Presentación de PowerPoint - pikitdigital.net · La filtración ha revelado cómo personas...

Ley Federal de Protección de Datos Personales en Posesión de los Particulares

Derechos reservados Pikit Digital, S.A. de C.V.

¿Por qué proteger los datos personales?



ROBO DE IDENTIDAD

En días pasados, la Procuraduría de la Defensa del Contribuyente (Prodecon) dio a conocer el caso de una joven de Nayarit, víctima de este delito, a la que le imputaron un adeudo fiscal por un monto de mil 800 millones de pesos.

De acuerdo con la Procuraduría, se trata del caso de suplantación de identidad cuyo monto es el más alto del que se tenga registro en el país y cuyo proceso inició en 2006, cuando los delincuentes falsificaron la credencial de elector de la joven.

Posteriormente, la joven fue dada de alta en el RFC como comerciante al por mayor en productos farmacéuticos, con destilación y venta de grandes volúmenes de alcohol etílico, para lo cual proporcionaron un domicilio fiscal que le era totalmente ajeno.

Finalmente, abrieron una cuenta de cheques en una institución bancaria y durante 2009 hicieron depósitos por cerca de 800 millones de pesos, conducta que fue observada por el Servicio de Administración Tributaria (SAT).

Excelsior. 24 de enero de 2016


FILTRACIÓN DE DATOS

CIUDAD DE MÉXICO.- El Instituto Nacional Electoral (INE) confirmó que el padrón electoral de México de 87.4 millones de ciudadanos, correspondiente al 2015 -con nombres y domicilios-fue puesto a disposición de los usuarios a través del servicio en la nube de Amazon, con sede en Estados Unidos.El Financiero22 de abril de 2016


FILTRACIÓN DE DATOS

¿Cómo se obtuvieron los documentos?A través de una entrega de 2.6 terabytes de información confidencial de la firma panameña de abogados Mossack Fonseca por parte de una fuente anónima al periódico alemán SuddeutscheZeitung, quien lo compartió con el Consorcio Internacional de Periodistas de Investigación.La filtración ha revelado cómo personas adineradas y poderosas usan los paraísos fiscales para ocultar su riqueza.


SECUESTRO DE DATOS

Wanna Cry (12 de mayo de 2017)- Más de 150 países atacados- Más de 200 000 usuarios afectados- México, el país más golpeado en

América Latina

Petya o ExPetr (27 de junio de 2017)- Algunos países atacados: Ucrania, Rusia, Francia, Dinamarca, y Estados Unidos


Las campañas de Spear-Phising (robo de datos) aumentaron 55% de 2015 a 2016.

Canieti

Las bandas de ciberdelincuentes tienen gente dedicada a buscar en la basura estados de cuenta y tarjetas bancarias para robar identidades, así como rastros de operaciones bancarias en los equipos de los llamados cafés internet.

El Financiero

Las empresas no cuentan con la suficiente información sobre la ley de protección de datos y su seguridad ante ataques cibernéticos.

Es recomendable adquirir un seguro de protección de datos frente a las consecuencias financieras de la fuga de información o un error de la gestión de datos en relación con la Ley Federal de Protección de Datos Personales en Posesión de Particulares.

Semanario Vanguardia


El robo de identidad o el fraude cibernético creció 89% al pasar de 836 mil 532 quejas en el primer semestre de 2016 contra un 1 millón 577 mil 987 para (igual periodo de) 2017. En materia de fraude tradicional, pasaron de un millón 835 mil 409 a un millón 762 mil 677.

Condusef

México ocupa el octavo lugar a nivel mundial 67% es por pérdida de documentos 63% es por robo de cartera y portafolios 53% es por información tomada de una tarjeta

bancaria


Ley Federal de Protección de Datos Personales en Posesión de los Particulares

ASPECTOS LEGALES


Antecedentes

De 1919 a 2018 (RGPD)El antecedente de la protección de datos personales es el surgimiento dela figura del derecho a la intimidad, que fue el origen del derecho deautodeterminación informativa regulada en 1919 por la Constitución deWeimar

Organismos internacionales, como Naciones Unidas, OEA, APEC, ODCE, laUNIÓN EUROPEA, la Red Iberoamericana de Protección de Datos, la Agenciaespañola de Protección de Datos, Electronic Privacy Information Center,Asociación Francófona de Autoridades de Protección de Datos Personales,European Privacy Officers Network, Electronic Privacy Information Center, entreotros, se han dado a la tarea de desarrollar foros, encuentros y convencionesinternacionales que motiven la generación de un marco normativo para laprotección de datos personales.

Fuente.- La LFPDPPP en MéxicoMtra. Claudia Maldonado OteroAcervo de la Bibiloteca Jurídica Virtual


Antecedentes

Entrada en vigor el 25 de mayo de 2018. Los responsables que obtengan y traten datos personales de

personas físicas que radiquen en la Unión Europea (en adelante, UE), deberán cumplir con diversas disposiciones legales, aún y cuando su domicilio esté fuera de la UE (por ejemplo, México).

Si una empresa constituida bajo las leyes de alguno de los Estados miembros de la UE cuenta con una subsidiaria o filial con domicilio fuera de la UE, se entiende que compone -junto con la subsidiaria- un “Grupo Empresarial”. En razón de ello, tanto a la compañía constituida en el Estado Miembro como las subsidiarias o filiales les es aplicable el GDPR,independientemente de donde estén ubicadas.

Las empresas establecidas fuera del territorio de la UE que pretendan realizar negocios con la información de personas dentro de la UE, o que utilicen datos personales para elaborar perfiles por medio de herramientas de seguimiento -como las cookies– son considerados responsables por el GDPR. En consecuencia, si no cumplen con sus disposiciones, pueden verse involucrados en supuestos de sanción.


Antecedentes

Las oficinas diplomáticas de la UE se sujetarán a las disposiciones del GDPR. Lo que adquiere importancia para las empresas en México, así como para los residentes europeos dentro de su territorio. (embajadas, misiones diplomáticas u oficinas consulares de los Estados Miembros en los denominados “terceros países”).

Cuando el responsable del tratamiento de datos personales tenga su establecimiento fuera de la UE, debe designar por escrito a un representante en alguno de los de los Estados Miembros de la UEel que se estén tratando los datos.

La sanción por falta de cumplimiento a las obligaciones referidas con las transferencias internacionales impondría una multa de carácter administrativo que podría alcanzar los 20,000,000 EUR (Veinte millones de euros 00/100, moneda de curso legal en la UE) como máximo; o bien, tratándose de una empresa, lo equivalente al 4% (cuatro por ciento)del negocio anual global del ejercicio financiero anterior.

Fuente.- El impacto del RGPD en MéxicoLuis Mario Lemus


Antecedentes

Artículo 6.- Toda persona tiene derecho al

libre acceso a la información plural y

oportuna, así como a buscar, recibir y

difundir información e ideas de toda índole

por cualquier medio de expresión.

II.- La información que se refiere a la vida

privada y los datos personales será protegida

en lo términos y con las excepciones que

fijen las leyes.

Constitución Política de los Estados Unidos Mexicanos


Antecedentes

Artículo 16.- Toda persona tiene derecho a la

protección de sus datos personales, al

acceso, rectificación y cancelación de los

mismos, así como a manifestar su oposición,

en los términos que fije la ley, la cual

establecerá los supuestos de excepción a los

principios que rijan el tratamiento de datos,

por razones de seguridad nacional,

disposiciones de orden público, seguridad y

salud públicas o para proteger los derechos

de terceros.

Constitución Política de los Estados Unidos Mexicanos


La Ley y su Reglamento

Art. 1.- La presente ley es de orden público y de

observancia general en toda la República y

tiene por objeto la protección de los datos

personales en posesión de los particulares, con

la finalidad de regular su tratamiento legítimo,

controlado e informado, a efecto de garantizar

la privacidad y el derecho a la

autodeterminación informativa de las personas.

FECHA DE PUBLICACIÓN: 5 DE JULIO DE 2010

LEY


La Ley y su Reglamento

Art. 1.- El presente ordenamiento tiene por

objeto reglamentar las disposiciones de la

Ley Federal de Protección de Datos

Personales en Posesión de los Particulares.

FECHA: 21 DE DICIEMBRE DE 2011

REGLAMENTO


¿ A quiénes aplica?


¿ A quiénes no aplica?


Los protagonistas


Ámbito de aplicación

Responsable y encargado en territorio mexicano

Encargado a nombre de un responsable en territorio mexicano

Responsable. Se le aplica la legislación mexicana por la celebración de un contrato o en términos del derecho internacional

Encargado. Les son aplicables las medidas de seguridad contenidas en el reglamento


Definición de dato personal

Nombre

Domicilio

Teléfono

Correo electrónico

Fotografía, etc.



-¿Bueno!? ¿Pizzas Gordon?

- No señor, Pizzas Google

- Perdón, está equivocado, lo siento.

- No señor, Google compró a Gordon.

- Ah, ok. Por favor tome mi orden.

- Muy bien, ¿Quiere la de siempre?

- ¿La de siempre? ¿Usted me conoce?

- De acuerdo a nuestra hoja de identificación de llamadas, las últimas 12

veces usted ordenó la pizza con varios quesos, salsa y orilla gruesa.

- Ok. está bien.

- Permítame sugerirle en esta ocasión la pizza con queso ricotta, arúgula y

tomate deshidratado.

- ¿Qué? Odio los vegetales

- Su colesterol no está bien, señor.

- ¿Cómo lo sabe?

- Hemos cruzado el número telefónico de su línea fija con su nombre a través

de guía de suscriptores. Tenemos el resultado de sus pruebas de sangre de los

últimos 7 años.

- OK, pero no quiero esa pizza, estoy tomando mi medicina.



- Discúlpeme, pero no se está medicinando regularmente. Según nuestra

base de datos, en los últimos 4 meses usted sólo ha comprado una caja con

30 tabletas para el colesterol. La compra la efectuó en la farmacia Tu Salud

es Primero.

- Compré más tabletas en otra farmacia.

- Eso no es lo que se muestra en su estado de cuenta de la tarjeta bancaria.

- Pagué al contado

- Pero usted no retiró dinero suficiente de acuerdo con su estado de cuenta

bancaria.

- Tengo otra fuente de ingresos.

- Esto no es compatible con su última declaración de impuestos, a menos

que usted haya usado una fuente de ingresos no declarada.

- ¡Qué demonios!

-Lo siento, sr., le puedo asegurar que usamos esa información con la única

intención de ayudarlo.

- ¡Ya basta! Estoy harto de Google, Facebook, Twitter, Whatsapp. Me iré a

una isla sin Internet, TV de paga, y en donde no haya líneas para teléfonos

celulares y así nadie me pueda espiar.

-Lo entiendo, Sr. , pero primero necesita renovar su pasaporte, pues éste expiró hace 5 semanas.


Datos personales sensibles


El INAI y los metadatos

1.- Un particular solicitó a AT&T el acceso a sus datos recabados por obligación del art. 190 de la Ley Federal de Telecomunicaciones y Radiodifusión.2.- El INAI confirmó que los datos recolectados por las operadoras por obligación del art. 190 son datos personales (metadatos de los servicios de telecomunicaciones móviles).3.- El INAI obligó a AT&T a entregar completa la información al titular de los datos.4.- El INAI ordenó iniciar un proceso de imposición de sanciones a AT&T por su presunta negligencia en la tramitación de solicitud de acceso.

El Art. 190 determina que los operadores deben recabar y conservar durante 24 meses los datos sobre las comunicaciones de sus clientes.


El INAI y los metadatos

A pesar de que las personas no se dan cuenta de todas las implicaciones de un seguimiento continuo de su ubicación a través del uso de su teléfono, puede ser extremadamente sensible debido a su tendencia a revelar las relaciones personales, como las identidades de las personas que viven o pasan la noche juntos; las prácticas religiosas, amistades y asociaciones, consultas médicas, la participación en organizaciones y eventos políticos, y muchas otras relaciones y actividades de la vida diaria. Si bien algunas de estas cosas podrían ser descubiertas o reveladas por otros medios, el seguimiento de localización puede revelar de manera sistemática y en gran escala cosas como la hora de crear un registro de todos los dispositivos móviles que estuvieron presentes en una reunión política o de reclamación (social)”, dijo Katitza Rodríguez, directora de Derechos Internacionales en la Electronic Frontier Foundation (EFF).


Tratamiento de datos personales


Principio de Consentimiento

Tácito

Expreso


Principio de Licitud


Principio de Lealtad


Principio de Información


Principio de Calidad

Los datos deben ser

exactos, completos,

pertinentes, actualizados

y correctos.


Principio de Finalidad

El tratamiento deberá

limitarse al cumplimiento

de las finalidades previstas

en el aviso de privacidad.

Las finalidades deben ser

específicas y no en lo

general.


Principio de Proporcionalidad

El tratamiento será el que

resulte necesario, adecuado y

relevante en relación con las

finalidades previstas en el aviso

de privacidad.

El periodo de tratamiento de

los datos personales será el

mínimo indispensable.


Principio de Responsabilidad



Establecer y mantener

medidas de seguridad

Administrativas

Técnicas

Físicas



Administrativas

-Gestión, soporte y revisión de

la seguridad de la información.

-Identificación y clasificación

de la información.

-Formación y capacitación del

personal.



Físicas

Acciones para prevenir el acceso no

autorizado, el daño o interferencia a

las instalaciones físicas, áreas críticas

de la organización, equipo e

información.

Proteger los equipos móviles situados

dentro o fuera de las instalaciones.



Físicas

Proveer a los equipos que contienen

o almacenan datos personales de

un mantenimiento que asegure su

disponibilidad, funcionalidad e

integridad.

Garantizar la eliminación de datos de

forma segura.



TécnicasControles para que el acceso a las

bases de datos lógicas o a la

información en formato lógico sea por

usuarios identificados y autorizados con

base en las actividades del usuario con

motivo de sus funciones.

Llevar a cabo la gestión de

comunicaciones y operaciones de los

recursos informáticos que se utilicen en

el tratamiento de datos personales.



El responsable deberá adoptar medidas para garantizar

el debido tratamiento, privilegiando los intereses del

titular y la expectativa razonable de privacidad.


Vulneraciones de seguridad

I. La pérdida o destrucción no autorizada.

II. El robo, extravío o copia no autorizada.

III. El uso, acceso o tratamiento no autorizado.

IV. El daño, la alteración o modificación no autorizada.



Análisis

Corrección

Análisis



El Responsable

informará al

Titular cuando

ocurra una

vulneración.

¿Que, Qué?


Acciones para la seguridad de los datos personales

Artículo 61 (Reglamento). A fin de establecer y mantener la

seguridad de los datos personales, el responsable deberá

considerar las siguientes acciones:

I. Elaborar un inventario de datos personales y de los sistemas

de tratamiento;

II. Determinar las funciones y obligaciones de las personas que

traten datos personales;

III. Contar con un análisis de riesgos de datos personales que

consiste en identificar peligros y estimar los riesgos

a los datos personales;

IV. Establecer las medidas de seguridad aplicables a los datos

personales e identificar aquéllas implementadas

de manera efectiva;


Acciones para la seguridad de los datos personales

V. Realizar el análisis de brecha que consiste en la diferencia de

las medidas de seguridad existentes y aquéllas

faltantes que resultan necesarias para la protección de los datos

personales;

VI. Elaborar un plan de trabajo para la implementación de las

medidas de seguridad faltantes, derivadas del

análisis de brecha;

VII. Llevar a cabo revisiones o auditorías;

VIII. Capacitar al personal que efectúe el tratamiento, y

IX. Realizar un registro de los medios de almacenamiento de los

datos personales.

El responsable deberá contar con una relación de las medidas de

seguridad derivadas de las fracciones

anteriores.


El Oficial de Seguridad

Todo responsable deberá designar a una

persona, o departamento de datos personales,

quien dará trámite a las solicitudes de los

titulares, para el ejercicio de los derechos a

que se refiere la presente Ley. Asimismo

fomentará la protección de datos personales al

interior de la organización .Art.- 30 LFDPDPPP


Cómputo en la nube

Por cómputo en la nube se entenderá al modelo de

provisión externa de servicios de cómputo bajo demanda,

que implica el suministro de infraestructura, plataforma o

software, que se distribuyen de modo flexible, mediante

procedimientos de virtualización, en recursos compartidos

dinámicamente.

El proveedor debe tener y aplicar políticas de protección de

datos personales afines a los principios y deberes aplicables

que establece la Ley y el presente Reglamento.Art. 52 del Reglamento.


Derechos ARCO


Derechos ARCO

Acceso

Rectificación

Cancelación

Oposición


Derechos ARCO

AccesoEl titular tiene derecho a

obtener del responsable sus

datos personales, así como

información relativa a las

condiciones y generalidades del

tratamiento.


Derechos ARCO

Rectificación

El titular podrá solicitar en

todo momento al

responsable que rectifique

sus datos personales que

resulten ser inexactos o

incompletos.


Derechos ARCO

CancelaciónEl titular podrá solicitar en todo

momento al responsable la

cancelación de los datos personales

cuando considere que los mismos no

están siendo tratados conforme a los

principios y deberes que establece la

Ley y su Reglamento.


Derechos ARCO

Oposición

El titular podrá, en todo

momento, oponerse al

tratamiento de sus datos

personales o exigir que se

cese en el mismo.


Derechos ARCO(r)

Revocación del

Consentimiento

¿Sé cómo

cumplir con el

principio de

INFORMACIÓN?


El Aviso de Privacidad

Artículo 15.- El responsable

tendrá la obligación de

informar a los titulares de

los datos, la información

que se recaba de ellos y con

qué fines, a través del aviso

de privacidad.



¿Qué debe contener?

La identidad y domicilio del responsable

que los recaba.

Las finalidades del tratamiento de datos.

Las opciones y medios que el responsable

ofrezca a los titulares para limitar el uso o

divulgación de los datos.




Los medios para ejercer los derechos de

acceso, rectificación, cancelación u

oposición, de conformidad con lo

dispuesto en esta Ley.

En su caso, las transferencias de datos

que se efectúen.

El procedimiento y medio por el cual el

responsable comunicará a los titulares de

cambios al aviso de privacidad, de

conformidad con lo previsto en esta Ley.




En el caso de datos

personales sensibles, el

aviso de privacidad

deberá señalar

expresamente que se

trata de este tipo de

datos.


El Aviso de Privacidad (modalidades)

Aviso corto

1. La identidad del responsable.

2. El domicilio del responsable.

3. Las finalidades del

tratamiento, sin que sea

necesario distinguir las

finalidades secundarias o

accesorias.

4. Los mecanismos para que el

titular conozca el aviso de

privacidad integral.



Aviso simplificado 1. La identidad y domicilio del

responsable.

2. Las finalidades del tratamiento,

distinguiendo las que dieron origen y

son necesarias para la relación

jurídica entre titular y responsable,

de las que no lo son.

3. Los mecanismos para que el titular

pueda manifestar previamente su

negativa para el tratamiento de sus

datos personales respecto de aquellas

finalidades secundarias o accesorias.

4. Los mecanismos para que el titular

conozca el aviso de privacidad

integral.



Aviso integral

1. La identidad y domicilio del responsable; 2. Los datos personales que serán

sometidos a tratamiento; 3. El señalamiento expreso de los datos personales

sensibles que se tratarán; 4. Las finalidades del tratamiento; 5. Los mecanismos

para que el titular pueda manifestar su negativa para el tratamiento de sus datos

personales para aquellas finalidades que no son necesarias, ni hayan dado origen a

la relación jurídica con el responsable; 6. Las transferencias de datos personales

que, en su caso, se efectúen; el tercero receptor de los datos personales, y las

finalidades de las mismas; 7. La cláusula que indique si el titular acepta o no la

transferencia, cuando así se requiera; 8. Los medios y el procedimiento para

ejercer los derechos ARCO; 9. Los mecanismos y procedimientos para que, en su

caso, el titular pueda revocar su consentimiento al tratamiento de sus datos

personales; 10. Las opciones y medios que el responsable ofrece al titular para

limitar el uso o divulgación de los datos personales; 11. La información sobre el uso

de mecanismos en medios remotos o locales de comunicación electrónica, óptica u

otra tecnología, que permitan recabar datos personales de manera automática y

simultánea al tiempo que el titular hace contacto con los mismos, en su caso, y 12.

Los procedimientos y medios a través de los cuales el responsable comunicará a los

titulares los cambios al aviso de privacidad.


INAI

El Instituto, tiene por objeto

difundir el conocimiento del

derecho a la protección de datos

personales en la sociedad mexicana,

promover su ejercicio y vigilar por la debida observancia de la Ley.


INAI

Algunas atribuciones

Emitir los criterios y

recomendaciones, de conformidad

con las disposiciones aplicables de

esta Ley, para efectos de su

funcionamiento y operación.

Conocer y resolver los

procedimientos de protección de

derechos y de verificación señalados

en esta Ley e imponer las sanciones

según corresponda.Art. 128 El Instituto podrá iniciar el

procedimiento de verificación

Art.- 129 Este proceso se iniciará de

oficio o a petición de parte (Reglamento

de la LFPDPPP).


INAI

Apercibimientos y multas

I. El apercibimiento para que el responsable lleve

a cabo los actos solicitados por el titular, en los

términos previstos por la Ley.

II. Multa de 100 a 160,000 días

de salario mínimo vigente en el

Distrito Federal, en los casos

previstos en las fracciones II a VII

del artículo 63.

160,000 x $80.04= $12,806,400.00


INAI

Multas

III. Multa de 200 a 320,000 días de salario

mínimo vigente en el Distrito Federal, en los

casos previstos en las fracciones VIII a XVIII del

artículo 63.

320,000 x $80.04= $25,612,800.00


INAI

Multas

Art.64 fracción IV.- En caso de que de manera reiterada persistan

las infracciones citadas en los incisos anteriores, se impondrá una

multa adicional que irá de 100 a 320,000 días de salario mínimo

vigente en el Distrito Federal. En tratándose de infracciones

cometidas en el tratamiento de datos sensibles, las sanciones

podrán incrementarse hasta por dos veces, los montos

establecidos.

$25,612,800.00 x 2=

$ 51,225,600.00


INAI

Multas

Artículo 67.- Se impondrán de tres meses a tres años de prisión al que estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia. Artículo 68.- Se sancionará con prisión de seis meses a cinco años al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos. Artículo 69.- Tratándose de datos personales sensibles, las penas a que se refiere este Capítulo se duplicarán.

10 AÑOS


INAI

Algunos castigados

Más de $ 28,000,000.00

$ 41,874.00$ 8,726,200.00

$ 1,246,600.00 $ 2,000,045.04 $ 2,493,200.00 $ 2,181,550.00


Difusión de resoluciones

Artículo 57.- Todas las resoluciones del Instituto serán

susceptibles de difundirse públicamente en versiones

públicas, eliminando aquellas referencias al titular de los

datos que lo identifiquen o lo hagan identificable.

Artículo 58.- Los titulares que consideren que han

sufrido un daño o lesión en sus bienes o derechos como

consecuencia del incumplimiento a lo dispuesto en la

presente Ley por el responsable o el encargado, podrán

ejercer los derechos que estimen pertinentes para

efectos de la indemnización que proceda, en términos de

las disposiciones legales correspondientes.


Otras consideraciones

El Instituto fundará y motivará sus resoluciones, considerando: I. La naturaleza del dato; II. La notoria improcedencia de la negativa del responsable, para realizar los actos solicitados por el titular, en términos de esta Ley; III. El carácter intencional o no, de la acción u omisión constitutiva de la infracción; IV. La capacidad económica del responsable, y V. La reincidencia.

OTRA VEZUNA VEZ OTRA VEZ

¿Y

ENTONCES?


OTRA VEZ

AVISO DE PRIVACIDAD

¿ES

SUFICIENTE?


OTRA VEZ

AVISO DE PRIVACIDAD

- ¿Qué datos tengo,

- cuántos son,

- dónde están,

- están seguros,

- cuál es su ciclo de

vida?

- Cumplimiento de los

Principios.

- Atención a Derechos

ARCO.

- Medidas técnicas,

físicas y administrativas.

- Políticas y programas

de privacidad.

- Capacitación.

- Nombramiento de la

persona o departamento

encargado del

tratamiento de datos.


OTRA VEZ


OTRA VEZ

LA CONSECUENCIA


OTRA VEZ

Roberto Vidal [email protected] 5577 8061Móvil.- 04455 1815 1032

mailto:[email protected]

Presentación de PowerPoint - pikitdigital.net · La filtración ha revelado cómo personas...

Documents

Transcript of Presentación de PowerPoint - pikitdigital.net · La filtración ha revelado cómo personas...