Mercadotecnia Legal Aplicada a Entornos Virtuales

Semana 4: Del 14 al 20 de octubre del 2019

Dr(c). Arturo Almaguer Montes de Oca

Estimados alumnos, las presentes notas tienen como objetivo brindarles un texto de
apoyo correspondiente a la cuarta unidad de nuestro programa.

4. Elementos en la elaboración del aviso de política de privacidad para el manejo de

datos personales utilizados en contenidos y aplicaciones de mercadotecnia

4.1. Normatividad aplicable

4.2. Definición del responsable legal
4.3. Manejo de la información del usuario
4.3.1. Actividades o procedimiento que utilizan datos personales
4.3.2. Etapa de las actividades en que se utilizan
4.3.3. Medio de recolección
4.3.4. Flujo de datos, desde la entrada hasta la eliminación de los datos
4.3.5. Determinación de los fines de la información
4.4. Transferencia de datos
4.4.1. Destinatarios
4.4.2. Propósitos
4.5. Uso de Cookies
4.6. Mecanismos de seguimiento del tratamiento de datos personales
4.7. Protección de la información personal
4.8. Definición del perfil de los titulares de los datos
4.8.1. Selección de medios de difusión
4.8.2. Redacción acorde al perfil
4.8.3. Baja del sistema
4.9. Derechos de Acceso, Rectificación, Cancelación y Oposición, ARCO
4.10. Procedimientos y medios de comunicación de cambios
4.11. Buenas prácticas y errores comunes en la elaboración del aviso de política de
privacidad
4.12. Análisis de avisos de privacidad para diferentes giros y productos

Contenido:

Normatividad aplicable

Como hemos podido apreciar a lo largo del curso la legislación correspondiente a la

aplicación de avisos de privacidad para el manejo de datos personales recae en la Ley
Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP)

Para poder entender los pormenores legales nos zambulliremos en los terrenos y
terminologías legales para poder ver desde esa perspectiva aquellas consideraciones
generales para poder elaborar un Aviso de Privacidad.

1
Con fundamento en lo dispuesto por los artículos 3, fracción I, 15, 40 y 43, fracción III de
la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y sus
correlativos 23 y 26 del Reglamento, 5, fracción XVI del Reglamento Interior de la
Secretaría de Economía, y
CONSIDERANDO

Que el artículo 16 de la Constitución Política de los Estados Unidos Mexicanos reconoce

que toda persona tiene derecho a la protección de sus datos personales, al acceso,
rectificación y cancelación de los mismos, así como a manifestar su oposición en los
términos que fije la ley, la cual establecerá los supuestos de excepción a los principios
que rijan el tratamiento de datos;

Que el derecho a la protección de datos personales permite garantizar a la persona el

poder de disposición y control que tiene sobre sus datos personales, y sobre el uso y
destino que se le da a los mismos;

Que la Ley Federal de Protección de Datos Personales en Posesión de los Particulares

(en lo sucesivo la Ley) y su Reglamento, se constituyen en el marco general que
establece las reglas, requisitos, condiciones y obligaciones mínimas para garantizar un
adecuado tratamiento de la información personal por parte de los particulares, sin
perjuicio de lo que establezca la normativa sectorial o específica aplicable al tratamiento
de datos personales por parte de los particulares;

Que existen dos ejes fundamentales en la Ley y su Reglamento. El primero se traduce en

el establecimiento de una serie de principios de protección de datos personales, de
obligado cumplimiento para los particulares que los tratan, y que en su conjunto
garantizan un adecuado manejo de los mismos, a favor de la privacidad y de la
autodeterminación informativa de los titulares. El segundo eje está representado por
el reconocimiento y desarrollo de los derechos inherentes a los titulares de los datos
personales;

Que entre los principios de protección de datos personales destaca el principio de

información, el cual tiene por objeto dar a conocer al titular, de manera efectiva, la
existencia del tratamiento de su información personal y sus características esenciales, en
términos que le resulten fácilmente comprensibles, con el objeto que pueda ejercer su
derecho a la autodeterminación informativa y protección de datos personales ante
el responsable;

Que en términos de los artículos 15 de la Ley y 23 de su Reglamento, el principio de

información se materializa físicamente a través de la puesta a disposición del aviso de
privacidad al titular;

Que el aviso de privacidad es el documento mediante el cual el responsable informa al

titular sobre los términos bajo los cuales serán tratados sus datos personales, destacando
la identidad de la persona física o moral que decide llevar a cabo el mismo; las finalidades
o acciones que motivan la obtención, uso y custodia de la información personal; los
terceros a quienes se transferirán los datos personales; los mecanismos para que el titular
pueda ejercer los derechos vinculados a la protección de datos personales (en particular,
los derechos ARCO), entre otras cuestiones;

2
Que el aviso de privacidad permite al titular decidir de manera libre e informada sobre el
tratamiento de sus datos personales;

Que la modalidad y momento en que habrá de ponerse a disposición del titular el aviso de
privacidad, dependerá de las circunstancias específicas en que se recaben los datos
personales, previstas en la Ley y el Reglamento, y vinculadas con los medios utilizados
para la obtención de los datos personales y el hecho de que éstos se obtengan de
manera personal, directa o indirecta de su titular;

Que es interés de la Secretaría de Economía, en su carácter de autoridad reguladora,

emitir los lineamientos correspondientes para determinar el contenido y alcance del aviso
de privacidad, en coadyuvancia con el Instituto Federal de Acceso a la Información y
Protección de Datos, y

Que es interés del Instituto Federal de Acceso a la Información y Protección de Datos, en

su carácter de autoridad garante del derecho a la protección de datos personales, vigilar
y velar por la debida observancia de los principios que rigen a este derecho, a los que se
refiere la Ley y su Reglamento; así como establecer una serie de reglas mínimas,
necesarias y uniformes en torno a la elaboración, contenido, uso, modalidades y difusión
del aviso de privacidad,
Se expiden los siguientes

LINEAMIENTOS DEL AVISO DE PRIVACIDAD

Capítulo I
Disposiciones Generales

Objeto
Primero. En términos del artículo 43, fracción III de la Ley Federal de Protección de Datos
Personales en Posesión de los Particulares, los presentes Lineamientos tienen por objeto
establecer el contenido y alcance de los avisos de privacidad, en términos de lo dispuesto
por dicha Ley y su Reglamento.

Ambito de aplicación
Segundo. Los presentes Lineamientos serán de observancia obligatoria en toda la
República Mexicana, para las personas físicas o morales de carácter privado que traten
datos personales en términos de la Ley Federal de Protección de Datos Personales en
Posesión de los Particulares y su Reglamento.

Definiciones
Tercero. Sin perjuicio de las definiciones previstas en los artículos 3 de la Ley Federal de
Protección de Datos Personales en Posesión de los Particulares y 2 de su Reglamento,
para los efectos de estos Lineamientos se entenderá por:
I. Cookies: Archivo de datos que se almacena en el disco duro del equipo de cómputo
o del dispositivo de comunicaciones electrónicas de un usuario al navegar en un sitio de
internet específico, el cual permite intercambiar información de estado entre dicho sitio y
el navegador del usuario. La información de estado puede revelar medios de identificación
de sesión, autenticación o preferencias del usuario, así como cualquier dato almacenado
por el navegador respecto al sitio de internet;
II. Lineamientos: Lineamientos del Aviso de Privacidad;

3
III. Obtener los datos personales de forma directa de su titular: Acto en el cual el
propio titular proporciona los datos personales por algún medio que permite su entrega
directa al responsable, entre ellos, medios electrónicos, ópticos, sonoros, visuales o
cualquier otra tecnología, como correo postal, internet o vía telefónica, entre otros;
IV. Obtener los datos personales de forma indirecta: Acto en el cual el responsable
obtiene los datos personales sin que el titular se los haya proporcionado de forma
personal o directa, como por ejemplo a través de una fuente de acceso público o una
transferencia;
V. Obtener los datos personales de forma personal de su titular: Acto en el cual el
titular proporciona los datos personales al responsable o a la persona física designada por
el responsable, con la presencia física de ambos;
VI. Poner a disposición el aviso de privacidad de forma directa: Acto en el cual se
hace del conocimiento del titular el aviso de privacidad por algún medio que permite su
entrega directa, entre ellos, medios electrónicos, ópticos, sonoros, visuales o cualquier
otra tecnología, como correo postal, internet o vía telefónica, entre otros;
VII. Poner a disposición el aviso de privacidad de forma personal: Acto en el cual el
responsable o la persona física designada por el responsable para tal fin entrega o hace
del conocimiento del titular el aviso de privacidad, con la presencia física de ambos, y
VIII. Web beacons: Imagen visible u oculta insertada dentro de un sitio web o correo
electrónico, que se utiliza para monitorear el comportamiento del usuario en estos medios.
A través de éstos se puede obtener información como la dirección IP de origen,
navegador utilizado, sistema operativo, momento en que se accedió a la página, y en el
caso del correo electrónico, la asociación de los datos
anteriores con el destinatario.

Normativa sectorial
Cuarto. Lo establecido en los presentes Lineamientos es sin perjuicio de lo que señale la
normativa sectorial o específica, aplicable al tratamiento de datos personales por parte de
los particulares.

Medidas compensatorias
Quinto. Las medidas compensatorias a las que refiere el artículo 18 de la Ley se
instrumentarán conforme a lo establecido por la Ley, su Reglamento, los Criterios
Generales para la Instrumentación de Medidas Compensatorias sin la Autorización
Expresa del Instituto Federal de Acceso a la Información y Protección de Datos,
publicados en el Diario Oficial de la Federación el 18 de abril de 2012, y demás
normatividad que resulte aplicable.

Capítulo II
Del Aviso de Privacidad

Principio de información
Sexto. En términos de los artículos 15 de la Ley y 23 de su Reglamento, el principio de
información consiste en la obligación del responsable de informar a los titulares sobre la
existencia y características principales del tratamiento al que serán sometidos sus datos
personales, con objeto de que pueda ejercer sus derechos a la autodeterminación
informativa, privacidad y protección de datos personales. Este principio se materializa en
la puesta a disposición del aviso de privacidad en las tres modalidades a las que refiere
elDecimoctavo de los presentes Lineamientos: integral, simplificado y corto.

4
Aviso de privacidad
Séptimo. De conformidad con lo dispuesto por el artículo 3, fracción I de la Ley, el aviso
de privacidad es un documento físico, electrónico o en cualquier otro formato generado
por el responsable que es puesto a disposición del titular, previo al tratamiento de sus
datos personales, a fin de cumplir con el principio de información.

Objetivo del aviso de privacidad

Octavo. El aviso de privacidad tiene por objeto delimitar los alcances y condiciones
generales del tratamiento, así como informarlos a los titulares, a fin de que estén en
posibilidad de tomar decisiones informadas sobre el uso de sus datos personales, y de
mantener el control y disposición sobre ellos. Asimismo, el aviso de privacidad permite al
responsable transparentar dicho tratamiento, y con ello fortalecer el nivel de confianza de
los titulares.

Cumplimiento del principio de información

Noveno. Todo responsable está obligado a cumplir con el principio de información y a
poner a disposición de los titulares el aviso de privacidad en términos de lo dispuesto por
la Ley, su Reglamento y los presentes Lineamientos, con independencia de que el
consentimiento no se requiera en términos del artículo 10 de la Ley.

Características del aviso de privacidad

Décimo. En términos del artículo 24 del Reglamento de la Ley, a fin de que el aviso de
privacidad sea un mecanismo de información eficiente y práctico, éste deberá ser sencillo,
con información necesaria, expresado en español, con lenguaje claro y comprensible, y
con una estructura y diseño que facilite su entendimiento. Para ello, en el aviso de
privacidad se deberá:
I. No usar frases inexactas, ambiguas o vagas;
II. Tomar en cuenta para su redacción los perfiles de los titulares;
III. No incluir textos o formatos que induzcan al titular a elegir una opción en específico;
IV. En caso de que se incluyan casillas para que el titular otorgue su consentimiento, no
se deberán marcar previamente, y
V. No remitir a textos o documentos que no estén disponibles para el titular.

Medios de difusión o reproducción del aviso de privacidad

Decimoprimero. De conformidad con lo dispuesto por los artículos 17 de la Ley y 25 de
su Reglamento, el aviso de privacidad, en las modalidades de integral y simplificado a las
que refiere el Decimoctavo, fracciones I y II de los presentes Lineamientos, podrá
difundirse o reproducirse en cualquiera de los siguientes medios: formato físico,
electrónico, óptico, sonoro, visual o a través de cualquier otra tecnología que permita su
eficaz comunicación.
En términos del artículo 28 del Reglamento de la Ley, el aviso de privacidad corto, al que
refiere el Decimoctavo, fracción III de los presentes Lineamientos, podrá utilizarse cuando
el espacio utilizado para la obtención de los datos personales sea mínimo y limitado, de
forma tal que los datos personales recabados también sean mínimos.
En todos los casos, el aviso de privacidad, en cualquiera de sus modalidades, deberá
estar ubicado en un lugar visible y que facilite su consulta.

5
Capítulo III
De la Puesta a Disposición del Aviso de Privacidad

Momentos para la puesta a disposición del aviso de privacidad

Decimosegundo. En términos de los artículos 3, fracción I, 17 y 18 de la Ley, y 14, 27 y
29 de su Reglamento, el responsable deberá poner a disposición del titular el aviso de
privacidad en los siguientes momentos:
I. Cuando los datos personales se obtienen de manera directa o personal del titular, el
responsable deberá poner a su disposición el aviso de privacidad previo a la obtención de
los mismos;
II. Cuando los datos personales se hayan obtenido de manera indirecta de su titular, y
éstos procedan de una transferencia consentida o de una en la que no se requiera el
consentimiento según el artículo 37 de la Ley; o bien, de una fuente de acceso público, el
responsable receptor o que obtiene los datos personales deberá poner a disposición el
aviso de privacidad al primer contacto con el titular. En caso de que el tratamiento no
requiera contacto con el titular, el responsable deberá hacer de su conocimiento el aviso
de privacidad previo al aprovechamiento de los datos personales para la finalidad
respectiva, y
III. Cuando el responsable pretenda tratar los datos personales para una finalidad
distinta a la consentida por el titular, deberá poner a su disposición un nuevo aviso de
privacidad con las características del nuevo tratamiento, previo al aprovechamiento de los
datos personales para la finalidad respectiva.

Tratamiento con fines históricos, estadísticos y científicos

Decimotercero. En términos del artículo 18, segundo párrafo de la Ley, el responsable no
estará obligado a notificar el cambio en el aviso de privacidad, cuando los datos
personales los haya obtenido de manera indirecta de su titular, y éstos los vaya a tratar
con fines históricos, estadísticos o científicos.
Información de personas físicas con actividad comercial y datos de representación y
contacto

Decimocuarto. En términos de lo dispuesto por el artículo 5 del Reglamento de la Ley,

los responsables no estarán obligados a poner a disposición el aviso de privacidad para
la información que refiera a:
I. Personas morales;
II. Personas físicas en su calidad de comerciantes y profesionistas, y
III. Personas físicas que presten sus servicios para alguna persona moral o persona
física con actividades empresariales y/o prestación de servicios, consistente únicamente
en su nombre y apellidos, las funciones o puestos desempeñados, así como algunos de
los siguientes datos
laborales: domicilio físico, dirección electrónica, teléfono y número de fax; siempre que
esta información sea tratada para fines de representación del empleador o contratista.

Comunicación del aviso de privacidad a encargados y terceros

Decimoquinto. Con objeto de cumplir con lo establecido por los artículos 14 y 36 de la
Ley, en el sentido de que el responsable deberá tomar las medidas necesarias y
suficientes para garantizar que el aviso de privacidad dado a conocer al titular, sea
respetado en todo momento por él o por terceros con los que guarde alguna relación
jurídica; el responsable deberá comunicar el aviso de privacidad a los encargados y
terceros a los que remita o transfiera datos personales, respectivamente.

6
Aviso de privacidad integral en el formato para recabar los datos personales
Decimosexto. El responsable no estará obligado a facilitar el aviso de privacidad integral
en el formato que recabe los datos personales, cuando éstos se obtengan de manera
personal de su titular, siempre que lo haya puesto a disposición por otro medio previo al
tratamiento de los datos personales.

Prueba del aviso de privacidad

Decimoséptimo. En términos del artículo 31 del Reglamento de la Ley, para efectos de
demostrar la puesta a disposición del aviso de privacidad en cumplimiento del principio de
información, la carga de la prueba recaerá, en todos los casos, en el responsable.

Capítulo IV
De las Modalidades del Aviso de Privacidad

Modalidades del aviso de privacidad

Decimoctavo. En términos de los artículos 17 de la Ley, y 26, 27 y 28 de su Reglamento,
el aviso de privacidad se podrá poner a disposición en las siguientes tres modalidades:
I. Aviso de privacidad integral: cuando éste contenga la totalidad de los elementos
informativos a los que refieren los artículos 8, 15, 16, 33 y 36 de la Ley, y 14, 30, 41, 68,
90 y 102 de su Reglamento, y el Vigésimo de los presentes Lineamientos;
II. Aviso de privacidad simplificado: cuando el aviso de privacidad contenga los
elementos informativos a los que refieren los artículos 17, fracción II de la Ley y 27 de su
Reglamento, y el Trigésimo cuarto de los presentes Lineamientos, y
III. Aviso de privacidad corto: cuando el aviso de privacidad sea redactado en los
términos del artículo 28 del Reglamento de la Ley y del Trigésimo octavo de los presentes
Lineamientos.

Aplicación de las modalidades

Decimonoveno. De conformidad con lo dispuesto en el artículo 17 de la Ley y 27 y 28 de
su Reglamento, así como en el Decimosegundo de los presentes Lineamientos, el
responsable podrá poner a disposición el aviso de privacidad en las modalidades a las
que refiere el lineamiento anterior, en los siguientes casos:
I. Cuando los datos personales se obtengan personalmente del titular, el responsable
deberá poner a su disposición el aviso de privacidad integral;
II. Cuando los datos personales se obtengan de manera directa o indirecta del titular, el
responsable podrá poner a su disposición el aviso de privacidad integral o el simplificado,
y
III. Cuando el espacio utilizado para la obtención de los datos personales sea mínimo y
limitado, de forma tal que los datos personales recabados o el espacio para la difusión o
reproducción del aviso de privacidad también lo sean, se podrá utilizar la modalidad de
aviso de privacidad corto.
La puesta a disposición del aviso de privacidad simplificado o corto no exime al
responsable de su obligación de proveer los mecanismos para que el titular pueda
conocer el contenido del aviso de privacidad integral. El responsable no podrá establecer
un cobro para el titular por el uso de estos mecanismos.
El responsable podrá optar por cualquiera de las tres modalidades a las que refiere el
Decimoctavo de los presentes Lineamientos para la puesta a disposición de su aviso de
privacidad, atendiendo las condiciones señaladas en el presente lineamiento, con
independencia de que estará obligado a contar con el aviso de privacidad integral.

7
Capítulo V
Del Contenido de los Avisos de Privacidad

Sección I
Del Contenido del Aviso de Privacidad Integral

Elementos informativos del aviso de privacidad integral

Vigésimo. El aviso de privacidad integral deberá contener, al menos, la siguiente
información, de conformidad con lo que establecen los lineamientos de la presente
Sección:
I. La identidad y domicilio del responsable que trata los datos personales;
II. Los datos personales que serán sometidos a tratamiento;
III. El señalamiento expreso de los datos personales sensibles que se tratarán;
IV. Las finalidades del tratamiento;
V. Los mecanismos para que el titular pueda manifestar su negativa para el tratamiento
de sus datos personales para aquellas finalidades que no son necesarias, ni hayan dado
origen a la relación jurídica con el responsable;
VI. Las transferencias de datos personales que, en su caso, se efectúen; el tercero
receptor de los datos personales, y las finalidades de las mismas;
VII. La cláusula que indique si el titular acepta o no la transferencia, cuando así se
requiera;
VIII. Los medios y el procedimiento para ejercer los derechos ARCO;
IX. Los mecanismos y procedimientos para que, en su caso, el titular pueda revocar su
consentimiento al tratamiento de sus datos personales;
X. Las opciones y medios que el responsable ofrece al titular para limitar el uso o
divulgación de los datos personales;
XI. La información sobre el uso de mecanismos en medios remotos o locales de
comunicación electrónica, óptica u otra tecnología, que permitan recabar datos personales
de manera automática y simultánea al tiempo que el titular hace contacto con los mismos,
en su caso, y
XII. Los procedimientos y medios a través de los cuales el responsable comunicará a los
titulares los cambios al aviso de privacidad.

Identidad y domicilio del responsable

Vigésimo primero. El aviso de privacidad deberá señalar el nombre completo cuando se
trate de persona física, o en su caso la denominación o razón social de la persona moral,
así como el domicilio completo del responsable, de conformidad con el artículo 16,
fracción I de la Ley.
El domicilio del responsable deberá indicar, al menos, la calle, número, colonia, ciudad,
municipio o delegación, código postal y entidad federativa, y deberá corresponder a aquél
para oír y recibir notificaciones.

Datos personales que se tratarán

Vigésimo segundo. El aviso de privacidad deberá indicar los datos personales que el
responsable tratará para la consecución de las finalidades para las que los obtiene, tanto
los que recaba personal o directamente del titular, como aquéllos que obtiene
indirectamente, por medio de fuentes de acceso público o transferencias, en términos del
artículo 15 de la Ley.
El responsable podrá cumplir con este contenido identificando los datos personales que
trata o las categorías de los mismos.

8
El listado de datos personales o en su caso la mención de las categorías no deberá incluir
frases inexactas, ambiguas o vagas, como “entre otros datos personales” o “por ejemplo”.

Señalamiento expreso de datos personales sensibles

Vigésimo tercero. En términos del artículo 16, último párrafo de la Ley, el listado nominal
de los datos personales que se tratarán o la categoría de los mismos, a los que refiere el
lineamiento anterior, deberán señalar expresamente cuáles de éstos son sensibles, de
conformidad con la definición del artículo 3, fracción VI de la Ley.

Finalidades del tratamiento

Vigésimo cuarto. De conformidad con los artículos 16, fracción II de la Ley, y 14, 30, 40,
41 y 42 de su Reglamento, el aviso de privacidad deberá describir las finalidades para las
cuales se tratarán los datos personales, de acuerdo con los siguientes criterios:
I. El listado de finalidades descritas deberá ser completo y no utilizar frases inexactas,
ambiguas o vagas, como “entre otras finalidades”, “otros fines análogos” o “por ejemplo”;
II. Las finalidades descritas en el aviso de privacidad deberán ser determinadas, lo cual
se logra, de conformidad con el artículo 40, segundo párrafo del Reglamento de la Ley,
cuando con claridad, sin lugar a confusión y de manera objetiva se especifica para qué
objeto serán tratados los datos personales;
III. En el listado de finalidades se deberán incluir las relativas al tratamiento con fines de
mercadotecnia, publicidad o prospección comercial, en caso de que el responsable trate
los datos personales para dichos fines;
IV. Se deberá identificar y distinguir entre las finalidades que dieron origen y son
necesarias para la existencia, mantenimiento y cumplimiento de la relación jurídica entre
el responsable y titular, de aquéllas que no lo son, y
V. Se deberá informar sobre el mecanismo que el responsable tiene implementado para
que el titular pueda manifestar su negativa para el tratamiento de sus datos personales
con relación a las finalidades que no son necesarias para la relación jurídica entre el
responsable y titular.

Mecanismo para manifestar la negativa

Vigésimo quinto. El mecanismo al que refiere la fracción V del lineamiento anterior,
podrá ser implementado a través de la inclusión de casillas u opciones de marcado en el
propio aviso de privacidad, o bien fuera de éste, por el medio que el responsable
determine, el cual deberá estar disponible al momento en que el titular consulta el aviso
de privacidad. En todos los casos, este mecanismo debe permitir que el titular manifieste
su negativa previo al tratamiento de sus datos personales o al aprovechamiento de los
mismos.
En términos del párrafo segundo del artículo 14 del Reglamento de la Ley, cuando el
aviso de privacidad no se haga del conocimiento del titular de manera directa o personal,
se deberá incluir en éste una declaración o advertencia que informe al titular que tiene un
plazo de cinco días hábiles para que, de ser el caso, manifieste su negativa para el
tratamiento de sus datos personales con respecto a las finalidades que no son
necesarias, ni dieron origen a la relación jurídica con el responsable.
Quedan a salvo los derechos del titular para ejercer sus derechos a la revocación del
consentimiento u oposición, en caso de que no manifieste la negativa para el tratamiento
de sus datos personales previo a la entrega de los mismos o de su aprovechamiento.

Transferencias de datos personales

Vigésimo sexto. En términos de los artículos 16, fracción V y 36 de la Ley, y 68 de su
Reglamento, el aviso de privacidad deberá informar que, en su caso, el tratamiento

9
involucra la transferencia nacional o internacional de datos personales. Para ello, deberá
contener la siguiente información:
I. Los terceros receptores o destinatarios de los datos personales, ya sea identificando
cada uno de éstos por su nombre, denominación o razón social; o bien, indicando su tipo,
categoría o sector de actividad, y
II. Las finalidades que justifican las transferencias de datos personales, las cuales
deberán ser determinadas y distinguir entre aquéllas que requieren del consentimiento del
titular para que se realicen, de las que se puedan llevar a cabo sin dicho consentimiento,
de conformidad con lo que establece el artículo 37 de la Ley.
El responsable no estará obligado a informar en el aviso de privacidad sobre las
comunicaciones de datos personales que existan entre éste y los encargados, lo que se
reconoce como remisión, en términos del artículo 2, fracción IX del Reglamento de la Ley.

Cláusula para consentir la transferencia de datos personales

Vigésimo séptimo. En términos del artículo 36, segundo párrafo de la Ley, cuando las
transferencias no actualicen los casos de excepción al consentimiento que establece el
artículo 37 de la Ley, el aviso de privacidad deberá incluir una cláusula que permita al
titular señalar si consiente o no la transferencia de sus datos personales.

Medios para el ejercicio de derechos ARCO

Vigésimo octavo. De acuerdo con lo previsto en los artículos 16, fracción IV y 33 de la
Ley, y 90 y 102 de su Reglamento, el aviso de privacidad deberá informar al titular sobre:
I. Los medios habilitados por el responsable para atender las solicitudes de ejercicio de
derechos ARCO, los cuales deberán implementarse de forma tal que no se limite el
ejercicio de estos derechos por parte de los titulares;
II. Los procedimientos establecidos para el ejercicio de los derechos ARCO; o bien, los
medios a través de los cuales el titular podrá conocer dichos procedimientos, los cuales
deberán ser de fácil acceso para los titulares y con la mayor cobertura posible,
considerando su perfil y la forma en que mantienen contacto cotidiano o común con el
responsable; gratuitos; que estén debidamente habilitados, y que hagan sencillo el acceso
a la información. Los datos de identificación y contacto de la persona o departamento de
datos personales que dará trámite a las solicitudes de los titulares para el ejercicio de
los derechos ARCO, al que refiere el artículo 30 de la Ley.
Los procedimientos a los que refiere la fracción II del presente lineamiento deberán incluir,
al menos, lo siguiente:
a) Los requisitos, entre ellos, los mecanismos de acreditación de la identidad del titular y
la personalidad de su representante, y la información o documentación que se deberá
acompañar a la solicitud;
b) Los plazos dentro del procedimiento;
c) Los medios para dar respuesta;
d) La modalidad o medio de reproducción mediante la cual el titular podrá obtener la
información o datos personales solicitados a través del ejercicio del derecho de acceso,
es decir, copias simples, documentos electrónicos o cualquier otro medio, y
e) Los formularios, sistemas y otros métodos simplificados que, en su caso, el
responsable haya implementado para facilitar al titular el ejercicio de los derechos ARCO.

Mecanismos y procedimientos para la revocación del consentimiento

Vigésimo noveno. Para efectos de los artículos 8, último párrafo de la Ley y 21 de su
Reglamento, el aviso de privacidad deberá señalar expresamente la siguiente
información:

10
I. Los medios habilitados por el responsable para atenderlas solicitudes de revocación
del consentimiento de los titulares, los cuales deberán implementarse de forma tal que no
se limite el ejercicio de este derecho por parte de los titulares, y
II. El procedimiento establecido para la atención de las solicitudes de revocación del
consentimiento, el cual deberá tomar en consideración lo dispuesto por el artículo 21 del
Reglamento de la Ley; o bien, los medios a través de los cuales el titular podrá conocer
dicho procedimiento, los cuales deberán ser de fácil acceso para los titulares y con la
mayor cobertura posible, considerando su perfil y la forma en que mantienen contacto
cotidiano o común con el responsable; gratuitos; que estén debidamente habilitados, y
que hagan sencillo el acceso a la información.
Los procedimientos a los que refiere la fracción II anterior, deberán informar, al menos, lo
siguiente:
a) Los requisitos, entre ellos, los mecanismos de acreditación de la identidad del titular y
la personalidad de su representante y, en su caso, la información o documentación que se
deberá acompañar a la solicitud;
b) Los plazos dentro del procedimiento, y
c) Los medios para dar respuesta.

Opciones y medios para limitar el uso o divulgación de los datos personales

Trigésimo. El aviso de privacidad deberá informar sobre las opciones y medios que, en
su caso, el responsable haya instrumentado para que el titular pueda limitar el uso y
divulgación de sus datos personales, distintos al ejercicio de los derechos ARCO o a la
revocación del consentimiento, de conformidad con el artículo 16, fracción III de la Ley,
como podrán ser, entre otros:
I. La inscripción del titular en el Registro Público de Consumidores previsto en la Ley
Federal de Protección al Consumidor, y en el Registro Público de Usuarios conforme a la
Ley de Protección y Defensa al Usuario de Servicios Financieros, en términos del artículo
111 del Reglamento de la Ley;
II. El registro del titular en listados de exclusión propios del responsable, sectoriales o
generales, de acuerdo con lo establecido en el artículo 110 del Reglamento de la Ley,
señalando el nombre del listado, las finalidades para las cuales es aplicable la exclusión y,
en su caso, el canal habilitado por el responsable para que el titular pueda obtener mayor
información al respecto, o
III. La habilitación de medios por los cuales el titular pueda manifestar su negativa a
seguir recibiendo comunicados o promociones por parte del responsable.
Cuando así se requiera, el aviso de privacidad describirá los procedimientos para el uso
de estas opciones o medios; o bien, informará los mecanismos por los cuales el titular
podrá conocer estos procedimientos.

Uso de cookies, web beacons u otras tecnologías similares

Trigésimo primero. En términos del artículo 14, último párrafo del Reglamento de la Ley,
cuando el responsable utilice mecanismos en medios remotos o locales de comunicación
electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera
automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese
momento deberá informar al titular, a través de una comunicación o advertencia colocada
en un lugar visible, sobre el uso de esas tecnologías y sobre el hecho de que a través de
las mismas se obtienen datos personales, así como la forma en que se podrán
deshabilitar, esto últimosalvo que dichas tecnologías sean necesarias por motivos
técnicos.
Asimismo, el responsable deberá incluir en el aviso de privacidad la información a la que
refiere el artículo 14 del Reglamento de la Ley y aquélla que deba ser informada en los

11
términos de los presentes Lineamientos, entre ella, los datos personales que se recaban y
las finalidades del tratamiento.

Cambios al aviso de privacidad

Trigésimo segundo. De conformidad con el artículo 16, fracción VI de la Ley, el aviso de
privacidad deberá señalar el medio y procedimiento implementado por el responsable
para dar a conocer al titular los cambios o actualizaciones efectuados al mismo.
Con relación al procedimiento, el responsable podrá incluir este elemento en el aviso de
privacidad cuando el medio instrumentado para dar a conocer los cambios o
actualizaciones en el aviso de privacidad no se dirija directamente a cada titular, como por
ejemplo una publicación generalizada en su página de internet.

Casos en los que se requiere un nuevo aviso de privacidad

Trigésimo tercero. El responsable no podrá hacer uso de los medios y procedimientos
señalados en el lineamiento anterior, sino que estará obligado a poner a disposición de
los titulares un nuevo aviso de privacidad, de conformidad con lo que establece la Ley, su
Reglamento y los presentes Lineamientos, cuando el responsable:
I. Cambie su identidad;
II. Requiera recabar datos personales sensibles, patrimoniales o financieros adicionales a
aquéllos informados en el aviso de privacidad original, cuando los mismos no se obtengan
de manera personal o directa del titular y se requiera el consentimiento;
III. Cambie las finalidades que dieron origen o son necesarias para la relación jurídica
entre el responsable y el titular; o bien, se incorporen nuevas que requieran del
consentimiento del titular, o
IV. Modifique las condiciones de las transferencias o se vayan a realizar transferencias no
previstas inicialmente, y el consentimiento del titular sea necesario.

Sección II
Del Contenido del Aviso de Privacidad Simplificado

Elementos informativos del aviso de privacidad simplificado

Trigésimo cuarto. De conformidad con lo que establecen los artículos 17, fracción II de la
Ley y 27 de su Reglamento, el aviso de privacidad simplificado deberá contener, al
menos, la siguiente información, de conformidad con lo dispuesto en la presente Sección:
I. La identidad y domicilio del responsable;
II. Las finalidades del tratamiento, y
III. Los mecanismos que el responsable ofrece para que el titular conozca el aviso de
privacidad integral.
La divulgación inmediata de la información antes señalada no exime al responsable de la
obligación de proveer los mecanismos para que el titular conozca el contenido del aviso
de privacidad integral.

Identidad y domicilio del responsable

Trigésimo quinto. La identidad y domicilio del responsable se informará en idénticos
términos queen el aviso de privacidad integral, de conformidad con el Vigésimo primero
de los presentes Lineamientos.

Finalidades del tratamiento

Trigésimo sexto. El aviso de privacidad simplificado deberá informar sobre las
finalidades determinadas para las cuales se tratan los datos personales, las cuales, en su
caso, deberán hacer referencia explícita a aquéllas que refieran a mercadotecnia,

12
publicidad y prospección comercial; distinguir entre las finalidades que son necesarias y
dieron origen a la relación jurídica entre el responsable y el titular, de las que no lo son;
así como señalar el mecanismo habilitado para que el titular pueda, en su caso,
manifestar su negativa para el tratamiento de sus datos personales para las finalidades
que no son necesarias para la relación jurídica con el responsable. Lo anterior en
términos de lo señalado en el Vigésimo cuarto y Vigésimo quinto de los
presentes Lineamientos.

Mecanismos para que el titular conozca el aviso de privacidad integral

Trigésimo séptimo. El aviso de privacidad simplificado deberá señalar los mecanismos
que el responsable ha implementado para que los titulares puedan conocer el aviso de
privacidad integral. Para la elección de estos mecanismos, el responsable deberá elegir
aquéllos que sean de fácil acceso para los titulares y con la mayor cobertura posible,
considerando su perfil y la forma en que mantienen contacto con el responsable; gratuitos;
que estén debidamente habilitados y disponibles en todo momento, y que hagansencillo el
acceso a la información.
Cuando el aviso de privacidad simplificado se haga del conocimiento de los titulares por
medios remotos o locales de comunicación electrónica, óptica u otra tecnología, por ese
mismo medio deberá ponerse a disposición el aviso de privacidad integral.
Lo anterior sin perjuicio de que el titular pueda solicitar el aviso de privacidad integral por
un medio distinto al indicado en el aviso de privacidad simplificado, en ejercicio de su
derecho de acceso, de conformidad con lo dispuesto en el artículo 23 de la Ley.

Sección III
Del Contenido del Aviso de Privacidad Corto

Elementos informativos del aviso de privacidad corto

Trigésimo octavo. En términos del artículo 28 del Reglamento de la Ley y fracción III del
Decimoctavo de los presentes Lineamientos, el aviso de privacidad corto deberá contener,
al menos, los siguientes elementos informativos, de conformidad con lo dispuesto por los
lineamientos de la presente Sección:
I. La identidad y domicilio del responsable;
II. Las finalidades del tratamiento, y
III. Los mecanismos que el responsable ofrece para que el titular conozca el aviso de
privacidad integral.
La divulgación inmediata de la información antes señalada no exime al responsable de la
obligación de proveer los mecanismos para que el titular conozca el contenido del aviso
de privacidad integral.

Identidad y domicilio del responsable

Trigésimo noveno. La identidad y domicilio del responsable se informará en idénticos
términos que en el aviso de privacidad integral, de conformidad con el Vigésimo primero
de los presentes Lineamientos.

Finalidades del tratamiento

Cuadragésimo. Al considerar que el aviso de privacidad corto se utiliza cuando el
espacio para la obtención de los datos personales y para difundir el aviso de privacidad es
mínimo y limitado, y los datos personales que se recaban también son mínimos; en esta
modalidad, el aviso de privacidad deberá contener, al menos, el listado de finalidades
determinadas para las cuales se tratarán los datos personales, incluidas aquéllas que
refieran a mercadotécnica, publicidad y prospección comercial.

13
Mecanismos para que el titular conozca el aviso de privacidad integral
Cuadragésimo primero. El aviso de privacidad corto deberá contener este elemento
informativo en términos de lo señalado en el Trigésimo séptimo de los presentes
Lineamientos.
TRANSITORIO
Unico. Los presentes Lineamientos entrarán en vigor tres meses después al de su
publicación en el Diario Oficial de la Federación.
México, D.F., a 28 de diciembre de 2012.- El Secretario de Economía, Ildefonso Guajardo
Villarreal.- Rúbrica.

ANEXO
Buenas prácticas en el aviso de privacidad
El presente anexo forma parte integral de los Lineamientos del Aviso de Privacidad, y su
objetivo es establecer buenas prácticas en materia de aviso de privacidad, cuya
observancia será opcional para los responsables, y podrán ser adoptadas por medio de
los mecanismos de autorregulación a los que refiere la Ley y su Reglamento, así como en
cumplimiento del principio de responsabilidad.

Buenas prácticas en la identidad y domicilio del responsable

Primero. Como una buena práctica, el aviso de privacidad podrá incluir, de manera
adicional, el nombre comercial del responsable, a través del cual es identificado o
reconocido comúnmente por el público en general, o concretamente por el público objetivo
a quien va dirigido el aviso de privacidad.
Asimismo, el responsable podrá incluir otros datos de contacto como la dirección de su
página de internet, correo electrónico, fax, número telefónico, entre otros.

Buenas prácticas en el listado de datos personales

Segundo. Como buena práctica, el aviso de privacidad podrá distinguir entre los datos
personales que son necesarios para las finalidades que dan origen a la relación jurídica
entre el responsable y el titular, de aquéllos que serán tratados para finalidades
secundarias o accesorias, así como asociar el tipo de dato personal o categoría con la
finalidad para la cual se tratará.
Asimismo, el aviso de privacidad podrá informar sobre las fuentes a través de las cuales
el responsable obtiene los datos personales que tratará, así como precisar por cada
fuente qué datos personales obtiene de éstas.

Buenas prácticas en información sobre transferencias

Tercero. Como buena práctica, el aviso de privacidad podrá relacionar los datos
personales o categorías de datos personales que se transfieren con la finalidad
respectiva.

Tratamiento de datos personales de menores de edad y personas en estado de

interdicción o incapacidad
Cuarto. Cuando el responsable trate datos personales de menores de edad o de
personas que se encuentren en estado de interdicción o incapacidad establecida por ley,
como buena práctica, el aviso de privacidad integral podrá informar sobre tal situación,
señalando al menos lo siguiente:
I. Los mecanismos que tiene implementados para recabar el consentimiento de la
persona que ejerce la patria potestad, o en su caso, del tutor o representante legal, de
conformidad con las reglas de representación dispuestas en el Código Civil Federal, y

14
II. Las acciones, medidas y previsiones especiales que caractericen este tipo de
tratamiento y que lleve a cabo el responsable, a fin de salvaguardar el derecho a la
protección de datos personales de estos grupos de personas.

Obtención del consentimiento expreso y expreso y por escrito del titular

Quinto. En los casos en que la Ley, su Reglamento o demás normativa aplicable
requieran del consentimiento expreso, o expreso y por escrito, del titular para el
tratamiento de sus datos personales, el aviso de privacidad podrá ser el medio para
recabar el mismo, en cuyo caso, deberá incluir una casilla de marcado o cualquier otro
mecanismo a fin de que el titular manifieste su consentimiento.
Lo anterior sin perjuicio de las disposiciones establecidas en la Ley y su Reglamento para
la obtención del consentimiento expreso o expreso y por escrito del titular, así como del
establecimiento de otros mecanismos que pueda instrumentar el responsable para tal fin.

Toma de decisiones sin intervención humana

Sexto. En términos del artículo 112 del Reglamento de la Ley, cuando se traten datos
personales como parte de un proceso de toma de decisiones sin que intervenga la
valoración de una persona física, el responsable deberá informar al titular que esta
situación ocurre. Para ello, el responsable deberá dar a conocer al titular la comunicación
o advertencia correspondiente, previo a la realización del proceso.
De manera adicional, y como buena práctica, el aviso de privacidad integral podrá hacer
del conocimiento del titular que sus datos serán tratados como parte de un proceso
automatizado de toma de decisiones, sin que intervenga la valoración de una persona
física, identificando el proceso respectivo.

Atención de quejas y denuncias

Séptimo. En términos del artículo 100 del Reglamento de la Ley, a manera de buena
práctica, el aviso de privacidad podrá incluir una mención o declaración específica para
informar al titular sobre el derecho que le asiste para acudir ante el Instituto en caso de
considerar que su derecho a la protección de datos personales ha sido vulnerado.

Fuentes Digitales:

Gobierno de la República. (5 de junio de 2010). LEY FEDERAL DE PROTECCIÓN DE

DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES. Junio 16, 2019, de
Cámara de Diputados Sitio web:
http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf

Prodato. (2019). LINEAMIENTOS DEL AVISO DE PRIVACIDAD. junio 16, 2019, de

Prodato Sitio web: http://www.protecciondedatospersonales.org/lfpdppp/lineamientos-del-
aviso-de-privacidad/

15