Política de Protección de Datos de Empleados en México (Aviso de Privacidad para Empleados)

La Política de Protección de Datos de Empleados en México es un documento legal conforme al artículo 15 de la LFPDPPP y al artículo 25 de la Ley Federal del Trabajo, que documenta las prácticas del patrón en el tratamiento de datos para RRHH, nómina, IMSS, INFONAVIT y SAT, y establece los derechos ARCO del trabajador.

La LFPDPPP clasifica los datos personales en el empleo en dos categorias principales. Los datos personales ordinarios recopilados en el contexto laboral nombre, RFC (Registro Federal de Contribuyentes), CURP (Clave Unica de Registro de Poblacion), domicilio, historial laboral, salario, CLABE bancaria pueden tratarse con base en la necesidad contractual derivada de la relacion de trabajo conforme al articulo 10, fraccion II de la LFPDPPP, sin requerir consentimiento explicito en la mayoria de los casos. Los datos personales sensibles informacion de salud, datos biometricos (huellas dactilares, reconocimiento facial en sistemas de control de asistencia), origen etnico o racial, estado migratorio, discapacidad y orientacion sexual requieren consentimiento escrito explicito conforme al articulo 9 LFPDPPP antes de su recoleccion o tratamiento.

El articulo 25 de la Ley Federal del Trabajo (LFT) refuerza el marco de proteccion de datos en el empleo al exigir que la documentacion laboral capture y mantenga datos de identificacion precisos del trabajador, incluyendo RFC, CURP y otros identificadores personales, creando una base juridica para el tratamiento de estos datos complementaria a la excepcion de necesidad contractual de la LFPDPPP. La interseccion del articulo 25 LFT y la LFPDPPP genera una obligacion de cumplimiento dual: el patron debe tanto recopilar los datos exigidos por la LFT para el registro laboral como asegurarse de que dicha recoleccion quede documentada en un Aviso de Privacidad que cumpla los requisitos del articulo 15 LFPDPPP.

El Instituto Nacional de Transparencia, Acceso a la Informacion y Proteccion de Datos Personales (INAI), establecido como autoridad autonoma de proteccion de datos bajo la LFPDPPP y la Ley General de Proteccion de Datos Personales en Posesion de Sujetos Obligados (LGPDPPSO) de 2017, aplica la LFPDPPP en el sector privado laboral. El INAI ha publicado la Guia para elaborar un Aviso de Privacidad con lineamientos especificos para empleados como titulares de datos. El INAI puede imponer multas de hasta 320,000 veces el salario minimo general diario por violaciones graves a la LFPDPPP y puede exigir al patron corregir avisos de privacidad deficientes y notificar a los trabajadores afectados.

El Aviso de Privacidad para Empleados debe entregarse a cada trabajador en el momento de inicio de la relacion laboral o antes. La LFPDPPP exige que el patron pueda demostrar que el aviso fue proporcionado (carga probatoria del responsable), por lo que un acuse de recibo firmado por cada trabajador reviste importancia como evidencia de cumplimiento. El Reglamento de la LFPDPPP (publicado en el DOF el 21 de diciembre de 2011) y los Lineamientos del Aviso de Privacidad (publicados en el DOF el 17 de enero de 2013) establecen los requisitos tecnicos detallados para los Avisos de Privacidad, distinguiendo entre el aviso de privacidad completo y el aviso de privacidad simplificado. El aviso completo se exige cuando se recopilan datos personales sensibles, lo cual ocurre de manera invariable en los contextos laborales que involucran datos de salud, biometricos y financieros. Conforme a lo establecido en los Artículos 1794 y 1795 del Código Civil Federal, todo acto jurídico requiere consentimiento y objeto lícito para su validez.

Una Politica de Proteccion de Datos de Empleados en Mexico es obligatoria al inicio de toda relacion laboral. El articulo 15 de la LFPDPPP exige que el Aviso de Privacidad se proporcione al trabajador antes o en el momento en que se recopilan por primera vez sus datos personales, lo que en la practica significa antes del proceso de incorporacion o durante el mismo y, en lo ideal, antes de cualquier recoleccion de datos en la etapa de reclutamiento.

La politica es necesaria cuando el patron recopila datos biometricos de los trabajadores para el control de asistencia, dado que los datos biometricos constituyen datos personales sensibles bajo el articulo 3, fraccion VI LFPDPPP y requieren consentimiento escrito explicito conforme al articulo 9 LFPDPPP. El INAI ha abordado especificamente los datos biometricos en el contexto laboral en sus Criterios para el tratamiento de datos biometricos, exigiendo un aviso de privacidad dedicado y una evaluacion de proporcionalidad que demuestre que la recoleccion biometrica es necesaria y no puede sustituirse por metodos menos invasivos de identificacion.

Se requiere un Aviso de Privacidad revisado o complementario cuando el patron introduce nuevas actividades de tratamiento de datos, por ejemplo implementando un nuevo sistema de informacion de RRHH que procesa categorias adicionales de datos, adoptando un programa de bienestar de empleados, introduciendo herramientas de monitoreo de trabajo remoto que recopilan datos de actividad bajo los articulos 330-A a 330-K LFT, o compartiendo datos de empleados con un nuevo proveedor de servicios o empresa del grupo no divulgado en el aviso original. Conforme al articulo 16 LFPDPPP, los cambios materiales en las actividades de tratamiento de datos requieren aviso anticipado a los trabajadores afectados antes de que comience el nuevo tratamiento.

La politica es necesaria cuando el patron es objeto de una investigacion o queja del INAI por parte de un trabajador que alega una violacion a la proteccion de datos. El Aviso de Privacidad y la evidencia de su entrega a los trabajadores son los documentos principales que el patron debe presentar al INAI para demostrar el cumplimiento. Los patrones que no pueden presentar un Aviso de Privacidad conforme durante una investigacion del INAI se presumen en violacion del articulo 15 LFPDPPP y enfrentan sanciones inmediatas.

Un Aviso de Privacidad actualizado tambien se requiere cuando ocurren cambios regulatorios significativos. El marco de proteccion de datos de Mexico ha evolucionado sustancialmente desde la promulgacion de la LFPDPPP en 2010, con el INAI emitiendo lineamientos y criterios continuos que refinan los requisitos de cumplimiento. Los patrones deben revisar sus avisos de privacidad para empleados al menos anualmente y tras los principales cambios regulatorios para verificar el cumplimiento permanente con los estandares actuales del INAI.

Un Aviso de Privacidad para Empleados valido en Mexico conforme al articulo 15 LFPDPPP, el Reglamento de la LFPDPPP y los Lineamientos del Aviso de Privacidad debe incluir los siguientes elementos obligatorios para satisfacer los requisitos de cumplimiento del INAI.

Identidad del Responsable del Tratamiento (Responsable): Nombre legal completo de la empresa empleadora, su RFC (Registro Federal de Contribuyentes), domicilio fiscal registrado y datos de contacto del encargado de privacidad o contacto de RRHH designado (nombre, correo electronico, telefono). En los grupos empresariales, debe identificarse la entidad juridica especifica que actua como responsable del tratamiento para cada categoria de datos de empleados, comunmente la entidad empleadora directa, no la empresa controladora.

Categorias de Datos Personales Recopilados: Una lista detallada de todas las categorias de datos personales recopilados de los trabajadores durante la relacion laboral, organizada por tipo: datos de identificacion (nombre, RFC, CURP, NSS, datos del INE/pasaporte, domicilio); datos de nomina y fiscales (salario, CLABE bancaria, SDI, regimen fiscal SAT); datos de seguridad social (registro IMSS, subcuenta de vivienda INFONAVIT, AFORE); datos de salud clasificados como datos sensibles que requieren consentimiento explicito (certificados medicos, incapacidades IMSS, registros de salud ocupacional, evaluaciones psicosociales NOM-035-STPS-2018); datos biometricos si se recopilan, tambien datos sensibles que requieren consentimiento explicito; registros de desempeno y disciplinarios; datos de contacto de emergencia y beneficiarios. El articulo 13 LFPDPPP exige que solo se recopilen los datos minimos necesarios para las finalidades declaradas (principio de minimizacion de datos).

Finalidades del Tratamiento: Finalidades primarias necesarias para la relacion laboral incluyen: registro IMSS y calculo de cuotas bimestrales conforme al articulo 15 LSS; aportaciones INFONAVIT conforme al articulo 29 de la Ley del INFONAVIT; retencion ISR y emision de CFDI de nomina conforme a los articulos 94 y 96 LISR y disposiciones SAT; cumplimiento STPS/LFT; gestion NOM-035-STPS-2018; administracion de RRHH, gestion del desempeno y capacitacion conforme al articulo 153-A LFT. Las finalidades secundarias no necesarias para la relacion laboral requieren consentimiento separado: encuestas de satisfaccion laboral; uso de fotografias del trabajador en materiales de comunicacion interna o marketing de la empresa; programas de bienestar voluntarios.

Destinatarios y Transferencias de Datos: Divulgaciones obligatorias a autoridades gubernamentales incluyen IMSS, INFONAVIT, SAT, STPS, INM (para trabajadores extranjeros), CONSAR/AFORE. Los proveedores de servicios que actuan como encargados del tratamiento incluyen empresas de outsourcing de nomina, proveedores de sistemas de informacion de RRHH, servicios de verificacion de antecedentes y proveedores de salud ocupacional, cada uno sujeto a contrato de encargo de tratamiento conforme al articulo 50 LFPDPPP. Las transferencias internacionales de datos a empresas afiliadas o proveedores de servicios en la nube fuera de Mexico requieren salvaguardas adicionales bajo los articulos 36 y 37 LFPDPPP.

Derechos ARCO y Procedimiento de Ejercicio: Conforme a los articulos 22 a 35 LFPDPPP, los trabajadores tienen derecho de Acceso, Rectificacion, Cancelacion (sujeta a obligaciones de retencion legal del articulo 804 LFT) y Oposicion. El Aviso de Privacidad debe especificar el procedimiento para presentar solicitudes ARCO, el contacto designado, el formulario requerido, el plazo de respuesta de 20 dias habiles bajo el articulo 32 LFPDPPP, y el derecho a escalar ante el INAI si el patron no responde adecuadamente. Forms-legal.com proporciona esta Politica de Proteccion de Datos de Empleados en Mexico para ayudar a los patrones a cumplir sus obligaciones del articulo 15 LFPDPPP en el contexto laboral.

Plazos de Conservacion de Datos: El expediente laboral debe mantenerse al menos un ano despues de la terminacion conforme al articulo 804 LFT; los registros fiscales deben conservarse por cinco anos conforme al Codigo Fiscal de la Federacion (CFF); los registros IMSS por cinco anos conforme a la Ley del Seguro Social. Tras la expiracion de los periodos de retencion obligatorios, los datos deben eliminarse o anonimizarse conforme al articulo 11 LFPDPPP. Los derechos de cancelacion ARCO de los trabajadores son limitados durante los periodos de retencion legal obligatoria.

Medidas de Seguridad: Una declaracion de que el patron implementa medidas tecnicas, administrativas y fisicas de seguridad apropiadas conforme al articulo 19 LFPDPPP para proteger los datos de los empleados contra acceso no autorizado, perdida, alteracion o divulgacion, incluyendo cifrado de bases de datos, controles de acceso por rol, VPN para acceso remoto, acuerdos de confidencialidad con personal de RRHH y politicas de contrasenas, sin exponer detalles de seguridad que pudieran comprometer las medidas. De acuerdo con el Artículo 2104 del Código Civil Federal, el incumplimiento de las obligaciones pactadas genera responsabilidad civil. El Artículo 1824 del mismo ordenamiento establece que las condiciones del contrato deben ser posibles, lícitas y determinadas.