La siguiente tabla hace referencia general e introductoria a los principios y las obligaciones que, exclusivamente conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la «Ley de Protección de Datos») y su Reglamento—vigentes en México—,[1] un Responsable[2] debe cumplir cuando recabe y trate datos personales de sus empleados y candidatos a empleados:
| 1. | Principio de información | Asegurar la transparencia frente al empleado sobre qué datos personales se recabarán, para qué y por qué serán tratados, qué transferencias de datos serán aplicables, qué procedimiento deben seguir para ejercer sus derechos ARCO, entre otras cuestiones. Lo anterior se debe realizar mediante la elaboración y puesta a disposición de los titulares (en este caso, los empleados y candidatos a empleados) de un aviso de privacidad que cumpla con la Ley de Protección de Datos . Durante este proceso deberá realizarse la evaluación y análisis de cumplimiento con los principios de licitud, finalidad y proporcionalidad de los datos a recabarse, así como determinar la base legal para su tratamiento[3]—determinar la normatividad aplicable al tratamiento de datos para asegurar que éste es consistente con aquélla, determinar cuáles son los datos estrictamente necesarios para la relación laboral (que no requieren cumplir con el principio de consentimiento del titular), cuáles no son necesarios (que pueden sí requerir el consentimiento), asegurar que las finalidades informadas sean determinadas y adecuadas, así como determinar de qué fuentes se obtendrán los datos personales (p. ej., directamente del titular, información publicada en internet o redes sociales, información obtenida a través de agencias de reclutamiento, entre otros)—. De manera similar, deberá analizarse y determinarse cuáles son las posibles transferencias de datos aplicables que serán necesarias (que no requieren consentimiento del titular)—p. ej. transferencias de datos a sociedades del grupo corporativo, autoridades fiscales, laborales y de seguridad social, tribunales laborales en caso de controversia—, y en su caso las no necesarias para la relación laboral (que sí podrían requerir consentimiento). |
| 2. | Principio de responsabilidad | Adoptar medidas para garantizar el debido tratamiento de datos (seguridad, confidencialidad, integridad, accesibilidad y resiliencia de los datos), lo cual debe englobar y ser consistente con el cumplimiento de los demás principios. Como parte de dichas medidas, se encuentran las siguientes: Contar con una política o programa de privacidad obligatorio y exigible al interior de la organización, incluyendo mecanismos para su cumplimiento y sanción, así como procedimientos para su revisión y actualización periódica, y destinar recursos para su implementación.Implementar programas de capacitación, actualización y concientización del personal sobre las obligaciones en esta materia.Establecer un sistema de supervisión y vigilancia internas, verificaciones o auditorías externas para comprobar el cumplimiento de las políticas y la normatividad.Establecer medidas administrativas y técnicas para la seguridad de los datos personales y garantizar el cumplimiento de la normatividad.Establecer procedimientos para recibir y responder dudas y queja de los titulares (incluyendo solicitudes de derechos ARCO), así como para atender requerimientos de información o atención de procedimientos por parte de las autoridades.Procedimientos para la contratación de terceros que traten datos personales por cuenta del responsable. Respecto a este punto, también deberán existir acuerdos por escrito en donde se establezcan las obligaciones en esta materia a cargo del prestador de servicios respectivo y sus limitaciones en cuanto al tratamiento de datos que realice. En la práctica, esto podría resolverse a través de la inclusión de declaraciones y una cláusula de protección de datos en el contrato de prestación de servicios respectivo o en un documento por separado. |
| 3. | Principio de calidad | Contar con procedimientos internos documentados para asegurar que los datos recabados son correctos y actualizados, con el fin de evitar que se afecte al titular en caso contrario. Como parte de lo anterior, deberá determinarse cuáles son los plazos de conservación de los datos para cumplir con las finalidades del tratamiento, considerando, en este caso y por ejemplo, la legislación fiscal, laboral y de seguridad social aplicable. Lo anterior debe incluir cuáles serán los procedimientos aplicables a ello, así como para bloquear y suprimir de forma segura los datos cuando dejen de ser necesarios. |
| 4. | Principio de lealtad | Contar con procedimientos que procuren el tratamiento de los datos personales privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad (p. ej., no utilizar medios engañosos o fraudulentos para tratar los datos), así como asegurar que los datos únicamente serán tratados para las finalidades informadas (y/o consentidas) en el aviso de privacidad. |
[1] En total, los principios a observar son ocho, cada uno con reglas y consideraciones propias: licitud, finalidad, proporcionalidad, información, calidad, lealtad, consentimiento y responsabilidad. Sin embargo, únicamente para facilitar su entendimiento y aplicación práctica, en este documento se consideran los principios de licitud, finalidad, proporcionalidad y consentimiento como parte del proceso de cumplimiento del principio de información.
[2] «Responsable» significa toda persona física o moral de carácter privado que decide sobre el tratamiento de datos personales.
[3] Véase la primera nota al pie de este documento.
Este documento contiene aquellos aspectos que, a juicio del autor son los más relevantes desde un punto de vista informativo y formativo. Respecto a la aplicación concreta para casos específicos, por favor realice una consulta formal a Privacidad Para Todos. Salvo el contenido público o no protegible por tratarse de imágenes públicas y referencias a o contenido normativo en este documento, la marca Privacidad Para Todos y su logo, las ideas y la organización de la información contenidos en y transmitidos a través de este documento pertenecen a Privacidad Para Todos. El contenido de este documento se licencia bajo el tipo de licencia Creative Commons «Atribución/Reconocimiento-NoComercial-CompartirIgual 4.0 Internacional (CC BY-NC-SA 4.0)»: https://creativecommons.org/licenses/by-nc-sa/4.0/legalcode.es.