¡Atención! Cuando el uso de la información es incorrecto, es muy fácil caer en ilegalidades y más aún, cualquier comercio puede hacer mal uso y violar la ley y por tanto hacerse acreedores a sanciones mayúsculas tanto de forma económica, como de renombre.

Con la excusa de que los consumidores cuenten con una experiencia más personalizada, lo cual les reporta mayores ventas a los comercios, es una estrategia de venta ventajosa, las empresas reciben, analizan y almacenan la información de las personas y las utilizan siempre a su favor. Lo señalado, es sin duda, una práctica que, malamente se ha normalizado, pues la sociedad ha requerido hacer que sus experiencias de compra sean cada vez más rápidas e individualizadas.

Iniciaremos planteando que los datos personales son todos aquellos que tienen cualquier información que se relaciona con la persona física ya identificada o identificable. Son datos sensibles cuando el mal uso de estos altera de manera negativa al titular de los datos o bien que l mal uso de los mismos originen una discriminación o pongan a la persona en riesgo por revelar el estado de salud, su ideología, orientación sexual, origen étnico o racial, entre otros.

En la legislación mexicana, el uso de los datos de los consumidores se encuentra al amparo de la Ley Federal de Datos Personales, la cual entró en vigor en el año 2010 y en donde se destaca la importancia de reconocer y proteger la privacidad de los consumidores en su carácter de cliente, elevado a rango constitucional. Esta ley está enfocada en evitar que los datos personales del consumidor sean utilizados indebidamente y en que se respeten los derechos de los propietarios de dicha data para garantizar la privacidad al comprar.

Esta ley es acatable para cualquier empresa de acuerdo con la manera en cómo se manejan los datos:

• Si quien administra el uso de los datos se ubica en México.
• Cuando la información sea manipulada por un programa que trabaja a nombre de un procesador de datos anclado en el territorio nacional.
• Cuando el responsable de la administración de datos utiliza medios de procesamiento localizados en la República Mexicana.

Posterior al surgimiento de la Ley de protección de datos, se creó el “Reglamento” de la Ley de Protección de Datos que se publicó en el Diario Oficial de la Federación el 21 de diciembre de 2011., el cual tiene como finalidad el dilucidar cualquier resquicio que puedan existir el articulado de la Ley y coadyuvar en su aplicación.

Además, existen los Lineamientos de Aviso de Privacidad que fueron promulgados en 2013. Su fin consiste en aclarar el contenido de los avisos de privacidad, de acuerdo a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Quienes traten datos personales deben guiarse por las guías e instrumentos emitidos por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), pues es la autoridad encargada de garantizar el cumplimiento del derecho a la protección de datos personales.

Entre los instrumentos con los que se cuenta, encontramos:

• la Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales[1]; y
• la Guía para el Tratamiento de Datos Biométricos[2].

El fin de las herramientas antes señaladas, consiste en brindar protección a la privacidad de los derechos de las personas consumidoras. Es decir, la prevención para que los datos personales sean usados de manera indebida, que los derechos de los titulares de los mismos sean garantizados, y que se pueda llegara la

[1] https://home.inai.org.mx/wp-content/uploads/Gu%C3%ADa_Implementaci%C3%B3n_SGSDP(Junio2015).pdf

[2] https://home.inai.org.mx/wp-content/uploads/Gu%C3%ADa_Implementaci%C3%B3n_SGSDP(Junio2015).pdf

certeza de que los datos personales que se proporcionan son tratados de acuerdo a como las partes pactaron y más aún, que se cumple con lo establecido por las leyes de la materia.

Ahora bien, aunado a los requisitos antes señalados, los responsables del manejo de datos deben cumplir con los principios básicos de la protección de datos, los cuales se encuentran al amparo de la Ley de Protección de Datos en el apartado de tratamiento de los datos:

Se refiere a la Licitud, es decir que el tratamiento debe ser en cumplimiento de la Ley de Protección de Datos, su Reglamento y cualquier otra regulación aplicable,

Trata del Consentimiento, es decir conseguir la aprobación de los usuarios para autorizar el tratamiento de sus datos personales, cuando este sea necesario, así como el asentimiento para ceder a los motivos de tratamiento definido.

La Información, consistente en dar a conocer al dueño de los datos cuál será el tratamiento de los mismos. Esto se refiere a qué datos se recaban y para que fines. Lo anterior, debe de estar integrado en el de privacidad de su página.

La Calidad, se refiere a la exactitud con al que los datos personales tratados deben ser exactos, completos, pertinentes, correctos y actualizados de acuerdo con las finalidades para las que fueron recabados.

Los datos personales deben ser tratados para el cumplimiento de las finalidades establecidas en el aviso de privacidad.

El tratamiento de los datos personales privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad y esto se refiere a la Lealtad.

El principio que se refiere a la Proporcionalidad se refiere a que solo podrán tratarse los datos personales que resulten necesarios, adecuados y relevantes en relación con las finalidades previstas en el aviso de privacidad.

Por último, la Responsabilidad consiste en responder por el tratamiento de los datos personales recabados o por aquellos que haya comunicado al encargado.

Además de estos 8 principios, la Ley de Protección de Datos también prevé los deberes de seguridad y de confidencialidad, que deben ser cumplidos por el responsable.

La Ley de Protección de Datos establece la obligación de las personas físicas o morales del sector privado que obtengan, usen, almacenen y/o transfieran datos personales, por cualquier medio, como parte de sus actividades. En conjunto, estas acciones reciben el nombre de «tratamiento» de datos personales, que es el término utilizado por la Ley. [1]

Parece pertinente remarcar que, de acuerdo con lo previsto en la Ley, los principales representantes en el tratamiento de los datos personales son los denominado como «responsable» y «encargado», a saber: el responsable es la persona física o moral del sector privado que toma las decisiones sobre el tratamiento de datos personales; y el encargado es la persona física o moral, opuesta al responsable, que trata los datos personales por cuenta del responsable y de acuerdo con sus instrucciones.

Si bien es cierto que no es necesario que el responsable cuente con el apoyo de un encargado para el tratamiento de los datos, si el responsable resuelve implicarlo, deberá existir un contrato entre estos partes para evidenciar la existencia y condiciones de dicha relación.

Ahora bien, si el responsable es quien se enfrenta a las sanciones del INAI en caso de incumplimiento, es el encargado quien debe evitar algunas prácticas como, incumplir con las instrucciones del responsable o trasladar datos personales sin consentimiento. En esos asuntos, el encargado será el responsable y estará sujeto a las mismas sanciones.

La forma en la cual comúnmente, las empresas captan la información personal de distintas formas. Algunas lo hacen de forma directa, cuando solicitan el nombre y el correo para enviar un ebook o al momento de registrarte en un webinar.

Otra manera de obtención de datos, es de forma indirecta, como cuando se conoce la información de un médico a través de una base de datos pública.

[1] Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

incluso la información puede recolectarse sin intervención humana, como es el caso de las páginas webs que usan cookies.

Es forzoso que las empresas tratantes de datos prioricen el cumplimiento de las normas en materia de manejo de datos de sus usuarios, además de la garantía y compromiso del uso apropiado y transparente de la información. Para prevenir y evitar cualquier tipo de fraude, se debe tener claridad en el tratamiento de los datos y aplicar medidas de protección.

Por otro lado, los derechos con los que cuentan los consumidores son, primeramente, a conocer cuáles son los datos personales que le serán recolectados, y además, saber cuál es la finalidad de la compañía o prestador de servicio, de la recolección de los mismos. Aunado a lo anterior, se tiene la eficacia de la rectificación de la información en caso de descubrir que ésta no es precisa o bien, es equívoca.

Abonando a lo anterior, la ley establece que el titular del derecho al que nos referimos puede en todo momento, requerir que su información pueda ser suprimida de los registros de la empresa prestadora del servicio y oponerse a que sus datos personales puedan ser usados, además de requerir a los responsables del uso de datos que se abstengan de seguir conociendo de ésta.

Es importante que las empresas cuenten con claridad suficiente y transparencia hacia el consumidor al momento de solicitar autorización del uso de sus datos personales, así como contar con personal encargado de informar al usuario sobre lo referente a su privacidad y el tratamiento de los datos.

Por otro lado, en lo que respecta a las Obligaciones que tienen las empresas. La Ley de Protección de Datos, establece obligaciones y responsabilidades que tienen que observarse por parte de quien trate datos personales.

Cualquier persona física o moral que recabe y trate datos personales debe tener un aviso de privacidad. Es a través de este instrumento que se satisface la obligación establecida en Ley, al informar a los particulares la existencia y características principales del trámite a la cual se verán sometidos sus datos personales.

En el aviso de privacidad se debe de establecer:

La identidad del responsable;

Qué datos se recabarán;

Cuáles son las finalidades del tratamiento;

Los derechos de los que goza el titular;

Si se comparten sus datos con otras entidades, entre otra información

En lo que respecta al consentimiento, es de resaltar que se encuentra sujeto al consentimiento tácito o expreso del titular de los datos, salvo las excepciones establecidas por la Ley de Protección de Datos.

El consentimiento es expreso cuando el deseo se exterioriza de manera verbal, por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos. Se resalta el hecho de que, cuando se trata de datos patrimoniales, financieros y sensibles, es necesario contar con el consentimiento expreso de los titulares.

El consentimiento será tácito cuando, aún y cuando se presentó al usuario el aviso de privacidad, éste no haya manifestado su oposición al tratamiento de sus datos.

Asimismo, y como regla general, se requerirá el consentimiento del titular para permitir al responsable transferir sus datos personales a otras empresas no relacionadas, ya sea que estas se encuentren en México o en el extranjero[1].

Sin embargo, la Ley de Protección de datos prevé algunos casos en los que no se requerirá el consentimiento de los titulares. Por ejemplo, cuando la transferencia sea efectuada dentro el mismo grupo corporativo del responsable.

Otra obligación de los responsables es permitir que los titulares de los derechos ejerzan sus derechos de acceso, rectificación, cancelación y oposición (Derechos ARCO).

De igual modo, quienes son poseedores de los datos deben atender las solicitudes de revocación de consentimiento, limitación del uso, así mismo de divagación por parte de los titulares, respecto de los datos personales en posesión del responsable. Para este fin, el responsable deberá designar a una persona o un departamento de datos personales para atender las solicitudes de los titulares que quieran ejercer sus derechos ARCO.

En caso de inobservancias a las disposiciones de la Ley de Protección de Datos y su “Reglamento” el INAI podrá imponer penas, cuyo monto será de acuerdo con del incumplimiento o la omisión de que se trate. Aunque, dichas penas podrán duplicarse duplicarán si la infracción es cometida en el tratamiento de datos personales sensibles.

A manera de colofón, es sustancial apegarse a las normas vigentes en materia de protección de datos como el PCI SSC (Payment Card Industry Security Standards Council). El cual es un estándar de seguridad adoptado por los emisores de tarjetas bancarias para evitar el robo de información de los usuarios titulares de plásticos bancarios, usados en transacciones.[2]

Es imprescindible concientizar al personal de las empresas sobre la importancia de no violentar esta regulación y la responsabilidad que implica tratar con información de este tipo.

Finalmente, hay recursos, como la guía para la implementación de un Sistema de Gestión de Seguridad de Datos personales publicada por el Instituto Nacional de Acceso a la Información (INAI), que coadyuban con las empresas a elaborar una 

[5] Official PCI Security Standards Council Site – Verify PCI …https://www.pcisecuritystandards.org

política de gestión de datos con el objetivo de apegarse de forma correcta a la regulación.