Lineamientos del aviso de privacidad.

599 views

Published on

Los lineamientos delimitan el contenido y alcance del aviso de privacidad que, conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (“LFPDP”), se debe hacer llegar a los titulares de datos y que serán de observancia obligatoria a partir del 17 de abril de 2013.

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
599
On SlideShare
0
From Embeds
0
Number of Embeds
179
Actions
Shares
0
Downloads
10
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Lineamientos del aviso de privacidad.

  1. 1. México, marzo de 2013. Lineamientos del Aviso de Privacidad Privacy Notice GuidelinesVersión en Español: English Version:El pasado 17 de enero de 2013, la Secretaría de On January 17,2013, the Ministry of EconomyEconomía publicó en el Diario Oficial de la published in the Official Gazette of the Federation,Federación los Lineamientos del Aviso de the Privacy Notice Guidelines ("Guidelines"),Privacidad (“Lineamientos”). Los lineamientos defining the content and scope of the privacy noticedelimitan el contenido y alcance del aviso de that Responsible Parties must make available to dataprivacidad que, conforme a la Ley Federal de owners pursuant to the Federal Law on Protection ofProtección de Datos Personales en Posesión de Personal Information in Possession of Private Partieslos Particulares (“LFPDP”), se debe hacer llegar a ("Data Protection Law"). The Guidelines will belos titulares de datos y que serán de observancia effective from April 17, 2013.obligatoria a partir del 17 de abril de 2013. Pursuant to the Data Protection Law (Section 15 andConforme al artículo 15 y demás relacionados de related), individuals or legal entities that arela LFPDP, las personas físicas o morales responsible for the treatment of personal data mustresponsables del tratamiento de datos personales provide data owners with a privacy notice withestán obligados a informar a los titulares los fines enough information about the purposes sought in thepara los que se llevará a cabo el tratamiento treatment (collection, use, disclosure or storage) of(obtención, uso, divulgación o almacenamiento) personal data. The Guidelines define the contentde sus datos personales, a través de un aviso de and scope of privacy notices when describing theprivacidad. Los Lineamientos delimitan el terms applicable to the treatment of personal data.contenido y alcance del aviso de privacidad a Some important aspects of the Guidelines to bear inefecto de dar a conocer las condiciones en las mind notices are:que se llevará a cabo el tratamiento de datospersonales. 1. Formats and Language. A privacy notice must be efficient and practical, therefore it must beAlgunos aspectos de los Lineamientos que se simple, clear, drafted in Spanish language and with adeberán tomar en cuenta son: structure that eases its understanding. Privacy notices must not include (i) inaccurate or ambiguous1. Formato y Lenguaje. El aviso de phrases; (ii) language inducing data owners to selectprivacidad deberá ser eficiente, práctico, sencillo, a specific option; and (iii) In case of containing checkclaro, redactado en idioma español y con una boxes, these should not be pre-checked to induceestructura que facilite su entendimiento. No authorization. Likewise, the text and wordingdeberá incluir (i) frases inexactas o ambiguas o included in privacy notices must take into account thevagas; (ii) textos que induzcan a elegir una opción profile of the data owners to whom it is addressed.en específico; y (iii) en caso de contener casillas,éstas no deberán de estar previamente marcadas. 2. Distribution. The privacy notice may beDe igual forma, la redacción del aviso de available to data owners through different formats:privacidad deberá tomar en cuenta el perfil de los printed, electronic, optical, audio-visual or throughtitulares de los datos personales a quienes va any other technology that allows its effectivedirigido. communication to data owners and their acknowledgment.2. Difusión. El aviso de privacidad puededarse a conocer a través de formato físico, 3. Professionals. The following data shall not beelectrónico, óptico, sonoro, visual o mediante considered personal and, accordingly, it will not becualquier otra tecnología que permita su necessary to disclose a privacy notice to individualscomunicación y conocimiento eficaz, por parte del acting as professionals (business-persons) or totitular de los datos. individuals providing services to a corporation –legal entity- and acting on behalf of such corporation: (i)3. Personas Físicas con actividad name (first and last); (ii) position or main activitiesEmpresarial. No se considerarán datos performed; (iii) employment data, such as address, e-personales y, por ende, no será necesario dar a mail, telephone and fax number.conocer aviso de privacidad a personas físicascuando actúen como comerciantes o 4. Modalities. Privacy notices may be disclosedprofesionistas, a personas físicas con actividades in the following formats: (i) full (integral), (ii) simplifiedempresariales o a personas físicas que estén or (iii) short. The use of different types will depend,
  2. 2. prestando sus servicios para una persona moral y for example, on whether the personal data will bela estén representando. Estos datos personales collected directly from the owner or if the space toson: (i) nombre y apellidos; (ii) funciones o include data is limited, in which case the full noticepuestos desempeñados; (iii) datos laborales como must be made available trough other sources. Thedomicilio físico, correo electrónico, teléfono y requirements for each type of notice are:número de fax. 4.1 Full privacy notice (Integral). To be used4. Modalidades. El aviso de privacidad when the owner provides personal data personally.puede ser integral, simplificado o corto; el uso de Must include at least:las distintas modalidades dependerá de si laobtención de datos personales se lleva a cabo (i) Identification and address of thepersonalmente del titular, de manera directa, o si Responsible Party (natural person orel espacio para obtener los datos es limitado, de private entity that exercises decision-conformidad con los siguientes requisitos: making power over the treatment of personal data);4.1 Integral. A utilizarse cuando el titular da (ii) The personal data that will be treated;conocer los datos personales personalmente. (iii) Specific mention about sensitiveDebe incluir, como mínimo personal data to be treated (if any); (iv) Purposes sought in the treatment of (i) Nombre y domicilio –completo- de personal data. In this case, it will be del responsable; necessary to specify the purposes that (ii) Los datos personales are not strictly essential to comply with específicos que se tratarán; the relationship between data owners (iii) En su caso, los datos personales and the responsible party, as well as sensibles que se tratarán; purposes related to marketing or (iv) Las finalidades del tratamiento de advertising. When drafting this section datos de forma determinada, of the notice, it will be necessary to especificando aquellas finalidades avoid general phrases like "among que no son estrictamente necesarias others", "for similar or related purposes" para la existencia y cumplimiento de or "for example". la relación entre el responsable y el (v) Tools available to owners to refuse their titular, así como las relacionadas con consent to treat personal data in fines de mercadotecnia o publicidad. connection with “non-essential” Al redactar esta sección, se deberán purposes; evitar frases como “entre otras”, (vi) The transfer of data that will be “fines análogos” o “por ejemplo”. performed, including the receptor’s (v) Mecanismos para que el titular identity and the purpose of the transfer. pueda manifestar su negativa para Transfer of data to agents (third parties las finalidades no necesarias; who treat data on behalf of the (vi) Transferencias de datos, incluyendo Responsible Party), since it will be el receptor y finalidades que la considered a “relocation” of data; justifiquen. No es necesario (vii) A specific clause so that the data owner especificar transmisiones de datos a may state his/her refusal to treatment of agentes o encargados, es decir, data for unnecessary purposes; terceros que llevan a cabo el (viii) Options and means to exercise right of tratamiento a nombre del access, rectification, cancellation or Responsable, pues éstas se opposition; consideran “remisiones” de datos; (ix) Means and procedure to revoke (vii) Cláusula especifica para que el consent; titular exprese si acepta o no las (x) Options and means to limit the use or transferencias de datos; disclosure of data; (viii) Medios y procedimientos para ejercer derechos de acceso, (xi) Information, if any, about the use of rectificación, cancelación u technological features by which oposición; personal data may be collected (ix) Procedimientos y mecanismos para automatically, and revocar consentimiento; (xii) The notification procedure in the event (x) Opciones y medios para limitar el of any significant change on the privacy uso o divulgación de datos; notice. A new privacy notice must be (xi) Información, en su caso, sobre uso disclosed to data owners in case of de medios tecnológicos que change on the Responsible Party’s permitan recabar datos de forma identity or the terms of the data automática, y transfers. (xii) Procedimientos para que el responsable comunique a los 4.2 Simplified. Can be used when personal data
  3. 3. titulares cambios en el aviso de are obtained directly or indirectly from the owner, privacidad. En caso de que se either by electronic, optical, acoustic or visual means, modifique la identidad del or any through any other type of technology. In this responsable, recabar datos case, the privacy notice must include (i) identification adicionales, modificar las finalidades and address of the Responsible Party, as well as (ii) de tratamiento o las condiciones de purposes sought in the treatment of personal data, transferencias de datos, será just as in the full notice. In addition, the simplified necesario poner a disposición de los privacy notice must state tools and options available titulares un nuevo aviso de to data owners to access or obtain the full notice (i.e. privacidad. Internet).4.2 Simplificado. Puede utilizarse cuando los 4.3 Short. Can be used when personaldatos personales se obtienen directamente o data is obtained through a printed format, providedindirectamente del titular –pero no that the space available to collect data is limited orpersonalmente-, por medios electrónicos, ópticos, insufficient. In this case, as in the simplified notice, itsonoros, visual o a través de cualquier otra will be necessary to include: (i) identification andtecnología. En este caso, el aviso de privacidad address of the Responsible Party, and (ii) purposesdeberá incluir el nombre y domicilio completo del sought in the treatment of personal data as well asresponsable, al igual que las finalidades para las the tools and options available to data owners toque serán tratados los datos personales, en los obtain the full notice.mismos términos que el aviso integral.Adicionalmente, el aviso simplificado deberá ***especificar los mecanismos por los que el titularpuede conocer el aviso de privacidad integral (por In conclusion, even when the specific obligation toejemplo, internet. provide data owners with a privacy notice informing about the purposes of the treatment of data is in force4.3 Corto. Puede utilizarse cuando los since July 2011, the Guidelines, which includedatos personales se obtengan por medios detailed specifications and requirements of theimpresos, si el espacio para la obtención de los privacy notice, will be in force from April 17, 2013.datos sea mínimo y limitado. En ese caso será Privacy notices should be updated to include thenecesario que se incluya la misma información corresponding requirements.que en los avisos simplificados: (i) nombre ydomicilio completo del responsable; (ii) las We trust this information proves useful. Should youfinalidades para las que serán tratados los datos have any additional comments or doubts regardingpersonales, en los mismos términos que el aviso this matter, do not hesitate to contact us by anyintegral y (iii) los mecanismos por los que el titular means.puede conocer el aviso de privacidad integral.(Internet).En conclusión, aun cuando la obligación de losResponsables de datos personales de dar aconocer a los titulares los avisos de privacidadestá en vigor desde el 6 de julio de 2011, losLineamientos detallan los requisitos a cumplirseen el documento específico, incluyendo variasformalidades que deberán de adaptarse en losavisos actuales antes del 17 de abril de 2013. Losavisos de privacidad deberán actualizarse paradar cumplimiento a los Lineamientos.Contactos:M. Jorge Yañez V. Gabriela Campos de PabloFederico de Noriega Oleamjy@bstl.com.mx gcp@bstl.com.mxfno@bstl.com.mxTeléfono +52 (55) 5091-0000.www.bstl.com.mxLa información proporcionada en la presente no sustituye una opinión legal específica. Esta publicacióntiene fines informativos. BSTL no asume ninguna responsabilidad jurídica de una decisión tomada sobrela base de esta publicación.The information provided cannot substitute a specific legal advice. This publication serves only for
  4. 4. informational purposes. BSTL takes no legal responsibility for a decision taken on basis of thispublication.

×