PRONTUARIO PARA EL
MANEJO,
TRATAMIENTO,
RESGUARDO,
PROTECCIÓN Y
APLICACIÓN DE
MEDIDAS DE
SEGURIDAD A LOS
SISTEMAS DE DATOS
PERSONALES.
Oficina de Información Pública Xocongo 225, PB, Col. Tránsito, Delegación Cuauhtémoc, C.P.06820 México D. F.
Segunda Edición
Dr. José Armando Ahued Ortega
Secretario de Salud del Distrito Federal
Director General de los Servicios de Salud
Pública del Distrito Federal
Lic. Alejandra A. Aguirre Sosa
Subdirectora de Correspondencia, Archivo y
Oficina de Información Pública
Responsable de OIP
ÍNDICE
7. Medidas de Seguridad de los Sistemas de Datos Personales 20
7.1 Procedimiento de notificación, gestión y registro de incidencias 22 7.2 Control de acceso físico y registro de acceso 23 7.3 Gestión de soportes 24 7.4 Identificación y
autentificación 24 7.5 Almacenamiento de la información 25 7.6 Copia o reproducción 25 7.7 Acceso a la Documentación 25 7.8 Traslado de la documentación 26
8. Derechos ARCO 26
9. Acto de Entrega-Recepción 27
10. De Las Infracciones 29
11. Acciones de Difusión 30
12. Definiciones 31
13. Anexos 36
Introducción 1
Objetivo 2
1. Marco Legal 3
2. Principios 3
3. Pirámide que conforman los
Servidores Públicos involucrados
en el tratamiento de datos
personales 4
3.1 Funciones y obligaciones del responsable, encargado y de toda persona que intervenga en el tratamiento de los sistemas de datos personales 5
4. Sistemas de Datos Personales 5
5. Obligaciones de los Entes
Públicos 7
6. Etapas de recolección de DP:
antes de recabar los datos;
durante la recolección de los
datos; durante el tratamiento de
los datos; al ceder datos; y al
suprimir sistemas de datos
personales. 7
6.1Antes de recolectar los datos 7
6.2 Durante la recolección de los
datos 15
6.3 Durante el tratamiento de los
datos 17
1
Introducción La Oficina de Información Pública basados en la normatividad de la materia estableció puntos específicos a los procesos referentes al manejo, tratamiento, guarda, protección y aplicación de las medidas de seguridad de los Sistemas de Datos Personales (SDP) en posesión de la Secretaría de Salud y los Servicios de Salud Pública, ambos del Distrito Federal, al cual consideramos oportuno denominar Prontuario. Los datos personales son toda información que refiera a una persona física que pueda ser identificada a través de los mismos, los cuales se pueden expresar en forma numérica, alfabética, gráfica, etc., por ejemplo: el nombre, apellidos, CURP, estado civil, lugar y fecha de nacimiento, domicilio particular, número telefónico, correo electrónico, grado de estudios, patrimonio, ideología y opiniones políticas, creencias, convicciones religiosas y filosóficas, estado de salud, preferencia sexual, la huella digital, el ADN y el número de seguridad social, entre otros. Nuestra Constitución Política, en su artículo 16, reconoce el derecho a la protección de datos personales como una garantía individual, al señalar que toda persona tiene derecho a la protección de sus datos personales, así como a su acceso, rectificación, cancelación y a manifestar su oposición en los términos que fije la Ley de Protección de Datos Personales para el Distrito Federal (LPDPDF). El derecho fundamental a la protección de datos reconoce al ciudadano la facultad de disponer y decidir sobre los mismos. El tratamiento de datos de carácter personal debe realizarse en estricto apego a los principios de licitud, consentimiento, calidad de los datos, confidencialidad, seguridad, disponibilidad y temporalidad.
2
Objetivo
El objetivo de este Prontuario es el homogeneizar los procesos en materia de protección de datos personales, así como brindar información práctica y recomendaciones para los Servidores Públicos involucrados en el tratamiento de datos personales, respecto al cumplimiento de la normatividad en la materia, en sus distintas etapas: antes de recabar los datos; durante la recolección de los datos; durante el tratamiento de los datos; al ceder datos; y al suprimir Sistemas de Datos Personales. Permitiendo garantizar y proteger los derechos fundamentales de las personas físicas, así como su honor, intimidad y propia imagen, a través del cumplimiento de los principios, derechos, obligaciones y procedimientos que regulan la protección y tratamiento de los datos personales en posesión de la Secretaría de Salud y de los Servicios de Salud Pública, ambos del Distrito Federal. Por lo que los Responsables, Responsables de Seguridad y Encargados de los SDP están obligados a cumplir los principios y garantías que establece la LPDPDF y sus Lineamientos, redundando dicho cumplimiento en un aumento de calidad en la prestación de sus servicios.
3
1. Marco Legal
El marco legal en materia de protección de datos responde a la necesidad de garantizar y proteger las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente su honor, intimidad, privacidad personal y familiar. Se trata de evitar que los datos sean utilizados de forma inadecuada, tratados o cedidos a terceros sin consentimiento libre, específico, informado e inequívoco del titular.
2. Principios
En el tratamiento de los datos personales se deben observar los principios de licitud, consentimiento, calidad de los datos, confidencialidad, seguridad, disponibilidad y temporalidad que establece el artículo 5 de la Ley (el deber de secrecía y el de confidencialidad se considerarán equiparables).
Deber de confidencialidad, obligación que subsistirá aun después de concluido la finalidad para la cual se recabaron datos.
Los datos deben tratarse de manera leal y lícita.
Los datos deben recabarse con fines determinados, explícitos y legítimos.
Los datos deben ser adecuados, pertinentes y no excesivos en relación con el ámbito y los fines para los que se han recabados.
Los datos deben ser exactos y mantenerse actualizados de manera que respondan con veracidad a la situación actual de su titular.
Los responsables deben atender las solicitudes ARCO.
Los datos personales sólo deben conservarse durante el tiempo necesario para el cumplimiento de la finalidad para la cual han sido recabados.
El Responsable, Responsable de Seguridad y Encargados de un SDP, tienen la obligación de adoptar las medidas necesarias para garantizar la seguridad de los datos personales e impedir cualquier alteración, pérdida, tratamiento o acceso no autorizado.
4
3. Pirámide que conforman los Servidores Públicos involucrados en el tratamiento de datos personales
Los servidores públicos involucrados en el tratamiento de los Datos Personales contenidos en cada uno de los SDP son los siguientes:
Enlace de Datos Personales (EDP): Servidor público que fungirá como vínculo entre el Ente Público y el Instituto para atender los asuntos relativos a la Ley de la materia.
Responsable del Sistema: El servidor público de la unidad administrativa a la que se encuentre adscrito el SDP, designado por el titular del Ente Público, que decide sobre el tratamiento de datos personales, así como el contenido y finalidad de los SDP.
Responsable de Seguridad: Persona a la que el Responsable del SDP asigna formalmente la función de coordinar y controlar las medidas de seguridad aplicables así como también se puede separar del área tecnológica.
Encargado: Servidor público que en ejercicio de sus atribuciones, realiza tratamiento de datos personales de forma cotidiana.
Usuario: Persona física o moral externa autorizada para prestarle servicios sobre el tratamiento de datos personales.
Destinatario: Ente(s)Público(s) a los que pueden ser transmitidos Datos Personales por obligación establecida o que por facultad solicite un Ente a otro.
Una vez identificados los SDP y los sujetos involucrados en el tratamiento de éstos, es de suma importancia que siendo el titular del Ente Público el responsable de decidir sobre la finalidad, contenido y uso del tratamiento del SDP, delegue dicha atribución en la Unidad Médico/Administrativa en la que se concrete la competencia material, a cuyo ejercicio sirva instrumentalmente el SDP y esté adscrito el Responsable del mismo.
5
3.1 Funciones y obligaciones del Responsable, Responsables de Seguridad, Encargado y de toda persona que intervenga en el tratamiento de los SDP
Las funciones y obligaciones del personal que intervengan en el tratamiento de datos personales están claramente definidas en el Anexo 4 del Documento de Seguridad. El Responsable adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones, así como las responsabilidades y consecuencias en que pudiera incurrir en caso de incumplimiento, por lo que todo el personal que acceda a los datos de carácter personal está obligado a conocer y observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla. Las obligaciones se establecerán de forma detallada de acuerdo a los perfiles (por ejemplo, Administrador/es, Responsable/s, Responsable/s de Seguridad, Encargado/s). Es importante que se concrete la persona o cargo que corresponde a cada perfil. También deben contemplarse los procedimientos de actuación o delegación de funciones para casos de ausencia. Se propone como un recopilatorio que agrupe las medidas que en el Documento de Seguridad se asignan a perfiles concretos. El personal que realice trabajos que no impliquen el tratamiento de datos personales tendrán prohibido el acceso a estos datos, a los soportes que los contengan o a los recursos del sistema de información.
4. Sistemas de Datos Personales (SDP)
Un Sistema de Datos Personales es todo conjunto organizado de archivos, registros, bases o bancos de datos personales de los entes públicos, que permita el acceso a datos con arreglo a criterios determinados cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización y acceso.
En la Secretaría de Salud y los Servicios de Salud Pública ambos del Distrito Federal contamos con diversos SDP
6
SEDESA “Expediente Clínico”; “Expediente de Personal”; “Programa de Atención Integral del
Cáncer de Mama en el Distrito Federal”; “Programa de Atención Integral del Cáncer
Cérvico – Uterino en el Distrito Federal”; “Voluntad Anticipada”; “Capacitación Voluntad
Anticipada”; “Padrón de Beneficiarios del Programa de Gratuidad”; “Programa de
Capacitación de los Prestadores de Servicios, para la detección oportuna de los trastornos
mentales en el Distrito Federal”; “Donación y Trasplantes de Órganos y Tejidos”;
"Expresión de la Voluntad respecto a la Donación de Órganos y Tejidos con Fines de
Trasplante después de la Muerte"; “Atención Domiciliaria para la Población Vulnerable”;
“Medicina a Distancia”; “Interrupción Legal del Embarazo ILE-TEL”; “Protección a la Salud
de los No Fumadores”; “MASCOTATEL”; “Certificaciones Médico Legales”; “Expediente de
Personal de la Escuela de Enfermería de la Secretaría de Salud del Distrito Federal”;
“Expediente de Alumnos de la Licenciatura en Enfermería y Obstetricia de la Escuela de
Enfermería de la Secretaría de Salud del Distrito Federal”; “Expediente de Alumnos de
Cursos Postécnicos de la Escuela de Enfermería de la Secretaría de Salud del Distrito
Federal”; “Expediente de Seguimiento de Control de Salud de la Escuela de Enfermería de
la Secretaría de Salud del Distrito Federal”; “Sistema de Administración de Recursos
Humanos en la Secretaría de Salud Del Distrito Federal”; “Proveedores de Bienes y
Servicios de la Secretaría de Salud del Distrito Federal”; “SDP de los Centros de Reclusión”.
OPD “Expediente Clínico”; “Programa de Vacunación Universal (PROVAC)”; “Programa de
Atención Integral del Cáncer de Mama en el Distrito Federal”; “Programa de Atención
Integral del Cáncer Cérvico – Uterino en el Distrito Federal”; “Evaluación del Estado
Nutricio de la Población Escolar en Primarias Públicas del Distrito Federal”; “Expediente
Único de Personal de los Servicios de Salud Pública del D.F.”; “Expediente de Personal”;
“Proveedores de Bienes y Servicios de los Servicios de Salud Pública del Distrito Federal”;
“Programa SaludArte”; “Concurso de Diseño Lucha contra el Sobrepeso y la Obesidad”;
"Acciones de Promoción para la Salud".
Es indispensable que los Responsables, Responsables de Seguridad y Encargado(s) de los SDP, conozcan e identifiquen claramente el nombre de los SDP propios de la unidad, ya que esto deriva en el correcto manejo, tratamiento, guarda y protección de los sistemas, para su difusión se recomienda que el titular de la Unidad Médico/Administrativa en el cual se ubican los SDP, emita una circular dirigida a todo servidor público con alguna responsabilidad en el manejo, tratamiento, guarda y protección de los SDP a efecto de identificar la existencia, nombre, contenido y obligaciones de éste.
7
5. Obligaciones de los Entes Públicos
Determinar la creación, modificación o supresión de sus SDP (artículo 6, LPDPDF).
Proceder, conforme a las disposiciones normativas, a la integración, tratamiento y tutela de sus SDP (artículo 7, LPDPDF).
Inscribir los SDP en el registro habilitado por el INFODF “RESDP” (artículo 8, LPDPDF).
Cumplir con el deber de información hacia los interesados (artículo 9, LPDPDF).
No proceder a la creación de SDP sensibles (artículo 10, LPDPDF).
Adoptar las medidas de seguridad técnica y organizativa, para garantizar la seguridad de sus SDP, a objeto de preservarlos de alteraciones, pérdidas, transmisiones y accesos no autorizados (artículos 13 y 14, LPDPDF).
6. Etapas de recolección de Datos Personales (DP): antes de recabar
los datos; durante la recolección de los datos; durante el tratamiento
de los datos; al ceder datos; y al suprimir SDP.
6.1. Antes de recabar los datos
Creación, modificación o supresión
En el caso de la creación, modificación o supresión de SDP es necesario apegarnos estrictamente a lo establecido en los artículos 6, 7, 8 y 14 de la Ley de Protección de Datos Personales del Distrito Federal y Numerales 6, 7, 9, 10, 11, 15 de sus Lineamientos, es decir, los Entes Públicos sólo podrán efectuarlo mediante acuerdo emitido por el Titular del Ente en la Gaceta Oficial del Distrito Federal (GODF) por lo menos quince días hábiles previos a la creación o modificación; y treinta días en el caso de la supresión.
Posteriormente se notificará éste al Instituto de Acceso a la Información Pública y Protección de Datos Personales del Distrito Federal (INFODF) dentro de los diez días hábiles siguientes a su publicación.
La creación y modificación también deberá ser inscrita por el Responsable en el RESDP dentro del mismo plazo, a través del Enlace de Datos Personales (EDP).
8
Por lo que el Titular de la Unidad Médico/Administrativa en la que se concrete la competencia material de los Sistemas deberá realizar la notificación inmediata vía oficio a la OIP de la actualización correspondiente, es decir, en caso de realizar un cambio de Responsable, Responsable de Seguridad y/o Encargados o de cualquier personal que maneje datos personales lo que permitirá capacitarlos y cumplir cabalmente las obligaciones y responsabilidades normadas. Es imprescindible que de manera periódica se verifique la existencia de la designación y actualización de los Responsables, Responsables de Seguridad y Encargados de los SDP, la cual debe realizarse vía oficio con copia de conocimiento a la OIP quien funge como EDP ante el INFODF.
Acuerdo de creación o modificación de SDP deberá contener:(Art. 6 de la Ley y numeral 7 de los Lineamientos):
En caso de creación o modificación de SDP, se deberá indicar por lo menos:
La identificación del SDP, indicando su denominación y normativa aplicable, así como la descripción de la finalidad y usos previstos;
La identificación de la Unidad Médico/Administrativa a la que corresponde el SDP, así como del cargo del Responsable y Encargado;
El origen de los datos, indicando el colectivo de personas sobre las que se pretende obtener datos de carácter personal, o que resulten obligados a suministrarlos; su procedencia (propio interesado, representante, Ente Público, etcétera) así como el procedimiento de obtención de los mismos (formulario, Internet, transmisión electrónica, etcétera);
La estructura básica del SDP mediante la descripción detallada de los datos identificativos que contiene y, en su caso, de los datos especialmente protegidos, así como las restantes categorías de datos de carácter personal, incluidas en el mismo y el modo de tratamiento utilizado en su organización (manual o automatizado). En su caso, señalar los datos de carácter obligatorio y facultativo;
Las cesiones de datos que se tengan previstas, indicando, en su caso, los destinatarios o categorías de destinatarios;
9
Domicilio oficial y dirección electrónica de la Oficina de Información Pública ante la cual se presentarán las solicitudes para ejercer los derechos de acceso, rectificación, cancelación y oposición, así como la revocación del consentimiento;
Indicación del nivel de seguridad que resulte aplicable: básico, medio o alto; y
Tiempo de resguardo del archivo. Una vez publicado dicho Acuerdo en la GODF se debe notificar al INFODF dentro
de los diez días hábiles siguientes a su publicación.
Fundamento Legal para realizar publicación
Considerandos
I. Identificación del Sistema de Datos Personales:
Denominación [Nombre del Sistema de Datos Personales]
Normatividad Aplicable.
Finalidad y Usos Previstos
II. Origen de los Datos
Personas sobre las que se pretende obtener datos de carácter personal o que resultan obligadas a suministrarlos
Procedencia: ejemplo (propio interesado, representante, ente público, etc.)
Procedimiento de obtención :ejemplo (formulario, internet, transmisión electrónica, etc.)
III. Estructura básica del sistema de datos personales.
Datos identificativos: ejemplo (Nombre, domicilio) [por categoría de datos y tipo de datos]
Datos de carácter obligatorio:
Datos de carácter facultativos:
Modo de tratamiento utilizado: ejemplo (Procedimiento físico y automatizado)
IV. Cesión de Datos:
Destinatarios Finalidad genérica Fundamento legal [por destinatario]
.
Usuarios Finalidad permitida Acto Jurídico y Vigencia [por usuario]
10
V. Unidad Administrativa y cargo del responsable del sistema.
Unidad Administrativa Responsable
Cargo del Responsable del Sistema de Datos
VI. Unidad Administrativa ante la cual se presentarán solicitudes para ejercer derechos de
acceso, rectificación, cancelación oposición de datos personales, así como la revocación del
consentimiento.
Unidad Administrativa
Domicilio Oficial y correo electrónico
VII. Nivel de Seguridad
TRANSITORIOS
PRIMERO.- Publíquese el presente "Acuerdo por el que se crea el Sistema de Datos
Personales denominado _____________" en la Gaceta Oficial del Distrito Federal.
SEGUNDO.- Se instruye al Enlace en materia de datos personales para que notifique al
Instituto de Acceso a la Información Pública y Protección de Datos Personales del Distrito
Federal de la publicación del presente Acuerdo dentro de los diez días hábiles siguientes a la
publicación del mismo y el responsable del sistema de datos personales para que realice las
adecuaciones pertinentes en el Registro Electrónico de Sistemas de Datos Personales en un
plazo a los diez días hábiles siguientes a la publicación en la Gaceta Oficial del Distrito
Federal.
TERCERO. El presente acuerdo entrará en vigor al día siguiente de su publicación en la Gaceta
Oficial del Distrito Federal.
México, Distrito Federal, a __ de ____ de 20__.
----------------------------------------------------------------
Dr. José Armando Ahued Ortega
Secretario de Salud del Distrito Federal/Director General
de los Servicios de Salud Pública del Distrito Federal
El Titular de la Dependencia/Organismo en observancia a lo señalado en el
artículo 22 de la Ley de la materia delegará vía oficio al Subsecretario/Director
General en caso de la Secretaría de Salud, o al Director Ejecutivo/Director de Área
en Servicios de Salud Pública, ambos del Distrito Federal, la atribución para que
éste a su vez nombre a los servidores públicos de la Unidad
Médico/Administrativa en la que se concrete la competencia material del SDP y
este adscrito el Responsable del mismo, quien a su vez nombrará al Responsable
de Seguridad y al (los) Encargado(s).
11
La creación o modificación deberá ser inscrita por el Responsable del SDP en el
Registro Electrónico de los Sistemas de Datos Personales RESDP dentro del
mismo plazo (10 días hábiles), con apoyo del Enlace de Datos Personales.
Es indispensable se realice, publique, difunda y coloque el Modelo Leyenda en
áreas de atención al interesado y/o en aquellas en las que se recaben DP, así
como en donde se encuentre resguardado y en cada expediente del SDP en el
que están siendo protegidos los DP, con la finalidad de cumplir con el deber de
informar.
El Responsable de éste deberá elaborar, difundir e implementar su
correspondiente Documento de Seguridad, el cual deberá contener, como
mínimo, los requisitos previstos en el numeral 16 Fracción I inciso a) de los
Lineamientos, en razón de que constituye un instrumento indispensable que
establece las medidas y procedimientos administrativos, físicos y técnicos de
seguridad aplicables a los SDP necesarios para garantizar la protección,
confidencialidad, integridad y disponibilidad de los datos personales; el cual será
de observancia obligatoria para todos los servidores públicos que derivado de sus
funciones, tengan acceso a los SDP y/o al sitio donde se ubican los mismos.
Identificar las series documentales correspondientes, lo anterior con la finalidad
de integrarlas al Cuadro General de Clasificación Archivística y Catálogo de
Disposición Documental de la Dependencia/Organismo, a efecto de establecer las
claves de identificación y las vigencias documentales, por lo que una vez realizado
lo anterior, deberá remitir su solicitud a la Secretaria Ejecutiva del Comité Técnico
Interno de Administración de Documentos (COTECIAD) de éstos Entes Públicos, a
efecto de que se someta ante dicho Órgano Colegiado para su integración,
validación y posterior envío a la Dirección General de Recursos Materiales y
Servicios Generales de la Oficialía Mayor para su registro.
En las disposiciones que se dicten para la Supresión de los SDP, se establecerá el destino de los datos contenidos en los mismos o, en su caso, las previsiones que se adopten para su destrucción.
12
De la destrucción de los datos personales podrán ser excluidos aquellos que, con finalidades estadísticas o históricas, sean previamente sometidos al procedimiento de disociación.
Registro Electrónico de los Sistemas de Datos Personales (RESDP)
El artículo 8 de la Ley señala que “Los sistemas de datos personales en posesión de los entes públicos deberán inscribirse en el registro que al efecto habilite el Instituto”, al cual denominaron como “Registro Electrónico de los Sistemas de Datos Personales RESDP”.
El RESDP es una aplicación tecnológica que permite conducir el esquema de inscripción y control de los SDP identificados por los Entes Públicos, y cuyo origen deriva del desarrollo de las atribuciones y obligaciones que por Ley les han sido asignadas. El RESDP puede consultarse en la página web del INFODF http://www.infodf.org.mx/web/ el cual cuenta con un banner que se denomina “Sistema de Datos Personales – Registro Electrónico”, permitiendo acceder para el registro/actualización y consulta de un SDP a través de clave de acceso y contraseña, o bien a la consulta pública de los SDP con los que contamos los sujetos obligados del Distrito Federal.
Contenido del Registro El registro de cada sistema contendrá los siguientes campos:
13
Datos del Sistema
Nombre del Sistema
Finalidad o uso previsto
Fecha de Publicación en GODF
Unidad Administrativa Responsable
Normatividad aplicable
Responsable o Nombre y cargo o Domicilio oficial o E-mail y teléfono oficial
Encargado
Nombre y cargo
Usuario
Persona física o moral a quien autoriza el Ente Público para el tratamiento de datos personales
Origen
Categoría de datos
Tipo de datos
Origen
Grupo de personas de las que se obtiene dichos datos
Forma de recolección
Medio de actualización
Tratamiento
Destino
Tipo de destinatario
Destinatario
Tipo de Datos Transferidos
Finalidad Genérica de la transmisión
Fundamento legal de la transmisión
Conservación
Tiempo de conservación en medio automatizado
Tiempo de conservación en el archivo de trámite
14
Tiempo de conservación en el archivo de concentración
Y en su caso señale si se contempla la transferencia del sistema al archivo histórico
Seguridad
Nivel de seguridad utilizado para resguardar los datos contenidos en el sistema: Básico, Medio o Alto.
Una vez inscrito un nuevo SDP, el Registro Electrónico de Sistemas de Datos Personales “RESDP” generará una cadena de números a las cuales se les denomina “Folio RESDP”, el cual es único e irrepetible y tiene la finalidad de identificar al Sistema, mismo que deberá asentarse en el encabezado del respectivo Documento de Seguridad. Es importante que como medida de seguridad el Titular de la unidad médico/administrativa haga del conocimiento de los Responsables, Responsables de Seguridad y Encargados de los Sistemas de Datos Personales que existe a su disposición una liga en el portal de la página electrónica del INFODF denominada “Sistema de Datos Personales – Registro Electrónico de Sistemas de Datos Personales (RESDP) – Consulta Pública”, para que conozcan su contenido.
Claves y contraseñas Es la Oficina de Información Pública quien opera y resguarda las claves y contraseñas de los SDP registrados en el Registro Electrónico de Datos Personales (RESDP) del INFODF, en razón del volumen de éstos; la vulnerabilidad que implica la modificación de algún dato previamente registrado; rotación de personal (cambio de Responsables, Responsables de Seguridad y/o Encargado del SDP) y el seguimiento de las obligaciones y responsabilidades que establece la Ley en la materia.
Ya que ante el número considerable de Responsables se extenúa el manejo de la información registrada y no se cuenta con la seguridad que sean éstos quienes actualicen o modifiquen los datos contenidos.
Es importante destacar que independientemente que la EDP, administre las claves y contraseñas del RESDP, es el titular de las unidades médico/administrativas quién debe notificar y solicitar la actualización correspondiente de los SDP en este registro.
15
6.2 Durante la recolección de los datos Deber de información
El deber de informar debe darse a conocer al interesado previo al tratamiento de datos personales, ya que éste forma parte de los principios básicos de protección de datos personales. Este deber depende, de modo esencial, de la eficacia del derecho fundamental a la protección de los datos. Es obligación de los Entes Públicos que cuenten con SDP informar al interesado de forma previa, expresa, precisa e inequívoca, a través del medio que se utilice para la recolección de los mismos. A efecto de cumplir con el deber de información previsto en el artículo 9 de la Ley de la materia, en el momento en que se recaben datos personales, por cualquier medio, el Ente Público deberá hacer del conocimiento del interesado las advertencias a las que se refiere dicho artículo.
Artículo 9.- Cuando los entes públicos recaben datos personales deberán informar previamente a los interesados de forma expresa, precisa e inequívoca lo siguiente:
I. De la existencia de un sistema de datos personales, del
tratamiento de datos personales, de la finalidad de la obtención de
éstos y de los destinatarios de la información;
II. Del carácter obligatorio o facultativo de responder a las preguntas
que les sean planteadas;
III. De las consecuencias de la obtención de los datos personales, de la
negativa a suministrarlos o de la inexactitud de los mismos;
IV. De la posibilidad para que estos datos sean difundidos, en cuyo
caso deberá constar el consentimiento expreso del interesado,
salvo cuando se trate de datos personales que por disposición de
una Ley sean considerados públicos;
V. De la posibilidad de ejercitar los derechos de acceso, rectificación,
cancelación y oposición; y
VI. Del nombre del responsable del sistema de datos personales y en
su caso de los destinatarios.
Cuando se utilicen cuestionarios u otros impresos para la obtención de los datos, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el presente artículo.
16
En caso de que los datos de carácter personal no hayan sido obtenidos del interesado, éste deberá ser informado de manera expresa, precisa e inequívoca, por el responsable del sistema de datos personales, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad de lo previsto en las fracciones I, IV y V del presente artículo.
Se exceptúa de lo previsto en el presente artículo cuando alguna ley expresamente así lo estipule. Tampoco regirá lo dispuesto en el presente artículo cuando los datos personales procedan de fuentes accesibles al público en general.
Sin perjuicio de la modalidad mediante la cual se recaben datos personales, éstos, deberán utilizar el siguiente modelo de leyenda (Lineamiento 13.)para informar al interesado de las advertencias a que se refiere el artículo 9 de la Ley:
“Los datos personales recabados serán protegidos, incorporados y tratados en el Sistema de Datos Personales (nombre del sistema de datos personales), el cual tiene su fundamento en (fundamento legal que faculta al Ente Público para recabar los datos personales),cuya finalidad es (describir la finalidad del sistema) y podrán ser transmitidos a (destinatario y finalidad de la transmisión), además de otras transmisiones previstas en la Ley de Protección de Datos Personales para el Distrito Federal. Los datos marcados con un asterisco (*) son obligatorios y sin ellos no podrá acceder al servicio o completar el trámite (indicar el servicio o trámite de que se trate) Asimismo, se le informa que sus datos no podrán ser difundidos sin su consentimiento expreso, salvo las excepciones previstas en la Ley. El responsable del Sistema de datos personales es (nombre del responsable), y la dirección donde podrá ejercer los derechos de acceso, rectificación, cancelación y oposición, así como la revocación del consentimiento es (indicar el domicilio de la Oficina de Información Pública correspondiente). El interesado podrá dirigirse al Instituto de Acceso a la Información Pública y Protección de Datos Personales del Distrito Federal, donde recibirá asesoría sobre los derechos que tutela la Ley de Protección de Datos Personales para el Distrito Federal al teléfono: 5636-4636; correo electrónico: [email protected] o www.infodf.org.mx”.
Es conveniente realice las acciones necesarias a efecto de colocar a la vista el Modelo Leyenda en áreas de atención al interesado y/o en aquellas en las que se recaben datos personales, así como en donde se encuentre resguardado el SDP en el que están siendo protegidos su datos personales, con la finalidad de cumplir con el deber de informar, permitiendo en un primer momento comunicar previamente a las personas de forma expresa, precisa e inequívoca de la existencia de un sistema de datos personales, del tratamiento de sus datos personales, de la finalidad de la obtención de éstos y de los destinatarios de la información, garantizándoles su guarda y protección.
17
Menores o incapaces En caso de que se requiera obtener DP de menores de edad o incapaces, es conveniente cerciorarse de que quien otorga el consentimiento es la persona que ejerce la patria potestad, tutela o la representación legal del menor o incapaz de que se trate en términos del Código Civil para el Distrito Federal.
Excepciones al deber de información En el caso de DP que no hayan sido obtenidos directamente del interesado, no habrá obligación de cumplir con el deber de información cuando resulte material o jurídicamente imposible o requiera de esfuerzos desproporcionados, en razón del número de interesados y/o la antigüedad de los datos.
6.3. Durante el tratamiento de los datos
Documento de Seguridad
Es necesario que todos los Responsables, Responsables de Seguridad y Encargados de los Sistemas de Datos Personales cuenten con una cultura en esta materia, por lo que es de suma importancia el reconocimiento y los alcances del Documento de Seguridad que de estos deriven, en razón de que se constituye como una medida de seguridad de los Sistemas, que representa un instrumento indispensable que establece las medidas y procedimientos administrativos, físicos y técnicos de seguridad aplicables a los Sistemas de Datos Personales necesarios para garantizar la protección, confidencialidad, integridad y disponibilidad de los datos personales contenidos en dichos sistemas; el cual será de observancia obligatoria para todos los servidores públicos que derivado de sus funciones, tengan acceso a los sistemas de datos personales y/o al sitio donde se ubican los mismos. Una vez identificados y registrados los sistemas en el RESDP el responsable de éste deberá elaborar, difundir e implementar su correspondiente documento de seguridad el cual deberá contener, como mínimo, los siguientes aspectos (Lineamiento 16 Fracción I inciso a):
18
Nombre del sistema;
Cargo y adscripción del Responsable, Responsable de Seguridad y/o Encargado
Ámbito de aplicación;
Estructura y descripción del sistema de datos personales;
Especificación detallada de la categoría de datos personales contenidos en el sistema;
Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales;
Medidas, normas, procedimientos y criterios enfocados a garantizar el nivel de seguridad exigido por el artículo 14 de la Ley y sus Lineamientos;
Procedimientos de notificación, gestión y respuesta ante incidencias;
Procedimientos para la realización de copias de respaldo y recuperación de los datos, para los sistemas de datos personales automatizados; y
Procedimientos para la realización de auditorías, en su caso.
El documento de seguridad deberá actualizarse anualmente o cuando se produzcan cambios relevantes en el tratamiento, que puedan repercutir en el cumplimiento de las medidas de seguridad establecidas.
Sistema de Administración de Leyendas y Documentos de Seguridad Con la finalidad de facilitar la creación y modificación de los Documentos de Seguridad se diseñó una herramienta informática denominada “Sistema de Administración de Leyendas y Documentos de Seguridad”, la cual a través de usuarios y contraseñas optimiza la generación de éstos documentos y Leyendas de cada uno de los SDP de la Secretaría de Salud y de los Servicios de Salud Pública, ambos del Distrito Federal. Esta herramienta apoya a cada uno de los Responsables de los SDP a actualizar de manera sencilla y ágil cada uno de los DS, así como sus anexos que comprenden las medidas de seguridad:
Anexo 1.- Nombre y cargo de los Encargados del SDP.
Anexo 2.- Ámbito espacial.
Anexo 3.- Destinatarios.
19
Anexo 4.- Funciones y obligaciones específicas de las personas involucradas en el tratamiento de Datos Personales.
Anexo 5, 5A y 5B.- Procedimiento de notificación, gestión y respuesta ante incidencias.
Anexo 6.- Programa de mantenimiento preventivo, fumigación y erradicación de plagas; extintores; supervisión interna de las áreas físicas; consignas de vigilancia para asegurar la restricción de acceso al área por el público y personal no autorizado.
Y en su caso, Anexo 7 y 8.- Vales de préstamo. El “Sistema de Administración de Leyendas y Documentos de Seguridad” está desarrollada en un ambiente web con el propósito de tener acceso sin tener que realizar alguna instalación, adicionalmente la información de los SDP se encuentra protegida, ya que se personalizaron los usuarios y contraseñas a cada uno de los Sistemas inscritos; las modificaciones a los Documentos de Seguridad y Leyendas, en el caso de los Responsables, se limita sólo a las secciones propias de la Unidad Médica/Administrativa, como son: Responsables, Encargados y Medidas de Seguridad, con esto se disminuye el margen de error al momento de realizar la captura. Con estos atributos, los beneficios logrados son la generación automática del Documento de Seguridad y Leyenda desde cada Unidad Médico/Administrativa optimizando los tiempos en la revisión y validación de la información. Es función de los Responsables, Responsables de Seguridad y/o Encargados durante el tratamiento de los datos personales:
Tratar los datos de manera leal y lícita.
Utilizar los datos para fines determinados, explícitos y legítimos para los que fueron recabados.
Corroborar que los datos sean adecuados, pertinentes y no excesivos en relación con el ámbito y los fines para los que se han recabados.
Comprobar que los datos sean exactos y mantenerse actualizados de manera que respondan con veracidad a la situación actual de su titular.
Atender las solicitudes ARCO.
Conservar los datos personales solamente durante el tiempo necesario para el cumplimiento de la finalidad para la cual fueron recabados.
Adoptar todas las medidas necesarias para garantizar la seguridad de los datos personales e impedir cualquier alteración, daño, pérdida, destrucción, tratamiento o acceso no autorizado a los datos personales.
20
7. Medidas de Seguridad de los Sistemas de Datos Personales
¿Qué es una medida de seguridad?
Son las acciones que los Responsables, Responsables de Seguridad y Encargados
de los SDP implementan de forma cotidiana encaminadas a proteger, procurar y
fortalecer la recopilación, uso, manejo, guarda y protección de los datos
personales de forma física y electrónica; tales como: espacios físicos restringidos,
controles de acceso, libretas de registro e incidencias, vales de préstamo,
inventarios documentales, señalamientos, Documentos de Seguridad,
capacitación, claves y contraseñas.
Ejemplos de medidas de seguridad para los SDP Físicos
Espacio específico de resguardo Puerta de acceso con cerradura Barra Libreta de registro de control de acceso Libreta de registro de incidencias Vales múltiples e individuales Mobiliario de resguardo: Racks y lockers, Archiveros, Gavetas, Credenza, etc. Programa de Mantenimiento Gafetes de identificación del personal que puede acceder a las áreas del archivo
Ejemplos de medidas de seguridad para los SDP Automatizados
Equipos de seguridad perimetral (firewall) Respaldos periódicos de base de datos que permiten la recuperación en caso de
siniestro. El acceso a las aplicaciones se realiza mediante un usuario único y las claves de
acceso es mediante algoritmos de cifrado. Nivel de seguridad en capas: Los niveles de base de datos no son accesibles
directamente desde la red pública o red interna. Solamente se tiene acceso desde el servidor de aplicación que usa la base de datos correspondiente.
La gestión de los distintos procesos dentro del sistema se encuentra determinada por privilegios (Control de acceso basado en roles).
Control de acceso a servidores mediante la restricción de acceso a programas, archivos y sistemas de administración de base de datos.
21
Paso Uno: Identificar tu Sistema
Las Medidas de seguridad que adopte cada Unidad Médico/Administrativa responderán a las características de sus SDP, es decir, físicos, automatizados o mixtos, con el objeto de garantizar la confidencialidad, integridad y disponibilidad de los datos personales durante su tratamiento. Asimismo, es importante la identificación de los colectivos cuyos datos están siendo tratados, estos pueden ser: pacientes, ciudadanos o empleados. De estos colectivos, se obtiene información de diferente naturaleza: datos identificativos (nombre, dirección...), datos laborales, datos de salud.
Paso Dos: Políticas de Seguridad de los Sistemas de Datos Personales Se deberá implantar un conjunto de políticas de seguridad respecto a los datos que manejan en el ejercicio de sus competencias. Estas políticas tienden a garantizar la continuidad de sus actividades en caso de que se produzcan incidencias, fallos, infracciones, pérdidas accidentales o desastres que afecten a los datos e información que son almacenados y tratados, ya sea a través de sistemas en papel o informáticos. Las políticas deberán ser adoptadas e implantadas por el Responsable de Seguridad y/o Encargado; las medidas se pueden clasificar de la siguiente forma:
Medidas organizativas, destinadas a establecer procedimientos y estándares de aplicación, que garanticen la seguridad y cuyos destinatarios son los encargados que tratan los datos de los sistemas.
Medidas técnicas, destinadas principalmente a conservar la integridad física de la información, para evitar robos, pérdidas o alteraciones no justificadas.
Instrumentos archivísticos, permiten establecer controles de resguardo
de la documentación así como entradas y salidas (libreta de gobierno,
vales individuales y/o múltiples de préstamo).
A los SDP se les aplican las medidas de seguridad de acuerdo al grado de información sensible que contienen, en relación con la mayor o menor necesidad de garantizar la confidencialidad, integridad y disponibilidad de la información.
22
7.1 Procedimiento de notificación, gestión y registro de incidencias
Se entiende por incidencia cualquier anomalía que afecte o pudiera afectar la seguridad, integridad, confidencialidad o disponibilidad de los datos; así también se pueden considerar los accesos no autorizados, la pérdida o extravío de datos, una incorrecta gestión, etc. Los procedimientos de notificación, gestión y respuesta ante incidencias contarán necesariamente con un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las acciones implementadas. Cualquier persona que conozca de una incidencia respecto a la seguridad de los datos de carácter personal o de las medidas de seguridad correspondientes tiene la obligación de comunicarlo al Responsable, Responsable de Seguridad y/o Encargado, quienes emprenderán las medidas necesarias para su corrección o notificación a la autoridad competente, realizando en este caso un seguimiento para verificar las acciones que de estos resulten. El Responsable, Responsable de Seguridad y/o Encargado, serán los garantes de mantener un registro de las incidencias en el que, además de los datos especificados en la notificación, se incluirán las medidas adoptadas en cada caso para la solución de dicha incidencia. Con la finalidad de dejar constancia de los hechos ocurridos y delegar responsabilidades ante el Órgano de Control Interno o bien Autoridad Administrativa/Médica competente, el Responsable del Sistema deberá notificar el siniestro, a través de acta administrativa acta de hechos y/o ante el Ministerio Público, así como informar al Enlace en Materia de Datos Personales sobre las medidas que se tomen ante cualquier tipo de incidencia. Los formatos y procedimiento específico a seguir en caso de presentarse una incidencia está contemplado en el anexo 5 del respectivo Documento de Seguridad. Resuelta la incidencia, los responsables deberán verificar su atención. En el caso de que el propio Responsable haya sido la persona que ha resuelto la incidencia deberá ser una persona diferente la que verifique.
23
El “Procedimiento de notificación, gestión y respuesta ante incidencias” se encuentra establecido en el Anexo 5, 5A y 5B del Documento de Seguridad de cada uno de los SDP y puede ser consultado en el apartado "Anexos" de este prontuario.
7.2 Control de acceso físico y registro de acceso El Responsable deberá mantener actualizada la relación de personas involucradas en el tratamiento de DP al menos una vez al año o cuando se realice una alta o baja de personal, lo que permitirá a su vez adoptar medidas para que los Responsables, Responsables de Seguridad y Encargados tengan acceso autorizado únicamente a aquellos datos y recursos necesarios para el desarrollo de sus funciones, solamente el responsable podrá conceder, alterar o anular la autorización para el acceso a los SDP. Asimismo, deberá establecer los procedimientos para el uso de bitácoras respecto de las acciones cotidianas llevadas a cabo en los archivos. La implementación de las bitácoras estará bajo el control directo del Responsable de Seguridad del Sistema correspondiente, sin que permita la manipulación de los mismos, con la finalidad de dejar constancia de las personas que tienen acceso a la información contenida en los sistemas. El acceso a las instalaciones donde se encuentren los SDP, ya sea en soporte físico o electrónico, deberá permitirse exclusivamente a quienes estén expresamente autorizados en el Documento de Seguridad, es decir, los Responsables, Responsables de Seguridad y/o Encargados del SDP. En el caso de que personal ajeno a la Entidad (ejemplo, auditores o inspectores) que derivado de sus funciones requieran acceder al mismo, deberán reconocerse en el Documento de Seguridad, asimismo éstos serán debidamente informados acerca de todas las obligaciones en materia de protección de datos a las que deben apegarse.
Libreta de Registro de Acceso Será obligatorio contar con una libreta de registro de acceso en la cual se registre: nombre de la persona, fecha y hora en que se realizó, el sistema accedido, el tipo de acceso y si este fue autorizado o denegado, es importante mencionar que el período de conservación de los datos consignados en el registro de acceso será de al menos dos años; asimismo, es necesario el cumplimento y observancia de los instrumentos de control archivísticos tales como:
24
Cuadro General de Clasificación Archivística,
Catálogo de Disposición Documental,
Inventario Documental y,
Carátula de Identificación.
7.3 Gestión de soportes Los soportes informáticos que contengan datos de carácter personal deberán estar claramente identificados, siempre y cuando, las características físicas del soporte lo permitan. Esta identificación deberá reflejar el contenido del soporte de manera clara para aquellas personas autorizadas para su manejo. Al almacenar los soportes físicos y electrónicos que contengan datos de carácter personal se deberá cuidar que estén etiquetados para permitir identificar el tipo de información que contienen, ser inventariados y sólo podrán ser accesibles por el personal autorizado para ello en el Documento de Seguridad. La salida de soportes y documentos que contengan datos de carácter personal, fuera de las instalaciones u oficinas bajo el control del Responsable, deberá ser autorizada por éste, o encontrarse debidamente autorizada en el Documento de Seguridad.
7.4 Identificación y autentificación El Responsable y Responsable de Seguridad tendrán a su cargo la elaboración de una relación actualizada de servidores públicos que tengan acceso autorizado al SDP y de establecer procedimientos que permitan la correcta identificación y autenticación para dicho acceso; también establecerán un mecanismo que
25
permita la identificación de forma inequívoca y personalizada, de toda aquella persona que intente acceder al SDP y la verificación de que está autorizada. Cuando el mecanismo de autenticación se base en la existencia de contraseñas se establecerá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.
7.5 Almacenamiento de la información Esta medida exige a la Unidad la custodia de aquellos archivos con medidas de seguridad propias (área restringida, puerta, chapas con llave, etc.),imposibilitando el acceso de personal no autorizado; dichas áreas deberán permanecer cerradas cuando no se accedan a éstas.
7.6 Copia o reproducción En el caso de las copias realizadas a documentos que contengan datos de carácter personal de nivel alto, sólo podrán ser realizadas y supervisadas por las personas que se autoricen en el Documento de Seguridad y requerimiento emitido por autoridad competente.
7.7 Acceso a la documentación Es necesario establecer que el acceso a la documentación se limite exclusivamente al personal autorizado en el Documento de Seguridad. De un lado, se establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por diversos servidores públicos adscritos a la Unidad Administrativa en la cual se encuentra resguardado el Sistema de Datos Personales. Por lo que respecta al acceso de personas no incluidas en el párrafo anterior, éste deberá quedar plenamente registrado de acuerdo con el procedimiento establecido para tal efecto en el Documento de Seguridad. Con el fin de evitar accesos no autorizados, se deben implantar mecanismos de prevención y detección física para garantizar un adecuado control de acceso a los recursos en los archivos correspondientes del Ente Público.
26
En la detección de accesos indebidos se recomienda la utilización de medios físicos en la medida que sea posible, como una barra con vidrio posterior a la puerta de entrada, puerta bandera, personal de vigilancia, etc., que permitan detectar qué personas han accedido sin autorización.
7.8 Traslado de la documentación Cuando la documentación, independientemente de los datos personales que contenga, haya de ser trasladada fuera de su ubicación original, se deben aplicar medidas de seguridad que impidan la pérdida o manipulación de los datos, por lo que al personal interno (gestores) se les entregará una relación en la que se indique las características del documento (número de oficio, sobre cerrado, número de fojas).
8. Derechos ARCO Los derechos de acceso, rectificación, cancelación y oposición son personales y serán ejercidos directamente por el interesado o su representante legal, en la Oficina de Información Pública (OIP), observando lo previsto en la LPDPDF en su Capítulo II “Del Procedimiento”, artículos 32 al 37.
Derecho de acceso El derecho de acceso es la prerrogativa del interesado a obtener información acerca de sus propios datos de carácter personal, de forma concreta, a datos incluidos en un determinado Sistema o la totalidad de los datos sometidos a tratamiento en los SDP en posesión de un Ente Público.
Derecho de rectificación El derecho de rectificación es la prerrogativa del interesado a que se modifiquen los datos que resulten inexactos o incompletos, con respecto a la finalidad para la cual fueron obtenidos. Los datos serán considerados exactos si corresponden a la situación actual del interesado. La solicitud de rectificación deberá indicar qué datos se requiere sean rectificados o completados y se acompañará de la documentación que justifique lo solicitado.
27
Derecho de cancelación El derecho de cancelación es la prerrogativa del interesado a solicitar que se eliminen los datos que resulten inadecuados o excesivos en el SDP de que se trate; se considerará que los datos son inadecuados, cuando estos no guarden una relación con el ámbito de aplicación y finalidad por la cual fueron recabados, o bien, si dejaron de ser necesarios con respecto a dicha finalidad; así mismo se considerarán como excesivos, si los datos obtenidos son más de los estrictamente necesarios en relación a dicha finalidad. En la solicitud de cancelación, el interesado deberá indicar a qué datos se refiere, aportando, en su caso, la documentación que justifique las razones por las cuales considera que el tratamiento no se ajusta a lo dispuesto en la Ley.
Derecho de oposición El derecho de oposición es la prerrogativa del interesado a solicitar que no se lleve a cabo el tratamiento de sus Datos Personales para un fin determinado o se cese en el mismo, cuando no sea necesario otorgar el consentimiento para el tratamiento en términos de lo dispuesto por el artículo 16 de la LPDPDF, como consecuencia de un motivo legítimo y fundado del interesado y siempre que una Ley no disponga lo contrario.
9. Acto de Entrega-Recepción Los servidores públicos involucrados en el manejo, tratamiento, guarda y
protección de los SDP existentes en su área de adscripción, tienen la
responsabilidad, en el momento de dejar el cargo, de entregar al servidor público
entrante, en un esquema similar a un Acta de Entrega- Recepción, toda la
documentación relacionada con los Sistemas que hasta ese momento se
encontraban bajo su responsabilidad, es decir, la denominada Carpeta Blanca de
Datos Personales, la cual contendrá por lo menos:
Nombramiento de su figura en el SDP (Responsables, Responsable de
Seguridad y/o Encargado); actualización de nombramientos en su caso.
Formatos de leyenda.
Documento de Seguridad.
28
Normatividad Aplicable: LTAIPDF, LPDPDF, Lineamientos, Instrumentos
archivísticos, Criterios de Capacitación, Prontuario de Datos Personales.
Programa Anual de Capacitación en materia de Transparencia y
Protección de Datos Personales.
Atención a solicitudes de Acceso, Rectificación, Cancelación y Oposición
de Datos Personales (SARCO).
Para mayor referencia consultar el apartado de anexos en el cual encontrará el
Índice de la Carpeta Blanca tanto de la Secretaría de Salud como de los Servicios
de Salud Pública, ambos del Distrito Federal.
Se propone el siguiente formato, sin embargo cada Unidad
Médico/Administrativa podrá adecuarlo a sus necesidades:
29
10. De Las Infracciones Constituyen infracciones a la LPDPDF (Artículo 41):
La omisión o irregularidad en la atención de solicitudes de acceso, rectificación, cancelación u oposición de datos personales;
Recabar datos de carácter personal sin proporcionar la información prevista en la LPDPDF.
Crear Sistema de Datos de carácter personal, sin la publicación previa en la Gaceta Oficial del Distrito Federal;
Obtener datos sin el consentimiento expreso del interesado cuando éste es requerido;
30
Incumplir los principios previstos por la presente Ley;
Transgredir las medidas de protección y confidencialidad a las que se refiere la Ley;
Omitir total o parcialmente el cumplimiento de las resoluciones realizadas por el Instituto, así como obstruir las funciones del mismo;
Omitir o presentar de manera extemporánea los informes a que se refiere la presente Ley;
Obtener datos personales de manera engañosa o fraudulenta;
Transmitir datos personales, fuera de los casos permitidos, particularmente cuando la transmisión haya tenido por objeto obtener un lucro indebido;
Impedir u obstaculizar la inspección ordenada por el Instituto o su instrucción de bloqueo de SDP;
Destruir, alterar, ceder Datos Personales, archivos o SDP sin autorización;
Incumplir con la inmovilización de SDP ordenada por el Instituto; y
El incumplimiento de cualquiera de las disposiciones contenidas en esta Ley.
Las infracciones a que se refiere el artículo 41 o cualquiera otra derivada del incumplimiento de las obligaciones establecidas en la Ley, serán sancionadas en términos de la Ley Federal de Responsabilidades de los Servidores Públicos, siendo independientes de las de orden civil o penal que procedan, así como los procedimientos para el resarcimiento del daño ocasionado por el Ente Público.
11. Acciones de difusión Como medida de seguridad es imperante que los titulares de las Unidades Médico/Administrativas que cuenten con SDP difundan ampliamente (escrito y electrónico) la Leyenda, el Documento de Seguridad y el “Prontuario para el manejo, tratamiento, resguardo, protección y aplicación de medidas de seguridad a los Sistemas de Datos Personales”, a todo el personal involucrado en el manejo, tratamiento, guarda y protección de sus respectivos SDP principalmente a los Responsables, Responsables de la Seguridad y Encargados de éstos. Asimismo se realicen y apliquen las acciones y medidas de seguridad señaladas en el presente Prontuario y el Documento de Seguridad, realizando acciones para fortalecer el conocimiento y comprensión de ambos documentos al interior de su unidad.
31
12. Definiciones
Calidad de los Datos: Los datos personales recabados deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido. Los datos recabados deberán ser los que respondan con veracidad a la situación actual del interesado.
Categorías de Datos Personales: Los Datos Personales contenidos en los Sistemas se clasificarán, de manera enunciativa, más no limitativa, de acuerdo a las siguientes categorías: I. Datos identificativos: El nombre, domicilio, teléfono particular, teléfono celular, firma, clave del Registro Federal de Contribuyentes (RFC), Clave Única de Registro de Población (CURP), Matrícula del Servicio Militar Nacional, número de pasaporte, lugar y fecha de nacimiento, nacionalidad, edad, fotografía, demás análogos; II. Datos electrónicos: Las direcciones electrónicas, tales como, el correo electrónico no oficial, dirección IP(Protocolo de Internet), dirección MAC (dirección Media Access Control o dirección de control de acceso al medio), así como el nombre del usuario, contraseñas, firma electrónica; o cualquier otra información empleada por la persona, para su identificación en Internet u otra red de comunicaciones electrónicas; III. Datos laborales: Documentos de reclutamiento y selección, nombramiento, incidencia, capacitación, actividades extracurriculares, referencias laborales, referencias personales, solicitud de empleo, hoja de servicio, demás análogos; IV. Datos patrimoniales: Los correspondientes a bienes muebles e inmuebles, información fiscal, historial crediticio, ingresos y egresos, cuentas bancarias, seguros, fianzas, servicios contratados, referencias personales, demás análogos; V. Datos sobre procedimientos administrativos y/o jurisdiccionales: La información relativa a una persona que se encuentre sujeta a un procedimiento administrativo seguido en forma de juicio o jurisdiccional en materia laboral, civil, penal, fiscal, administrativa o de cualquier otra rama del Derecho;
32
VI. Datos académicos: Trayectoria educativa, calificaciones, títulos, cédula profesional, certificados y reconocimientos, demás análogos; VII. Datos de tránsito y movimientos migratorios: Información relativa al tránsito de las personas dentro y fuera del país, así como información migratoria; VIII. Datos sobre la salud: El expediente clínico de cualquier atención médica, referencias o descripción de sintomatologías, detección de enfermedades, incapacidades médicas, discapacidades, intervenciones quirúrgicas, vacunas, consumo de estupefacientes, uso de aparatos oftalmológicos, ortopédicos, auditivos, prótesis, así como el estado físico o mental de la persona; IX. Datos biométricos: huellas dactilares, ADN, geometría de la mano, características de iris y retina, demás análogos; X. Datos especialmente protegidos (sensibles): origen étnico o racial,
características morales o emocionales, ideología y opiniones políticas,
creencias, convicciones religiosas, filosóficas y preferencia sexual; y
XI. Datos personales de naturaleza pública: aquellos que por mandato
legal sean accesibles al público.
Confidencialidad: Consiste en garantizar que exclusivamente la persona interesada puede acceder a los datos personales o, en su caso, el responsable o el usuario del Sistema de Datos Personales para su tratamiento, así como el deber de secrecía del responsable del Sistema de Datos Personales, así como de los usuarios.
Los instrumentos jurídicos que correspondan a la contratación de servicios del responsable del Sistema de Datos Personales, así como de los usuarios, deberán prever la obligación de garantizar la seguridad y confidencialidad de los Sistemas de Datos Personales, así como la prohibición de utilizarlos con propósitos distintos para los cuales se llevó a cabo la contratación, así como las penas convencionales por su incumplimiento. Lo anterior, sin perjuicio de las responsabilidades previstas en otras disposiciones aplicables.
33
Los Datos Personales son irrenunciables, intransferibles e indelegables, por lo que no podrán transmitirse salvo disposición legal o cuando medie el consentimiento del titular y dicha obligación subsistirá aún después de finalizada la relación entre el Ente Público con el titular de los Datos Personales, así como después de finalizada la relación laboral entre el Ente Público y el Responsable del Sistema de Datos Personales o los usuarios.
El Responsable del Sistema de Datos Personales o los usuarios podrán ser relevados del deber de confidencialidad por resolución judicial y cuando medien razones fundadas relativas a la seguridad pública, la seguridad nacional o la salud pública.
Consentimiento: Se refiere a la manifestación de voluntad libre, inequívoca, específica e informada, mediante la cual el interesado consiente el tratamiento de sus datos personales.
Criterios de Capacitación: Criterios de Capacitación y Obtención de Constancias en Materia de Datos Personales.
Datos Personales: La información numérica, alfabética, gráfica, acústica o de cualquier otro tipo concerniente a una persona física, identificada o identificable. Tal y como son, de manera enunciativa y no limitativa: el origen étnico o racial, características físicas, morales o emocionales, la vida afectiva y familiar, el domicilio y teléfono particular, correo electrónico no oficial, patrimonio, ideología y opiniones políticas, creencias, convicciones religiosas y filosóficas, estado de salud, preferencia sexual, la huella digital, el ADN y el número de seguridad social, y análogos;
Disponibilidad: Los datos deben ser almacenados de modo que permitan el ejercicio de los derechos de acceso, rectificación, cancelación y oposición del interesado.
INFODF: Instituto de Acceso a la Información Pública y Protección de Datos Personales del Distrito Federal.
LADF: Ley de Archivos del Distrito Federal
34
Licitud: Consiste en que la posesión y tratamiento de Sistemas de Datos Personales obedecerá exclusivamente a las atribuciones legales o reglamentarias de cada Ente Público y deberán obtenerse a través de medios previstos en dichas disposiciones.
Los Sistemas de Datos Personales no pueden tener finalidades contrarias a las leyes o a la moral pública y en ningún caso pueden ser utilizados para finalidades distintas o incompatibles con aquella que motivaron su obtención. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
LPDPDF: Ley de Protección de Datos Personales para el Distrito Federal.
LTAIPDF: Ley de Transparencia y Acceso a la Información Pública del Distrito Federal.
Lineamientos:Lineamientos para la Protección de Datos Personales en el Distrito Federal.
Niveles de seguridad: Son los niveles en que se dividen las medidas de seguridad atendiendo a la naturaleza de la información tratada. En base a ello existen tres niveles de seguridad: básico, medio y alto.
OIP: Oficina de Información Pública.
Prontuario de Datos Personales: Prontuario para el manejo, tratamiento, resguardo, protección y aplicación de medidas de seguridad a los Sistemas de Datos Personales.
Seguridad: Consiste en garantizar que únicamente el responsable del Sistema de Datos Personales, o en su caso los usuarios autorizados, puedan llevar a cabo el tratamiento de los datos personales mediante los procedimientos que para tal efecto se establezcan.
SDP: Sistema de Datos Personales.
Temporalidad: Los Datos Personales deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los que hubiesen sido recolectados.
35
Queda exceptuado el tratamiento que con posterioridad se les dé con objetivos estadísticos o científicos, siempre que cuenten con el procedimiento de disociación.
Únicamente podrán ser conservados de manera íntegra, permanente y sujetos a tratamiento los datos personales con fines históricos.
36
13. Anexos
Procedimiento de notificación, gestión y respuesta ante incidencias
1. Cualquier persona que detecte una incidencia deberá informarla al responsable de seguridad y al responsable del sistema de datos personales.
2. Los encargados deberán registrar la incidencia en el formato “Registro de Incidencias” (anexo 5B del Documento de Seguridad), donde se inscribirá el tipo de incidencia, la fecha y la hora en que tuvo lugar, quién la observó, a quién se comunica, cusas de la incidencia y las acciones a implementar para atenderla.
3. Es obligatorio llenar todos los campos acotados que resulten pertinentes en el registro de incidencias. En caso de necesitar más espacio, se agregarán las fojas que se consideren convenientes.
4. Una vez notificada la incidencia, el responsable de seguridad quedará a cargo de coordinar y controlar las medidas de seguridad en el tratamiento de los datos personales, de acuerdo a lo siguiente:
a) En caso de que el responsable de seguridad determine que la incidencia no merma la seguridad de los datos, deberá entregar un informe con los datos del registro al Responsable del Sistema de Datos Personales, para su conocimiento. También se dará por terminado el procedimiento de notificación, gestión y respuesta ante incidencias, o bien;
b) En caso de que el responsable de seguridad determine que la incidencia genera una afectación a la seguridad y protección de los archivos físicos que contienen datos personales, deberá solicitar al encargado en turno llenar el formato denominado “Elaboración de acta circunstanciada”, disponible en este documento como anexo 5.
c) El responsable del sistema deberá elaborar un acta circunstanciada de hechos, en el formato “Elaboración de acta circunstanciada” (anexo 5), para su registro y control.
d) Es obligatorio llenar todos los campos acotados que resulten pertinentes, tanto en el formato de acta circunstanciada.
e) Si la incidencia reportada implica la pérdida de documentos o infringe los términos establecidos en el artículo 41 de la Ley de Protección de Datos Personales, se requerirá la intervención del Órgano Interno de Control, para la implementación del acta circunstanciada.
f) El formato “Elaboración de acta circunstanciada”, deberá contener la siguiente información:
I. Tipo de incidencia. Se anotará el tipo de incidencia de acuerdo al “Catálogo de incidencias” (anexo 5A).
37
II. Tipo de soporte. Se anotará el tipo de soporte usado para el sistema de datos personales (físico, automatizado o mixto [físico y automatizado])
III. Lugar y momento en que se produjo. Inscribir en el formato el lugar, la hora y fecha de la incidencia.
Valoración de la serie documental vinculada al sistema de datos personales
afectado. Acotar la condición de los documentos que contienen los datos
personales afectados en el Sistema, al momento de la incidencia:
a) Valor primario (legal, fiscal, contable o administrativo).
b) Valor secundario. Puede ser informativo, testimonial y/o evidencial.
c) Tiempo de conservación de los datos personales, ya sea que se encuentren
en archivo de trámite, archivo de concentración, o archivo histórico.
Tipo de datos personales afectados. Se dejará constancia de los tipos de datos
personales que fueron mermados o afectados por la incidencia.
Descripción de los hechos. Explicación detallada de la incidencia.
IV. Efectos que derivan de la incidencia. Describir las afectaciones a la operatividad
y/o estructura del sistema de datos personales. Anotar también las posibles
consecuencias y/o perjuicios que derivan de la incidencia, en términos de las
infracciones previstas en el artículo 41 de la Ley de Protección de Datos Personales
para el Distrito Federal.
V. Acciones implementadas que derivan de la incidencia. Medidas correctivas
aplicadas para la recuperación de datos. En este apartado se informará lo siguiente:
a) Procedimiento realizado en la recuperación de los datos.
b) Persona a cargo de la ejecución del procedimiento.
c) Datos restaurados.
d) En caso necesario, informar si en el proceso de recuperación de los
datos, éstos fueron grabados o reproducidos manualmente.
VI. Persona que notifica la incidencia. Nombre y cargo de quien informa la
Incidencia.
VII. Persona que recibe la notificación. Nombre y cargo del responsable de
seguridad.
VIII. Firma. En el registro de incidencias se incluirán las firmas del responsable de
seguridad y la persona que notificó la incidencia.
38
39
40
41
Índice de la Carpeta Blanca de la Secretaría de Salud del Distrito Federal
42
Índice de la Carpeta Blanca de los Servicios de Salud Pública del Distrito Federal
43
44
PASO 1 Identificación de
Sistemas de Datos Personales
Nombre Finalidad y Categoria de Datos
Nombramiento de Responsables,
Responsables de seguridad y/o
Encargados
Cumplimiento y observacia de
Oblicaciones en materia de DP
PASO 2 Etapas de
Recolección de DP
Deber de Informar
Leyenda de Datos Personales
Principios
Recoleción de datos
Derechos ARCO:
Acceso
Rectificación
Cancelación
Oposición
PASO3 Medidas de
seguridad de Datos Personales
Elaborar documento de seguridad
Medidas-Organizativas
Medidas-Tecnicas
Instrumentos Arcivisticos
Aplicar medidas de seguridad
Alto