De los Principios de Protección de Datos Personales
| Autor | José Pérez Chavez - Raymundo Fol Olguin |
| Páginas | 1034-1046 |
ARTÍCULO 9.
Principios de protección de datos
De acuerdo con lo previsto en el artículo 6 de la Ley, los responsables deben cumplir con los siguientes principios rectores de la protección de datos personales:
I. Licitud;
II. Consentimiento;
III. Información;
IV. Calidad;
V. Finalidad;
VI. Lealtad;
VII. Proporcionalidad, y
VIII. Responsabilidad.
Asimismo, el responsable deberá observar los deberes de seguridad y confidencialidad a que se refieren los artículos 19 y 21 de la Ley.
ARTÍCULO 10.
Principio de licitud
El principio de licitud obliga al responsable a que el tratamiento sea con apego y cumplimiento a lo dispuesto por la legislación mexicana y el derecho internacional.
ARTÍCULO 11.
Principio de consentimiento
El responsable deberá obtener el consentimiento para el tratamiento de los datos personales, a menos que no sea exigible con arreglo a lo previsto en el artículo 10 de la Ley. La solicitud del consentimiento deberá ir referida a una finalidad o finalidades determinadas, previstas en el aviso de privacidad.
Cuando los datos personales se obtengan personalmente o de manera directa de su titular, el consentimiento deberá ser previo al tratamiento.
ARTÍCULO 12.
Características del consentimiento
La obtención del consentimiento tácito o expreso deberá ser:
I. Libre: sin que medie error, mala fe, violencia o dolo, que puedan afectar la manifestación de voluntad del titular;
II. Específica: referida a una o varias finalidades determinadas que justifiquen el tratamiento, y
III. Informada: que el titular tenga conocimiento del aviso de privacidad previo al tratamiento a que serán sometidos sus datos personales y las consecuencias de otorgar su consentimiento.
El consentimiento expreso también deberá ser inequívoco, es decir, que existan elementos que de manera indubitable demuestren su otorgamiento.
ARTÍCULO 13.
Consentimiento tácito
Salvo que la Ley exija el consentimiento expreso del titular, será válido el consentimiento tácito como regla general, conforme a lo dispuesto en los artículos 11 y 12 del presente Reglamento.
ARTÍCULO 14.
Solicitud del consentimiento tácito
Cuando el responsable pretenda recabar los datos personales directa o personalmente de su titular, deberá previamente poner a disposición de éste el aviso de privacidad, el cual debe contener un mecanismo para que, en su caso, el titular pueda manifestar su negativa al tratamiento de sus datos personales para las finalidades que sean distintas a aquéllas que son necesarias y den origen a la relación jurídica entre el responsable y el titular.
En los casos en que los datos personales se obtengan de manera indirecta del titular y tenga lugar un cambio de las finalidades que fueron consentidas en la transferencia, el responsable deberá poner a disposición del titular el aviso de privacidad previo al aprovechamiento de los datos personales. Cuando el aviso de privacidad no se haga del conocimiento del titular de manera directa o personal, el titular tendrá un plazo de cinco días para que, de ser el caso, manifieste su negativa para el tratamiento de sus datos personales para las finalidades que sean distintas a aquéllas que son necesarias y den origen a la relación jurídica entre el responsable y el titular. Si el titular no manifiesta su negativa para el tratamiento de sus datos de conformidad con lo anterior, se entenderá que ha otorgado su consentimiento para el tratamiento de los mismos, salvo prueba en contrario.
Cuando el responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento se deberá informar al titular sobre el uso de esas tecnologías, que a través de las mismas se obtienen datos personales y la forma en que se podrán deshabilitar.
ARTÍCULO 15.
Consentimiento expreso
El responsable deberá obtener el consentimiento expreso del titular cuando:
I. Lo exija una ley o reglamento;
II. Se trate de datos financieros o patrimoniales;
III. Se trate de datos sensibles;
IV. Lo solicite el responsable para acreditar el mismo, o
V. Lo acuerden así el titular y el responsable.
ARTÍCULO 16.
Solicitud del consentimiento expreso
Cuando el consentimiento expreso sea exigido en términos de una disposición legal o reglamentaria, el responsable deberá facilitar al titular un medio sencillo y gratuito para que, en su caso, lo pueda manifestar.
ARTÍCULO 17.
Excepciones al principio del consentimiento
En términos de lo dispuesto por los artículos 10, fracción IV y 37, fracción VII de la Ley, no se requerirá el consentimiento tácito o expreso para el tratamiento de los datos personales cuando éstos deriven de una relación jurídica entre el titular y el responsable.
No resulta aplicable lo establecido en el párrafo anterior cuando el tratamiento de datos personales sea para finalidades distintas a aquéllas que son necesarias y den origen a la relación jurídica entre el responsable y el titular. En ese caso, para la obtención del consentimiento tácito, el responsable deberá observar lo dispuesto en los artículos 8, tercer párrafo de la Ley y 11, 12 y 13 del presente Reglamento, y tratándose de datos sensibles, financieros y patrimoniales, deberá obtener el consentimiento expreso, o bien, expreso y por escrito, según lo exija la Ley.
ARTÍCULO 18.
Consentimiento verbal
Se considera que el consentimiento expreso se otorgó verbalmente cuando el titular lo externa oralmente de manera presencial o mediante el uso de cualquier tecnología que permita la interlocución oral.
ARTÍCULO 19.
Consentimiento escrito
Se considerará que el consentimiento expreso se otorgó por escrito cuando el titular lo externe mediante un documento con su firma autógrafa, huella dactilar o cualquier otro mecanismo autorizado por la normativa aplicable. Tratándose del entorno digital, podrán utilizarse firma electrónica o cualquier mecanismo o procedimiento que al efecto se establezca y permita identificar al titular y recabar su consentimiento.
ARTÍCULO 20.
Prueba para demostrar la obtención del consentimiento
Para efectos de demostrar la obtención del consentimiento, la carga de la prueba recaerá, en todos los casos, en el responsable.
ARTÍCULO 21.
Revocación del consentimiento
En cualquier momento, el titular podrá revocar su consentimiento para el tratamiento de sus datos personales, para lo cual el responsable deberá establecer mecanismos sencillos y gratuitos, que permitan al titular revocar su consentimiento al menos por el mismo medio por el que lo otorgó, siempre y cuando no lo impida una disposición legal.
Los mecanismos o procedimientos que el responsable establezca para atender las solicitudes de revocación del consentimiento no podrán exceder los plazos previstos en el artículo 32 de la Ley.
Cuando el titular solicite la confirmación del cese del tratamiento de sus datos personales, el responsable deberá responder expresamente a dicha solicitud.
En caso de que los datos personales hubiesen sido remitidos con anterioridad a la fecha de revocación del consentimiento y sigan siendo tratados por encargados, el responsable deberá hacer de su conocimiento dicha revocación, para que procedan a efectuar lo conducente.
ARTÍCULO 22.
Procedimiento ante la negativa al cese en el tratamiento
En caso de negativa por parte del responsable al cese en el tratamiento ante la revocación del consentimiento, el titular podrá presentar ante el Instituto la denuncia correspondiente a que refiere el Capítulo IX del presente...
Para continuar leyendo
Solicita tu prueba