En una entrada anterior, hacíamos referencia a la manera en que los usuarios –titulares de sus datos personales- pueden protegerse frente a un tratamiento indebido de sus datos personales por parte de los proveedores de bienes y/o servicios.
En esta oportunidad, y en celebración del Día Internacional de Protección de Datos Personales, queremos compartir algunos tips para los proveedores de dichos bienes y/o servicios, considerados responsables del tratamiento de los datos personales de los usuarios, conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
En primer lugar, la recomendación es que si dicho proveedor va a ofertar productos y/o servicios a sus usuarios/consumidores/clientes, deberá contar con un aviso de privacidad válido, vigente, actualizado, completo y que cumpla con todas las previsiones de la LFPDPPP (particularmente, su artículo 16). Nota: se recomienda que para su elaboración se consulte a especialistas en la materia y no que se “copien y peguen” avisos de terceros ni que se utilicen generadores automáticos de dichos avisos ya que se corre el riesgo de no cumplir con los requisitos legales y colocarse en situaciones de infracción a la LFPDPPP.
Muchas de las consultas que recibimos es si este aviso de privacidad debe registrarse en el INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales) o en alguna otra parte. Para información de los responsables, les comentamos que no, que dicho aviso no se deberá registrar en ninguna parte. Sí se deberá poner a disposición de los titulares a través del medio que el responsable desee. La forma más comúnmente utilizada, es mediante la publicación en la página web del proveedor. De esta manera todos los usuarios/consumidores/clientes, que son considerados como titulares de los datos personales por la LFPDPPP conocerán de qué manera el proveedores estará tratando sus datos personales, con qué finalidad, por cuánto tiempo, si se transferirán a terceros, entre otros puntos.
En segundo lugar, es importante que el proveedor incluya, entre las finalidades secundarias, para qué tratará los datos personales de los titulares. En el caso que nos ocupa, se deberá explicar que los datos personales del titular serán utilizados para proveerle información adicional, tal como, publicidad, promociones de productos y/o servicios, así como información con fines mercadotécnicos, mail marketing, y todos aquellos que impliquen el envío de comunicaciones no deseadas por el consumidor, a través de cualquier medio. Nota: si el proveedor-responsable no incluye estos puntos entre sus finalidades, no podrá tratar los datos personales de los consumidores con estas finalidades. Si lo hace, se encontrará en una situación de infracción a la LFPDPPP y será pasible de importantes sanciones pecuniarias.
Asimismo es importante mencionar que si el usuario/consumidor/cliente ejerció alguna solicitud de derechos ARCO (cancelación u oposición por ejemplo) o solicitó la revocación del consentimiento para las finalidades secundarias mencionadas –para la oferta de los productos y/o servicios- y le pidió al proveedor-responsable que deje de tratar sus datos personales, el proveedor deberá cesar en dicho tratamiento, so pena de incurrir también en una situación de infracción a la LFPDPPP y hacerse acreedor de elevadas sanciones económicas.
Adicionalmente, el proveedor deberá cerciorarse, antes de realizar el tratamiento de los datos personales de los consumidores, que los mismos no se encuentren inscritos en el Registro Público Para Evitar Publicidad (REPEP) de la Procuraduría Federal del Consumidor (PROFECO). Para eso deberá adquirir y consultar las bases de datos con dichos registros, so pena también de incurrir en situación de infracción a la LFPDPPP y sus consecuentes sanciones.
En el caso de tratarse de proveedores de servicios financieros y/o bancarios, deberán asegurarse antes del tratamiento de los datos personales de los usuarios, que los mismos no se encuentren inscritos, en este caso, en el Registro Público de Usuarios que no deseen información publicitaria de Productos y Servicios Financieros (REUS) de la Comisión Nacional para la Protección y Defensa de los Usuarios de los Servicios Financieros (CONDUSEF), para evitar colocarse en las situaciones de infracción a la LFPDPPP.
Adicionalmente, en todos los casos, y para cumplir con uno de los requisitos que exige la LFPDPPP para el aviso de privacidad –en su artículo 16 y adicionalmente en los Lineamientos para el Aviso de Privacidad– se recomienda que en sus avisos de privacidad incluyan estas opciones con las que cuentan los usuarios/consumidores/clientes, de poder inscribirse en los registros mencionados para evitar recibir publicidad y/o comunicaciones no deseadas y como medio para limitar el uso y divulgación de sus datos personales. Sumado a esto, se recomienda revisar su aviso de privacidad con cierta frecuencia –al menos cada 6 meses- ya que el mismo es un documento dinámico que debe ir reflejando el tratamiento de datos personales que los proveedores-responsables realicen.
Para finalizar, una recomendación adicional, es tener siempre presente que el proveedor podrá ser el propietario de las bases de datos con información de los consumidores con las que trabajen, aunque siempre los datos personales de los titulares son de propiedad de dichos titulares y los mismos cuentan con este derecho humano, reconocido constitucionalmente, para decidir a quién y bajo qué condiciones, le permite el tratamiento de sus datos personales.
Esperamos que esta información sea de tu utilidad. En caso de necesitar ayuda para proteger tus datos personales, estamos a tu disposición para apoyarlos.
¡Feliz Día Internacional de la Protección de Datos Personales!
R10S Abogados