Aviso de Privacidad Simplificado México

Bajo la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y los Lineamientos del Aviso de Privacidad emitidos por el INAI, México reconoce tres niveles de aviso de privacidad. El aviso de privacidad completo contiene todos los elementos requeridos por los artículos 15 y 16 LFPDPPP en forma completa y detallada, y sirve como documento maestro de divulgación. El aviso de privacidad simplificado (también llamado aviso corto) contiene los elementos mínimos requeridos bajo el artículo 17 LFPDPPP — identidad del responsable, finalidades del tratamiento, mecanismo de derechos ARCO y referencia al lugar donde puede consultarse el aviso completo completo — en formato condensado diseñado para entregarse al momento de la recopilación de datos sin abrumar al titular. El aviso corto está permitido cuando las limitaciones técnicas del medio de recopilación impiden mostrar incluso el aviso simplificado, como datos recopilados por llamadas de voz o espacios físicos con área limitada de publicación. En la práctica, la mayoría de las empresas mexicanas utilizan el aviso simplificado como documento para el cliente y mantienen el aviso completo en su sitio web y en políticas internas.

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares aplica a todas las entidades del sector privado (particulares) — tanto personas morales como personas físicas — que recopilan, usan, almacenan o transfieren datos personales de personas físicas en relación con actividades comerciales, profesionales o laborales. Esto abarca: empresas mexicanas, empresas extranjeras con operaciones o titulares de datos en México, profesionistas independientes (médicos, abogados, contadores), plataformas en línea, operadores de comercio electrónico, departamentos de recursos humanos y cualquier entidad que mantenga una base de datos de clientes, pacientes, empleados o proveedores con información personal. Están exentos de la LFPDPPP: las entidades gubernamentales federales, estatales y municipales (cubiertas por la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados); las sociedades de información crediticia reguladas por la Ley para Regular las Sociedades de Información Crediticia; y las personas que recopilan datos personales exclusivamente para uso personal, doméstico o familiar sin elemento comercial.

Los derechos ARCO son los cuatro derechos fundamentales del titular de los datos establecidos en los artículos 22 a 29 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares: Acceso — el derecho a solicitar información sobre qué datos personales mantiene el responsable, de dónde los obtuvo, para qué finalidades los usa y con quién los ha compartido; Rectificación — el derecho a solicitar la corrección de datos personales inexactos, desactualizados, incompletos o falsos; Cancelación — el derecho a solicitar la eliminación o bloqueo de datos personales cuando ya no son necesarios para la finalidad para la que fueron recopilados, cuando el período legal de retención ha vencido, o cuando los datos fueron obtenidos sin consentimiento válido; y Oposición — el derecho a oponerse a actividades específicas de tratamiento por razones personales legítimas, particularmente para comunicaciones comerciales, perfilamiento o finalidades secundarias. Los responsables deben responder a las solicitudes ARCO dentro de los 20 días hábiles siguientes a su recepción y resolverlas dentro de los 15 días hábiles adicionales. Las solicitudes ARCO no resueltas pueden escalarse al INAI mediante un recurso de revisión ARCO, que el INAI debe resolver dentro de los 50 días hábiles.

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares establece sanciones administrativas bajo los artículos 63 a 66, ejecutadas por el INAI. Las multas por violaciones a la LFPDPPP van de 100 a 320,000 veces el valor diario de la UMA (Unidad de Medida y Actualización) dependiendo de la gravedad de la violación. Dejar de proporcionar un aviso de privacidad al momento de la recopilación de datos, usar datos personales para finalidades no declaradas en el aviso, no responder a las solicitudes ARCO y transferir datos personales a terceros sin base jurídica son todas violaciones sancionables. Las violaciones agravadas — tratar datos personales sensibles sin consentimiento expreso, uso comercial de datos en violación a una solicitud de cancelación, y brechas de seguridad derivadas de no implementar medidas técnicas y organizativas adecuadas — conllevan sanciones en los rangos superiores. Las sanciones penales bajo los artículos 210 y 211 bis del Código Penal Federal aplican a la divulgación no autorizada de datos personales confidenciales que causen daño patrimonial o moral. El historial de sanciones del INAI se ha incrementado sustancialmente desde 2018, con sanciones significativas impuestas a instituciones financieras, proveedores de salud y empresas de telecomunicaciones.

Sí. Las prácticas recomendadas de privacidad de datos en México y la orientación del INAI requieren avisos de privacidad separados para diferentes categorías de titulares, porque los datos personales recopilados, las finalidades del tratamiento, los períodos de retención de datos, la base jurídica del tratamiento y los derechos aplicables difieren materialmente entre los contextos laboral y comercial. El aviso de privacidad laboral (aviso de privacidad para empleados) cubre datos de recursos humanos (RFC, CURP, NSS, cuenta bancaria, evaluaciones de desempeño, registros disciplinarios), procesamiento de nómina, registro ante el IMSS e INFONAVIT, datos de salud ocupacional, control de acceso biométrico y acceso al portal de nómina. Debe abordar separadamente el tratamiento de categorías de datos personales sensibles — expedientes de salud para efectos del IMSS, datos biométricos para control de asistencia — bajo el artículo 9 LFPDPPP con consentimiento expreso y por escrito. El aviso al cliente cubre datos transaccionales, comunicaciones de mercadotecnia y comportamiento en el sitio web. Usar un único aviso genérico para ambas poblaciones arriesga no revelar adecuadamente las finalidades específicas aplicables a cada grupo.

Bajo los artículos 29 a 34 LFPDPPP y los artículos 94 a 106 del Reglamento LFPDPPP, el responsable debe implementar un proceso accesible de solicitudes de derechos ARCO. El proceso debe aceptar solicitudes presentadas por escrito (físicamente o electrónicamente) y debe requerir que el titular proporcione: prueba de identidad (copia de identificación oficial); descripción clara del derecho solicitado y los datos específicos involucrados; cualquier información que ayude al responsable a localizar los datos relevantes; y para solicitudes de rectificación, documentación de respaldo que demuestre la inexactitud. El responsable tiene 20 días hábiles para acusar recibo, determinar si la solicitud es completa y admisible, y notificar al titular la decisión. La implementación efectiva de la acción debe completarse dentro de los 15 días hábiles adicionales. Los costos sólo pueden cobrarse por solicitudes de Acceso en montos que no excedan el costo directo de reproducción. La negativa a una solicitud ARCO debe explicarse por escrito con justificación legal. Los titulares pueden escalar solicitudes denegadas o sin respuesta al INAI mediante el proceso de recurso de revisión ARCO.

Las transferencias internacionales de datos personales desde México hacia destinatarios extranjeros se rigen por los artículos 36 y 37 LFPDPPP y los artículos 74 a 82 del Reglamento LFPDPPP. La regla general es que las transferencias internacionales sólo están permitidas cuando: (1) el país receptor cuenta con un nivel de protección de datos reconocido como adecuado por el INAI; (2) la transferencia está cubierta por cláusulas contractuales tipo vinculantes que imponen obligaciones equivalentes a la LFPDPPP al destinatario extranjero; (3) el titular ha dado consentimiento expreso a la transferencia internacional habiéndosele informado del país destino y el marco jurídico aplicable; o (4) la transferencia cae dentro de las excepciones estatutarias del artículo 37 LFPDPPP (por ejemplo, transferencias necesarias para la ejecución de un contrato con el titular). Los proveedores de servicios en la nube, las empresas del grupo con matrices en el extranjero y los operadores de comercio electrónico transfronterizo se ven particularmente afectados. El aviso de privacidad debe revelar las transferencias internacionales, identificar los países o regiones de destino y establecer el mecanismo en que se basa la base jurídica de la transferencia.

El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) es el órgano constitucional autónomo responsable de hacer cumplir la Ley Federal de Protección de Datos Personales en Posesión de los Particulares en el sector privado y la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados en el sector público. Establecido mediante reforma constitucional al artículo 6 de la Constitución Política y la Ley General de Transparencia y Acceso a la Información Pública, el INAI opera con independencia técnica, operativa, presupuestaria y de decisión del ejecutivo federal. Sus facultades de ejecución bajo los artículos 38 a 66 LFPDPPP incluyen: recibir e investigar quejas de titulares afectados; conducir procedimientos de verificación de oficio por iniciativa propia; exigir la producción de documentos, acceso a sistemas y testimonios de empresas bajo investigación; emitir resoluciones vinculantes que requieran a las empresas tomar acciones correctivas; e imponer multas administrativas. Los Comisionados del INAI son nombrados por el Senado de México para mandatos escalonados de siete años y no pueden ser removidos por el ejecutivo federal.