Si recabas datos personales en tu actividad económica, entonces estás obligado a protegerlos; seas un profesionista independiente o una empresa -sin importar el tamaño-. La obligación legal parte del hecho de tratar datos personales.
Esta obligación se regula a través de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, que tiene por objetivo garantizar la protección de la información que las personas proporcionan al momento de adquirir un bien o contratar un servicio.
El propietario de los datos personales es la persona a la que se refieren y es la única que decide sobre el uso de tales datos. Quienes recaban datos personales deben informarle porqué los recaban, el uso que les darán y cómo los protegerán.
La ley establece la obligación de que al recabar datos personales se muestre a la persona el Aviso de Privacidad, que puede ser -según el caso, un documento físico, electrónico o en cualquier otro formato, en el que debe indicarse de forma clara qué datos personales serán recabados, su propósito y uso que se le darán, y contar con el consentimiento de la persona dueña de los datos. En este aspecto, es conveniente precisar que este consentimiento debe ser obtenido nuevamente cuando cambia el fin para el cual fueron recabados y estipulados en el Aviso de Privacidad.
El Aviso de Privacidad también debe especificar la identidad y domicilio de quien recaba los datos personales, las opciones y medios que el dueño de los datos tiene para limitar su uso o divulgación, y para ejercer los derechos de acceso, rectificación, cancelación y oposición. Es conveniente también indicar cuando se trate de datos sensibles, transferencia de los datos, y el manejo de los cambios al Aviso de Privacidad.
Para la elaboración del Aviso de Privacidad, el IFAI y la Secretaría de Economía han dictado lineamientos, entre los cuales hay un anexo de buenas prácticas a considerar opcionalmente, en cuanto al uso del nombre comercial y datos de contacto; distinguir entre datos personales principales y secundarios; fuentes de obtención de datos personales; transferencias; datos personales de menores de edad o de personas en estado de interdicción o incapacidad; obtención del consentimiento expreso, o expreso y por escrito, del dueño de los datos; tratamiento de los datos en proceso automatizado de toma de decisiones sin intervención humana; y atención de quejas y sugerencias.
Debe cuidarse siempre que la persona conozca el Aviso de Privacidad completo. Por eso el anuncio tan repetido de “sobre aviso no hay engaño”.