Entrada: Aviso de privacidad en México: guía clara para empresas y profesionales

Recopilar datos personales es una práctica común en muchas actividades empresariales: contratar personal, prestar servicios, comercializar productos, establecer relaciones con proveedores. Pero obtener información como nombre, domicilio, estado civil o incluso datos de salud no es una acción neutra. Está regulada por ley y conlleva responsabilidades jurídicas y éticas.

En México, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) establece la obligación de informar y proteger esos datos a través de un instrumento fundamental: el aviso de privacidad.

¿Qué es el aviso de privacidad?

Es un documento que debe entregarse al momento de recabar datos personales. Su función es informar de forma clara a la persona titular:

• Qué datos se están solicitando
• Con qué finalidad serán usados
• Quién los recopila y cómo se puede ejercer control sobre ellos

   

El aviso puede presentarse en formato físico, electrónico, visual, sonoro o digital, siempre y cuando esté disponible desde el primer momento de contacto.

¿Quién está obligado a emitir?

Toda persona física o moral del sector privado que recabe datos personales está legalmente obligada a proporcionar un aviso de privacidad. Esto incluye a:

• Empresas y comercios

   

• Profesionales de la salud

   

• Escuelas y universidades

   

• Despachos legales y contables

   

• Laboratorios, aseguradoras, bancos

   

¿Quiénes están exentos?

No se requiere emitir un aviso de privacidad en los siguientes casos:

• Uso personal sin fines comerciales (por ejemplo, una agenda privada)

   

• Sociedades de información crediticia (como el Buró de Crédito)

   

¿Qué datos protege la ley?

La ley distingue entre datos personales y datos personales sensibles:

• Datos personales comunes: nombre, dirección, edad, correo electrónico, estado civil, etc.

   

• Datos sensibles: origen étnico, estado de salud, información genética, creencias religiosas, ideología política, preferencia sexual.

   

El tratamiento de datos sensibles requiere consentimiento expreso y por escrito.

¿Qué debe contener un aviso de privacidad?

Según la LFPDPPP, el aviso debe incluir al menos:

• Identidad y domicilio del responsable

   

• Qué datos se recolectan y cuáles son sensibles

   

• Finalidades del tratamiento, diferenciando las que requieren consentimiento

   

• Opciones para limitar el uso o divulgación de los datos

   

• Mecanismos para ejercer los derechos ARCO (acceso, rectificación, cancelación, oposición)

   

• Procedimiento para informar al titular sobre cambios al aviso

   

¿Cómo se presenta el aviso?

El formato depende del medio a través del cual se recaban los datos:

• Presencial: debe entregarse al momento de la interacción, salvo que ya se haya proporcionado antes

   

• Digital o electrónico: se puede presentar en formato simplificado con enlace al aviso integral

¿Qué implica omitir elementos del aviso?

La omisión parcial o total de los elementos exigidos en el aviso constituye una infracción a la ley y puede generar sanciones administrativas impuestas por la autoridad competente.

¿Qué se considera tratamiento de datos?

Se entiende por tratamiento cualquier acción sobre los datos personales, incluyendo su recopilación, almacenamiento, uso, consulta, transferencia, modificación o eliminación.

¿Se necesita consentimiento para tratar datos?

Sí, salvo en las excepciones previstas por la ley, como:

• Información obtenida de fuentes públicas

   

• Tratamientos necesarios por una relación jurídica

   

• Casos de emergencia médica o seguridad pública

   

• Disociación previa de los datos

   

• Cumplimiento de orden judicial

   

¿Qué son los derechos ARCO?

La ley garantiza a los titulares el derecho a:

• Acceso a sus datos personales

   

• Rectificación de datos incorrectos o incompletos

   

• Cancelación de los datos cuando ya no sean necesarios

   

• Oposición a su uso para determinados fines

   

Para ejercer estos derechos, el titular debe presentar una solicitud que cumpla con ciertos requisitos de identificación y claridad.

¿Se pueden transferir datos a terceros?

Sí, siempre que el titular haya sido informado y, en su caso, haya otorgado su consentimiento. Además, el tercero receptor queda sujeto a las mismas obligaciones legales que el responsable original.

¿Cuándo no se requiere consentimiento para la transferencia?

Existen excepciones, por ejemplo:

• Cuando la ley o un tratado lo permita

   

• Entre empresas del mismo grupo corporativo

   

• Por motivos médicos urgentes

   

• Por requerimiento judicial o de autoridad

   

• Para cumplir un contrato en interés del titular

¿Qué sanciones contempla la ley?

Existen sanciones administrativas y penales por:

• Recabar datos con engaño

   

• Tratar información sin consentimiento

   

• Vulnerar la seguridad de bases de datos con fines de lucro

   

Las sanciones pueden incluir multas económicas y penas de prisión si hay dolo o beneficio indebido.

¿Cómo se protege el derecho de los titulares?

El titular puede iniciar un procedimiento de protección de derechos si considera que su información fue utilizada de manera indebida. Este procedimiento se lleva ante la autoridad competente, como la Secretaría Anticorrupción y Buen Gobierno.

Respetar la privacidad no es solo una obligación legal, es un compromiso con la dignidad humana y un elemento clave para construir relaciones basadas en la confianza. Tener un aviso de privacidad bien elaborado no es solo un requisito formal: es una práctica responsable que protege a las personas y fortalece a las organizaciones.