectificación, cancelación y oposición hasta los 18 meses contados a partir de la entrada en vigor de la Ley, es decir, hasta el mes de enero de 2012.
[3] Existen requisitos para la entrega de la solicitud de datos por parte del titular: i) especificar nombre, domicilio y medio para recibir comunicaciones; ii) identificación (persona física) o poder del representante legal; iii) explicación de los datos personales a los que se quiere tener acceso; iv) elementos para facilitar la localización de datos personales.