Aviso de Privacidad ¿Múltiple o Monolítico?

Una de las discusiones más recurrentes en la práctica de la protección de datos personales en México es la de la disyuntiva entre concentrar el contenido de TODOS los posibles avisos de privacidad del Responsable en un documento, a fin de que los Titulares seleccionen la información relevante para ellos de entre aquélla que no lo fuera, o bien “segmentarlos”, de manera que, por ejemplo, se tenga uno para clientes, otro para empleados, y hay quienes incluso adicionan otro más para proveedores (habiendo quienes consideramos que no es necesario en ese caso).

Ejemplos del primer grupo se encuentran en las páginas de Internet de GRUMA y de Roche, en tanto que Sport City (ver esq. inf. izq.) y Walmart se decantan por la segunda.

Será difícil concluir hasta que el IFAI no emita un criterio definido al respecto, y la discusión se centra en la interpretación del artículo 24 del Reglamento de la Ley y el Lineamiento Décimo del Aviso de Privacidad, atento a los cuales dicho documento deberá ser sencillo, eficiente y práctico, con información necesaria, expresado con lenguaje claro en español y comprensible, y con una estructura y diseño que facilite su entendimiento.

Hay quienes sostienen que no sería sencillo para los propios Titulares clasificarse a si mismos entre las diversas categorías para las que el Responsable hubiera dispuesto la redacción de avisos de privacidad, de tal suerte que todos los supuestos posibles deberían ser previstos en un texto monolítico.

También hay quienes dicen que, por ejemplo, la información de datos personales y finalidades del tatamiento de los datos personales de los empleados del Responsable no es necesaria para los clientes del mismo (y tal vez difundir ese listado de datos personales podría suponer un riesgo de seguridad), por lo que lo ideal sería que el Responsable dispusiera uno para cada grupo de finalidades. Me atrevería a decir que en algún momento un alto funcionario del IFAI habría manifestado alguna inclinación por esta postura en una conferencia, pero carezco del soporte documental para ello.

Sea cual fuere el caso, hay más de una forma de matar pulgas y cualquiera será válida hasta que el IFAI no exprese lo contrario.

Mención aparte merece el requisito de redacción en idioma español; si bien es el idioma oficial de los Estados Unidos Mexicanos, esto lo hace indebidamente restrictivo en supuestos como los del artículo 4 del Reglamento de la Ley, bajo los cuales el Tratamiento de datos de residentes en el extranjero podría llevarse a cabo en México (si algún día se logra la certificación de “Puerto Seguro” –Safe Harbor-), no obstante lo cual en los lineamientos no se planteó nada sobre la disponibilidad de traducciones en otros idiomas… como no sea que debiera entenderse implícito en el requisito de la fraccion II del Lineamiento Décimo, que obliga al Responsable a tomar en cuenta para su redacción los perfiles de los Titulares.

2 comentarios
  1. egosti dijo:

    Rodrigo…

    Repasando el ABC del Aviso de Privacidad, vemos que el IFAI recomienda hacer varios avisos, conforme a las necesidades. Al respecto, el punto 6 de la Sección I, nos dice:

    6. ¿Se puede utilizar un único aviso de privacidad para distintas actividades?
    El número de avisos de privacidad que debe tener un mismo responsable depende de las características de los tratamientos que se lleven a cabo en las distintas actividades que realice el responsable.

    No se recomienda que un mismo aviso de privacidad refiera a tratamientos en los que la información a incluir en el mismo sea distinta entre sí, es decir, en donde las finalidades, el tipo de datos tratados o las transferencias que se realicen no sean iguales, o no sea posible expresar con claridad la información que aplica o corresponde a cada caso.

    Por ejemplo, se recomienda que el responsable tenga un aviso de privacidad para el tratamiento de datos personales que realiza respecto de sus empleados, y otros distintos para los tratamientos que lleve a cabo con la información de sus clientes.

    Aunque el ABC no es vinculante, pero al ser una herramienta orientadora del IFAI y que pretende orientar en el cumplimiento de las obligaciones en la materia, nos permite pensar que ese será el criterio que seguiría en una verificación.

    • Estimado Ernesto, muchas gracias por tu aportación a esta discusión.

      Definitivamente en México no puede seguirse la misma práctica que en EE.UU.A. y tener un solo aviso de privacidad o privacy policy para todo.

      Para efectos de la discusión valdría la pena el enfoque hacia tener los múltiples avisos de privacidad del Responsable consolidados en un monolito que contara con un capítulo particular para datos y finalidades propias de cada categoría de Titular.

      En ese caso, el Titular tendría que clasificarse a si mismo, y accedería además a información propia del Tratamiento de Datos Personales de otras categorías de Titulares, misma que no le resulta necesaria, lo cual me parece contrario al Lineamiento Décimo del Aviso de Privacidad.

      ¿Más opiniones al respecto?

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Compliance Report

Compliance and Ethics Powered by The Red Flag Group

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC Corporate Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site