Datos Personales, Legislación en México

¿Aviso de Privacidad o Política de Privacidad? (México)

Abordar las diferencias entre un Aviso de Privacidad y una Política de Privacidad, requiere situarse en el contexto del marco regulatorio de referencia. Si bien pueden existir coincidencias en la definición, objetivos y en algunos elementos de estos documentos, también es posible que cada ordenamiento jurídico establezca particularidades, terminología y alcances diversos. A continuación, se presenta una breve exposición respecto a algunas de las diferencias entre un Aviso de Privacidad y una Política de Privacidad.

Aviso de Privacidad

En primer término, es pertinente referir que el Aviso de Privacidad está relacionado con el cumplimiento del “principio de información” en el tratamiento de los datos personales. Por referir el caso del Reglamento General de Protección de Datos de la Unión Europea (RGPD)[1], dicho ordenamiento requiere que los responsables del tratamiento (data controllers) proporcionen a las personas cierta información, por ejemplo, la identidad y los datos de contacto del responsable (y, en su caso, de su representante), los datos de contacto del delegado de protección de datos, los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento, los destinatarios o las categorías de destinatarios de los datos personales, entre otros.[2] En este sentido, un Aviso de Privacidad es una forma de proporcionar esta información a las personas interesadas, conocidas también como titulares de los datos personales. En algunas ocasiones, los Avisos de Privacidad son referidos como Fair Processing Notices.

Un Aviso de Privacidad es, por excelencia, una comunicación hacia el exterior de la organización, dirigida a los titulares de los datos personales. Si bien algunos ordenamientos de protección de datos personales no lo mencionan de manera explícita, es común que un Aviso de Privacidad sea elaborado con base en la Política de Privacidad o Protección de Datos Personales de la organización.

De esta manera, el Aviso de Privacidad es la fuente primaria de información para las personas a fin de evaluar el cumplimiento de los requisitos establecidos legalmente, generalmente de manera previa a que se ha iniciado el tratamiento o recabado los datos personales.

Con independencia de que investigaciones existentes sugieren que los Avisos de Privacidad tienen una utilidad limitada debido a que requieren una cantidad excesiva de tiempo para leerlos detenidamente (de manera similar a las Políticas de Privacidad), y a que no constituyen por sí mismos una herramienta que permita conferir a los titulares el control sobre su información personal, constituyen una obligación jurídica para los responsables del tratamiento, que tiene como objetivo permitir o favorecer que las personas puedan tomar decisiones informadas sobre el uso de sus datos personales.

En la legislación mexicana aplicable al sector privado, el Aviso de Privacidad se define en el artículo 3º, fracción I, de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares[3] (LFPDPPP) como el “documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales”.[4] Los elementos mínimos y necesarios para la elaboración de un Aviso de Privacidad (Integral) están previstos en el artículo 16 de la LFPDPPP y son los siguientes:

  • La identidad y domicilio del responsable que los recaba.
  • Las finalidades del tratamiento de datos.
  • Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos.
  • Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición.
  • En su caso, las transferencias de datos que se efectúen.
  • El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al Aviso de Privacidad.

En México, todo responsable del tratamiento, tanto del sector público como del sector privado, tiene la obligación de informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, a través de un Aviso de Privacidad.

Política de Privacidad o de Protección de Datos Personales

El término Política posee diferentes acepciones, dependiendo del contexto y el marco regulatorio aplicable. El National Institute of Standards and Technology (NIST) define el término “Política” (Policy) como “declaraciones, reglas o afirmaciones que especifican el comportamiento correcto o esperado de una entidad.” Por ejemplo, una política de autorización podría especificar las reglas de control de acceso correctas para un componente de software. También refiere que puede entenderse por este término a una “declaración de objetivos, reglas, prácticas o reglamentos que rigen las actividades de las personas dentro de un contexto determinado.” [5]

Asimismo, de conformidad con el NIST, el término “Política” puede referirse a “reglas de seguridad específicas para un sistema o incluso a las decisiones gerenciales específicas que dictan la política de privacidad de correo electrónico o la política de seguridad de acceso remoto de una organización”. A partir de las definiciones antes referidas, pueden desprenderse algunas de las características y elementos de cualquier Política:

  • Contiene objetivos, declaraciones, reglas, prácticas o afirmaciones.
  • La Política y sus elementos están destinados a delimitar, orientar o especificar el comportamiento esperado de una entidad y, en particular, las actividades de las personas que la integran, en un contexto determinado.
  • Están conformadas por decisiones gerenciales o dotadas de autoridad que tienen como finalidad última lograr objetivos específicos, considerados prioritarios o necesarios para la organización (por ejemplo, en materia de privacidad, protección de datos personales, seguridad de la información, entre otros).

Ahora bien, una “Política de Privacidad”, o bien, dependiendo del marco de referencia una “Política de Protección de Datos Personales”, puede definirse como una declaración o conjunto de declaraciones (incluyendo alguno o algunos de los elementos que se han referido con anterioridad), que explica en un lenguaje sencillo cómo una organización maneja la información personal que se encuentra en su posesión.

De esta manera, una Política de Privacidad determina los objetivos de privacidad y la dirección estratégica de la organización en la materia. Se trata de un mecanismo o instrumento de alto nivel que es la base de otros documentos, tales como estándares o directrices, que permitirán lograr objetivos estratégicos en temas de privacidad y protección de datos personales, por ejemplo, a través de la emisión de manuales, directivas u otros lineamientos internos que establecen la manera en que la organización recaba, usa, comparte, conserva o transfiere, entre otros, datos personales.[6]

A diferencia de un Aviso de Privacidad, una Política de Privacidad es un documento de carácter interno dirigido comúnmente a los empleados, usuarios o personal interno, y está pensada para especificar cómo los datos personales serán tratados, almacenados o transferidos, entre otros, para satisfacer las necesidades de la organización, cumpliendo con la legislación aplicable. En la adopción de una Política de Privacidad o Política de Protección de Datos Personales, es indispensable que cuente con el respaldo del nivel más alto de la organización.

Como se ha referido anteriormente, una Política de Privacidad puede tener un impacto significativo en la manera en que un Aviso de Privacidad es elaborado o presentado a los titulares. Lo anterior, teniendo en cuenta que la mayoría de las legislaciones sobre protección de datos establecen elementos o estándares mínimos, los cuales pueden ser ampliados para ofrecer mayores garantías a las personas titulares de datos personales. Los Avisos de Privacidad pueden retomar y desplegar información adicional contenida en la Política, sin que ello implique una identidad en cuanto a su contenido y funciones.

En el ámbito del RGPD, las políticas de protección de datos aparecen como mecanismos que el responsable debe implementar con el fin de garantizar el cumplimiento de los requisitos del Reglamento, y forman parte de las medidas técnicas y organizativas apropiadas, para poder demostrar la conformidad de la actuación del responsable, respecto al tratamiento de datos personales que se encuentran en su posesión, con el RGPD (Considerando 78).

En el caso de México, en la legislación aplicable al sector privado, las “Políticas” son referidas de manera general en el Reglamento de la LFPDPPP[7] (artículo 48, fracción I) como medidas o mecanismos “obligatorios y exigibles al interior de la organización del responsable” para cumplir con el principio de responsabilidad, que tiene como objeto garantizar y demostrar el debido cumplimiento de los principios y deberes en el tratamiento de los datos personales, a través del establecimiento de un sistema de supervisión y vigilancia interna, verificación o auditorías externas para comprobar su cumplimento.

[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD). Disponible en el vínculo electrónico: https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:32016R0679&from=EN

[2] Por ejemplo, véanse artículos 13 y 14 del RGPD. Disponible en: https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:32016R0679&from=EN

[3] Publicada en el Diario Oficial de la Federación el 5 de julio de 2010. Disponible en el vínculo electrónico: https://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf

[4] Para conocer más información acerca de los requisitos para la elaboración de un Aviso de Privacidad conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares puede consultarse “El ABC del Aviso de Privacidad”, publicado en la página del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales. Disponible en el vínculo electrónico siguiente: https://home.inai.org.mx/?page_id=3448

[5] Véase NIST Special Publication 800-12, An Introduction to Information Security (Revision 1), National Institute of Standards and Technology, Gaithersburg, Maryland, Juneg 2017, 101 pp. Disponible en: https://doi.org/10.6028/NIST.SP.800-12r1 y NIST Special Publication 800-95, Guide to Secure Web Services, National Institute of Standards and Technology, Gaithersburg, Maryland, August 2007, 128pp. Disponible en: https://doi.org/10.6028/NIST.SP.800-95  

[6] Russell, Densmore (2019), Privacy Program Management (Digital), Second Edition.

[7] Publicado en el Diario Oficial de la Federación el 21 de diciembre de 2011. Disponible en el vínculo electrónico: https://www.diputados.gob.mx/LeyesBiblio/regley/Reg_LFPDPPP.pdf