REGULACIÓN EN MATERIA DE PROTECIÓN DE DATOS
PERSONALES EN POSESIÓN DE PARTICULARES
LINA GABRIELA ORNELAS NÚÑEZPROFESORA INVESTIGADORA ASOCIADACENTRO DE INVESTIGACIÓN Y DOCENCIA ECONÓMICAS (CIDE)
2
¿QUÉ ES LA PROTECCIÓN DE DATOS?
Derecho fundamental del titular
Obligación de quien trata datos personales
3
PLAN DE EXPOSICIÓNPrimera parte
• Conceptos básicos– Titular– Datos personales – Bases de datos– Tratamiento– Responsable y encargado del tratamiento– La persona o departamento de datos personales– Otras definiciones
• ¿Por qué tengo que seguir las instrucciones internas en el tratamiento de datos personales?
– El objeto de la normatividad sobre protección de datos– Conocer los riesgos que implica el tratamiento de datos personales– Necesidad de evitar sanciones– Consecuencias en casos de incumplimiento para los empleados
• Los principios a observar en el tratamiento de datos personales– Responsabilidad– Licitud– Consentimiento– Información– Calidad– Finalidad– Lealtad– Proporcionalidad
4
CONCEPTOS
¿QUÉ ES LA PROTECCIÓN DE DATOS?
5
TITULAR
Persona física a quien
corresponden los datos personales.
Los clientes de la empresa, seguidores
en redes sociales, contactos, etc.
Tú, tu espos@, tus hij@s,
amig@s, etc.
6
TITULAR
TITULAR
De los datos
personales
De los derechos
ARCO
7
DATOS PERSONALES
Datos personales
Cualquier información concerniente a una persona física identificada o identificable.
Datos personales sensibles
Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste.
8
DATOS PERSONALES
Datos Personales
Número de teléfono
Dirección postal
Cualquier información
concerniente a una persona física
identificada o identificable.
Nombre y
apellidos
9
DATOS PERSONALES
Una dirección de e-mail, ¿es un dato personal?
10
DATOS PERSONALES
Los datos personales podrán estar expresados en forma: • numérica, • alfabética, • gráfica, • fotográfica, • acústica o • de cualquier otro tipo, • concerniente a una persona física
identificada o persona física identificable.
11
DATOS PERSONALES SENSIBLES
Origen racial o étnico
Estado de salud presente
y futuro
Información genética
Opiniones políticas
Afiliación sindical
Creencias religiosas,
filosóficas y morales
Preferencia sexual
12
DATOS PERSONALES SENSIBLES
Que me haya lesionado un pie, ¿es un dato sensible?
13
BASES DE DATOS
Medidas de seguridad aplicables.
14
BASES DE DATOS
Conj
unto ordenado
Criterio lógico
Datos personales
Cualquier información concerniente a una persona física identificada o identificable.
Trata
mi
ento
Por cualquier medio.
15
BASES DE DATOS
Clientes
Empleados (RR.HH.)
Agenda de contactos (Marketing
)
Proveedores que sean
personas físicas
Colaborado-res
externos
16
TRATAMIENTO
De datos personales
ObtenciónUso
DivulgaciónAlmacenamiento
El uso abarca cualquier acción de:
- Acceso,- Manejo,
- Aprovechamiento,- Transferencia,- Disposición de
datos.
Por cualquier medio
17
TRATAMIENTO DE DATOS PERSONALES
Verlo
s en p
antalla
.
Obtener datos personales mediante
un formulario electrónico o en papel.
Imprimir documentos.
Crear una base de
datos.
Enviar un e-mail que contenga un
archivo con datos personales.Remitirlos al encargado
del tratamiento. Transferir datos a las autoridades competentes.
Cumplimentar un contrato.
Rec
tifica
r dat
os
inco
rrec
tos.
Borrar datos.
18
RESPONSIBLE DEL TRATAMIENTO
Persona física o moral.
De carácter privado.
Que decide.
Sobre el tratamiento.
19
RESPONSABLE DEL TRATAMIENTO
Decide sobre el
tratamiento de los datos personales.
Empleados
Clientes
Otros
20
RESPONSABLE DEL TRATAMIENTO
Departamento de
Recursos Humanos
No decide sobre el tratamiento
Trata datos para cumplir sus funciones como parte del
responsable
El responsable es la empresa o asociación
Otros Departamen
tos
Misma situación (Marketing, Jurídico, etc.)
21
ENCARGADO DEL TRATAMIENTOTrata datos personales.
Por cuenta del responsable.
22
RESPONSABLE Y ENCARGADO
Responsable del tratamiento Encargado del tratamiento
Decide sobre el tratamiento de datos personales.
No decide.
Trata datos personales por cuenta del responsable.
Da instrucciones al encargado. Tiene que seguir las instrucciones del responsable.
Empresa que presta servicios a la asociación,
tales como almacenamiento de bases
de datos, contador externo, asistencia técnica, etc.
23
PERSONA O DEPARTAMENTO DE DATOS PERSONALES
PersonaDepartamento• Específico
Departamento• TI• Asuntos Legales• RR.HH.• Marketing• Otros
24
PERSONA O DEPARTAMENTO DE DATOS PERSONALES
Persona o departament
o
Fomentará la protección de
datos al interior de la organización
Dará trámite a las solicitudes de ejercicio de
derechos ARCO
25
PERSONA O DEPARTAMENTO DE DATOS PERSONALES
Procedimiento mediante el cual los datos personales
No pueden asociarse al titular
Ni permitir, por su estructura, contenido o grado de
desagregación, la identificación del mismo
26
PERSONA O DEPARTAMENTO DE DATOS PERSONALES
Recomendaciones del IFAI para la Designación de la Persona o
Departamento de Datos Personales http://
inicio.ifai.org.mx/DocumentosdeInteres/privacidadresponsable.pdf
27
PERSONA O DEPARTAMENTO DE DATOS PERSONALES (IFAI)
Funciones en materia de atención de solicitudes de derechos:
1. Establecer y administrar procedimientos para la recepción, tramitación, seguimiento y atención oportuna de las solicitudes para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, así como para la atención de quejas o solicitudes presentadas por los titulares relacionadas con las políticas y/o prácticas de protección de datos personales desarrolladas por la organización, y 2. Monitorear los avances o cambios legislativos en materia de privacidad y protección de datos personales que pudieran impactar en los ejes rectores y acciones desarrolladas en este tema al interior de la organización, haciendo las adecuaciones necesarias.
28
PERSONA O DEPARTAMENTO DE DATOS PERSONALES (IFAI)
Funciones en materia de fomento de la protección de datos al interior de la organización:
1. Diseñar y ejecutar una política y/o prácticas de protección de datos personales al interior de la organización, o bien, adecuar y mejorar las prácticas ya existentes en el marco de la Ley; 2. Alinear esta política y/o prácticas -incluyendo sus objetivos, acciones estratégicas, líneas de acción, asignación de roles y responsabilidades generales y específicas y un procedimiento y plazos de implementación- a los procesos internos de la organización que demanden o aprovechen información personal; 3. Desarrollar un mecanismo para evaluar la eficacia y eficiencia de esta política y/o prácticas; 4. Monitorear y evaluar los procesos internos de la organización vinculados con la obtención, uso, explotación, conservación, aprovechamiento, cancelación y transferencia de datos personales, a fin de asegurar que la información sea protegida, tratada conforme a los principios de la Ley y respetada; 5. Colaborar y coordinar acciones con otras áreas de la organización como la legal, de tecnologías, sistemas, seguridad de la información, mercadotecnia, atención al cliente, recursos humanos, entre otras, a efecto de asegurar el debido cumplimiento de la política y/o prácticas de privacidad en sus procesos internos, formatos, avisos, recursos y gestiones que se lleven a cabo; 6. Asegurar que la política y/o prácticas de protección de datos personales cumplan con la Ley y demás normatividad aplicable; 7. Difundir y comunicar la política y/o prácticas de protección de datos personales implementadas al interior de la organización, así como capacitar a todo el personal sobre las mismas; 8. Fomentar una cultura de protección de datos personales orientada a elevar el nivel de concienciación del personal y terceros involucrados, como encargados, en el tratamiento de datos personales; 9. Monitorear el cumplimiento de la política y/o prácticas de protección de datos personales de las sociedades subsidiarias o afiliadas bajo el control de común de la organización o cualquier sociedad del mismo grupo del responsable que opere y le sean aplicables estas prácticas; 10. Identificar e implementar mejores prácticas relacionadas con la protección de datos personales; 11. Promover la adopción de esquemas de autorregulación, y 12. Ser el representante de la organización en materia de protección de datos personales ante otros actores.
29
TRANSFERENCIA Y REMISIÓN
TRANSFERENCIA
REMISIÓN
30
TRANSFERENCIA Y REMISIÓN
TRANSFERENCIA REMISIÓNToda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento.
La comunicación de datos personales entre el responsable y el encargado, dentro o fuera del territorio mexicano.
31
FUENTE DE ACCESO PÚBLICOAquellas bases de datos cuya consulta puede ser realizada por cualquier persona.
Sin más requisito que, en su caso, el pago de una contraprestación.
De conformidad con lo señalado por el Reglamento de esta Ley.
32
FUENTE DE ACCESO PÚBLICO
I. Los medios remotos o locales de comunicación electrónica, óptica y de
otra tecnología, siempre que el sitio donde se encuentren los datos
personales esté concebido para facilitar información al público y esté abierto a
la consulta general.
II. Los directorios
telefónicos en términos de la
normativa específica.
III. Los diarios, gacetas o boletines
oficiales, de acuerdo con su
normativa.
IV. Los medios de
comunicación social.
33
¿POR QUÉ TENGO QUE SEGUIR LAS INSTRUCCIONES INTERNAS?
¿QUÉ ES LA PROTECCIÓN DE DATOS?
34
OBJETO DE LA NORMATIVIDAD
LFPDPPP y su Reglamento
FinalidadRegular su tratamiento legítimo, controlado e
informado
Garantizar la privacidad y el derecho a la autodeterminación
informativa de las personas
ObjetoProtección de los datos personales en
posesión de los particulares
35
TRATAMIENTO
LegítimoControladoInformado
36
RIESGOS QUE IMPLICA EL TRATAMIENTO
Sancione
sEconómicas
Mala imagen
Pérdida de clientes
Otros
Para el responsable y quienes tratan datos personales
37
SANCIONES
Admi
nistrativas
Multas económicas previstas en la LFPDPPP
Civiles
Exigencia de responsabilidad civil al responsable en caso de incumplimiento que cause un daño al titular
Penal
es
Exigencia de responsabilidad penal (cárcel) en caso de que se cometa un delito tipificado en la Ley
38
SANCIONES EN LA LFPDPPP
100 días de salario mínimo vigente (@ 64.76 pesos) = 6476 pesos
320,000 días de salario mínimo vigente = 20,723,200 pesos Mínimo
Máximo
39
SANCIONES EN LA LFPDPPP
Datos sensibles
Los montos podrán
incrementarse hasta por dos
veces
Total = 41,446,400
pesos
40
EVITAR SANCIONES
Una multa podría
suponer la quiebra de la
empresa
La multa hace que los clientes pierdan
confianza
Una multa significa que la
empresa no cumple con la
legalidad
La empresa podría pedir
responsabilidades a quien cometió la infracción
41
CONSECUENCIAS PARA LOS EMPLEADOS
Perder la confianza del patrón
Exigencia interna de
responsabilidad
Pérdida de oportunidades de ascensos,
mejoras económicas,
etc.
Despido
42
PRINCIPIOS A OBSERVAR EN EL TRATAMIENTO DE DATOS
PERSONALES
¿QUÉ ES LA PROTECCIÓN DE DATOS?
43
PRINCIPIOS DE LA PROTECCIÓN DE DATOS
Principios
Responsa-bilidad
Licitud
Consenti-miento
Informa-ciónCalidad
Finalidad
Lealtad
Proporcio-nalidad
44
RESPONSABILIDAD
Entre las medidas que podrá adoptar el responsable se encuentran por lo menos las siguientes:I. Elaborar políticas y programas de privacidad obligatorios y exigibles al interior de la organización del responsable;II. Poner en práctica un programa de capacitación, actualización y concientización del personal sobre las obligaciones en materia de protección de datos personales;III. Establecer un sistema de supervisión y vigilancia interna, verificaciones o auditorías externas para comprobar el cumplimiento de las políticas de privacidad;IV. Destinar recursos para la instrumentación de los programas y políticas de privacidad;V. Instrumentar un procedimiento para que se atienda el riesgo para la protección de datos personales por la implementación de nuevos productos, servicios, tecnologías y modelos de negocios, así como para mitigarlos;VI. Revisar periódicamente las políticas y programas de seguridad para determinar las modificaciones que se requieran;VII. Establecer procedimientos para recibir y responder dudas y quejas de los titulares de los datos personales;VIII. Disponer de mecanismos para el cumplimiento de las políticas y programas de privacidad, así como de sanciones por su incumplimiento;IX. Establecer medidas para el aseguramiento de los datos personales, es decir, un conjunto de acciones técnicas y administrativas que permitan garantizar al responsable el cumplimiento de los principios y obligaciones que establece la Ley y el presente Reglamento, oX. Establecer medidas para la trazabilidad de los datos personales, es decir, acciones, medidas y procedimientos técnicos que permiten rastrear a los datos personales durante su tratamiento.
45
LICITUDPrincipio de licitud
Con apego a la Ley.
Cumpliendo los principios de la protección de datos personales.
46
LICITUD
Actuación fraudulenta o engañosa
I. Exista dolo, mala fe o negligencia en la información proporcionada al titular sobre el tratamiento;
II. Se vulnere la expectativa razonable de privacidad del titular;
III. Las finalidades no son las informadas en el aviso de privacidad.
47
LICITUD
¿Qué ocurre si se han obtenido datos personales mediante engaño?
48
LICITUDTratamiento ilícito
Comisión de infracciónDar tratamiento a los datos personales en contravención a los principios establecidos en la Ley (fracción IV del artículo 63 de la LFPDPPP)
Otras sanciones (pérdida de clientes, etc.)
Obtener datos personales mediante
engaño
49
CONSENTIMIENTO
Definición
Manifestación de la voluntad del titular de los datos mediante la cual se efectúa el tratamiento de los mismos.
Validez
Cosentimiento informado
Legitimación
Es uno de los principios de la LFPDPPP, si bien se considera la causa principal legitimadora del tratamiento.
Inequívoco
En el caso del consentimiento expreso, de manera que existan elementos que indubitablemente demuestren su consentimiento.
50
CONSENTIMIENTO
Opt-out Opt-inRegla genera
l
Excepción
51
CARACTERÍSTICAS DEL CONSENTIMIENTO
Li
bre
Sin que medie error, mala fe, violencia o dolo, que puedan afectar la manifestación de voluntad del titular
Específico
Referido a una o varias finalidades determinadas que justifiquen el tratamiento
Infor
mado
Que el titular tenga conocimiento del aviso de privacidad previo al tratamiento a que serán sometidos sus datos personales y las consecuencias de otorgar su consentimiento
52
FORMAS DEL CONSENTIMIENTO
CONSENTIMIENTO
TácitoExpreso• Verbal• Por escrito
53
FORMAS DEL CONSENTIMIENTO
CRITERIO UTILIZADO
PARA DETERMINAR
QUÉ FORMA ES NECESARIA
NATURALEZA DE LOS DATOS PERSONALES
TRATADOS
54
CONSENTIMIENTO EXPRESO
I. Lo exija una ley o reglamento;
II. Se trate de datos financieros o patrimoniales;
III. Se trate de datos sensibles;
IV. Lo solicite el responsable para acreditar el mismo, o
V. Lo acuerden así el titular y el responsable (art. 15 del Reglamento de la Ley).
55
CONSENTIMIENTO
¿Siempre es necesario el consentimiento?
56
CONSENTIMIENTO
No será necesario el consentimiento para el tratamiento de los datos personales cuando (art. 10 de la LFPDPPP): I. Esté previsto en una Ley; II. Los datos figuren en fuentes de acceso público; III. Los datos personales se sometan a un procedimiento previo de disociación; IV. Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable; V. Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes; VI. Sean indispensables para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la Ley General de Salud y demás disposiciones jurídicas aplicables y que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente, o VII. Se dicte resolución de autoridad competente.
57
CONSENTIMIENTO
Las transferencias nacionales o internacionales de datos podrán llevarse a cabo sin el consentimiento del titular cuando se dé alguno de los siguientes supuestos (art. 37 de la LFPDPPP): I. Cuando la transferencia esté prevista en una Ley o Tratado en los que México sea parte; II. Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios; III. Cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas; IV. Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero; V. Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia; VI. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y VII. Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.
58
REVOCACIÓN DEL CONSENTIMIENTO
Por el titular
Sin que se le atribuyan efectos
retroactivos
En cualquier momento
59
REVOCACIÓN DEL CONSENTIMIENTO
¿Siempre se puede revocar el consentimiento dado para el
tratamiento de datos personales?
60
REVOCACIÓN DEL CONSENTIMIENTO
No, si una disposición legal lo impide
Es decir, obliga al responsable a tratar los datos personales
61
PRUEBA DEL CONSENTIMIENTO
La carga de la prueba recae siempre sobre el responsable.
62
INFORMACIÓN
Información al titular de los datos.
Aviso de Privacidad.
63
AVISO DE PRIVACIDAD
Documento físico, electrónico o cualquier otro
formato
Generado por el responsable que
es puesto a disposición del
titular
Previo al tratamiento de
sus datos personales
64
CARACTERÍSTICAS
Sencillo
Expresado en lenguaje
claro y comprensibl
e
Con una estructura y diseño que facilite su
entendimiento
Con información necesaria
65
CONTENIDO MÍNIMO
I. La identidad y domicilio del responsable que los recaba;II. Las finalidades del tratamiento de datos;III. Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos;IV. Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición, de conformidad con lo dispuesto en esta Ley;V. En su caso, las transferencias de datos que se efectúen,VI. El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad, de conformidad con lo previsto en esta Ley.
66
CONTENIDO MÍNIMO
En el supuesto de que se traten datos personales sensibles, deberá indicarse expresamente tal
circunstancia
67
PUESTA A DISPOSICIÓN
• Obtenidos directamente del titular:– Personalmente del titular– Directamente del titular por cualquier medio electrónico,
óptico, sonoro o visual, o a través de cualquier otra tecnología
• Obtenidos indirectamente del titular:– En el primer contacto que se tenga con el titular cuando los
datos personales sean:* Tratados para una finalidad prevista en la transferencia
consentida.* Obtenidos de una fuente de acceso público.
– Previo al aprovechamiento de los datos personales:* Cuando el responsable pretenda utilizar los datos
personales para una finalidad distinta a la consentida, es decir, tenga lugar un cambio de finalidad.
68
INFORMACIÓN
Resolución Nº PS/0002/12, de 14 de noviembre de 2012. Infractor:
Pharma Plus, S.A. de C.V.
69
INFORMACIÓN
Infracción Art. de la LFPDPPP Monto Días de salario mínimo
Contravenir el principio de información en el tratamiento de datos personales
63, fracción IV $1,500,033.78 24,066 días
Omitir el elemento de identidad en el aviso de privacidad
63, fracción V $500,011.26 8,022 días
Total — $2,000,0045 32,088 días
70
CALIDAD
Finalidad
Exactos
Completos
Pertinentes
Correctos
Actualizados
71
CALIDAD
¿Quién tiene que velar por la calidad de los datos personales?
72
CALIDAD
¿Por qué es importante la calidad de los datos personales?
73
CALIDAD
DATO INEXACTO
DATO FALSO
AFECTA OTROS
DERECHOS Y LIBERTADES
DE LOS INDIVIDUOS
74
FINALIDAD
Determinadas.
Explícitas.
Legítimas.
Relacionadas con la actividad del responsable.
75
FINALIDAD
Para qué serán tratados los
datos
ClaridadSin lugar a confusiónDe manera
objetiva
76
FINALIDAD
Siempre que los mismos no sean incompatibles con los que motivaron el tratamiento inicial del dato.
77
FINALIDAD
Si el responsable pretende tratar los datos para un fin distinto que no resulte compatible o análogo a los fines establecidos en aviso de privacidad
Se requerirá obtener nuevamente el consentimiento del titular.
78
FINALIDADNo podrán crearse bases de datos que contengan datos personales sensibles
Sin que se justifique la creación de las mismas
Para finalidades legítimas, concretas y acordes
Con las actividades o fines explícitos que persigue el sujeto regulado
Datos personales sensibles
79
LEALTAD
Confianza que
deposita cualquier
persona en otra
Respecto de que los datos
personales proporcionados entre ellos
Expectativa
razonable de
privacidad
Serán tratados
conforme a lo que
acordaron las partes
80
PROPORCIONALIDAD
Datos proporciona
les
NecesariosAdecuados
Relevantes
81
PROPORCIONALIDAD
Mínima cantidad de información en atención a la finalidad (minimización)
82
¿Cuáles son los principios que tienen que cumplirse en el tratamiento de
datos personales?
83
GUÍA PRÁCTICA DEL IFAI
• Al momento de recabar los datos personales
Fase 1
84
GUÍA PRÁCTICA DEL IFAI
Fase Obligaciones
Al momento de recabar los datos personales
1. Dar un uso a los datos personales respetando la ley, desde el momento de su obtención (principio de licitud).2. No utilizar medios engañosos o fraudulentos para obtener los datos personales (principio de lealtad).3. Poner a disposición el aviso de privacidad, de tal manera que el titular pueda conocer de qué forma serán tratados sus datos personales y cómo podrá ejercer sus derechos ARCO (principio de información).4. Obtener el consentimiento o autorización del titular para el tratamiento de sus datos personales, salvo las excepciones previstas en el artículo 10 de la Ley. Cuando se recaben datos personales sensibles el consentimiento del titular deberá ser expreso y por escrito. En el caso de datos personales de carácter patrimonial o financiero, el consentimiento del titular deberá ser expreso únicamente. Fuera de estos dos casos, como regla general es válido el consentimiento tácito (principio de consentimiento) siempre y cuando se ponga a disposición de los individuos titulares de los datos, el aviso de privacidad, en el que se indique lo que se hará con su información. 5. Evitar la creación de bases de datos de carácter sensible, salvo que se justifique plenamente la necesidad del tratamiento para la consecución de finalidades legítimas y concretas relacionadas con las actividades estatutarias o comerciales que persigue el responsable.6. Recabar sólo aquellos datos personales que sean necesarios para las finalidades para las que se obtienen.
85
GUÍA PRÁCTICA DEL IFAI
Obligaciones1. Utilizar los datos personales respetando la Ley (principio de licitud).2. Respetar la expectativa razonable de privacidad del titular, es decir, la confianza que depositó este último en el responsable, respecto de los datos personales que serán tratados conforme a lo que acordaron y en los términos establecidos por la Ley (principio de lealtad).3. Limitar el tratamiento de la información personal al cumplimiento de las finalidades previamente consentidas por el titular (principio de finalidad).4. Usar los datos personales que resulten estrictamente necesarios para cumplir con las finalidades para las cuales fueron recabados (principio de proporcionalidad).5. Mantener los datos personales actualizados y correctos (principio de calidad).6. Limitar el periodo de conservación de la información personal tratada al mínimo necesario (principio de calidad).7. Mantener la confidencialidad de los datos personales tratados (deber de confidencialidad).8. Implementar medidas de seguridad de carácter administrativo, físico y técnico que garanticen la confidencialidad e integridad de los datos personales (deber de seguridad).9. Informar al titular, sin demora alguna, sobre las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de éste, en cuanto se confirme la vulneración sucedida (deber de seguridad).10. Adoptar las medidas necesarias para cumplir con las obligaciones establecidas en la Ley (principio de responsabilidad).11. Rendir cuentas al titular en caso de algún incumplimiento con relación a la protección de sus datos personales (principio de responsabilidad).12. Comunicar los datos personales a terceros nacionales o extranjeros únicamente con la autorización del titular, salvo las excepciones previstas en la Ley, y hacer del conocimiento de los receptores de los datos personales el aviso de privacidad y las finalidades a las que el titular sujetó el tratamiento de su información personal.
86
GUÍA PRÁCTICA DEL IFAI
Fase Obligaciones
Una vez finalizado el tratamiento Suprimir los datos personales cuando hayan concluido las finalidades que dieron origen al tratamiento, previo bloqueo (principio de calidad).
87
PLAN DE EXPOSICIÓNSegunda parte
• Los deberes de quien trata datos personales– Medidas de seguridad– Confidencialidad
• Los derechos ARCO
– Acceso– Rectificación– Cancelación– Oposición
• Consejos prácticos para minimizar riesgos y garantizar el cumplimiento
– Cumplir con la política o reglas de privacidad corporativas– Seguir los procedimientos establecidos o que se establezcan– Notificar internamente incumplimientos o potenciales incumplimientos
• Conclusiones
88
DEBERES A OBSERVAR EN EL TRATAMIENTO DE DATOS
PERSONALES
¿QUÉ ES LA PROTECCIÓN DE DATOS?
89
Medidas de seguridad
Confidencialida
d
Deberes del
responsable y
encargado del
tratamiento
DEBERES EN PROTECCIÓN DE DATOS
90
Garantizar
- Confidencialidad- Integridad- Disponibilidad
Proteger
Los datos personales
Evitar
Daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado
MEDIDAS DE SEGURIDAD
91
Administrativas
Físicas
Técnicas
MEDIDAS DE SEGURIDAD
92
Conjunto de acciones y mecanismos para:
Establecer la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación y clasificación de la información, así como la concienciación, formación y capacitación del personal, en materia de protección de datos personales.
ADMINISTRATIVAS
93
Conjunto de acciones y mecanismos, ya sea que empleen o no la tecnología, destinados para:
a) Prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información;b) Proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones;c) Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, funcionalidad e integridad, yd) Garantizar la eliminación de datos de forma segura.
FÍSICAS
94
Conjunto de actividades, controles o mecanismos con resultado medible, que se valen de la tecnología para asegurar que:
TÉCNICAS
95
MEDIDAS DE SEGURIDAD
96
I. El riesgo inherente
por tipo de dato
personal.
II. La sensibilidad de los datos personales tratados.
III. El desarrollo
tecnológico.
IV. Las posibles
consecuencias de una
vulneración para los titulares.
FACTORES PARA DETERMINAR LAS MEDIDAS
97
I. El número de titulares.
II. Las vulnerabilidad
es previas ocurridas en los sistemas
de tratamiento.
III. El riesgo por el valor potencial cuantitativo o cualitativo que
pudieran tener los datos personales tratados para una tercera persona no autorizada para su
posesión.
IV. Demás factores que puedan incidir
en el nivel de riesgo o que
resulten de otras leyes o regulación
aplicable al responsable.
OTROS FACTORES
98
I. Elaborar un inventario de datos personales y de los sistemas de tratamiento;
II. Determinar las funciones y obligaciones de las personas que traten datos personales;
III. Contar con un análisis de riesgos de datos personales que consiste en identificar peligros y estimar los riesgos a los datos personales;
IV. Establecer las medidas de seguridad aplicables a los datos personales e identificar aquéllas implementadas de manera efectiva;
V. Realizar el análisis de brecha que consiste en la diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales;
VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, derivadas del análisis de brecha;
VII. Llevar a cabo revisiones o auditorías;
VIII. Capacitar al personal que efectúe el tratamiento, y
IX. Realizar un registro de los medios de almacenamiento de los datos personales.
ACCIONES PARA LA SEGURIDAD
99
ACCIONES CÍCLICAS
100
I. Se modifiquen las medidas o procesos de seguridad para su mejora continua, derivado de las revisiones a la política de seguridad del responsable.
II. Se produzcan modificaciones sustanciales en el tratamiento que deriven en un cambio del nivel de riesgo.
IV. Exista una afectación a los datos personales distinta a las anteriores.
Si hay datos sensibles, una vez
al año
ACTUALIZACIÓN DE LAS MEDIDAS
101
I. La pérdida o destrucción no
autorizada.
II. El robo, extravío o copia no
autorizada.
III. El uso, acceso o
tratamiento no autorizado.
IV. El daño, la alteración o modificación
no autorizada.
VULNERACIONES DE SEGURIDAD
102
I. La naturaleza
del incidente.
II. Los datos personales
comprometidos.
III. Las recomendaciones al titular acerca de las
medidas que éste pueda adoptar para proteger
sus intereses.
IV. Las acciones correctivas
realizadas de forma inmediata.
V. Los medios donde puede obtener más
información al respecto.
INFORMACIÓN AL TITULAR
103
Medidas si concurre una
vulneración de datos
Acciones correctivas
Acciones preventivasAcciones de
mejora
MEDIDAS CORRECTIVAS Y PREVENTIVAS
104
Obligación de guardar sigilo o silencio sobre los datos personales que se traten.
Del responsable.
De quienes intervengan en cualquier fase del tratamiento de los datos personales.
Incluso una vez finalizada la relación laboral o contractual con el responsable del tratamiento.
CONFIDENCIALIDAD
105
DERECHOS ARCO
¿QUÉ ES LA PROTECCIÓN DE DATOS?
106
AccesoRectificació
n
Cancelación
Oposición
DERECHOS ARCO
107
“Los titulares tienen derecho a acceder a sus datos personales que obren en poder del responsable, así como conocer el Aviso de Privacidad al que está sujeto el tratamiento” (art. 23 de la LFPDPPP).
ACCESO
108
“El titular de los datos tendrá derecho a rectificarlos cuando sean inexactos o incompletos” (art. 24 de la LFPDPPP).
RECTIFICACIÓN
109
“El titular tendrá en todo momento el derecho a cancelar sus datos personales.La cancelación de datos personales dará lugar a un periodo de bloqueo tras el cual se procederá a la supresión del dato. El responsable podrá conservarlos exclusivamente para efectos de las responsabilidades nacidas del tratamiento. El periodo de bloqueo será equivalente al plazo de prescripción de las acciones derivadas de la relación jurídica que funda el tratamiento en los términos de la Ley aplicable en la materia” (art. 25 de la LFPDPPP).
CANCELACIÓN
110
“El titular tendrá derecho en todo momento y por causa legítima a oponerse al tratamiento de sus datos. De resultar procedente, el responsable no podrá tratar los datos relativos al titular” (art. 27 de la LFPDPPP).
OPOSICIÓN
111
Ejercicio personal (titular o
representante legal)
El ejercicio de un derecho no
es requisito previo ni
impedimento para el ejercicio de otro derecho
Sencillez Gratuidad
CARACTERÍSTICAS DEL EJERCICIO
112
El responsable del tratamiento:
Atiende al ejercicio de los derechos.
Resguardará los datos personales de tal manera que permitan el ejercicio de los derechos sin dilación.
ATENCIÓN POR EL RESPONSABLE
113
El nombre del titular y domicilio u otro medio para comunicarle la respuesta a su solicitud.
Cualquier otro elemento o documento que facilite la localización de los datos personales.
Contenido mínimo
SOLICITUDES DE EJERCICIO
114
Medi
os de comunicación
Habilitar medios remotos o locales de comunicación electrónica u otros que considere pertinentes.
Formularios, siste
mas y
otros
métodos
Establecer formularios, sistemas y otros métodos simplificados, mismos que deben ser informados en el aviso de privacidad.
Se
rvicios de
atención al pú
blico
Utilizar los servicios de atención al público o de reclamaciones que tiene en operación, siempre y cuando los plazos de respuesta no sean mayores a los señalados por la Ley. En tal caso, la identidad del titular se considerará acreditada por los medios establecidos por el responsable para la identificación de los titulares en la prestación de sus servicios o contratación de sus productos, siempre que a través de dichos medios se garantice la identidad del titular.
CAPACITACIÓN CONTADORES PÚBLICOS
GUÍAS PARA EL EJERCIO DEL IFAI
Fuente: Guía práctica para la atención de las solicitudes de ejercicio de los Derechos ARCO, disponible en http://inicio.ifai.org.mx/Publicaciones/02GuiaAtencionSolicitudesARCO.pdf, y la Guía práctica para ejercer el derecho a la Protección de Datos Personales, disponible en http://inicio.ifai.org.mx/Publicaciones/01GuiaPracticaEjercerelDerecho.pdf
115
CONSEJOS PRÁCTICOS PARA MINIMIZAR RIESGOS Y
GARANTIZAR EL CUMPLIMIENTO
¿QUÉ ES LA PROTECCIÓN DE DATOS?
116
Cumplir con la política o reglas de privacidad corporativas
Seguir los procedimientos establecidos o que se establezcan
Notificar internamente incumplimientos o potenciales incumplimientos
CONSEJOS PRÁCTICOS
117
Identificar/valorar riesgos
Adoptar medidas
Verificar el cumplimient
o
Educar y concientizar
CONSEJOS PRÁCTICOS
118
Aplicación práctica
apoyada en consultoría/
auditoría
Políticas internas
que complementen/ sean base del
instrumento de
autorregulación
Parámetros de
autorregulación
vinculante
CONSEJOS PRÁCTICOS
119
CONSEJOS PRÁCTICOS
¿Por qué es importante adoptar/cumplir con políticas internas de protección de datos personales y
privacidad?
120
Adoptar medidas que incluyan las siguientes áreas de actuación en materia de protección de datos personales:
CONSEJOS PRÁCTICOS
Trazabilidad de los datos personales y
su tratamientoPrincipios
Deberes
Autorregulación vinculante
Solicitudes de los interesados (consultas, quejas o resolución de
disputas)
Derechos ARCO
121
CUMPLIMIENTO EN LA EMPRESA
Gobierno de la protección de datos Formación y concientización Gestión de archivos Seguridad de los datos
personalesRequerimientos en protección de datos
— Políticas y procedimientos— Estructuras de gobierno— Medidas— Auditorías— Registro de riesgos— Retornos— Análisis de impacto de privacidad (Privacy impact assessment, PIA)
— Inducción— Formación basada en roles— Actualizaciones— Archivos— Formación online (e-learning)— Acceso a TI— Concientización de dónde encontrar contenidos sobre datos personales y fácil acceso a los mismos
— Roles y responsabilidades— Políticas y procedimientos— Formación y concientización— Activos de información— Indexación y mapeo de archivos— Obtención de datos— Mantenimiento de archivos— Plazos de retención— Supresión de datos
— Propietario/responsabilidad— Seguridad física-anuales— Seguridad de redes— Dispositivos móviles— Trabajo en casa— Monitoreo de empleados— Contratos con terceros— Incidencias
— Propietario/procedimientos— Bitácora (log)— Monitoreo— Redacción— Excepciones— Revelaciones— Protocolos para comunicación— Acuerdos de gestión de comunicación de datos
Ejemplos de prueba— Políticas y procedimientos— Intranet— Organigrama— Descripciones de puestos de trabajo— Términos de referencia— Minutas de reuniones— Informes internos— Informes externos— Informes de auditoría— Registros de riesgos— PIAs
— Presentaciones para formación— Módulo de formación online (e-learning)— Archivos centrales de formación— Archivos de actualizaciones de formación— Requerimientos de perfiles de TI
— Políticas y procedimientos— Formularios de obtención de datos— Avisos de tratamiento— Detalle de sistemas de gestión de archivos— Roles y estructura de gestión de archivos— Archivos de formación— Registro de activos de información— Plazos de retención— Registros de destrucción y/o certificados— Contratos con terceros para el almacenamiento y/o destrucción
— Políticas y procedimientos— Registros de contraseñas— Licencias de seguridad de TI— Bitácora de incidencias— Cláusulas estandarizadas sobre seguridad— Análisis de riesgo de trabajo en casa— Registro de dispositivos móviles
— Políticas y procedimientos— Bitácora de sistema de actividad— Protocolos para comunicación— Informes de actividad (métricas)— Ejemplos de respuestas a requerimientos
Fuente: Information Commissioner´s Office, Auditing data protection, a guide to ICO data protection audits, v. 2.0, Mayo de 2012.
122
CONCLUSIONES
¿QUÉ ES LA PROTECCIÓN DE DATOS?
123
Es una cuestión que implica al responsable y a quienes tratan datos personales en cualquier fase (empleados, encargado del tratamiento, etc.).
CONCLUSIONES
¡MUCHAS GRACIAS!