3 Principios y Deberes en Materia de Protección de Datos Personales PDF

Principios y deberes en materia de
Protección de Datos Personales
INAI. (2015). Principios y deberes en materia de Protección de Datos Personales

Principios y deberes en materia de Protección de Datos Personales
Módulo 3. Principios y deberes en materia de

Protección de Datos Personales
Mtro. Miguel Recio Gayo
Contenido
3.1 Principios de la Protección de Datos Personales.......................................................................................5
3.2 Principio de la licitud....................................................................................................................................... 8
3.2.1 Concepto................................................................................................................................................... 8
3.2.2 Importancia y utilidad...............................................................................................................................9
3.3 Principio de consentimiento.........................................................................................................................13
3.3.1 Concepto................................................................................................................................................. 13
3.3.2 Importancia y utilidad.............................................................................................................................14
3.3.3 Tipos de consentimiento....................................................................................................................... 15
3.3.4 Excepciones al principio de consentimiento......................................................................................17
3.3.5 Revocación del consentimiento........................................................................................................... 18
3.4 Principio de información............................................................................................................................... 19
3.4.1 Concepto................................................................................................................................................. 19
3.4.3 Aviso de privacidad................................................................................................................................21
3.4.3.1 Concepto de Aviso de privacidad.....................................................................................................21
3.4.3.2 Lineamientos del Aviso de privacidad............................................................................................. 22
3.4.3.2.1 Elementos mínimos que debe tener el Aviso de privacidad.....................................................23
3.4.3.2.2 Puesta a disposición....................................................................................................................... 25
2
3.5 Medidas compensatorias............................................................................................................................. 30
3.5.1 Concepto de medidas compensatorias.............................................................................................. 31
3.5.2 Instrumentación......................................................................................................................................32
3.5.3 Modalidades............................................................................................................................................33
3.5.4 Criterios generales para la instrumentación de Medidas compensatorias sin la autorización

expresa del numeral........................................................................................................................................ 34
3.5.5 Procedimiento para la solicitud y autorización de Medidas compensatorias............................... 34
3.6 Principio de calidad....................................................................................................................................... 36
3.6.1 Concepto................................................................................................................................................. 36
3.6.3 Plazos de conservación de los datos personales.............................................................................39
3.6.4 Procedimiento para conservación, bloqueo y supresión de los datos personales y prueba de
su cumplimiento............................................................................................................................................... 40
3.7 Principio de finalidad.....................................................................................................................................40
3.7.1 Concepto................................................................................................................................................. 40
3.7.3 Finalidad primaria...................................................................................................................................42
3.7.4 Finalidad secundaria............................................................................................................................. 42
3.7.5 Tratamiento............................................................................................................................................. 43
3.8. Principio de lealtad.......................................................................................................................................44
3.8.1 Concepto................................................................................................................................................. 44
3.9. Principio de proporcionalidad..................................................................................................................... 45
3.9.1 Concepto................................................................................................................................................. 45
3.10. Principio de responsabilidad................................................................................................................ 47
3
3.10.1 Concepto............................................................................................................................................... 47
3.10.2 Importancia y utilidad.......................................................................................................................... 49
3.10.3 Medidas para su cumplimiento..........................................................................................................51
3.10.4 Responsable y encargado del tratamiento de datos personales................................................. 56
3.11 Privacidad desde el diseño........................................................................................................................59
3.11.1 Concepto............................................................................................................................................... 59
3.12 Privacidad por defecto................................................................................................................................63
3.12.1 Concepto............................................................................................................................................... 63
3.13 Deberes en la protección de datos personales..................................................................................64
3.13.1 Confidencialidad en los datos personales....................................................................................... 64
3.13.2 Seguridad en los datos personales...................................................................................................65
4
3.1 Principios de la Protección de Datos Personales
Los principios y los deberes en materia de protección de datos personales legitiman el tratamiento de
los datos personales y deben asegurarse a lo largo de su ciclo de vida, en todas y cada una de las
fases del tratamiento de los datos personales, es decir, desde que se obtienen o recaban, ya sea del
propio interesado o no, hasta que finalmente son destruidos, eliminados o borrados.
Estos principios y deberes son los siguientes:
1. Principios:
a. Licitud
b. Consentimiento
c. Información
d. Calidad
e. Finalidad
f. Lealtad
g. Proporcionalidad
h. Responsabilidad
2. Deberes:
a. Confidencialidad
b. Seguridad
Conforme a la Guía práctica para la atención de las solicitudes de Ejercicio de los Derechos ARCO1
del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales
(en adelante, INAI), las fases del tratamiento durante las que el responsable del tratamiento tiene que
cumplir con estos principios y deberes son las siguientes:
“Fase 1. Al momento de recabar los datos personales, el responsable está obligado a:
1. Dar un uso a los datos personales respetando la ley, desde el momento de su obtención
(principio de licitud).
2. No utilizar medios engañosos o fraudulentos para obtener los datos personales (principio de
lealtad).
3. Poner a disposición el aviso de privacidad, de tal manera que el titular pueda conocer de qué
forma serán tratados sus datos personales y cómo podrá ejercer sus derechos ARCO
(principio de información).
4. Obtener el consentimiento o autorización del titular para el tratamiento de sus datos
personales, salvo las excepciones previstas en el artículo 10 de la Ley. Cuando se recaben
datos personales sensibles el consentimiento del titular deberá ser expreso y por escrito. En
el caso de datos personales de carácter patrimonial o financiero, el consentimiento del
titular deberá ser expreso únicamente. Fuera de estos dos casos, como regla general es
válido el consentimiento tácito (principio de consentimiento) siempre y cuando se ponga a
1
Disponible en http://inicio.inai.org.mx/Publicaciones/02GuiaAtencionSolicitudesARCO.pdf
5
disposición de los individuos titulares de los datos, el aviso de privacidad, en el que se indique
lo que se hará con su información.
5. Evitar la creación de bases de datos de carácter sensible, salvo que se justifique plenamente
la necesidad del tratamiento para la consecución de finalidades legítimas y concretas
relacionadas con las actividades estatutarias o comerciales que persigue el responsable.
6. Recabar sólo aquellos datos personales que sean necesarios para las finalidades para las que
se obtienen.
Fase 2. Durante el manejo o utilización de los datos personales, el responsable está obligado a:
1. Utilizar los datos personales respetando la Ley (principio de licitud).

2. Respetar la expectativa razonable de privacidad del titular, es decir, la confianza que depositó
este último en el responsable, respecto de los datos personales que serán tratados conforme
a lo que acordaron y en los términos establecidos por la Ley (principio de lealtad).
3. Limitar el tratamiento de la información personal al cumplimiento de las finalidades
previamente consentidas por el titular (principio de finalidad).
4. Usar los datos personales que resulten estrictamente necesarios para cumplir con las
finalidades para las cuales fueron recabados (principio de proporcionalidad).
5. Mantener los datos personales actualizados y correctos (principio de calidad).
6. Limitar el periodo de conservación de la información personal tratada al mínimo necesario
(principio de calidad).
7. Mantener la confidencialidad de los datos personales tratados (deber de confidencialidad).
8. Implementar medidas de seguridad de carácter administrativo, físico y técnico que garanticen
la confidencialidad e integridad de los datos personales (deber de seguridad).
9. Informar al titular, sin demora alguna, sobre las vulneraciones de seguridad ocurridas en
cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o
morales de éste, en cuanto se confirme la vulneración sucedida (deber de seguridad).
10. Adoptar las medidas necesarias para cumplir con las obligaciones establecidas en la Ley
(principio de responsabilidad).
11. Rendir cuentas al titular en caso de algún incumplimiento con relación a la protección de sus
datos personales (principio de responsabilidad).
12. Comunicar los datos personales a terceros nacionales o extranjeros únicamente con la
autorización del titular, salvo las excepciones previstas en la Ley, y hacer del conocimiento de
los receptores de los datos personales el aviso de privacidad y las finalidades a las que el
titular sujetó el tratamiento de su información personal.
Fase 3. Una vez agotadas las finalidades que justificaron el tratamiento de los datos personales, el
responsable debe:
1. Suprimir los datos personales cuando hayan concluido las finalidades que dieron origen al
tratamiento, previo bloqueo (principio de calidad).”
Un ejemplo concreto de cómo se han incorporado estos principios a la normativa nacional sería el
caso de México, de manera que a continuación se centra la atención en la misma, sin perjuicio de las
correspondientes referencias a otros países iberoamericanos o, en general, a Iberoamérica.
6
En este sentido, hay varios instrumentos tanto nacionales como internacionales relevantes a los que
se puede, y en su caso debe, atender para estudiar los principios y deberes en materia de protección
de datos personales.
Entre los principales documentos e instrumentos, tanto nacionales como internacionales, a los que se
hace referencia, se encuentran:
 Guías del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos

Personales (INAI):
o Guía para cumplir con los principios y deberes de la Ley Federal de Protección de
Datos Personales en Posesión de los Particulares (en adelante, Guía del INAI para
cumplir con los principios y deberes de la LFPDPPP)2..
o Guía El ABC del Aviso de Privacidad3.
o Guía para instrumentar medidas compensatorias4.
 Guía para la implementación del Principio de Responsabilidad Demostrada (Accountability) de
la Delegatura colombiana para la protección de datos personales5.
 Informe sobre Privacidad y Protección de Datos Personales, Comité Jurídico Interamericano
(CJI) de la Organización de los Estados Americanos (OEA), de 26 de marzo de 20156.
 Directrices para la armonización de la protección de datos en la Comunidad Iberoamericana
de la Red Iberoamericana de Protección de Datos7.
 Dictamen con proyecto de Decreto por el que se expide la Ley Federal de Protección de Datos
Personales en Posesión de los Particulares (citado como Dictamen con proyecto de Decreto
por el que se expide la LFPDPPP)8.
 Estándares Internacionales sobre Protección de Datos Personales y Privacidad (Resolución
de Madrid)9.
2
Disponible en: http://inicio.inai.org.mx/DocumentosdeInteres/Guia_obligaciones_lfpdppp_julio2014.pdf
3
Disponible en: http://abcavisosprivacidad.ifai.org.mx/#seccion1_02P
4
Disponible en http://inicio.inai.org.mx/DocumentosdeInteres/Guia_para_instrumentar_medidas_compensatorias.pdf
5
Disponible en http://www.sic.gov.co/drupal/recursos_user/documentos/noticias/Guia_Accountability.pdf
6
Disponible en http://www.oas.org/es/sla/ddi/docs/CJI-doc_474-15_rev2.pdf
7
Disponible en
http://www.redipd.es/actividades/seminarios_2007/common/directrices_armonizacion_iberoamerica_seminario_2007.pdf
8
Disponible en
http://www3.diputados.gob.mx/camara/content/download/231031/621446/file/Version_final_ley_proteccion_datos_personales.pdf
9
Disponibles en https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Cooperation/Conference_int/09-11-
05_Madrid_Int_standards_ES.pdf
7
 Informe sobre la norma ISO/IEC Nº 27.018, del 1 de agosto de 2014, perteneciente a la familia
de la Serie 27.000 relativas a la seguridad de la información, Unidad Reguladora y de Control
de Datos Personales de Uruguay10.
Por tanto, se recomienda una lectura analítica del presente documento, consultando y leyendo, en su
caso, los documentos citados en la bibliografía de este módulo así como otras lecturas que puedan
ser de interés.
3.2 Principio de la licitud

3.2.1 Concepto
La licitud, como principio de la protección de datos, significa que el tratamiento de los datos
personales tenga que hacerse, siempre, de forma lícita y legítima o leal, con apego a la normativa
aplicable y conforme lo acordado entre el responsable del tratamiento y el titular de los datos
personales, bajo los términos establecidos, de manera que se cumpla con la expectativa razonable de
privacidad11.
En relación con este principio, las Directrices para la armonización de la protección de datos en la
Comunidad Iberoamericana, indican que:
“los datos sólo podrán ser recabados y tratados de buena fe, con estricto respeto por la Ley y los
derechos de las personas y de conformidad a lo previsto en las presentes directrices.”12
Se trata de un principio que tiene que darse en todo tratamiento de datos personales, ya que de no
ser así dicho tratamiento sería ilícito. En caso de que se estén tratando ya los datos personales, el
tratamiento que no cumpla con dicho principio resulta ser ilícito, de forma que los datos personales
tendrán que cancelarse.
10
Disponible en http://datospersonales.gub.uy/wps/wcm/connect/urcdp/1b7dd9bb-0544-4a42-a272-
7b7928976001/Informe+ISO+%281%29.pdf?MOD=AJPERES&CONVERT_TO=url&CACHEID=1b7dd9bb-0544-4a42-a272-
7b7928976001
11
En este sentido, la “justicia” del tratamiento sería una cuestión adicional, ya que como indica el CJI de la OEA en relación
con este concepto “ofrezcan opciones apropiadas a las personas con respecto a la forma y el momento en que vayan a
proporcionar datos personales a controladores de datos en los casos en que no sea razonable prever que puedan
recopilarse en vista de la relación de las personas con el recopilador o procesador de datos y del aviso o los avisos que
hayan recibido en el momento en que se recopilaron sus datos. Las opciones que se ofrezcan a las personas no deberían
interferir en las actividades y en la obligación de los controladores de datos de promover la seguridad externa e interna y el
cumplimiento de la normativa ni impedir que empleen prácticas comúnmente aceptadas para la recopilación y utilización de
datos personales.
Al aplicar estos principios, los Estados Miembros podrían establecer un requisito de “justicia” separado del tema del
engaño.”. Informe ya citado, pág. 7.
12 Ya citadas. Pág. 14.
8
3.2.2 Importancia y utilidad
El Informe del Comité Jurídico Interamericano (CJI) de la OEA sobre Privacidad y Protección de
Datos se refiere a este principio al enunciar y explicar el principio relativo a los propósitos legítimos y
justos13. En concreto, indica que dicho principio “abarca dos elementos: 1) los “fines legítimos” para
los cuales se recopilan inicialmente los datos personales y 2) los “medios justos y legales” con los
cuales se efectúa la recopilación inicial.”
Con carácter general es necesario mencionar que este principio de licitud está también
interrelacionado con otros principios como los de finalidad e información, ya que será necesario
proporcionar información que permita al titular de los datos personales conocer claramente para qué
serán tratados sus datos personales, debiendo obviamente ser una finalidad lícita.
Es así que en cuanto al primer elemento, el relativo a que los fines sean legítimos, el referido informe
del CJI de la OEA indica que este requisito o condición de legalidad para el tratamiento de los datos
personales “es una norma fundamental, profundamente arraigada en valores democráticos básicos y
en el estado de derecho. En principio, la recopilación de datos personales debe ser limitada y
realizarse con el conocimiento o el consentimiento de la persona.”
También que “[e]l requisito de legalidad abarca el concepto de legitimidad y excluye la recopilación
arbitraria y caprichosa de datos personales. Implica transparencia y una estructura jurídica a la cual
pueda tener acceso la persona cuyos datos estén recopilándose.”
Y llama la atención sobre aquellos casos en los que el tratamiento de los datos personales no esté
previsto en una norma legal o regulación que la prevea, sino que dependa, por ejemplo, del
tratamiento que el responsable vaya a realizar para, por ejemplo, prestar un servicio al titular de los
datos, en cuyo caso “deben indicar claramente los fines para los cuales se recopilan los datos, a fin
de que la persona pueda entender cómo se recopilarán, usarán o divulgarán los datos.” Al respecto, y
a modo de ejemplo, el citado informe hace referencia al caso en el que “se requiere esta información
para garantizar que el reembolso se envíe a la dirección correcta del reclamante.”
En cuanto al segundo componente, el relativo a que los medios para el tratamiento de los datos
personales sean justos y legales, el informe del CJI de la OEA indica, con carácter general, que “[l]os
datos personales se recopilan por medios justos y legales cuando la recopilación es compatible tanto
con los requisitos jurídicos pertinentes como con las expectativas razonables de las personas
basadas en su relación con el controlador de datos o con otra entidad que recopile los datos y en el
aviso o los avisos dados a las personas en el momento en que se recopilen sus datos.”14
Y lo anterior significa o implica, en la práctica, que quede prohibida “la obtención de datos personales
por medio de fraude, engaño o con pretextos falsos”. El informe también cita, a continuación, un
ejemplo, en el que el mencionado principio “[s]e infringiría, por ejemplo, si una organización se hiciera
pasar por otra en llamadas de tele marketing, avisos publicitarios impresos o mensajes por correo
13 Ya citado. Págs. 5 a 7.
14
Informe ya citado. Pág. 7.
9
electrónico a fin de engañar a los consumidores e inducirles a dar el número de su tarjeta de crédito,
información sobre cuentas bancarias u otros tipos de información personal delicada.”15
A este principio se refieren también los Internacionales sobre Protección de Datos Personales y
Privacidad, ya mencionados, en su artículo 6, bajo el título principio de lealtad y legalidad, en los
siguientes términos:
1. “Los tratamientos de datos de carácter personal se deberán realizar de manera leal,

respetando la legislación nacional aplicable y los derechos y libertades de las personas, de
conformidad con lo previsto en el presente Documento y con los fines y principios de la
Declaración Universal de Derechos Humanos y del Pacto Internacional de Derechos Civiles y
Políticos.
2. En particular, se considerarán desleales aquellos tratamientos de datos de carácter personal
que den lugar a una discriminación injusta o arbitraria contra los interesados.”
Atendiendo a ejemplos concretos de cómo se formula o articular este principio en la normatividad,

cabe mencionar el caso de México, donde es relevante la explicación dada, por su claridad y
transcendencia, la versión final del Dictamen con proyecto de Decreto por el que se expide la
LFPDPPP16. El citado Dictamen indica sobre este principio que:
“implica que el tratamiento de los datos personales debe llevarse a cabo de forma leal y lícita;
es decir, con pleno cumplimiento de la legalidad y respeto de la buena fe y los derechos del
individuo, cuya información es sometida a tratamiento.”
Esto supone, tal y como sigue explicando el Dictamen, que en la práctica esté prohibido “cualquier
tratamiento que implique recabar o conservar los datos mediante la utilización de engaño o fraude, de
forma que el individuo no pueda conocer con propiedad los términos y condiciones vinculados a ese
tratamiento.”
Es decir, el principio de licitud queda reforzado también al hacer referencia a la “expectativa

razonable de privacidad”, de manera que el tratamiento de los datos personales por el responsable
debe asegurar que “los datos personales serán tratados conforme lo acordado y bajo los términos
establecidos”17.
Se trata también de uno de los principios que legitiman el tratamiento de datos personales, y que de
no cumplirse el mismo, dicho tratamiento resultaría ilícito, pudiendo ser además objeto de sanción
económica, en la forma de multa al responsable, en su caso.
15
Véase la nota a pie de página anterior.
16
Ya citada. Pág. 29.
17
En el Dictamen ya citado se explica que: “la iniciativa del diputado Gustavo Parra añade un concepto
innovador que refuerza el espíritu que subyace en el principio de licitud denominado como “la expectativa
razonable de privacidad”, el cual se traduce en la confianza que deposita el titular en el responsable en el
sentido de que los datos personales serán tratados conforme lo acordado y bajo los términos establecidos.” Pág.
29.
10
Este principio tiene que darse en todas las fases del tratamiento de los datos personales,
procediéndose a cancelar los datos personales si alguno de los mismos incumpliese con el mismo
tanto cuando se recaban u obtienen del interesado como posteriormente, cuando son objeto de
tratamiento o uso.
El principio de licitud requiere que el responsable del tratamiento tenga que adoptar medidas para
asegurar que el tratamiento de los datos personales se hace:
1. Con pleno cumplimiento de la legalidad;

2. Respeto de la buena fe, y
3. Respeto de los derechos del individuo, cuya información es sometida a tratamiento.
Y lo anterior se concreta en que el tratamiento de los datos personales se haga sin engaño o fraude o
de manera que el individuo no pueda conocer con propiedad los términos y condiciones vinculados a
ese tratamiento, por lo que este principio está también vinculado al de información o transparencia en
el tratamiento de datos personales, además de estar estrechamente interrelacionado con el principio
de lealtad.
A dicho principio se ha referido también específicamente en México el INAI, que en su Guía del INAI
para cumplir con los principios y deberes de la LFPDPPP indica lo siguiente:
“Los datos personales tienen que ser tratados por el responsable de manera lícita y leal, lo
que supone que tiene que actuar con apego a las leyes en general y en lo particular a la
normatividad sobre protección de datos personales. En ese sentido, el responsable sólo podrá
hacer con los datos personales aquello que esté legalmente permitido.
De acuerdo con el principio de lealtad, la obtención de los datos personales no podrá hacerse
a través de medios engañosos, ni fraudulentos, lo que implica que:
 No se recaben datos personales con dolo, mala fe o negligencia;

 No se vulnere la confianza del titular con relación a que sus datos personales serán
tratados conforme a lo acordado; y
 Se informen todas las finalidades del tratamiento en el aviso de privacidad.”18
Por último, si se atiende a la redacción dada en México en la LFPDPPP y su Reglamento, es posible

resumir esquemáticamente este principio de la siguiente manera19:
Aspecto Art(s). Previsión normativa
Expectativa razonable 7, párrafo “Se presume que existe la expectativa razonable de privacidad,
de privacidad tercero, de la entendida como la confianza que deposita cualquier persona en otra,
18
Véase la Guía ya citada, pág. 15.
19
Recio Gayo, Miguel; Esquemas de la Ley de Protección de Datos Personales y su Reglamento, Tirant lo Blanch, México, 2013. Pág.
29.
11
LFPDPPP respecto de que los datos personales proporcionados entre ellos serán
tratados conforme a lo que acordaron las partes en los términos
establecidos por [la] Ley”.
Prohibición de obtener 7, párrafo “La obtención de datos personales no debe hacerse a través de
datos personales por segundo, de medios engañosos o fraudulentos”
medios engañosos o la LFPDPPP
fraudulentos
“Existe una actuación fraudulenta o engañosa cuando:
I. Exista dolo, mala fe o negligencia en la información proporcionada al

44 del titular sobre el tratamiento;
Reglamento
II. Se vulnere la expectativa razonable de privacidad del titular, o
III. Las finalidades no son las informadas en el aviso de privacidad.”
12
3.3 Principio de consentimiento

3.3.1 Concepto
Por consentimiento, según la definición dada en la fracción IV, del artículo 3 de la LFPDPPP, se
entiende la “[m]anifestación de la voluntad del titular de los datos mediante la cual se efectúa el
tratamiento de los mismos.”
Sobre el consentimiento, el informe del CJI de la OEA indica que “[p]or lo general, la persona debe
ser capaz de dar su consentimiento libremente respecto de la recopilación de datos personales de la
forma y con los fines previstos. Por lo tanto, el consentimiento de la persona debe basarse en
suficiente información y debe ser claro, es decir, no debe dar lugar a ninguna duda o ambigüedad con
respecto a la intención de la persona.”20
Al respecto, las Directrices para la armonización de la protección de datos en la Comunidad

Iberoamericana indican que:
“3.1. Los datos sólo podrán ser recabados o tratados en caso de que se hubiera
obtenido el consentimiento del interesado.
3.2. No obstante la Ley podrá establecer supuestos en los que no será necesario el
consentimiento del interesado para el tratamiento de sus datos personales, atendiendo a las
circunstancias que concurran en cada supuesto y, en todo caso, siempre que dicha excepción
no perjudique los derechos fundamentales del interesado. En particular, la Ley podrá permitir
el tratamiento de los datos sin contar con el consentimiento del interesado cuando el mismo se
realice en el marco de una relación jurídica o por una Administración en el ejercicio de las
potestades que le hayan sido atribuidas.”21
Y también que en el caso de los datos sensibles:
“3.3. Los datos que revelen la ideología, afiliación sindical, religión o creencias del
afectado sólo podrán ser tratados con su consentimiento, a menos que aquél los hubiera
hecho manifiestamente públicos.
3.4. Los datos relacionados con la salud, el origen racial y la vida sexual del afectado
únicamente podrán ser recogidos y tratados en los supuestos mencionados en el párrafo
anterior o cuando una Ley así lo disponga.
3.5 En todo caso las presentes directrices no obstaculizarán el adecuado tratamiento

médico del interesado ni la atención de una urgencia vital del mismo.”
20
Pág. 8 del informe.
21
Pág. 15.
13
El Dictamen con proyecto de Decreto por el que se expide la LFPDPPP explica el principio del
consentimiento indicando que “[d]ado que el derecho a la protección de datos consiste en el poder de
decisión y control que goza el individuo sobre el tratamiento de sus datos de carácter personal, la
mayor parte de los instrumentos nacionales o internacionales reguladores de esta materia sitúan al
consentimiento del titular de los datos, como manifestación de este poder decisorio como causa
principal legitimadora del tratamiento de los datos personales.”22
Y añade también que “[e]ste consentimiento debe caracterizarse por ser previo, libre, inequívoco,
informado y por último, puede ser revocado por el individuo en cualquier momento, no pudiendo
exigirse para esa revocación más requisitos que los que fueron necesarios para la previa prestación
del consentimiento.”
En la práctica, como indica la Guía del INAI hay que considerar que “[c]omo regla general, el
responsable deberá contar con el consentimiento del titular para el tratamiento de sus datos
personales. La solicitud del consentimiento deberá ir siempre ligada a las finalidades concretas del
tratamiento que se informen en el aviso de privacidad, es decir, el consentimiento se deberá solicitar
para tratar los datos personales para finalidades específicas, no en lo general.”23
El consentimiento es también, junto con los demás, uno de los principios que legitima el tratamiento
de los datos personales cuando el mismo es necesario.
Al respecto, los Estándares Internacionales sobre Protección de Datos Personales y Privacidad

incluyen el consentimiento como parte del principio general de legitimación, indicando, en el apartado
1 del artículo 12, que:
“1. Como regla general, los datos de carácter personal sólo podrán ser tratados cuando
concurra alguno de los siguientes supuestos:
a. Previa obtención del consentimiento libre, inequívoco e informado del interesado.”
Es decir, el consentimiento no siempre es necesario para el tratamiento de los datos personales ya

que puede haber finalidades que no requieran el mismo para poder tratar los datos, como por ejemplo
cuando el responsable tiene que cumplir una relación contractual con el titular de los datos
personales o tratarlos en virtud de una obligación legal.
Además, el consentimiento tiene que ser válido, lo que implica que tenga que cumplir con unas
ciertas características, como se ha indicado ya, además de solicitarlo y obtenerlo en relación con
finalidades específicas. Al respecto, la Guía del INAI, ya mencionada, indica que es:
22
Págs. 20 y 30 del Dictamen.
23
Guía del INAI para cumplir con los principios y deberes de la LFPDPPP. Pág. 18.
14
“Correcto: solicitar el consentimiento para el envío de publicidad de los servicios

deportivos que ofrece la organización.
Incorrecto: solicitar el consentimiento para el uso de los datos personales en general,

para cualquier finalidad que se le ocurra al responsable en el futuro.”24
Es así que, cuando es necesario obtenerlo para el tratamiento de los datos personales, el
consentimiento tiene que ser válido ya de que no haber sido obtenido o de haberse obtenido de forma
no adecuada, por ejemplo, obtener un consentimiento que no sea expreso y por escrito cuando así se
requiera, implica que el tratamiento de los datos personales sea ilícito, lo que podría dar lugar a la
imposición de una sanción por dicha razón. Y dicho tratamiento ilícito vulnera el derecho a la
protección de datos personales de su titular.
Por último, como indica el informe del CJI de la OEA25 “[e]l método para obtener el consentimiento
debe ser apropiado para la edad y la capacidad de la persona afectada (si se conocen) y para las
circunstancias particulares del caso.”
3.3.3 Tipos de consentimiento
Atendiendo a la normatividad mexicana sobre protección de datos personales y, en particular a cómo

lo resume la Guía del INAI, ya citada, los tipos o formas del consentimiento, cuando éste es necesario
para el tratamiento de los datos personales, son las siguientes26:
Tipo o forma del consentimiento Datos personales
Tácito Cualquier tipo de dato personal, con excepción de

los datos patrimoniales, financieros y sensibles.
Expreso Datos financieros y patrimoniales.
Expreso y por escrito Datos personales sensibles
Sobre los tipos del consentimiento, el Dictamen con proyecto de Decreto por el que se expide la
LFPDPPP indica que27:
24
Pág. 18.
25
Ya citado. Pág. 8.
26
Págs. 18 y 19 de la Guía para cumplir con los principios y deberes de la LFPDPPP.
27
Pág. 30.
15
“El consentimiento tácito resultará de hechos o actos que lo presupongan o que

autoricen a presumirlo, excepto en los casos en que por ley o por convenio la voluntad deba
manifestarse expresamente. Este tipo de consentimiento es conocido también como el opt-out
y resulta nodal para el sano flujo de datos en el comercio y crecimiento económico, ya que si
se requiriera acreditar de manera fehaciente que la persona ha consentido el tratamiento,
tendría que hacerse por escrito estampando su firma o a través de otro medio de autenticación,
lo cual podría entorpecer el dinamismo de las transacciones comerciales.
Por su parte, el consentimiento será expreso cuando se manifieste por escrito, medios
electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos. Este tipo de
consentimiento solo se requiere en el caso del tratamiento de datos sensibles, y en aquellos
en los que se ha modificado por el responsable de la base de datos de manera sustancial y
antagónica, la finalidad originaria para la cual fueron recabados, con excepción del tratamiento
que efectúa el sector de prospección comercial.”
Por lo que se refiere a cómo obtener cada uno de estos tipos o formas del consentimiento, siguiendo
con el resumen hecho en la Guía del INAI, sería así en cada caso:
Tipo o forma del Obtención del consentimiento

consentimiento
Tácito Se obtiene si el titular no se niega a que sus datos personales sean

tratados, después de haber conocido el aviso de privacidad. Es decir,
no es necesario que quede registrado que el titular autorizó el
tratamiento de su información personal, sino que es suficiente con que
no se niegue al tratamiento.
Expreso El titular de los datos personales deberá señalar expresamente que

consiente el tratamiento de sus datos personales.
Expreso y por escrito Se deberá otorgar por escrito, mediante firma autógrafa, huella dactilar,
firma electrónica del titular o cualquier otro mecanismo autorizado que
permita identificarlo plenamente.
Y como sigue indicando la Guía del INAI28, hay que considerar también que “si una ley o reglamento,
en lo particular, exige el consentimiento expreso o expreso y por escrito para el tratamiento, el
28
Págs. 19 y 20.
16
responsable deberá solicitarlo de esa forma, aunque no se trate de datos financieros, patrimoniales o
sensibles. Por otra parte, si el responsable lo considera necesario o conveniente, o lo acuerda con el
titular, podrá solicitar el consentimiento expreso o expreso y por escrito en cualquier caso. Lo
importante es que el responsable tenga claro que cuando se trate de datos patrimoniales y
financieros tendrá que solicitar el consentimiento expreso, y de datos personales sensibles, el
expreso y por escrito”, salvo que concurra alguna excepción legalmente prevista a la obtención de
dicho consentimiento.
También, hay que atender a los medios para obtener el consentimiento, en particular cuando éste es
expreso o, en su caso, expreso y por escrito, de manera que como resume la Guía del INAI “se puede
obtener a través del aviso de privacidad o de cualquier otro documento físico o electrónico que
determine el responsable. En ese sentido, NO es necesario que el consentimiento se obtenga por
medio del aviso de privacidad. Por ejemplo, el consentimiento expreso y por escrito se podría obtener
a través de un formato o contrato, y el expreso por medio de una grabación telefónica o de una casilla
en formato electrónico. No obstante, hay que recordar que, en todos los casos, de manera previa se
debe dar a conocer el aviso de privacidad.
Es importante tener en cuenta, que el medio que el responsable ponga a disposición del titular para
obtener su consentimiento debe ser sencillo y gratuito.”29
3.3.4 Excepciones al principio de consentimiento
El consentimiento, con carácter general, será necesario, salvo que concurra alguna excepción
prevista en la ley. En este sentido, puede haber excepciones al consentimiento tanto por lo que se
refiere tanto al momento de obtener o recabar los datos personales como al de transferir o
comunicarlos, nacional o internacionalmente, a un nuevo responsable del tratamiento.
Es así que, si por ejemplo atendemos a la normatividad mexicana sobre protección de datos
personales, en concreto a la LFPDPPP, ésta contempla las siguientes excepciones al consentimiento:
1) Para el tratamiento (obtención) de los datos personales:

“Artículo 10.- No será necesario el consentimiento para el tratamiento de los datos personales
cuando:
I. Esté previsto en una Ley;

II. Los datos figuren en fuentes de acceso público;
III. Los datos personales se sometan a un procedimiento previo de disociación;
IV. Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el
titular y el responsable;
V. Exista una situación de emergencia que potencialmente pueda dañar a un individuo en
su persona o en sus bienes;
VI. Sean indispensables para la atención médica, la prevención, diagnóstico, la prestación
de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios,
29
Pág. 23.
17
mientras el titular no esté en condiciones de otorgar el consentimiento, en los términos

que establece la Ley General de Salud y demás disposiciones jurídicas aplicables y que
dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u
obligación equivalente, o
VII. Se dicte resolución de autoridad competente.”
1) Para su transferencia (entre dos responsables, el que los transfiere y el que recibe dicha
transferencia), nacional o internacional, de los datos personales:
“Artículo 37.- Las transferencias nacionales o internacionales de datos podrán llevarse a cabo
sin el consentimiento del titular cuando se dé alguno de los siguientes supuestos:
I. Cuando la transferencia esté prevista en una Ley o Tratado en los que México sea
parte;
II. Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico,
la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios
sanitarios;
III. Cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o
afiliadas bajo el control común del responsable, o a una sociedad matriz o a
cualquier sociedad del mismo grupo del responsable que opere bajo los mismos
procesos y políticas internas;
IV. Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por
celebrar en interés del titular, por el responsable y un tercero;
V. Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de
un interés público, o para la procuración o administración de justicia;
VI. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de
un derecho en un proceso judicial, y
VII. Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una
relación jurídica entre el responsable y el titular.”
3.3.5 Revocación del consentimiento
Como indica el informe del CJI de la OEA “[u]na persona tiene derecho a retirar el consentimiento
según la índole del consentimiento dado y los fines para los cuales se recopile la información. En
general, el retiro del consentimiento no afecta la validez de lo que ya se haya hecho sobre la base del
consentimiento.”30
Es decir, el consentimiento que ha sido dado por el titular de los datos personales para su tratamiento
puede ser revocado, siempre y cuando no exista una obligación legal para el responsable de tratarlos.
Al respecto, como explica el Dictamen con proyecto de Decreto por el que se expide la LFPDPPP, el
consentimiento “puede ser revocado por el individuo en cualquier momento, no pudiendo exigirse
30
Pág. 9 del citado informe.
18
para esa revocación más requisitos que los que fueron necesarios para la previa prestación del
consentimiento.”31
Sobre la revocación del consentimiento, los Estándares Internacionales sobre Protección de Datos
Personales y Privacidad indican, en el apartado 2 del artículo 12, que “persona responsable deberá
habilitar procedimientos sencillos, ágiles y eficaces que permitan a los interesados revocar su
consentimiento en cualquier momento, y que no impliquen demoras o costes indebidos, ni ingreso
alguno para la persona responsable.”
En la práctica, el titular de los datos personales podrá revocar su consentimiento en cualquier

momento, de manera que el responsable del tratamiento debería establecer un procedimiento para
gestionar dicha revocación.
Por último, como indica el INI en su Guía práctica para la atención de las solicitudes de Ejercicio de
los Derechos ARCO:
“Se deberá tener en cuenta que existen dos modalidades en las que la revocación del consentimiento
puede darse; la primera, puede ser sobre la totalidad de las finalidades consentidas, esto es, que el
responsable deje de tratar por completo los datos del titular; la segunda, puede ocurrir sobre
tratamientos determinados, como por ejemplo para fines mercadotécnicos, publicitarios o de estudios
comerciales, entre otros. Con la segunda modalidad, la revocación parcial del consentimiento, se
mantienen a salvo otros fines del tratamientos que el responsable, de conformidad con su aviso de
privacidad, puede llevar a cabo y con los que el titular está de acuerdo.
Por lo anterior, será necesario que el titular al momento de hacerle llegar su solicitud de revocación
de consentimiento al responsable, indique en ésta si la revocación que pretende realizar es total o
parcial; en caso de ser del segundo tipo, se deberá indicar cuál o cuáles tratamientos son aquéllos
con los que el titular no está conforme.”32
3.4 Principio de información

3.4.1 Concepto
El principio de información es otro de los fundamentales, ya que a través del mismo el responsable
del tratamiento informa al titular de los datos personales, entre otros aspectos, sobre qué datos
personales obtiene y para qué los va a tratar. Este principio está vinculado con otros principios
relevantes, tales como los de finalidad, calidad y consentimiento.
Además, la información que el responsable proporcione al titular de los datos personales es

fundamental para que éste pueda ejercer sus derechos de acceso, rectificación, cancelación u
oposición (derechos ARCO), ya que podrá saber quién trata sus datos personales para dirigirse al
mismo.
31
Pág. 30 del Dictamen.
32
Pág. 12.
19
La información que se proporcione a titular de los datos sobre el tratamiento o los tratamientos de sus
datos personales es también una cuestión de transparencia por el responsable del tratamiento y al
respecto el informe del CJI de la OEA explica que “los fines para los cuales se recopilan datos
personales deben especificarse claramente en el momento en el cual se recopilen. Además, se debe
informar a las personas sobre las prácticas y políticas de las entidades o personas que recopilen los
datos personales, a fin de que puedan tomar una decisión fundamentada con respecto al suministro
de tales datos. Sin claridad, el consentimiento de la persona con respecto a la recopilación de los
datos no puede ser válido.”33
Por su parte, las Directrices para la armonización de la protección de datos en la Comunidad

Iberoamericana, indican que:
“4.1 El interesado del que se recaben los datos deberá ser informado al tiempo de su recogida de la
identidad del responsable del tratamiento, los fines para los que los datos vayan ser tratados y el
modo en que podrá hacer efectivos los derechos a los que se refieren los apartados 5 y 6 de estas
directrices, así como de cualquier otra información necesaria para garantizar un tratamiento lícito de
los datos. Esta obligación solamente quedará exceptuada si el interesado hubiera sido ya informado
con anterioridad de estas circunstancias.
4.2. Cuando los datos no hayan sido obtenidos del interesado deberá informarse al mismo de los
extremos previstos en el párrafo anterior en un plazo prudencial de tiempo y, en todo caso, con
anterioridad a que los datos sean comunicados a un tercero.”34
Como expone el Dictamen con proyecto de Decreto por el que se expide la LFPDPPP, el principio de
información se traduce “necesariamente en el derecho, y correlativo deber para la entidad o persona
responsable, de poder conocer efectivamente la existencia misma del tratamiento y las características
esenciales del mismo, en términos que le resulten fácilmente comprensibles.”35
Es decir, como indica a continuación, este principio “permite a la persona conocer los tratamientos de
sus datos personales que están siendo llevados a cabo y, lo que resulta esencial, ejercer los
derechos comúnmente reconocidos en relación con esos tratamientos. Desde el punto de vista de su
extensión, el principio de información ha de aplicarse a todos los tratamientos que se lleven a cabo,
con independencia de si los datos proceden del titular de los datos o de otras fuentes, así como a la
información útil relativa a cada uno de ellos. El principio de información se materializa a través de un
aviso de privacidad, el cual debe darse a conocer al momento de la recolección de los datos
personales.”
33
34
Pág. 15.
35
Págs. 34 y 35.
20
La Guía del INAI se refiere también a este principio indicando que “los responsables se encuentran
obligados a informar a los titulares de los datos personales, las características principales del
tratamiento al que será sometida su información personal, lo que se materializa a través del aviso de
privacidad. En ese sentido, todo responsable que trate datos personales, sin importar la actividad que
realice o si se trata de una persona física o moral, requiere elaborar y poner a disposición los avisos
de privacidad que correspondan a los tratamientos que lleven a cabo.
Es importante tomar en cuenta que con independencia de que se requiera o no el consentimiento del
titular para el tratamiento de sus datos personales, el responsable está obligado a poner a su
disposición el aviso de privacidad.”36
En el caso de México, es importante destacar que el INAI ha elaborado varias herramientas y ha

puesto a disposición de los sujetos obligados varios instrumentos en relación con este principio, que
les servirá para poder adoptar e implementar medidas en la práctica. Dichas herramientas y
documentos, que se encuentran disponibles en el sitio web del Instituto37, son:
1. El Generador de Avisos de Privacidad (GAP);

2. La guía El ABC del Aviso de Privacidad38;
3. El formato de auto-evaluación de avisos de privacidad para responsables;
4. Modelo de aviso de privacidad corto para video vigilancia; y
5. Modelo de aviso de privacidad simplificado en video.
Y a los mismos se hará referencia, en su caso, en los siguientes apartados como ejemplos prácticos y
concretos a la hora de adoptar e implementar medidas para cumplir con el principio de información.
3.4.3 Aviso de privacidad
El aviso de privacidad (en México), al que en otros lugares se denomina también como cláusula de
protección de datos (por ejemplo, en España), como veremos a continuación, sirve al responsable del
tratamiento para facilitar al titular de los datos personales la información relativa al tratamiento de los
mismos.
3.4.3.1 Concepto de Aviso de privacidad
En México, el aviso de privacidad es definido, en la fracción I, del artículo 3 de la LFPDPPP, como el

“[d]ocumento físico, electrónico o en cualquier otro formato generado por el responsable que es
puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con el
artículo 15 de la presente Ley.”
36
Pág. 32.
37
Véase el vínculo electrónico http://www.inai.org.mx
38
Disponible en http://abcavisosprivacidad.ifai.org.mx/PDF/El%20ABC%20del%20Aviso%20de%20Privacidad.pdf
21
A su vez, el artículo 15 de la LFPDPPP se refiere a la obligación que tiene el responsable del

tratamiento “de informar a los titulares de los datos, la información que se recaba de ellos y con qué
fines, a través del aviso de privacidad.”
En este sentido, la guía del INAI titulada El ABC del Aviso de Privacidad39 explica que el aviso de
privacidad “[e]s un documento físico, electrónico o en cualquier otro formato (por ejemplo sonoro), a
través del cual el responsable informa al titular sobre la existencia y características principales del
tratamiento al que serán sometidos sus datos personales. A través del aviso de privacidad se cumple
el principio de información que establece la Ley Federal de Protección de Datos Personales en
Posesión de los Particulares (en lo sucesivo la Ley) y su Reglamento.”
Por lo tanto, quien tiene que cumplir con dicha obligación es el responsable del tratamiento, con
independencia de que en la práctica tuviera un encargado del tratamiento que recabase los datos
personales, en su nombre y por su cuenta, y fuera éste quien proporcionase al titular de los datos
personales el aviso de privacidad, lo cual hará también siguiendo las instrucciones del responsable
del tratamiento.
3.4.3.2 Lineamientos del Aviso de privacidad
En el caso de México, además de la LFPDPPP y su Reglamento hay que tomar en cuenta los
Lineamientos del Aviso de privacidad40 que “tienen por objeto establecer el contenido y alcance de los
avisos de privacidad, en términos de lo dispuesto por dicha Ley y su Reglamento”, tal y como se
indica en el primer Lineamiento41.
Los Lineamientos del Aviso de privacidad fueron emitidos por la Secretaría de Economía en
coadyuvancia con el INAI y determinan el contenido y alcance del aviso de privacidad, de manera que,
además de cuestiones generales, los Lineamientos se refieren a:
 Su puesta a disposición;
 Las modalidades del aviso de privacidad;
 Su contenido, ya sea el aviso de privacidad integral, simplificado o corto, y
 Buenas prácticas a considerar en relación con el aviso de privacidad en materia de:
o Identidad y domicilio del responsable;
o Listado de datos personales;
o Información sobre transferencias;
o Tratamiento de datos personales de menores de edad y personas en estado de
interdicción o incapacidad;
39
Ya citada.
40
Publicados en el Diario Oficial de la Federación del 17 de enero de 2013 y disponibles en
http://dof.gob.mx/nota_detalle.php?codigo=5284966&fecha=17/01/2013
41 Además, el INAI sometió a consulta pública, entre el 28 de septiembre y el 18 de octubre de 2015, varios anteproyectos
de Lineamientos entre los que se encontraban los Lineamientos que los sujetos obligados deben seguir al momento de
generar información, en un lenguaje sencillo, procurando su accesibilidad y traducción a lenguas indígenas. Al respecto,
puede verse el Comunicado del INAI, de 7 de octubre de 2015, disponible en el vínculo electrónico
http://inicio.inai.org.mx/Comunicados/Comunicado%20INAI-124-15.pdf
22
o Obtención del consentimiento expreso y expreso y por escrito del titular;

o Toma de decisiones sin intervención humana, y
o Atención de quejas y denuncias.
3.4.3.2.1 Elementos mínimos que debe tener el Aviso de privacidad
En cuanto a los elementos mínimos que debe tener el aviso de privacidad, el artículo 16 de la
LFPDPPP indica que:
“El aviso de privacidad deberá contener, al menos, la siguiente información:
I. La identidad y domicilio del responsable que los recaba;

II. Las finalidades del tratamiento de datos;
III. Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o
divulgación de los datos;
IV. Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición,
de conformidad con lo dispuesto en esta Ley;
V. En su caso, las transferencias de datos que se efectúen, y
VI. . El procedimiento y medio por el cual el responsable comunicará a los titulares de
cambios al aviso de privacidad, de conformidad con lo previsto en esta Ley.
En el caso de datos personales sensibles, el aviso de privacidad deberá señalar

expresamente que se trata de este tipo de datos.”
Además de los elementos indicados en la LFPDPPP, hay que atender también al Reglamento de la
LFPDPPP y a los Lineamientos del Aviso de privacidad, considerando la modalidad del aviso de
privacidad (integral, simplificado y corto).
En función de cada una de las modalidades del aviso de privacidad y siguiendo la Guía del INAI para
cumplir con los principios y deberes de la LFPDPPP, los elementos que debe tener el aviso de
privacidad son los siguientes:
Elemento informativo Integral Simplificado Corto
I. La identidad y domicilio del responsable que trata los datos

  
personales;
II. Los datos personales que serán sometidos a tratamiento;   
III. El señalamiento expreso de los datos personales sensibles   
23
que se tratarán;
IV. Las finalidades del tratamiento;   
V. Distinguir entre las finalidades que son necesarias y dieron

  
origen a la relación jurídica, de las que no lo son;
VI. Los mecanismos para que el titular pueda manifestar su

negativa para el tratamiento de sus datos personales para
  
aquellas finalidades que no son necesarias, ni hayan dado
origen a la relación jurídica con el responsable;
VII. Las transferencias de datos personales que, en su caso, se

efectúen; el tercero receptor de los datos personales, y las   
finalidades de las mismas;
VIII. La cláusula que indique si el titular acepta o no la

  
transferencia, cuando así se requiera;
IX. Los medios y el procedimiento para ejercer los derechos

  
ARCO;
X. Los mecanismos y procedimientos para que, en su caso, el

titular pueda revocar su consentimiento al tratamiento de sus   
datos personales;
XI. Las opciones y medios que el responsable ofrece al titular

  
para limitar el uso o divulgación de los datos personales;
XII. La información sobre el uso de mecanismos en medios

remotos o locales de comunicación electrónica, óptica u otra
tecnología, que permitan recabar datos personales de manera   
automática y simultánea al tiempo que el titular hace contacto
con los mismos, en su caso;
24
XIII. Los procedimientos y medios a través de los cuales el

responsable comunicará a los titulares los cambios al aviso de
privacidad;
XIV. Los mecanismos para que el titular conozca el texto

  
completo del aviso de privacidad integral.
La lista completa de los elementos que deberá tener el aviso de privacidad, conforme a la LFPDPPP,
su Reglamento y los Lineamientos, puede verse en do el apéndice único de El ABC del Aviso de
Privacidad42.
3.4.3.2.2 Puesta a disposición
Con carácter general, tal y como se indica en El ABC del Aviso de Privacidad, el momento de poner a
disposición del titular de los datos personales el aviso de privacidad “depende de la forma en que se
obtengan los datos personales, es decir, si éstos se recaban personal, directa o indirectamente del
titular.”
Al respecto, siguiendo la citada guía del INAI “el aviso de privacidad se pone a disposición en los
siguientes momentos”:
A) Previo a la obtención de los Cuando los datos personales se obtienen de manera directa o
datos personales personal de su titular. En ese sentido, el responsable debe
poner a disposición del titular su aviso de privacidad antes de
que este último le proporcione su información personal, a
través del formato o medio respectivo.
B) Al primer contacto con el titular Cuando los datos personales se obtienen de manera indirecta
y el tratamiento para el cual serán utilizados involucra el
contacto directo o personal con el titular. Por ejemplo, si los
datos personales se obtuvieron de una fuente de acceso
público y el responsable enviará al titular propaganda sobre los
bienes o servicios que ofrece, en el primer envío de
información que realice, deberá poner a disposición del titular
42
Disponible en http://abcavisosprivacidad.ifai.org.mx/#seccion1_08
25
el aviso de privacidad.
C) Previo al aprovechamiento de Cuando los datos personales se obtiene de manera indirecta,

los datos personales pero el tratamiento para el cual serán utilizados no requiere
contacto personal o directo con el titular. Por ejemplo, si los
datos personales se obtuvieron mediante una transferencia y
serán utilizados para un estudio socioeconómico que no
requiere entrar en contacto con los titulares, antes de realizar el
estudio, el responsable deberá poner a disposición de los
titulares el aviso de privacidad.
Los Lineamientos del Aviso de privacidad definen cada una de estas formas de obtención de
los datos personales de la siguiente manera43:
Forma de obtención de los

Definición
datos personales
De forma directa Acto en el cual el propio titular proporciona los datos personales por
algún medio que permite su entrega directa al responsable, entre ellos,
medios electrónicos, ópticos, sonoros, visuales o cualquier otra
tecnología, como correo postal, internet o vía telefónica, entre otros.
De forma indirecta Acto en el cual el responsable obtiene los datos personales sin que el
titular se los haya proporcionado de forma personal o directa, como por
ejemplo a través de una fuente de acceso público o una transferencia.
De forma personal de su Acto en el cual el titular proporciona los datos personales al

titular responsable o a la persona física designada por el responsable, con la
presencia física de ambos.
Y la forma de poner a disposición el aviso de privacidad puede ser44:
43
Fracciones III a V del Lineamiento tercero.
44
Fracción VI y VII del Lineamiento tercero.
26
Forma de poner a disposición

Definición
el aviso de privacidad
Directa Acto en el cual se hace del conocimiento del titular el aviso de

privacidad por algún medio que permite su entrega directa, entre
ellos, medios electrónicos, ópticos, sonoros, visuales o cualquier otra
tecnología, como correo postal, internet o vía telefónica, entre otros.
Personal Acto en el cual el responsable o la persona física designada por el

responsable para tal fin entrega o hace del conocimiento del titular el
aviso de privacidad, con la presencia física de ambos.
Siguiendo la Guía del INAI para cumplir con los principios y deberes de la LFPDPPP45, se puede
resumir la puesta a disposición del aviso de privacidad con la siguiente tabla que considera el
momento de la puesta a disposición y la forma de obtención de los datos:
Momento de la puesta a disposición Forma de obtención de los datos
A. Previo a la obtención de los Personal Se entiende que los datos personales se obtienen
datos personales de manera personal, cuando el titular los
proporciona al responsable con la presencia física
de ambos, por ejemplo en una entrevista
presencial o en las instalaciones del responsable.
Directa Por su parte, los datos personales se obtienen de

manera directa cuando el propio titular los
proporciona por algún medio que permite su
entrega directa al responsable, entre ellos,
medios electrónicos, ópticos, sonoros, visuales o
cualquier otra tecnología, como correo postal,
Internet o vía telefónica. Por ejemplo, el llenado
de un formulario por Internet, el envío de los
datos personales por correo electrónico o la
entrega de los datos personales a través de una
llamada telefónica.
45
Páginas 35 a 37.
27
En todos estos casos, el aviso de privacidad se debe dar a

conocer previo a la obtención de los datos personales.
B. Al primer contacto con el titular Indirecta Se entiende que los datos personales se obtienen
de manera indirecta cuando el responsable los
obtiene sin que el titular se los haya
proporcionado de forma personal o directa, como
por ejemplo a través de una fuente de acceso
público o una transferencia consentida por el
titular o que no requiere su consentimiento.
En estos casos en que el responsable no haya obtenido los

datos personales directamente del titular, deberá dar a conocer
el aviso de privacidad al primer contacto que tenga con éste,
siempre y cuando el tratamiento requiera el contacto entre el
responsable y el titular.
C. Previo al aprovechamiento de los Indirecta. Ver inciso B.

datos personales
Ahora bien, a diferencia del caso expuesto en el inciso anterior,

en este supuesto, el tratamiento de los datos personales no
involucra el contacto con los titulares, por lo que la puesta a
disposición del aviso de privacidad no puede ser al primer
contacto. Por ejemplo, los datos se obtuvieron de una fuente
de acceso público y se utilizarán para un estudio, en el que no
se requiere entrar en contacto con los titulares.
En estos casos, el responsable deberá dar a conocer su aviso

de privacidad a los titulares, antes de que comience a utilizar
los datos para las finalidades para las cuales se obtuvieron,
partiendo del supuesto de que tiene datos de contacto de los
titulares (para los casos en los que no se cuente con datos de
contacto, ver apartado sobre medidas compensatorias de esta
guía). Siguiendo el ejemplo anterior, el aviso de privacidad se
debería dar a conocer antes de iniciar la elaboración del
estudio.
28
D. Previo al aprovechamiento de los Personal o Ver inciso A.

datos personales directa.
Ahora bien, en este supuesto se parte del hecho de que el

responsable ya tiene los datos personales del titular, los cuales
obtuvo para cierta finalidad que le fue informada al titular en su
momento, y que éste consintió, en el caso que se haya
requerido el consentimiento. Sin embargo, el responsable
requiere tratar los datos personales para nuevas finalidades.
En un caso así, el responsable deberá poner a disposición del
titular el aviso de privacidad con las nuevas finalidades, previo
al aprovechamiento de los datos personales, es decir, antes de
que los datos sean utilizados para las nuevas finalidades.
3.4.3.2.3 Modalidades
En cuanto a las modalidades, el aviso de privacidad puede ser integral, simplificado y corto.
Como indica el decimoctavo de los Lineamientos, conforme a la LFPDPPP y su Reglamento, el aviso

de privacidad “se podrá poner a disposición en las siguientes modalidades”.
Modalidad Casos en los que procede
Integral Cuando los datos personales se obtengan personalmente del titular.
Integral o simplificado Cuando los datos personales se obtengan de manera directa o indirecta
del titular.
Corto Cuando el espacio utilizado para la obtención de los datos personales sea
mínimo y limitado, de forma tal que los datos personales recabados o el
espacio para la difusión o reproducción del aviso de privacidad también lo
sean.
Sin perjuicio de lo anterior, como indica el mencionado Lineamiento, es necesario tener en

consideración que “[l]a puesta a disposición del aviso de privacidad simplificado o corto no exime al
responsable de su obligación de proveer los mecanismos para que el titular pueda conocer el
contenido del aviso de privacidad integral.”
29
Por último, en El ABC del Aviso de Privacidad pueden encontrarse modelos de aviso de privacidad
integral, simplificado y corto46.
3.5 Medidas compensatorias

Las medidas compensatorias se han incluido, específicamente, en la normatividad mexicana sobre
protección de datos personales para dar solución, por una parte, a los tratamientos de datos
personales que ya se estaban realizando con anterioridad a la entrada en vigor de la LFPDPPP y, por
otra parte, también para dar solución a situaciones que requieren o exigen esfuerzos
desproporcionados a la hora de dar a conocer el aviso de privacidad47.
El titular de los datos personales tiene que ser informado siempre del tratamiento de sus datos
personales, con independencia de cómo se obtengan los datos personales, ya sea directa,
indirectamente o personalmente. Es decir, incluso cuando pudiera haber una excepción a la
necesidad del consentimiento, porque el tratamiento de los datos personales sea exigido por una ley
o necesario para el cumplimiento de un contrato, dichos tratamientos tendrán que ser informados, a
través del aviso de privacidad, al titular de los datos.
Ahora bien, puede haber situaciones en las que informar al titular de los datos personales, puede
resultar complicado por varios motivos, previstos específicamente en la normatividad sobre protección
de datos personales, y que implican que el responsable del tratamiento tenga que instrumentar
medidas compensatorias. Éstas consistente, por ejemplo, en que el responsable del tratamiento
informe a los titulares de los datos personales difundiendo el aviso de privacidad a través de su
página web, un diario de circulación nacional, carteles informativos u otros medios alternos de
comunicación masiva.
Es decir, el aviso de privacidad tiene que darse siempre y sólo en casos específicos que pueden
requerir incluso que el responsable tenga que obtener la autorización del INAI, este aviso de
privacidad podrá difundirse a través de medios de comunicación masiva, como Internet, diarios u
otros medios de comunicación.
En cualquier caso, el titular de los datos personales tiene que atender también al aviso de privacidad
cuando se difunda de esta manera para informarse sobre el tratamiento de sus datos personales así
como de la posibilidad de ejercitar sus derechos. Hay que tomar también en cuenta que el aviso de
privacidad es el instrumento a través del que el responsable cumple con el principio de información,
que de no darse podría suponer un incumplimiento de la normatividad sobre protección de datos
personales, siendo ilícito el tratamiento.
46
Véase la citada Guía, que incluye los modelos, en http://abcavisosprivacidad.ifai.org.mx/#seccion1_08
47
A nivel internacional, por ejemplo, cabe hacer referencia en este sentido al caso de España donde el apartado 5, del artículo 5 de la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) incluye una excepción al principio de
información indicando que: “No será de aplicación lo dispuesto en el apartado anterior, cuando expresamente una ley lo prevea, cuando el
tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos
desproporcionados, a criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente, en consideración al número
de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.” La LOPD puede consultarse en
http://www.boe.es/buscar/act.php?id=BOE-A-1999-23750
30
Al respecto, es necesario saber que la obligación que tiene el responsable del tratamiento de informar
sobre el tratamiento de datos personales, incluso cuando se dan determinadas situaciones por el
número de personas o el momento en el que se obtuvieron los datos personales, tiene que cumplirse
siempre, pudiendo llevarse a cabo a través de medidas compensatorias. Esto implica también que
como titulares de los datos personales, tengamos que informarnos de qué datos personales nos
piden, para qué y quién los tratará. Se trata también de un ejercicio de responsabilidad que además
es clave para, si fuera necesario, poder ejercitar los derechos ARCO ante el responsable del
tratamiento.
En definitiva, el titular de los datos personales tiene que informarse del tratamiento de sus datos
personales a través del aviso de privacidad, prestando también atención a aquellos casos en los que
éste sea difundido a través de medidas compensatorias. Y por lo que se refiere a las mismas, en los
siguientes apartados se explica cómo se instrumentan en atención específicamente al caso de
México.
3.5.1 Concepto de medidas compensatorias
Siguiendo los Criterios Generales para la instrumentación de medidas compensatorias sin la

autorización expresa del Instituto Federal de Acceso a la Información y Protección de Datos48, en
concreto el criterio segundo, las medidas “son mecanismos alternos para dar a conocer a los titulares
el aviso de privacidad, a través de su difusión por medios masivos de comunicación u otros
mecanismos de amplio alcance, que se instrumentan de manera excepcional cuando al responsable
le resulta imposible poner a disposición de cada titular, de manera directa o personal, el aviso de
privacidad, o ello exige esfuerzos desproporcionados.”49
Es decir, cuando por determinadas razones o motivos previstos en los Criterios Generales, en
particular cuando resulte imposible o suponga realizar esfuerzos desproporcionados para dar a
conocer el aviso de privacidad de forma personal o directa50, el responsable del tratamiento no puede
dar a conocer, de manera directa o personal, el aviso de privacidad a los titulares de los datos
personales, se puede recurrir, bajo ciertas condiciones, a darlo a conocer a través de los medios
previstos en dichos Criterios Generales.
48
Publicados en el Diario Oficial de la Federación del 18 de abril de 2012. Pueden consultarse en
http://dof.gob.mx/nota_detalle.php?codigo=5244229&fecha=18/04/2012
49
Cabe recordar que por el cambio de denominación, las referencias hechas al Instituto Federal de Acceso a la Información y Protección
de Datos (IFAI), deben entenderse hechas al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos
Personales.
50
Por esfuerzos desproporcionados para dar a conocer el aviso de privacidad de forma personal o directa, se entiende, según la definición
dada en los Criterios Generales “Cuando el número de titulares sea tal, que el hecho poner a disposición de cada uno de ellos el aviso de
privacidad, de manera personal o directa, implique al responsable un costo excesivo, al considerar su capacidad económica, así como el
hecho de que se comprometa su estabilidad financiera, la realización de actividades propias de su negocio o la viabilidad de su
presupuesto programado; o bien, que dicha actividad sea disruptiva, de manera significativa, de aquellas que el responsable lleva a cabo
cotidianamente.”
31
Por tanto, como indica la Guía del INAI para Instrumentar Medidas Compensatorias51, se trata de
“mecanismos alternos para dar a conocer a los titulares el aviso de privacidad, a través de su difusión
por medios masivos de comunicación u otros mecanismos de amplio alcance, en lugar de poner a
disposición el aviso a cada titular, de manera personal o directa.”52
3.5.2 Instrumentación
Con carácter previo a instrumentar medidas compensatorias, y sin perjuicio de que sea necesaria o
no la autorización del INAI, tiene que cumplirse con el principio de calidad de los datos personales
tratados, de manera que, como indica el quinto de los Criterios, relativo al cumplimiento del principio
de calidad, “[p]revio la implementación de medidas compensatorias en el marco de los presentes
Criterios Generales, el responsable”, conforme a la normatividad sobre protección de datos
personales, “deberá cancelar los datos personales que hayan dejado de ser necesarios para el
cumplimiento de las finalidades que originaron su tratamiento y las obligaciones legales aplicables.”
En cuanto a los medios para comunicar el aviso de privacidad, el decimoquinto de los Criterios
Generales, podrán ser los siguientes53:
“I. Diarios de circulación nacional;
II. Diarios locales o revistas especializadas;
III. Página de Internet del responsable;
IV. Hiperenlaces o hipervínculos situados en una página de Internet del Instituto;
V. Carteles informativos;
VI. Cápsulas informativas radiofónicas, y
VII. Otros medios alternos de comunicación masiva”
Al respecto, hay que atender también a que el decimosexto de los Criterios Generales lista algunos
factores que podrán ser tomados en cuenta por el responsable del tratamiento para elegir el medio
correspondiente, siendo dichos factores, en lo fundamental, los siguientes:
51
Publicada en marzo de 2014 y disponible en el vínculo electrónico
http://inicio.inai.org.mx/DocumentosdeInteres/Guia_para_instrumentar_medidas_compensatorias.pdf
52
Pág. 4.
53
Al respecto, cabe considerar que el INAI realizó una consulta pública sobre unos Lineamientos para el uso de hiperenlaces o
hipervínculos en una página de internet del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos
Personales, para dar a conocer avisos de privacidad a través de medidas compensatorias.
32
En cualquier caso, el citado Criterio General concluye indicando que el responsable del tratamiento
deberá prestar atención a la necesidad de conseguir:
1. El máximo alcance, y
2. La máxima difusión del aviso de privacidad entre los titulares de los datos personales,
eligiendo para ello el medio y el periodo más eficiente.
Por último, el decimoséptimo de los Criterios Generales lista los criterios para la publicación del aviso
de privacidad en los diferentes medios en atención a los medios de difusión ya citados anteriormente
(diarios de circulación nacional, diarios locales o revistas especializadas, página de Internet del
responsable, etc.
3.5.3 Modalidades
Dependiendo de que actualicen o no los supuestos y condiciones establecidos en los Criterios

Generales, se podrán instrumentar medidas compensatorias sin la autorización previa y expresa del
INAI o, por el contrario, será necesaria dicha autorización. Al respecto, el octavo de os Criterios
Generales indica que:
“Cuando los datos personales se hayan obtenido posterior al plazo establecido por el
artículo Tercero Transitorio de la Ley, así como en cualquier otro caso que no actualice los
supuestos y condiciones establecidas en los criterios sexto y séptimo, y el responsable
requiera la instrumentación de medidas compensatorias, será necesario que solicite la
autorización expresa del Instituto, de conformidad con lo establecido en los artículos 32,
segundo párrafo, 33, 34 y 35 del Reglamento.”
En los siguientes apartados se atiende, específicamente, a los casos en los que conforme a los
Criterios Generales es posible instrumentar medidas compensatorias sin autorización del INAI como
aquéllos otros casos en los que para instrumentar dichas medidas compensatorias se requiere la
autorización previa y expresa del INAI.
33
3.5.4 Criterios generales para la instrumentación de Medidas compensatorias sin la

autorización expresa del numeral
Las medidas compensatorias podrán instrumentarse, según indica la Guía del INAI, cuando54:
1. Los datos personales se hayan obtenido –ya sea de manera personal o directa de los
titulares, o bien de manera indirecta-, antes del 6 de julio de 2011 (fecha en la que
vencía el plazo para emitir los avisos de privacidad).
2. Exista una imposibilidad de dar a conocer a cada titular el aviso de privacidad o que la
puesta a disposición del mismo a cada uno de los titulares exija esfuerzos
desproporcionados, en los términos que se señalan en el artículo Séptimo de los
Criterios Generales, antes citado.
3. La finalidad para la que se trata los datos personales en la actualidad sea igual, análoga
o compatible con aquélla para la cual, en su momento, se recabaron los datos
personales.
4. No se requiera el consentimiento del titular, cuando el tratamiento involucre datos
personales sensibles.
Por tanto, siempre que se cumplan los requisitos establecidos en los Criterios Generales y no
actualice alguno de los casos para tener que solicitar la autorización previa y expresa del INAI para
instrumentar las medidas compensatorias, se podrán instrumentar éstas sin dicha autorización.
3.5.5 Procedimiento para la solicitud y autorización de Medidas compensatorias
Conforme al artículo 32 del Reglamento de la LFPDPPP55, la autorización expresa del INAI, que
deberá obtenerse previamente a instrumentar las medidas compensatorias, es necesaria cuando, tal
y como indica la Guía del INAI “no actualicen los supuestos y condiciones previstos por los Criterios
Generales” 56, de manera que hay que atender a los siguientes:
1. Los datos personales se hayan obtenido –ya sea de manera personal o directa de los
titulares, o bien de manera indirecta-, con fecha posterior al 6 de julio de 2011, ya que a partir
de dicha fecha los responsables están obligados a emitir los avisos de privacidad.
54
Guía del INAI, pág. 6.
55
Dicho artículo indica que:
“Medidas compensatorias
Artículo 32. En términos del tercer párrafo del artículo 18 de la Ley, cuando resulte imposible dar a conocer el aviso de
privacidad al titular o exija esfuerzos desproporcionados, en consideración al número de titulares o a la antigüedad de los
datos, el responsable podrá instrumentar medidas compensatorias de comunicación masiva de acuerdo con los criterios
generales expedidos por el Instituto, mismos que serán publicados en el Diario Oficial de la Federación, bajo los cuales
podrán utilizarse los medios que se establecen en el artículo 35 del presente Reglamento.
Los casos que no actualicen los criterios generales emitidos por el Instituto requerirán la autorización expresa de éste, previo a la
instrumentación de la medida compensatoria, de conformidad con el procedimiento establecido en los artículos 33 y 34 del presente
Reglamento.”
56
Ya citada. Pág. 7.
34
2. La finalidad para la que trata los datos personales en la actualidad NO sea igual, análoga o
compatible con aquélla para la cual, en su momento, se recabaron los datos personales.
3. Se requiera el consentimiento del titular, en aquellos casos en que el tratamiento involucre
datos personales sensibles.
La solicitud de autorización se presentará al INAI mediante escrito libre que, conforme al artículo 33
del Reglamento de la LFPDPPP y como indica la Guía del INAI, deberá contener los siguientes
aspectos:
i.“Nombre, denominación o razón social del responsable que promueve la solicitud;

ii. En su caso, nombre del representante del responsable;
iii. Copia simple de la identificación oficial del responsable y, en su caso, de su
representante, y original para su cotejo;
iv. En su caso, copia simple del documento que acredite la representación del
responsable y original para su cotejo;
v. Domicilio para oír y recibir notificaciones;
vi. Nombre de las personas autorizadas para recibir notificaciones;
vii. Descripción del tratamiento que se efectúa con los datos personales (finalidad, tipo de
datos tratados, transferencias que se realizan, particularidades de los titulares, entre
ellas, edad, ubicación geográfica, nivel educativo y socioeconómico, entre otros);
viii. Causas o justificación de la imposibilidad de dar a conocer el aviso de privacidad a
los titulares o el esfuerzo desproporcionado que esto exige;
ix. Número de titulares afectados;
x. Antigüedad de los datos personales (por ejemplo, del 5 de mayo de 2010 al 15 de
agosto de 2012);
xi. Indicar si existe o no contacto con los titulares;
xii. Capacidad económica del responsable;
xiii. Tipo de medida compensatoria que pretende aplicar, según los medios que prevé el
artículo 35 del RLFPDPPP;
xiv. Periodo de publicación de la medida compensatoria,
xv. Texto del aviso de privacidad propuesto para la medida compensatoria, y
xvi. Documentos que el responsable considere necesarios presentar ante el Instituto.”
A la solicitud de autorización, como indica la Guía del INAI, se deben anexar los siguientes
documentos57:
1. Copia de la identificación oficial que acredite la personalidad del responsable (persona física)
y, en su caso, de su representante legal, así como el original para su cotejo.
2. En caso de que sea el representante legal quien realice el trámite, éste deberá presentar
copia del documento que acredite la representación del responsable, así como el original
para su cotejo.
3. Documentos que el responsable considere necesarios presentar ante el Instituto.
57
Véase la pregunta o apartado 8, en la página 8 de la citada Guía.
35
Una vez presentada la solicitud ante el INAI, se seguirá el siguiente proceso:
1. La Dirección General de Autorregulación (DGA), que está adscrita a la Secretaría de

Protección de Datos Personales del INAI:
a) Evalúa la solicitud de autorización y
b) Propone a la Secretaría el proyecto de resolución,
2. En caso de resultar procedente, el Secretario autoriza la implementación de las medidas
compensatorias propuestas.
Gráficamente, el proceso sería de la siguiente forma:
Por lo que se refiere al plazo para resolver sobre la solicitud, como se explica en la Guía del INAI,
será de “10 días hábiles siguientes a la recepción de la solicitud de medida compensatoria para emitir
la resolución correspondiente. Este plazo se puede ampliar por 5 días hábiles en términos del artículo
31 de la Ley Federal de Procedimiento Administrativo.”58
Durante los cuatro (4) días siguientes a la presentación de la solicitud se podrá prevenir al
responsable, en cuyo caso éste tendrá cinco (5) días hábiles, contados desde la fecha en que surta
efectos la prevención, y si no respondiera, la solicitud se desechará. La prevención suspende el plazo
para que el INAI emita su determinación, reanudándose dicho plazo “a partir del día hábil siguiente a
aquél en la que ésta se conteste”, como indica la Guía del INAI.
3.6 Principio de calidad

3.6.1 Concepto
La calidad de los datos personales, como principio, significa que éstos “deben ser correctos, exactos
y completos y estar actualizados según sea necesario con respecto a los fines para los cuales se
hayan recopilado”, tal y como indica, entre otros, el informe del CJI de la OEA59.
Al respecto, también los Estándares Internacionales sobre Protección de Datos Personales y

Privacidad indican, en el apartado 1, del artículo 9, que “los datos de carácter personal sean exactos,
58
Guía del INAI. Pág. 9.
59
Pág. 9 del informe ya citado.
36
así como que se mantengan tan completos y actualizados como sea necesario para el cumplimiento
de las finalidades para las que sean tratados.”
Específicamente, el Dictamen con proyecto de Decreto por el que se expide la LFPDPPP se refiere a
este principio como que “refleje realmente de forma fiel, la realidad de la información tratada.”60 Y
también indica que este principio “ha de entenderse específicamente vinculado con la veracidad y
exactitud en la que se mantienen los datos personales”
Es decir, como indica la Guía del INAI, ya mencionada, el principio de calidad implica que, “conforme
a la finalidad o finalidades para las que se vayan a tratar los datos personales”61, los datos personales
tratados sean exactos, completos, pertinentes, actualizados y correctos. Y esto significa, a su vez,
que:
“• Los datos personales son exactos cuando reflejan la realidad de la situación de su titular, es
decir, son verdaderos o fieles. Por ejemplo, un dato no sería exacto si se registra en la base de
datos que una persona cuenta con Doctorado en derecho, si el título que en realidad tiene es una
Maestría en derecho.
• Los datos personales están completos cuando no falta ninguno de los que se requiera para las
finalidades para las cuales se obtuvieron y son tratados, de forma tal que no se cause un daño o
perjuicio al titular. Por ejemplo, los datos de salud del titular están completos cuando el
expediente médico contiene todos los documentos clínicos e información que debe estar
integrada al mismo.
• Los datos personales son pertinentes cuando corresponden efectivamente al titular. Por datos
del adeudo son pertinentes cuando corresponden al deudor y no a una homonimia.
• Los datos están actualizados cuando están al día y corresponden a la situación real del titular.
Por ejemplo, el número telefónico que se tiene registrado en la base de datos está actualizado
cuando, efectivamente, corresponde al titular con el que está vinculado.
• Los datos personales son correctos cuando cumplen con todas las características anteriores, es
decir, son exactos, completos, pertinentes y actualizados.”
El principio de calidad de los datos personales es otro de los principios fundamentales, ya que como
indica el informe del CJI de la OEA “es importante para la protección de la privacidad”, ya que si los
datos personales no respondiesen efectivamente a este principio, se vulneraría el derecho a la
protección de datos personales de su titular.
60
Ya mencionado. Pág. 31.
61
Pág. 58.
37
Como indica el Dictamen con proyecto de Decreto por el que se expide la LFPDPPP, en la práctica,
este principio: “conlleva un doble esfuerzo para los particulares responsables: por un lado deberán
asegurarse en el momento de la recogida de la información, sobre todo cuando la misma no procede
directamente del titular, de que aquella resulta exacta y actualizada; por otro debería, siempre que
ello sea posible, adoptar las medidas razonables para que la información responda a esa veracidad
mientras persiste en su tratamiento.”62
Es decir, conforme a lo indicado en la Guía del INAI “[e]l responsable debe adoptar las medidas que
considere convenientes para procurar que los datos personales cumplan con estas características, a
fin de que no se altere la veracidad de la información, ni que ello tenga como consecuencia que el
titular se vea afectado por dicha situación.”63
Y adoptar estas medidas implica que el responsable del tratamiento tenga que adoptar e implementar
medida para asegurar que los datos personales que trata, en cualquier fase del tratamiento y a lo
largo de todo el ciclo de vida del tratamiento, reúnan las características ya señaladas (ser exactos,
completos, pertinentes, actualizados y correctos). Al respecto, se debe prestar también atención al
momento mismo de obtener o recabar los datos personales, distinguiendo los supuestos en los que
los datos personales sean obtenidos directa o indirectamente del titular.
Es así que, en virtud de la normatividad mexicana sobre protección de datos personales, en relación
con el principio de calidad y considerando si se han obtenido directa o indirectamente del titular los
datos personales, es posible indicar lo siguiente:
Calidad de los datos personales
Datos personales Se presume que los datos personales son exactos, completos, pertinentes,
obtenidos correctos y actualizados cuando los proporciona directamente el titular, y
directamente del titular hasta en tanto éste no manifieste y acredite lo contrario, o bien, el
responsable cuente con evidencia que lo contradiga.
Datos personales En estos casos, se deben adoptar medidas razonables para que los datos
obtenidos personales contenidos en las bases de datos sean exactos, completos,
indirectamente pertinentes, actualizados y correctos.
62
Páginas 31 y 32 del Dictamen.
63
Pág. 59.
38
3.6.3 Plazos de conservación de los datos personales
En cuanto a la conservación de los datos personales, las Directrices para la armonización de la

protección de datos en la Comunidad Iberoamericana, indican que “[l]os datos deberán ser
cancelados o convertidos en anónimos cuando hayan dejado de ser necesarios para el cumplimiento
de las finalidades que justificaron su obtención y tratamiento.”64
Los plazos de conservación de los datos personales pueden depender del consentimiento del titular
de los datos personales, el cumplimiento de una obligación contractual o legal así como de que los
datos personales dejen de cumplir con el principio de calidad puestos en conexión con la finalidad
para la que son tratados o su exactitud en relación con la persona a la que se refieren.
La calidad de los datos personales implica también que el responsable tenga que adoptar medidas
para asegurar que ésta se cumple a lo largo del ciclo de vida de su tratamiento, de manera que, como
hace la Guía del INAI, cabe preguntarse “¿Cuánto tiempo puedo conservar los datos personales?”,
ante lo que cabe considerar que:
“El plazo de conservación de los datos personales no debe exceder el tiempo estrictamente
necesario para llevar a cabo las finalidades que justificaron el tratamiento, ni aquél que se
requiera para cumplir con:
• Las disposiciones legales aplicables en la materia de que se trate;

• Los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información, y
• El periodo de bloqueo.
Entonces tenemos que:
Plazo de conservación
= Tiempo requerido para llevar a cabo las finalidades del tratamiento
+ plazos legales, administrativos, contables, fiscales, jurídicos e históricos aplicables
+ periodo de bloqueo.
En algunos casos estos tres tiempos o plazos pueden coincidir.”
Por tanto, los plazos de conservación de los datos personales requieren tomar en cuenta los
diferentes casos que pueden darse en la práctica y, esto implica que, requieren que el responsable
del tratamiento adopte medidas para asegurar el principio de calidad de los datos personales. Lo ideal
es que el responsable del tratamiento aplique una política de conservación de los datos, pudiendo
apoyarse además en el uso de herramientas tecnológicas de control en el tratamiento de los datos
personales.
64
Pág. 14.
39
3.6.4 Procedimiento para conservación, bloqueo y supresión de los datos personales y

prueba de su cumplimiento
Para garantizar la calidad de los datos personales a lo largo de su ciclo de vida, es decir, desde que
se recaban hasta que se suprimen finalmente, es necesario, si la obligación está prevista en la
normativa aplicable, y conveniente, en cualquier caso, que el responsable adopte un procedimiento,
documentado, para gestionar la conservación, el bloqueo y la supresión de los datos personales.
Al estar documentado, pudiendo adoptar múltiples formas, como por ejemplo la adopción e
implementación de una política u otras normas internas en materia de protección de datos personales,
el responsable podrá probar que ha adoptado medidas al respecto. Y mediante la realización de
auditorías u otras evaluaciones, internas o externas, se podrá probar, en su caso, cómo funciona este
procedimiento.
En cualquier caso, se trata de asegurar, a través del correspondiente procedimiento, la protección de

los datos personales, de manera que se respete así el derecho a la protección de datos personales
de su titular.
3.7 Principio de finalidad

3.7.1 Concepto
El Dictamen con proyecto de Decreto por el que se expide la LFPDPPP se refiere a este principio
indicando que “[l]a manifestación esencial de la protección de la privacidad en relación con el
tratamiento de los datos personales se funda en que el tratamiento únicamente sea llevado a cabo en
el ámbito de finalidades determinadas, explícitas y legítimas relacionadas con la actividad del
responsable. Junto con esta regla general, se ha venido reconociendo la posibilidad de proceder a
este tratamiento para otros fines, siempre que los mismos no sean incompatibles con los que
motivaron el tratamiento inicial del dato.”
Se trata también de un principio clave en protección de datos personales, interrelacionado con otros
principios, especialmente los de información, consentimiento y calidad.
Al respecto, las Directrices para la armonización de la protección de datos en la Comunidad

Iberoamericana, indican que:
“los datos únicamente podrán ser recabados y tratados para el cumplimiento de las
finalidades determinadas, explícitas y legítimas relacionadas con la actividad de quien los trate.
40
No podrán ser tratados para fines distintos de aquéllos que motivaron su obtención a
menos que exista legitimación suficiente para ello, conforme a lo establecido en el apartado 3
de estas directrices.”65
La Guía del INAI se refiere también a este principio indicando que “[s]e entiende por finalidad del
tratamiento, el propósito, motivo o razón por el cual se tratan los datos personales.”66
Por tanto, la finalidad del tratamiento de los datos personales es el uso que se va a dar los mismos,
pudiendo distinguir, como veremos, entre finalidades primarias y secundarias. En cualquier caso, la
finalidad tiene que estar determinada, ser explícita y legítima, lo que implica también que este
principio esté relacionado con los de licitud y lealtad.
Desde un punto de vista práctico, conforme a la Guía del INAI, es necesario prestar atención tanto a
la finalidad del tratamiento de los datos personales, en sí misma, y también a cómo se redacta en su
caso el correspondiente aviso de privacidad. Es así que:
“La finalidad o finalidades del tratamiento de datos personales deberán ser determinadas, es decir,
deberán especificar para qué objeto se tratarán los datos personales de manera clara, sin lugar a
confusión y con objetividad. Un ejemplo de una finalidad determinada es cuando una tienda
departamental, para prestar su servicio de compra en línea, señala que las finalidades del tratamiento
de los datos personales que solicita son i) para verificar la identidad del cliente; ii) realizar el cobro
respectivo, y iii) enviar el pedido solicitado a la dirección que el cliente proporciona.
En ese sentido, el responsable deberá evitar que las finalidades que describa en el aviso de
privacidad sean inexactas, ambiguas o vagas, como “de manera enunciativa más no limitativa”, “entre
otras finalidades”, “otros fines análogos”, “por ejemplo” o “entre otros”. Por ejemplo:
√ Correcto: Sus datos personales serán tratados con la finalidad de darle la atención
médica que solicita, realizarle los estudios y análisis que requiere, así como para el cobro y
facturación de los servicios médicos.
Х Incorrecto: Sus datos personales serán tratados con la finalidad de darle la atención
médica que solicita, realizarle los estudios y análisis que requiere, para el cobro y facturación
de los servicios médicos, entre otros fines análogos.”67
Otra cuestión a considerar en la práctica, como apunta la Guía del INAI, es la razón o motivo de
distinguir entre ambos tipos de finalidades. Al respecto, la citada Guía, mencionando el Reglamento
de la LFPDPPP, indica que “el titular de los datos personales puede negar o revocar su
65
Pág. 14.
66
Pág. 52 de la Guía, ya citada.
67
Guía del INAI, pág. 52.
41
consentimiento, así como oponerse para el tratamiento de sus datos personales para las finalidades
secundarias, sin que ello tenga como consecuencia la conclusión del tratamiento para las finalidades
primarias.”68
3.7.3 Finalidad primaria
La Guía del INAI, siguiendo la normatividad sobre protección de datos personales en posesión de los
particulares, se refiere la finalidad primaria como “aquéllas que dan origen y son necesarias para la
relación jurídica entre el titular y el responsable, a las cuales identificamos como primarias”.
La finalidad primaria puede ser desde el uso de los datos personales para cumplir con un contrato,
que consista, por ejemplo, en la prestación de un servicio, hasta el cumplimiento de una obligación
legal.
Es, por lo tanto, la necesidad de dicho tratamiento de datos personales la que va a servir como
parámetro para determinar si una finalidad es primaria o secundaria. En el siguiente apartado se
expone qué se entiende por finalidad secundaria así como algunos ejemplos prácticos que sirven
para diferenciar finalidades primarias y secundarias.
3.7.4 Finalidad secundaria
Si la finalidad primaria es aquella que da origen e implica la necesidad del tratamiento de datos
personales para la relación jurídica, ya sea la fuente de la obligación legal o contractual, las demás
finalidades serán secundarias. Por ejemplo, una finalidad secundaria clara es el uso de los datos
personales para el envío de publicidad.
A modo de ejemplo, la Guía del INAI indica que las siguientes son finalidades secundarias o
accesorias69:
“• Una persona proporciona sus datos personales a una universidad para que le preste
un servicio educativo y, a su vez, la universidad desea utilizar estos datos para invitarla
a los eventos anuales que realiza. En este caso, la finalidad primaria es la relacionada
con la prestación del servicio educativo, en tanto que la finalidad secundaria o accesoria
es la relacionada con la invitación a los eventos anuales.
• Una persona proporciona sus datos personales a una compañía de

telecomunicaciones para que le preste el servicio de telefonía local y, a su vez, la
compañía desea utilizar los datos de finalidad primaria es la relacionada con la
prestación del servicio de telefonía, en tanto que la finalidad secundaria o accesoria es
la relacionada con la promoción de los servicios de televisión por cable e Internet.”
68
Pág. 53.
69
Págs. 52 y 53
42
3.7.5 Tratamiento
El hecho de que los datos personales puedan utilizarse, en su caso, para finalidades primarias y
secundarias, implica que haya que considerar también al concepto de compatibilidad, el cual es
explicado por el Dictamen con proyecto de Decreto por el que se expide la LFPDPPP de la siguiente
manera:
“a los efectos de la aplicación de esta ley ha de ser necesariamente indeterminado, dado que resulta
imposible determinar a priori cuándo existe o no la misma. Dicho esto, una interpretación razonable
permite concluir que no sería posible restringir el principio considerando prohibida la utilización de
datos para ninguna finalidad distinta de la que motivó el tratamiento, pero tampoco sería acorde con
la protección que se pretende, el conferir una interpretación extensiva que considere que toda la
actividad de un responsable puede considerarse compatible con la parte de la misma que dio lugar al
tratamiento. En todo caso, la aplicación de esta regla impone al responsable la necesidad de
encontrar legitimado el tratamiento de los datos con arreglo a los principios contenidos en la ley que
se somete a consideración, en aquellos supuestos en los que no se produce tal compatibilidad.”70
Al tratamiento de los datos personales hay que atender también a las finalidades distintas, con
respecto a lo que la Guía del INAI indica que:
“Es importante que el responsable tome en consideración que no se pueden llevar a cabo
tratamientos para finalidades distintas que no resulten compatibles o análogas con aquéllas para las
que se hubiese recabado de origen los datos personales y que hayan sido previstas en el aviso de
privacidad, a menos que:
• Lo permita de forma explícita una ley o reglamento, o

• El responsable haya obtenido el consentimiento para el nuevo tratamiento.”
Como conclusión, y siguiendo de nuevo la Guía del INAI, cabe señalar que “el responsable tiene las
siguientes obligaciones en torno al principio de finalidad:
1. Tratar los datos personales únicamente para la finalidad o finalidades que hayan sido
informadas al titular en el aviso de privacidad y, en su caso, consentidas por éste;
2. Informar en el aviso de privacidad todas las finalidades para las cuales se tratarán los
datos personales, y redactarlas de forma tal que sean determinadas;
3. Identificar y distinguir en el aviso de privacidad entre las finalidades primarias y
secundarias;
4. Ofrecer al titular de los datos personales un mecanismo para que pueda manifestar su
negativa al tratamiento de sus datos personales para todas o algunas de las finalidades
secundarias;
5. Cuando el aviso de privacidad se dé a conocer a través de un medio indirecto, como el
correo postal, informar al titular que tiene cinco días hábiles para manifestar su negativa
para el tratamiento de su información para finalidades secundarias;
70
Pág. 32 del Dictamen, ya citado.
43
6. No condicionar el tratamiento para finalidades primarias, a que se puedan llevar a cabo

las finalidades secundarias;
7. Tratar los datos personales para finalidades distintas que no resulten compatibles o
análogas con aquéllas para las que se hubiese recabado de origen los datos personales
y que hayan sido previstas en el aviso de privacidad, al menos que lo permita una ley o
reglamento, o se obtenga el consentimiento del titular de los datos.”71
3.8. Principio de lealtad

3.8.1 Concepto
El principio de lealtad está vinculado con el de licitud o principio de lealtad y legalidad.
Como indica la Guía del INAI para cumplir con los principios y deberes de la LFPDPPP72 “[l]os datos
personales tienen que ser tratados por el responsable de manera lícita y leal, lo que supone que tiene
que actuar con apego a las leyes en general y en lo particular a la normatividad sobre protección de
datos personales.”
Al respecto, la versión final del Dictamen con proyecto de Decreto por el que se expide la LFPDPPP73
explica este principio indicando que “implica que el tratamiento de los datos personales debe llevarse
a cabo de forma leal y lícita; es decir, con pleno cumplimiento de la legalidad y respeto de la buena fe
y los derechos del individuo, cuya información es sometida a tratamiento.”
Es decir, es necesario que todo tratamiento de datos personales, a lo largo del ciclo de vida de los
datos personales, en todas las fases de su tratamiento, sea lícito, cumpliendo con las condiciones
aplicables. Lo contrario determinaría que el tratamiento fuese ilícito, por incumplir con los principios
y/o deberes aplicables y exigibles a quienes tratan los datos personales, lo cual podría dar lugar, en
su caso, a la exigencia de responsabilidad.
La versión final del Dictamen con proyecto de Decreto por el que se expide la LFPDPPP74 indica que
el principio de licitud “se traduce en la prohibición de cualquier tratamiento que implique recabar o
conservar los datos mediante la utilización de engaño o fraude, de forma que el individuo no pueda
conocer con propiedad los términos y condiciones vinculados a ese tratamiento.”
Si se incumple con el principio de licitud, los datos personales tendrían que cancelarse, ya que su
tratamiento sería ilícito lo que supone que se vulnere el derecho a la protección de datos personales
71
Guía ya citada, págs. 53 y 54.
72
Ya mencionada.
73
Ya citado. Pág. 29.
74
Véase la nota pie de página anterior.
44
de su titular. Y ello sin perjuicio de que fuera exigible la responsabilidad correspondiente por el
incumplimiento que, en su caso, se haya producido.
En este sentido, la licitud del tratamiento implica también que tengan que cumplirse las condiciones
aplicables y exigibles a todo tratamiento, lo que supone que este principio esté interrelacionado con
otros principios como los de información, consentimiento, calidad, etc. Por tanto, la licitud tiene que
asegurarse por quien trata los datos personales en todo momento, evitando así posibles
incumplimientos que pudieran dar lugar a la exigencia de responsabilidad por un tratamiento ilícito de
los datos personales.
3.9. Principio de proporcionalidad

3.9.1 Concepto
El principio de proporcionalidad, como explica el informe del CJI de la OEA relacionándolo con la
necesidad y minimización del tratamiento de los datos personales, implica que quienes tratan datos
personales los deben usar “solamente de una forma acorde con los fines expresos de la recopilación;
por ejemplo, cuando sean necesarios para proporcionar el servicio o el producto solicitado por la
persona. Asimismo, los recopiladores y procesadores de datos deben seguir un criterio de “limitación”
o “minimización”, de acuerdo con el cual deben hacer un esfuerzo razonable para cerciorarse de que
los datos personales que manejen correspondan al mínimo requerido para el fin expreso.”75
En particular, el CJI menciona, a continuación, que “[e]n algunos sistemas jurídicos se usa el
concepto de “proporcionalidad” para hacer referencia al equilibrio de valores en pugna. La
proporcionalidad requiere que las instancias decisorias determinen si una medida ha ido más allá de
lo que se requiere para alcanzar una meta legítima y si los beneficios alegados excederán los costos
previstos.”
Los Estándares Internacionales sobre Protección de Datos Personales y Privacidad, a los que ya se
ha hecho referencia, incluyen, en su artículo 8, este principio de proporcionalidad, indicando que:
“1. El tratamiento de datos de carácter personal deberá circunscribirse a aquéllos que

resulten adecuados, relevantes y no excesivos en relación con las finalidades previstas en el
apartado anterior.
2. En particular, la persona responsable deberá realizar esfuerzos razonables para limitar los
datos de carácter personal tratados al mínimo necesario.”
Por su parte, la versión final del Dictamen con proyecto de Decreto por el que se expide la LFPDPPP
indica que “se encuentra directamente relacionado con el de finalidad.”76
75
Pág. 10.
76
Página 33 del citado Dictamen.
45
Y explica también, a continuación, que “[l]a exigencia al responsable de únicamente tratar datos
proporcionales para la finalidad para la que se obtuvieron ha sido analizada por los distintos derechos
regionales o nacionales desde dos perspectivas distintas, aunque complementarias: Por una parte,
los datos sólo deberían ser los adecuados o necesarios para la finalidad que justifica el tratamiento
(principio de proporcionalidad en sentido estricto); por otra, quien procede al tratamiento de los datos
deberá analizar las finalidades que justifican el tratamiento, de modo que sólo debería tratar la
mínima cantidad de información necesaria para conseguir la finalidad perseguida (principio de
minimización).
Sobre este principio, las Directrices para la armonización de la protección de datos en la Comunidad
Iberoamericana, indican que “[s]ólo podrán ser sometidos a tratamiento los datos que resulten
adecuados, pertinentes y no excesivos en relación con las finalidades a las que se refiere el punto
anterior.”77
En la práctica, según indica el CJI de la OEA, este principio implica que “[d]e acuerdo con estos
principios, los conceptos de “necesidad” y “proporcionalidad” imponen limitaciones generales al uso,
lo cual significa que los datos personales solo deben usarse para cumplir los propósitos de la
recopilación excepto con el consentimiento de la persona cuyos datos personales se recopilen o
cuando sea necesario para proporcionar un producto o servicio solicitado por la persona.
No obstante, en los principios se reconoce que el campo de la gestión y el procesamiento de datos

están evolucionando continuamente desde el punto de vista tecnológico. En consecuencia, debe
entenderse que este principio abarca una medida razonable de flexibilidad y adaptabilidad.”
También, el Dictamen con proyecto de Decreto por el que se expide la LFPDPPP indica que “el
tratamiento de los datos de forma que únicamente sean objeto de aquél los mínimos datos necesarios
para la finalidad que lo justifica. La segunda consecuencia de la aplicación de este principio será que
deberá tenderse siempre que sea posible en el tratamiento de los datos a realizar el mismo de forma
anonimizada o disociada.”
Es así que, como ejemplo práctico, atendiendo a la normatividad mexicana sobre protección de datos
personales, el principio de proporcionalidad puede presentarse gráficamente de la siguiente forma78:
Aspecto Art(s). Previsión normativa
Proporcionalidad de 11 de la LFPDPPP y Los datos personales deberán ser:
77
Pág. 14.
78
Recio Gayo, Miguel. Op. cit. Pág. 41.
46
los datos personales 45 del Reglamento Pertinentes para los fines para los cuales fueron
recabados;
Necesarios, adecuados y relevantes en relación

con las finalidades para las que hayan sido
obtenidos.
Criterio de 46 del Reglamento El responsable deberá esfuerzos razonables para

minimización limitar al mínimo los datos personales que serán los
que sean necesarios de acuerdo con la finalidad
del tratamiento.
3.10. Principio de responsabilidad
3.10.1 Concepto
El informe del CJI de la OEA79 incluye entre sus principios también el de responsabilidad80, sobre el
que indica, con carácter general, que “[l]os controladores de datos adoptarán e implementarán las
medidas correspondientes para el cumplimiento de estos principios”, de forma que la
“responsabilidad” de quien trata los datos personales es fundamental para “[l]a protección efectiva de
los derechos individuales de protección de la privacidad y de los datos”. A continuación, incide en el
hecho de que este principio:
“requiere el establecimiento de metas apropiadas en lo que se refiere a la protección de

la privacidad, a las cuales los controladores de datos (organizaciones y otras entidades) deben
adherirse, permitiéndoles determinar las medidas más apropiadas para alcanzar esas metas y
vigilar su cumplimiento.”
A nivel internacional, en cuanto a la definición de este concepto, debe hacerse referencia al Grupo de
Trabajo del artículo 29 de la Directiva 95/46/CE81, que ha tratado este principio en su Dictamen
79
Ya citado.
80
Véanse las páginas 17 y 18 del citado informe.
81
Creado en virtud del citado artículo de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de
1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos, como un grupo consultivo e independiente que, conforme al apartado 2 de dicho artículo, “estará
compuesto por un representante de la autoridad o de las autoridades de control designadas por cada Estado miembro, por un
representante de la autoridad o autoridades creadas por las instituciones y organismos comunitarios, y por un representante
de la Comisión.” Y el artículo 30 de la Directiva le confiere las siguientes atribuciones:
“a) estudiar toda cuestión relativa a la aplicación de las disposiciones nacionales tomadas para la aplicación de la
presente Directiva con vistas a contribuir a su aplicación homogénea;
47
3/2010 sobre el principio de responsabilidad (WP 173)82 indicando sobre este término que “proviene
del mundo anglosajón donde es de uso general y donde se da una comprensión ampliamente
compartida de su significado, aunque la definición exacta de «responsabilidad» resulta compleja en la
práctica. Pero de forma general, el término apunta sobre todo al modo en que se ejercen las
competencias y al modo en que esto puede comprobarse. Competencia y responsabilidad son dos
caras de la misma moneda y sendos elementos esenciales de la gobernanza. Solo cuando la
responsabilidad funciona en la práctica puede desarrollarse la confianza suficiente.”83
Además, el Dictamen apunta que, en la práctica, se utilizan también “otras palabras para recoger el
sentido de responsabilidad, como son «competencia reforzada», «garantía», «fiabilidad», fiabilidad» o,
en español, «obligación de rendir cuentas», etc. Puede también sugerirse que la responsabilidad se
refiere a la «aplicación de principios de protección de datos».”84
La responsabilidad se refiere, por tanto, a “las medidas que pudieran adoptarse o preverse para
garantizar la observancia en materia de protección de datos.”85
Por establecer un punto de partida en cuanto a la inclusión y reconocimiento de este principio en

instrumentos internacionales sobre protección de datos personales, el Dictamen del Grupo de Trabajo
del artículo 29 de la Directiva 95/46/CE menciona que “el principio de responsabilidad no es
exactamente nuevo. Su reconocimiento expreso figura en las directrices sobre privacidad adoptadas
en 1980 por la Organización de Cooperación y Desarrollo Económicos (OCDE). El principio de
responsabilidad de estas reza así: «Todo responsable de datos debería ser responsable de cumplir
con las medidas que hagan efectivos los principios [materiales] expuestos».”86
b) emitir un dictamen destinado a la Comisión sobre el nivel de protección existente dentro de la Comunidad y en
los países terceros;
c) asesorar a la Comisión sobre cualquier proyecto de modificación de la presente Directiva, cualquier proyecto de
medidas adicionales o específicas que deban adoptarse para salvaguardar los derechos y libertades de las personas
físicas en lo que respecta al tratamiento de datos personales, así como sobre cualquier otro proyecto de medidas
comunitarias que afecte a dichos derechos y libertades;
d) emitir un dictamen sobre los códigos de conducta elaborados a escala comunitaria.”

La Directiva 95/46/CE fue publicada en el Diario Oficial de la Unión Europea L 281, de 23 de noviembre de 1995. Disponible en el
vínculo electrónico http://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1443980796448&uri=CELEX:31995L0046
82
Adoptado el 13 de julio de 2010 y disponible en http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-
recommendation/files/2010/wp173_es.pdf
83
Apartado 21 del citado Dictamen. Pág. 8.
84
Apartado 22 del Dictamen. Pág. 8.
85
Apartado 23 del Dictamen. Pág. 8.
86
Dictamen ya citado. Pág. 7.
48
Cabe señalar que las directrices de la OCDE fueron revisadas, publicándose una versión actualizada
en 2013, y precisamente una de las cuestiones en las que se ha centrado la revisión ha sido en este
principio de responsabilidad al referirse a la implementación práctica de medidas para proteger la
privacidad a través de una aproximación basada en la gestión del riesgo (en inglés risk
management)87.
Al respecto, la Guía para la implementación del Principio de Responsabilidad Demostrada

(Accountability)88, publicada en 2015 por la Delegatura para la protección de datos personales de
Colombia89, indica que:
“Las guías de la OCDE recogen un principio fundamental conocido como

responsabilidad demostrada (accountability en inglés), según el cual una entidad que recoge y
hace tratamiento de datos personales debe ser responsable del cumplimiento efectivo de las
medidas que implementen los principios de privacidad y protección de datos.
La versión de 2013 de las guías, que en lo sustancial no hizo cambios a los principios
que allí se habían incluido en 1980, sí estableció un nuevo aparte sobre implementación del
principio de responsabilidad demostrada. En ese sentido, y según lo dispuesto por las guías,
los Responsables del Tratamiento deben contar con un Programa Integral de Gestión de
Datos Personales y estar preparados para demostrarle a la autoridad la implementación
efectiva de esas medidas en la organización.”90
De nuevo, hay que mencionar el informe del CJI de la OEA que sobre las implicaciones del principio
de responsabilidad, indica que los principios de la protección de datos personales “dependen de la
capacidad de quienes recopilan, procesan y retienen datos personales para tomar decisiones
responsables, éticas y disciplinadas acerca de los datos y su uso durante todo el “ciclo de vida” de los
datos. Estos “gerentes de datos” deben actuar en calidad de “buen custodio” de los datos que les
proporcionen o confíen.”
Y también indica que “[e]n los programas y procedimientos se deben tener en cuenta la índole de los
datos personales en cuestión, el tamaño y la complejidad dela organización que recopila, almacena y
procesa los datos, y el riesgo de violaciones. La protección de la privacidad depende de una
evaluación creíble de los riesgos que el uso de datos personales podría plantear para las personas y
la mitigación responsable de esos riesgos.”
87
Las Directrices actualizadas, en su versión de 2013, así como una guía explicativa, pueden verse, en inglés, en el vínculo electrónico
http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf
88
Disponible en http://www.sic.gov.co/drupal/noticias/guia-para-la-implementacion-del-principio-de-responsabilidad-demostrada
89
Sobre la que puede verse más información en http://www.sic.gov.co/drupal/delegatura-para-la-proteccion-de-datos-personales
90
Véase la Guía en la página 5.
49
Citando de nuevo el Dictamen del Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE, este
principio “requeriría expresamente que los responsables del tratamiento de datos aplicaran medidas
adecuadas y eficaces para poner en práctica los principios y obligaciones de la Directiva y demostrar
este extremo cuando se les solicitara. En la práctica, ello se traduciría en programas modulables
tendentes a ejecutar los principios de protección vigentes (a veces llamados «programas de
cumplimiento»). Como complemento al principio, podrían establecerse requisitos adicionales
tendentes a implantar garantías de protección de datos o a garantizar su eficacia. Un ejemplo sería
una disposición por la que se exigiera llevar a cabo una evaluación de impacto sobre la privacidad
para operaciones de tratamiento de datos de mayor riesgo.”91
Al principio de responsabilidad hacen también referencia los Estándares Internacionales sobre

Protección de Datos Personales y Privacidad92 en su artículo 11, que indica:
“La persona responsable deberá:
a. adoptar las medidas necesarias para cumplir con los principios y obligaciones
establecidos en el presente Documento y en la legislación nacional aplicable, y
b. dotarse de aquellos mecanismos necesarios para evidenciar dicho cumplimiento, tanto

ante los interesados como ante las autoridades de supervisión en el ejercicio de sus
competencias, conforme a lo establecido en el apartado 23.”
Sobre el principio de responsabilidad, el Dictamen con proyecto de Decreto por el que se expide la
LFPDPPP indica que “debe entenderse en el sentido de que corresponderá a la entidad o persona
responsable el deber de velar por el cumplimiento de los principios y rendir cuentas al titular en caso
de incumplimiento.”93
Y, a continuación, el citado Dictamen destaca también que este principio de responsabilidad “es la
verdadera garantía para el titular de los datos quien deposita su confianza en el responsable, mismo
que deberá tomar todas las previsiones para que los datos sean tratados de acuerdo con la voluntad
del dueño de la información y bajo las medidas de seguridad que se prevean por la vía contractual.”
Es así que, en la práctica, como termina indicando el Dictamen, el principio de responsabilidad

implica que “dado que existe un tráfico de datos intenso y en muchas ocasiones este se da fuera de
las fronteras de nuestro país, el ciudadano tendrá la tranquilidad de que si su información ha
trascendido a manos de terceros en otras latitudes, éste estará enterado de las cautelas con que
debe tratar su información.”
91
Véase el Dictamen ya citado en su párrafo 3. Pág. 4
92
Ya mencionados.
93
Dictamen ya citado, pág. 34.
50
En relación con este principio, citando, de nuevo, la Guía del INAI para cumplir con los principios y
deberes de la LFPDPPP, ésta indica que este principio “cierra el círculo con relación a los principios
que regulan la protección de los datos personales. A este principio se le conoce también como el
principio de “rendición de cuentas”, ya que establece la obligación de los responsables de velar por el
cumplimiento del resto de los principios, adoptar las medidas necesarias para su aplicación, y
demostrar ante titulares y la autoridad, que cumple con sus obligaciones en torno a la protección de
los datos personales.”94
Por tanto, se trata de un principio fundamental en materia de protección de datos personales, siendo
buena muestra de ello el hecho de que también la Comisión Europea lo haya incluido en la propuesta
de Reglamento General de Protección de Datos que se tramita actualmente95.
3.10.3 Medidas para su cumplimiento
A modo de ejemplo, en el caso de México, el artículo 48 del Reglamento de la LFPDPPP, en

desarrollo del artículo 14 de la LFPDPPP96, indica que, entre otras medidas “para garantizar el debido
94
Guía y citada, pág. 65.
95
La iniciativa de la Comisión Europea, la Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la
protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos
datos (Reglamento general de protección de datos), COM(2012) 11 final, de 25 de enero de 2012, introduce este principio
en el artículo 22 lo que supone que dicho Reglamento “toma en consideración el debate sobre un «principio de
responsabilidad» y describe pormenorizadamente la obligación de responsabilidad del responsable del tratamiento a la hora
de cumplir el presente Reglamento y de demostrar su observancia, incluso mediante la adopción de políticas y mecanismos
internos que garanticen dicha conformidad.” El citado artículo, en su versión original, indica lo siguiente:
“Artículo 22 Obligaciones del responsable del tratamiento
1. El responsable del tratamiento adoptará políticas e implementará medidas apropiadas para asegurar y poder demostrar
que el tratamiento de datos personales se lleva a cabo de conformidad con el presente Reglamento.
2. Las medidas previstas en el apartado 1 incluirán, en particular:
a) la conservación de la documentación con arreglo a lo dispuesto en el artículo 28;
b) la implementación de los requisitos en materia de seguridad de los datos establecidos en el artículo 30;
c) la realización de una evaluación de impacto en relación con la protección de datos con arreglo a lo dispuesto en el artículo
33;
d) el cumplimiento de los requisitos en materia de autorización o consulta previas de la autoridad de control con arreglo a lo
dispuesto en el artículo 34, apartados 1 y 2;
e) la designación de un delegado de protección de datos con arreglo a lo dispuesto en el artículo 35, apartado 1.
3. El responsable del tratamiento implementará mecanismos para verificar la eficacia de las medidas contempladas en los
apartados 1 y 2. Siempre que no sea desproporcionado, estas verificaciones serán llevadas a cabo por auditores
independientes internos o externos.
4. La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de
especificar cualesquiera otros criterios y requisitos aplicables a las medidas apropiadas contempladas en el apartado 1,
distintas de las ya mencionadas en el apartado 2, las condiciones para los mecanismos de verificación y auditoría
contemplados en el apartado 3 y el criterio de proporcionalidad en virtud del apartado 3, y de considerar la adopción de
medidas específicas para las microempresas y las pequeñas y medianas empresas.”
La versión inicial de la Propuesta de Reglamento General de Protección de Datos puede consultarse en http://eur-lex.europa.eu/legal-
content/ES/TXT/?qid=1443970930549&uri=CELEX:52012PC0011
96
Dicho artículo indica lo siguiente: “El responsable velará por el cumplimiento de los principios de protección de datos personales
establecidos por esta Ley, debiendo adoptar las medidas necesarias para su aplicación. Lo anterior aplicará aún y cuando estos datos
51
tratamiento, privilegiando los intereses del titular y la expectativa, el responsable del tratamiento
podrá adoptar las siguientes:
I. Elaborar políticas y programas de privacidad obligatorios y exigibles al interior de la

organización del responsable;
II. Poner en práctica un programa de capacitación, actualización y concientización del

personal sobre las obligaciones en materia de protección de datos personales;
III. Establecer un sistema de supervisión y vigilancia interna, verificaciones o auditorías

externas para comprobar el cumplimiento de las políticas de privacidad;
IV. Destinar recursos para la instrumentación de los programas y políticas de privacidad;
V. Instrumentar un procedimiento para que se atienda el riesgo para la protección de datos

personales por la implementación de nuevos productos, servicios, tecnologías y modelos de
negocios, así como para mitigarlos;
VI. Revisar periódicamente las políticas y programas de seguridad para determinar las
modificaciones que se requieran;
VII. Establecer procedimientos para recibir y responder dudas y quejas de los titulares de los
datos personales;
VIII. Disponer de mecanismos para el cumplimiento de las políticas y programas de

privacidad, así como de sanciones por su incumplimiento;
IX. Establecer medidas para el aseguramiento de los datos personales, es decir, un conjunto
de acciones técnicas y administrativas que permitan garantizar al responsable el
cumplimiento de los principios y obligaciones que establece la Ley y el presente Reglamento,
o
X. Establecer medidas para la trazabilidad de los datos personales, es decir, acciones,

medidas y procedimientos técnicos que permiten rastrear a los datos personales durante su
tratamiento.”
En la práctica, son varios los instrumentos a través de los que pueden adoptarse e implementarse
medidas en virtud del principio de responsabilidad, entre los que, como indica la Guía del INAI97
siguiendo la normatividad en materia de protección de datos personales en posesión de los
particulares, se encuentran los siguientes:
fueren tratados por un tercero a solicitud del responsable. El responsable deberá tomar las medidas necesarias y suficientes para garantizar
que el aviso de privacidad dado a conocer al titular, sea respetado en todo momento por él o por terceros con los que guarde alguna
relación jurídica.”
97
Guía ya citada, pág. 65.
52
1. Estándares;
2. Mejores prácticas internacionales;
3. Políticas corporativas;
4. Esquemas de autorregulación, y
5. Otros mecanismos.
Al respecto, es también relevante la Guía para la implementación del Principio de Responsabilidad

Demostrada (Accountability)98 de Colombia, que para la adopción de medidas que permitan cumplir
con el principio de responsabilidad explica la necesidad de que la organización, es decir, quien trata
los datos personales, implemente un Programa Integral de Gestión de Datos Personales, indicando al
respecto que99:
“Para que una organización efectivamente implemente un Programa Integral de Gestión de Datos
Personales, no es suficiente demostrar la adopción de políticas y procedimientos tendientes a
cumplir las normas sobre protección de datos personales. Un programa basado en este estándar
debe buscar la implementación de esas políticas y procedimientos, para lo cual, como primera
medida, se requiere contar con el compromiso de los sujetos obligados, derivado de una cultura de
respeto a la protección de datos personales que recoge o trata. En este sentido, la organización,
atendiendo a su tamaño y estructura, así como al tipo de información personal a la que le realiza
tratamiento, debe comprometer recursos económicos y de personal una vez que decide emprender el
camino hacia la implementación de un Programa Integral de Gestión de Datos Personales.”
Como parte de dicho programa y para implementar prácticas responsables en materia de protección
de datos personales, la Guía parte de la necesidad del apoyo y compromiso de la alta dirección y/o la
gerencia, que debe:
1. Designar a la persona o al área que asumirá la función de protección de datos dentro de la

organización,
2. Aprobar y monitorear el Programa Integral de Gestión de Datos Personales, e
3. Informar de manera periódica a los órganos directivos sobre su ejecución.
En cuanto a los controles que debe incluir el Programa Integral de Gestión de Datos Personales para
asegurar que las políticas adoptadas se implementen en la práctica, la Guía menciona los siguientes:
1. Procedimientos operacionales: Se trata de “procedimientos administrativos consistentes

con las políticas generales de protección de datos y con las disposiciones legales vigentes
de forma que pueda manejar adecuadamente los riesgos inherentes al tratamiento de
información personal dentro de las actividades de gestión operacional.”100
98
Ya citada
99
Véase la Guía en las págs. 9 y siguientes.
100
Apartado 2.1 de la Guía, pág. 14.
53
2. Inventario de las bases de datos con información personal: Ya que quienes tratan datos
personales “deben conocer qué datos personales almacenan, cómo los utilizan y si
realmente los necesitan, teniendo en cuenta la finalidad para la cual los recolectan”101
3. Políticas: Son “políticas internas que dispongan obligaciones en virtud de la ley y dárselas
a conocer a los empleados”, a través de las que se implementan los principios de la
protección de datos personales. Entre las reglas que deben contener dichas políticas, tal y
como indica la Guía102 en este punto, están las relativas a:
a. La recolección, almacenamiento, uso, circulación y supresión o disposición final de

la información personal, incluyendo los requisitos para obtener la autorización de
los Titulares.
b. El acceso y corrección de datos personales.
c. La conservación y eliminación de información personal.
d. El uso responsable de la información, incluyendo controles de seguridad

administrativos, físicos y tecnológicos.
e. Inclusión en todos los medios contractuales de la empresa de una cláusula de

confidencialidad y de manejo de información, donde se afirme que se conoce a
suficiencia la política de la empresa, se acepta, y se permite a la compañía utilizar
dicha información de forma responsable.
f. Presentación de quejas, denuncias y reclamos.
4. Sistema de administración de riesgos asociados al tratamiento de datos personales: Lo

que implica que en la práctica sea conveniente desarrollar “un sistema de administración
de riesgos, acorde con su estructura organizacional, sus procesos y procedimientos
internos asociados al tratamiento de datos personales, la cantidad de base de datos y tipos
de datos personales tratados por la empresa.” Dicho sistema “permitirá a la empresa
identificar, medir, controlar y monitorear todos aquellos hechos o situaciones que puedan
incidir en la debida administración del riesgo a que están expuestos en el desarrollo del
cumplimiento de las normas de protección de datos.”103 Por último, en la adopción de este
sistema de administración de riesgos se deben tener en cuenta las etapas que se
enumeran a continuación y que son explicadas en la Guía104:
101
Véase el apartado 2.2 de la Guía, pág. 14.
102
Apartado 2.3 de la Guía pág. 15.
103
104
Véase la Guía en las páginas 17 y 18.
54
5. Requisitos de formación y educación: La efectividad del programa depende, en gran

medida, de “la formación y educación de todos los empleados de la organización”105 que,
para el desarrollo de sus funciones, traten datos personales. Es así que, como indica la
Guía, es importante que se imparta “una formación de carácter general sobre la materia y,
para el personal que maneje datos personales directamente, deberá existir una
capacitación complementaria”. Además, esta formación y educación en materia de
protección de datos personales “debe ser permanente”, por lo que “es importante que
exista una actualización periódica del contenido del programa.” Por último, como indica la
Guía, “[d]entro de los contratos que suscriban los empleados, es importante incluir
acuerdos de cumplimiento de las políticas internas adoptadas por los sujetos obligados.”
6. Protocolos de respuesta en el manejo de violaciones e incidentes: Lo que, con carácter

general, implica que el Programa Integral de Gestión de Datos Personales “debe involucrar
un componente de gestión de riesgos, internos y externos, que le permita identificar
vulnerabilidades a tiempo y enfocar sus recursos a la adopción de medidas de mitigación
de riesgo que minimicen dicho impacto tanto para la organización como para los titulares
de información.”106
7. Gestión de los encargados del tratamiento en las transmisiones internacionales de datos:

Al respecto, la Guía indica que deben tenerse en cuenta, entre otros aspectos, los
siguientes107:
a. Disposiciones que incluyan requisitos para que los Encargados cumplan con las
normas colombianas de protección de datos, en general, y las políticas de
tratamiento del Responsable, en particular. De la misma manera, considerar
mecanismos para que el Encargado reporte al Responsable los incidentes de
seguridad de la información.
b. Formación y educación en temas de protección de datos personales para los

empleados del Encargado que tienen acceso a la información personal.
c. Exigencia de adherencia a las políticas de tratamiento si se utilizan subcontratistas.
d. Realización de auditorías internas y/o externas.
e. Acuerdos con los Encargados y sus empleados aceptando que cumplirán con las
políticas y protocolos del Responsable del Tratamiento.
105
Apartado 2.5 de la Guía, págs. 18 y 19.
106
107
55
8. Comunicación externa: Se trata de “un procedimiento para informar” por el Responsable a

los titulares de los datos personales tanto de sus derechos como de “los programas de
control que han implementado”. Al respecto, como indica la Guía, es importante que las
comunicaciones sean “claras y comprensibles y no limitarse a una simple reiteración de la
ley.”108
Además, para asegurar la efectividad del Programa Integral de Gestión de Datos Personales, es
necesario que se realice una evaluación revisión constante. A esta cuestión le dedica una sección109
la Guía para la implementación del Principio de Responsabilidad Demostrada (Accountability), siendo
dos los aspectos fundamentales para “supervisar, evaluar y revisar” el programa y que consisten en:
1. Desarrollar un Plan de Supervisión y Revisión, y
2. Evaluar y revisar los controles del Programa.
Se trata, por tanto, de que a través de las medidas previstas en el Programa Integral o Sistema de
Gestión de Datos Personales o en cualquier instrumento adoptado e implementado por quien trata
datos personales, ya sea como responsable o encargado del tratamiento, si bien la responsabilidad
última es del primero, se pueda demostrar el cumplimiento ante todas las partes interesadas, entre
las que quedan incluidas el titular de los datos personales, la autoridad garante en materia de
protección de datos y otras autoridades competentes, tanto administrativas como judiciales, así como
accionistas, inversores u otros.
En definitiva, la adopción e implementación de este principio implica que “[l]a apuesta que hace una
organización por implementar estándares elevados de protección de datos personales en su
organización, y desarrollar un Programa Integral de Gestión de Datos Personales, genera beneficios
para la organización y se traduce en una mayor protección de datos individuos.”110
3.10.4 Responsable y encargado del tratamiento de datos personales
Aunque el responsable del tratamiento es quien tiene la responsabilidad de adoptar e implementar

las medidas necesarias para asegurar el cumplimiento en materia de protección de datos personales,
es necesario tener en consideración que el encargado del tratamiento también trata datos personales
y por tanto tiene obligación de actuar en este sentido.
Dicha obligación se extiende al encargado del tratamiento a través del instrumento jurídico, ya sea un
contrato, acuerdo, convenio, cláusula contractual u otro. Dicho instrumento jurídico permitirá, en su
caso, asegurar el cumplimiento a lo largo de toda la cadena de contratación que implique el
tratamiento de datos personales en cualquiera de las fases del mismo o a lo largo del ciclo de vida de
los datos personales.
108
109
Véase la sección IV de la citada Guía, págs. 22 y 23.
110
Véase la Guía, ya citada, en la página 7.
56
A nivel internacional, cabe mencionar que esta es una cuestión que se está planteando en relación
con algunos servicios, como por ejemplo, el cómputo en la nube y a la que también está prestando
atención la propuesta de Reglamento General de Protección de Datos en la Unión Europea.
En cuanto al cómputo en la nube, puede prestarse atención, por ejemplo, al informe publicado por la
Unidad Reguladora y de Control de Datos Personales111 sobre el Análisis de la Norma ISO/IEC
27.018 desde la perspectiva de la Protección de Datos Personales112, en el que se hace referencia al
esquema básico previsto en dicho estándar internacional113 en virtud del que el cliente de los servicios
de cómputo en la nube es considerado como responsable del tratamiento y el proveedor de dichos
servicio es el encargado del tratamiento y se indica que:
“la Ley Nº 18.331 establece en su artículo 12 específicamente la consagración del

principio de responsabilidad, por el cual el responsable de la base de datos es responsable de
la violación de las disposiciones de la presente ley. Independientemente de ello, la
responsabilidad del encargado de tratamiento también es clara en la Ley Nº 18.331 en su
artículo 35 que prevé la posibilidad de que el encargado de tratamiento sea sancionado al
igual que el responsable por el organismo de control, y en el decreto Nº 414/009 en su artículo
7º que establece la responsabilidad del encargado de tratamiento de proteger los datos
personales sometidos a tratamiento mediante las “(...) medidas técnicas y organizativas que
resulten idóneas para garantizar su integridad, confidencialidad y disponibilidad”. Finalmente,
el artículo 17 inciso final de la Ley Nº 18.331 reafirma lo antedicho al establecer: “El
destinatario quedará sujeto a las mismas obligaciones legales y reglamentarias del emisor y
éste responderá solidaria y conjuntamente por la observancia de las mismas ante el
organismo de control y el titular de los datos de que se trate”.”114
Es decir, al contratar servicios que impliquen acceso a datos personales, entre los que se encuentran
los de cómputo en la nube, el responsable debe considerar que:
“Si bien el principio de responsabilidad o rendición de cuentas (en inglés, ´accountability´) es

exigible al responsable del tratamiento174, resulta claro que en el caso de la prestación de
servicios de cómputo en la nube, esta responsabilidad o rendición de cuentas tiene también
implicaciones para el proveedor de dichos servicios, aunque sea considerado como un
encargado del tratamiento.
Un proveedor de servicios de cómputo en la nube que diseña sus servicios para que tanto él
como su cliente estén en condición de cumplir con la normatividad sobre protección de datos
personales y privacidad; adopte medidas para proteger de manera efectiva los datos
personales durante la prestación de sus servicios y, además, proporcione al cliente información
y recursos para empoderarle de manera que pueda tomar decisiones tanto en relación con la
111
Sobre la que puede verse más información en http://datospersonales.gub.uy/
112
De mayo de 2015 y disponible en http://datospersonales.gub.uy/inicio/institucional/noticias/informe+norma+iso
113
La ISO/IEC 27018 Information technology -- Security techniques -- Code of practice for protection of personally identifiable
information (PII) in public clouds acting as PII processors, es el primer estándar internacional sobre privacidad en la nube. Sobre el
mismo puede verse más información, en inglés, en http://www.iso.org/iso/catalogue_detail.htm?csnumber=61498
114
57
protección de datos personales como el cumplimiento de los requisitos aplicables a su negocio

y derivados de dicha normatividad, es fundamental175.
Unido a lo anterior, un proveedor de servicios de cómputo en la nube comprometido con la

normatividad sobre protección de datos personales no utilizará los datos personales que le ha
encomendado el cliente nada más que para la prestación del servicio, y no, por ejemplo, con
fines de publicidad u otras finalidades, lo cual pondría en riesgo al cliente de sus servicios
como consecuencia del incumplimiento y que podría implicar también la pérdida de confianza
por un uso no previsto ni legítimo de los datos personales.”115
Es así que el responsable del tratamiento, cuando decide hacer uso de los servicios de un encargado
del tratamiento para que trate datos personales en su nombre, tiene que buscar a uno que le permita,
concretando las garantías necesarias en el correspondiente instrumento jurídico, asegurar un buen
gobierno y gestión de la protección de datos personales116.
Por lo que se refiere a la propuesta de Reglamento General de Protección de Datos en la Unión

Europea, este aspecto trae causa de la Directiva 95/46/CE117 ya que en la misma, su artículo 17,
indica que “el responsable del tratamiento, en caso de tratamiento por cuenta del mismo, deberá
elegir un encargado del tratamiento que reúna garantías suficientes en relación con las medidas de
seguridad técnica y de organización de los tratamientos que deban efectuarse, y se asegure de que
se cumplen dichas medidas.”
En concreto, la versión inicial presentada por la Comisión Europea118 de la propuesta de Reglamento

General de Protección de Datos en la Unión Europea explica que “El artículo 26 aclara la posición y la
obligación de los encargados del tratamiento, basándose parcialmente en el artículo 17, apartado 2,
de la Directiva 95/46/CE y añadiendo nuevos elementos, incluido que todo encargado que trate datos
más allá de las instrucciones del responsable del tratamiento ha de ser considerado
corresponsable.”119 Y también “El artículo 29 aclara las obligaciones del responsable y el encargado
115
Maqueo Ramírez, María Solange; Moreno González, Jimena y Recio Gayo, Miguel (2014), Lineamientos de Protección de Datos en el
Cómputo en la Nube: Parámetros para su elaboración, Centro de Investigación y Docencia Académicas (CIDE), México. Pág. 53.
Disponible en https://cidecyd.files.wordpress.com/2014/09/white-paper-lineamientos-proteccion-datos-computo-nube-mx-18-sept-14-
def.pdf
116 En este sentido, referido al cómputo en la nube aunque es aplicable también a otros servicios que impliquen un tratamiento de datos
personales por un encargado del tartamiento, el Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE, al que ya se ha hecho
referencia, en su Dictamen 5/2012 sobre computación en la nube, recomienda específicamente que: “el responsable del tratamiento debe
elegir un proveedor que garantice el cumplimiento de la legislación sobre protección de datos. Debe prestarse una atención especial a las
características de los contratos, que deberán incluir una serie de garantías de protección de datos normalizadas.” Dictamen 5/2012 sobre la
computación en la nube, WP 196, adoptado el 1 de julio de 2012. Pág. 10. Disponible, en español, en la dirección de Internet
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_es.pdf
117
Ya citada.
118
Ya citada.
119
En lo sustancial, dicho artículo, conforme a la propuesta de la Comisión Europea, indica que:
“Artículo 26 Encargado del tratamiento
1. Cuando una operación de tratamiento vaya a ser llevada a cabo por cuenta de un responsable del tratamiento, este
elegirá un encargado del tratamiento que ofrezca garantías suficientes para implementar medidas y procedimientos técnicos
58
del tratamiento de cooperar con la autoridad de control.”
3.11 Privacidad desde el diseño

3.11.1 Concepto
El principio de privacidad desde o por diseño (en inglés, “privacy by default”) ha sido reconocido a
nivel internacional120, aunque el mismo no se encuentra previsto específicamente en la normativa de
muchos países. Este principio “tiene por objeto servir como aproximación de manera que los nuevos
modelos o prácticas de negocio, las especificaciones tecnológicas y las infraestructuras físicas
y organizativos apropiados, de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento y
garantice la protección de los derechos del interesado, en particular en lo que respecta a las medidas de seguridad técnica y
organizativas que rigen el tratamiento que vaya a efectuarse, y velará por que se cumplan dichas medidas.
2. La realización del tratamiento por un encargado se regirá por un contrato u otro acto jurídico que vincule al encargado del
tratamiento con el responsable del tratamiento y que disponga, en particular, que el encargado del tratamiento:
a) actuará únicamente siguiendo instrucciones del responsable del tratamiento, en particular cuando la transferencia de los
datos personales utilizados esté prohibida;
b) empleará únicamente personal que se haya comprometido a respetar la confidencialidad o esté sujeto a una obligación
legal de confidencialidad;
c) tomará todas las medidas necesarias de conformidad con lo dispuesto en el artículo 30;
d) solo recurrirá a otro encargado del tratamiento con la autorización previa del responsable del tratamiento;
e) en la medida de lo posible, y teniendo en cuenta la naturaleza del tratamiento, creará, de acuerdo con el responsable del
tratamiento, las condiciones técnicas y organizativas necesarias para permitir al responsable del tratamiento cumplir su
obligación de dar curso a las solicitudes que le dirijan los interesados en el ejercicio de sus derechos establecidos en el
capítulo III;
f) ayudará al responsable del tratamiento a garantizar el cumplimiento de las obligaciones previstas en los artículos 30 a 34;
g) transmitirá todos los resultados al responsable del tratamiento al término de este y se abstendrá de someter los datos
personales a otros tratamientos;
h) pondrá a disposición del responsable del tratamiento y de la autoridad de control toda la información necesaria para
controlar el cumplimiento de las obligaciones establecidas en el presente artículo.
3. El responsable y el encargado del tratamiento documentarán por escrito las instrucciones del responsable y las
obligaciones del encargado contempladas en el apartado 2.
4. Si un encargado del tratamiento trata datos personales sin seguir las instrucciones del responsable del tratamiento, el
encargado será considerado responsable del tratamiento con respecto a ese tratamiento y estará sujeto a las normas
aplicables a los corresponsables del tratamiento establecidas en el artículo 24.”
120
Al respecto, puede verse, por ejemplo, la Resolución sobre Privacidad por Diseño, adoptada durante la 32ª Conferencia Internacional
de Autoridades de Protección de Datos y Privacidad, celebrada en Jerusalén (Israel) del 27 al 29 de octubre de 2010. Disponible, en inglés,
en el vínculo electrónico http://www.justice.gov.il/NR/rdonlyres/F8A79347-170C-4EEF-A0AD-
155554558A5F/26502/ResolutiononPrivacybyDesign.pdf También el artículo 23 de la propuesta de Reglamento del Parlamento Europeo
y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación
de estos datos (Reglamento general de protección de datos), COM(2012) 11 final, se refiere a los principios de privacidad desde el diseño
y por defecto.
La propuesta d Reglamento general de protección de datos, presentada por la Comisión Europea el 25 de enero de 2012, puede verse en el
vínculo electrónico http://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:52012PC0011&qid=1445182738440&from=ES
Una versión en inglés, que incluye la tabla comparativa entre la propuesta de la Comisión Europea, la posición del Parlamento Europeo y
la aproximación general adoptada por el Consejo de la Unión Europea, además de los comentarios oportunos del Supervisor Europeo de
Protección de Datos puede verse en
https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2015/15-07-
27_GDPR_Recommendations_Annex_EN.pdf
59
incluyan principios de privacidad de manera que respeten el derecho fundamental a la protección de

datos personales.”121
Como explica la Dra. Ann Cavoukian, que desarrolló este principio en los años 90, la privacidad por
diseño “promueve la visión de que el futuro de la privacidad no puede ser garantizada sólo por
cumplir con los marcos regulatorios; más bien, idealmente el aseguramiento de la privacidad debe
convertirse en el modo de operación predeterminado de una organización.”122
La privacidad desde el diseño implica incluir controles relativos a la protección de datos personales
desde el momento mismo en el que se define la arquitectura de un sistema de información, un
modelo de negocio o las prácticas del mismo que impliquen el tratamiento de datos personales.
La privacidad desde el diseño se basa en siete principios fundamentales123, que son los siguientes:
Principios Fundamentales Explicación
1. Proactivo, no Reactivo; “El enfoque de Privacidad por Diseño (PbD por sus siglas en Inglés)
Preventivo no Correctivo está caracterizado por medidas proactivas, en vez de reactivas.
Anticipa y previene eventos de invasión de privacidad antes de que
estos ocurran. PbD no espera a que los riesgos se materialicen, ni
ofrece remedios para resolver infracciones de privacidad una vez
que ya ocurrieron – su finalidad es prevenir que ocurran. En
resumen, Privacidad por Diseño llega antes del suceso, no
después.”
2. Privacidad como la “Todos podemos estar seguros de una cosa – ¡Lo predeterminado
Configuración es lo que manda! La Privacidad por Diseño busca entregar el
máximo grado de privacidad asegurándose de que los datos
121 Véase el estudio de GEV, Asesores Internacionales, S.C. (2013) Privacy by Design para fomentar la figura del
encargado, Estudios del PROSOFT. Disponible en
https://prosoft.economia.gob.mx/Imagenes/ImagenesMaster/Estudios%20Prosoft/FREF_23.pdf
122
Ann Cavoukian, Privacy by Design, Los 7 Principios Fundamentales. Disponible en
https://www.privacybydesign.ca/content/uploads/2009/08/7foundationalprinciples-spanish.pdf
123
Véase la nota a pie de página anterior.
60
Predeterminada personales estén protegidos automáticamente en cualquier sistema

de IT dado o en cualquier práctica de negocios. Si una la persona
no toma una acción, aún así la privacidad se mantiene intacta. No
se requiere acción alguna de parte de la persona para proteger la
privacidad – está interconstruida en el sistema, como una
configuración predeterminada.”
3. Privacidad Incrustada en “La Privacidad por Diseño está incrustada en el diseño y la

el Diseño arquitectura de los sistemas de Tecnologías de Información y en las
prácticas de negocios. No está colgada como un suplemento,
después del suceso. El resultado es que la privacidad se convierte
en un componente esencial de la funcionalidad central que está
siendo entregada. La privacidad es parte integral del sistema, sin
disminuir su funcionalidad.”
4. Funcionalidad Total – “Privacidad por Diseñobusca acomodar todos los intereses y

“Todos ganan”, no “Si objetivos legítimos de una forma “ganar-ganar”, no a través de un
alguien gana, otro pierde” método anticuado de “si alguien gana, otro pierde”, donde se
realizan concesiones innecesarias. Privacidad por Diseño evita la
hipocresía de las falsas dualidades, tales como privacidad versus
seguridad, demostrando que sí es posible tener ambas al mismo
tiempo.”
5. Seguridad Extremo-a- “Habiendo sido incrustada en el sistema antes de que el primer

Extremo – Protección de elemento de información haya sido recolectado, la Privacidad por
Ciclo de Vida Completo Diseño se extiende con seguridad a través del ciclo de vida
completo de los datos involucrados – las medidas de seguridad
robustas son esenciales para la privacidad, de inicio a fin. Esto
garantiza que todos los datos son retenidos con seguridad, y luego
destruidos con seguridad al final del proceso, sin demoras. Por lo
tanto, la Privacidad por Diseño garantiza una administración segura
del ciclo de vida de la información, desde la cuna hasta la tumba,
desde un extremo hacia el otro.”
6. Visibilidad y “Privacidad por Diseño busca asegurar a todos los involucrados que
Transparencia – cualquiera que sea la práctica de negocios o tecnología involucrada,
Mantenerlo Abierto esta en realidad esté operando de acuerdo a las promesas y
objetivos declarados, sujeta a verificación independiente. Sus partes
componentes y operaciones permanecen visibles y transparentes, a
61
usuarios y a proveedores. Recuerde, confíe pero verifique.”
7. Respeto por la Privacidad “Por encima de todo, la Privacidad por Diseño requiere que los
de los Usuarios – arquitectos y operadores mantengan en una posición superior los
Mantener un Enfoque intereses de las personas, ofreciendo medidas tales como
Centrado en el Usuario predefinidos de privacidad robustos, notificación apropiada, y
facultando opciones amigables para el usuario. Hay que mantener
al usuario en el centro de las prioridades.”
En la práctica, este principio implica que “[d]esde una base de datos de clientes o recursos humanos,
pasando por aplicación (en inglés, ´app´), hasta una red social, son algunos ejemplos de casos en los
que la privacidad por diseño es fundamental ya que, en caso contrario, podrían darse situaciones en
las que un mal diseño o una gestión inadecuada de los datos personales dé lugar, por una parte, a
una sanción en caso de que se verifique un incumplimiento de la normatividad sobre protección de
datos personales y, por otra parte, al propio fracaso del negocio ya que los controles necesarios no
fueron considerados en el diseño del sistema de información, producto o servicio correspondiente.”124
Al respecto y como referente internacional, el apartado 1 del artículo 23 de la propuesta de

Reglamento general de protección de datos en la Unión Europea125, en la versión presentada por la
Comisión Europea, indica que:
“Habida cuenta de las técnicas existentes y de los costes asociados a su

implementación, el responsable del tratamiento implementará, tanto en el momento de la
determinación de los medios de tratamiento como en el del tratamiento propiamente dicho,
medidas y procedimientos técnicos y organizativos apropiados, de manera que el tratamiento
sea conforme con las disposiciones del presente Reglamento y garantice la protección de los
derechos del interesado.”
Es así que, considerar la protección de datos personales desde el comienzo permite fomentar la
confianza de los titulares de los datos personales y, al mismo tiempo, puede dar lugar a una ventaja
competitiva ya que una tecnología que se desarrolla o un negocio que se realiza han sido diseñados
considerando altos estándares en protección de datos personales.
Incluso cuando el principio de privacidad desde el diseño no esté expresamente previsto en la

normativa sobre protección de datos personales, es una buena práctica que debe ser considerada por
quien trata datos personales. Además, para la persona a quien se refieren los datos personales que
son tratados, el principio de privacidad desde el diseño es una indicación de que quien trata los datos
124
Privacy by Design para fomentar la figura del encargado, ya citada. Pág. 17.
125
Ya citada.
62
personales ha adoptado medidas proactivas que respeten el derecho a la protección de datos

personales.
3.12 Privacidad por defecto

3.12.1 Concepto
Otro de los principios en protección de datos personales, relevantes a nivel internacional126, es el de

privacidad por defecto (en inglés, “privacy by default”) a la que se refiere la propuesta de Reglamento
general de protección de datos, presentada por la Comisión Europea para actualizar la Directiva
95/46/CE, y que en el apartado 2 de su artículo 23 indica que:
“El responsable del tratamiento implementará mecanismos con miras a garantizar que,
por defecto, solo sean objeto de tratamiento los datos personales necesarios para cada fin
específico del tratamiento y, especialmente, que no se recojan ni conserven más allá del
mínimo necesario para esos fines, tanto por lo que respecta a la cantidad de los datos como a
la duración de su conservación. En concreto, estos mecanismos garantizarán que, por defecto,
los datos personales no sean accesibles a un número indeterminado de personas.”
Es decir, cuando el responsable del tratamiento, por ejemplo, desarrolla una aplicación (“app”), se
prepara un proyecto de negocio o se plantea cualquier otra actividad que implica el tratamiento de
datos personales, debe hacerse de manera que se asegure el derecho a la protección de datos
personales a lo largo del ciclo de vida de los mismos, en todas y cada una de las fases del
tratamiento. Se trata así de que la protección de datos personales sea considerada desde el principio,
antes de llegar a tratar los datos personales, lo que permitirá impulsar un alto nivel de protección de
datos personales generando así la confianza necesaria.
En la práctica, si por defecto, una aplicación, un vestible (en inglés, “wearable”) o un proyecto, entre
otros, ha incluido mecanismos, tales como controles, que por defecto sirvan para proteger la
protección de datos personales, se podrá asegurar mejor el derecho a la protección de datos
personales.
Aunque es un principio que no se encuentra expresamente en la normatividad sobre protección de

datos personales de países iberoamericanos, el de protección de datos por defecto se encuentra
estrechamente vinculado con el de responsabilidad (“accountability”), incidiendo en la importancia de
considerar la protección de datos personales desde el principio.
126
En concreto, véase el artículo 23 de la propuesta de Reglamento general de protección de datos en la Unión Europea, ya citada.
63
Por lo tanto, el principio de privacidad por defecto es también una muestra de compromiso con la
protección de datos personales cuando se desarrolla una aplicación, tecnología o un proyecto de
negocio que implica el tratamiento de datos personales. Es así que quien trata los datos personales
tendrá en consideración la protección de los datos personales, asegurando así el derecho a la
protección de datos personales desde el inicio de su actividad, y la persona a quien se refieren los
datos personales, su titular, encontrará en la práctica que este principio supone que el software,
aplicación, vestible o negocio, entre otros, que va a tratar los datos personales lo hace de forma
respetuosa y asegurando su derecho a la protección de datos personales.
3.13 Deberes en la protección de datos personales
3.13.1 Confidencialidad en los datos personales
La confidencialidad se refiere a guardar secreto o sigilo sobre los datos personales objeto de
tratamiento.
El informe del CJI de la OEA sobre Privacidad y Protección de Datos, ya mencionado, incluye
también como principio el deber de confidencialidad y, con carácter general, indica que “[l]os datos
personales no deben divulgarse, ponerse a disposición de terceros ni emplearse para otros
propósitos que no sean aquellos para los cuales se obtuvieron, excepto con el conocimiento o
consentimiento de la persona en cuestión o bajo autoridad de la ley.”127
En relación con este principio, el informe explica que el mismo implica que el responsable del
tratamiento “se cerciore de que no se proporcionen tales datos (ni se pongan a disposición por otros
medios) a personas o entidades excepto con el conocimiento o consentimiento de la persona
afectada, en consonancia con las expectativas razonables de la persona afectada o por mandato de
la ley.” Y también que “los datos personales no se usen con fines que sean incompatibles con el fin
original para el cual se recopilaron los datos. Estas responsabilidades emanan de la naturaleza
misma de los datos personales y no dependen de afirmaciones de las personas afectadas.”128
Las Directrices para la armonización de la protección de datos en la Comunidad Iberoamericana

indican que “quienes intervengan en cualquier fase del tratamiento de datos personales están
obligados al secreto profesional respecto de los mismos. Tal obligación subsistirá aun después de
finalizada su relación con el titular del archivo de datos.”129
Al mismo se refieren también los Estándares Internacionales sobre Protección de Datos Personales y
Privacidad, que dedican su artículo 21 al mismo indicando que “[l]a persona responsable y quienes
intervengan en cualquier fase del tratamiento de los datos de carácter personal deberán respetar la
confidencialidad de los mismos, obligación que subsistirá aun después de finalizar sus relaciones con
el interesado o, en su caso, con la persona responsable.”
127
Véase la página 11 del citado informe.
128
Págs. 11 y 12 del informe.
129
Pág. 17.
64
Como se explica en la Guía del INAI para cumplir con los principios y deberes de la LFPDPPP130, este
deber “implica la obligación de guardar secreto respecto de los datos personales que son tratados. La
confidencialidad debe cumplirse para evitar causar un daño a su titular. De no ser así, un tercero no
autorizado podría tener acceso a los datos personales.
Es así que “cuando se tratan datos personales, el responsable tiene que adoptar medidas para evitar
que quienes tengan acceso a éstos divulguen dicha información. Incluso la obligación de
confidencialidad tiene que hacerse cumplir una vez que finalice la relación contractual, laboral o de
otra naturaleza, entre el responsable del tratamiento y quien tenga acceso a los datos personales
para el desarrollo de las tareas o funciones que se le hubieran encomendado.”131
La Guía del INAI también lista las siguientes obligaciones, a cumplir y hacer cumplir por el
responsable del tratamiento, en relación con el deber de confidencialidad:
“1. Guardar confidencialidad en cualquier fase del tratamiento de los datos personales,
incluso después de finalizar la relación con el titular, y
2. Verificar que los encargados también guarden confidencialidad de los datos personales
que tratan a nombre y por cuenta del responsable, aun después de concluida la relación
con éste.”132
Por tanto, el deber de confidencialidad, que implica que el responsable del tratamiento tenga que
adoptar medidas al respecto, tiene que garantizarse a lo largo del ciclo de vida de los datos
personales, en todas las fases del tratamiento, e incluso una vez finalizado el tratamiento. A tal fin, es
conveniente que el responsable adopte e implemente tanto una política de confidencialidad como
otras medidas, tales como contratos o cláusulas contractuales a firmar con quienes intervengan en el
tratamiento de datos personales, ya sean empleados de dicho responsable o encargados del
tratamiento que le presten algún servicio.
3.13.2 Seguridad en los datos personales
La seguridad en el tratamiento de los datos personales es también una cuestión fundamental ya que
se protege, con carácter general, contra su acceso no autorizado e incluso su pérdida. Al mismo
tiempo, las medidas de seguridad que se adopten van a servir, junto con los principios y demás
deberes aplicables, para asegurar el derecho a la protección de los datos personales.
En relación con la seguridad de los datos personales, las Directrices para la armonización de la
protección de datos en la Comunidad Iberoamericana indican, con carácter general, que “[d]eberán
adoptarse las medidas técnicas y organizativas que resulten necesarias para proteger los datos
130
Ya citada.
131
Guía del INAI, ya mencionada, página 69.
132
Guía del INAI. Pág. 70.
65
contra su adulteración, pérdida o destrucción accidental, el acceso no autorizado o su uso

fraudulento.”133
Como explica, al respecto, la Guía del INAI, el deber de seguridad “se refiere a la obligación de
establecer y mantener medidas de seguridad tanto técnicas, físicas y administrativas, que permitan
proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o
tratamiento no autorizado.”134
En relación con la seguridad, el Dictamen con proyecto de Decreto por el que se expide la LFPDPPP,
indica que “la seguridad en el tratamiento de los datos de carácter personal es vital para garantizar de
forma efectiva la privacidad de las personas, estableciendo controles o medidas que impidan el
acceso indebido a la información.”135
El informe del CJI de la OEA se refiere a la seguridad como uno de los principios aplicables al
tratamiento de datos personales e indica, con carácter general, que “[l]os datos personales deben ser
protegidos mediante salvaguardias razonables y adecuadas contra accesos no autorizados, pérdida,
destrucción, uso, modificación o divulgación.”136
Dicho informe continúa explicando que:
“tienen el deber claro de tomar las medidas prácticas y técnicas que sean necesarias
para proteger los datos personales que obren en su poder o bajo su custodia (o de los cuales
sean responsables) y cerciorarse de que tales datos personales no sean objeto de acceso,
pérdida, destrucción, uso, modificación o divulgación excepto con el conocimiento o
consentimiento de la persona o de otra autoridad legítima.
La obligación específica consiste en proporcionar “salvaguardias razonables y

adecuadas”. Se basa en la consecución y el mantenimiento de un nivel apropiado de atención
en el contexto de la situación general. Por lo tanto, hay que tener en cuenta consideraciones
de proporcionalidad y necesidad.”
Y también que:
“Los datos personales deben protegerse, independientemente de la forma en que se

mantengan, por medio de salvaguardias razonablemente concebidas para prevenir que las
personas sufran daños considerables como consecuencia del acceso no autorizado a los
datos o de su pérdida o destrucción. La índole de las salvaguardias podría variar según la
sensibilidad de los datos en cuestión.
133
Pág. 17.
134
Guía ya citada, pág. 72.
135
Pág. 41 del Dictamen.
136
Pág. 12 del informe, ya citado.
66
Evidentemente, para los datos más sensibles se requiere un nivel más alto de
protección. Algunas de las razones para conferir mayor protección podrían ser, por ejemplo,
los riesgos de usurpación de la identidad, pérdidas económicas, efectos negativos en la
calificación crediticia, daños a bienes y pérdida del empleo o de oportunidades comerciales o
profesionales.
La norma no es estática. Las amenazas a la privacidad, especialmente las amenazas

cibernéticas, están evolucionando constantemente y la determinación de lo que constituye
salvaguardias “razonables y adecuadas” debe responder a esa evolución. El reto consiste en
proporcionar orientación válida a los controladores de datos, procurando al mismo tiempo que
las normas sigan siendo “tecnológicamente neutrales” y no se vuelvan obsoletas como
consecuencia de los rápidos cambios tecnológicos.
En vista de la celeridad de los cambios en el entorno actual de la información, una

práctica que hace solo unos meses era permisible podría considerarse en la actualidad como
una práctica intrusiva, riesgosa o peligrosa para la privacidad individual. Análogamente, una
restricción que haya parecido razonable hace algunos meses podría ser obsoleta o injusta a la
luz de los adelantos tecnológicos.
Por lo tanto, la determinación relativa a la existencia de “salvaguardias razonables y

adecuadas” debe basarse en los métodos y técnicas más avanzados que estén en uso en el
ámbito de la seguridad de los datos en vista de la evolución de las amenazas a la privacidad
personal. Asimismo, debe reverse y evaluarse periódicamente.”
El Dictamen con proyecto de Decreto por el que se expide la LFPDPPP explica también que “[l]as
medidas de seguridad no sólo deben referirse al funcionamiento de los sistemas de información en
que se traten y almacenen datos de carácter personal -tales como la identificación y autenticación o el
establecimiento de bitácoras, también conocidos como “logs” de acceso a los datos, entre otras-, sino
que además deben necesariamente complementarse con medidas físicas y administrativas dentro de
la organización que, por objeto, permitan el control de acceso físico a los centros de proceso de datos
o la entrada y salida de los soportes en que puedan almacenarse datos de carácter personal y la
formación de una cultura de seguridad integral.
Así, tanto la persona o entidad responsable como los encargados y terceros –estos últimos vía
contractual- deben proteger los datos de carácter personal que sometan a tratamiento mediante la
implementación de medidas técnicas, físicas y organizativas que resulten idóneas para garantizar su
integridad, confidencialidad y disponibilidad.”137
137
Pág. 42.
67
Al momento de adoptar e implementar medidas de seguridad es necesario tomar en cuenta los

siguientes factores138:
 Riesgo inherente al tipo de dato: Siendo relevante si se trata o no de datos sensibles o

especialmente protegidos.
 Consecuencias para los titulares de una vulneración: Debiendo considerar el daño o impacto
para el derecho a la protección de datos personales así como otros impactos reputacionales
y/o económicos para el titular de los datos personales.
 Sensibilidad de los datos: Si son sensibles o especialmente protegidos o no.
 Desarrollo tecnológico: Por lo que hay que atender al avance constante de la tecnología así
como los riesgos cambiantes para los datos personales derivados de ataques informáticos.
Además de estos factores, siguiendo la normatividad mexicana en materia de protección de datos, la

Guía del INAI también lista los siguientes elementos a considerar:
1. Número de titulares;
2. Vulnerabilidades previas ocurridas en los sistemas de tratamiento;
3. Riesgo por valor potencial cuantitativo y cualitativo por tratamiento no autorizado;
4. Demás factores que pueden incidir en el riesgo que resulten de otra normativa aplicable.
En cuanto a las acciones a adoptar en materia de seguridad, el Reglamento de la LFPDPPP139 lista

algunas, correspondiendo al responsable en última instancia adoptar las necesarias en atención a los
factores y elementos ya indicados. Estas acciones son:
“I. Elaborar un inventario de datos personales y de los sistemas de tratamiento;
II. Determinar las funciones y obligaciones de las personas que traten datos personales;
III. Contar con un análisis de riesgos de datos personales que consiste en identificar peligros y
estimar los riesgos a los datos personales;
IV. Establecer las medidas de seguridad aplicables a los datos personales e identificar aquéllas
implementadas de manera efectiva;
V. Realizar el análisis de brecha que consiste en la diferencia de las medidas de seguridad

existentes y aquéllas faltantes que resultan necesarias para la protección de los datos
personales;
VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes,
derivadas del análisis de brecha;
VII. Llevar a cabo revisiones o auditorías;
La Guía del INAI hace referencia a estos factores, en virtud de la normatividad aplicable en México, en particular el Reglamento de la
138
LFPDPPP.
139
Artículo 61.
68
VIII. Capacitar al personal que efectúe el tratamiento, y
IX. Realizar un registro de los medios de almacenamiento de los datos personales.”
Las medidas de seguridad deben revisarse o actualizarse, pudiendo utilizar como criterios al respecto
los indicados por el Reglamento de la LFPDPPP en su artículo 62, que son los siguientes:
“I. Se modifiquen las medidas o procesos de seguridad para su mejora continua, derivado de
las revisiones a la política de seguridad del responsable;
II. Se produzcan modificaciones sustanciales en el tratamiento que deriven en un cambio del

nivel de riesgo;
III. Se vulneren los sistemas de tratamiento, de conformidad con lo dispuesto en el artículo 20

de la Ley y 63 del presente Reglamento, o
IV. Exista una afectación a los datos personales distinta a las anteriores.”
Y en el caso de que los datos personales tratados sean sensibles, el citado artículo concluye indicando
que “los responsables procurarán revisar y, en su caso, actualizar las relaciones correspondientes una
vez al año.”
— Violaciones o vulneraciones de seguridad
En relación con la seguridad hay que considerar también, de manera específica, las violaciones o
vulneraciones de seguridad. Al respecto, el informe del CIJ de la OEA indica que:
“La incidencia creciente de intrusiones externas (“violaciones de los datos personales”),

que consisten en el acceso no autorizado a datos protegidos, suscita preocupaciones
relacionadas con la privacidad y con el ámbito penal. En muchos países, entre los cuales se
cuentan Estados Miembros de la OEA, la notificación es obligatoria por ley en esos casos. Por
consiguiente, en caso de violación de los datos, los controladores de datos podrían tener la
obligación legal de notificar a las personas cuyos datos hayan sido (o puedan haber sido)
comprometidos.
Tales notificaciones permiten a las personas afectadas tomar medidas de protección y

posiblemente tener acceso a los datos y pedir que se corrijan datos inexactos o el uso
indebido de los datos como consecuencia de su violación. Las notificaciones también podrían
ofrecer incentivos a los controladores de datos para asumir la responsabilidad, examinar las
políticas en materia de retención de datos y mejorar sus medidas de seguridad.”
En el caso de México, el artículo 20 de la LFPDPPP se refiere a las vulneraciones de seguridad,

indicando que “[l]as vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que
afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas
de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas
69
correspondientes a la defensa de sus derechos.” Dicho artículo ha sido desarrollado por los artículos
63 a 66 del Reglamento de la LFPDPPP que, entre otras cuestiones, se refieren a la notificación, la
información mínima a proporcionar al titular de los datos personales así como a las medidas
correctivas.
De producirse la vulneración, como indica la Guía del INAI “el responsable, en primer lugar, debe
analizar las causas por las cuales se presentó; y en segundo lugar, a efecto de evitar que la
vulneración se repita”140.
En definitiva, conforme indica la Guía del INAI, las medidas de seguridad implican que “el
responsable tiene las siguientes obligaciones en torno al deber de seguridad:
“1. Establecer y mantener medidas de seguridad administrativas, físicas y técnicas;
2. No adoptar medidas de seguridad menores a aquéllas que mantengan para el manejo de

su información;
3. Tomar en cuenta el riesgo inherente por tipo de dato personales; las posibles
consecuencias para los titulares por una vulneración; la sensibilidad de los datos personales
tratados y el desarrollo tecnológico;
4. Considerar las acciones que establece el artículo 61 del Reglamento de la LFPDPPP pata
la implementación y mantenimiento de las medidas de seguridad;
5. Actualizar las medidas de seguridad implementadas, cuando así se requiera, según los
criterios antes descritos;
6. Notificar a los titulares las vulneraciones de seguridad que se presenten, con la

información y en el momento antes señalados;
7. Llevar a cabo las acciones correctivas que sean necesarias.”
140
Pág. 75.
70

3 Principios y Deberes en Materia de Protección de Datos Personales PDF

Transféré par

Informations du document

Description originale:

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

3 Principios y Deberes en Materia de Protección de Datos Personales PDF

Transféré par

Droits d'auteur :

Formats disponibles

Principios y deberes en materia de

Protección de Datos Personales

INAI. (2015). Principios y deberes en materia de Protección de Datos Personales

Módulo 3. Principios y deberes en materia de

Mtro. Miguel Recio Gayo

3.1 Principios de la Protección de Datos Personales.......................................................................................5

3.2 Principio de la licitud....................................................................................................................................... 8

3.2.2 Importancia y utilidad...............................................................................................................................9

3.3 Principio de consentimiento.........................................................................................................................13

3.3.2 Importancia y utilidad.............................................................................................................................14

3.3.3 Tipos de consentimiento....................................................................................................................... 15

3.3.4 Excepciones al principio de consentimiento......................................................................................17

3.3.5 Revocación del consentimiento........................................................................................................... 18

3.4 Principio de información............................................................................................................................... 19

3.4.2 Importancia y utilidad.............................................................................................................................20

3.4.3 Aviso de privacidad................................................................................................................................21

3.4.3.1 Concepto de Aviso de privacidad.....................................................................................................21

3.4.3.2 Lineamientos del Aviso de privacidad............................................................................................. 22

3.4.3.2.1 Elementos mínimos que debe tener el Aviso de privacidad.....................................................23

3.4.3.2.2 Puesta a disposición....................................................................................................................... 25

3.5.1 Concepto de medidas compensatorias.............................................................................................. 31

3.5.4 Criterios generales para la instrumentación de Medidas compensatorias sin la autorización

3.5.5 Procedimiento para la solicitud y autorización de Medidas compensatorias............................... 34

3.6 Principio de calidad....................................................................................................................................... 36

3.6.2 Importancia y utilidad.............................................................................................................................37

3.6.3 Plazos de conservación de los datos personales.............................................................................39

3.7 Principio de finalidad.....................................................................................................................................40

3.7.2 Importancia y utilidad.............................................................................................................................41

3.7.3 Finalidad primaria...................................................................................................................................42

3.7.4 Finalidad secundaria............................................................................................................................. 42

3.8. Principio de lealtad.......................................................................................................................................44

3.8.2 Importancia y utilidad.............................................................................................................................44

3.9. Principio de proporcionalidad..................................................................................................................... 45

3.9.2 Importancia y utilidad.............................................................................................................................46

3.10. Principio de responsabilidad................................................................................................................ 47

3.10.2 Importancia y utilidad.......................................................................................................................... 49

3.10.3 Medidas para su cumplimiento..........................................................................................................51

3.10.4 Responsable y encargado del tratamiento de datos personales................................................. 56

3.11 Privacidad desde el diseño........................................................................................................................59

3.11.2 Importancia y utilidad.......................................................................................................................... 60

3.12 Privacidad por defecto................................................................................................................................63

3.12.2 Importancia y utilidad.......................................................................................................................... 63

3.13 Deberes en la protección de datos personales..................................................................................64

3.13.1 Confidencialidad en los datos personales....................................................................................... 64

3.13.2 Seguridad en los datos personales...................................................................................................65

Estos principios y deberes son los siguientes:

“Fase 1. Al momento de recabar los datos personales, el responsable está obligado a:

1. Utilizar los datos personales respetando la Ley (principio de licitud).

 Guías del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos

3.2 Principio de la licitud

12 Ya citadas. Pág. 14.

1. “Los tratamientos de datos de carácter personal se deberán realizar de manera leal,

Atendiendo a ejemplos concretos de cómo se formula o articular este principio en la normatividad,

Es decir, el principio de licitud queda reforzado también al hacer referencia a la “expectativa

1. Con pleno cumplimiento de la legalidad;

 No se recaben datos personales con dolo, mala fe o negligencia;

Por último, si se atiende a la redacción dada en México en la LFPDPPP y su Reglamento, es posible

Aspecto Art(s). Previsión normativa

I. Exista dolo, mala fe o negligencia en la información proporcionada al

III. Las finalidades no son las informadas en el aviso de privacidad.”

3.3 Principio de consentimiento

Al respecto, las Directrices para la armonización de la protección de datos en la Comunidad