Este documento explica la importancia del aviso de privacidad requerido por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares de México. Detalla los elementos que debe contener el aviso, como la identidad del responsable de los datos, el tipo de datos recabados y para qué fin se utilizarán. También describe las posibles sanciones por no cumplir con la ley, como multas de hasta $20,723,200 pesos mexicanos. El documento enfatiza la necesidad de cumplir con esta ley para evitar problemas con
AVISO DE PRIVACIDAD LEY FEDERAL DE PROTECCIÓN DE DATOS
1. “AVISO DE PRIVACIDAD”
LEY FEDERAL DE PROTECCIÓN DE DATOS
PERSONALES EN POSESIÓN
DE LOS PARTICULARES
EVITA PROBLEMAS
CON LA AUTORIDAD
Integroup, S.C. is a Mexican Society an
BOLETÍN INFORMATIVO
FEBRERO 2013
independ ent member of Genev a Group
International, a Swiss Association.
2. ¿Qué es el aviso de privacidad?
El aviso de privacidad consiste en un documento impreso, digital,
visual, sonoro o mediante cualquier otra tecnología, emitido por la
persona que recabe datos personales.
Dicho documento se debe poner a disposición del titular de los
datos y debe contener las siguientes declaraciones:
• Quién recaba (identidad, domicilio y datos de contacto de la
persona responsable),
• Qué recaba (información que se recaba),
• Para qué recaba (las finalidades del tratamiento),
• Cómo limitar el alcance (uso o divulgación),
• Cómo revocar consentimiento,
• Cómo ejercer derechos ARCO (medios),
• Cómo comunica cambios al aviso (procedimiento y medio),
• Si se acepta o no que los datos se comuniquen a terceros (transferencias),
• En su caso, si se recaban datos sensibles (En particular, se consideran sensibles aquellos que
puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro,
información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones
políticas, preferencia sexual).
CP. OSCAR DANIEL CASTAÑEDA FLORES
ASESORÍA EN RIESGOS DE NEGOCIO, CONTROL Y GOBIERNO CORPORATIVO
INTEGROUP, S.C.
3. ¿Quién debe emitir el aviso de privacidad?
En general toda la persona que haga uso de datos personales, ya sea que los obtenga de sus
empleados, clientes, proveedores, etc. y sin importar que, quién recabe los datos, sea persona
física, moral, contribuyente o no; ni el giro del negocio (aplica igual para comerciantes,
profesionistas, empresas, asociaciones, etc.)
¿Para qué sirve el aviso de privacidad?
Básicamente, el aviso de privacidad es emitido para que el titular tenga pleno conocimiento del
tratamiento y uso que se le darán a sus datos personales, mediante la manifestación expresa de la
persona que recaba dichos datos; y por otra parte, se cumple con el mandato establecido en la Ley
Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
CP. OSCAR DANIEL CASTAÑEDA FLORES
ASESORÍA EN RIESGOS DE NEGOCIO, CONTROL Y GOBIERNO CORPORATIVO
INTEGROUP, S.C.
4. ¿Qué tengo que hacer para cumplir con esta ley?
Seria magnifico que se diera cabal cumplimiento con la simple emisión de un aviso (ya que en la red
existen miles de ejemplos de las empresas que hacen públicos sus avisos), sin embargo, como todo lleva
su complicación. A continuación se relacionan algunos puntos a cumplir:
Fundamento Descripción Cumplimiento
Todo responsable deberá designar a una persona, o departamento de datos
Artículo 30
personales, quien dará trámite a las solicitudes de los titulares, para el ejercicio Asignar a un responsable
LFPDP
de los derechos a que se refiere la presente Ley.
I. Política de protección de datos personales y proceso: Incluir un mecanismo Diseñar un sistema de
de evaluación al cumplimiento de la política, incluir los sistemas utilizados y administración de riesgos,
medidas de seguridad para la protección de datos, evaluación de riesgos. control interno y auditoría
Artículo 48 II. Incluir el proceso de la información como parte del plan anual de auditoría, interna. La cual
RLFPDP incluyendo un reporte de las brechas o desvíos en los procesos implementados aparentemente da una
y elaborar plan de trabajo para la corrección de las desviaciones. referencia al desarrollo del
III. Establecer registro de las medidas para el aseguramiento de los datos modelo basado en COSO
personales. ERM.
I. Elaborar un inventario de datos personales y de los sistemas de tratamiento;
1. Inventario de datos
II. Determinar las funciones y obligaciones de las personas que traten datos recabados.
personales; 2. Perfil de puesto del
III. Contar con un análisis de riesgos de datos personales que consiste en responsable de los datos.
identificar peligros y estimar los riesgos a los datos personales; 3. Desarrollar un sistema de
IV. Establecer las medidas de seguridad aplicables a los datos personales e gestión de riesgos
identificar aquéllas implementadas de manera efectiva; corporativos (ERM).
V. Realizar el análisis de brecha que consiste en la diferencia de las medidas de 4. Desarrollar un sistema de
Artículo 61
seguridad existentes y aquéllas faltantes que resultan necesarias para la control interno basado en
RLFPDP
protección de los datos personales; riesgos.
VI. Elaborar un plan de trabajo para la implementación de las medidas de 5. Desarrollar un plan de
seguridad faltantes, derivadas del análisis de brecha; auditoría a controles y
VII. Llevar a cabo revisiones o auditorías; riesgos.
VIII. Capacitar al personal que efectúe el tratamiento, y 6. Evidencia de capacitación
IX. Realizar un registro de los medios de almacenamiento de los datos al personal.
personales. 7. Identificar los mecanismos
para almacenar los datos.
CP. OSCAR DANIEL CASTAÑEDA FLORES
ASESORÍA EN RIESGOS DE NEGOCIO, CONTROL Y GOBIERNO CORPORATIVO
INTEGROUP, S.C.
5. ¿Qué pasa si incumplo con la Ley?
Infracción Multa Equivalente en dinero
Omitir en el aviso de privacidad alguno o De $6,476 a $10,361,600
De 100 a 160,000 días
todos los elementos a que se refiere el
de SMVDF
artículo 16 de la Ley
Transferir datos a terceros sin comunicar a
De 200 a 320,000 días
éstos el aviso de privacidad que contiene
de SMVDF De $12,952 a $20,723,200
las limitaciones a que el titular sujetó la
divulgación de los mismos
Así que ya lo saben, sin duda alguna un tema que debemos atender para no incurrir en
incumplimientos y posibles multas.
6. Nos ponemos a sus órdenes para cualquier duda o comentario
relacionado con este boletín.
Oscar Daniel Castaneda Flores
ocastaneda@integroup.com.mx
INTEGROUP, S.C.
Av. José María Vigil #2735 piso 4
Colonia Lomas de Guevara, CP. 44657
Guadalajara, Jalisco, México
+52 33 3615 78 15
www.integroup.com.mx