Los lineamientos delimitan el contenido y alcance del aviso de privacidad que, conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (“LFPDP”), se debe hacer llegar a los titulares de datos y que serán de observancia obligatoria a partir del 17 de abril de 2013.

1. México, marzo de 2013.
Lineamientos del Aviso de Privacidad
Privacy Notice Guidelines
Versión en Español: English Version:
El pasado 17 de enero de 2013, la Secretaría de On January 17,2013, the Ministry of Economy
Economía publicó en el Diario Oficial de la published in the Official Gazette of the Federation,
Federación los Lineamientos del Aviso de the Privacy Notice Guidelines ("Guidelines"),
Privacidad (“Lineamientos”). Los lineamientos defining the content and scope of the privacy notice
delimitan el contenido y alcance del aviso de that Responsible Parties must make available to data
privacidad que, conforme a la Ley Federal de owners pursuant to the Federal Law on Protection of
Protección de Datos Personales en Posesión de Personal Information in Possession of Private Parties
los Particulares (“LFPDP”), se debe hacer llegar a ("Data Protection Law"). The Guidelines will be
los titulares de datos y que serán de observancia effective from April 17, 2013.
obligatoria a partir del 17 de abril de 2013.
Pursuant to the Data Protection Law (Section 15 and
Conforme al artículo 15 y demás relacionados de related), individuals or legal entities that are
la LFPDP, las personas físicas o morales responsible for the treatment of personal data must
responsables del tratamiento de datos personales provide data owners with a privacy notice with
están obligados a informar a los titulares los fines enough information about the purposes sought in the
para los que se llevará a cabo el tratamiento treatment (collection, use, disclosure or storage) of
(obtención, uso, divulgación o almacenamiento) personal data. The Guidelines define the content
de sus datos personales, a través de un aviso de and scope of privacy notices when describing the
privacidad. Los Lineamientos delimitan el terms applicable to the treatment of personal data.
contenido y alcance del aviso de privacidad a Some important aspects of the Guidelines to bear in
efecto de dar a conocer las condiciones en las mind notices are:
que se llevará a cabo el tratamiento de datos
personales. 1. Formats and Language. A privacy notice
must be efficient and practical, therefore it must be
Algunos aspectos de los Lineamientos que se simple, clear, drafted in Spanish language and with a
deberán tomar en cuenta son: structure that eases its understanding. Privacy
notices must not include (i) inaccurate or ambiguous
1. Formato y Lenguaje. El aviso de phrases; (ii) language inducing data owners to select
privacidad deberá ser eficiente, práctico, sencillo, a specific option; and (iii) In case of containing check
claro, redactado en idioma español y con una boxes, these should not be pre-checked to induce
estructura que facilite su entendimiento. No authorization. Likewise, the text and wording
deberá incluir (i) frases inexactas o ambiguas o included in privacy notices must take into account the
vagas; (ii) textos que induzcan a elegir una opción profile of the data owners to whom it is addressed.
en específico; y (iii) en caso de contener casillas,
éstas no deberán de estar previamente marcadas. 2. Distribution. The privacy notice may be
De igual forma, la redacción del aviso de available to data owners through different formats:
privacidad deberá tomar en cuenta el perfil de los printed, electronic, optical, audio-visual or through
titulares de los datos personales a quienes va any other technology that allows its effective
dirigido. communication to data owners and their
acknowledgment.
2. Difusión. El aviso de privacidad puede
darse a conocer a través de formato físico, 3. Professionals. The following data shall not be
electrónico, óptico, sonoro, visual o mediante considered personal and, accordingly, it will not be
cualquier otra tecnología que permita su necessary to disclose a privacy notice to individuals
comunicación y conocimiento eficaz, por parte del acting as professionals (business-persons) or to
titular de los datos. individuals providing services to a corporation –legal
entity- and acting on behalf of such corporation: (i)
3. Personas Físicas con actividad name (first and last); (ii) position or main activities
Empresarial. No se considerarán datos performed; (iii) employment data, such as address, e-
personales y, por ende, no será necesario dar a mail, telephone and fax number.
conocer aviso de privacidad a personas físicas
cuando actúen como comerciantes o 4. Modalities. Privacy notices may be disclosed
profesionistas, a personas físicas con actividades in the following formats: (i) full (integral), (ii) simplified
empresariales o a personas físicas que estén or (iii) short. The use of different types will depend,

2. prestando sus servicios para una persona moral y for example, on whether the personal data will be
la estén representando. Estos datos personales collected directly from the owner or if the space to
son: (i) nombre y apellidos; (ii) funciones o include data is limited, in which case the full notice
puestos desempeñados; (iii) datos laborales como must be made available trough other sources. The
domicilio físico, correo electrónico, teléfono y requirements for each type of notice are:
número de fax.
4.1 Full privacy notice (Integral). To be used
4. Modalidades. El aviso de privacidad when the owner provides personal data personally.
puede ser integral, simplificado o corto; el uso de Must include at least:
las distintas modalidades dependerá de si la
obtención de datos personales se lleva a cabo (i) Identification and address of the
personalmente del titular, de manera directa, o si Responsible Party (natural person or
el espacio para obtener los datos es limitado, de private entity that exercises decision-
conformidad con los siguientes requisitos: making power over the treatment of
personal data);
4.1 Integral. A utilizarse cuando el titular da (ii) The personal data that will be treated;
conocer los datos personales personalmente. (iii) Specific mention about sensitive
Debe incluir, como mínimo personal data to be treated (if any);
(iv) Purposes sought in the treatment of
(i) Nombre y domicilio –completo- de personal data. In this case, it will be
del responsable; necessary to specify the purposes that
(ii) Los datos personales are not strictly essential to comply with
específicos que se tratarán; the relationship between data owners
(iii) En su caso, los datos personales and the responsible party, as well as
sensibles que se tratarán; purposes related to marketing or
(iv) Las finalidades del tratamiento de advertising. When drafting this section
datos de forma determinada, of the notice, it will be necessary to
especificando aquellas finalidades avoid general phrases like "among
que no son estrictamente necesarias others", "for similar or related purposes"
para la existencia y cumplimiento de or "for example".
la relación entre el responsable y el (v) Tools available to owners to refuse their
titular, así como las relacionadas con consent to treat personal data in
fines de mercadotecnia o publicidad. connection with “non-essential”
Al redactar esta sección, se deberán purposes;
evitar frases como “entre otras”, (vi) The transfer of data that will be
“fines análogos” o “por ejemplo”. performed, including the receptor’s
(v) Mecanismos para que el titular identity and the purpose of the transfer.
pueda manifestar su negativa para Transfer of data to agents (third parties
las finalidades no necesarias; who treat data on behalf of the
(vi) Transferencias de datos, incluyendo Responsible Party), since it will be
el receptor y finalidades que la considered a “relocation” of data;
justifiquen. No es necesario (vii) A specific clause so that the data owner
especificar transmisiones de datos a may state his/her refusal to treatment of
agentes o encargados, es decir, data for unnecessary purposes;
terceros que llevan a cabo el (viii) Options and means to exercise right of
tratamiento a nombre del access, rectification, cancellation or
Responsable, pues éstas se opposition;
consideran “remisiones” de datos; (ix) Means and procedure to revoke
(vii) Cláusula especifica para que el consent;
titular exprese si acepta o no las
(x) Options and means to limit the use or
transferencias de datos;
disclosure of data;
(viii) Medios y procedimientos para
ejercer derechos de acceso,
(xi) Information, if any, about the use of
rectificación, cancelación u technological features by which
oposición; personal data may be collected
(ix) Procedimientos y mecanismos para automatically, and
revocar consentimiento; (xii) The notification procedure in the event
(x) Opciones y medios para limitar el of any significant change on the privacy
uso o divulgación de datos; notice. A new privacy notice must be
(xi) Información, en su caso, sobre uso disclosed to data owners in case of
de medios tecnológicos que change on the Responsible Party’s
permitan recabar datos de forma identity or the terms of the data
automática, y transfers.
(xii) Procedimientos para que el
responsable comunique a los 4.2 Simplified. Can be used when personal data

3. titulares cambios en el aviso de are obtained directly or indirectly from the owner,
privacidad. En caso de que se either by electronic, optical, acoustic or visual means,
modifique la identidad del or any through any other type of technology. In this
responsable, recabar datos case, the privacy notice must include (i) identification
adicionales, modificar las finalidades and address of the Responsible Party, as well as (ii)
de tratamiento o las condiciones de purposes sought in the treatment of personal data,
transferencias de datos, será just as in the full notice. In addition, the simplified
necesario poner a disposición de los privacy notice must state tools and options available
titulares un nuevo aviso de to data owners to access or obtain the full notice (i.e.
privacidad. Internet).
4.2 Simplificado. Puede utilizarse cuando los 4.3 Short. Can be used when personal
datos personales se obtienen directamente o data is obtained through a printed format, provided
indirectamente del titular –pero no that the space available to collect data is limited or
personalmente-, por medios electrónicos, ópticos, insufficient. In this case, as in the simplified notice, it
sonoros, visual o a través de cualquier otra will be necessary to include: (i) identification and
tecnología. En este caso, el aviso de privacidad address of the Responsible Party, and (ii) purposes
deberá incluir el nombre y domicilio completo del sought in the treatment of personal data as well as
responsable, al igual que las finalidades para las the tools and options available to data owners to
que serán tratados los datos personales, en los obtain the full notice.
mismos términos que el aviso integral.
Adicionalmente, el aviso simplificado deberá ***
especificar los mecanismos por los que el titular
puede conocer el aviso de privacidad integral (por In conclusion, even when the specific obligation to
ejemplo, internet. provide data owners with a privacy notice informing
about the purposes of the treatment of data is in force
4.3 Corto. Puede utilizarse cuando los since July 2011, the Guidelines, which include
datos personales se obtengan por medios detailed specifications and requirements of the
impresos, si el espacio para la obtención de los privacy notice, will be in force from April 17, 2013.
datos sea mínimo y limitado. En ese caso será Privacy notices should be updated to include the
necesario que se incluya la misma información corresponding requirements.
que en los avisos simplificados: (i) nombre y
domicilio completo del responsable; (ii) las We trust this information proves useful. Should you
finalidades para las que serán tratados los datos have any additional comments or doubts regarding
personales, en los mismos términos que el aviso this matter, do not hesitate to contact us by any
integral y (iii) los mecanismos por los que el titular means.
puede conocer el aviso de privacidad integral.
(Internet).
En conclusión, aun cuando la obligación de los
Responsables de datos personales de dar a
conocer a los titulares los avisos de privacidad
está en vigor desde el 6 de julio de 2011, los
Lineamientos detallan los requisitos a cumplirse
en el documento específico, incluyendo varias
formalidades que deberán de adaptarse en los
avisos actuales antes del 17 de abril de 2013. Los
avisos de privacidad deberán actualizarse para
dar cumplimiento a los Lineamientos.
Contactos:
M. Jorge Yañez V. Gabriela Campos de Pablo
Federico de Noriega Olea
mjy@bstl.com.mx gcp@bstl.com.mx
fno@bstl.com.mx
Teléfono +52 (55) 5091-0000.
www.bstl.com.mx
La información proporcionada en la presente no sustituye una opinión legal específica. Esta publicación
tiene fines informativos. BSTL no asume ninguna responsabilidad jurídica de una decisión tomada sobre
la base de esta publicación.
The information provided cannot substitute a specific legal advice. This publication serves only for

4. informational purposes. BSTL takes no legal responsibility for a decision taken on basis of this
publication.