Ante las dudas que los Asociados presentaran acerca del

Ante las dudas que los Asociados presentaran acerca del Aviso de Privacidad
que contempla la Ley Federal de Protección de Datos Personales en Posesión
de los Particulares, AMASFAC presentó al IFAI la siguiente consulta:
Los Agentes de Seguros y Fianzas – Personas Físicas y Personas Morales – que intermedian para
diferentes empresas autorizadas de acuerdo a la legislación mexicana para la realización de actividades y
operaciones, en materia de seguros y fianzas, ¿Deberían contar con su aviso de privacidad? O sería
suficiente con el aviso de privacidad que tienen dichas instituciones de Seguros y de Fianzas.
Basados en la contestación del IFAI y en vista de las variables que los Avisos
de Privacidad presentan dada la actividad de cada Agente de Seguros y
Fianzas, AMASFAC recomienda que, para no incurrir en ninguna falta, cada
uno de los Agentes se asesore con el IFAI (01800 8354-324/www.ifai.org.mx)
para la elaboración de un Aviso de Privacidad que cubra sus necesidades.
A continuación mostramos la respuesta que recibiéramos del Instituto
Federal de Acceso a la Información.
Al respecto, se hace de su conocimiento lo siguiente:
Los artículos 3, fracciones IX y XIV y 15 de la Ley Federal de Protección de Datos Personales en Posesión de
los Particulares, en lo sucesivo la Ley, señalan lo que a continuación se indica:
“Artículo 3.- Para los efectos de esta Ley, se entenderá por:
[…]
IX. Encargado: La persona física o jurídica que sola o conjuntamente con otras trate datos
personales por cuenta del responsable.
[…]
XIV: Responsable: Persona física o moral de carácter privado que decide sobre el tratamiento de
datos personales.
[…]
Artículo 15.- El responsable tendrá la obligación de informar a los titulares de los datos, la
información que se recaba de ellos y con qué fines, a través del aviso de privacidad”.
Asimismo, los artículos 23, 49, 50 y 51 del Reglamento de la Ley disponen lo que a continuación se indica:
“Principio de información
Artículo 23. El responsable deberá dar a conocer al titular la información relativa a la existencia y
características principales del tratamiento a que serán sometidos sus datos personales a través del
aviso de privacidad, de conformidad con lo previsto en la Ley y el presente Reglamento.
Figura del encargado
Artículo 49. El encargado es la persona física o moral, pública o privada, ajena a la organización
del responsable, que sola o conjuntamente con otras, trata datos personales por cuenta del
responsable, como consecuencia de la existencia de una relación jurídica que le vincula con el
mismo y delimita el ámbito de su actuación para la prestación de un servicio.
Obligaciones del encargado
Artículo 50. El encargado tendrá las siguientes obligaciones respecto del tratamiento que realice
por cuenta del responsable:
I. Tratar únicamente los datos personales conforme a las instrucciones del responsable;
II. Abstenerse de tratar los datos personales para finalidades distintas a las instruidas por el
responsable;
III. Implementar las medidas de seguridad conforme a la Ley, el Reglamento y las demás
disposiciones aplicables;
IV. Guardar confidencialidad respecto de los datos personales tratados;
V. Suprimir los datos personales objeto de tratamiento una vez cumplida la relación jurídica con el
responsable o por instrucciones del responsable, siempre y cuando no exista una previsión legal
que exija la conservación de los datos personales, y
VI. Abstenerse de transferir los datos personales salvo en el caso de que el responsable así lo
determine, la comunicación derive de una subcontratación, o cuando así lo requiera la autoridad
competente.
Los acuerdos entre el responsable y el encargado relacionados con el tratamiento deberán estar
acordes con el aviso de privacidad correspondiente.
Relación entre el responsable y el encargado
Artículo 51. La relación entre el responsable y el encargado deberá estar establecida mediante
cláusulas contractuales u otro instrumento jurídico que decida el responsable, que permita acreditar
su existencia, alcance y contenido”.
Por su parte, el Decimoquinto de los Lineamientos del Aviso de privacidad establecen lo siguiente:
“Comunicación del aviso de privacidad a encargados y terceros
Decimoquinto. Con objeto de cumplir con lo establecido por los artículos 14 y 36 de la Ley, en el
sentido de que el responsable deberá tomar las medidas necesarias y suficientes para garantizar
que el aviso de privacidad dado a conocer al titular, sea respetado en todo momento por él o por
terceros con los que guarde alguna relación jurídica; el responsable deberá comunicar el aviso de
privacidad a los encargados y terceros a los que remita o y transfiera datos personales,
respectivamente”.
Derivado de las disposiciones citadas es posible señalar que la Ley y su Reglamento prevén un marco
general aplicable a las figuras de “responsable” y “encargado” con relación al aviso de privacidad y otras
obligaciones, que se distingue por las siguientes reglas específicas:
–
–
–
–
–
El responsable es toda persona física o moral de carácter privado que decide sobre la naturaleza,
alcance y contenido de determinado tratamiento de datos personales.
El responsable que en sus actividades trate datos personales está obligado a cumplir con el principio
de información.
El principio de información se traduce en la obligación que tiene el responsable de informar al titular
sobre la existencia, características generales y particulares, términos y condiciones del o los
tratamientos de datos personales que efectúe, a través del aviso de privacidad.
Por su parte, el encargado es toda persona física o moral nacional o extranjera, ajena a la
organización del responsable, que sola o conjuntamente con otra trata datos personales por cuenta
del responsable, derivado de una relación jurídica existente entre éstos.
Las obligaciones del encargado respecto al tratamiento de información personal que lleve a cabo a
nombre y por cuenta del responsable son las siguientes: (i) usar los datos personales conforme las
instrucciones del responsable; (ii) abstenerse de tratar los datos personales para finalidades distintas
–
a las acordadas con el responsable; (iii) implementar medidas de seguridad que garanticen la
confidencialidad, disponibilidad e integridad de la información personales que trata; (iv) guardar la
confidencialidad de los datos personales; (v) suprimir los datos personales una vez cumplida la
relación jurídica que tiene con el responsable, y (vi) abstenerse de transferir los datos personales sin
la autorización del responsable.
Los acuerdos suscitados entre el responsable y encargado deben estar conforme a los términos del
aviso de privacidad del responsable.
En este sentido, la figura del responsable es la que en todo momento decide sobre la naturaleza, alcance y
contenido de determinado tratamiento de datos personales, en función de sus procesos operativos o
actividades comerciales, estatutarias, societarias, civiles o de cualquier otra naturaleza que realice.
Mientras que en el tratamiento de datos personales la figura del encargado sólo entra en acción cuando así lo
decida el responsable, para convertirse en uno de los brazos operativos y ejecutores de éste último, con la
finalidad de llevar a cabo ciertas acciones o procesos con los datos personales; procesos y acciones que en
todo momento deberán estar delimitadas por las instrucciones del propio responsable.
Bajo estas premisas, en el tratamiento de datos personales que lleve a cabo el encargado siempre actuará a
nombre y por cuenta del responsable y, por consiguiente, el encargado no está obligado a expedir el aviso de
privacidad a que se refiere el artículo 15 de la Ley y su correlativo 23 del Reglamento. Sin embargo, el
responsable siempre está obligado a:
–
–
–
Poner a disposición del titular el aviso de privacidad.
Dar a conocer el aviso de privacidad al encargado, con la finalidad de que esté enterado de las
condiciones y términos a los que el titular sujetó el uso de su información.
Convenir las actuaciones del encargado en torno a lo previsto en el aviso de privacidad.
Para el caso que nos ocupa, si los agentes o intermediarios tratan los datos personales exclusivamente a
nombre y por cuenta de la compañía aseguradora a la que representan, estarían cumpliendo la figura de
“encargados”. En ese sentido, el intermediario o agente, al ser un encargado en términos de la Ley, no estaría
obligado a poner a disposición de los titulares un aviso de privacidad propio, sino únicamente el aviso de
privacidad de la aseguradora a la que representa, y quien es la responsable del tratamiento de los datos
personales.
Ahora bien, si el agente o intermediario va a tratar los datos personales para fines propios, en los que él
decide los términos del tratamiento, además de aquéllos para los cuales recaba la información a nombre y por
cuenta de la compañía aseguradora a la que representa; en ese caso se convertirá también en responsable, y
bajo este supuesto estará obligado a poner a disposición de los titulares un aviso de privacidad propio, que
verse sobre las finalidades para las cuales él en lo particular tratará los datos personales, además de poner a
disposición el aviso de privacidad que refiera al tratamiento que dará la aseguradora.
En suma, se tendrá que analizar el caso concreto para determinar si el agente de seguros y fianzas está
actuando como encargado o responsable, para determinar si está obligado o no a emitir y poner a disposición
un aviso de privacidad propio, o si es suficiente con el aviso de privacidad de la empresa para la cual
intermedia.
Por último, con la finalidad de orientar en la elaboración y puesta a disposición del Aviso de Privacidad, usted
puede consultar la guía denominada El ABC del Aviso de Privacidad, en donde encontrará respuestas a
preguntas frecuentes en el tema de aviso de privacidad, así como ejemplos claros e información relativa a
cada uno de los elementos informativos que debe contener un aviso de privacidad y modelos tipo de sus tres
modalidades: integral, simplificado y corto. A través de la lectura de la guía, usted encontrará la información
necesaria para redactar su aviso de privacidad de conformidad con lo que establece la norma. La guía se
puede consultar en el vínculo electrónico:
http://inicio.ifai.org.mx/RepositorioGuias/Sitio%20Aviso%20de%20Privacidad/index.html
Asimismo, en nuestro portal de Internet podrá consultar el Formato de Autoevaluación de Aviso de privacidad,
el cual le servirá como lista de revisión -Check-list- para cerciorarse de que su aviso de privacidad contenga
todos los elementos informativos requeridos por la normatividad aplicable. Usted podrá acceder a dicho
documento a través del vínculo electrónico:
http://inicio.ifai.org.mx/RepositorioGuias/Check-List%20aviso%20de%20privacidad_autoevaluación%20responsable%20(25jun13).docx
En caso de requerir información adicional o en caso de tener alguna duda sobre el derecho a la protección de
los datos personales o dudas específicas en relación con el aviso de privacidad, ponemos a su disposición
nuestro Centro de Atención a la Sociedad (CAS), ubicado en Av. Insurgentes Sur no. 3211, Col. Insurgentes
Cuicuilco, Del. Coyoacán, Distrito Federal, C. P. 04530, México. Para atenderle desde cualquier parte del país
y del mundo, con el número telefónico gratuito 01 800 TELIFAI (01 800 835 4324), el correo electrónico
[email protected] y el conmutador (01 55) 5004 2400 extensiones 2595 y 2596, donde con mucho gusto le
atenderemos.
Quedo a sus órdenes para cualquier duda o aclaración.
Atentamente,
Miriam Caballero Vargas
Directora de Esquemas de Autorregulación
Instituto Federal de Acceso a la Información y Protección de Datos Personales