Sala de Prensa

31 julio, 2023
México

Datos de navegación: ¿Son datos personales?

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares establece que un dato personal es cualquier información concerniente a una persona física identificada o identificable. El Reglamento de la Ley, por su parte, establece que una persona física identificable es aquella persona física cuya identidad puede determinarse, directa o indirectamente, mediante cualquier información.

En el entorno digital, existen tecnologías que permiten recabar información de forma automática y simultánea al momento en que se hace contacto con las mismas; por ejemplo: cookies, web beacons, píxeles, plug-ins, add ons, etc. Sin embargo, a veces resulta complicado contextualizar cuál de esta información puede llegar a ser considerada un dato personal, más allá de aquéllos que resultan evidentes.

Por su parte, los Lineamientos del Aviso de Privacidad proporcionan una definición de lo que son las cookies y web beacons, así como la información que cada una de estas tecnologías pueden llegar a recabar. En un primer momento, pensaríamos que toda esta información constituye un dato personal al estar relacionado en un documento de esta naturaleza. No obstante, no debemos perder de vista que la regulación tiene por objeto proteger aquella información que permite identificar a una persona en forma individual.

En ese sentido, los hábitos de navegación no son un dato personal perse, lo serán en la medida en que puedan asociarse a una persona en particular. Por ejemplo, si se vinculan con la dirección MAC y la dirección IP que identifican de forma única a los dispositivos a través de los cuales se navega en internet.

Conforme a lo dispuesto en la normatividad de la materia, en los sitios web que se haga uso de este tipo de tecnologías, se debe incluir una advertencia visible (banner, pop-ups o notificación push), a través de la cual se informe el uso de las mismas y el hecho de que a través de ellas se obtienen datos personales, así como la forma en la que éstas pueden deshabilitarse, salvo que sean necesarias por cuestiones técnicas. Esto también debe incluirse en el aviso de privacidad, precisando además, los datos personales que recaban, las finalidades del tratamiento de los mismos, así como su eventual transferencia a terceros.

Desafortunadamente, muchos propietarios de sitios web desconocen el tipo de tecnologías que son instaladas por los desarrolladores en sus sitios web y, por lo tanto, no existe una selección de tecnologías que permita adoptar las menos intrusivas o invasivas para los usuarios. Esto también tiene como consecuencia que la información que se llega a transmitir a los usuarios sea incorrecta o incompleta y no distinga respecto a la exigencia y modalidades del consentimiento que se requiere de los usuarios.

En otras jurisdicciones existe regulación específica respecto al uso de tecnologías, no sólo desde el enfoque de protección de datos personales, sino también en pro de la privacidad e intimidad de los usuarios, como la Ley de Cookies o Directiva ePrivacy de la Unión Europea, exigiendo que sólo se recaben datos personales después de que los usuarios hayan dado su consentimiento explícito para fines específicos.

Mientras en México aún estamos construyendo un camino de concientización sobre este tema ante la falta de criterios interpretativos por parte de la autoridad reguladora que aclaren y refuercen el alcance del marco normativo respecto al tratamiento de datos personales en línea; la tendencia del mercado de la publicidad digital es la implementación progresiva de medidas de seudonimización o anonimización de datos. Es el caso que Google anunció el lanzamiento de su política de cookieless que conlleva un nuevo modelo de navegación sin cookies de terceros para 2024.

________

Área de Compliance & Data Privacy de ECIJA México

socios.mexico@ecija.com

(+52 55) 56 62 68 40

www.ecija.com

 

 

SOCIOS RELACIONADOS

Joaquín Rodríguez

Berenice Sagaón