10 PRINCIPALES ERRORES EN EL AVISO DE PRIVACIDAD.

Desde el momento en que el país le entró “al toro por los cuernos” en el tema de protección de datos personales, desde la publicación de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) el pasado 5 de julio de 2010, la primera obligación que se nos impuso a todos los particulares fue la de contar con un Aviso de Privacidad y con una persona o departamento de datos personales, para lo cual se nos otorgó el periodo de un año para cumplir con dichos requisitos; o lo que es lo mismo, a más tardar el pasado 6 de julio de 2011. Es quizás por ello que -aunado a las campañas las campañas publicitarias llevadas a cabo por el Instituto Federal de Acceso a la Información (IFAI) (en las que se solamente se refiere a la necesidad de contar con un Aviso de Privacidad para dar cumplimiento a la ley)- todo mundo considera que el Aviso de Privacidad se ha convertido en el documento único para el cumplimiento de la LFPDPPP; así como también, se ha generado la creencia de que es la bandera del cumplimiento a la Ley, lo cual no es así.

Si bien, el Aviso de Privacidad es el principal documento con el que debemos contar para hacer público nuestro cumplimiento con la LFPDPP a los titulares de los datos personales (Titulares), también lo es que desde la entrada en vigor de la Ley a la fecha existe una gran desinformación sobre, los requisitos de los Avisos de Privacidad, la información que deben contener los Aviso de Privacidad, su correcta redacción, sus usos y modalidades, esto debido a que dicha información ha sido poco difundida y en constante cambio a través de estos años; tan es así, que no es sino hasta el pasado 17 de enero de 2013, que la Secretaria de Economía publicó en el Diario Oficial de la Federación los Lineamientos Del Aviso de Privacidad, los cuales tienen como objeto establecer el contenido y alcance de los Avisos de Privacidad de acuerdo con la LFPDPPP y su reglamento.

Es por todo lo anterior, que no obstante que en la actualidad cada vez vemos a más responsables de datos personales (Responsables) contar con su Aviso de Privacidad, es igualmente común que dichos Avisos no cuenten con los requisitos esenciales de la LFPDPPP y su reglamento, los requisitos de los Lineamientos del Aviso de Privacidad, o que su uso y/o publicación no sean los correctos, omisiones por las cuales no obstante el ánimo de cumplimiento mostrados por los Responsables al contar con un Aviso de Privacidad, serian acreedores a una multa por parte del IFAI.

Ahora bien, los errores u omisiones comunes que se presentan en los Avisos de Privacidad:

1.- Avisos de Privacidad atendiendo el tipo de dato que recaba.- Si bien la gran parte de los Avisos de Privacidad que vemos en la práctica si mencionan cual es la información que se recabará del Titular, en su gran mayoría no se identifica y diferencia de manera adecuada los Datos Generales Sensibles de los Datos Personales Generales. así mismo, en gran parte de los casos en los que se recaban Datos Generales Sensibles no se cuenta con un mecanismo idóneo para la obtención del consentimiento del Titular para la obtención y uso de sus datos.

2.- Obtención del consentimiento del Titular de los Datos Personales Sensibles.-  Aunado al punto anterior, una omisión común se presenta en los casos de obtención y tratamiento de Datos Personales Sensibles en la cual en muchos de los casos no se cuenta con un medio idóneo para la obtención del consentimiento del Titular de los Datos Personales para el uso de sus datos.

3.- Transferencia de Datos Personales.-  Una omisión que comúnmente se presente en la práctica es aquella en la que no identificamos de manera plena aquellos procesos internos en los como Responsables llevamos a cabo la transferencia de Datos Personales y por ello no identificamos dichos casos en el Aviso de Privacidad respectivo; igualmente, en los casos en los que se cuenta con transferencia de datos es común que no se cuente con los mecanismos idóneos para la obtención del consentimiento por parte del Titular para la transferencia de sus Datos Personales. Por último, comúnmente se omite el mencionar dentro del Aviso de Privacidad  aquellos supuestos en los que como Responsables de los Datos Personales del Titular nos veremos obligados a llevar a cabo la transferencia de sus Datos Personales sin necesidad del su consentimiento, entiéndase por ello las los supuestos previstos por la LFPDPPP.

4.- Reconocimiento de los derechos de los Titulares.- Si bien en la práctica la mayoría de los Avisos de Privacidad establecen de manera clara el reconocimiento de los derechos del Titular al Acceso, Rectificación, Cancelación y Oposición (ARCO) de sus Datos Personales, pocos son los casos que el Aviso de Privacidad reconoce de manera clara el resto de los derechos que tienen los Titulares, como son el derecho a limitar el Uso y Divulgación de sus datos y la Revocación de su consentimiento. Así mismo, aun y cuando se hace el reconocimiento de los derechos que tienen los Titulares respecto de sus Datos Personales, frecuentemente se omite el establecer la información relativa a cuál es el procedimiento que tendrán que llevar a cabo a fin de poder hacerlos valer, tal y como es el domicilio al cual deberán llevar su solicitud, si existe algún formato y como obtenerlo, plazos, documentación necesaria, entre otros; esto, resulta aplicable tanto para los derechos ARCO como para los derechos de limitar el Uso y Divulgación y Revocación del consentimiento del Titular.

5.- Avisos de Privacidad publicados en páginas de internet.- Debido a la facilidad y utilidad que representa el contar con los Avisos de Privacidad publicados en la página de internet, esto ha resultado en una práctica común entre los Responsables. Es por ello que de acuerdo con la autoridad aquellos Responsables que lleven a cabo esta práctica están obligando a los Titulares a ingresar a sus páginas de internet y por ende recabando información a través de Cookies y Web Beacons; es por ello, que el Aviso de Privacidad deberá establecer los procedimientos para la eliminación de los Cookies y Web Beacons o en su caso  donde poder consultar dichos procedimientos.

6.- Modificaciones al Aviso de Privacidad.- El Aviso de Privacidad debe ser un reflejo actual de las características y finalidades del tratamiento de la información obtenida por el Responsable, por ello si dichas si la información que se recaba, las finalidades de la obtención de esa información, los mecanismos para el ejercicio de derechos ARCO, o las características del tratamiento de la información llegarán a cambiar, deberá ser modificado también el Aviso de Privacidad. Es por ello que cada Aviso de Privacidad debe establecer los mecanismos para informar o publicar aquellas modificaciones que se lleven a cabo al mismo.

7.- Modalidades del aviso de privacidad.- Los Lineamientos del Aviso de Privacidad emitidos por la Secretaria de Economía, contemplan que podrán existir diversas modalidad del Aviso de Privacidad; como por ejemplo el (i)Aviso Simplificado.- para espacios cortos y fines publicitarios y el (ii) Aviso Corto.- para espacios muy reducidos y para fines de publicidad; algunas de dichas modalidades y sus usos son ampliamente desconocidas y por ende poco utilizadas en la práctica y en muchos de sus casos cuando son utilizados omiten las características esenciales requeridas por la LFPDPPP.

8.- Características del Aviso de Privacidad.- La redacción y el contenido del Aviso de Privacidad es uno de los puntos más sensibles y en donde es más fácil  cometer errores, entre los errores más comunes en la redacción de avisos de privacidad encontramos los siguientes:

9.- Respaldo operativo al contenido del Aviso de Privacidad.- Como bien hemos mencionado es diversos artículos publicados por esta firma, el simple hecho de contar con un Aviso de Privacidad, no significa que contemos un debido cumplimiento a la LFPDPPP, esto se debe a que el contenido del Aviso de Privacidad debe de estar debidamente respaldado por mecanismos internos para el sustento y complimiento de lo manifestado en el Aviso de Privacidad; esto quiere decir, que si bien contamos con un Aviso de Privacidad, debemos de tener también un comité o encargado de datos personales debidamente constituido, procedimientos para la atención de los derechos de los Titulares, procedimientos de bloque y supresión de datos personales, medidas de seguridad administrativas, físicas y técnicas, entre otros elementos que garanticen el debido cumplimiento a lo manifestado a través del Aviso de Privacidad.

10.- Falta de conocimiento y capacitación.- Frecuentemente nos encontramos con casos en los cuales aún y cuando se cuenta con un Aviso de Privacidad debidamente redactado, el interior de la entidad Responsable no se cuenta con el conocimiento y la capacitación necesaria para atender cualquier asunto relacionado con los Datos Personales de los Titulares; lo cual puede llevar a serias omisiones como la falta de obtención de un consentimiento para el uso y tratamiento de Datos Personales Sensibles, o la admisión y atención a alguna solicitud de algún derecho del Titular, dichas omisiones pudieran ser consideradas como obtención indebida de información o negligencia por parte del Responsable resultando en cuantiosas multas.

En la actualidad el IFAI ha impuesto diversas multas errores y omisiones como las anteriores, tal y como son los siguientes casos, entre otros: