La importancia del aviso de privacidad de datos personales en la práctica fiscal

Obligaciones legales sobre privacidad de datos y herramientas para generar

Fiscalia - C.I.F.

Publicación institucional de Fiscalia, Centro de Información Fiscal.

Para conocer más sobre Fiscalia, visita esta dirección.

Herramientas

Escuchar este artículo:

La creciente facilidad con la que los individuos pueden interactuar y contratarse con otras personas provoca que olvidemos la importancia de los datos personales involucrados en esta transacción de servicios o productos. Los contadores, abogados y, en general, profesionales de la materia fiscal, en el desarrollo de su profesión, utilizan diversos datos como RFC, CURP y domicilio de sus clientes, así como información aún más sensible tal como los ingresos de una persona, sus cuentas bancarias, claves, contraseñas, firmas electrónicas y, en general, su patrimonio. Por ello, como profesionales del área fiscal es indispensable identificar las obligaciones que se deben cumplir en materia de protección de datos personales y así garantizar la seguridad a la cual tienen derecho los clientes.

Marco legal de la protección de datos personales
La jurisdicción en materia de datos personales es “concurrente”, es decir, “tanto la federación como las entidades federativas ‘concurren’ en esta materia”. No obstante, corresponde a la federación legislar en torno a la materia de datos personales en posesión de personas en el sector privado.

En ese sentido, el marco legal que regula el tratamiento de datos personales dentro del sector privado es el siguiente:

  • Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP)
  • Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Se reitera que la Ley General De Protección de Datos Personales en Posesión de Sujetos Obligados vincula únicamente a las entidades del sector público[1].

¿Con quién tengo la obligación de proteger sus datos personales?
Resalta que únicamente se tiene esta obligación del tratamiento de datos personales con personas físicas. Por tanto, si bien es importante el cuidado de toda la información de las personas relacionadas al despacho del profesional fiscal, la ley vela primordialmente por el cuidado de aquellos que liguen a una persona física identificada o identificable.

En ese sentido, un profesional del área fiscal debe aplicar la ley de protección de datos personales primordialmente a:

  • Clientes
  • Trabajadores

Cabe agregar que el Artículo 5 del Reglamento de la LFPDPPP indica que, si la persona que proporciona sus datos lo hace en su carácter de comerciante o profesionista, no se está obligado a aplicar la protección, en términos legales, de sus datos personales. Por ejemplo, si un proveedor comparte su cuenta bancaria para que se le efectúe un depósito, no es necesario presentarle un aviso de privacidad ya que la información que comparte lo hace en su carácter de proveedor y no de cliente.

Dicho lo anterior, esta nota se concentra principalmente en la protección de datos personales de los clientes.

Aviso de privacidad: una obligación central
El aviso de privacidad es una de las diversas obligaciones en el tema de protección de datos personales. No obstante, es de las más características y la que permite iniciar en la regulación de este tema.

Como responsables de datos personales, los profesionistas del área fiscal están obligados a poner a disposición del cliente los avisos de privacidad que correspondan a los tratamientos de datos que lleven a cabo.

El aviso de privacidad contiene, entre otras cosas, los siguientes datos:

  • Identidad y domicilio del responsable que trata los datos personales
  • Datos personales que serán sometidos a tratamiento
  • Finalidades del tratamiento
  • Mecanismos para que el titular pueda manifestar su negativa para el tratamiento de datos personales para aquellas finalidades que no son necesarias
  • Transferencias de datos personales que, en su caso, se efectúen
  • Medios y procedimiento para ejercer los derechos ARCO (acceso, rectificación, cancelación u oposición al tratamiento de sus datos personales)
  • Mecanismos para revocar consentimiento

El Aviso de Privacidad se puede presentar en tres modalidades [2]:

  • Integral
  • Simplificado
  • Corto

Principalmente, las modalidades del aviso de privacidad se diferencian de acuerdo con el contenido de elementos que las componen y su obligatoriedad. El aviso integral contiene todos los elementos que legalmente debe contener un aviso de privacidad, mientras que el aviso simplificado y corto contienen menos elementos y deben referir al aviso integral.

Adicionalmente, cada una de las modalidades se diferencia por modo y momento en que se obtiene la información del cliente. Con información de la Guía del INAI, los avisos se diferencian de la siguiente forma:

Modalidad ¿Cuándo se pone a disposición?
Integral Cuando los datos se obtengan personalmente del titular, por ejemplo, en una entrevista presencial.
Simplificado Cuando los datos se obtienen de manera directa del titular, por ejemplo, el registro en una página de Internet o cuando se recaban datos vía telefónica.
Corto Cuando el espacio para dar a conocer el aviso de privacidad sea limitado y los datos personales recabados sean mínimos, ejemplo, un mensaje SMS.


Genera tu aviso de privacidad a través de la plataforma del INAI
El INAI proporciona una plataforma gratuita para generar un aviso de privacidad. Para ello es necesario generar una cuenta con correo electrónico. Una vez dentro, el portal permite elaborar avisos de privacidad integrales, simplificados y cortos. Para ello, acuda a la siguiente liga: https://generador-avisos-privacidad.inai.org.mx/

Una vez dentro, seleccione “Generador de avisos de privacidad. Sector Privado”.

Si bien la mecánica es más sencilla que iniciar desde cero, hay algunos puntos que pudieran generar incertidumbre. En ese sentido, se responden algunas partes clave con respecto a los profesionales del área fiscal.

Como profesionista del área fiscal, ¿qué datos obtengo de mis clientes?
Parte de las mejores prácticas de la protección de datos personales consiste en identificar el inventario de datos que se tenga a disposición. Se puede asumir que un profesionista del área fiscal cuenta, al menos, con los siguientes datos de sus clientes:

  • Nombre completo
  • Domicilio
  • RFC
  • CURP
  • Teléfono celular y particular
  • Correo electrónico
  • Edad
  • Puesto o cargo que desempeña el cliente
  • Cuentas bancarias
  • Información fiscal, financiera y patrimonial

Legalmente, estos datos enlistados no se consideran datos sensibles. Serán datos sensibles “aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste”. La ley señala, en particular, que se consideran datos sensibles aquellos que puedan revelar aspectos como:

  • origen racial o étnico
  • estado de salud presente y futuro
  • información genética
  • creencias religiosas, filosóficas y morales
  • afiliación sindical
  • opiniones políticas
  • preferencia sexual

Cabe resaltar que la firma electrónica se realiza a partir de los datos biométricos de contribuyente. Por lo mismo, será necesario interpretar si la naturaleza de este archivo le categoriza como un dato sensible.

¿Qué uso doy a los datos personales de mis clientes?
Es importante ser preciso con las actividades que se realizan con los datos del cliente. Por mencionar algunas, un profesional del área fiscal pudiera realizar lo siguiente:

  • Emitir las declaraciones de impuestos federales y estatales de la persona titular de los datos personales
  • Expedir y obtener las facturas relacionados a los ingresos y gastos de la persona titular de datos personales
  • Emitir opinión profesional en torno a la situación fiscal del titular de datos personales
  • Realizar los trámites requeridos ante la autoridad fiscal federal
  • Comunicarse con el titular de datos personales de manera periódica para informar sobre el cumplimiento de las obligaciones convenidas.
  • Usar la información del titular de datos personales para enviar promociones respecto a servicios de práctica profesional.

Esta lista no es exhaustiva y no debe considerarse como una recomendación de lo que un aviso de privacidad debe llevar; son actividades que comúnmente los profesionales del área fiscal pudieran realizar con la información de su cliente y, por ello, sirven de apoyo para identificar qué actividad desempeña cada persona dentro de su despacho.

La autoridad fiscal ¿es considerada como un tercero para fines de protección de datos personales?
De acuerdo con el Artículo 36 de la Ley, cuando el responsable pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos del encargado, deberá comunicar a éstos el aviso de privacidad y las finalidades a las que el titular sujetó su tratamiento.

Dicho esto, el Servicio de Administración Tributaria (SAT) y las demás autoridades (aduanas, IMSS, INFONAVIT), ¿configuran como tercero? La ley define como tercero a “la persona física o moral, nacional o extranjera, distinta del titular o del responsable de los datos”. Por lo tanto, sí, el SAT y las demás autoridades, sí configuran como un tercero.

Para reforzar el punto, la Guía del INAI marca como ejemplo de transmisión a un tercero cuando “un patrón o una empresa (responsable del tratamiento) que comunica datos personales de sus trabajadores al Instituto Mexicano del Seguro Social (tercero), para el cálculo de la pensión”. Por lo tanto, la guía considera a una autoridad gubernamental como un tercero el cual se informa dentro de la autoridad fiscal.

¿Debo obtener consentimiento expreso de mis clientes de usar sus datos personales?
En términos generales, se puede interpretar que el contrato de prestación de servicios se considera una relación jurídica. En ese sentido, en términos de la fracción IV, Artículo 10 de la LFPDPPP[3] no es preciso obtener consentimiento para el tratamiento de datos personales.

Cabe resaltar que, de no existir una relación jurídica, es preciso tener consentimiento expreso del cliente con respecto al uso de sus datos financieros o patrimoniales, en acuerdo con el penúltimo párrafo del Artículo 8 de la LFPDPPP [4].

Para reforzar lo anterior, la Guía del INAI ejemplifica una relación jurídica por la cual no hay que solicitar consentimiento del titular de los datos con la relación entre un doctor y paciente.

Notas finales
El tema de protección de datos personales es relativamente novedoso y complejo para los profesionistas del área fiscal. Será necesario que cada uno conozca sus obligaciones en el área, que busque mejorar sus sistemas de seguridad e identifique sus responsabilidades legales. En Fiscalia próximamente se seguirá de cerca este tema con un enfoque a los profesionales fiscales y sus actividades.

____________
Notas al pie

[1] Párrafo cinco del Artículo 1 del ordenamiento: “Son sujetos obligados por esta Ley, en el ámbito federal, estatal y municipal, cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos público”

[2] El contenido del aviso de privacidad integral está contemplado en el Artículo 16 de la LFPDPPP. Por su parte, el aviso simplificado y corto están fundamentados en la fracción II del Artículo 17 de la LFPDFPP y en el Artículo 27 del Reglamento de la LFPDFPP, respectivamente.

[3] Artículo 10.- No será necesario el consentimiento para el tratamiento de los datos personales cuando:
[…]
IV. Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable

[4] Los datos financieros o patrimoniales requerirán el consentimiento expreso de su titular, salvo las excepciones a que se refieren los artículos 10 y 37 de la presente Ley.

Acceso libre expirado

¡Lo sentimos! El período de acceso libre a la lectura de esta publicación ha terminado. Te invitamos a que te suscribas a Fiscalia y no te quedes sin acceso a esta útil información.