Preguntas Frecuentes.


































1. ¿Qué es la Protección de Datos Personales?
La protección de Datos Personales es un derecho que consiste en ofrecer a los seres humanos los medios para controlar el uso ajeno de la información personal que les concierne. 

La función del derecho fundamental a la protección de datos, es garantizar a toda persona el poder de control sobre sus Datos Personales,  tanto su uso como su destino, con el propósito de impedir su tráfico ilícito, robo de identidad y la potencial vulneración de la dignidad del afectado. Esto lleva implícito el poder de disposición sobre sus datos. Por el contrario, la función del derecho a la intimidad, es proteger de cualquier invasión los reductos de vida personal o familiar que la persona desea mantener fuera del saber de terceros, o de evitar intromisiones contra su propia voluntad.


2. ¿Con qué ley se protegen los Datos Personales en México?
Con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, mejor conocida como Ley de Protección de Datos Personales.


3. ¿Cuál es el objetivo de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP)?
  • Busca proteger los Datos Personales de cada uno de nosotros (sólo personas físicas) que se encuentren en posesión de personas y de empresas privadas, es decir, de los “particulares”. 
  • Busca evitar que nuestros Datos Personales sean utilizados para una finalidad distinta para la cual fueron proporcionados.  
  • Busca evitar que se afecte nuestro derecho a la intimidad y privacidad. 
  • Busca evitar que nuestra identidad sea robada o mal utilizada.  
  • Busca que los particulares puedan ejercer en contra de las personas físicas o morales los Derechos ARCO, así llamados por sus siglas: a) Acceso: que se informe si se cuentan con Datos Personales; b) Rectificación: que se modifiquen los Datos Personales; c) Cancelación: que se den de baja de las bases de datos los Datos Personales; y d) Oposición: que no se usen los Datos Personales para los fines que decida el particular.


4. ¿De cuánto tiempo dispone una persona moral (empresa u organización) o una persona física para adecuarse o adaptarse a la LFPDPPP?
Si bien es cierto que la LFPDPPP entró en vigor el día 05 de julio de 2010, lo cierto es que a partir del 6 de julio de 2011 es de obligado cumplimiento esta ley, con la aclaración que sólo en algunas de sus tantas obligaciones que impone ésta, debido a que esta ley tiene como particularidad que sucesivamente fueron entrando en vigor diversas obligaciones posterior a la entrada en vigor de la misma.


5. ¿Quién tiene la obligación de adecuarse a la LFPDPPP?
Aquellas personas morales (organizaciones o empresas) y personas físicas (profesionistas, comerciantes, médicos, etc.) que traten o tengan Datos Personales de otras personas físicas, pudiendo ser entre otros, sus empleados, sus  socios, sus  inversionistas, sus  clientes, sus  pacientes, sus  alumnos, sus  proveedores, sus  asesores o consultores, sus prestadores de servicio, etc.


6. ¿Cuáles son las principales obligaciones que tiene una persona moral (empresa u organización o una persona física que le aplique la LFPDPPP?
  • Solicitar el consentimiento por medio del aviso de privacidad, para tratar y en su caso, transmitir los Datos Personales de manera legal. 
  • Guardar confidencialidad de los Datos Personales que se le revelen. Utilizar los Datos Personales sólo para los fines solicitados. 
  • Proteger los Datos Personales, de conformidad con las medidas de seguridad (administrativas, físicas y técnicas) que establece la LFPDPPP y su Reglamento. 
  • Notificar el aviso de privacidad (de forma electrónica, escrita y/o sonora) a los titulares de los Datos Personales. 
  • Designar a un Oficial de Datos Personales.


7. ¿Qué ámbito de aplicación tiene la LFPDPPP?
El objeto y ámbito de aplicación de la LFPDPPP está regulado por el artículo 1, que establece: 

“Artículo 1.- La presente Ley es de orden público y de observancia general en toda la República y tiene por objeto la protección de los Datos Personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.”


8. ¿Quién es la autoridad que se encarga de aplicar la LFPDPPP y en su caso sanciona sobre un uso indebido o distinto que se le den a los Datos Personales?
El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, mejor conocido por sus siglas, INAI. Cabe aclarar que antes del 5 de mayo de 2015 este instituto se denominaba Instituto Federal de Acceso a la Información y Protección de Datos, por sus siglas IFAI.


9. ¿A qué sanciones se expone una persona física persona moral (organización o empresa) que no cumpla con la LFPDPPP?
El tipo de sanciones impuestas por el INAI varía en función de la conducta cometida por el responsable así como de la naturaleza de los derechos de los titulares afectados, así como del número y tipo de Datos Personales tratados, los beneficios obtenidos de dicho tratamiento o los daños o perjuicio ocasionados a los titulares afectados, entre otras características. 

Así en relación a los conceptos antes enunciados, se prevén como tipo de sanciones, las siguientes: 
  • Apercibimiento. 
  • Multa de $6,728.00 pesos hasta $10,764,800.00 pesos (actualizada al 2015). 
  • Multa de $13,456.00 pesos hasta $21,529,600.00 pesos (actualizada al 2015). 
  • Multa adicional de $6,728.00 pesos hasta $21,529,600.00 pesos (actualizada al 2015). 
  • Pena privativa de la libertad (prisión) desde 3 meses hasta 3 años de prisión. 
  • Pena privativa de la libertad (prisión) desde 6 meses hasta 5 años de prisión.


10. ¿Con la entrada en vigor de la LFPDPPP se pueden seguir teniendo bases de datos?
Tener bases de Datos Personales, sean físicas o electrónicas, es una actividad lícita o legal, pero ahora regulada con la LFPDPPP. Sin embargo para que éstas se consideren lícitas o legales, los propietarios o poseedores (empresas u organizaciones o personas físicas) deben de respetar las obligaciones que impone la LFPDPPP.


11. ¿Qué son los Datos Personales?
Es toda aquella información concerniente a personas físicas identificadas o identificables (nombre, edad, sexo, estado civil, domicilio, correo electrónico, etc.), que puede ser obtenida de forma verbal (personalmente del titular), por escrito, por medios electrónicos u análogos, por audiograbación o por videofilmación, que aparece o queda registrada en cualquier soporte físico o electrónico (base de datos) que permita su tratamiento manual o automatizado y posterior uso por el sector privado, sean personas físicas o personas morales y además le permite identificarse en forma individual.  

Este tipo de información permite además, interactuar con otras personas, o con una o más organizaciones. 

También se puede definir a los Datos Personales, como aquella información numérica, alfabética, gráfica, acústica o de cualquier otro tipo concerniente a una persona física, identificada o identificable.


12. ¿Qué son los Datos Personales sensibles?
Son aquellos que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.


13. ¿A quién le pertenecen los Datos Personales?
Los Datos Personales pertenecen a su titular, esto es, a la persona física y no la persona moral (empresa u organización) o persona física a la que se le revelen los Datos Personales.


14. ¿Quién es el dueño de los Datos Personales?
Cada ser humano es dueño de sus Datos Personales, y es quien decide a quién, para qué, cuándo y por qué los revela o proporciona.


15. ¿De qué forma se pueden expresar los Datos Personales?
  • Numérica 
  • Alfabética  
  • Fotográfica  
  • Videofilmación  
  • Gráfica  
  • Acústica 
  • Otro tipo o tecnología


16. ¿Por qué medios se pueden obtener los Datos Personales?
Análogo: como ejemplo de ello, teclear los números de una tarjeta bancaria en un teléfono o de un número de suscriptor (cable). 

Electrónico: como ejemplo de ello, el envío de correo electrónico o llenar requisitos en un portal de internet para contratar por línea. 

óptico: como ejemplo de ello, tomar una fotografía a una credencial de elector para accesar a un lugar o tomar una foto a las placas de un automóvil para accesar a un lugar privado (fraccionamiento residencial o industrial). 

Visual: como ejemplo de ello, entregar una cotización por escrito, llenado de una bitácora de registro, entrega de una tarjeta de presentación, entrega de un curriculum vitae. 

Sonoro: como ejemplo de ello, tomar una llamada telefónica y preguntar diversos datos como: nombre, empresa de la que habla, motivo por el que habla, etc. 

Videofilmación: como ejemplo de ello, entrar a un lugar donde tengan cámaras de seguridad o video vigilancia.  

Otra tecnología: como ejemplo de ello, la toma del iris o huella digital para accesar a un inmueble o para el registro de entradas y salidas de los trabajadores o pasar una tarjeta o credencial que contenga un chip por medio de un dispositivo para el registro de entradas y salidas de los trabajadores o de cualquier tercero.


17. ¿Qué es el tratamiento de Datos Personales?
Es cualquier operación o conjunto de operaciones efectuadas por una persona moral (organización o empresa) o una persona física (profesionista, comerciante, médico, etc.) mediante procedimientos físicos o electrónicos (automatizados) aplicados a los Datos Personales, relacionadas con la obtención, grabación, registro, organización, conservación, elaboración, modificación, organización, sustitución, registro, bloqueo, eliminación, cancelación, utilización, comunicación, difusión, almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación o disposición de Datos Personales.


18. ¿Cuáles son las operaciones de tratamiento de Datos Personales más habituales?
  • El almacenamiento y registro organizado de Datos Personales. 
  • La conservación y mantenimiento actualizado y exacto de los Datos Personales. 
  • La transmisión y remisión de los Datos Personales a terceros.


19. ¿Qué personas intervienen en el tratamiento de Datos Personales?
  • El responsable del tratamiento de Datos Personales. 
  • El Oficial de Datos Personales. 
  • El interesado o titular de los Datos Personales. 
  • El encargado del tratamiento de los Datos Personales.


20. ¿Quién es el responsable del tratamiento de los Datos Personales?
Es responsable del tratamiento la persona física o persona moral (organización o empresa), que decida sobre la finalidad, contenido y uso del tratamiento. 

El responsable del tratamiento será el obligado a cumplir con los deberes de informar a los titulares de Datos Personales (interesados), recabar el consentimiento, permitir el ejercicio de derechos a los titulares, asegurar el secreto y confidencialidad de los datos, y garantizar su seguridad.


21. ¿Quién es el interesado o titular de los Datos Personales?
La LFPDPPP considera interesado a la persona física titular de los datos que sean objeto de tratamiento. No pueden serlo personas morales  o jurídicas (sociedades, entidades, instituciones, etc.).


22. ¿Quién es el encargado del tratamiento de los Datos Personales?
Es la persona física o persona moral (organización o empresa), servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate Datos Personales por cuenta del responsable del tratamiento.  

En definitiva, el responsable del tratamiento de los Datos Personales, trata los Datos Personales, pero no decide cómo ni para qué, sino que lo hace siguiendo las indicaciones e instrucciones del responsable del tratamiento de los Datos Personales, de quien puede ser un empleado, un subordinado o un proveedor de servicios.


23. ¿Qué es la transferencia de Datos Personales?
Es toda comunicación que contiene Datos Personales, realizada a persona distinta del titular, del responsable del tratamiento de los Datos Personales o del encargado del tratamiento de los Datos Personales, sea dentro o fuera del territorio nacional. 
  
Esto es, la transferencia es una comunicación que contiene Datos Personales, que hace el responsable del tratamiento de los Datos Personales a otro responsable del tratamiento de Datos Personales, en la cual éste último, también tiene la capacidad de decidir sobre el tratamiento de los Datos Personales.  

En este sentido, la transferencia es una comunicación de Datos Personales que se realiza a otro responsable del tratamiento de Datos Personales, dentro o fuera del territorio nacional, que se hace por mutuo propio por parte del responsable del tratamiento de los Datos Personales.  
El titular, tiene derecho a saber qué Datos Personales han sido transferidos, también tiene derecho a rectificarlos en caso de que sean erróneos, de la misma manera tiene derecho a cancelarlos u oponerse al tratamiento de los mismos.


24. ¿Qué es la remisión de Datos Personales?
Es la comunicación que contiene Datos Personales entre el responsable del tratamiento de los Datos Personales y el encargado, que se realiza dentro o fuera del territorio mexicano, que se hace por causa de una prestación de servicio de parte del encargado al responsable del tratamiento de los Datos Personales. Esto es, no es por mutuo propio de parte del responsable del tratamiento de los Datos Personales, sino por una necesidad que tiene de que el encargado le preste un servicio.  

Así entonces, la remisión se produce entre un responsable y un encargado del tratamiento de Datos Personales.


25. ¿Qué es una base de Datos Personales?
Es el conjunto organizado de Datos Personales que están en posesión del responsable del tratamiento de los Datos Personales (empresa o persona física), contenidos en archivos, registros, ficheros, bancos de datos, cualquiera que sea la forma y modalidad de su creación, almacenamiento, organización y acceso. Dentro del concepto de sistemas de Datos Personales se incluyen tanto los sistemas de Datos Personales automatizados (cualquier base de datos electrónica) como los sistemas de Datos Personales manuales. 

Esto significa que la LFPDPPP se aplica tanto a los Datos Personales tratados electrónicamente (bases de datos informáticas), como a los almacenados en papel (archivadores con fichas de datos ordenadas). En ambos casos los datos deberán formar un conjunto organizado.


26. ¿Qué es un aviso de privacidad?
La definición legal de aviso de privacidad es un documento físico, electrónico o en cualquier otro formato (por ejemplo sonoro), a través del cual el responsable informa al titular de los Datos Personales la información que se recaba de éste último y con qué fines, así como también responsable informa al titular de los datos sobre la existencia y características principales del tratamiento al que serán sometidos sus Datos Personales. A través del aviso de privacidad se cumple el principio de información que establece la LFPDPPP y el Reglamento de la LFPDPPP.


27. ¿En qué casos es necesario contar con un aviso de privacidad y quién está obligado a emitirlo y ponerlo a disposición?
Todo responsable del tratamiento de los Datos Personales (persona física, empresa u organización), sin importar la actividad que realice, requiere elaborar y poner a disposición su aviso de privacidad. Por ejemplo, un médico, abogado o contador independiente, está obligado a tener aviso de privacidad están obligados a tener diversos avisos de privacidad y ponerlos a disposición de los titulares de los datos personales por los medios conducentes (impreso, digital, audio, etc.). También una micro, pequeña, mediana o grande empresa están obligadas a tener diversos aviso de privacidad y ponerlos a disposición de los titulares de los datos personales por los medios conducentes (impreso, digital, audio, etc.). 

El responsable del tratamiento de los Datos Personales tiene la obligación de informar al titular la existencia y características principales del tratamiento al que serán sometidos sus Datos Personales a través del aviso de privacidad, con independencia de que requiera o no obtener el consentimiento del titular para llevar a cabo dicho tratamiento.


28. ¿Para qué sirve el aviso de privacidad?
El aviso de privacidad tiene como propósito principal establecer y delimitar el alcance, términos y condiciones del tratamiento de los Datos Personales, a fin de que el titular de los Datos Personales (persona física) pueda tomar decisiones informadas con relación a sus Datos Personales y mantenga el control y disposición de la información que le corresponde. 

Asimismo, el aviso de privacidad permite al responsable del tratamiento de los Datos Personales transparentar el tratamiento o uso que da a los Datos Personales que están en su posesión, así como los mecanismos que tiene habilitados para que los titulares ejerzan sus derechos con relación a su información personal, lo que, sin duda, fortalece el nivel de confianza del titular con relación a la protección de sus datos.


29. ¿Se puede utilizar un único aviso de privacidad para distintas actividades?
El número de avisos de privacidad que debe tener un mismo responsable del tratamiento de los Datos Personales depende de las características de los tratamientos que se lleven a cabo en las distintas actividades que realice el responsable del tratamiento de los Datos Personales. 

No se recomienda que un mismo aviso de privacidad refiera a tratamientos en los que la información a incluir en el mismo sea distinta entre sí, es decir, en donde las finalidades, el tipo de datos tratados o las transferencias que se realicen no sean iguales, o no sea posible expresar con claridad la información que aplica o corresponde a cada caso. 

Por ejemplo, se recomienda que el responsable del tratamiento de los Datos Personales tenga un aviso de privacidad para el tratamiento de Datos Personales que realiza respecto de sus trabajadores o empleados (directivos, trabajadores de confianza, sindicalizados u obreros), y otros distintos para los tratamientos que lleve a cabo con la información de sus clientes o sus proveedores, y así sucesivamente dependiendo de cada tratamiento.


30. ¿Cuáles son las modalidades del aviso de privacidad?
La LFPDPPP, el RLFPDPPP y los Lineamientos del Aviso de Privacidad reconocen y desarrollan tres modalidades del aviso de privacidad: integral, simplificado y corto. Sin embargo, cada uno de éstos avisos se pueden subdividir a su vez.


31. ¿Quién está obligado a demostrar el cumplimiento de la obligación del aviso de privacidad?
Es importante tomar en cuenta que el responsable del tratamiento de los Datos Personales ante cualquier eventualidad, circunstancia, controversia con el titular o acto de autoridad del INAI, está obligado a demostrar o comprobar que ha puesto a disposición de los titulares el aviso de privacidad de acuerdo con lo previsto en la LFPDPPP, el R LFPDPPP y los Lineamientos del Aviso de Privacidad, a través de los medios que estime pertinentes y que demuestren de manera objetiva el cumplimiento de esta obligación.


32. ¿Qué derechos tienes los titulares de los Datos Personales?
La LFPDPPP reconoce al titular de los Datos Personales una serie de derechos en relación con sus Datos Personales. 

Los interesados tendrán derecho al acceso, rectificación, cancelación y oposición de sus Datos Personales sometidos a tratamiento automatizado. Estos derechos tienen carácter personal, por lo cual solo pueden ser ejercidos por el titular de los datos o su representante legal acreditado, si así fuere el deseo del titular.


33. ¿Qué se entiende por derechos ARCO?
Es el acrónimo o siglas de las palabras (derechos) Acceso, Rectificación, Cancelación u Oposición, ya que la LFPDPPP reconoce el derecho de acceso, el derecho de rectificación, el derecho de cancelación y/o el derecho de oposición.