Contenido
Sección I. Preguntas frecuentes sobre el aviso de privacidad
1. ¿Qué es un aviso de privacidad?
2. ¿En qué casos es necesario contar con un aviso de privacidad y quién está obligado a emitirlo y ponerlo a disposición?
3. ¿Para qué sirve el aviso de privacidad?
4. ¿En qué momento se debe poner a disposición el aviso de privacidad?
5. ¿Qué implica la puesta a disposición del aviso de privacidad, está obligado el responsable a entregar una copia del mismo al titular?
6. ¿Se puede utilizar un único aviso de privacidad para distintas actividades?
7. ¿Cuáles son las modalidades del aviso de privacidad?
8. ¿Por qué medios se puede difundir el aviso de privacidad?
9. ¿Cuáles son las características generales que deberá cumplir el aviso de privacidad en cuanto a su diseño y presentación?
10. ¿Qué otras obligaciones tiene el responsable con relación al aviso de privacidad?
11. ¿Existen casos de excepción para la puesta a disposición del aviso de privacidad?
12. ¿Quién está obligado a demostrar el cumplimiento de la obligación del aviso de privacidad?
Sección II. Tome en cuenta lo siguiente antes de elaborar su aviso de privacidad
Sección III. El contenido del Aviso de Privacidad
1. La identidad y domicilio del responsable
2. Las finalidades del tratamiento
3. Los mecanismos para que el titular pueda manifestar su negativa para finalidades secundarias o accesorias
4. Los datos personales tratados
5. El señalamiento expreso de los datos personales sensibles que se traten
6. Las transferencias de datos personales que en su caso se efectúen
7. La cláusula que indique si el titular acepta o no la transferencia cuando así se requiera
8. Los medios y el procedimiento para ejercer los derechos ARCO
9. Los mecanismos y procedimientos para que, en su caso, el titular pueda revocar su consentimiento al tratamiento de sus datos personales
10. Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de sus datos personales
11. El uso de cookies, web beacons o cualquier otra tecnología similar o análoga
12. Los procedimientos y medios por los cuales el responsable comunicará a los titulares los cambios en el aviso de privacidad
Sección V. Modalidades del aviso de privacidad
Sección VI. Modelos de avisos de privacidad
Modelo A. Aviso de privacidad integral
Modelo B. Aviso de privacidad simplificado
Modelo C. Aviso de privacidad corto
Presentación
El presente documento tiene como finalidad orientar a los responsables del tratamiento de datos personales sobre la elaboración y puesta a disposición del aviso de privacidad, según lo que establecen los Lineamientos del aviso de privacidad (en lo sucesivo los Lineamientos), publicados en el Diario Oficial de la Federación el 17 de enero de 2013.
Esta guía da respuesta a preguntas básicas para una debida elaboración y puesta a disposición del aviso de privacidad, tales como: cuál es el objeto y las características principales del aviso de privacidad; quién está obligado a emitirlo; qué información debe contener; cuándo se debe poner a disposición y por qué medios y modalidades se puede difundir.
Con este documento el Instituto busca proporcionar a los responsables una herramienta que les facilite el cumplimiento de la obligación que les impone la ley de emitir y poner a disposición de los titulares el aviso de privacidad.
Sección I. Preguntas frecuentes
sobre el aviso de privacidad
1. ¿Qué es un aviso de privacidad?
Es un documento físico, electrónico o en cualquier otro formato (por ejemplo sonoro), a través del cual el responsable informa al titular sobre la existencia y características principales del tratamiento al que serán sometidos sus datos personales. A través del aviso de privacidad se cumple el principio de información que establece la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en lo sucesivo la Ley) y su Reglamento.
2. ¿En qué casos es necesario contar con un aviso de privacidad y quién está obligado a emitirlo y ponerlo a disposición?
IMPORTANTE
3. ¿Para qué sirve el aviso de privacidad?
El aviso de privacidad tiene como propósito principal establecer y delimitar el alcance, términos y condiciones del tratamiento de los datos personales, a fin de que el titular pueda tomar decisiones informadas con relación a sus datos personales y mantenga el control y disposición de la información que le corresponde.
Asimismo, el aviso de privacidad permite al responsable transparentar el tratamiento o uso que da a los datos personales que están en su posesión, así como los mecanismos que tiene habilitados para que los titulares ejerzan sus derechos con relación a su información personal, lo que, sin duda, fortalece el nivel de confianza del titular con relación a la protección de sus datos personales.
4. ¿En qué momento se debe poner a disposición el aviso de privacidad?
El momento en que el responsable debe poner a disposición de los titulares el aviso de privacidad depende de la forma en que se obtengan los datos personales, es decir, si éstos se recaban personal, directa o indirectamente del titular.
A partir de lo anterior, tenemos que el aviso de privacidad se pone a disposición en los siguientes momentos:
|
A) Previo a la obtención de los datos personales
|
|
| B) Al primer contacto con el titular |
|
| C) Previo al aprovechamiento de los datos personales |
|
5. ¿Qué implica la puesta a disposición del aviso de privacidad, está obligado el responsable a entregar una copia del mismo al titular?
La puesta a disposición del aviso de privacidad implica hacer del conocimiento del titular dicho documento. En ese sentido, el responsable no está obligado a entregar una copia del aviso de privacidad al titular, al menos que éste lo solicite a través del ejercicio de su derecho de acceso.
6. ¿Se puede utilizar un único aviso de privacidad para distintas actividades?
El número de avisos de privacidad que debe tener un mismo responsable depende de las características de los tratamientos que se lleven a cabo en las distintas actividades que realice el responsable.
No se recomienda que un mismo aviso de privacidad refiera a tratamientos en los que la información a incluir en el mismo sea distinta entre sí, es decir, en donde las finalidades, el tipo de datos tratados o las transferencias que se realicen no sean iguales, o no sea posible expresar con claridad la información que aplica o corresponde a cada caso.
Por ejemplo, se recomienda que el responsable tenga un aviso de privacidad para el tratamiento de datos personales que realiza respecto de sus empleados, y otros distintos para los tratamientos que lleve a cabo con la información de sus clientes.
7. ¿Cuáles son las modalidades del aviso de privacidad?
La Ley, su Reglamento y los Lineamientos reconocen y desarrollan tres modalidades del aviso de privacidad: integral, simplificado y corto, así como las reglas generales para la aplicación de las mismas. En la sección V se explican cada una de ellas.
8. ¿Por qué medios se puede difundir el aviso de privacidad?
|
|
|
|---|---|---|
|
|
9. ¿Cuáles son las características generales que deberá cumplir el aviso de privacidad en cuanto a su diseño y presentación?
Para que el aviso de privacidad sea un mecanismo de información eficaz y práctico, debe caracterizarse por tener un diseño y estructura sencillos, que faciliten su entendimiento, con la información necesaria, expresada en español, y con un lenguaje claro y comprensible. Esto implica lo siguiente:
- No usar frases inexactas, ambiguas o vagas, como ?entre otros?, ?como por ejemplo? o ?de manera enunciativa más no limitativa?.
- Redactar el aviso de privacidad en función del perfil de los titulares o público a quien va dirigido, por ejemplo, el lenguaje que se utilizaría en un aviso de privacidad dirigido a universitarios tendría que ser distinto a aquél que se emplearía en uno destinado a menores de edad.
- No incluir textos o frases que induzcan al titular, de manera engañosa o fraudulenta, a seleccionar una opción en específico, por ejemplo, ?Le recomendamos que nos autorice el uso de su información personal sin restricción alguna, para ser más eficientes en nuestro servicio?.
- No incluir casillas u otros mecanismos similares que estén marcados previamente, que obliguen a los titulares a desmarcarlos para modificar la condición ahí establecida.
- No remitir al titular a textos o documentos que no estén disponibles, por ejemplo, a hipervínculos deshabilitados o que no contengan la información señalada.
10. ¿Qué otras obligaciones tiene el responsable con relación al aviso de privacidad?
Toda comunicación de datos personales que el responsable realice con encargados o terceros a quienes transfiera datos personales, siempre debe ir acompañada del aviso de privacidad, con la finalidad de que conozcan las condiciones a las que el titular sujetó el tratamiento de su información.
11. ¿Existen casos de excepción para la puesta a disposición del aviso de privacidad?
El responsable no está obligado a dar a conocer el aviso de privacidad en los siguientes casos:
- Cuando obtenga los datos personales de forma indirecta y éstos se encuentren destinados a fines históricos, estadísticos o científicos.
- Cuando recabe información de personas morales, ya que en México el derecho a la protección de datos personales sólo aplica a personas físicas.
- Cuando obtenga datos personales de personas físicas en su calidad de comerciantes y profesionistas, por ejemplo, de un proveedor.
- Cuando obtiene datos con fines de representación de personas físicas que prestan sus servicios a otras personas físicas o morales, relativos al nombre completo, puesto desempeñado, domicilio físico, correo electrónico, teléfono y número de fax, por ejemplo, una tarjeta de presentación de un gerente de una empresa o de su representante legal.
12. ¿Quién está obligado a demostrar el cumplimiento de la obligación del aviso de privacidad?
Es importante tomar en cuenta que el responsable ante cualquier eventualidad, circunstancia, controversia con el titular o acto de autoridad del INAI, está obligado a demostrar o comprobar que ha puesto a disposición de los titulares el aviso de privacidad de acuerdo con lo previsto en la Ley, su Reglamento y los Lineamientos, a través de los medios que estime pertinentes y que demuestren de manera objetiva el cumplimiento de esta obligación, como por ejemplo, manuales de procedimientos, grabaciones telefónicas, fotografías, fe de hechos o firmas de los titulares, entre otros.
Sección II. Tome en cuenta lo siguiente antes de elaborar su aviso de privacidad
-
Conozca sus obligaciones y deberes. Se sugiere que antes de dar inicio de la elaboración del aviso de privacidad conozca la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, su Reglamento y los Lineamientos del Aviso de Privacidad, a fin de conocer, de manera general, los principios y deberes que regulan la protección de los datos personales, así como informarse sobre las obligaciones que establece la norma. Para ello, se recomiendan los cursos que están disponibles de manera gratuita en el campus virtual del INAI (Cevinai) en: http://cevifaiprivada.ifai.org.mx/swf/intro/cevifai_intro.swf
-
Identifique las actividades y/o procedimientos en los que utiliza datos personales.
-
Identifique cómo obtiene los datos personales. Es necesario identificar de dónde obtiene los datos personales que trata en cada actividad y/o procedimiento, es decir, si los obtiene de manera personal o directa del titular de los datos, o bien, de manera indirecta, como podría ser a través de una transferencia o fuente de acceso público. Asimismo, será importante que identifique los medios por los cuales obtiene los datos personales en cada actividad y/o procedimiento: formatos impresos, electrónicos, verbales o cualquier otra tecnología.
-
Identifique el flujo de los datos personales que trata. Es decir, los procesos de obtención, uso y eliminación de los datos en cada una de estas actividades y/o procedimientos.
- Identifique para qué fines utiliza los datos personales y qué tipo de datos trata. El tratamiento de datos personales en una actividad y/o procedimiento tiene por objeto lograr finalidades explícitas, es decir, el tratamiento se realiza para ciertos objetivos. El responsable deberá identificar estas finalidades. Resulta fundamental que recuerde que el tratamiento de los datos personales se limitará a las finalidades que se informen en el aviso de privacidad. Valore si los datos que trata son los estrictamente necesarios para alcanzar la finalidad que se persigue.
- Identifique las transferencias de datos personales que realice.Deberá identificar con claridad con qué fines transfiere los datos personales y a quién los comunica.
A continuación se proponen algunas preguntas que le podrían ayudar a identificar aspectos importantes en materia de transferencias:
- ¿A quién transfiero los datos personales?
- ¿Los destinatarios de las transferencias de datos se encuentran ubicados en el territorio nacional o fuera de éste?
- ¿Cuál es el propósito o finalidades de las transferencias realizadas?
- ¿Se tienen identificados los datos personales necesarios par
- a cumplir con el propósito de las transferencias?
- ¿Cómo se recaba o recabará el consentimiento del titular, en caso de requerirse, es decir, qué mecanismos, medios u opciones se han dispuesto para ello?
- Identifique el perfil de los titulares de los datos personales. Es importante que reconozca el perfil de los titulares de los datos personales que trata, con objeto de:
- En su caso, determinar previsiones particulares para menores de edad, personas en estado de interdicción o incapacidad;
- Definir el medio de difusión del aviso de privacidad que resulte pertinente, y
- Buscar la redacción adecuada del aviso de privacidad según la edad, nivel escolar, profesión, intereses, entre otros, del público objetivo.
-
Identifique los mecanismos que ofrece para que los titulares decidan sobre sus datos personales. Se recomienda identificar los procedimientos que ya tiene implementados para atender las solicitudes de sus clientes o titulares de los datos personales respecto de su información personal, con objeto de determinar la posibilidad de continuar con dichos procedimientos o adaptarlos para que cumplan con las obligaciones que establece la Ley. O bien, deberá diseñar nuevos procedimientos para cumplir con la misma.
-
Piense en información adicional que hable sobre sus prácticas de privacidad. Considere si es importante incluir en el aviso de privacidad información adicional que permita al titular conocer otras prácticas relevantes que tiene implementadas para la protección de la privacidad y datos personales de los titulares.
- Redacte su aviso de privacidad. Se sugiere elaborar primero el aviso de privacidad integral, ya que de la información ahí contenida se podrá redactar el aviso de privacidad simplificado y/o corto.
Sección III. El contenido del Aviso de Privacidad
La presente sección enlista la información que debe contener el aviso de privacidad y explica y da ejemplos de cómo comunicarla. Asimismo, el siguiente cuadro deja un espacio para que el responsable haga el ejercicio de redactar los contenidos de información de su aviso de privacidad, según lo descrito en las otras columnas:
Elemento informativo |
Contenido a informar | Ejemplos de redacción | Ejercicio
|
|||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| (1) La identidad y domicilio del responsable |
Nombre completo, si es una persona física, o bien, la razón o denominación social con la que se encuentra constituida la persona moral. Domicilio, el que ha designado el responsable para oír y recibir notificaciones. Los datos a incluir son los siguientes: calle; número exterior y, en su caso, interior; colonia; ciudad; municipio o delegación; entidad federativa, y código postal. Nota |
Ejemplo para persona física Ejemplo para persona moral |
|
|
||||||||||||||||||
| (2)
Las finalidades del tratamiento
|
La identificación de las finalidades responde a la pregunta: ¿para qué serán tratados los datos personales? Estas finalidades se traducen en los usos específicos que se le dará a la información personal. Para cumplir con este contenido de información, se deberá:
Nota |
¿Para qué fines utilizaremos sus datos personales? De manera adicional, utilizaremos su información personal para las siguientes finalidades que no son necesarias para el servicio solicitado, pero que nos permiten y facilitan brindarle una mejor atención:
|
|
|
||||||||||||||||||
| (3) Los mecanismos para que el titular pueda manifestar su negativa para finalidades secundarias o accesorias
|
Los titulares tienen derecho a no otorgar su consentimiento para el tratamiento de sus datos personales para finalidades secundarias o accesorias. En ese sentido, el responsable debe informar en el aviso de privacidad el mecanismo que tiene habilitado para que el titular, si así lo desea, pueda manifestar su negativa al tratamiento de sus datos personales para todas o algunas de las finalidades secundarias o accesorias. Este mecanismo debe estar a disposición del titular previo a que su información personal sea tratada para dichos fines. Ejemplo. Ahora bien, cuando el aviso de privacidad no se haga del conocimiento del titular de manera personal o directa, como por ejemplo en su envío por correo postal, el aviso de privacidad debe contener una declaración indicando que el titular tiene un plazo de 5 días hábiles para que, de ser el caso, manifieste su negativa para el tratamiento o aprovechamiento de sus datos personales para las finalidades secundarias.
|
Ejemplo de cómo redactar este contenido de información cuando el mecanismo para manifestar la negativa NO sea el propio aviso de privacidad y éste se dé a conocer de manera personal al titular por un medio impreso: ¿Para qué fines utilizaremos sus datos personales?
De manera adicional, utilizaremos su información personal para las siguientes finalidades que no son necesarias para el servicio solicitado, pero que nos permiten y facilitan brindarle una mejor atención:
En caso de que no desee que sus datos personales sean tratados para estos fines adicionales, usted puede presentar desde este momento un escrito en esta sucursal, manifestando lo anterior. Solicite el formato correspondiente a su ejecutivo. La negativa para el uso de sus datos personales para estas finalidades no podrá ser un motivo para que le neguemos los servicios y productos que solicita o contrata con nosotros. Ejemplo de cómo redactar este contenido de información cuando el mecanismo para manifestar la negativa NO sea el propio aviso de privacidad y éste se dé a conocer al titular a través de Internet: ¿Para qué fines utilizaremos sus datos personales? La negativa para el uso de sus datos personales para estas finalidades no podrá ser un motivo para que le neguemos los servicios y productos que solicita o contrata con nosotros. Ejemplo de cómo redactar este contenido de información cuando el mecanismo para manifestar la negativa NO sea el propio aviso de privacidad y éste se dé a conocer al titular vía telefónica: ¿Para qué fines utilizaremos sus datos personales? La negativa para el uso de sus datos personales para estas finalidades no podrá ser un motivo para que le neguemos los servicios y productos que solicita o contrata con nosotros. Ejemplo de cómo redactar este contenido de información cuando el mecanismo para manifestar la negativa sea el propio aviso de privacidad: ¿Para qué fines utilizaremos sus datos personales? No consiento que mis datos personales se utilicen para los siguientes fines: Finalidad secundaria A La negativa para el uso de sus datos personales para estas finalidades no podrá ser un motivo para que le neguemos los servicios y productos que solicita o contrata con nosotros. |
|
|
||||||||||||||||||
| (4) Los datos personales tratados |
El listado de datos personales debe estar completo, y puede presentarse en cualquiera de las siguientes dos modalidades:
Nota |
Un ejemplo de cómo se podría redactar este contenido de información es el siguiente: ¿Qué datos personales recabamos y utilizamos sobre usted? Ejemplo en el que se señalan las categorías a la que pertenecen los datos personales tratados: ¿Qué datos personales recabamos y utilizamos sobre usted? |
|
|
||||||||||||||||||
| (5)
El señalamiento expreso de los datos personales sensibles que se traten
|
En el aviso de privacidad se debe declarar expresamente los datos personales sensibles que se tratan, lo cual puede cumplirse a través de dos modalidades:
Nota |
¿Qué datos personales sensibles utilizaremos?
|
|
|
||||||||||||||||||
| (6)
Las transferencias de datos personales que en su caso se efectúen
|
Sobre las transferencias, el aviso de privacidad debe informar lo siguiente:
|
Ejemplo de cómo se puede redactar este contenido de información bajo el supuesto de que el responsable realiza transferencias nacionales e internacionales que requieren el consentimiento del titular: ¿Con quién compartimos su información y para qué fines?
|
|
|
||||||||||||||||||
| (7)
La cláusula que indique si el titular acepta o no la transferencia cuando así se requiera
|
Cuando se vayan a realizar transferencias de datos personales que requieran el consentimiento del titular, deberá incluir una cláusula que permita al titular indicar si acepta o no la transferencia de su información personal. En su redacción, deberá tomar en cuenta el tipo de datos que va a transferir (patrimoniales, financieros, sensibles, u otro tipo), para que obtenga el consentimiento según corresponda: expreso, expreso y por escrito o tácito. Nota
|
Ejemplo de cláusula para consentimiento tácito: ¿Con quién compartimos su información y para qué fines? No autorizo que mis datos personales sean compartidos con los siguientes terceros: Ejemplo de cláusula para consentimiento expreso: ¿Con quién compartimos su información y para qué fines? Otorgo mi consentimiento para las siguientes transferencias de mis datos personales: Ejemplo de cláusula para consentimiento expreso y por escrito: ¿Con quién compartimos su información y para qué fines? Otorgo mi consentimiento para las siguientes transferencias de mis datos personales: Nombre y firma del titular: ______________________________ |
|
|
||||||||||||||||||
| (8) Los medios y el procedimiento para ejercer los derechos ARCO |
El aviso de privacidad debe informar los medios y procedimientos que el responsable ha implementado para que los titulares ejerzan los derechos ARCO. Al respecto, se debe señalar:
La obligación de informar sobre el procedimiento habilitado para el ejercicio de los derechos ARCO y sus requisitos, se puede cumplir de dos formas:
Nota |
Ejemplo del modelo de redacción que pudiera ser utilizado por el responsable cuando opte por describir puntualmente en el aviso de privacidad el procedimiento habilitado para la atención de solicitudes de derechos ARCO: ¿Cómo puede acceder, rectificar o cancelar sus datos personales, u oponerse a su uso? Para el ejercicio de cualquiera de los derechos ARCO, usted deberá presentar la solicitud respectiva en [Describir los medios]. El procedimiento y requisitos para el ejercicio de estos derechos es el siguiente: Los datos de contacto de la persona o departamento que dará trámite a las solicitudes para el ejercicio de los derechos ARCO, así como atender cualquier duda que pudiera tener respecto al tratamiento de su información son los siguientes: Departamento de Privacidad, con domicilio en [...], correo electrónico [...] y número telefónico [...]. Un modelo de redacción cuando el responsable decida no incluir la descripción del procedimiento, pero proporcione información sobre los medios disponibles para que el titular lo conozca: ¿Cómo puede acceder, rectificar o cancelar sus datos personales, u oponerse a su uso? Para el ejercicio de cualquiera de los derechos ARCO, usted deberá presentar la solicitud respectiva en [Describir los medios]. Para conocer el procedimiento y requisitos para el ejercicio de los derechos ARCO, usted podrá llamar al siguiente número telefónico [...]; ingresar a nuestro sitio de Internet [...] a la sección [...], o bien ponerse en contacto con nuestro Departamento de Privacidad, que dará trámite a las solicitudes para el ejercicio de estos derechos, y atenderá cualquier duda que pudiera tener respecto al tratamiento de su información. Los datos de contacto son los siguientes: |
|
|
||||||||||||||||||
| (9)
Los mecanismos y procedimientos para que, en su caso, el titular pueda revocar su consentimiento al tratamiento de sus datos personales
|
El aviso de privacidad debe describir los mecanismos y procedimientos que ha implementado para ello. En ese sentido, debe contener la siguiente información:
La obligación de informar sobre el procedimiento habilitado y sus requisitos, se puede cumplir de dos formas:
Nota
|
Ejemplo del modelo de redacción que pudiera ser utilizado por el responsable cuando opta por describir puntualmente en el aviso de privacidad el procedimiento que ha instrumentado para la atención y gestión de las solicitudes de revocación del consentimiento: ¿Cómo puede revocar su consentimiento para el uso de sus datos personales? Para revocar su consentimiento deberá presentar su solicitud en [Describir los medios]. El procedimiento y requisitos para la revocación del consentimiento es el siguiente: Un modelo de redacción del presente elemento informativo cuando el responsable decida no incluir la descripción del procedimiento para la revocación del consentimiento, pero en cambio proporcione información sobre los medios disponibles para que el titular conozca dicho procedimiento, es el siguiente: ¿Cómo puede revocar su consentimiento para el uso de sus datos personales? Para revocar su consentimiento deberá presentar su solicitud en [Describir los medios]. Para conocer el procedimiento y requisitos para la revocación del consentimiento, usted podrá llamar al siguiente número telefónico [...]; ingresar a nuestro sitio de Internet [...] a la sección [...], o bien ponerse en contacto con nuestro Departamento de Privacidad. |
|
|
||||||||||||||||||
| (10) Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de sus datos personales
|
Este contenido de información refiere a opciones y medios que el responsable pone a disposición de los titulares para que éstos puedan limitar el uso o divulgación de los datos personales, que sean distintos al ejercicio de los derechos ARCO y de la revocación del consentimiento, como pueden ser:
|
¿Cómo puede limitar el uso o divulgación de su información personal?
|
|
|
||||||||||||||||||
| (11)
El uso de cookies, web beacons o cualquier otra tecnología similar o análoga
|
Cuando el responsable utilice mecanismos (cookies y web beacons, entre otros) en medios como Internet, que le permitan recabar datos personales de manera automática y simultánea, al tiempo que un usuario hace contacto con los mismos, está obligado a informar los siguiente:
Se considera que estas tecnologías tratan datos personales cuando es posible identificar o hacer identificable al titular de la información que se almacena, sirve para generar perfiles o hacer cruce de datos, entre otros fines. Para mayor referencia de los términos cookies y web beacons se puede consultar el Glosario. Nota
|
El uso de tecnologías de rastreo en nuestro portal de Internet Los datos personales que obtenemos de estas tecnologías de rastreo son los siguientes: horario de navegación, tiempo de navegación en nuestra página de Internet, secciones consultadas, y páginas de Internet accedidas previo a la nuestra. Asimismo, le informamos que sus datos personales que se obtienen a través de estas tecnologías los compartiremos con las siguientes personas, empresas, organizaciones o autoridades distintas a nosotros, para los siguientes fines:
Estas tecnologías podrán deshabilitarse siguiendo los siguientes pasos: 1. Acceder a nuestra página de Internet, sección ?Términos y condiciones del sitio?, subsección ?Cookies?; 2. Dar clic en la subsección ?Cookies?; 3. Leer el mensaje de advertencia sobre la deshabilitación de cookies, y 4. Dar clic en la leyenda de activar el mecanismo de deshabilitación de cookies. Para mayor información sobre el uso de estas tecnologías, puede consultar el sitio de Internet [...]
|
|
|
||||||||||||||||||
| (12)
Los procedimientos y medios por los cuales el responsable comunicará a los titulares los cambios en el aviso de privacidad
|
Para mantener vigente el aviso de privacidad, el responsable está obligado a informar los medios y el procedimiento implementados para dar a conocer cualquier cambio o actualización. Sólo es necesario incluir la información del procedimiento, cuando el medio para dar a conocer los cambios no se dirija directamente a cada titular, como por ejemplo: una publicación en la página de Internet. Nota |
¿Cómo puede conocer los cambios a este aviso de privacidad? Nos comprometemos a mantenerlo informado sobre los cambios que pueda sufrir el presente aviso de privacidad, a través de [Descripción del medio]. El procedimiento a través del cual se llevarán a cabo las notificaciones sobre cambios o actualizaciones al presente aviso de privacidad es el siguiente: [Descripción del procedimiento].
|
|
|
||||||||||||||||||
Sección IV. Buenas prácticas
Esta sección presenta los contenidos informativos que se recomiendan incluir en el aviso de privacidad, a manera de buenas prácticas.
Elemento informativo |
Contenido a informar |
Ejemplo de redacción |
Ejercicio |
1. Las previsiones especiales para el tratamiento de datos personales de menores y personas con incapacidades o en estado de interdicción |
Acciones concretas y medidas especiales que, en su caso, tenga implementadas el responsable para garantizar la protección de datos personales de menores de edad y de personas en estado de interdicción y con capacidades diferentes determinadas por ley. Esto con la finalidad de que el titular tenga conocimiento sobre las prácticas respecto a estos grupos vulnerables. |
Le informamos que es de nuestro especial interés cuidar la información personal de los menores de edad y personas en estado de interdicción y capacidades diferentes en términos de ley, a través del establecimiento de medidas específicas, como son:
|
|
2. Información sobre el INAI
|
El nombre de la autoridad encargada de velar por la efectiva protección de sus datos personales, así como de recibir quejas o denuncias cuando considere que su derecho ha sido vulnerado. |
Si usted considera que su derecho a la protección de sus datos personales ha sido lesionado por alguna conducta u omisión de nuestra parte, o presume alguna violación a las disposiciones previstas en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, su Reglamento y demás ordenamientos aplicables, podrá interponer su inconformidad o denuncia ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). Para mayor información, le sugerimos visitar su página oficial de Internet www.inai.org.mx. |
|
3. Una cláusula para obtener el consentimiento expreso o expreso y por escrito del titular, de acuerdo con los términos y condiciones previstas en el aviso de privacidad |
Cuando se requiera en términos de la Ley, y el responsable decida obtener el consentimiento expreso o expreso y por escrito del titular a través del aviso de privacidad, se recomienda la inclusión de una cláusula para la obtención de este tipo de consentimiento. |
Ejemplo de consentimiento expreso y por escrito |
|
Sección V. Modalidades del aviso de privacidad
El aviso de privacidad se puede presentar en tres modalidades: integral, simplificado y corto. Cada una de ellas tiene contenidos distintos y reglas generales para su aplicación, las cuales se explican a continuación:
Modalidad |
Contenido informativo |
Casos en los que se utiliza |
Aviso de privacidad integral |
Todos los elementos que se describen en la sección III del presente documento. |
Cuando los datos se recaben personalmente del titular, es decir, con la presencia física de éste ante el responsable. |
Aviso de privacidad simplificado |
1. La identidad y domicilio del responsable; |
Cuando los datos personales se obtengan de manera directa del titular, como por ejemplo, a través de Internet o vía telefónica.
|
Aviso de privacidad corto |
1. La identidad del responsable; |
Cuando el espacio utilizado para la obtención de los datos personales sea mínimo y limitado, de forma tal que la información personal recabada o el espacio para la difusión o reproducción del aviso de privacidad también lo sean, como podría ser el caso de cupones o boletos para una rifa o sorteo, o bien, el cajero automático o un mensaje SMS. |
|
IMPORTANTE |
Sección VI. Modelos de avisos de privacidad
La presente sección muestra modelos de aviso de privacidad en su modalidad integral, simplificado y corto.
Modelo A. Aviso de privacidad integral
AVISO DE PRIVACIDAD[Nombre completo del responsable si se trata de una persona física, o denominación o razón social en caso de ser una persona moral. En su caso, se sugiere incluir el nombre comercial], con domicilio en [indicar calle, número, colonia, ciudad, municipio o delegación, código postal y entidad federativa del domicilio para oír y recibir notificaciones], es el responsable del uso y protección de sus datos personales, y al respecto le informamos lo siguiente: ¿Para qué fines utilizaremos sus datos personales?Los datos personales que recabamos de usted, los utilizaremos para las siguientes finalidades que son necesarias para el servicio que solicita:
De manera adicional, utilizaremos su información personal para las siguientes finalidades que no son necesarias para el servicio solicitado, pero que nos permiten y facilitan brindarle una mejor atención:
En caso de que no desee que sus datos personales sean tratados para estos fines adicionales, desde este momento usted nos puede comunicar lo anterior, [descripción del mecanismo que tenga implementado el responsable. Nota, el mecanismo de que se trate deberá permitir al titular negar su consentimiento previo a que sus datos personales sean tratados para estas finalidades]. La negativa para el uso de sus datos personales para estas finalidades no podrá ser un motivo para que le neguemos los servicios y productos que solicita o contrata con nosotros. ¿Qué datos personales utilizaremos para estos fines?Para llevar a cabo las finalidades descritas en el presente aviso de privacidad, utilizaremos los siguientes datos personales: [listado de datos personales o sus categorías. Para ejemplos de categorías ver el Glosario]. Además de los datos personales mencionados anteriormente, para las finalidades informadas en el presente aviso de privacidad utilizaremos los siguientes datos personales considerados como sensibles, que requieren de especial protección: [listado de datos personales sensibles o sus categorías. Para ejemplo de categorías ver el Glosario]. ¿Con quién compartimos su información personal y para qué fines?
Le informamos que para las transferencias indicadas con un asterisco (*) requerimos obtener su consentimiento. Si usted no manifiesta su negativa para dichas transferencias, entenderemos que nos lo ha otorgado [Ésto sólo aplica para consentimiento tácito]. No autorizo que mis datos personales sean compartidos con los siguientes terceros [NOTA, este ejemplo de cláusula corresponde a un consentimiento tácito. Para ejemplos de cláusulas en las que se requiera el consentimiento expreso y expreso y por escrito ver numeral 7 de la sección III]: ¿Cómo puede acceder, rectificar o cancelar sus datos personales, u oponerse a su uso? Para el ejercicio de cualquiera de los derechos ARCO, usted deberá presentar la solicitud respectiva en [Describir los medios]. Para conocer el procedimiento y requisitos para el ejercicio de los derechos ARCO, usted podrá llamar al siguiente número telefónico [...]; ingresar a nuestro sitio de Internet [...] a la sección [...], o bien ponerse en contacto con nuestro Departamento de Privacidad, que dará trámite a las solicitudes para el ejercicio de estos derechos, y atenderá cualquier duda que pudiera tener respecto al tratamiento de su información. Los datos de contacto del Departamento de Privacidad son los siguientes: ¿Cómo puede revocar su consentimiento para el uso de sus datos personales? Para revocar su consentimiento deberá presentar su solicitud en [Describir los medios]. Para conocer el procedimiento y requisitos para la revocación del consentimiento, usted podrá llamar al siguiente número telefónico [...]; ingresar a nuestro sitio de Internet [...] a la sección [...], o bien ponerse en contacto con nuestro Departamento de Privacidad. ¿Cómo puede limitar el uso o divulgación de su información personal?
El uso de tecnologías de rastreo en nuestro portal de Internet Los datos personales que obtenemos de estas tecnologías de rastreo son los siguientes: [descripción de datos personales], mismos que utilizamos para [descripción de finalidades]. Asimismo, le informamos que compartiremos estos datos con:
Estas tecnologías podrán deshabilitarse siguiendo los siguientes pasos: [descripción del procedimiento]. Para mayor información sobre el uso de estas tecnologías, puede consultar el sitio de Internet [...] ¿Cómo puede conocer los cambios a este aviso de privacidad? Nos comprometemos a mantenerlo informado sobre los cambios que pueda sufrir el presente aviso de privacidad, a través de [descripción del medio]. El procedimiento a través del cual se llevarán a cabo las notificaciones sobre cambios o actualizaciones al presente aviso de privacidad es el siguiente: [descripción del procedimiento].
Última actualización [día/mes/año]. |
Modelo B. Aviso de privacidad simplificado
AVISO DE PRIVACIDAD |
|
¿Quiénes somos? |
[Nombre completo del responsable, si se trata de una persona física, o denominación o razón social en caso de ser una persona moral. Se sugiere, en su caso, incluir el nombre comercial], con domicilio en [indicar calle, número, colonia, ciudad, municipio o delegación, código postal y entidad federativa del domicilio para oír y recibir notificaciones], es el responsable del uso y protección de sus datos personales, y al respecto le informamos lo siguiente: |
¿Para qué fines utilizaremos sus datos personales? |
Los datos personales que recabamos de usted, los utilizaremos para las siguientes finalidades que son necesarias para el servicio que solicita:
De manera adicional, utilizaremos su información personal para las siguientes finalidades que no son necesarias para el servicio solicitado, pero que nos permiten y facilitan brindarle una mejor atención:
En caso de que no desee que sus datos personales sean tratados para estos fines adicionales, desde este momento usted nos puede comunicar lo anterior, [descripción del mecanismo que tenga implementado el responsable. IMPORTANTE, el mecanismo a que se hace referencia debe permitir al titular manifestar su negativa previamente al tratamiento de su información]. La negativa para el uso de sus datos personales para estas finalidades no podrá ser un motivo para que le neguemos los servicios y productos que solicita o contrata con nosotros. |
¿Dónde puedo consultar el aviso de privacidad integral? |
Para conocer mayor información sobre los términos y condiciones en que serán tratados sus datos personales, como los terceros con quienes compartimos su información personal y la forma en que podrá ejercer sus derechos ARCO, puede consultar el aviso de privacidad integral en [describir medios]. |
Modelo C. Aviso de privacidad corto
| AVISO DE PRIVACIDAD |
[Nombre completo o razón o denominación social del responsable], con domicilio en [calle, número, colonia, delegación o municipio, ciudad, código postal y entidad federativa] utilizará sus datos personales recabados para [descripción de las finalidades]. Para mayor información acerca del tratamiento y de los derechos que puede hacer valer, usted puede acceder al aviso de privacidad integral a través de [descripción del medio]. |
GLOSARIO
Categorías de datos personales:
- Datos de identificación. Información concerniente a una persona física que permite diferenciarla de otras en una colectividad, tales como: nombre; estado civil; firma autógrafa y electrónica; Registro Federal de Contribuyentes (RFC); Clave Única de Registro de Población (CURP); número de cartilla militar; lugar y fecha de nacimiento; nacionalidad; fotografía; edad, entre otros.
- Datos de contacto. Información que permite mantener o entrar en contacto con su titular, tal como: domicilio; correo electrónico; teléfono fijo; teléfono celular, entre otra.
- Datos laborales. Información concerniente a una persona física relativa a su empleo, cargo o comisión; desempeño laboral y experiencia profesional, generada a partir de procesos de reclutamiento, selección, contratación, nombramiento, evaluación y capacitación, tales como: puesto, domicilio de trabajo, correo electrónico institucional, teléfono institucional; referencias laborales; fecha de ingreso y salida del empleo, entre otros.
- Datos sobre características físicas. Información sobre una persona física relativa a su fisonomía, anatomía, rasgos o particularidades específicas, como: color de la piel, del iris o del cabello; señas particulares; estatura; peso; complexión; cicatrices, tipo de sangre, entre otras.
- Datos académicos. Información concerniente a una persona física que describe su preparación, aptitudes, desarrollo y orientación profesional o técnica, avalada por instituciones educativas, como lo son: trayectoria educativa; títulos; cédula profesional; certificados; reconocimientos; entre otros.
- Datos patrimoniales o financieros. Información concerniente a una persona física relativa a sus bienes, derechos, cargas u obligaciones susceptibles de valoración económica, como pueden ser: bienes muebles e inmuebles; información fiscal; historial crediticio; ingresos y egresos; cuentas bancarias; seguros; afores; fianzas, número de tarjeta de crédito, número de seguridad, entre otros.
- Datos biométricos. Información sobre una persona física relativa a imagen del iris, huella dactilar, palma de la mano u otros análogos.
Categorías de datos personales sensibles:
- Datos ideológicos. Información sobre las posturas ideológicas, religiosas, filosóficas o morales de una persona.
- Datos sobre opiniones políticas. Opinión de una persona con relación a un hecho político o sobre su postura política en general.
- Datos sobre afiliación sindical. Pertenencia de una persona a un sindicato y la información que de ello derive.
- Datos de salud. Información concerniente a una persona física relacionada con la valoración, preservación, cuidado, mejoramiento y recuperación de su estado de salud físico o mental, presente, pasado o futuro, así como información genética.
- Datos sobre vida sexual. Información de una persona física relacionada con su comportamiento, preferencias, prácticas o hábitos sexuales, entre otros.
- Datos de origen étnico o racial. Información concerniente a una persona física relativa a su pertenencia a un pueblo, etnia o región que la distingue por sus condiciones e identidades sociales, culturales y económicas, así como por sus costumbres, tradiciones, creencias.
IMPORTANTE
Cookies: Son un archivo de datos que se almacena en el disco duro del equipo de cómputo o del dispositivo de comunicaciones electrónicas de un usuario al navegar en un sitio de Internet específico, el cual permite intercambiar información de estado entre dicho sitio y el navegador del usuario. La información de estado puede revelar medios de identificación de sesión, autenticación o preferencias del usuario, así como cualquier otro dato almacenado por el navegador respecto al sitio de Internet.
Web beacons: Son una imagen visible u oculta insertada dentro de un sitio web o correo electrónico, que se utiliza para monitorear el comportamiento del usuario en estos medios. A través de éstos se puede obtener información como la dirección IP de origen, navegador utilizado, sistema operativo, momento en que se accedió a la página, y en el caso del correo electrónico, la asociación de los datos anteriores con el destinatario.
Listado de exclusión: Es una base de datos que tiene por objeto registrar, de manera gratuita, a aquéllos titulares que no quieran que su información sea tratada por el responsable para ciertas finalidades, con el objeto de que el responsable evite dichos tratamientos.
Apéndice Único. Marco normativo del aviso de privacidad
El siguiente cuadro describe el marco normativo aplicable a los elementos informativos del aviso de privacidad en términos de la Ley, su Reglamento y los Lineamientos:
Elemento |
Marco jurídico |
|
Artículo 16, fracción I de la Ley |
Vigésimo, fracción I de los Lineamientos |
|
| Vigésimo primero de los Lineamientos |
|
Los datos personales tratados
|
Artículo 15 de la Ley |
Vigésimo, fracción II de los Lineamientos |
|
Vigésimo segundo de los Lineamientos |
|
Los datos personales sensibles tratados |
Artículo 15 de la Ley |
| Artículo 16 último párrafo de la Ley |
|
| Vigésimo, fracción III de los Lineamientos |
|
| Vigésimo tercero de los Lineamientos |
|
| Las finalidades del tratamiento | Artículo 15 de la Ley |
| Artículo 16, fracción II de la Ley |
|
| Artículo 30 del Reglamento |
|
| Artículo 40 del Reglamento |
|
| Artículo 41 del Reglamento |
|
| Artículo 42 del Reglamento |
|
| Artículo 43 del Reglamento |
|
| Vigésimo, fracción IV de los Lineamientos |
|
| Vigésimo cuarto de los Lineamientos |
|
El mecanismo para manifestar negativa previa al tratamiento |
Artículo 14, primer y segundo párrafo del Reglamento |
| Vigésimo, fracción V de los Lineamientos |
|
| Vigésimo quinto de los Lineamientos |
|
Las transferencias de datos personales |
Artículo 16, fracción V de la Ley |
| Artículo 68 del Reglamento |
|
| Vigésimo, fracción VI de los Lineamientos |
|
| Vigésimo sexto de los Lineamientos |
|
| La cláusula de autorización de transferencias |
Artículo 36, segundo párrafo de la Ley |
| Vigésimo, fracción VII de los Lineamientos |
|
| Vigésimo séptimo de los Lineamientos |
|
Los medios y el procedimiento para ejercer los derechos ARCO |
Artículo 16, fracción IV de la Ley |
| Artículo 33 de la Ley |
|
| Artículo 90 del Reglamento |
|
| Artículo 102 del Reglamento |
|
| Vigésimo, fracción VIII de los Lineamientos |
|
| Vigésimo octavo de los Lineamientos |
|
| Los mecanismos y procedimientos para revocar el consentimiento |
Artículo 8 de la Ley |
| Vigésimo, fracción IX de los Lineamientos |
|
| Vigésimo noveno de los Lineamientos |
|
Las opciones y medios para limitar el uso y divulgación de datos personales |
Artículo 16, fracción III de la Ley |
| Vigésimo, fracción X de los Lineamientos |
|
| Trigésimo de los Lineamientos |
|
La información sobre el uso de mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología |
Artículo 14, último párrafo del Reglamento |
| Vigésimo, fracción XI de los Lineamientos |
|
| Trigésimo primero de los Lineamientos |
|
Los procedimientos y medios por los cuales el responsable comunicará a los titulares los cambios en el aviso de privacidad |
Artículo 16, fracción VI de la Ley |
| Vigésimo, fracción XII de los Lineamientos |
|
| Trigésimo segundo de los Lineamientos |
