AVISO DE PRIVACIDAD

1. GENERALES

A. Base principal para cumplir con el Principio de Información.

B. Ley Federal de Protección de Datos Personales en Posesión de Particulares (“LFPDPPP”).
Artículo 15 señala que es obligación del responsable del tratamiento informar al titular los datos
que serán sometidos al tratamiento y los fines del tratamiento.
C. Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de
Particulares (“RLFPDPPP”). Artículo 23 señala que es el medio para comunicar la información
relativa a la existencia y características principales del tratamiento.
D. Lineamientos del Aviso de Privacidad (“LAP”) Lineamiento Sexto. Tiene el objeto que el
titular ejerza sus derechos a la autodeterminación informativa, privacidad y protección de datos
personales.
E. Es requisito que se cumpla con la puesta a disposición (Principio de Consentimiento)

2. DEFINICIONES

A. LFPDPPP Artículo 3, Fracc. I

Aviso de Privacidad: Documento físico, electrónico o en cualquier otro formato generado

por el responsable que es puesto a disposición del titular, previo al tratamiento de sus
datos personales, de conformidad con el artículo 15 de la presente Ley.

B. Lineamientos del Aviso de Privacidad INAI:

Séptimo … “es un documento físico, electrónico o en cualquier otro formato generado

por el responsable que es puesto a disposición del titular, previo al tratamiento de sus
datos personales, a fin de cumplir con el principio de información.”

3. OBJETOS DEL AVISO DE PRIVACIDAD

A. Limitar al responsable alcances y condiciones generales del tratamiento de DP.

B. Informar a los titulares de que se trata dichos alcances y condiciones de DP.
C. Toma de decisiones informadas por parte del titular sobre sus DP
D. Permite al titular mantener control y disposición de sus datos personales.
E. Permite transparentar el tratamiento de los DP incluso permite contar con mayor confianza de
los titulares.

4. CARACTERÍSTICAS (Art24 RLFPDPPP y Lineamiento 10 LAP)

Sencillo. Información necesaria, lenguaje claro y comprensible, prescindir de lenguaje rebuscado,

privilegiar lenguaje cotidiano. Sin tecnicismos.

Estructura y diseño que facilite su entendimiento. En español o en idioma o lenguaje pensado en

los titulares a quienes va dirigido incentivando su lectura.

LAP Lineamiento 10:

Información de uso interno

 ✓ No usar frases inexactas, ambiguas o vagas;
✓ Tomar en cuenta para su redacción los perfiles de los titulares;
✓ No incluir textos o formatos que induzcan al titular a elegir una opción en específico;
✓ En caso de que se incluyan casillas para que el titular otorgue su consentimiento, no se
deberán marcar previamente, y
✓ No remitir a textos o documentos que no estén disponibles para el titular.

5. ELEMENTOS Y CONTENIDO

INTEGRAL (Art. 17 frac I LFDPDPPP)

Datos se obtienen personalmente del titular

INTEGRAL
Cuando los datos se obtienen personalmente del titular
Requisitos Obligatoriedad
I. La identidad y domicilio del responsable que trata los datos personales; SÍ
II. Los datos personales que serán sometidos a tratamiento;
III. El señalamiento expreso de los datos personales sensibles que se tratarán;
IV. Las finalidades del tratamiento;
V. Los mecanismos para que el titular pueda manifestar su negativa para el
tratamiento de sus datos personales para aquellas finalidades que no son
necesarias, ni hayan dado origen a la relación jurídica con el responsable;
VI. Las transferencias de datos personales que, en su caso, se efectúen; el
tercero receptor de los datos personales, y las finalidades de las mismas;
VII. La cláusula que indique si el titular acepta o no la transferencia, cuando así
se requiera;
VIII. Los medios y el procedimiento para ejercer los derechos ARCO;
IX. Los mecanismos y procedimientos para que, en su caso, el titular pueda
revocar su consentimiento al tratamiento de sus datos personales;
X. Las opciones y medios que el responsable ofrece al titular para limitar el uso
o divulgación de los datos personales;
XI. La información sobre el uso de mecanismos en medios remotos o locales
de comunicación electrónica, óptica u otra tecnología, que permitan recabar
datos personales de manera automática y simultánea al tiempo que el titular
hace contacto con los mismos, en su caso, y
XII. Los procedimientos y medios a través de los cuales el responsable
comunicará a los titulares los cambios al aviso de privacidad» (lineamiento
vigésimo de los LAP).
I. Nombre comercial del responsable. NO
II. Otros datos de contacto como la dirección de su página de internet, correo
electrónico, fax, número telefónico, entre otros.
III. Asociación del tipo de datos personal a la finalidad de que se trate.
IV. Fuentes de la que son obtenidos los datos personales, y datos obtenidos de
cada fuente.
V. Asociación de datos personales sujetos a transferencia.
VI. Para el tratamiento de menores de edad o personas incapacitadas,
mencionar el mecanismo para obtención del consentimiento de su
representante legal y las acciones que se llevan a cabo para salvaguardar
dichos datos personales.
VII Comunicación de procesos de toma de decisiones sin intervención humana.
VIII. Derecho del titular de acudir ante la autoridad en materia de protección de
datos personales.

Información de uso interno

 SIMPLIFICADO
Cuando los datos son obtenidos a través de cualquier medio electrónico, óptico, sonoro,
visual o a través de cualquier otra tecnología
Requisitos Obligatoriedad
I. La identidad y domicilio del responsable que trata los datos personales; SÍ
II. Las finalidades del tratamiento, y
III. Los mecanismos que el responsable ofrece para que el titular conozca el
aviso de privacidad integral.

CORTO
Cuando los datos son obtenidos a través de formatos impresos con espacio limitado
Requisitos Obligatoriedad
I. La identidad y domicilio del responsable que trata los datos personales; SÍ
II. Las finalidades del tratamiento, y
III. Los mecanismos que el responsable ofrece para que el titular conozca el
aviso de privacidad integral.

6. PUESTA A DISPOSICÓN, MEDIOS DE DIFUSIÓN Y CAMBIOS

Acción del responsable, por la que da a conocer al titular el documento en el que se contienen las
condiciones y generalidades a que sus datos personales serán sometidos.

Sirve para que el titular pueda ejercer su derecho a la autodeterminación informativa y autorice el
tratamiento teniendo control de los DP.

El artículo 25 del RLFPDPPP

El responsable del tratamiento se puede valer de los medios de difusión necesarios —

tales como físicos, electrónicos, verbales o a través de cualquier tecnología—,
señalando como único requisito que se garantice el principio de responsabilidad en
materia de protección de datos personales (que el titular conozca sin lugar a dudas las
condiciones y generalidades a que sus datos personales serán sometidos).

El responsable del tratamiento debe contar con mecanismos adecuados, a través de

los cuales pueda monitorear los cambios en su operación y su impacto en el aviso de
privacidad.

7. AVISO DE PRIVACIDAD PARA LA OBTENCIÓN DIRECTA DE LOS DATOS PERSONALES

INTEGRAL
Cuando la obtención de los datos se
realiza personalmente y de manera
presencial, resulta obligatorio que el
responsable del tratamiento ponga a
disposición del titular el aviso de
privacidad
SIMPLIFICADO
Cuando se obtienen directamente del
titular, pero la entrega no es
presencial y se hace uso de cualquier
medio electrónico, óptico, sonoro,
visual o a través de cualquier otra
tecnología, resulta necesaria la
puesta a disposición del aviso de
privacidad

Información de uso interno

8. AVISO DE PRIVACIDAD EN FORMATOS CON ESPACIO LIMITADO

Datos obtenidos directamente del titular Aviso Simplificado

A través de medios impresos
Espacio mínimo y limitado

9. AVISO DE PRIVACIDAD PARA LA OBTENCIÓN INDIRECTA DE DATOS PERSONALES

✓ no es el titular quién los entrega directamente al responsable

✓ motivo de una transferencia de datos
✓ obtenidos de una fuente de acceso público

PASOS artículo 18 de la LFPDPPP

Se debe dar a conocer al titular el aviso de privacidad.

Cuando la puesta a disposición exige esfuerzos desproporcionales, podrán ser instrumentadas

medidas compensatorias.

REGLAS artículo 29 del RLFPDPPP.

CASO PUESTA A DISPOSICIÓN

Tratamiento para una finalidad prevista en el
aviso de privacidad a través del que se consintió
la transferencia, o bien los datos se obtienen a
través de fuentes de acceso pública
Tratamiento distinto al consentido en la
transferencia
realizarse en el primer contacto que el
responsable tenga con el titular
realizarse previo al aprovechamiento de los
datos personales
si el aviso de privacidad no se da a conocer de
manera directa o personal, se debe conceder al
titular un plazo de cinco días hábiles, a efectos
de que el mismo, en su caso, manifieste su
negativa para el nuevo tratamiento de sus datos
personales

10. FINALIDADES DE TRATAMIENTO DE DATOS PARA FINES MERCADOTÉCNICOS

Artículo 30 del RLFPDPP deben considerarse los fines mercadotécnicos, publicitarios o de

prospección comercial

Los avisos de privacidad deben indicar las finalidades y se distinga entre finalidades primarias y
secundarias, Lo anterior con estricta identificación de todos y cada uno de los usos que realizará a
los datos personales

11. TRATAMIENTO DERIVADO DE UNA RELACIÓN JURÍDICA

CONSIDERACIONES

Información de uso interno

✓ Excepción sean tratados para usos exclusivamente personales y esto no ocurre si el tratamiento
se realiza basado en una relación jurídica (art. 6 del RLFPDPPP).
✓ Consentimiento para el tratamiento el responsable está exento del cumplimiento del principio de
consentimiento (art. 10, fracción IV de la LFPDPPP y art. 17 del RLFPDPPP)
✓ Período de bloqueo. identificar el tipo de relación jurídica que hubiere tenido con el titular (art. 25
de la LFPDPPP).
✓ Consentimiento para transferencias. no tiene obligación de obtener el consentimiento (art. 37,
fracción VII de la LFPDPPP)

12. PRUEBA DEL AVISO DE PRIVACIDAD

Es necesario que el responsable del tratamiento cuente con elementos probatorios en caso de
requerirse ante una controversia administrativa o judicial.

Demostrará

Contar con aviso (s) de privacidad que amparen el tratamiento de los datos,

Contar con distintas modalidades que amparen el legítimo tratamiento

Los avisos cuentan con requisitos de contenido, se cumplen con las características de los avisos, se
pusieron a disposición y se cumple con el principio de consentimiento.

Elementos probatorios:

Impresiones de pantalla, confirmaciones de carga en sitios web o cualquier medio digital,

grabaciones en conmutadores, correos electrónicos donde se da a conocer el aviso, procedimientos
de operación de puesta a disposición.

13. MEDIDAS COMPENSATORIAS (Art. 18 párrafo tercero de la LFPDPPP y Art 32 del

RLFPDPPP).
✓ El responsable del tratamiento debe dar cumplimiento al principio de calidad, por lo que los datos
personales cuyo tratamiento ya no es necesario, deben ser cancelados.
✓ Los datos personales se debieron obtener previo al 07 de julio de 2011, pues es la fecha límite
que se tenía para dar cumplimiento a la puesta a disposición de los avisos de privacidad (Criterio
General Sexto en relación con el Tercero Transitorio de la LFPDPPP)
✓ Existir imposibilidad de dar a conocer a cada titular el aviso de privacidad o bien la puesta a
disposición exige esfuerzos desproporcionados, lo que debe representar un costo excesivo y
compromete la estabilidad financiera del responsable, la realización de actividades propias de
su negocio o la viabilidad de su presupuesto programado.
✓ No se debe requerir el consentimiento del titular para el tratamiento de sus datos personales.

Medios de comunicación para publicar el aviso en estos supuestos

✓ Diarios de circulación nacional;

✓ Diarios locales o revistas especializadas, cuando se demuestre que los titulares de los datos
personales residan en una determinada entidad federativa o pertenezcan a una determinada
actividad;
✓ Página de Internet del responsable;

Información de uso interno

 ✓ Hiperenlaces o hipervínculos situados en una página de Internet del Instituto, habilitados
para dicho fin, cuando el responsable no cuente con una página de Internet propia;
✓ Carteles informativos;
✓ Difusión en cápsulas informativas en radiodifusoras, o
✓ Otros medios alternos de comunicación masiva» (art. 35 del RLFPDPPP).

Si no se actualizan los cuatro supuestos para la implementación de una medida compensatoria y el

responsable del tratamiento desea adoptar alguna de ellas, es necesario contar con aprobación del
INAI a través de una solicitud que cumpla con los requisitos del artículo 33 del RLFPDPPP:

I. Nombre, denominación o razón social del responsable que la promueva y, en su caso, de su

representante, así como copia de la identificación oficial que acredite su personalidad y original para
su cotejo. En el caso del representante, se deberá presentar copia del documento que acredite la
representación del responsable y original para su cotejo;

II. Domicilio para oír y recibir notificaciones, y nombre de la persona autorizada para recibirlas;

III. Tratamiento al que pretende aplicar la medida compensatoria y sus características principales,
tales como finalidad; tipo de datos personales tratados; si se efectúan transferencias;
particularidades de los titulares, entre ellas edad, ubicación geográfica, nivel educativo y
socioeconómico, entre otros;

IV. Causas o justificación de la imposibilidad de dar a conocer el aviso de privacidad a los titulares o
el esfuerzo desproporcionado que esto exige. El responsable deberá informar sobre el número de
titulares afectados, antigüedad de los datos, si existe o no contacto directo con los titulares, y su
capacidad económica;

V. Tipo de medida compensatoria que pretende aplicar y por qué periodo la publicaría;

VI. Texto propuesto para la medida compensatoria, y

VII. Documentos que el responsable considere necesarios presentar ante el Instituto».

Al recibir la solicitud, el INAI cuenta con diez días hábiles para emitir una resolución, lo que, de no
suceder, se entenderá que la medida compensatoria ha sido autorizada.

Información de uso interno