Mejores prácticas de transparencia para organizaciones de la Sociedad Civil en temas Societarios y Corporativos

Para comenzar es necesario entender qué se entiende por datos personales:

Datos personales: cualquier información concerniente a una persona física identificada o identificable. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información. (Edad, domicilio, número telefónico, correo electrónico personal trayectoria académica, laboral o profesional, patrimonio, número de seguridad social, CURP, entre otros.)

Datos personales sensibles: aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. (Origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.)

Cuando hablamos de transparencia, existen dos figuras importantes responsable y encargado.

La responsable es la persona física o moral de carácter privado que decide sobre el tratamiento de datos personales. En consecuencia, recolecta, almacena, utiliza, transmite, transfiere y suprime datos personales de personas con las cuales tiene o ha tenido algún tipo de relación, cualquiera que sea su naturaleza.

El encargado entonces, es la persona física o moral que sola o conjuntamente con otras trae datos personales por cuenta del responsable.

Ahora bien, la protección de los datos personales para las organizaciones de la sociedad civil es de suma importancia ya que día a día se recibe información de personas en el ejercicio de sus actividades que es uno de los mayores activos de estas sociedades, pero al mismo tiempo esto las convierte en responsables del tratamiento de todos esos datos que se reciben.

La autoridad encargada de supervisar el cumplimiento de la protección de datos personales en México es el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).

La regulación aplicable es la Ley Federal de Protección de Daos Personales en Posesión de los Particulares (LFPDPPP) y su reglamento.

Las organizaciones de la sociedad civil deben conservar los datos personales que les sean suministrados bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, así como el respeto de los derechos de los titulares de las mismas.

Es necesario establecer cláusulas de confidencialidad y protección de datos personales en todos los contratos con clientes y con terceros en general. Asimismo, siempre se debe tomar en consideración que la información que se está recolectando es información realmente necesaria, adecuada y relevante para los fines para los cuales se está obteniendo.

Adicional, es necesario establecer políticas de protección de datos personales que tengan como propósito:

• Asegurar el cumplimiento de las normas.
• Que sean aplicables a todos los empleados y su cumplimiento sea obligatorio.
• Se establezcan consecuencias y sanciones legales en caso de su violación.
• Explicar cómo se tratan y protegen los datos personales obtenidos.
• Establecer procedimientos y lineamientos para los derechos de acceso, rectificación, cancelación y oposición de los datos personales.
• Establecer un área encargada de atender las solicitudes relacionadas.

El Aviso de Privacidad es un documento físico, electrónico o en cualquier otro formato, a través del cual el responsable informa al titular sobre la existencia y características principales del tratamiento al que serán sometidos sus datos personales. El aviso de privacidad tiene como propósito establecer y delimitar el alcance, términos y condiciones del tratamiento de los datos personales, a fin de que el titular pueda tomar decisiones informadas con relación a sus datos personales y mantenga el control y disposición de la información que le corresponde.

Toda persona que se considere responsable por tratar datos personales, sin importar la actividad que realice o si se trata de una persona física o moral, requiere elaborar y poner a disposición su aviso de privacidad.

De acuerdo con lo anterior, el aviso de privacidad se debe poner a disposición en los siguientes momentos y consecuentemente solicitar que el tercero firme de conformidad el aviso:

1. Previo a la obtención de los datos personales: cuando los datos personales se obtengan de manera directa o personal de su titular.
2. Al primer contacto con el titular: cuando los datos personales se obtengan de manera indirecta y el tratamiento para el cual serán utilizados involucre el contacto directo o personal con el titular.
3. Previo al aprovechamiento de los datos personales: cuando los datos personales se obtengan de manera indirecta, pero el tratamiento para el cual serán utilizados no requiere contacto personal o directo con el titular.

Distintas modalidades del Aviso de Privacidad:

Aviso de privacidad integral: Todos los elementos que se describen en la sección III del ABC del Aviso de Privacidad: http://abcavisosprivacidad.ifai.org.mx/. Se utiliza cuando los datos se recaben de manera directa y presencialmente del titular.

Aviso de privacidad simplificado: (i) La identidad y domicilio del responsable; (ii) las finalidades del tratamiento, distinguiendo las que dieron origen y son necesarias para la relación jurídica entre el titular y el responsable, de las que no son; (iii) los mecanismos para que el titular pueda manifestar su negativa para finalidades secundarias o accesorias; (iv) los mecanismos para que el titular conozca el aviso de privacidad integral. Se utiliza cuando los datos se recaben de manera directa a través de medios electrónicos o vía telefónica del titular.

Aviso de privacidad corto: (i) La identidad y domicilio del responsable; (ii) las finalidades del tratamiento, sin que sea necesario distinguir las finalidades secundarias o accesorias; (ii) los mecanismos para que el titular conozca el aviso de privacidad integral. Se utiliza cuando el espacio utilizado para la obtención de datos personales sea mínimo o limitado.

En el caso de que se requiera, dejamos una liga de un generador de Avisos de Privacidad que tiene el INAI: https://generador-avisos-privacidad.inai.org.mx/

Los derechos de los titulares de los datos personales son los siguientes (ARCO):

• Acceso: derecho a obtener información sobre sus datos personales en posesión del responsable, así como información relativa a las condiciones y generalidades del tratamiento.
• Rectificación: podrán solicitar, en todo momento, que el responsable rectifique sus datos personales que resulten ser inexactos o incompletos.
• Cancelación: podrán solicitar, en todo momento, la cancelación de los datos personales cuando consideren que su tratamiento ya no es necesario o que no están siendo tratados conforme a los principios y deberes que establece la ley.
• Oposición: podrán en todo momento oponerse al tratamiento de sus datos personales o exigir que se cese en el mismo cuando:
  • Exista causa legítima y su situación específica así lo requiera.
  • Manifiesten su oposición a fin de que no se lleve a cabo el tratamiento para fines específicos.

¿Qué se considera como vulneración de datos?

• La pérdida o destrucción no autorizada de datos personales.
• El robo, extravío o copia no autorizada de datos personales.
• El uso, acceso o tratamiento no autorizado de datos personales.
• El daño, alteración o modificación no autorizada de datos personales.

En caso de vulneración de datos, el responsable es quien debe informar a los titulares si existe una afectación de forma significativa a sus derechos patrimoniales o morales, así como las medidas, lineamientos y acciones internas que se llevarán a cabo.

¿Cuáles conductas podrían generar sanciones administrativas o incluso penales?

• No cumplir con alguna solicitud realizada por un titular.
• Cambiar la finalidad del tratamiento de datos personales.
• Transferir datos a terceros sin autorización del titular.
• Declarar dolosamente la inexistencia de datos personales.
• Actuar con negligencia y/o dolo.
• Omitir el aviso de privacidad y tratar con datos personales.
• No cumplir con la confidencialidad al tratar los datos personales.

1. Sanciones administrativas:
2. Apercibimiento
3. Multas de 100 o 200 a 160,000 o 320,000 salarios mínimos vigentes.
4. En caso de reiteraciones puede sancionarse con multas adicionales o las sanciones se pueden incrementar hasta el doble.

• Sanciones penales:
• Prisión por 3 meses a 3 años a la persona que, estando autorizado para tratar datos personales, con ánimo de lucrar vulnere la seguridad de las bases de datos bajo su custodia.
•  Prisión de 6 meses a 5 años al que con la finalidad de lucrar trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos.

Acciones que se deben tomar para evitar sanciones o bien, en caso de una vulneración de la base de datos personales se tenga un impacto positivo en la consideración de la autoridad que impondrá la sanción:

1. Contar con una política de protección de datos.
2. Entrenar en temas de protección de datos a sus empleados.
3. Contar con un aviso de privacidad que cumpla con las características del país en el que se recaban los datos.
4. Hacer auditorias internas de los procesos y políticas existentes para saber el nivel del cumplimiento en que la sociedad se encuentra.
5. Designar a una o bien, a un grupo de personas para que sean los encargados de salvaguardar la integridad de la información y verificar el correcto manejo de la misma.

Lic. María Fernanda Ortega

Gloria Ponce de León & Hernández