Preguntas Frecuentes
Recibí varios Avisos de Privacidad, ¿qué hago con ellos?
Existen tres tipos de avisos de privacidad: cortos, simplificados y el integral.
Avisos cortos:
Su propósito es incluir la información esencial en términos de ley, ocupando poco espacio.
· Para Clientes.
· Para Proveedores.
· Para empleados o aspirantes.
· Para visitantes.
· En contrato laboral
Se colocarán donde aquellos a quienes va dirigido puedan leerlo, previo a que compartan contigo su información personal. Te sugerimos que los pongas en un marco y sobre la pared, tal como colocamos diplomas, reconocimientos o certificaciones. Excepto el de contrato laboral.
Avisos simplificados:
Nos permiten dirigir a los titulares de los datos personales al Aviso de Privacidad Integral.
·Para plantilla o firma en correo electrónico.
·Para recepción.
·Para videovigilancia.
·Para conmutador telefónico.
El de correo electrónico se instalará en tu computadora personal y el de conmutador telefónico aplicará si dispones de ello. En recepción y vigilancia se tomará el mismo criterio de colocación sugerido para avisos cortos.
Aviso de privacidad integral:
El Aviso de Privacidad Integral contiene toda la información necesaria para cumplir con la normatividad legal vigente. Por su tamaño, conviene colocarlo en un lugar donde el titular de los datos personales pueda leerlo cómodamente. Para ello se colocará preferentemente en la página web de la empresa, o bien, podrías imprimirlo y tenerlo a la mano en recepción o en el área de vigilancia en una carpeta.
¿Para qué sirven los convenios de confidencialidad?
Un convenio de confidencialidad se firma cuando se va a tratar un asunto que requiere discreción, como lo es el manejo de información confidencial. Es un acuerdo entre las partes para no utilizar dicha información con fines distintos a los que originaron su existencia, sobre todo a divulgarlos a quien no deba.
¿Cuál es el propósito del convenio de confidencialidad que se firma entre Ara software Desing, S.A. de C.V., con el personal de sus clientes?
Su propósito es proteger íntegramente los intereses de la empresa que contrate nuestros servicios.
En caso de existir alguna conducta inapropiada que provoque alguna investigación de parte de la autoridad (INAI) en tu empresa, cuando, por ejemplo, algún empleado obtenga un beneficio indebido respecto al tratamiento que haga de la información personal de otros a la que tenga acceso, dicha investigación se centrará en el manejo que hayan hecho los empleados ubicados en posiciones estratégicas en el tratamiento de dicha información confidencial. De esa forma, podremos acreditar que la empresa cumplió al establecer parámetros de seguridad de conocimiento de los empleados, mismos que fueron violados por algún particular por cuenta propia, excluyendo así a la empresa de responsabilidad y de las multas y sanciones que éstas conlleven.
¿Tiene autoridad Ara software Desing, S.A. de C.V. para celebrar dichos Convenios?
En la cláusula 12 del “Contrato de Prestación de Servicios Profesionales en Tratamiento y Protección de Datos Personales”, celebrado con nuestros clientes, (en algunos casos es el anexo 1), se establece que en el objetivo de dar certeza jurídica a la actividad de protección de información personal objeto de dicho contrato, el cliente nos otorga la facultad de celebrar dichos convenios.
¿Quiénes deben firmar los Convenios de Confidencialidad?
Sugerimos que sea celebrado con todos aquellos empleados y directivos de la empresa que den tratamiento a información personal, así como personal subcontratado o cualquier persona que realice actividades en beneficios de la empresa por cuenta propia. La decisión depende de la autoridad que decida estos aspectos en la empresa de nuestro cliente.
¿Qué duración tienen dichos convenios?
Son por tiempo indefinido, mientras dure la relación comercial entre Ara software Desing, S.A. de C.V. con nuestros clientes.
Soy persona física y solamente yo doy tratamiento a la información personal en mi posesión, por mi actividad profesional, ¿debo firmar el convenio también?
En el caso de un cliente que sea persona física y que solamente él trate información personal de otros, no se firma el convenio, puesto que ya ha sido establecido en el contrato de prestación de servicios en la cláusula, inciso “c”, que el cliente acepta sujetarse a los mecanismos de seguridad en el tratamiento y protección de datos personales que le sean provistos por Ara software Desing, S.A. de C.V. para poder recibir el respaldo legal de nuestra empresa. Recordemos que el objetivo del convenio es proteger los intereses de tu empresa por el mal tratamiento que empleados o directivos den a información personal en su posesión.
¿Qué debo hacer si recibo una solicitud de derechos ARCO por algún cliente, proveedor o empleado?
Si es por escrito:
1) Se tiene que recibir el documento correctamente elaborado de manera impresa y sacará una copia de ella.
2) La persona que reciba, le mencionará que la empresa contrató los servicios de una empresa especialista en protección de datos personales. De esa forma, le dará los datos de contacto de Ara Software Desing, S.A. de C.V., la redireccionará a nuestro Centro de Operaciones, al teléfono 01 (55) 55 14 88 50 (México D.F.) o al correo Operaciones VyDP <operaciones@vydp.org>
3) Se comunicará de inmediato vía telefónica o por email a Ara software Desing, S.A. de C.V. a nuestro Centro de Operaciones, a los teléfonos (55) 55 14 88 50 (México D.F.)
4) Enviará, escaneado, el documento que recibió. Si pudiera enviarlo por mensajería, sería mucho mejor.
Si es por llamada telefónica:
1) La persona de recepción o de vigilancia que conteste, le mencionará que en términos de Ley, debe presentar por escrito dicha solicitud, pero que con todo gusto recibirá la atención que corresponde de parte de la persona indicada para ello. Le dirá que la empresa contrató los servicios de una empresa especialista en protección de datos personales. De esa forma, le dará los datos de contacto de Ara Software Desing, S.A. de C.V., la redireccionará a nuestro Centro de Operaciones, al teléfono 01 (55) 55 14 88 50 (México D.F o al correo Operaciones VyDP <operaciones@vydp.org>
¿Qué debo hacer si recibo una notificación del inicio de facultades de revisión en mi empresa por parte de la autoridad (INAI)?
1. Primero debemos comprobar que se trata de una revisión de la autoridad, pidiéndole que se identifique de forma que no quede duda que se trata de algún funcionario del INAI.
2. No le permitas acceso a tu empresa, ni físicamente ni mediante medios electrónicos, hasta que te hayas comunicado con nosotros.
3. Comunícate de inmediato vía telefónica a Ara software Desing, S.A. de C.V. a nuestro Centro de Operaciones, al teléfono 01 (55) 55 14 88 50 (México D.F.) o al correo Operaciones VyDP <operaciones@vydp.org>
4. Infórmale al funcionario del INAI que tu empresa contrató los servicios de una empresa especialista en tratamiento y Protección de Datos Personales, que ellos son los encargados de dar tratamiento a la información personal en tu posesión y que, por lo tanto, ellos son los indicados para atender la revisión de tu empresa. Pídeles sus datos de identificación, donde podamos localizarlos.
5. Una vez que nuestro Centro de Operaciones ha recibido tu solicitud de intervención, nos pondremos de inmediato en contacto con el funcionario del IFAI y atenderemos la solicitud.
Nota:
Como recordarás, en los avisos de privacidad se identifica a Ara software Design, S.A. de C.V. (Nuestra entidad legal), como la responsable de dar tratamiento a la información personal en tu posesión. De tal forma que cualquier requerimiento deberá llegar directamente a dicha empresa, en específico, a la Coordinación de Operaciones. Por lo tanto, no debería llegarte a ti ningún requerimiento de protección de datos personales. De todas formas, te hemos informado los pasos a seguir en caso de recibir algún requerimiento.
¿Qué beneficios tendré al contratar sus servicios?
- Te defenderemos legalmente ante cualquier requerimiento de la Autoridad.
- Protegeremos tu información bajo las normas solicitadas por el INAI.
- Elaboraremos tus Avisos de Privacidad.
- Atenderemos las solicitudes de Derechos ARCO.
¿En qué consiste su Servicio de Respaldo Jurídico Permanente?
- Implementación del sistema de gestión de seguridad de datos, conforme la LFDPPP y su Reglamento.
- Elaboración de los Avisos de Privacidad acorde a lo que tu empresa necesita.
- Atención a las solicitudes de ejercicio de derechos ARCO de cualquiera de los titulares de información personal en tu posesión.
- Atender a la autoridad (INAI), en caso de que te requiera, haciendo uso de sus facultades de revisión, por demanda de protección de derechos de algún titular de datos personales en tu posesión.
- Respuesta a cualquier pregunta que tuvieras respecto a la normatividad legal en materia de tratamiento y protección de datos personales.
- Cualquier situación que se presentase en términos jurídicos ante las autoridades relativas a nuestros servicios hacia ti, será atendida por nuestro equipo legal.
¿Qué son los datos personales?
Es cualquier información relacionada contigo, por ejemplo, tu nombre, teléfono, domicilio, fotografía o huellas dactilares, así como cualquier otro dato que pueda servir para identificarte. Este tipo de datos te permiten, además, interactuar con otras personas, o con una o más organizaciones, y te permiten ser sujeto de derechos y obligaciones.
¿A quién le pertenecen los datos personales?
El dueño de tus datos personales eres TÚ, y TÚ decides a quién, para qué, cuándo y por qué los proporcionas.
¿Qué tipo de datos personales hay?
Existen diferentes categorías de datos, por ejemplo, de identificación (nombre, domicilio, teléfono, correo electrónico, firma, RFC, CURP, fecha de nacimiento, edad, nacionalidad, estado civil, etc.); laborales (puesto, domicilio, correo electrónico y teléfono del trabajo); patrimoniales (información fiscal, historial crediticio, cuentas bancarias, ingresos y egresos, etc.); académicos (trayectoria educativa, título, número de cédula, certificados, etc.); ideológicos (creencias religiosas, afiliación política y/o sindical, pertenencia a organizaciones de la sociedad civil y/o asociaciones religiosas); de salud (estado de salud, historial clínico, enfermedades, información relacionada con cuestiones de carácter psicológico y/o psiquiátrico, etc.); características personales (tipo de sangre, ADN, huella digital, etc.); características físicas (color de piel, iris y cabellos, señales particulares, etc.); vida y hábitos sexuales, origen (étnico y racial.); entre otros.
¿Cuáles son los datos personales sensibles?
Son los datos que, de divulgarse de manera indebida, afectarían la esfera más íntima del ser humano. Ejemplos de este tipo de datos son: el origen racial o étnico, el estado de salud, la información genética, las creencias religiosas, filosóficas y morales, la afiliación sindical, las opiniones políticas y las preferencias sexuales. Estos datos requieren mayor protección y la Ley establece un tratamiento especial.
¿Por qué es importante proteger los datos personales?
Para evitar que los datos sean utilizados para una finalidad distinta para la cual la proporcionaste, evitando con ello se afecten otros derechos y libertades, por ejemplo, que se utilice de forma incorrecta cierta información de salud lo que podría ocasionar una discriminación laboral, entre otros supuestos.
¿Quién está obligado a proteger los datos personales?
Todos debemos proteger los datos personales, es un esfuerzo conjunto: Tú exigiendo tus derechos, quienes posean datos personales, observando lo establecido por la Ley y el INAI, garantizando ese derecho.
¿Qué tienen que hacer las entidades privadas para garantizar la protección de mis datos?
Nombrar a un responsable que atienda tus solicitudes de acceso, rectificación, cancelación y oposición de tus datos personales.-
Contar con las medidas de seguridad necesarias para garantizar tus datos contra un uso indebido o ilícito, un acceso no autorizado, o contra la pérdida, alteración, robo o modificación de tu información personal.
Capacitar a su personal.
Informarte sobre el uso que dará a tu información.
¿En qué consiste el derecho de protección de datos personales?
Es la facultad que otorga la Ley para que tú, como dueño de los datos personales, decidas a quién proporcionas tu información, cómo y para qué; este derecho te permite acceder, rectificar, cancelar y oponerte al tratamiento de tu información personal. Por sus iniciales, son conocidos comúnmente como derechos ARCO.
¿Qué importancia tienen los datos personales?
En la era de las comunicaciones, el manejo e intercambio de datos se ha convertido en una práctica habitual, lo mismo para el sector público que para las empresas, las cuales los utilizan para el desarrollo de sus actividades cotidianas, tales como:
- Venta de bienes (libros por Internet o un coche en una agencia)
- Contratación de servicios (análisis clínicos, un seguro de vida o la inscripción a una escuela)
- Oferta de empleo (al presentar el currículum o llenar una solicitud laboral)
Por ello, el artículo 16 de nuestra Constitución reconoce ya el derecho fundamental a que los datos personales sean protegidos. Y por ello, todas las personas físicas o morales que cuenten con bases de datos (escuelas, hospitales, médicos, aseguradoras, empresas, etc.,) están obligadas a seguir ciertas reglas que garanticen su uso adecuado y seguro.
Dichas reglas están contenidas en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPP).
¿Cuáles son las características principales de la LFPDPP?
Esta Ley regula la forma y condiciones en que deben utilizarse los datos personales por parte de personas físicas o morales en el ámbito privado. Tiene por objeto garantizar la protección de tu información personal y que puedas ejercer el derecho a decidir, de manera libre e informada, sobre el uso que los entes privados darán a los datos. A esto se le conoce como “autodeterminación informativa”.
¿Quién será la autoridad responsable de proteger mis derechos materia de datos personales?
El INAI es la autoridad garante en materia de protección de datos personales. La Ley le ha otorgado la facultad de difundir el conocimiento de este nuevo derecho entre la sociedad mexicana, de promover su ejercicio y vigilar su debida observancia por parte de los entes privados que posean datos personales.
El Instituto podrá llevar a cabo inspecciones a los sistemas de bases de datos de las empresas a fin de corroborar el debido cumplimiento de las disposiciones contenidas en la Ley.
Si no estás satisfecho con lo que la empresa te respondió al ejercer tu derecho de acceso, rectificación, cancelación u oposición, o bien, no obtuviste respuesta, puedes acudir al INAI. Mediante un procedimiento sencillo y expedito, el Instituto atenderá tu solicitud.
¿Qué otras autoridades están involucradas?
Con el propósito de coadyuvar con el Instituto en la debida aplicación de la Ley, dependencias de la Administración Pública Federal colaborarán con el INAI en la emisión de la regulación que corresponda. Entre ellas están las secretarías de Economía, Salud, Comunicaciones y Transportes, Hacienda y Crédito Público y Educación, las cuales deberán emitir normas específicas para la protección de los datos personales en los sectores económico, de salud, telecomunicaciones, financiero y educativo.
¿Qué significa “tratamiento de datos personales”?
Se refiere a cualquier operación que se realice con tus datos, desde su obtención, uso, divulgación, almacenamiento y hasta su cancelación y supresión.
¿Quién puede tratar los datos personales?
Cualquier particular, ya sea persona física o moral; por ejemplo, un colegio, un hospital, un médico, una aseguradora, un banco, una compañía telefónica, una tienda de autoservicio, un gimnasio. Todos ellos deben observar las disposiciones previstas en la Ley.
No están sujetos a las disposiciones de esta ley:
- Las sociedades de información crediticia (buró de crédito) debido a que ya se encuentran reguladas por la Ley de las Sociedades de Información Crediticia.
- Quienes traten (personas físicas o morales) los datos con fines exclusivamente personales, sin afán de divulgarlos o utilizarlos de manera comercial; por ejemplo, el directorio telefónico de los amigos y contactos personales
¿Cuáles son y en qué consisten los principios rectores de la protección de datos personales?
Los principios de protección de datos pueden definirse como una serie de reglas mínimas que deben observar las empresas o entes privados que tratan datos personales (personas físicas o morales), garantizando con ello un uso adecuado de la información personal. Estos principios son: licitud, consentimiento, calidad, información, proporcionalidad y responsabilidad.
Principio de Licitud –
Se refiere al compromiso que deben asumir los entes privados (personas físicas o morales) que traten tu información cuando solicitas la prestación de un bien o servicio, respetando en todo momento la confianza que depositas en ellos para el buen uso que le darán a los datos.
Principio de Consentimiento –
Al ser tú el dueño de los datos, este principio te permite decidir de manera informada, libre, inequívoca y específica si quieres compartir tu información con otras personas. Para las empresas que la posean, implica el deber de solicitar tu autorización o consentimiento para que pueda tratar la información que te concierne, sobre todo cuando se trata de datos sensibles que afectan tu esfera más íntima. La Ley exige a las empresas soliciten tu consentimiento de manera expresa y por escrito. Adicionalmente, deberán implementar medidas de seguridad muy estricticas que eviten quebrantar la confidencialidad, integridad y disponibilidad de esos datos.
Principio de Calidad –
Los datos personales en posesión de empresas deben estar actualizados y reflejar con veracidad la realidad de la información, de tal manera que cualquier inexactitud no te afecte. Asimismo, implica que el tiempo que esa empresa conserve tus datos no debe exceder más allá de lo necesario para el cumplimiento de los fines que justificaron su tratamiento. Cuando se cumpla íntegramente la finalidad para la cual se proporcionaron los datos, el tratamiento deja de ser necesario y, por lo tanto, las empresas deben cancelarlos.
Principio de Información –
Se refiere a la potestad que te otorga la Ley de conocer previamente las características esenciales del tratamiento a que serán sometidos los datos personales que proporciones a un ente privado o empresa. En un lenguaje comprensible, las empresas y las personas físicas deben dar a conocer esas características a través del “Aviso de Privacidad”.
Principio de Proporcionalidad –
Las empresas sólo podrán recabar los datos estrictamente necesarios e indispensables para la finalidad que se persigue y que justifica su tratamiento.
Principio de Responsabilidad –
Quienes traten datos personales deben asegurar que ya sea dentro o fuera de nuestro país, se cumpla con los principios esenciales de protección de datos personales, comprometiéndose a velar siempre por el cumplimiento de estos principios y a rendir cuentas en caso de incumplimiento.
¿Por qué es importante ocuparse de la seguridad de la información personal?
Un pilar básico y fundamental de un efectivo sistema de protección de datos personales es la garantía de la seguridad de la información, entendida ésta como la implementación de medidas administrativas, físicas y técnicas eficaces para garantizar y velar por la integridad, confidencialidad y disponibilidad de tus datos personales. Ello contribuye a minimizar los riesgos de acciones en contra de tu información personal como robo, alteración o modificación, pérdida total o parcial, transmisiones indebidas o ilícitas, accesos no autorizados y robo de identidad, entre otras, que pueden lesionar tus derechos o libertades fundamentales.
¿Qué es un Aviso de Privacidad?
Cualquier empresa o ente privado que solicite datos personales deberá elaborar un Aviso de Privacidad, documento a través del cual podrás conocer la finalidad que tendrá la información que se te pida. El Aviso de Privacidad deberá proporcionar, además, información que permita identificar a la empresa que recaba los datos y deberá precisar la forma de hacer efectivos los derechos de acceso, rectificación, cancelación y oposición (derechos ARCO).
En el Aviso de Privacidad la empresa deberá consultarte si autorizas que se transfiera tu información a terceros. La empresa deberá notificarte de cualquier cambio que realice al Aviso de Privacidad y pedir tu consentimiento para el nuevo uso que quiera dar a tus datos.
El Aviso de Privacidad podrá ponerse a tu disposición a través de medios físicos, digitales, visuales, sonoros o de cualquier otra tecnología.
A partir de la entrada en vigor de la Ley, las empresas tienen un plazo de un año para expedir los Avisos de Privacidad.
El Aviso de Privacidad deberá precisar la persona o departamento encargado de atender las solicitudes para acceder, rectificar, cancelar u oponerse al uso de datos personales (derechos ARCO).
¿Qué es una transferencia de datos personales?
Se refiere a cualquier tipo de comunicación de datos realizada a una persona distinta de la empresa a la que se los proporcionaste. Dichas transferencias podrán realizarse siempre y cuando tú lo autorices.
La Ley prevé que la transmisión de datos se lleve a cabo sin que medie consentimiento cuando:
- Esté prevista en una ley o en un tratado del cual México sea parte.
- Sea necesaria para la prevención o diagnóstico médico.
- Se realice entre empresas pertenecientes a un grupo empresarial que compartan determinados procesos o políticas internas.
Sea necesaria para el cumplimiento de un contrato que sea de tu interés, celebrado entre la empresa que posee los datos y un tercero. - Por el interés público de procuración o administración de justicia.
- Cuando lo solicite un juez dentro de un proceso judicial.
¿De qué manera se ejercen los derechos de acceso, rectificación, cancelación u oposición (ARCO)?
Cada uno de nosotros, como titulares de los datos personales, o en su caso, con el apoyo de un representante legal, podremos ejercer cualquiera de los derechos ARCO ante las empresas que los tengan en sus bases de datos.
Las empresas privadas que cuenten con bases de datos deberán designar en un área de atención a clientes a un responsable para recibir las solicitudes tendientes a ejercer los derechos ARCO.
Es importante tener en cuenta que el ejercicio de cada uno de estos derechos es independiente entre sí, es decir, no es necesario agotar uno para ejercer alguno de los otros tres.
¿Qué es el derecho de Acceso?
Tú puedes solicitar a una determinada empresa que informe si en sus bases de datos tiene alguno de tus datos personales.
Para ejercer este derecho debes presentar a la empresa una solicitud, ya sea por escrito, por medios electrónicos o cualquier otra tecnología. La solicitud debe contener lo siguiente:
- Tu nombre y domicilio o medio para recibir comunicaciones.
- Tu identificación o documentos que acrediten la personalidad del representante legal.
- La explicación clara y precisa de los datos personales a los cuales quieres tener acceso.
- Cualquier otro elemento o documento que facilite la localización de tus datos personales.
Es importante conservar la constancia de la solicitud que presentaste pues si no obtuviste respuesta o no quedaste satisfecho puedes acudir al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos (INAI). La constancia será indispensable.
¿En qué consiste el derecho de Rectificación?
Es el derecho que te otorga la Ley a que se corrijan tus datos personales que alguna empresa tenga en sus bases. Aplica cuando los datos son incorrectos, imprecisos, incompletos o están desactualizados. Para que tu información sea corregida debes presentar la solicitud correspondiente, ya sea por escrito, por medios electrónicos, ópticos o de cualquier otra tecnología. La solicitud debe contener:
- Tu nombre y domicilio o medio para recibir comunicaciones.
- Tu identificación o documentos que acrediten la personalidad del representante legal.
- Especificar los datos que deseas sean rectificados, así como algún documento que justifique la rectificación.
- Cualquier otro elemento o documento que facilite la localización de tus datos personales.
- Es importante conservar la constancia de la solicitud pues será necesaria en caso de que decidas acudir al IFAI.
¿A qué se refiere el derecho de Cancelación?
Es la facultad que te otorga la Ley para que solicites la cancelación de tus datos de las bases que tenga una determinada empresa, la cual deberá dejar de tratar tus datos, en especial cuando dicho tratamiento no cumpla con las disposiciones legales aplicables. Los datos deberán ser bloqueados y, posteriormente, suprimidos de las bases de datos.
Esta solicitud procede cuando la información personal ya no es necesaria para las actividades relacionadas con la empresa que los tiene en sus bases. La petición se deberá presentar por escrito, por medios electrónicos, ópticos o de cualquier otra tecnología; deberá contener:
- Tu nombre y domicilio o medio para recibir comunicaciones.
- Tu identificación o documentos que acrediten la personalidad del representante legal.
- Especificar los datos que deben ser cancelados.
- Cualquier otro elemento o documento que facilite la localización de los datos personales.
- De ser posible, la finalidad del tratamiento para la cual son tratados tus datos personales.
Es importante que conserves la constancia de la solicitud que hayas presentado a la empresa que tiene tus datos. Será indispensable en caso de que requieras el apoyo para iniciar el procedimiento ante el INAI.
¿Cuál es el derecho de Oposición?
Consiste en la facultad que tienes para solicitar a la empresa que pretenda realizar el tratamiento de tus datos personales que se abstenga de hacerlo en determinadas situaciones, por ejemplo, para fines publicitarios.
La solicitud deberá contener:
- Tu nombre y domicilio o medio para recibir comunicaciones.
- Tu identificación o documentos que acrediten la personalidad del representante legal.
- Especificar las razones por las cuales te opones al tratamiento.
¿Cuál es el costo del ejercicio de los derechos ARCO?
El ejercicio de los derechos ARCO es gratuito y únicamente deberás cubrir el costo por reproducción en copias u otros formatos. En caso de que volvieras a ejercer cualquiera de los derechos en un plazo menor a doce meses, el costo no podrá exceder del equivalente a tres días de salario mínimo vigente en el Distrito Federal. Si se realizaran modificaciones sustanciales al Aviso de Privacidad y surgen situaciones que ameriten nuevamente el ejercicio de un mismo derecho en menos de 12 meses, no habrá costo.
¿En cuánto tiempo se debe obtener respuesta de la persona física o empresa respecto del ejercicio de derechos?
Una vez presentada la solicitud, la empresa que posea tus datos cuenta con un plazo máximo de 20 días hábiles para responder y 15 días hábiles más para hacer efectivos los el ejercicio de derecho que solicites, en caso de que resulten procedentes. Los plazos podrán ser ampliados por una sola vez y por un periodo igual cuando existan hechos que lo justifiquen.
¿En qué casos puede la empresa negarse total o parcialmente a permitir el acceso, o a realizar la rectificación o cancelación de los datos personales, o a conceder la oposición al tratamiento de los mismos?
- Cuando el solicitante no sea el titular de los datos personales, o el representante no esté debidamente acreditado.
- Cuando la persona física o empresa no tenga en su posesión los datos personales.
- Cuando se lesionen datos personales de un tercero.
- Cuando exista algún impedimento legal o resolución de autoridad competente que restrinja el ejercicio de alguno de los derechos ARCO.
- Cuando la rectificación, cancelación y oposición solicitada haya sido previamente realizada.
- La empresa deberá comunicar y justificar cuando se actualice alguno de los anteriores supuestos y no pueda llevar a cabo la acción que le fue solicitada.
¿Qué puedes hacer en caso de que se mal utilicen tus datos?
Si te enteras que una empresa está haciendo mal uso de tus datos personales, puedes ejercer tu derecho de oposición, a fin de que los datos no sean utilizados. La excepción a esta disposición opera cuando:
- El titular de los datos personales sea parte firmante de un contrato y el tratamiento de sus datos personales sea necesario para el cumplimiento de dicho contrato.
- Exista una disposición legal que prevea su tratamiento.
- La cancelación obstaculice actuaciones judiciales o administrativas vinculadas con obligaciones fiscales o la investigación y persecución de delitos.
- Su tratamiento sea necesario para realizar una acción de interés público.
- Su tratamiento sea necesario para cumplir con una obligación que el titular de los datos haya adquirido.
- Los datos sean objeto de tratamiento para la prevención o diagnóstico médico o la gestión de servicios de salud, siempre que dicho tratamiento se realice por un profesional de la salud sujeto a un deber de secreto
¿Ante quién se puede recurrir en caso de que se vulneren algunos de los derechos en materia de protección de datos?
Si no estás conforme o satisfecho con la respuesta que te dio la empresa que posee la información, puedes acudir al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos (INAI), que es la autoridad en materia de protección de datos.
¿Cuál es el procedimiento que se lleva a cabo ante el INAI?
Puedes presentar una solicitud de protección de datos ante el Instituto, ya sea por escrito libre o por medios electrónicos, durante los 15 días hábiles siguientes a la fecha en que la empresa haya comunicado su respuesta; o bien, a partir de que haya vencido el plazo de respuesta, sin que ésta hubiera sido generada.
¿Cuánto tiempo tiene el Instituto para resolver tu solicitud?
El plazo máximo para emitir la resolución es de 50 días hábiles, contados a partir de la presentación de la solicitud de protección de datos. Si existe causa justificada, el plazo podrá ampliarse por una vez y por un periodo igual.
Emitida la resolución del INAI ¿cuánto tiempo tiene la empresa que recabó los datos para darle puntual cumplimiento?
En caso de que la resolución que emita el Instituto sea favorable al titular de los datos, el INAI lo notificará a la empresa o ente privado que tiene los datos; ésta tendrá un plazo de 10 días hábiles para hacer efectivos los derechos objeto de protección. Es importante destacar que la Ley prevé que el procedimiento puede concluir mediante un acuerdo por escrito, firmado por las partes. En cualquier momento, el Instituto puede buscar una conciliación, obligándose a verificar que el acuerdo suscrito sea cumplido por el ente privado.
En caso de que no estés conforme con la resolución que emita el Instituto, ¿ante qué autoridad puedes acudir?
Puedes promover un juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa contra la resolución que emita el INAI, o interponer un Juicio de Amparo.
¿Cuáles son los Plazos de implementación de la Ley?
A fin de que tanto el INAI, en su carácter de autoridad y como las empresas que posean datos personales se preparen para estar en condiciones de aplicar la Ley, se estableció una serie de plazos.
A más tardar un año después de la entrada en vigor de la Ley, las personas físicas o morales que posean bases de datos deberán expedir los Avisos de Privacidad y designar a la persona o departamento para atender las solicitudes de los titulares de los datos.
Por otro lado, los titulares de los datos podrán ejercer sus derechos de acceso, rectificación, cancelación y oposición ante las personas designadas por las empresas, 18 meses después de la entrada en vigor de la Ley.
En caso de que no haya una respuesta satisfactoria por parte de los entes privados, el titular de los datos podrá recurrir al INAI en un término aproximado de 20 meses después de la entrada en vigor de la Ley.
¿Recibirán alguna sanción las empresas que no cumplan la Ley?
El Instituto, en su carácter de autoridad garante, tiene la facultad de imponer sanciones a aquellas empresas que incumplan alguna disposición de la Ley. A continuación, se mencionan algunas de las posibles sanciones:
- Apercibimiento.
- Multa de 100 a 160,000 días de salario mínimo vigente en el Distrito Federal, cuando la empresa actúe con negligencia o dolo con respecto a la información personal, no observe los principios de protección de datos establecidos en la Ley u omita datos en el Aviso de Privacidad.
III. Multa de 200 a 320,000 días de salario mínimo general vigente en el Distrito Federal, cuando incumpla con su deber de confidencialidad en el tratamiento de los datos, cambie la finalidad del tratamiento de los mismo sin darte aviso, transfiriera tus datos a terceros sin el consentimiento del titular, obstruya los actos de verificación del Instituto o realice un uso ilegítimo de los datos.
- En caso de que persistan las infracciones de manera reiterada, el Instituto podrá imponer una multa adicional que irá de 100 a 320,000 días de salario mínimo vigente en el Distrito Federal.
- Tratándose de infracciones cometidas en el tratamiento de datos sensibles, los montos de las sanciones podrán incrementarse hasta por dos veces.
¿Por qué es necesario que haya un responsable interno de protección de datos personales si ya los contratamos a ustedes?
Porque para poder cumplir eficientemente con nuestra labor profesional, te pedimos nos ayudes a establecer un canal de comunicación dentro de tu empresa que nos permita obtener los elementos necesarios para ello. Le pedimos a nuestros clientes que designen entre su personal a alguien que tenga la función de “Responsable de la custodia material de Datos Personales”, quién firmará un “Convenio de confidencialidad y privacidad de datos personales”.
Fui designado “Responsable de la custodia material de Datos Personales” en la empresa en la que laboro, ¿Qué debo hacer?
Te pedimos apoyo en tres importantes tareas:
- Sobre nuestro servicio de implementación de Sistema de Gestion de seguridad de Datos personales.
- Estar en constante comunicación con el área operativa de nuestra empresa, por los canales y personal de contacto que le hayan proveído al momento de adquirir su servicio.
- Apoyar y realizar todas las actividades para garantizar el cumplimiento de los requerimientos legales con respectos a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
Para mayor comprensión de lo aquí analizado, te pedimos leas el documento “Carta de Designación de Enlace”.
2) Sobre nuestro servicio de respaldo legal para la atención a solicitudes del ejercicio de derechos de los titulares o para atender la notificación de la autoridad (INAI) de inicio de revisión del cumplimiento de la ley en tu empresa:
- Te pedimos que nos informes inmediatamente cuando algún titular de datos personales en posesión de la empresa en que laboras haga alguna solicitud de ejercicio de su derecho de Acceso, Rectificación, Cancelación y Oposición de parte de los titulares de los datos personales respecto a la información contenida en el Sistema de Base de Datos Personales en posesión de tu empresa, para que así podamos atenderla inmediatamente en los términos establecidos por la Ley. (LFPDPPP).
- Te pedimos igualmente, nos informes de inmediato si el algún momento la autoridad (INAI) te envía algún documento que te avise del inicio de revisión en tu empresa del cumplimiento de la normatividad legal del tratamiento y protección de datos personales.
3) Para promover en tu empresa una cultura de respeto en el tratamiento de datos personales:
A través de ti haremos llegar a tu empresa consejos prácticos para que se mantenga un tratamiento adecuado de la información personal.
Las multas por no cumplir con esta nueva disposición van desde los 100 hasta los 320,000 días de salario mínimo vigente en la Ciudad de México (lo equivalente a $14,170.00 y hasta poco más de $45,344,000.00) (Art. 63 y 64 LFPDPPP).