Este documento proporciona una lista de verificación de los elementos que deben incluirse en un aviso de privacidad. Describe 12 secciones principales que deben abordarse, como la identidad del responsable de los datos, los datos personales tratados, las finalidades del tratamiento, los derechos de acceso de los titulares de datos, y los procedimientos para actualizar el aviso de privacidad. El objetivo es garantizar que el aviso cumpla con todos los requisitos legales para proteger adecuadamente la privacidad de los titulares de datos.

1. CHECK-LIST AVISO DE PRIVACIDAD
I. Identidad y domicilio del responsable que trata los datos personales
Señala el nombre completo cuando se trate de persona física, o en su caso la
denominación o razón social de la persona moral, así como el domicilio completo, el
cual, deberá indicar, al menos, la calle, número, colonia, ciudad, municipio o delegación,
código postal y entidad federativa, y deberá corresponder a aquél para oír y recibir
notificaciones
Buena práctica: Se podrá incluir, de manera adicional, el nombre comercial del
responsable, a través del cual es identificado o reconocido comúnmente
II. Datos personales que serán sometidos a tratamiento
Utiliza categorías que identifican los DP que tratará, cuando considere que el listado de
los DP es tan extenso, que el AP pierda eficacia para informar o lista los DP cuando se
trata de un número pequeño de datos
Señala los datos o categorías que recaba personal o directamente del titular
Señala los datos o categorías que obtiene indirectamente, por medio de fuentes de
acceso público o transferencias
Señala los datos o categorías que obtiene en forma automática por medios tecnológicos
No incluye frases inexactas, ambiguas o vagas, como “entre otros datos personales” o
“por ejemplo”
IIa. Cláusula para cuando se recaban o tratan datos obtenidos de forma indirecta
(transferencia o fuentes de acceso público)
Si se recaban o tratan datos obtenidos en forma indirecta, se incluye una declaración o
advertencia que informe al titular que tiene un plazo de cinco días hábiles para que, de
ser el caso, manifieste su negativa
III. Señalamiento expreso de los datos personales sensibles que se tratarán
Señala expresamente cuáles de los datos personales o categorías son sensibles

2. IIIa.Cláusula que indique si el titular acepta o no el tratamiento de datos personales
patrimoniales y/o datos sensibles, cuando así se requiera
Si se tratan datos patrimoniales, se incluye la cláusula de consentimiento expreso (a
menos de que exista alguna excepción válida para no solicitar el consentimiento)
Si se tratan datos sensibles, se incluye la cláusula de consentimiento expreso y por
escrito (a menos de que exista alguna excepción válida para no solicitar el consentimiento)
Ejemplo: Le informamos que para cumplir con las finalidades previstas en este aviso, serán recabados y
tratados datos personales sensibles, como aquéllos que refieren a [detallar tipo de datos personales
sensibles se están recabando].
Nos comprometemos a que los mismos serán tratados bajo medidas de seguridad, siempre garantizando
su confidencialidad.
□ Consiento que mis datos personales sensibles sean tratados conforme a los términos y condiciones del
presente aviso de privacidad.
---------------------------- [En caso de ser con firma autógrafa, Nombre y firma autógrafa del titular]
[medio de electrónico o cualquier otro que se establezca para tal efecto]
IV. Finalidades del tratamiento
El listado de finalidades descritas deberá ser completo y no utilizar frases inexactas,
ambiguas o vagas, como “entre otras finalidades”, “otros fines análogos” o “por
ejemplo”.
Se identifica y distingue entre las finalidades que dieron origen y son necesarias para la
existencia, mantenimiento y cumplimiento de la relación jurídica entre el responsable y
titular, de aquéllas que no lo son.
En caso de que se trate datos personales para fines de mercadotecnia, publicidad o
prospección comercial, incluye en el listado dichas finalidades.
V. Los mecanismos para que el titular pueda manifestar su negativa para el tratamiento
de sus datos personales para aquellas finalidades que no son necesarias, ni hayan
dado origen a la relación jurídica con el responsable
En caso de tratar datos personales con relación a las finalidades que no son necesarias para la
relación jurídica entre el responsable y titular:
Informa sobre el mecanismo que tiene implementado para que el titular pueda
manifestar su negativa
Permite que el titular manifieste su negativa previo al tratamiento de sus datos
personales o al aprovechamiento de los mismos
Ejemplos:
1) Utilizar casillas de marcado en cada finalidad
2) Si usted desea dejar de recibir mensajes promocionales de nuestra parte puede
solicitarlo a través de [teléfono, dirección, correo electrónico]

3. VI. Las transferencias de datos personales que, en su caso, se efectúen; el tercero
receptor de los datos personales, y las finalidades de las mismas
En caso de que el tratamiento involucre la transferencia nacional o internacional de datos
personales:
Lista los terceros receptores o destinatarios de los datos personales, ya sea
identificando cada uno de éstos por su nombre, denominación o razón social; o bien,
indicando su tipo, categoría o sector de actividad
Lista las finalidades que justifican las transferencias de datos personales
Distingue en las finalidades de transferencia de datos personales, entre aquéllas que
requieren del consentimiento del titular para que se realicen, de las que se puedan
llevar a cabo sin dicho consentimiento
Nota: No se está obligado a informar sobre las comunicaciones de datos personales que existan
entre éste y los encargados, lo que se reconoce como remisión
VII. La cláusula que indique si el titular acepta o no la transferencia, cuando así se
requiera
Si no transfiere datos patrimoniales, ni datos sensibles, se incluye la cláusula de
aceptación de la transferencia tácita (a menos de que exista alguna excepción válida para no solicitar
el consentimiento)
Si la transferencia involucra datos patrimoniales y/o datos sensibles, se incluye la
cláusula de consentimiento expreso (a menos de que exista alguna excepción válida para no solicitar
el consentimiento)
Ejemplo consentimiento tácito: Sus datos personales pueden ser transferidos y tratados dentro y fuera
del país, por personas distintas a [nombre del responsable]. En ese sentido, su información puede ser
compartida con [explicar el tipo de tercero], para [describir finalidades].
Si usted no manifiesta su oposición para que sus datos personales sean transferidos, se entenderá que ha
otorgado su consentimiento para ello.
□ No consiento que mis datos personales sean transferidos
Ejemplo consentimiento expreso: En virtud de que transferiremos datos personales sensibles,
requerimos de su consentimiento expreso, de conformidad con lo que establece el artículo 9 de la Ley en
cita, por lo que solicitamos indique si acepta esta transferencia:
□ Consiento que mis datos personales sensibles sean transferidos conforme a los términos y condiciones
del presente aviso de privacidad.
---------------------------- Nombre y firma autógrafa del titular
---------------------------- [medio de electrónico o cualquier otro que se establezca para tal efecto]

4. VIII. Los medios y el procedimiento para ejercer los derechos ARCO
Incluye los medios habilitados para atender las solicitudes de ejercicio de derechos
ARCO
Incluye los procedimientos establecidos para el ejercicio de los derechos ARCO; o bien,
los medios a través de los cuales el titular podrá conocer dichos procedimientos, con al
menos los siguientes elementos.
o Los requisitos, entre ellos, los mecanismos de acreditación de la identidad del
titular y la personalidad de su representante, y la información o documentación
que se deberá acompañar a la solicitud
o Los plazos dentro del procedimiento
o Los medios para dar respuesta
o La modalidad o medio de reproducción mediante la cual el titular podrá obtener
la información o datos personales solicitados a través del ejercicio del derecho
de acceso, es decir, copias simples, documentos electrónicos o cualquier otro
medio, y
o Los formularios, sistemas y otros métodos que, en su caso, el responsable haya
implementado para facilitar al titular el ejercicio de los derechos ARCO
Incluye los datos de identificación y contacto de la persona o departamento de datos
personales que dará trámite a las solicitudes
IX. Los mecanismos y procedimientos para que, en su caso, el titular pueda revocar su
consentimiento al tratamiento de sus datos personales
Incluye los medios habilitados por el responsable para atenderlas solicitudes de
revocación del consentimiento de los titulares
Incluye el procedimiento establecido para la atención de las solicitudes de revocación
del consentimiento, o bien, los medios a través de los cuales el titular podrá conocer
dicho procedimiento, con al menos los siguientes elementos:
o Los requisitos, entre ellos, los mecanismos de acreditación de la identidad del
titular y la personalidad de su representante, y la información o documentación
que se deberá acompañar a la solicitud
o Los plazos dentro del procedimiento
o Los medios para dar respuesta
Ejemplo: En todo momento usted podrá revocar el consentimiento que nos ha otorgado para el
tratamiento de sus datos personales, a fin de que dejemos de hacer uso de los mismos. Para ello, es
necesario que presente su petición en [describir procedimiento o incluir vínculo electrónico].
Su petición deberá ir acompañada de la siguiente información [requisitos del mecanismo o
procedimiento].
Tendremos un plazo máximo de [indicar los días] para atender su petición y le informaremos sobre la
procedencia de la misma a través de [describir mecanismo o incluir vínculo electrónico].
Incluye los datos de identificación y contacto de la persona o departamento de datos personales
que dará trámite a las solicitudes de revocación

5. X. Las opciones y medios que el responsable ofrece al titular para limitar el uso o
divulgación de los datos personales
Ejemplos:
o La habilitación de medios por los cuales el titular pueda manifestar su negativa
a seguir recibiendo comunicados o promociones por parte del responsable
o El registro del titular en listados de exclusión propios del responsable,
sectoriales o generales, señalando el nombre del listado, las finalidades para
las cuales es aplicable la exclusión y, en su caso, el canal habilitado por el
responsable para que el titular pueda obtener mayor información al respecto
XI. La información sobre el uso de mecanismos en medios remotos o locales de
comunicación electrónica, óptica u otra tecnología, que permitan recabar datos
personales de manera automática y simultánea al tiempo que el titular hace contacto
con los mismos, en su caso
Cuando utiliza estos mecanismos:
Informa a través de una comunicación o advertencia colocada en un lugar visible, sobre
el uso de esas tecnologías y sobre el hecho de que a través de las mismas se obtienen
datos personales
Informa la forma en que se podrán deshabilitar estos mecanismos, salvo que dichas
tecnologías sean necesarias por motivos técnicos.
XII. Los procedimientos y medios a través de los cuales el responsable comunicará a los
titulares los cambios al aviso de privacidad
Señala el medio y procedimiento implementado para dar a conocer al titular los cambios
o actualizaciones efectuados.
Con relación al procedimiento, el responsable podrá incluir este elemento en el aviso de
privacidad cuando el medio instrumentado para dar a conocer los cambios o
actualizaciones en el aviso de privacidad no se dirija directamente a cada titular, como
por ejemplo una publicación generalizada en su página de internet.

6. XIIb. Casos en los que se requiere un nuevo aviso de privacidad
El responsable estará obligado a poner a disposición de los titulares un nuevo aviso de
privacidad, cuando el responsable:
o Cambie su identidad;
o Requiera recabar datos personales sensibles, patrimoniales o financieros
adicionales a aquéllos informados en el aviso de privacidad original, cuando los
mismos no se obtengan de manera personal o directa del titular y se requiera el
consentimiento;
o Cambie las finalidades que dieron origen o son necesarias para la relación
jurídica entre el responsable y el titular; o bien, se incorporen nuevas que
requieran del consentimiento del titular, o
o Modifique las condiciones de las transferencias o se vayan a realizar
transferencias no previstas inicialmente, y el consentimiento del titular sea
necesario.
XIIc. En caso de que trate DP de menores de edad o personas que se encuentren en
estado de interdicción o incapacidad establecida por ley, requieren previsiones,
medidas y acciones especiales.
Se proponen algunos cuestionamientos para determinar si se incorpora o no dicho
elemento al Aviso de Privacidad:
o ¿Se requiere un mecanismo para obtener el consentimiento de los padres o tutores
de estos colectivos de personas?
o ¿Se requieren medios para verificar la autenticidad del consentimiento de los
padres o tutores?