DOF: 18/04/2012
CRITERIOS Generales para la instrumentación de medidas compensatorias sin la autorización expresa del Instituto Federal de Acceso a la Información y Protección de Datos

CRITERIOS Generales para la instrumentación de medidas compensatorias sin la autorización expresa del Instituto Federal de Acceso a la Información y Protección de Datos.

Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Instituto Federal de Acceso a la Información y Protección de Datos.

El Pleno del Instituto Federal de Acceso a la Información y Protección de Datos con fundamento en lo dispuesto por los artículos 15, 18, último párrafo y 39, fracción IV de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, y artículos 23, 32, primer párrafo, y Tercero transitorio de su Reglamento, y
CONSIDERANDO
Que la protección de datos personales es un derecho fundamental reconocido en nuestra Constitución, que busca la salvaguardia de la persona con relación al uso y aprovechamiento de su información personal;
Que esta garantía tiene por objeto dotar a toda persona de un amplio poder de disposición y control sobre sus datos personales, prerrogativa que abarca desde el derecho que tiene a conocer y decidir libre e informadamente quién y cómo se recaba, utiliza y comparte su información personal, hasta la potestad de oponerse al tratamiento de la misma;
Que el contenido del derecho a la protección de datos personales está determinado por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento, a través del establecimiento de una serie de principios, obligaciones y deberes que tiene que cumplir toda persona física o moral que trate datos personales, denominados por dichos instrumentos normativos como responsables, así como de una gama de derechos inherentes y reconocidos que tiene toda persona en su carácter de titular o dueña de la información que le concierne, y que se deben hacer efectivos cuando ésta lo solicite;
Que entre los principios de protección de datos personales que contempla y desarrolla la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento se encuentra el principio de información, el cual se traduce en la obligación que tiene el responsable de comunicar al titular la existencia y características principales del tratamiento a que será sometida su información personal, así como los mecanismos y procedimientos para que ejerzan sus derechos con relación a sus datos personales, en términos claros y sencillos, que le resulten fácilmente comprensibles, a través del aviso de privacidad;
Que por regla general el aviso de privacidad deberá ser puesto a disposición del titular de manera personal o directa, en función de los medios o formatos físicos, electrónicos, sonoros o cualquier otra tecnología utilizada para recabar los datos personales, previo a su obtención;
Que cuando se presente una imposibilidad material o se requieran esfuerzos desproporcionados para comunicar el aviso de privacidad de manera personal o directa al titular, el responsable podrá difundir dicho aviso a través de las medidas compensatorias a que se refiere el artículo 18, último párrafo de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares;
Que las medidas compensatorias se traducen en mecanismos alternos de comunicación que permiten y facilitan al responsable difundir el aviso de privacidad de manera generalizada y masiva a los titulares involucrados en el tratamiento de datos personales;
Que según lo dispuesto por el artículo 32, primer párrafo del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, el responsable podrá instrumentar medidas compensatorias, a través de los medios reconocidos en el artículo 35 del citado instrumento normativo, sin requerir la autorización expresa de este Instituto, de acuerdo con los criterios generales que expida esta Autoridad, mismos que serán publicados en el Diario Oficial de la Federación;
Que el Instituto en su carácter de autoridad garante y encargada de velar por el cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento, está obligado a expedir los criterios generales a través de los cuales los responsables podrán instrumentar de manera inmediata las medidas compensatorias a que se refiere el considerando anterior, sin la autorización expresa del Instituto;
Que los presentes Criterios Generales tienen por objeto establecer los supuestos y condiciones bajo los cuales el responsable podrá implementar medidas compensatorias sin la autorización expresa del Instituto;
Que el eje rector de estos Criterios Generales es en todo momento la protección de la persona, salvaguardando su derecho a mantener el poder de disposición y control sobre la información que le
concierne y, a su vez, de decidir libre e informadamente sobre el uso, destino y comunicación de sus datos personales a terceros;
Que para que los individuos estén en posibilidad de ejercer sus derechos con relación a su información personal, los reconocidos como derechos ARCO (acceso, rectificación, cancelación y oposición), es indispensable que conozcan los términos y condiciones bajo los cuales están siendo tratados sus datos personales y los medios que le ofrece el responsable para el ejercicio de estos derechos, a través del aviso de privacidad;
Que de conformidad con lo dispuesto por los artículos 18, tercer párrafo de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, y 34 de su Reglamento, para la autorización de la instrumentación de medidas compensatorias, el Instituto debe tomar en cuenta el número de titulares; la antigedad de los datos; la capacidad económica del responsable; el ámbito territorial y sectorial de operación del responsable, y la medida compensatoria a utilizar;
Que es una obligación legal del responsable procurar que los datos personales contenidos en las bases de datos sean pertinentes, correctos y actualizados para los fines para los cuales fueron recabados; y que en ese orden de ideas, cuando los datos personales hayan dejado de ser necesarios para el cumplimiento de las finalidades para las que se obtuvieron, así como para las disposiciones legales aplicables, deberán ser cancelados; lo que se reconoce como principio de calidad en el artículo 11 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares;
Que el artículo 37 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares establece los parámetros para fijar los plazos de conservación de los datos personales, al considerar las finalidades que justifican su tratamiento, las disposiciones legales aplicables a la materia de que se trate, así como los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información;
Que el principio de calidad, además de ser una obligación legal del responsable, constituye también un mecanismo útil para la conducción eficiente de su negocio, al reducir los costos de administración de los datos personales y al facilitar la existencia de información precisa y necesaria para el desarrollo de sus actividades;
Que la Ley Federal de Protección de Datos Personales en Posesión de los Particulares reconoce el principio de responsabilidad en su artículo 14, mismo que se desarrolla en su Reglamento, el cual consiste en la obligación del responsable de velar por el cumplimiento de los principios de protección de datos personales, debiendo adoptar las medidas necesarias para su aplicación;
Que para el cumplimiento del principio de responsabilidad, el responsable podrá valerse de estándares, mejores prácticas internacionales, políticas corporativas, esquemas de autorregulación o cualquier otro mecanismo que determine adecuado para tales fines;
Que al tomar en cuenta el principio de responsabilidad, los presentes Criterios Generales reconocen la facultad de los responsables de determinar el medio que consideren más adecuado y eficiente para comunicar a los titulares el aviso de privacidad, a través de la medida compensatoria, observando en todo momento el criterio de máximo alcance, que refiere al deber de los responsables de elegir el medio y periodo de difusión que resulte más eficiente para dar a conocer el aviso de privacidad y abarcar al mayor número posible de titulares,
El Instituto ha tenido a bien expedir los siguientes:
CRITERIOS GENERALES PARA LA INSTRUMENTACION DE MEDIDAS COMPENSATORIAS SIN LA
AUTORIZACION EXPRESA DEL INSTITUTO FEDERAL DE ACCESO A LA INFORMACION Y
PROTECCION DE DATOS
Capítulo I
De las disposiciones generales
Objeto
Primero. Los presentes Criterios Generales tienen por objeto establecer el marco general a través del cual los responsables podrán instrumentar, sin la autorización expresa del Instituto Federal de Acceso a la Información y Protección de Datos, las medidas compensatorias de comunicación masiva a las que refieren los artículos 18, último párrafo, de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, y 32, primer párrafo, de su Reglamento.
 
Naturaleza y objeto de las medidas compensatorias
Segundo. Las medidas compensatorias son mecanismos alternos para dar a conocer a los titulares el aviso de privacidad, a través de su difusión por medios masivos de comunicación u otros mecanismos de amplio alcance, que se instrumentan de manera excepcional cuando al responsable le resulta imposible poner a disposición de cada titular, de manera directa o personal, el aviso de privacidad, o ello exige esfuerzos desproporcionados.
Definiciones
Tercero. Además de las definiciones previstas en los artículos 3 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, y 2 de su Reglamento, para los efectos de los presentes Criterios Generales se entenderá por:
I.     Criterios Generales: Criterios Generales para la instrumentación de medidas compensatorias sin la autorización expresa del Instituto Federal de Acceso a la Información y Protección de Datos;
II.     Imposibilidad de dar a conocer el aviso de privacidad de forma personal o directa al titular: Cuando el responsable no cuente con los datos personales necesarios que le permitan tener contacto con el titular, ya sea porque no existen en sus archivos, registros o bases de datos, o bien, porque los mismos se encuentran desactualizados, incorrectos, incompletos o inexactos;
III.    Esfuerzos desproporcionados para dar a conocer el aviso de privacidad de forma personal o directa al titular: Cuando el número de titulares sea tal, que el hecho poner a disposición de cada uno de ellos el aviso de privacidad, de manera personal o directa, implique al responsable un costo excesivo, al considerar su capacidad económica, así como el hecho de que se comprometa su estabilidad financiera, la realización de actividades propias de su negocio o la viabilidad de su presupuesto programado; o bien, que dicha actividad sea disruptiva, de manera significativa, de aquellas que el responsable lleva a cabo cotidianamente;
IV.   Obtener los datos personales de forma directa de su titular: Cuando el propio titular proporciona los datos personales por algún medio que permite su entrega directa al responsable, entre ellos, medios electrónicos, ópticos, sonoros, visuales o cualquier otra tecnología, como correo postal, Internet o vía telefónica;
V.    Obtener los datos personales de forma indirecta: Cuando el responsable obtiene los datos personales sin que el titular se los haya proporcionado de forma personal o directa, como por ejemplo a través de una fuente de acceso público o una transferencia;
VI.   Obtener los datos personales de forma personal de su titular: Cuando el titular proporciona los datos personales al responsable con la presencia física de ambos;
VII.   Poner a disposición el aviso de privacidad de forma directa: Esto ocurre cuando se hace del conocimiento del titular el aviso de privacidad por algún medio que permite su entrega directa, como correo postal, medio electrónico o vía telefónica, entre otros, y
VIII.  Poner a disposición el aviso de privacidad de forma personal: Esto ocurre cuando el responsable o la persona designada para tal fin entrega o hace del conocimiento del titular el aviso de privacidad, con la presencia física de ambos.
Ambito de aplicación
Cuarto. Los presentes Criterios Generales serán de observancia obligatoria en todo el territorio nacional, para los responsables que requieran difundir el aviso de privacidad a través de las medidas compensatorias a las que refieren el artículo 18, último párrafo de la Ley y el criterio Primero, sin que para ello sea necesaria la autorización expresa del Instituto, de conformidad con lo dispuesto por el artículo 32, primer párrafo, del Reglamento.
 
Capítulo II
De los supuestos y condiciones para la aplicación de los Criterios Generales
Cumplimiento del principio de calidad
Quinto. Previo a la implementación de medidas compensatorias en el marco de los presentes Criterios Generales, el responsable deberá cumplir con el principio de calidad previsto en los artículos 11 de la Ley y 36 del Reglamento, para lo cual deberá cancelar los datos personales que hayan dejado de ser necesarios para el cumplimiento de las finalidades que originaron su tratamiento y las obligaciones legales aplicables.
Supuestos para la aplicación de los Criterios Generales
Sexto. Los presentes Criterios Generales aplicarán sólo en los casos en que el responsable haya obtenido los datos personales antes del vencimiento del plazo para emitir los avisos de privacidad, establecido por el artículo Tercero Transitorio de la Ley, ya sea que los haya obtenido personal o directamente de sus titulares, o bien de forma indirecta.
Condiciones para la aplicación de los Criterios Generales
Séptimo. Además de lo dispuesto por el criterio anterior, para la aplicación de los Criterios Generales será necesario que ocurra lo siguiente:
I.     Que exista una imposibilidad de dar a conocer a cada titular el aviso de privacidad, es decir, que el responsable no cuente con datos de contacto de los titulares, ya sea porque los mismos no obran en sus archivos, registros o bases de datos, o bien, porque éstos se encuentren desactualizados, incorrectos, incompletos o inexactos, o
II.     Que la puesta a disposición del aviso de privacidad a cada uno de los titulares exija esfuerzos desproporcionados, al considerar que el responsable no mantiene contacto con los mismos, aun teniendo información suficiente para ello, y el hecho de dar a conocer el aviso de privacidad a cada uno de los titulares implique un costo excesivo, al tomar en cuenta el número de titulares y la capacidad económica del responsable, y que ello comprometa la estabilidad financiera del responsable, la realización de actividades propias de su negocio o la viabilidad de su presupuesto programado; o bien, que dicha actividad sea disruptiva, de manera significativa, de aquellas que el responsable lleva a cabo cotidianamente.
Asimismo, será necesario que la finalidad del tratamiento vigente sea igual, análoga o compatible con aquella para la cual se recabaron los datos personales de origen.
Cuando el tratamiento involucre datos personales sensibles, patrimoniales o financieros, los presentes Criterios Generales se podrán aplicar cuando no se requiera el consentimiento del titular, de conformidad con lo establecido en los artículos 10 y 37 de la Ley, y 17 del Reglamento.
Casos que no actualicen los supuestos y condiciones de los Criterios Generales
Octavo. Cuando los datos personales se hayan obtenido posterior al plazo establecido por el artículo Tercero Transitorio de la Ley, así como en cualquier otro caso que no actualice los supuestos y condiciones establecidas en los criterios sexto y séptimo, y el responsable requiera la instrumentación de medidas compensatorias, será necesario que solicite la autorización expresa del Instituto, de conformidad con lo establecido en los artículos 32, segundo párrafo, 33, 34 y 35 del Reglamento.
Carga de la prueba
Noveno. Ante una verificación, en términos de los capítulos VIII de la Ley y IX del Reglamento, el Instituto podrá solicitar al responsable que haya instrumentado medidas compensatorias en el marco de los presentes Criterios Generales, que acredite la actualización de los supuestos y condiciones establecidos en los mismos.
Vigencia de la medida compensatoria
Décimo. Las medidas compensatorias implementadas en el marco de los presentes Criterios Generales estarán vigentes mientras no se modifiquen las características del tratamiento o las circunstancias que permitieron que el responsable aplicara este instrumento normativo.
 
Capítulo III
De los elementos informativos
Elementos informativos del aviso de privacidad
Undécimo. El aviso de privacidad que se divulgue a través de la instrumentación de una medida compensatoria deberá contener, al menos, la siguiente información:
I.     La identidad y domicilio del responsable;
II.     Las finalidades del tratamiento, y
III.    Los mecanismos que el responsable ofrece al titular para conocer el aviso de privacidad completo, de conformidad con lo dispuesto por la Ley y su Reglamento.
La divulgación de la información antes señalada no exime al responsable de la obligación de poner a disposición el aviso de privacidad, conforme a lo que establece el artículo 26 del Reglamento.
Asimismo, el responsable procurará incluir información adicional que permita a los titulares identificarse como destinatarios del aviso de privacidad publicado a través de la medida compensatoria.
Nombre o denominación comercial del responsable
Duodécimo. Con relación a la fracción I del criterio anterior, y con fines de cumplir con lo dispuesto por el artículo 24 del Reglamento de la Ley, que establece las características del aviso de privacidad, cuando el nombre del responsable haya cambiado a través del tiempo, en el aviso de privacidad se deberán proporcionar los nombres que haya tenido el responsable en el periodo que corresponda a los tratamientos que se informen en el aviso de privacidad, así como la identidad actual del responsable.
De manera adicional, el responsable procurará incluir el nombre o denominación comercial con el que sea identificado comúnmente por el público en general, o concretamente, por los titulares de quienes se tratan sus datos personales.
Finalidades del tratamiento
Decimotercero. Con relación a la fracción II del criterio Decimoprimero, y con fines de cumplir con lo dispuesto por el artículo 24 del Reglamento de la Ley, que establece las características del aviso de privacidad, el aviso de privacidad que se divulgue a través de la medida compensatoria deberá describir tanto las finalidades para la cuales se obtuvieron de origen los datos personales, como aquellas para las que son tratados en la actualidad.
De conformidad con lo dispuesto por el criterio Séptimo, las finalidades del tratamiento actual deberán ser iguales, análogas o compatibles con aquellas para las que se recabaron los datos personales de origen.
Aviso de privacidad conforme al artículo 26 del Reglamento
Decimocuarto. El aviso de privacidad que el responsable ponga a disposición de los titulares con los elementos informativos a los que refiere el artículo 26 del Reglamento, deberá referirse de manera específica a las características del tratamiento al que son sometidos en la actualidad los datos personales a los que aplica la medida compensatoria.
Capítulo IV
De los medios para comunicar el aviso de privacidad
Medios para comunicar el aviso de privacidad
Decimoquinto. El responsable podrá publicar el aviso de privacidad en el marco de los presentes Criterios Generales a través de los siguientes medios, a los que refiere el artículo 35 del Reglamento:
I.     Diarios de circulación nacional;
II.    Diarios locales o revistas especializadas;
III.    Página de Internet del responsable;
IV.   Hiperenlaces o hipervínculos situados en una página de Internet del Instituto;
V.    Carteles informativos;
VI.   Cápsulas informativas radiofónicas, y
VII.  Otros medios alternos de comunicación masiva.
 
Selección de los medios
Decimosexto. Para la selección de los medios de publicación del aviso de privacidad a través de medidas compensatorias, el responsable deberá tomar en cuenta los siguientes factores:
I.     El perfil de los titulares a quienes va dirigida la medida compensatoria, como puede ser su lugar de residencia, edad, género, nivel de instrucción, nivel socioeconómico, ocupación, acceso efectivo a las Tecnologías de la Información y del Conocimiento, gustos y preferencias, entre otros;
II.     Las características generales y particulares del modelo de negocio del responsable, haciendo especial énfasis en las vías o canales a través de los cuales presta sus servicios u ofrece sus productos, así como los medios habilitados para mantener una comunicación general o personalizada con sus clientes, y
III.    Las características del medio en el que se pretende publicar el aviso de privacidad, como puede ser su alcance geográfico, impacto y relevancia, formato, accesibilidad, temporalidad o permanencia, entre otros factores.
En todo caso, en atención al criterio de máximo alcance, el responsable deberá elegir el medio y el periodo que resulte más eficiente para la difusión del aviso de privacidad, y que permitan abarcar el mayor número posible de titulares, según lo señalado en las fracciones anteriores.
Criterios para la publicación del aviso de privacidad en los diferentes medios
Decimoséptimo. En consideración de lo dispuesto por la fracción III del criterio anterior, el aviso de privacidad se difundirá de manera preferente:
I.     En diarios de circulación nacional cuando el responsable tenga conocimiento de que los titulares a los que irá dirigida la medida compensatoria se encuentran localizados a lo largo del territorio nacional o en más de una entidad federativa;
II.     En diarios locales o revistas especializadas cuando el responsable tenga conocimiento de que los titulares a los que va dirigida la medida compensatoria residan en la localidad en la que circula el diario; o bien, estén relacionados con la actividad materia de la revista especializada;
III.    En la página de Internet del responsable cuando los datos personales hayan sido recabados por ese mismo medio; o bien, el perfil de los titulares a los que va dirigida la medida compensatoria, o las características del tratamiento respectivo o del modelo de negocio, permitan al responsable suponer, de manera razonable, que los titulares tienen acceso a ese medio y lo visitan con determinada frecuencia;
IV.   En hiperenlaces o hipervínculos situados en una página de Internet del Instituto, cuando el responsable no tenga página de Internet propia, de conformidad con el procedimiento que para tal fin establezca el Instituto;
V.    A través de carteles informativos ubicados en las instalaciones del responsable y opcionalmente en lugares exteriores de importante afluencia, cuando el responsable suponga de manera razonable que los titulares visitan las instalaciones o lugares exteriores en donde estarán ubicados los carteles, y
VI.   Por medio de la radio comunitaria o estaciones radiodifusoras locales cuando ello incremente la efectividad de la medida compensatoria.
TRANSITORIOS
UNICO. Los presentes Criterios Generales entrarán en vigor al día siguiente de su publicación en el Diario Oficial de la Federación.
Así lo acordó por unanimidad el Pleno del Instituto Federal de Acceso a la Información y Protección de Datos, en sesión celebrada el día veintiuno de marzo de dos mil doce, ante el Secretario de Protección de Datos Personales.- La Comisionada Presidenta, Jacqueline Peschard Mariscal.- Rúbrica.- Los Comisionados: Sigrid Arzt Colunga, María Elena Pérez-Jaén Zermeño y Angel Trinidad Zaldívar.- Rúbricas.- El Secretario de Protección de Datos Personales, Alejandro Del Conde Ugarte.- Rúbrica.
 
(R.- 345389)
 

En el documento que usted está visualizando puede haber texto, caracteres u objetos que no se muestren correctamente debido a la conversión a formato HTML, por lo que le recomendamos tomar siempre como referencia la imagen digitalizada del DOF o el archivo PDF de la edición.
 


CONSULTA POR FECHA
Do Lu Ma Mi Ju Vi
crear usuario Crear Usuario
busqueda avanzada Búsqueda Avanzada
novedades Novedades
top notas Top Notas
quejas y sugerencias Quejas y Sugerencias
copia Obtener Copia del DOF
versif. copia Verificar Copia del DOF
enlaces relevantes Enlaces Relevantes
Contacto Contáctenos
filtros rss Filtros RSS
historia Historia del Diario Oficial
estadisticas Estadísticas
estadisticas Vacantes en Gobierno
estadisticas Ex-trabajadores Migratorios
INDICADORES
Tipo de Cambio y Tasas al 06/10/2024

UDIS
8.250077

Ver más
ENCUESTAS

¿Le gustó la nueva imagen de la página web del Diario Oficial de la Federación?

 

0.110712001508857610.jpg 0.192286001221699769.jpg 0.821786001312920061.gif 0.475545001508857915.jpg
Diario Oficial de la Federación

Río Amazonas No. 62, Col. Cuauhtémoc, C.P. 06500, Ciudad de México
Tel. (55) 5093-3200, donde podrá acceder a nuestro menú de servicios
Dirección electrónica: www.dof.gob.mx

111

AVISO LEGAL | ALGUNOS DERECHOS RESERVADOS © 2024