Principios para el tratamiento de datos personales

En esta ocasión te daremos a conocer parte de lo que nos indica la LFPDPPP respecto a los 8 principios sobre el tratamiento de datos personales

¿Qué son los datos personales?

Cualquier información concerniente a una persona física identificada o identificable.

¿Qué son los datos sensibles?

Aquellos datos personales que afecten a la esfera más íntima de su titular o cuya utilización indebida puedan dar origen a discriminación o conlleve un riesgo grave para el titular

datos personales

¿Qué principios, deberes y derechos de los titulares debo contemplar?

El INAI señala que el responsable deberá observar los principios de licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y responsabilidad en el tratamiento de datos personales.

Lo principios y deberes en materia de protección de datos personales legitiman el tratamiento de datos personales y deben asegurarse a lo largo de su ciclo de vida en todas y cada una de las fases de tratamiento de estos, desde que se obtiene o recaban ya sea del propio interesado o no hasta que son destruidos, eliminados o borrados.

¿Cuáles son esos principios?

Licitud:

Artículo 10. El principio de licitud obliga al responsable a que el tratamiento sea con apego y cumplimiento a lo dispuesto por la legislación mexicana y el derecho internacional.

Lealtad

Artículo 44. El principio de lealtad establece la obligación de tratar los datos personales privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad, en los términos establecidos en el artículo 7 de la Ley.

No se podrán utilizar medios engañosos o fraudulentos para recabar y tratar datos personales. Existe una actuación fraudulenta o engañosa cuando:

Exista dolo, mala fe o negligencia en la información proporcionada al titular sobre el tratamiento;
Se vulnere la expectativa razonable de privacidad del titular a la que refiere el artículo 7 de la Ley, o
Las finalidades no son las informadas en el aviso de privacidad.

Información

Artículo 23. El responsable deberá dar a conocer al titular la información relativa a la existencia y características principales del tratamiento a que serán sometidos sus datos personales a través del aviso de privacidad, de conformidad con lo previsto en la Ley y el presente Reglamento.

Consentimiento

Artículo 11. El responsable deberá obtener el consentimiento para el tratamiento de datos personales, a menos que no sea exigible con arreglo a lo previsto en el artículo 10 de la Ley. La solicitud del consentimiento deberá ir referida a una finalidad o finalidades determinadas, previstas en el aviso de privacidad.

Cuando los datos personales se obtengan personalmente o de manera directa de su titular, el consentimiento deberá ser previo al tratamiento.

Características del consentimiento

Artículo 12. La obtención del consentimiento tácito o expreso deberá ser:

Libre
Específica
Informada

Consentimiento tácito

Artículo 13. Salvo que la Ley exija el consentimiento expreso del titular, será válido el consentimiento tácito como regla general, conforme a lo dispuesto en los artículos 11 y 12 del presente Reglamento.

Solicitud del consentimiento tácito

Artículo 14. Cuando el responsable pretenda recabar los datos personales directa o personalmente de su titular, deberá previamente poner a disposición de éste el aviso de privacidad, el cual debe contener un mecanismo para que, en su caso, el titular pueda manifestar su negativa al tratamiento de sus datos personales para las finalidades que sean distintas a aquéllas que son necesarias y den origen a la relación jurídica entre el responsable y el titular.

Cuando el responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento se deberá informar al titular sobre el uso

de esas tecnologías, que a través de las mismas se obtienen datos personales y la forma en que se podrán deshabilitar.

Consentimiento expreso

Artículo 15. El responsable deberá obtener el consentimiento expreso del titular cuando:

Lo exija una ley o reglamento;
Se trate de datos financieros o patrimoniales;
Se trate de datos sensibles;
Lo solicite el responsable para acreditar el mismo, o
Lo acuerden así el titular y el responsable.

Solicitud del consentimiento expreso

Artículo 16. Cuando el consentimiento expreso sea exigido en términos de una disposición legal o reglamentaria, el responsable deberá facilitar al titular un medio sencillo y gratuito para que, en su caso, lo pueda manifestar.

Consentimiento verbal

Artículo 18. Se considera que el consentimiento expreso se otorgó verbalmente cuando el titular lo externa oralmente de manera presencial o mediante el uso de cualquier tecnología que permita la interlocución oral.

Consentimiento escrito

Artículo 19. Se considerará que el consentimiento expreso se otorgó por escrito cuando el titular lo externe mediante un documento con su firma autógrafa, huella dactilar o cualquier otro mecanismo autorizado por la normativa aplicable. Tratándose del entorno digital, podrán utilizarse firma electrónica o cualquier mecanismo o procedimiento que al efecto se establezca y permita identificar al titular y recabar su consentimiento.

Prueba para demostrar la obtención del consentimiento

Artículo 20. Para efectos de demostrar la obtención del consentimiento, la carga de la prueba recaerá, en todos los casos, en el responsable.

Finalidad

Artículo 40. Los datos personales sólo podrán ser tratados para el cumplimiento de la finalidad o finalidades establecidas en el aviso de privacidad, en términos del artículo 12 de la Ley.

Para efectos del párrafo anterior, la finalidad o las finalidades establecidas en el aviso de privacidad deberán ser determinadas, lo cual se logra cuando con claridad, sin lugar a confusión y de manera objetiva se especifica para qué objeto serán tratados los datos personales.

Diferenciación de finalidades

Artículo 41. El responsable identificará y distinguirá en el aviso de privacidad entre las finalidades que dieron origen y son necesarias para la relación jurídica entre el responsable y el titular, de aquéllas que no lo son.

Oposición del tratamiento para finalidades distintas

Artículo 42. El titular podrá negar o revocar su consentimiento, así como oponerse para el tratamiento de datos personales para las finalidades que sean distintas a aquéllas que son necesarias y den origen a la relación jurídica entre el responsable y el titular, sin que ello tenga como consecuencia la conclusión del tratamiento para estas últimas finalidades.

Tratamiento para finalidades distintas

Artículo 43. El responsable no podrá llevar a cabo tratamientos para finalidades distintas que no resulten compatibles o análogas con aquéllas para las que hubiese recabado de origen los datos personales y que hayan sido previstas en el aviso de privacidad, a menos que:

Lo permita de forma explícita una ley o reglamento, o
El responsable haya obtenido el consentimiento para el nuevo tratamiento.

Calidad

Artículo 36. Se cumple con el principio de calidad cuando los datos personales tratados sean exactos, completos, pertinentes, correctos y actualizados según se requiera para el cumplimiento de la finalidad para la cual son tratados.

Se presume que se cumple con la calidad en los datos personales cuando éstos son proporcionados directamente por el titular, y hasta que éste no manifieste y acredite lo contrario, o bien, el responsable cuente con evidencia objetiva que los contradiga.

Cuando los datos personales no fueron obtenidos directamente del titular, el responsable deberá adoptar medidas razonables para que éstos respondan al principio de calidad, de acuerdo con el tipo de datos personales y las condiciones del tratamiento.

El responsable deberá adoptar los mecanismos que considere necesarios para procurar que los datos personales que trate sean exactos, completos, pertinentes, correctos y actualizados, a fin de que no se altere la veracidad de la información, ni que ello tenga como consecuencia que el titular se vea afectado por dicha situación.

Proporcionalidad

Artículo 45. Sólo podrán ser objeto de tratamiento los datos personales que resulten necesarios, adecuados y relevantes en relación con las finalidades para las que se hayan obtenido.

Responsabilidad

Artículo 47. En términos de los artículos 6 y 14 de la Ley, el responsable tiene la obligación de velar y responder por el tratamiento de datos personales que se encuentren bajo su custodia o posesión, o por aquéllos que haya comunicado a un encargado, ya sea que este último se encuentre o no en territorio mexicano.

Para cumplir con esta obligación, el responsable podrá valerse de estándares, mejores prácticas internacionales, políticas corporativas, esquemas de autorregulación o cualquier otro mecanismo que determine adecuado para tales fines.

Estos son los 8 principios del tratamiento de datos personales, pero es necesario saber que de estos principios de desglosan más actividades como las solicitudes de derechos ARCO, avisos de privacidad, derechos, sanciones, etc. Pero todo esto lo veremos en próximos artículos de nuestro Blog

¡Mantente atento!

¿Requieres asesoría?