Si la ley de datos personales tuviera que reducirse a dos entregables concretos que cualquier empresa puede (y debe) tener, serían estos: un aviso de privacidad de verdad, y un mecanismo para atender los derechos ARCO. Son lo mínimo visible del cumplimiento en materia de datos, y también lo que más se resuelve mal —con un documento copiado a medias de internet—.
Aviso: este artículo es orientación general con fines educativos, no asesoría legal. El marco regulatorio y las autoridades en México han estado en cambio; para obligaciones concretas de tu empresa, verifica el estado vigente con un especialista legal.
El aviso de privacidad: decir qué haces con los datos
El aviso de privacidad es el documento con el que le informas a una persona qué datos suyos recabas, para qué los usas, con quién los compartes, y cómo puede ejercer sus derechos. No es un formalismo decorativo: es la materialización del principio de información —la persona tiene derecho a saber qué pasa con sus datos antes de dártelos—. Suele haber versiones de distinto detalle (una integral y completa, y una corta para el punto donde recabas), y va donde ocurre la recolección: tu sitio web, tus formularios, tus contratos.
El error más común: bajar un aviso genérico de internet, pegarle el nombre de la empresa y sentirse cumplido. Un aviso que no describe tus datos, tus finalidades y tu canal de contacto real es incumplimiento disfrazado de cumplimiento —papel que no protege a nadie—.
ARCO: los cuatro derechos de las personas sobre sus datos
ARCO es el acrónimo de los cuatro derechos que una persona tiene sobre los datos que tienes de ella:
- A — Acceso: saber qué datos suyos tienes y cómo los usas.
- R — Rectificación: corregir datos incorrectos o desactualizados.
- C — Cancelación: pedir que elimines sus datos cuando proceda.
- O — Oposición: negarse a que uses sus datos para ciertos fines.
La empresa tiene la obligación de poder atender estas solicitudes, lo que en la práctica significa: un canal claro para recibirlas (típicamente un correo o un formulario, indicado en tu aviso), un proceso interno para responderlas en tiempo, y un responsable de hacerlo. No basta con que exista el derecho; tiene que existir la puerta para ejercerlo.
Los derechos ARCO: Acceso, Rectificación, Cancelación y Oposición. No basta con que existan: la empresa debe tener la puerta para ejercerlos.
Lo mínimo, en concreto
Para una PyME, el piso realista es: un aviso de privacidad propio y verdadero (adaptado a lo que de verdad haces), un canal de contacto ARCO que funcione, y un responsable de datos que sepa qué hacer cuando llegue una solicitud. Es alcanzable y es exactamente lo que se revisa primero ante cualquier duda de cumplimiento.
La idea que se queda
El aviso de privacidad (decir qué haces con los datos) y el mecanismo ARCO (acceso, rectificación, cancelación, oposición) son lo mínimo visible del cumplimiento de datos, y el aviso genérico copiado a medias no cuenta. Un aviso real, un canal de derechos que funcione y un responsable: ahí empieza. Verifica los requisitos vigentes con un especialista. Parte del cumplimiento en cristiano.