Por: Joel Gómez
Twitter: @JoelGomezMX
Email: [email protected]
Es de vital importancia tomar conciencia de lo peligroso que puede resultar contestar una solicitud de ejercicio de Derechos ARCO sin la previa asesoría correspondiente. Las multas pueden llegar casi a los $40 millones de pesos, y sí, aunque no lo creas, te puede aplicar a ti profesionista independiente, a tu agencia de marketing, o peor aún, ¡a alguno de tus clientes!
Recuerda, el 14 de noviembre de 2012 el IFAI impuso la primera multa a Farmacias San Pablo, quien por violar conceptos relativamente sencillos de la ley de la materia fue acreedora a una multa de poco más de $2 millones de pesos.
Esta columna está relacionada con varias que he publicado antes, aunque en estricto sentido no es continuación de ninguna. Te recomiendo leas las siguientes columnas para que tengas un contexto más amplio de lo que expondré a continuación:
Si has compartido tus datos personales, ¿conoces tus Derechos ARCO?
¿Ya sabes lo que debe contener tu Aviso de Privacidad?
¿Cómo reaccionar ante una carta amenazante de un despacho de abogados?
Trols Escandinavos, Cibernéticos y Litigantes ¿Sabe usted distinguirlos?
Desde el 10 de enero del 2012 predije el posible surgimiento de una nueva clase de trols, ¡los trols de datos personales! Todo parece indicar que no me equivoqué, pues ya conozco de algunos casos que bien podrían caer bajo esta “definición”.
A pesar de que la Ley Federal de Protección de Datos Personales en Posesión de Particulares no prevé ningún beneficio económico (como “daños y perjuicios”) para los titulares que “se quejen” en contra de los responsables de sus datos personales, es muy fácil intentar fastidiar a una empresa o responsable de datos personales, pues quienes conocemos de la materia sabemos que las multas por incumplimiento a la ley y el reglamento pueden ser cuantiosas. Incluso hay penas corporales (cárcel) si se dan algunos supuestos.
Básicamente la regulación de datos personales vigente permite a los titulares de los datos (cualquier persona física cuyos datos sean tratados por particulares) ejercer 5 derechos: el derecho de acceder a sus datos, el derecho de rectificar sus datos, el derecho de cancelar sus datos, el derecho a oponerse a determinado tratamiento de sus datos (hasta aquí conocidos colectivamente como “Derechos ARCO”), y el derecho a revocar su consentimiento para el tratamiento de sus datos personales, que viene a ser algo así como un “derecho de arrepentimiento” o “de retracto” (antes te di permiso de que trataras mis datos, ahora ya no quiero que los trates). Por “tratamiento” debemos entender: cualquier operación que se realice con datos personales, desde su obtención, uso, divulgación, almacenamiento y hasta su cancelación y supresión.
Dicho de manera simple: cualquier titular de datos personales puede “tocar tu puerta” (o contactarte por cualquier medio previsto en tu aviso de privacidad) para exigirte el ejercicio de cualesquiera de los cinco derechos antes descritos: acceso, rectificación, cancelación, oposición o revocación.
¿Qué hacer cuando recibamos una solicitud de esta naturaleza? A continuación te comparto algunos consejos:
Jamás contestes de inmediato, consulta primero con tu abogado especialista o con el oficial de datos personales de tu organización (designarlo es obligatorio por ley). Esto es importante por dos motivos: (a) porque la solicitud para ejercer Derechos ARCO puede presentarse de manera insuficiente o errónea (debe cumplir con ciertos requisitos), en cuyo caso puedes pedir información adicional al titular y por ende el plazo para contestarle se podría ampliar, y (b) porque existen causas justificadas en la ley para que el responsable se niegue a cancelar o a dar acceso a los datos personales.
No demores en poner a funcionar tu departamento de datos personales o en involucrar a tu asesor legal. Por ley tienes un plazo de 20 días para contestarle al titular y 15 días más para ejecutar la acción que le respondiste en el primer plazo de 20 días.
En tu respuesta, no copies de manera visible a nadie más de tu organización. Solo necesitas responderle al titular de los datos (o a su representante legal), a nadie más.
Determina si la solicitud cumple con los requisitos de ley y si no existe ningún impedimento legal o excepción que pueda operar para negar legítimamente el acceso a los datos o la cancelación de los mismos.
¡NO CONTESTES DE MÁS! El titular solo puede pedirte cualesquiera de los 5 derechos ya mencionados, no puede pedirte, por ejemplo: (a) que le compartas un aviso de privacidad de un tercero o un encargado, (b) exhibir el consentimiento otorgado por el titular para compartir sus datos personales con terceros (o para realizar transferencias), (c) exhibir cualquier documento NO relacionado con el ejercicio de los Derechos ARCO, (d) informar a quién han sido transferido sus datos y con qué finalidades (eso debe hacerse a través del aviso de privacidad, no a través de esta solicitud), etc.
Así como alguna vez comenté que “no hay que tenerles miedo a las cartas amenazantes de despachos de abogados”, ahora amplio mi dicho: “tampoco hay que tenerle miedo a las solicitudes de ejercicio de Derechos ARCO”. Si nuestra organización está debidamente capacitada y preparada para enfrentar estas situaciones, no hay nada que temer, pero siempre hay que actuar con prudencia y sobre todo, con la debida asesoría previa. Evítate correr riesgos de incurrir en infracciones que culminen en multas considerables impuestas por la autoridad competente (el IFAI). Más vale prevenir que lamentar.