Tu cliente te da su RFC, su domicilio, sus estados de cuenta. Tú los guardas, los usas para preparar su declaración y posiblemente los compartes con el SAT o con un banco. ¿Tienes un aviso de privacidad que lo cubra todo? Si sacaste uno de Google hace tres años y le cambiaste el nombre de la empresa, hay una probabilidad alta de que ese documento no valga de mucho — ni para ti ni para tu cliente.

Por qué el aviso de privacidad no es un trámite de relleno

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) lleva vigente desde 2010. El INAI tiene facultades para sancionar a cualquier empresa o profesionista que trate datos personales sin cumplir sus requisitos. Eso incluye a despachos contables, bufetes, médicos, escuelas y prácticamente cualquier negocio que recopile información de personas físicas.

Las multas van desde los 100 hasta los 320,000 días de salario mínimo, dependiendo de la infracción. Pero más allá de la sanción económica, un aviso mal redactado te deja sin defensa legal si un cliente reclama que usaste su información de manera indebida.

La buena noticia es que redactar un aviso correcto no requiere ser abogado. Sí requiere saber exactamente qué elementos van y qué no.

Elementos que sí o sí deben estar en tu aviso

La ley es bastante específica. Un aviso de privacidad completo debe incluir:

  • Identidad y domicilio del responsable: quién recopila los datos. Si eres un despacho, va la razón social o tu nombre como persona física, RFC y dirección completa.
  • Finalidades del tratamiento: para qué vas a usar la información. “Para prestar servicios contables” es demasiado vago. Especifica: preparación de declaraciones fiscales, alta en el SAT, trámites de nómina, generación de estados financieros, etcétera.
  • Datos personales que se recaban: nombre, RFC, CURP, domicilio, ingresos, datos bancarios. Si manejas datos sensibles — como información patrimonial detallada — hay obligaciones adicionales.
  • Transferencias: si compartes datos con terceros, debes decirlo. El SAT, el IMSS, el Infonavit, bancos, otros despachos subcontratados. Si no lo declaras y lo haces, estás en incumplimiento.
  • Derechos ARCO: debes explicar cómo puede el titular ejercer sus derechos de Acceso, Rectificación, Cancelación y Oposición, y proporcionar un medio de contacto (correo electrónico o formulario).
  • Mecanismo para limitar el uso o divulgación: al menos una forma en que el titular pueda restringir cómo usas su información.
  • Cómo se notificarán los cambios al aviso: si actualizas el documento, el titular tiene derecho a saberlo.

Si tu aviso actual no tiene alguno de estos puntos, necesitas corregirlo antes de seguir recopilando datos.

Lo que NO debe aparecer — y por qué el copy-paste es peligroso

Aquí está el problema con tomar el aviso de otra empresa y ajustarlo: cada organización trata datos de forma distinta. Si copias el aviso de un hospital, probablemente incluirá referencias a datos de salud que tú nunca manejas. Si lo copias de una tienda en línea, hablará de cookies y comportamiento de navegación que quizás no aplican a tu despacho.

Eso genera dos problemas concretos:

  • Inexactitud: declaras que tratas datos que no tratas, o al revés, omites datos que sí manejas. El INAI puede interpretar ambos como incumplimiento.
  • Inconsistencia con tu operación real: si tu aviso dice que no compartes datos con terceros pero resulta que sí los mandas a un software en la nube, tienes un problema legal documentado por ti mismo.

Además, algunos avisos viejos que circulan en internet todavía mencionan plazos o procedimientos que el Reglamento de la LFPDPPP o los lineamientos del INAI ya modificaron. Usarlos sin revisión es asumir un riesgo innecesario.

Otro error común: poner el aviso en un lugar donde nadie lo puede encontrar. La ley exige que sea accesible al momento en que se recaban los datos. Si tienes un formulario de contacto en tu sitio web, el aviso debe estar visible justo ahí, no enterrado en el pie de página con letra de tres puntos.

Tipos de aviso: cuál necesitas según tu operación

No todos los avisos son iguales. La norma reconoce tres tipos principales:

  • Aviso integral: el más completo, incluye toda la información requerida por ley. Recomendable para tu sitio web y para contratos con clientes.
  • Aviso simplificado: una versión corta que remite al aviso integral para el detalle. Útil cuando el espacio es limitado, como en un formulario impreso o una pantalla pequeña.
  • Aviso corto: para situaciones donde solo puedes dar información mínima, siempre con referencia a la versión completa.

Como despacho contable, lo más práctico es tener un aviso integral en tu sitio web y uno simplificado en tus contratos de servicio o en los formularios que llenas con cada cliente nuevo. Ambos deben estar sincronizados y actualizados.

Un detalle importante: si en algún momento decides ampliar los usos de los datos — por ejemplo, empezar a enviar newsletter a tus clientes cuando antes no lo hacías — necesitas actualizar el aviso y notificárselo a tus titulares. No puedes simplemente empezar a usar los datos para algo nuevo sin informarlo.

En CIFRA sabemos que redactar un aviso de privacidad correcto no es lo que más disfruta un contador — pero es lo que evita problemas costosos. Si quieres revisar el tuyo, crear uno desde cero o asegurarte de que tu despacho cumpla con la LFPDPPP, podemos ayudarte. Contáctanos y lo resolvemos juntos.

Protección de Datos
Compartir: