¿Qué es la Identidad Digital? (2a. parte)
noviembre 13, 201930 de noviembre, Día Mundial de la Ciberseguridad
noviembre 25, 2019Principio de lealtad
Fundamento legal
Artículos 7 de la LFPDPPP y 44 de su Reglamento.
Artículo 19 de la LGPDPPSO y 11 de los Lineamientos Generales.
¿En qué consiste este principio?
Establece la obligación de tratar los datos personales privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad, es decir, la confianza que deposita el titular en el responsable, respecto de que los datos personales proporcionados serán tratados conforme a lo que acordaron, así como a lo señalado por la normatividad y el aviso de privacidad correspondiente.
De igual forma establece que el responsable no deberá obtener ni tratar datos personales a través de medios engañosos o fraudulentos.
¿Cuáles son las obligaciones generales que derivan del principio de lealtad?
1. No utilizar medios engañosos o fraudulentos para recabar ni tratar datos personales. Se entiende que existe una acción fraudulenta o engañosa cuando:
- Existe dolo, mala fe o negligencia de la información proporcionada al titular sobre el tratamiento, y
- Las finalidades no se informen en el aviso de privacidad o no sean las que se informen en él.
2. Respetar la expectativa razonable de privacidad del titular.
Recomendaciones específicas para el principio de lealtad en el tratamiento de datos biométricos
- Utilizar medios que estén permitidos por la ley para obtener los datos biométricos.
- Verificar que en el aviso de privacidad se señale de manera expresa el tratamiento de los datos biométricos y que esté incluida la finalidad para la cual se utilizarán.
- Tener especial cuidado en el tratamiento de datos biométrico, a fin de que éste se apegue a lo informado al titular y se privilegie en todo momento sus intereses con relación al uso de sus datos personales.
Principio de información
Fundamento legal
• Artículos 15 al 18 de la LFPDPPP y del 23 al 35 de su Reglamento, Lineamientos y Criterios.
• Artículos 26 al 28 de la LGPDPPSO y del 26 al 45 de los Lineamientos Generales.
¿En qué consiste este principio?
Es el principio en virtud del cual el responsable se encuentra obligado a comunicar al titular de los datos personales las características principales del tratamiento al que será sometida su información personal, así como los medios para ejercer sus derechos, lo que se materializa a través del aviso de privacidad.
En ese sentido, todo responsable que trate datos personales, sin importar la actividad que realice o si se trata de una persona física o moral, pública o privada, requiere elaborar y poner a disposición de los titulares el aviso de privacidad.
Es así que el principio de información legitima el tratamiento de los datos personales, mediante la elaboración y puesta a disposición del aviso de privacidad, entendido éste como el documento físico, electrónico o en cualquier otro formato generado por el responsable, que es puesto a disposición del titular previo al tratamiento de sus datos personales, con el propósito de informarle en qué consistirá el mismo, así como los medios disponibles para ejercer sus derechos.
El aviso de privacidad permite que el titular esté debidamente informado, de forma tal que pueda ejercer su derecho a la autodeterminación informativa y protección de datos personales.
¿Cuáles son las obligaciones generales que derivan del principio de información?
- Elaborar y poner a disposición de los titulares el aviso de privacidad en los términos que fijen la LGPDPPSO y los Lineamientos Generales en el caso de los sujetos obligados, y la LFPDPPP, su Reglamento y los Lineamientos del Aviso de Privacidad, en el caso de los responsables del sector privado, aunque no se requiera el consentimiento de los titulares para el tratamiento de los datos personales.
- Poner a disposición del titular el aviso de privacidad previo a la obtención de los datos personales o en el momento que indique la normatividad aplicable.
- Redactar el aviso de privacidad con todos los elementos informativos que señala la norma.
- Utilizar la modalidad de aviso de privacidad que resulte pertinente.
- Redactar el aviso de privacidad de forma sencilla, con la información necesaria, expresado en lenguaje claro y comprensible, y con una estructura y diseño que faciliten su entendimiento.
- Generar evidencia para demostrar el cumplimiento del principio de información.
Los responsables a los que les aplique la LFPDPPP pueden consultar los Lineamientos del Aviso de Privacidad y el ABC del aviso de privacidad.
Los responsables a los que les aplique la LGPDPPSO deberán redactar el aviso de privacidad en las modalidades y con los elementos informativos que se señalan en los artículos 27 y 28 de dicho ordenamiento, así como en los Lineamientos Generales.
Para la elaboración y puesta a disposición del aviso de privacidad, el INAI ha desarrollado instrumentos que se encuentran a disposición de los responsables, a los que los remitimos y sugerimos tomar en consideración para el cumplimiento del principio de información, entre ellos:
Herramientas elaboradas por el INAI para facilitar el cumplimiento del principio de informaciónPara responsables a los que les aplica la LFPDPPP:
- El Generador de Avisos de Privacidad
- La guía El ABC del Aviso de Privacidad
- El formato de auto-evaluación de aviso de privacidad para responsables
- Modelo de aviso de privacidad corto para video vigilancia
- Modelo de aviso de privacidad simplificado en video
- La guía para instrumentar medidas compensatorias
Para los sujetos obligados a los que les aplica la LGPDPPSO:
Recomendaciones específicas para el principio de información en el tratamiento de datos biométricos
- Informar expresamente en el aviso de privacidad que se recabarán datos biométricos, especificando su tipo (por ejemplo, huellas dactilares o iris).
- Cuando los datos biométricos que se traten sean sensibles, señalarlo en el aviso de privacidad.
- Incluir en el aviso de privacidad las finalidades para las cuales serán tratados los datos biométricos, entre ellas el reconocimiento de los titulares, y en caso de que éstas requieran el consentimiento, señalarlo.
- Cuando se realicen transferencias de datos biométricos, informarlo en el aviso de privacidad y, en caso de que éstas requieran consentimiento, señalarlo.
- Si las finalidades o transferencias de datos biométricos requieren consentimiento, se deberá ofrecer al titular un mecanismo para que pueda otorgar o negar su consentimiento.
- En el caso del sector público, incluir en el aviso de privacidad las disposiciones normativas que fundamentan el tratamiento de los datos biométricos.
- Tomar en cuenta que, debido a la naturaleza de los sistemas biométricos tratados para fines de reconocimiento, normalmente se llevarán a cabo dos etapas en las que estos datos serán recolectados: la primera, para la creación de las plantillas que serán almacenadas en el sistema biométrico; la segunda, para la comparación de nuevas muestras biométricas con las plantillas almacenadas. Al respecto, no es necesario que el responsable dé a conocer el aviso de privacidad integral en cada ocasión que un dato biométrico es recolectado para realizar la comparación si el aviso de privacidad fue dado a conocer con anterioridad a la recolección inicial de un sistema biométrico en particular. No obstante, se recomienda que en cada recolección de datos biométricos, se ponga a disposición del titular el aviso de privacidad simplificado.
Continúa…
Para acceder a más contenidos de interés, suscríbete hoy mismo a Robo de IDentidad MX:
Fuente: INAI | Guía de Datos Biométricos