Ahora que está de moda que entes gubernamentales hagan uso de aplicaciones móviles para interactuar con la ciudadanía, donde mayormente recaban datos personales –información concerniente a una persona identificada o identificable– es necesario saber si satisfacen los principios de licitud, finalidad, lealtad, consentimiento, calidad, consentimiento, proporcionalidad, información y responsabilidad, previstos en la Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados (LGPDPPSO), y si el tratamiento que están realizando, está justificado por finalidades concretas, lícitas, explícitas y legítimas, relacionadas con las atribuciones de que la normatividad aplicable le confiera a los sujetos obligados (SO).
Para ello, es importante que los SO como responsables del tratamiento de los datos personales, informen a los titulares de éstos, a través del Aviso de Privacidad (AP), los alcances y condiciones generales del tratamiento al que serán sometidos los datos personales, a fin de que se puedan tomar decisiones informadas sobre su uso y, en consecuencia, se pueda mantener el control y disposiciones de los mismos, a su vez, el AP permitirá dar a conocer las herramientas que se tengan habilitadas para que los titulares pueden ejercer sus derechos respecto de su información personal.
De acuerdo al documento denominado “El abc del aviso de privacidad” del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) existen dos momentos por los cuales los SO deben poner a disposición de los titulares el AP y el cual dependerá de la forma en que se obtengan los datos personales, ya sea, si se recaban de forma directa o indirecta, si es de forma directa, el AP deberá ponerse a disposición previo a la obtención de los datos personales, independientemente de los formatos o medios físicos y/o electrónicos utilizados para tal efecto; ahora bien, se es de forma indirecta, el AP se pondrá a disposición cuando se tenga contacto con el titular, sin embargo, en ambos casos, el AP tendrá que estar publicado permanentemente, en el sitio web u oficinas de los SO con el objetivo de que los titulares puedan consultarlos en cualquier momento.
Por su parte, el artículo 27 de la LGPDPPSO señala que el AP tendrá dos modalidades, el simplificado e integral. El AP simplificado debe de contener: la denominación del responsable; las finalidades del tratamiento para las cuales se obtienen los datos personales, distinguiendo aquéllas que requieran el consentimiento del titular; cuando se realicen transferencias de datos personales que requieran consentimiento, se deberá informar: las autoridades, poderes, entidades, órganos y organismos gubernamentales de los tres órdenes de gobierno y las personas físicas o morales a las que se transfieren los datos personales, y las finalidades de estas transferencias; los mecanismos y medios disponibles para que el titular, en su caso pueda manifestar su negativa para el tratamiento de sus datos personales para finalidades y transferencias de datos personales que requieren el consentimiento del titular, y el sitio donde se podrá consultar el aviso de privacidad integral.
En cuanto al AP integral, menciona el artículo 28 de la LGPDPPSO que además de los requisitos aplicables al AP simplificado, deberá de contener, al menos la siguiente información: el domicilio del responsable; los datos personales que serán sometidos a trapiento, identificando aquéllos que son sensibles; el fundamento legal que faculta al responsable para llevar a cabo el tratamiento; las finalidades del tratamiento para las cuales se obtienen los datos personales, distinguiendo aquellas que requieren el consentimiento del titular; los mecanismos, medios y procedimientos disponibles para ejercer los derechos ARCO; el domicilio de la Unidad de Transparencia, y los medios a través de los cuales el responsable comunicará a los titulares los cambios al aviso de privacidad.
En este orden de ideas, citaré dos aplicaciones para equipos móviles (APP) creadas por distintos entes gubernamentales, denominadas “Ciudadano Vigilante” y “Denuncia Ciudadana CDMX”. La primera de las aquí señaladas, es decir, de “Ciudadano Vigilante” es una APP creada por la Secretaría de Seguridad y Protección Ciudadana del Gobierno de Chiapas, misma que en su contenido descargable, cuenta con el respectivo AP, el cual señala que los datos personales que serán recabados y para que fines serán usados, son: el nombre completo, domicilio, género, correo electrónico y número teléfono celular, y que la finalidad del tratamiento de este tipo de información será para que la institución pueda brindarle una atención personalizada de los servicios que ofrece la APP.
Asimismo, pese a que el AP de la APP en cuestión cita un marco normativo desactualizado para la protección de los datos personales, sí señala el nombre de la unidad administrativa responsable de recabar los datos personales, así como el domicilio donde se podrá ejercer los derechos de Acceso, Rectificación, Cancelación y Oposición (derechos ARCO) dando también como alternativa para el ejercicio de estos derechos la propia APP donde sólo bastará con ingresar el nombre de usuario y contraseña.
De la segunda APP llamada “Denuncia Ciudadana CDMX” fue creada por la Contraloría General de la Ciudad de México, que al igual que la anterior, da a conocer el AP que lleva por nombre “Aviso de Privacidad del Sistema de Denuncia Ciudadana”, el cual en su contenido muestra un amplio catálogo de artículos de distintas disposiciones normativas que dan sustento a la protección de los datos personales, además de citar la finalidad para los cuales serán tratados, y en su caso, las autoridades a las que podrán ser transmitidos, asimismo, cita los datos personales que optativamente serán recabados, así como la mención, de que los mismos no podrán ser difundidos sin el consentimiento expreso de su titular, y finalmente, señala el nombre de la responsable del sistema y la dirección donde podrán ejercer los derecho ARCO, adicionando también, los datos del Instituto de Transparencia, Acceso a la Información Pública, Protección de Datos Personales y Rendición de Cuentas de la Ciudad de México (INFO) donde pueden acudir a recibir asesoría sobre los derecho que tutela la ley de la materia.
A diferencia del AP de la APP “Ciudadano Vigilante” el AP de “Denuncia Ciudadana CDMX” justifica la necesidad de la transmisión de los datos personales a distintas autoridades, es decir, sabe la posibilidad de ser transmitidos a la Comisión de Derechos Humanos de la Ciudad de México para la investigación de presuntas violaciones a los derechos humanos, o al INFO para la substanciación de recursos de revisión, denuncias y procedimientos para determinar el probable incumplimiento a la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados de la Ciudad de México o bien, a la Auditoría Superior de la Ciudad de México, para el ejercicio de sus funciones de fiscalización a los órganos jurisdiccionales.
Como se ve, si nos apegamos al contenido estricto de los artículos 27 y 28 de la LGPDPPSO partiríamos de la hipótesis de que los avisos de privacidad de las APP aquí expuestas, no cumplen en su totalidad con los requisitos de los preceptos en cita, verbigracia, ninguno menciona el lugar donde puede ser consultado el AP integral, como tampoco mencionan los medios por los cuales comunicará a los responsables los cambios al AP. De ahí, la importancia de contar con un correcto AP, ya que la obligación que se impone a los SO y/o responsables del tratamiento de los datos personales, es la de poner a disposición de los titulares y por cualquier medio, el AP con la información exacta que establece la LGPDPPSO.
Cabe concluir, que el AP dependerá de las características de las APP y del tratamiento de DP que en ellas se lleven a cabo, ya sea por el tipo de actividad, procesos o procedimientos y de que sea un mecanismo de comunicación claro, eficiente y sencillo, tal como lo mandata el artículo 26 de la LGPDPPSO, sin dejar de mencionar, que las APP no estarán exentas de contar con las medidas de seguridad de carácter administrativo, físico y técnico para la protección de los datos personales que a su vez les permitan protegerlos contra cualquier daño, perdida, alteración o cualquier uso, acceso o tratamiento no autorizado, y de esta manera se logre garantizar su confidencialidad, integridad y disponibilidad.
I’m really impressed along with your writing skills and also with the format on your blog. Is that this a paid subject or did you customize it your self? Either way stay up the excellent high quality writing, it is uncommon to peer a nice weblog like this one today.