lineamientos del aviso de privacidad
DESCRIPTION
Los lineamientos delimitan el contenido y alcance del aviso de privacidad que, conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (“LFPDP”), se debe hacer llegar a los titulares de datos y que serán de observancia obligatoria a partir del 17 de abril de 2013.TRANSCRIPT
México, marzo de 2013.
Lineamientos del Aviso de Privacidad
Privacy Notice Guidelines
Versión en Español:
El pasado 17 de enero de 2013, la Secretaría de Economía publicó en el Diario Oficial de la Federación los Lineamientos del Aviso de Privacidad (“Lineamientos”). Los lineamientos delimitan el contenido y alcance del aviso de privacidad que, conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (“LFPDP”), se debe hacer llegar a los titulares de datos y que serán de observancia obligatoria a partir del 17 de abril de 2013.
Conforme al artículo 15 y demás relacionados de la LFPDP, las personas físicas o morales responsables del tratamiento de datos personales están obligados a informar a los titulares los fines para los que se llevará a cabo el tratamiento (obtención, uso, divulgación o almacenamiento) de sus datos personales, a través de un aviso de privacidad. Los Lineamientos delimitan el contenido y alcance del aviso de privacidad a efecto de dar a conocer las condiciones en las que se llevará a cabo el tratamiento de datos personales.
Algunos aspectos de los Lineamientos que se deberán tomar en cuenta son:
1. Formato y Lenguaje. El aviso de privacidad deberá ser eficiente, práctico, sencillo, claro, redactado en idioma español y con una estructura que facilite su entendimiento. No deberá incluir (i) frases inexactas o ambiguas o vagas; (ii) textos que induzcan a elegir una opción en específico; y (iii) en caso de contener casillas, éstas no deberán de estar previamente marcadas. De igual forma, la redacción del aviso de privacidad deberá tomar en cuenta el perfil de los titulares de los datos personales a quienes va dirigido.
2. Difusión. El aviso de privacidad puede darse a conocer a través de formato físico, electrónico, óptico, sonoro, visual o mediante cualquier otra tecnología que permita su comunicación y conocimiento eficaz, por parte del titular de los datos.
3. Personas Físicas con actividad Empresarial. No se considerarán datos personales y, por ende, no será necesario dar a conocer aviso de privacidad a personas físicas cuando actúen como comerciantes o profesionistas, a personas físicas con actividades empresariales o a personas físicas que estén
English Version:
On January 17,2013, the Ministry of Economy published in the Official Gazette of the Federation, the Privacy Notice Guidelines ("Guidelines"), defining the content and scope of the privacy notice that Responsible Parties must make available to data owners pursuant to the Federal Law on Protection of Personal Information in Possession of Private Parties ("Data Protection Law"). The Guidelines will be effective from April 17, 2013.
Pursuant to the Data Protection Law (Section 15 and related), individuals or legal entities that are responsible for the treatment of personal data must provide data owners with a privacy notice with enough information about the purposes sought in the treatment (collection, use, disclosure or storage) of personal data. The Guidelines define the content and scope of privacy notices when describing the terms applicable to the treatment of personal data. Some important aspects of the Guidelines to bear in mind notices are:
1. Formats and Language. A privacy notice must be efficient and practical, therefore it must be simple, clear, drafted in Spanish language and with a structure that eases its understanding. Privacy notices must not include (i) inaccurate or ambiguous phrases; (ii) language inducing data owners to select a specific option; and (iii) In case of containing check boxes, these should not be pre-checked to induce authorization. Likewise, the text and wording included in privacy notices must take into account the profile of the data owners to whom it is addressed.
2. Distribution. The privacy notice may be available to data owners through different formats: printed, electronic, optical, audio-visual or through any other technology that allows its effective communication to data owners and their acknowledgment.
3. Professionals. The following data shall not be considered personal and, accordingly, it will not be necessary to disclose a privacy notice to individuals acting as professionals (business-persons) or to individuals providing services to a corporation –legal entity- and acting on behalf of such corporation: (i) name (first and last); (ii) position or main activities performed; (iii) employment data, such as address, e-mail, telephone and fax number.
4. Modalities. Privacy notices may be disclosed in the following formats: (i) full (integral), (ii) simplified or (iii) short. The use of different types will depend,
prestando sus servicios para una persona moral y la estén representando. Estos datos personales son: (i) nombre y apellidos; (ii) funciones o puestos desempeñados; (iii) datos laborales como domicilio físico, correo electrónico, teléfono y número de fax.
4. Modalidades. El aviso de privacidad puede ser integral, simplificado o corto; el uso de las distintas modalidades dependerá de si la obtención de datos personales se lleva a cabo personalmente del titular, de manera directa, o si el espacio para obtener los datos es limitado, de conformidad con los siguientes requisitos:
4.1 Integral. A utilizarse cuando el titular da conocer los datos personales personalmente. Debe incluir, como mínimo
(i) Nombre y domicilio –completo- de del responsable;
(ii) Los datos personales específicos que se tratarán;
(iii) En su caso, los datos personales sensibles que se tratarán;
(iv) Las finalidades del tratamiento de datos de forma determinada, especificando aquellas finalidades que no son estrictamente necesarias para la existencia y cumplimiento de la relación entre el responsable y el titular, así como las relacionadas con fines de mercadotecnia o publicidad. Al redactar esta sección, se deberán evitar frases como “entre otras”, “fines análogos” o “por ejemplo”.
(v) Mecanismos para que el titular pueda manifestar su negativa para las finalidades no necesarias;
(vi) Transferencias de datos, incluyendo el receptor y finalidades que la justifiquen. No es necesario especificar transmisiones de datos a agentes o encargados, es decir, terceros que llevan a cabo el tratamiento a nombre del Responsable, pues éstas se consideran “remisiones” de datos;
(vii) Cláusula especifica para que el titular exprese si acepta o no las transferencias de datos;
(viii) Medios y procedimientos para ejercer derechos de acceso, rectificación, cancelación u oposición;
(ix) Procedimientos y mecanismos para revocar consentimiento;
(x) Opciones y medios para limitar el uso o divulgación de datos;
(xi) Información, en su caso, sobre uso de medios tecnológicos que permitan recabar datos de forma automática, y
(xii) Procedimientos para que el responsable comunique a los
for example, on whether the personal data will be collected directly from the owner or if the space to include data is limited, in which case the full notice must be made available trough other sources. The requirements for each type of notice are:
4.1 Full privacy notice ( Integral ) . To be used when the owner provides personal data personally. Must include at least:
(i) Identification and address of the Responsible Party (natural person or private entity that exercises decision-making power over the treatment of personal data);
(ii) The personal data that will be treated; (iii) Specific mention about sensitive
personal data to be treated (if any); (iv) Purposes sought in the treatment of
personal data. In this case, it will be necessary to specify the purposes that are not strictly essential to comply with the relationship between data owners and the responsible party, as well as purposes related to marketing or advertising. When drafting this section of the notice, it will be necessary to avoid general phrases like "among others", "for similar or related purposes" or "for example".
(v) Tools available to owners to refuse their consent to treat personal data in connection with “non-essential” purposes;
(vi) The transfer of data that will be performed, including the receptor’s identity and the purpose of the transfer. Transfer of data to agents (third parties who treat data on behalf of the Responsible Party), since it will be considered a “relocation” of data;
(vii) A specific clause so that the data owner may state his/her refusal to treatment of data for unnecessary purposes;
(viii) Options and means to exercise right of access, rectification, cancellation or opposition;
(ix) Means and procedure to revoke consent;
(x) Options and means to limit the use or disclosure of data;
(xi) Information, if any, about the use of technological features by which personal data may be collected automatically, and
(xii) The notification procedure in the event of any significant change on the privacy notice. A new privacy notice must be disclosed to data owners in case of change on the Responsible Party’s identity or the terms of the data transfers.
4.2 Simplified. Can be used when personal data are obtained directly or indirectly from the owner,
titulares cambios en el aviso de privacidad. En caso de que se modifique la identidad del responsable, recabar datos adicionales, modificar las finalidades de tratamiento o las condiciones de transferencias de datos, será necesario poner a disposición de los titulares un nuevo aviso de privacidad.
4.2 Simplificado. Puede utilizarse cuando los datos personales se obtienen directamente o indirectamente del titular –pero no personalmente-, por medios electrónicos, ópticos, sonoros, visual o a través de cualquier otra tecnología. En este caso, el aviso de privacidad deberá incluir el nombre y domicilio completo del responsable, al igual que las finalidades para las que serán tratados los datos personales, en los mismos términos que el aviso integral. Adicionalmente, el aviso simplificado deberá especificar los mecanismos por los que el titular puede conocer el aviso de privacidad integral (por ejemplo, internet.
4.3 Corto. Puede utilizarse cuando los datos personales se obtengan por medios impresos, si el espacio para la obtención de los datos sea mínimo y limitado. En ese caso será necesario que se incluya la misma información que en los avisos simplificados: (i) nombre y domicilio completo del responsable; (ii) las finalidades para las que serán tratados los datos personales, en los mismos términos que el aviso integral y (iii) los mecanismos por los que el titular puede conocer el aviso de privacidad integral. (Internet).
En conclusión, aun cuando la obligación de los Responsables de datos personales de dar a conocer a los titulares los avisos de privacidad está en vigor desde el 6 de julio de 2011, los Lineamientos detallan los requisitos a cumplirse en el documento específico, incluyendo varias formalidades que deberán de adaptarse en los avisos actuales antes del 17 de abril de 2013. Los avisos de privacidad deberán actualizarse para dar cumplimiento a los Lineamientos.
either by electronic, optical, acoustic or visual means, or any through any other type of technology. In this case, the privacy notice must include (i) identification and address of the Responsible Party, as well as (ii) purposes sought in the treatment of personal data, just as in the full notice. In addition, the simplified privacy notice must state tools and options available to data owners to access or obtain the full notice (i.e. Internet).
4.3 Short. Can be used when personal data is obtained through a printed format, provided that the space available to collect data is limited or insufficient. In this case, as in the simplified notice, it will be necessary to include: (i) identification and address of the Responsible Party, and (ii) purposes sought in the treatment of personal data as well as the tools and options available to data owners to obtain the full notice.
* * *
In conclusion, even when the specific obligation to provide data owners with a privacy notice informing about the purposes of the treatment of data is in force since July 2011, the Guidelines, which include detailed specifications and requirements of the privacy notice, will be in force from April 17, 2013. Privacy notices should be updated to include the corresponding requirements.
We trust this information proves useful. Should you have any additional comments or doubts regarding this matter, do not hesitate to contact us by any means.
Contactos:M. Jorge Yañez V. Gabriela Campos de Pablo Federico de Noriega [email protected] [email protected] [email protected]
Teléfono +52 (55) 5091-0000.www.bstl.com.mx
La información proporcionada en la presente no sustituye una opinión legal específica. Esta publicación tiene fines informativos. BSTL no asume ninguna responsabilidad jurídica de una decisión tomada sobre la base de esta publicación.
The information provided cannot substitute a specific legal advice. This publication serves only for
informational purposes. BSTL takes no legal responsibility for a decision taken on basis of this publication.