Derechos ARCO

DERECHOS ARCO

El derecho fundamental a la protección de datos personales tiene por objeto garantizar a toda persona el poder de decisión y control que tiene sobre la información que le concierne, concretamente sobre el uso y destino que se le da a sus datos personales. Derivado de esta disposición, cada persona es dueña de su información y tiene el pleno derecho a decidir a quién y con qué finalidad proporciona sus datos personales, no estando obligada a facilitarlos si no lo desea, salvo que una ley así lo disponga.

La Constitución Política de los Estados Unidos Mexicanos reconoce en su artículo 16 el derecho que tiene toda persona a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley. La legislación mexicana que regula la protección de datos personales en posesión del sector privado es la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

 

Al momento de recabar los datos personales, el responsable está obligado a:

  1. Dar un uso a los datos personales respetando la ley, desde el momento de su obtención (principio de licitud).
  2. No utilizar medios engañosos o fraudulentos para obtener los datos personales (principio de lealtad).
  3. Poner a disposición el aviso de privacidad, de tal manera que el titular pueda conocer de qué forma serán tratados sus datos personales y cómo podrá ejercer sus derechos ARCO (principio de información).
  4. Obtener el consentimiento o autorización del titular para el tratamiento de sus datos personales, salvo las excepciones previstas en el artículo 10 de la Ley. Cuando se recaben datos personales sensibles el consentimiento del titular deberá ser expreso y por escrito. En el caso de datos personales de carácter patrimonial o financiero, el consentimiento del titular deberá ser expreso únicamente. Fuera de estos dos casos, como regla general es válido el consentimiento tácito (principio de consentimiento) siempre y cuando se ponga a disposición de los individuos titulares de los datos, el aviso de privacidad, en el que se indique lo que se hará con su información.
  5. Evitar la creación de bases de datos de carácter sensible, salvo que se justifique plenamente la necesidad del tratamiento para la consecución de finalidades legítimas y concretas relacionadas con las actividades estatutarias o comerciales que persigue el responsable.
  6. Recabar sólo aquellos datos personales que sean necesarios para las finalidades para las que se obtienen.

 

Durante el manejo o utilización de los datos personales, el responsable está obligado a:

  1. Utilizar los datos personales respetando la Ley (principio de licitud).
  2. Respetar la expectativa razonable de privacidad del titular, es decir, la confianza que depositó este último en el responsable, respecto de los datos personales que serán tratados conforme a lo que acordaron y en los términos establecidos por la Ley (principio de lealtad).
  3. Limitar el tratamiento de la información personal al cumplimiento de las finalidades previamente consentidas por el titular (principio de finalidad).
  4. Usar los datos personales que resulten estrictamente necesarios para cumplir con las finalidades para las cuales fueron recabados (principio de proporcionalidad).
  5. Mantener los datos personales actualizados y correctos (principio de calidad).
  6. Limitar el periodo de conservación de la información personal tratada al mínimo necesario (principio de calidad).
  7. Mantener la confidencialidad de los datos personales tratados (deber de confidencialidad).
  8. Implementar medidas de seguridad de carácter administrativo, físico y técnico que garanticen la confidencialidad e integridad de los datos personales (deber de seguridad).
  9. Informar al titular, sin demora alguna, sobre las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de éste, en cuanto se confirme la vulneración sucedida (deber de seguridad).
  10. Adoptar las medidas necesarias para cumplir con las obligaciones establecidas en la Ley (principio de responsabilidad).
  11. Rendir cuentas al titular en caso de algún incumplimiento con relación a la protección de sus datos personales (principio de responsabilidad).
  12. Comunicar los datos personales a terceros nacionales o extranjeros únicamente con la autorización del titular, salvo las excepciones previstas en la Ley, y hacer del conocimiento de los receptores de los datos personales el aviso de privacidad y las finalidades a las que el titular sujetó el tratamiento de su información personal.

 

Una vez agotadas las finalidades que justificaron el tratamiento de los datos personales, el responsable debe:

  • Suprimir los datos personales cuando hayan concluido las finalidades que dieron origen al tratamiento, previo bloqueo (principio de calidad).

 

El responsable, en todo momento, se encontrará obligado a cerciorarse de la identidad del titular que pretenda ejercer sus derechos de acceso, rectificación, cancelación y oposición, así como también para los casos en los que el titular busque revocar su consentimiento; para lo anterior, será indispensable que el titular presente cualquiera de las siguientes identificaciones:

  • Credencial del Instituto Nacional Electoral.
  • Pasaporte.
  • Cartilla del servicio Militar Nacional.
  • Cédula profesional.
  • Cartilla de identidad postal (expedida por SEPOMEX).
  • Certificado o constancia de estudios.
  • Constancia de residencia.
  • Credencial de afiliación del IMSS.
  • Credencial de afiliación al ISSSTE.
  • Documento migratorio que constate la legal estancia del extranjero en el país.

 

La Ley proporciona a toda persona una serie de poderes jurídicos frente al responsable (derechos ARCO), los cuales, por una parte, garantizan al titular el poder de decisión y control que tiene sobre la información que le concierne y, en consecuencia, su derecho a la protección de sus datos personales. En segundo término, actúan como complemento del deber del responsable de cumplir con las obligaciones que le son impuestas en la Ley, permitiéndole identificar aquellos casos en los que el tratamiento pudiera no resultar ajustado a los mismos. Así, la Ley reconoce y desarrolla los siguientes derechos:

  • Derecho de acceso.
  • Derecho de rectificación.
  • Derecho de cancelación.
  • Derecho de oposición.

 

DERECHOS DE ACCESO

El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.

  • Justificación: no es necesaria, salvo si se ha ejercitado el derecho en los últimos doce meses.
  • Plazos: El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud. El acceso podrá hacerse efectivo durante 10 días hábiles tras la comunicación de la resolución.
  • Denegación: debe motivarse e indicar que cabe invocar la tutela de la AEPD. Son motivos de denegación que el derecho ya se haya ejercitado en los doce meses anteriores a la solicitud (salvo que se acredite un interés legítimo al efecto) y que así lo prevea una Ley o una norma de derecho comunitario de aplicación directa o cuando éstas impidan al responsable del tratamiento revelar a los afectados el tratamiento de sus datos

 

DERECHO DE RECTIFICACION

Derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos.

  • Justificación: debe indicarse a qué datos se refiere y la corrección que haya de realizarse aportando documentación.
  • Plazo: 10 días hábiles.
  • Denegación: debe motivarse y procede indicar que cabe invocar la tutela de la AEPD.

DERECHO DE CANCELACION

Derecho del afectado a que se supriman los datos que resulten ser inadecuados o excesivos (de aquí surge el llamado “derecho de olvido”).

  • Justificación: debe indicarse el dato a cancelar y la causa que lo justifica, aportando documentación
  • Plazo: 10 días hábiles.
  • Denegación: debe motivarse y procede indicar que cabe invocar la tutela de la AEPD. La cancelación no procederá cuando los datos de carácter personal deban ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado que justificaron el tratamiento de los datos.

DERECHO DE OPOSICION

Derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los supuestos en que:

  • no sea necesario su consentimiento para el tratamiento,
  • se trate de ficheros de prospección comerciales o
  • tengan la finalidad de adoptar decisiones referidas al interesado y basadas únicamente en el tratamiento automatizado de sus datos.
  • Justificación: concurrencia de motivos fundados y legítimos relativos a su concreta situación personal.
  • Plazo : 10 días hábiles.
  • Denegación: debe motivarse e indicar que cabe invocar la tutela de la AEPD

NUEVOS DERECHOS

 

DERECHO DE LIMITACION

Se trata de un nuevo derecho que supone que los afectados puedan solicitar la limitación del tratamiento de sus datos personales.

«Limitación» significa que sus datos personales solo pueden ser tratados con su consentimiento para:

  • la formulación
  • el ejercicio o la defensa de reclamaciones
  • con miras a la protección de los derechos de otra persona física o jurídica
  • por razones de interés público.

Este derecho existe en los casos siguientes:

  • cuando la exactitud de los datos de que se trate esté en duda
  • si no queremos que se borren nuestros datos
  • cuando los datos ya no sean necesarios para el fin original, pero no se pueden borrar por motivos jurídicos
  • en caso de que la decisión de su objeción al tratamiento esté pendiente.
  • Plazo : 10 días hábiles.
  • Denegación: debe motivarse e indicar que cabe invocar la tutela de la AEPD.

DERECHO DE PORTABILIDAD

El interesado tendrá derecho a que el Responsable transmita sus datos a otro Responsable del tratamiento o al mismo interesado, mediante un formato estructurado de uso habitual y lectura mecánica, cuando el tratamiento se efectúe por medios automatizados y se base en:

  • El consentimiento del interesado para fines específicos.
  • La ejecución de un contrato o precontrato con el interesado.

El derecho a la potabilidad de datos no se aplicará cuando:

  • Sea técnicamente imposible la transmisión.
  • Pueda afectar negativamente a los derechos y libertades de terceros.
  • El tratamiento tenga una misión de interés público fundamentado en la legislación vigente.

El plazo para contestar a la solicitud de portabilidad es de un mes, exceptuando aquellos casos más complejos para los que se concede un plazo de tres meses, pero siempre informando dentro del primer mes de las razones para dicho retraso.

 

Los derechos ARCO únicamente se podrán ejercer por:

  • El titular, previa acreditación de su identidad, presentando original y copia de su documento de identificación o a través de instrumentos electrónicos que le permitan identificarse.
  • Su representante, previa acreditación de su identidad y de su personalidad mediante instrumento público o carta poder firmada ante dos testigos, o declaración en comparecencia personal del titular.

Para el ejercicio de los derechos ARCO de menores de edad o de personas que se encuentren en estado de interdicción o incapacidad establecida por ley, se deberán observar las reglas de representación señaladas en el Código Civil Federal.