REGULACIÓN EN MATERIA DE PROTECIÓN DE DATOS PERSONALES EN POSESIÓN DE PARTICULARES LINA GABRIELA...

REGULACIÓN EN MATERIA DE PROTECIÓN DE DATOS

PERSONALES EN POSESIÓN DE PARTICULARES

LINA GABRIELA ORNELAS NÚÑEZPROFESORA INVESTIGADORA ASOCIADACENTRO DE INVESTIGACIÓN Y DOCENCIA ECONÓMICAS (CIDE)

2

¿QUÉ ES LA PROTECCIÓN DE DATOS?

Derecho fundamental del titular

Obligación de quien trata datos personales

3

PLAN DE EXPOSICIÓNPrimera parte

• Conceptos básicos– Titular– Datos personales – Bases de datos– Tratamiento– Responsable y encargado del tratamiento– La persona o departamento de datos personales– Otras definiciones

• ¿Por qué tengo que seguir las instrucciones internas en el tratamiento de datos personales?

– El objeto de la normatividad sobre protección de datos– Conocer los riesgos que implica el tratamiento de datos personales– Necesidad de evitar sanciones– Consecuencias en casos de incumplimiento para los empleados

• Los principios a observar en el tratamiento de datos personales– Responsabilidad– Licitud– Consentimiento– Información– Calidad– Finalidad– Lealtad– Proporcionalidad

4

CONCEPTOS


5

TITULAR

Persona física a quien

corresponden los datos personales.

Los clientes de la empresa, seguidores

en redes sociales, contactos, etc.

Tú, tu espos@, tus hij@s,

amig@s, etc.

6

TITULAR

TITULAR

De los datos

personales

De los derechos

ARCO

7

DATOS PERSONALES

Datos personales

Cualquier información concerniente a una persona física identificada o identificable.

Datos personales sensibles

Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste.

8

DATOS PERSONALES

Datos Personales

Número de teléfono

Dirección postal

E-mail

Cualquier información

concerniente a una persona física

identificada o identificable.

Nombre y

apellidos

9

DATOS PERSONALES

Una dirección de e-mail, ¿es un dato personal?

10

DATOS PERSONALES

Los datos personales podrán estar expresados en forma: • numérica, • alfabética, • gráfica, • fotográfica, • acústica o • de cualquier otro tipo, • concerniente a una persona física

identificada o persona física identificable.

11

DATOS PERSONALES SENSIBLES

Origen racial o étnico

Estado de salud presente

y futuro

Información genética

Opiniones políticas

Afiliación sindical

Creencias religiosas,

filosóficas y morales

Preferencia sexual

12

DATOS PERSONALES SENSIBLES

Que me haya lesionado un pie, ¿es un dato sensible?

13

BASES DE DATOS

Medidas de seguridad aplicables.

14

BASES DE DATOS

Conj

unto ordenado

Criterio lógico

Datos personales

Cualquier información concerniente a una persona física identificada o identificable.

Trata

mi

ento

Por cualquier medio.

15

BASES DE DATOS

Clientes

Empleados (RR.HH.)

Agenda de contactos (Marketing

)

Proveedores que sean

personas físicas

Colaborado-res

externos

16

TRATAMIENTO

De datos personales

ObtenciónUso

DivulgaciónAlmacenamiento

El uso abarca cualquier acción de:

- Acceso,- Manejo,

- Aprovechamiento,- Transferencia,- Disposición de

datos.

Por cualquier medio

17

TRATAMIENTO DE DATOS PERSONALES

Verlo

s en p

antalla

.

Obtener datos personales mediante

un formulario electrónico o en papel.

Imprimir documentos.

Crear una base de

datos.

Enviar un e-mail que contenga un

archivo con datos personales.Remitirlos al encargado

del tratamiento. Transferir datos a las autoridades competentes.

Cumplimentar un contrato.

Rec

tifica

r dat

os

inco

rrec

tos.

Borrar datos.

18

RESPONSIBLE DEL TRATAMIENTO

Persona física o moral.

De carácter privado.

Que decide.

Sobre el tratamiento.

19

RESPONSABLE DEL TRATAMIENTO

Decide sobre el

tratamiento de los datos personales.

Empleados

Clientes

Otros

20

RESPONSABLE DEL TRATAMIENTO

Departamento de

Recursos Humanos

No decide sobre el tratamiento

Trata datos para cumplir sus funciones como parte del

responsable

El responsable es la empresa o asociación

Otros Departamen

tos

Misma situación (Marketing, Jurídico, etc.)

21

ENCARGADO DEL TRATAMIENTOTrata datos personales.

Por cuenta del responsable.

22

RESPONSABLE Y ENCARGADO

Responsable del tratamiento Encargado del tratamiento

Decide sobre el tratamiento de datos personales.

No decide.

Trata datos personales por cuenta del responsable.

Da instrucciones al encargado. Tiene que seguir las instrucciones del responsable.

Empresa que presta servicios a la asociación,

tales como almacenamiento de bases

de datos, contador externo, asistencia técnica, etc.

23

PERSONA O DEPARTAMENTO DE DATOS PERSONALES

PersonaDepartamento• Específico

Departamento• TI• Asuntos Legales• RR.HH.• Marketing• Otros

24


Persona o departament

o

Fomentará la protección de

datos al interior de la organización

Dará trámite a las solicitudes de ejercicio de

derechos ARCO

25


Procedimiento mediante el cual los datos personales

No pueden asociarse al titular

Ni permitir, por su estructura, contenido o grado de

desagregación, la identificación del mismo

26


Recomendaciones del IFAI para la Designación de la Persona o

Departamento de Datos Personales http://

inicio.ifai.org.mx/DocumentosdeInteres/privacidadresponsable.pdf

http://inicio.ifai.org.mx/DocumentosdeInteres/privacidadresponsable.pdf



27

PERSONA O DEPARTAMENTO DE DATOS PERSONALES (IFAI)

Funciones en materia de atención de solicitudes de derechos:

1. Establecer y administrar procedimientos para la recepción, tramitación, seguimiento y atención oportuna de las solicitudes para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, así como para la atención de quejas o solicitudes presentadas por los titulares relacionadas con las políticas y/o prácticas de protección de datos personales desarrolladas por la organización, y 2. Monitorear los avances o cambios legislativos en materia de privacidad y protección de datos personales que pudieran impactar en los ejes rectores y acciones desarrolladas en este tema al interior de la organización, haciendo las adecuaciones necesarias.

28

PERSONA O DEPARTAMENTO DE DATOS PERSONALES (IFAI)

Funciones en materia de fomento de la protección de datos al interior de la organización:

1. Diseñar y ejecutar una política y/o prácticas de protección de datos personales al interior de la organización, o bien, adecuar y mejorar las prácticas ya existentes en el marco de la Ley; 2. Alinear esta política y/o prácticas -incluyendo sus objetivos, acciones estratégicas, líneas de acción, asignación de roles y responsabilidades generales y específicas y un procedimiento y plazos de implementación- a los procesos internos de la organización que demanden o aprovechen información personal; 3. Desarrollar un mecanismo para evaluar la eficacia y eficiencia de esta política y/o prácticas; 4. Monitorear y evaluar los procesos internos de la organización vinculados con la obtención, uso, explotación, conservación, aprovechamiento, cancelación y transferencia de datos personales, a fin de asegurar que la información sea protegida, tratada conforme a los principios de la Ley y respetada; 5. Colaborar y coordinar acciones con otras áreas de la organización como la legal, de tecnologías, sistemas, seguridad de la información, mercadotecnia, atención al cliente, recursos humanos, entre otras, a efecto de asegurar el debido cumplimiento de la política y/o prácticas de privacidad en sus procesos internos, formatos, avisos, recursos y gestiones que se lleven a cabo; 6. Asegurar que la política y/o prácticas de protección de datos personales cumplan con la Ley y demás normatividad aplicable; 7. Difundir y comunicar la política y/o prácticas de protección de datos personales implementadas al interior de la organización, así como capacitar a todo el personal sobre las mismas; 8. Fomentar una cultura de protección de datos personales orientada a elevar el nivel de concienciación del personal y terceros involucrados, como encargados, en el tratamiento de datos personales; 9. Monitorear el cumplimiento de la política y/o prácticas de protección de datos personales de las sociedades subsidiarias o afiliadas bajo el control de común de la organización o cualquier sociedad del mismo grupo del responsable que opere y le sean aplicables estas prácticas; 10. Identificar e implementar mejores prácticas relacionadas con la protección de datos personales; 11. Promover la adopción de esquemas de autorregulación, y 12. Ser el representante de la organización en materia de protección de datos personales ante otros actores.

29

TRANSFERENCIA Y REMISIÓN

TRANSFERENCIA

REMISIÓN

30

TRANSFERENCIA Y REMISIÓN

TRANSFERENCIA REMISIÓNToda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento.

La comunicación de datos personales entre el responsable y el encargado, dentro o fuera del territorio mexicano.

31

FUENTE DE ACCESO PÚBLICOAquellas bases de datos cuya consulta puede ser realizada por cualquier persona.

Sin más requisito que, en su caso, el pago de una contraprestación.

De conformidad con lo señalado por el Reglamento de esta Ley.

32

FUENTE DE ACCESO PÚBLICO

I. Los medios remotos o locales de comunicación electrónica, óptica y de

otra tecnología, siempre que el sitio donde se encuentren los datos

personales esté concebido para facilitar información al público y esté abierto a

la consulta general.

II. Los directorios

telefónicos en términos de la

normativa específica.

III. Los diarios, gacetas o boletines

oficiales, de acuerdo con su

normativa.

IV. Los medios de

comunicación social.

33

¿POR QUÉ TENGO QUE SEGUIR LAS INSTRUCCIONES INTERNAS?


34

OBJETO DE LA NORMATIVIDAD

LFPDPPP y su Reglamento

FinalidadRegular su tratamiento legítimo, controlado e

informado

Garantizar la privacidad y el derecho a la autodeterminación

informativa de las personas

ObjetoProtección de los datos personales en

posesión de los particulares

35

TRATAMIENTO

LegítimoControladoInformado

36

RIESGOS QUE IMPLICA EL TRATAMIENTO

Sancione

sEconómicas

Mala imagen

Pérdida de clientes

Otros

Para el responsable y quienes tratan datos personales

37

SANCIONES

Admi

nistrativas

Multas económicas previstas en la LFPDPPP

Civiles

Exigencia de responsabilidad civil al responsable en caso de incumplimiento que cause un daño al titular

Penal

es

Exigencia de responsabilidad penal (cárcel) en caso de que se cometa un delito tipificado en la Ley

38

SANCIONES EN LA LFPDPPP

100 días de salario mínimo vigente (@ 64.76 pesos) = 6476 pesos

320,000 días de salario mínimo vigente = 20,723,200 pesos Mínimo

Máximo

39

SANCIONES EN LA LFPDPPP

Datos sensibles

Los montos podrán

incrementarse hasta por dos

veces

Total = 41,446,400

pesos

40

EVITAR SANCIONES

Una multa podría

suponer la quiebra de la

empresa

La multa hace que los clientes pierdan

confianza

Una multa significa que la

empresa no cumple con la

legalidad

La empresa podría pedir

responsabilidades a quien cometió la infracción

41

CONSECUENCIAS PARA LOS EMPLEADOS

Perder la confianza del patrón

Exigencia interna de

responsabilidad

Pérdida de oportunidades de ascensos,

mejoras económicas,

etc.

Despido

42

PRINCIPIOS A OBSERVAR EN EL TRATAMIENTO DE DATOS

PERSONALES


43

PRINCIPIOS DE LA PROTECCIÓN DE DATOS

Principios

Responsa-bilidad

Licitud

Consenti-miento

Informa-ciónCalidad

Finalidad

Lealtad

Proporcio-nalidad

44

RESPONSABILIDAD

Entre las medidas que podrá adoptar el responsable se encuentran por lo menos las siguientes:I. Elaborar políticas y programas de privacidad obligatorios y exigibles al interior de la organización del responsable;II. Poner en práctica un programa de capacitación, actualización y concientización del personal sobre las obligaciones en materia de protección de datos personales;III. Establecer un sistema de supervisión y vigilancia interna, verificaciones o auditorías externas para comprobar el cumplimiento de las políticas de privacidad;IV. Destinar recursos para la instrumentación de los programas y políticas de privacidad;V. Instrumentar un procedimiento para que se atienda el riesgo para la protección de datos personales por la implementación de nuevos productos, servicios, tecnologías y modelos de negocios, así como para mitigarlos;VI. Revisar periódicamente las políticas y programas de seguridad para determinar las modificaciones que se requieran;VII. Establecer procedimientos para recibir y responder dudas y quejas de los titulares de los datos personales;VIII. Disponer de mecanismos para el cumplimiento de las políticas y programas de privacidad, así como de sanciones por su incumplimiento;IX. Establecer medidas para el aseguramiento de los datos personales, es decir, un conjunto de acciones técnicas y administrativas que permitan garantizar al responsable el cumplimiento de los principios y obligaciones que establece la Ley y el presente Reglamento, oX. Establecer medidas para la trazabilidad de los datos personales, es decir, acciones, medidas y procedimientos técnicos que permiten rastrear a los datos personales durante su tratamiento.

45

LICITUDPrincipio de licitud

Con apego a la Ley.

Cumpliendo los principios de la protección de datos personales.

46

LICITUD

Actuación fraudulenta o engañosa

I. Exista dolo, mala fe o negligencia en la información proporcionada al titular sobre el tratamiento;

II. Se vulnere la expectativa razonable de privacidad del titular;

III. Las finalidades no son las informadas en el aviso de privacidad.

47

LICITUD

¿Qué ocurre si se han obtenido datos personales mediante engaño?

48

LICITUDTratamiento ilícito

Comisión de infracciónDar tratamiento a los datos personales en contravención a los principios establecidos en la Ley (fracción IV del artículo 63 de la LFPDPPP)

Otras sanciones (pérdida de clientes, etc.)

Obtener datos personales mediante

engaño

49

CONSENTIMIENTO

Definición

Manifestación de la voluntad del titular de los datos mediante la cual se efectúa el tratamiento de los mismos.

Validez

Cosentimiento informado

Legitimación

Es uno de los principios de la LFPDPPP, si bien se considera la causa principal legitimadora del tratamiento.

Inequívoco

En el caso del consentimiento expreso, de manera que existan elementos que indubitablemente demuestren su consentimiento.

50

CONSENTIMIENTO

Opt-out Opt-inRegla genera

l

Excepción

51

CARACTERÍSTICAS DEL CONSENTIMIENTO

Li

bre

Sin que medie error, mala fe, violencia o dolo, que puedan afectar la manifestación de voluntad del titular

Específico

Referido a una o varias finalidades determinadas que justifiquen el tratamiento

Infor

mado

Que el titular tenga conocimiento del aviso de privacidad previo al tratamiento a que serán sometidos sus datos personales y las consecuencias de otorgar su consentimiento

52

FORMAS DEL CONSENTIMIENTO

CONSENTIMIENTO

TácitoExpreso• Verbal• Por escrito

53

FORMAS DEL CONSENTIMIENTO

CRITERIO UTILIZADO

PARA DETERMINAR

QUÉ FORMA ES NECESARIA

NATURALEZA DE LOS DATOS PERSONALES

TRATADOS

54

CONSENTIMIENTO EXPRESO

I. Lo exija una ley o reglamento;

II. Se trate de datos financieros o patrimoniales;

III. Se trate de datos sensibles;

IV. Lo solicite el responsable para acreditar el mismo, o

V. Lo acuerden así el titular y el responsable (art. 15 del Reglamento de la Ley).

55

CONSENTIMIENTO

¿Siempre es necesario el consentimiento?

56

CONSENTIMIENTO

No será necesario el consentimiento para el tratamiento de los datos personales cuando (art. 10 de la LFPDPPP): I. Esté previsto en una Ley; II. Los datos figuren en fuentes de acceso público; III. Los datos personales se sometan a un procedimiento previo de disociación; IV. Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable; V. Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes; VI. Sean indispensables para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la Ley General de Salud y demás disposiciones jurídicas aplicables y que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente, o VII. Se dicte resolución de autoridad competente.

57

CONSENTIMIENTO

Las transferencias nacionales o internacionales de datos podrán llevarse a cabo sin el consentimiento del titular cuando se dé alguno de los siguientes supuestos (art. 37 de la LFPDPPP): I. Cuando la transferencia esté prevista en una Ley o Tratado en los que México sea parte; II. Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios; III. Cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas; IV. Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero; V. Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia; VI. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y VII. Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.

58

REVOCACIÓN DEL CONSENTIMIENTO

Por el titular

Sin que se le atribuyan efectos

retroactivos

En cualquier momento

59


¿Siempre se puede revocar el consentimiento dado para el

tratamiento de datos personales?

60


No, si una disposición legal lo impide

Es decir, obliga al responsable a tratar los datos personales

61

PRUEBA DEL CONSENTIMIENTO

La carga de la prueba recae siempre sobre el responsable.

62

INFORMACIÓN

Información al titular de los datos.

Aviso de Privacidad.

63

AVISO DE PRIVACIDAD

Documento físico, electrónico o cualquier otro

formato

Generado por el responsable que

es puesto a disposición del

titular

Previo al tratamiento de

sus datos personales

64

CARACTERÍSTICAS

Sencillo

Expresado en lenguaje

claro y comprensibl

e

Con una estructura y diseño que facilite su

entendimiento

Con información necesaria

65

CONTENIDO MÍNIMO

I. La identidad y domicilio del responsable que los recaba;II. Las finalidades del tratamiento de datos;III. Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos;IV. Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición, de conformidad con lo dispuesto en esta Ley;V. En su caso, las transferencias de datos que se efectúen,VI. El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad, de conformidad con lo previsto en esta Ley.

66

CONTENIDO MÍNIMO

En el supuesto de que se traten datos personales sensibles, deberá indicarse expresamente tal

circunstancia

67

PUESTA A DISPOSICIÓN

• Obtenidos directamente del titular:– Personalmente del titular– Directamente del titular por cualquier medio electrónico,

óptico, sonoro o visual, o a través de cualquier otra tecnología

• Obtenidos indirectamente del titular:– En el primer contacto que se tenga con el titular cuando los

datos personales sean:* Tratados para una finalidad prevista en la transferencia

consentida.* Obtenidos de una fuente de acceso público.

– Previo al aprovechamiento de los datos personales:* Cuando el responsable pretenda utilizar los datos

personales para una finalidad distinta a la consentida, es decir, tenga lugar un cambio de finalidad.

68

INFORMACIÓN

Resolución Nº PS/0002/12, de 14 de noviembre de 2012. Infractor:

Pharma Plus, S.A. de C.V.

http://consultas.ifai.org.mx/SesionesspDP/Cohttp:/consultas.ifai.org.mx/descargar.php?r=./pdf/resoluciones/2012/&a=PS%202.pdfnsultaspDP




69

INFORMACIÓN

Infracción Art. de la LFPDPPP Monto Días de salario mínimo

Contravenir el principio de información en el tratamiento de datos personales

63, fracción IV $1,500,033.78 24,066 días

Omitir el elemento de identidad en el aviso de privacidad

63, fracción V $500,011.26 8,022 días

Total — $2,000,0045 32,088 días

70

CALIDAD

Finalidad

Exactos

Completos

Pertinentes

Correctos

Actualizados

71

CALIDAD

¿Quién tiene que velar por la calidad de los datos personales?

72

CALIDAD

¿Por qué es importante la calidad de los datos personales?

73

CALIDAD

DATO INEXACTO

DATO FALSO

AFECTA OTROS

DERECHOS Y LIBERTADES

DE LOS INDIVIDUOS

74

FINALIDAD

Determinadas.

Explícitas.

Legítimas.

Relacionadas con la actividad del responsable.

75

FINALIDAD

Para qué serán tratados los

datos

ClaridadSin lugar a confusiónDe manera

objetiva

76

FINALIDAD

Siempre que los mismos no sean incompatibles con los que motivaron el tratamiento inicial del dato.

77

FINALIDAD

Si el responsable pretende tratar los datos para un fin distinto que no resulte compatible o análogo a los fines establecidos en aviso de privacidad

Se requerirá obtener nuevamente el consentimiento del titular.

78

FINALIDADNo podrán crearse bases de datos que contengan datos personales sensibles

Sin que se justifique la creación de las mismas

Para finalidades legítimas, concretas y acordes

Con las actividades o fines explícitos que persigue el sujeto regulado

Datos personales sensibles

79

LEALTAD

Confianza que

deposita cualquier

persona en otra

Respecto de que los datos

personales proporcionados entre ellos

Expectativa

razonable de

privacidad

Serán tratados

conforme a lo que

acordaron las partes

80

PROPORCIONALIDAD

Datos proporciona

les

NecesariosAdecuados

Relevantes

81

PROPORCIONALIDAD

Mínima cantidad de información en atención a la finalidad (minimización)

82

¿Cuáles son los principios que tienen que cumplirse en el tratamiento de

datos personales?

83

GUÍA PRÁCTICA DEL IFAI

• Al momento de recabar los datos personales

Fase 1

84


Fase Obligaciones

Al momento de recabar los datos personales

1. Dar un uso a los datos personales respetando la ley, desde el momento de su obtención (principio de licitud).2. No utilizar medios engañosos o fraudulentos para obtener los datos personales (principio de lealtad).3. Poner a disposición el aviso de privacidad, de tal manera que el titular pueda conocer de qué forma serán tratados sus datos personales y cómo podrá ejercer sus derechos ARCO (principio de información).4. Obtener el consentimiento o autorización del titular para el tratamiento de sus datos personales, salvo las excepciones previstas en el artículo 10 de la Ley. Cuando se recaben datos personales sensibles el consentimiento del titular deberá ser expreso y por escrito. En el caso de datos personales de carácter patrimonial o financiero, el consentimiento del titular deberá ser expreso únicamente. Fuera de estos dos casos, como regla general es válido el consentimiento tácito (principio de consentimiento) siempre y cuando se ponga a disposición de los individuos titulares de los datos, el aviso de privacidad, en el que se indique lo que se hará con su información. 5. Evitar la creación de bases de datos de carácter sensible, salvo que se justifique plenamente la necesidad del tratamiento para la consecución de finalidades legítimas y concretas relacionadas con las actividades estatutarias o comerciales que persigue el responsable.6. Recabar sólo aquellos datos personales que sean necesarios para las finalidades para las que se obtienen.

85


Obligaciones1. Utilizar los datos personales respetando la Ley (principio de licitud).2. Respetar la expectativa razonable de privacidad del titular, es decir, la confianza que depositó este último en el responsable, respecto de los datos personales que serán tratados conforme a lo que acordaron y en los términos establecidos por la Ley (principio de lealtad).3. Limitar el tratamiento de la información personal al cumplimiento de las finalidades previamente consentidas por el titular (principio de finalidad).4. Usar los datos personales que resulten estrictamente necesarios para cumplir con las finalidades para las cuales fueron recabados (principio de proporcionalidad).5. Mantener los datos personales actualizados y correctos (principio de calidad).6. Limitar el periodo de conservación de la información personal tratada al mínimo necesario (principio de calidad).7. Mantener la confidencialidad de los datos personales tratados (deber de confidencialidad).8. Implementar medidas de seguridad de carácter administrativo, físico y técnico que garanticen la confidencialidad e integridad de los datos personales (deber de seguridad).9. Informar al titular, sin demora alguna, sobre las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de éste, en cuanto se confirme la vulneración sucedida (deber de seguridad).10. Adoptar las medidas necesarias para cumplir con las obligaciones establecidas en la Ley (principio de responsabilidad).11. Rendir cuentas al titular en caso de algún incumplimiento con relación a la protección de sus datos personales (principio de responsabilidad).12. Comunicar los datos personales a terceros nacionales o extranjeros únicamente con la autorización del titular, salvo las excepciones previstas en la Ley, y hacer del conocimiento de los receptores de los datos personales el aviso de privacidad y las finalidades a las que el titular sujetó el tratamiento de su información personal.

86


Fase Obligaciones

Una vez finalizado el tratamiento Suprimir los datos personales cuando hayan concluido las finalidades que dieron origen al tratamiento, previo bloqueo (principio de calidad).

87

PLAN DE EXPOSICIÓNSegunda parte

• Los deberes de quien trata datos personales– Medidas de seguridad– Confidencialidad

• Los derechos ARCO

– Acceso– Rectificación– Cancelación– Oposición

• Consejos prácticos para minimizar riesgos y garantizar el cumplimiento

– Cumplir con la política o reglas de privacidad corporativas– Seguir los procedimientos establecidos o que se establezcan– Notificar internamente incumplimientos o potenciales incumplimientos

• Conclusiones

88

DEBERES A OBSERVAR EN EL TRATAMIENTO DE DATOS

PERSONALES


89

Medidas de seguridad

Confidencialida

d

Deberes del

responsable y

encargado del

tratamiento

DEBERES EN PROTECCIÓN DE DATOS

90

Garantizar

- Confidencialidad- Integridad- Disponibilidad

Proteger

Los datos personales

Evitar

Daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado

MEDIDAS DE SEGURIDAD

91

Administrativas

Físicas

Técnicas


92

Conjunto de acciones y mecanismos para:

Establecer la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación y clasificación de la información, así como la concienciación, formación y capacitación del personal, en materia de protección de datos personales.

ADMINISTRATIVAS

93

Conjunto de acciones y mecanismos, ya sea que empleen o no la tecnología, destinados para:

a) Prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información;b) Proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones;c) Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, funcionalidad e integridad, yd) Garantizar la eliminación de datos de forma segura.

FÍSICAS

94

Conjunto de actividades, controles o mecanismos con resultado medible, que se valen de la tecnología para asegurar que:

TÉCNICAS

95


96

I. El riesgo inherente

por tipo de dato

personal.

II. La sensibilidad de los datos personales tratados.

III. El desarrollo

tecnológico.

IV. Las posibles

consecuencias de una

vulneración para los titulares.

FACTORES PARA DETERMINAR LAS MEDIDAS

97

I. El número de titulares.

II. Las vulnerabilidad

es previas ocurridas en los sistemas

de tratamiento.

III. El riesgo por el valor potencial cuantitativo o cualitativo que

pudieran tener los datos personales tratados para una tercera persona no autorizada para su

posesión.

IV. Demás factores que puedan incidir

en el nivel de riesgo o que

resulten de otras leyes o regulación

aplicable al responsable.

OTROS FACTORES

98

I. Elaborar un inventario de datos personales y de los sistemas de tratamiento;

II. Determinar las funciones y obligaciones de las personas que traten datos personales;

III. Contar con un análisis de riesgos de datos personales que consiste en identificar peligros y estimar los riesgos a los datos personales;

IV. Establecer las medidas de seguridad aplicables a los datos personales e identificar aquéllas implementadas de manera efectiva;

V. Realizar el análisis de brecha que consiste en la diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales;

VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, derivadas del análisis de brecha;

VII. Llevar a cabo revisiones o auditorías;

VIII. Capacitar al personal que efectúe el tratamiento, y

IX. Realizar un registro de los medios de almacenamiento de los datos personales.

ACCIONES PARA LA SEGURIDAD

99

ACCIONES CÍCLICAS

100

I. Se modifiquen las medidas o procesos de seguridad para su mejora continua, derivado de las revisiones a la política de seguridad del responsable.

II. Se produzcan modificaciones sustanciales en el tratamiento que deriven en un cambio del nivel de riesgo.

IV. Exista una afectación a los datos personales distinta a las anteriores.

Si hay datos sensibles, una vez

al año

ACTUALIZACIÓN DE LAS MEDIDAS

101

I. La pérdida o destrucción no

autorizada.

II. El robo, extravío o copia no

autorizada.

III. El uso, acceso o

tratamiento no autorizado.

IV. El daño, la alteración o modificación

no autorizada.

VULNERACIONES DE SEGURIDAD

102

I. La naturaleza

del incidente.

II. Los datos personales

comprometidos.

III. Las recomendaciones al titular acerca de las

medidas que éste pueda adoptar para proteger

sus intereses.

IV. Las acciones correctivas

realizadas de forma inmediata.

V. Los medios donde puede obtener más

información al respecto.

INFORMACIÓN AL TITULAR

103

Medidas si concurre una

vulneración de datos

Acciones correctivas

Acciones preventivasAcciones de

mejora

MEDIDAS CORRECTIVAS Y PREVENTIVAS

104

Obligación de guardar sigilo o silencio sobre los datos personales que se traten.

Del responsable.

De quienes intervengan en cualquier fase del tratamiento de los datos personales.

Incluso una vez finalizada la relación laboral o contractual con el responsable del tratamiento.

CONFIDENCIALIDAD

105

DERECHOS ARCO


106

AccesoRectificació

n

Cancelación

Oposición

DERECHOS ARCO

107

“Los titulares tienen derecho a acceder a sus datos personales que obren en poder del responsable, así como conocer el Aviso de Privacidad al que está sujeto el tratamiento” (art. 23 de la LFPDPPP).

ACCESO

108

“El titular de los datos tendrá derecho a rectificarlos cuando sean inexactos o incompletos” (art. 24 de la LFPDPPP).

RECTIFICACIÓN

109

“El titular tendrá en todo momento el derecho a cancelar sus datos personales.La cancelación de datos personales dará lugar a un periodo de bloqueo tras el cual se procederá a la supresión del dato. El responsable podrá conservarlos exclusivamente para efectos de las responsabilidades nacidas del tratamiento. El periodo de bloqueo será equivalente al plazo de prescripción de las acciones derivadas de la relación jurídica que funda el tratamiento en los términos de la Ley aplicable en la materia” (art. 25 de la LFPDPPP).

CANCELACIÓN

110

“El titular tendrá derecho en todo momento y por causa legítima a oponerse al tratamiento de sus datos. De resultar procedente, el responsable no podrá tratar los datos relativos al titular” (art. 27 de la LFPDPPP).

OPOSICIÓN

111

Ejercicio personal (titular o

representante legal)

El ejercicio de un derecho no

es requisito previo ni

impedimento para el ejercicio de otro derecho

Sencillez Gratuidad

CARACTERÍSTICAS DEL EJERCICIO

112

El responsable del tratamiento:

Atiende al ejercicio de los derechos.

Resguardará los datos personales de tal manera que permitan el ejercicio de los derechos sin dilación.

ATENCIÓN POR EL RESPONSABLE

113

El nombre del titular y domicilio u otro medio para comunicarle la respuesta a su solicitud.

Cualquier otro elemento o documento que facilite la localización de los datos personales.

Contenido mínimo

SOLICITUDES DE EJERCICIO

114

Medi

os de comunicación

Habilitar medios remotos o locales de comunicación electrónica u otros que considere pertinentes.

Formularios, siste

mas y

otros

métodos

Establecer formularios, sistemas y otros métodos simplificados, mismos que deben ser informados en el aviso de privacidad.

Se

rvicios de

atención al pú

blico

Utilizar los servicios de atención al público o de reclamaciones que tiene en operación, siempre y cuando los plazos de respuesta no sean mayores a los señalados por la Ley. En tal caso, la identidad del titular se considerará acreditada por los medios establecidos por el responsable para la identificación de los titulares en la prestación de sus servicios o contratación de sus productos, siempre que a través de dichos medios se garantice la identidad del titular.

CAPACITACIÓN CONTADORES PÚBLICOS

GUÍAS PARA EL EJERCIO DEL IFAI

Fuente: Guía práctica para la atención de las solicitudes de ejercicio de los Derechos ARCO, disponible en http://inicio.ifai.org.mx/Publicaciones/02GuiaAtencionSolicitudesARCO.pdf, y la Guía práctica para ejercer el derecho a la Protección de Datos Personales, disponible en http://inicio.ifai.org.mx/Publicaciones/01GuiaPracticaEjercerelDerecho.pdf

http://inicio.ifai.org.mx/Publicaciones/02GuiaAtencionSolicitudesARCO.pdf

http://inicio.ifai.org.mx/Publicaciones/01GuiaPracticaEjercerelDerecho.pdf

115

CONSEJOS PRÁCTICOS PARA MINIMIZAR RIESGOS Y

GARANTIZAR EL CUMPLIMIENTO


116

Cumplir con la política o reglas de privacidad corporativas

Seguir los procedimientos establecidos o que se establezcan

Notificar internamente incumplimientos o potenciales incumplimientos

CONSEJOS PRÁCTICOS

117

Identificar/valorar riesgos

Adoptar medidas

Verificar el cumplimient

o

Educar y concientizar

CONSEJOS PRÁCTICOS

118

Aplicación práctica

apoyada en consultoría/

auditoría

Políticas internas

que complementen/ sean base del

instrumento de

autorregulación

Parámetros de

autorregulación

vinculante

CONSEJOS PRÁCTICOS

119

CONSEJOS PRÁCTICOS

¿Por qué es importante adoptar/cumplir con políticas internas de protección de datos personales y

privacidad?

120

Adoptar medidas que incluyan las siguientes áreas de actuación en materia de protección de datos personales:

CONSEJOS PRÁCTICOS

Trazabilidad de los datos personales y

su tratamientoPrincipios

Deberes

Autorregulación vinculante

Solicitudes de los interesados (consultas, quejas o resolución de

disputas)

Derechos ARCO

121

CUMPLIMIENTO EN LA EMPRESA

Gobierno de la protección de datos Formación y concientización Gestión de archivos Seguridad de los datos

personalesRequerimientos en protección de datos

— Políticas y procedimientos— Estructuras de gobierno— Medidas— Auditorías— Registro de riesgos— Retornos— Análisis de impacto de privacidad (Privacy impact assessment, PIA)

— Inducción— Formación basada en roles— Actualizaciones— Archivos— Formación online (e-learning)— Acceso a TI— Concientización de dónde encontrar contenidos sobre datos personales y fácil acceso a los mismos

— Roles y responsabilidades— Políticas y procedimientos— Formación y concientización— Activos de información— Indexación y mapeo de archivos— Obtención de datos— Mantenimiento de archivos— Plazos de retención— Supresión de datos

— Propietario/responsabilidad— Seguridad física-anuales— Seguridad de redes— Dispositivos móviles— Trabajo en casa— Monitoreo de empleados— Contratos con terceros— Incidencias

— Propietario/procedimientos— Bitácora (log)— Monitoreo— Redacción— Excepciones— Revelaciones— Protocolos para comunicación— Acuerdos de gestión de comunicación de datos

Ejemplos de prueba— Políticas y procedimientos— Intranet— Organigrama— Descripciones de puestos de trabajo— Términos de referencia— Minutas de reuniones— Informes internos— Informes externos— Informes de auditoría— Registros de riesgos— PIAs

— Presentaciones para formación— Módulo de formación online (e-learning)— Archivos centrales de formación— Archivos de actualizaciones de formación— Requerimientos de perfiles de TI

— Políticas y procedimientos— Formularios de obtención de datos— Avisos de tratamiento— Detalle de sistemas de gestión de archivos— Roles y estructura de gestión de archivos— Archivos de formación— Registro de activos de información— Plazos de retención— Registros de destrucción y/o certificados— Contratos con terceros para el almacenamiento y/o destrucción

— Políticas y procedimientos— Registros de contraseñas— Licencias de seguridad de TI— Bitácora de incidencias— Cláusulas estandarizadas sobre seguridad— Análisis de riesgo de trabajo en casa— Registro de dispositivos móviles

— Políticas y procedimientos— Bitácora de sistema de actividad— Protocolos para comunicación— Informes de actividad (métricas)— Ejemplos de respuestas a requerimientos

Fuente: Information Commissioner´s Office, Auditing data protection, a guide to ICO data protection audits, v. 2.0, Mayo de 2012.

122

CONCLUSIONES


123

Es una cuestión que implica al responsable y a quienes tratan datos personales en cualquier fase (empleados, encargado del tratamiento, etc.).

CONCLUSIONES

¡MUCHAS GRACIAS!

REGULACIÓN EN MATERIA DE PROTECIÓN DE DATOS PERSONALES EN POSESIÓN DE PARTICULARES LINA GABRIELA...

Documents

Transcript of REGULACIÓN EN MATERIA DE PROTECIÓN DE DATOS PERSONALES EN POSESIÓN DE PARTICULARES LINA GABRIELA...