Protección de Datos Personales

Carlos M. PÉREZ MUNGUÍADirector General de NYCE

Foro Nacional de Normalización y Evaluación de la

Conformidad 2014

26 de agosto de 2014

Por qué la protección de datos personales

$9,940,660Abril 25, 2014

Por qué la protección de datos personales

Protección de Datos Personales

▹ Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP)

▹ Reglamento de la LFPDPPP▹ Criterios Generales para la Instrumentación de las Medidas

Compensatorias sin la Autorización Expresa del IFAI▹ Lineamientos sobre el Contenido y Alcance de los Avisos de

Privacidad▹ Parámetros para el Correcto Desarrollo de los Esquemas de

Autorregulación Vinculante▹ Recomendaciones en Materia de

Marco Jurídico

¿Qué vulneraciones busca evitar la ley?

Robo, extravío o copia no autorizada

Pérdida o destrucción no autorizada

Uso, acceso o tratamiento no

autorizado

Daño, la alteración o modificación no

autorizada

Vulneraciones

Regl

amen

to L

FPD

PPP

Artíc

ulo

63.

Protección de Datos Personales

¿Qué son los datos personales?▹ Los datos personales se refieren a toda aquella información relativa al individuo

que lo identifica o lo hace identificable.▹ Entre otras cosas, le dan identidad, lo describen, precisan su origen, edad, lugar

de residencia, trayectoria académica, laboral o profesional.▹ Además de ello, los datos personales también describen aspectos más sensibles o

delicados sobre tal individuo, como es el caso de su forma de pensar, estado de salud, sus características físicas, ideología o vida sexual, entre otros.

¿Para qué sirven los datos personales?▹ Los datos personales son necesarios para que un individuo pueda interactuar con

otros o con una o más organizaciones sin que sea confundido con el resto de la colectividad y para que pueda cumplir con lo que disponen las leyes. Asimismo, hacen posible la oferta y obtención de bienes y servicios.

▹ Sin embargo el uso extensivo de las tecnologías de la información y las telecomunicaciones ha permitido que en muchas ocasiones, los datos personales sean tratados para fines distintos para los que originalmente fueron recabados, rebasando los límites de la esfera de privacidad de la persona, y lesionando en ocasiones otros derechos y libertades.

Protección de Datos Personales

¿Qué tipo de datos personales hay?▹ Existen diferentes categorías de datos, por ejemplo, de identificación (nombre, domicilio,

teléfono, correo electrónico, firma, RFC, CURP, fecha de nacimiento, edad, nacionalidad, estado civil, etc.); laborales (puesto, domicilio, correo electrónico y teléfono del trabajo); patrimoniales (información fiscal, historial crediticio, cuentas bancarias, ingresos y egresos, etc.); académicos (trayectoria educativa, título, número de cédula, certificados, etc.); ideológicos (creencias religiosas, afiliación política y/o sindical, pertenencia a organizaciones de la sociedad civil y/o asociaciones religiosas); de salud (estado de salud, historial clínico, enfermedades, información relacionada con cuestiones de carácter psicológico y/o psiquiátrico, etc.); características personales (tipo de sangre, ADN, huella digital, etc.); características físicas (color de piel, iris y cabellos, señales particulares, etc.); vida y hábitos sexuales, origen (étnico y racial); entre otros.

¿Por qué es importante proteger los datos personales?▹ Para evitar que los datos sean utilizados para una finalidad distinta para la cual se

proporcionó, evitando con ello se afecten otros derechos y libertades, por ejemplo que se utilice de forma incorrecta cierta información de salud lo que podría ocasionar una discriminación laboral, entre otros supuestos.

Aviso de privacidad

Aviso de privacidad

Procedimientos para atenciónde derechos ARCO

Designación de un responsable o

departamento al interior

Políticas de Seguridad y

protección de datos

Convenios de confidencialidad y

contratos

Inventario de Datos personales y

sistemas de tratamiento

Identificación de personas que tratan los datos, privilegios, roles y responsabilidades Análisis de riesgos

Datos

Identificar

Finalidades

¿Para qué?

Tratamientos

¿Qué voy a hacer con ellos?

Consentimiento

Evidencia

Privilegios de acceso y transferencias

Internos Externos

Capacitar al personal involucrado

Acciones y procedimientos

en caso de vulneración

Medidas de seguridad Administrativas Medidas de seguridad Físicas Medidas de seguridad Técnicas

Principios• Debe existir licitud en la obtención (no engaño ni fraude) y el tratamiento (acuerdo entre las partes)Licitud• Expreso para Datos Sensibles o conlleve un riesgo grave para éste (Patrimoniales y Financieros)• Tácito (Aviso de Privacidad) para los demásConsentimiento• Informar al titular de las finalidades tratamientos y transferencias para las que se recaban sus datos,

medios para ejercer derechos ARCO y opciones para limitar usoInformación• Los datos deben ser pertinentes, correctos y actualizados para los fines para los cuales fueron

recabadosCalidad• Limitarse al cumplimiento de finalidad establecida en el • Aviso de PrivacidadFinalidad• Si dejan de ser necesarios para los fines recabados deben ser cancelados• Eliminación de información relativa a incumplimiento de obligaciones Lealtad• El tratamiento será el estrictamente necesario, adecuado y relevante en relación con las finalidades

previstas en el aviso de privacidad • El periodo de tratamiento deberá ser el mínimo indispensableProporcionalidad• El responsable deberá garantizar que el aviso de privacidad sea respetado en todo momento (o

terceros)• Mantener medidas de seguridad administrativas, técnicas y físicas• Cualquier vulneración a la seguridad deberá ser informada inmediatamente

Responsabilidad

Derechos ARCO

Derechos arco

Acceso

Rectificación

Cancelación

Oposición

Autorregulación

Fuente: Revista seguridad UNAM num. 21 junio julio 2014

En su cumplimiento o

a quienes se adhieren o los

adopten

En su adhesióno adopción

PRINCIPIOS

Obligación de velar por el

cumplimiento de los principios de PDP

previstos en la Ley

En las prácticas que sigue un sector,

grupo, empresa u organización

en la PDP

Transparencia

Voluntariedad

Responsabilidad

Obligatoriedad

Autorregulación

Confianza de parte de los consumidores de productos o servicios

Prestigio al ostentar una certificación con validez internacional

Apego a estándares y normas internacionales

Adopción voluntaria del esquemaAtenuación de sancionesDemostración de cumplimiento ante la autoridad

Certificación en protección de datos personales

Micro EmpresasPequeñas empresas

Medianas EmpresasGrandes Empresas

Certificación en protección de datos personales

Carlos M. PÉREZ MUNGUÍAcperez@nyce.org.mx

¡Gracias¡