dra. en d. josefina román vergara comisionada presidenta infoem
TRANSCRIPT
Dra. en D. Josefina Román VergaraComisionada Presidenta INFOEM
Protección de Datos Personales en posesión de
Sujetos Obligados del Estado de México
ANTECEDENTES PRÓXIMOS DE LA PROTECCIÓN DE DATOS PERSONALES EN EL ESTADO DE MÉXICO
• El 30 de abril de 2004, se crea el Instituto de Transparencia y Acceso a la Información Pública del Estado de México, como organismo descentralizado de carácter estatal, con personalidad jurídica y patrimonio propios, con autonomía operativa, presupuestaria y de decisión, que dentro de sus atribuciones originarias, tuvo por objeto la protección de los datos personales en posesión de los sujetos obligados (se contemplaban procedimientos de acceso y corrección).
• A través de los Decretos 171 y 172 de la H. “LVI” Legislatura del Estado Libre y Soberano de México, publicados el 24 de julio de 2008 en el Periódico Oficial “Gaceta del Gobierno”; se otorgó autonomía constitucional al entonces Instituto de Transparencia y Acceso a la Información Pública del Estado de México y Municipios.
• El 31 de agosto de 2012 se publica la Ley de Protección de Datos Personales del Estado de México, cambiando la denominación del Órgano Garante a Instituto de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Estado de México y Municipios y otorgando facultades específicas al INFOEM, en materia de protección de datos personales.
2
LEGISLACIÓN Y NORMATIVA EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES EN EL ESTADO DE MÉXICO
• Ley de Protección de Datos Personales del Estado de México (31 de agosto de 2012).
• Lineamientos por los que se establecen las Políticas, Criterios y Procedimientos que deberán observar los Sujetos Obligados, para proveer la aplicación e implementación de la Ley de Protección de Datos Personales del Estado de México (3 de mayo 2013).
• Lineamientos sobre Medidas de Seguridad aplicables a los Sistemas de Datos Personales que se encuentran en posesión de los Sujetos Obligados de la Ley de Protección de Datos Personales del Estado de México (8 de mayo 2013).
• Recomendaciones para la designación de responsables de sistemas de datos personales en posesión de los Sujetos Obligados (25 de marzo de 2014).
3
licitud
consentimiento
lealtad
calidad
información
proporcionalidad
finalidad
responsabilidad
PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES*
* Principios congruentes con la Resolución de Madrid de 2009.
4
Inscripción y
actualización de
Sistemas de Datos
Personales
Implementación y comunicación de los avisos de
privacidad
Tratamiento debido de datos
personales (confidencialidad
, integridad y disponibilidad)
Revisión, auditoría y
mantenimiento de los sistemas de seguridad de la información
Elaboración de documentos de
seguridad e implementación
de medidas necesarias.
OBLIGACIONES DE LOS RESPONSABLES DE SISTEMAS DE DATOS PERSONALES
5
Avi
so d
e
Pri
vacid
ad
(vers
ión
in
teg
ral) Aviso de Privacidad
Completo
Aviso de Privacidad Simplificado
Señal de aviso
Medidas compensatorias
MODALIDADES DEL AVISO DE PRIVACIDAD
*El año pasado en el INFOEM se autorizaron medidas compensatorias en 23 casos.
6
El Sistema Infomex-Saimex* se encuentra habilitado para tramitar las solicitudes de Acceso, Rectificación, Cancelación y Oposición de cualquier Sujeto Obligado en el Estado. El último informe disponible arroja la siguiente información:
* Sistema propio, utilizado para las solicitudes de acceso a la información.
EJERCICIO DE DERECHOS ARCO
7
672
14881527
221%
103%
227%
COMPARATIVA DE SOLICITUDES ARCO
8
Se observa un incremento global de 25%, con relación al periodo
anterior, con un total de 3,273 Sistemas de Datos Personales Registrados
Las actualizaciones de Sistemas de Datos
Personales se llevan a cabo semestralmente, durante los meses de
enero y julio de cada año, lo que eventualmente se
refleja en la modificación y supresión de sistemas de
datos personales.
SISTEMAS DE DATOS PERSONALES REGISTRADOS, MODIFICADOS O SUPRIMIDOS
9
• El 5 de febrero de 2014, mediante acuerdo de la Quinta Sesión Ordinaria de 2014 del Pleno del INFOEM, se determinó la creación del Área de Protección de Datos Personales, a fin de coadyuvar y acelerar en el cumplimiento de la Ley de Protección de Datos Personales del Estado de México.
• A partir de 2015, se cambia la denominación de Área a Dirección de Protección de Datos Personales.
• En 2014, el Área de Protección de Datos Personales coadyuvó en la inscripción y modificación de cédulas para la implementación de sistemas de datos personales, así como en la elaboración y actualización de los documentos de seguridad y los avisos de privacidad para los sistemas denominados: “Expedientes de personal”, “Control de ingreso para las instalaciones del INFOEM”, “Proveedores”, “Prestadores de servicio social y prácticas profesionales”, “Asesorías telefónicas”, “Atención a solicitudes”, “Capacitaciones y pláticas informativas”, “Imágenes y fotografías para difusión”, “Directorio de periodistas y personas vinculadas con comunicación social”, “Infomex-Saimex”, “Ipomex”, “Intranet”, “Denuncias”, “Procedimientos de Responsabilidad”, “Padrón de Servidores Públicos que deben presentar Declaración de Situación Patrimonial (físico y electrónico)”, “Expedientes de auditoría” y “Comité de Registro de Testigos Sociales del Estado de México”.
INFOEM COMO ÓRGANO GARANTE Y SUJETO OBLIGADO
10
Con ello, se pretende facilitar el cumplimiento de las disposiciones en materia de protección de datos personales a cargo de Sujetos Obligados,
otorgar certeza a los particulares del tratamiento debido de los datos personales y ampliar el alcance y eficacia de las atribuciones del INFOEM, para garantizar la protección de los datos personales de los mexiquenses.
PROYECTOS DE MEJORA (PROTECCIÓN POR DISEÑO)
11
Denuncias por violación a la Ley de Protección de Datos
Verificaciones de cumplimiento
SISTEMA INFORMÁTI
CO
Historia clínica: Su acceso requiere acreditar la representación legal, aun cuando se trata de familiares Recurso de revisión: 01723/INFOEM/IP/RR/2013Comisionado ponente: Federico Guzmán TamayoSesión: 45ª sesión ordinaria, de fecha 10 de diciembre de 2013Sentido de la votación: Por unanimidadUna particular solicitó al sujeto obligado el acceso a la historia clínica completa de su padre, pues señaló que padeció una enfermedad que, al parecer, le produjo la muerte. Asimismo, manifestó que requería esa información, en virtud de que una institución bancaria la pidió para beneficiarla con el seguro por fallecimiento.Por ende, el sujeto obligado solicitó a la particular que acreditara la representación legal necesaria para acceder al expediente; en lo específico, le requirió el acuerdo o resolución de autoridad judicial que le confiriera dicho carácter.
Continúa diapositiva siguiente…
CRITERIOS RELEVANTES
112
Historia clínica: Su acceso requiere acreditar la representación legal, aun cuando se trata de familiares Viene de diapositiva anterior…
Inconforme, la particular recurrió la respuesta del sujeto obligado, argumentando que, debido al parentesco y demás documentación indiciaria, debía darse curso a su solicitud; sin embargo, esta autoridad, como órgano garante de la protección de los datos personales, resolvió que, de conformidad con lo previsto por las leyes aplicables, era necesaria la acreditación legal de la representación del titular de los datos personales, aun cuando la persona que pretende dicho acceso se ostente con algún tipo de parentesco o documentación que indica un interés al respecto, puesto que, para acceder a los datos personales, resulta requisito sine qua non acreditar la titularidad de éstos o la debida representación legal.
CRITERIOS RELEVANTES
13
Cancelación de datos personales ante Sujeto Obligado: No procede si se trata de una transmisión ante autoridad jurisdiccional, en ejercicio de sus funciones.Recurso de revisión: 01488/INFOEM/CD/RR/2014Comisionada ponente: Josefina Román VergaraSesión: 36ª sesión ordinaria, de fecha 7 de octubre de 2014Sentido de la votación: Por unanimidadEl particular solicitó al sujeto obligado la cancelación de sus datos personales, relativos al puesto que desempeñó como perito químico del sujeto obligado. Este órgano garante advirtió que, si bien es cierto que el recurrente dejó de prestar sus servicios a dicha institución, también lo es que, de conformidad con el artículo 95 del Código de Procedimientos Penales Estatal vigente, el órgano jurisdiccional, en cualquier momento, puede citarlo a comparecer a una diligencia relacionada con los dictámenes periciales que formuló en el tiempo durante el cual prestó sus servicios.
Continúa en la siguiente diapositiva…
CRITERIOS RELEVANTES
14
Cancelación de datos personales ante Sujeto Obligado: No procede si se trata de una transmisión ante autoridad jurisdiccional, en ejercicio de sus funciones.
Viene de diapositiva anterior…
En consecuencia, tratándose de información solicitada a través de un mandamiento judicial, no se requiere consentimiento expreso del titular de los datos personales para su transmisión, toda vez que se alude a una solicitud de órganos impartidores de justicia en el ejercicio de sus funciones. Por ende, no procede la cancelación de los datos personales, en virtud de que no se acreditó que se diera un tratamiento en contravención a lo dispuesto en la ley sustantiva, o bien, que tales datos hubieren dejado de ser necesarios para el cumplimiento de la finalidad de la base en la que se encuentran.
CRITERIOS RELEVANTES
15
Cancelación de datos personales ante Sujeto Obligado: No procede si se trata de una transmisión ante autoridad jurisdiccional, en ejercicio de sus funciones.
Viene de diapositiva anterior…
Finalmente, este órgano garante advirtió que, de conformidad con el artículo 30, fracciones IV y VII, de la LPDPEM, la institución pública no se encuentra obligada a cancelar los datos personales cuando obstaculicen actuaciones judiciales o administrativas, la investigación y persecución de delitos o la actualización de sanciones administrativas; afecten la seguridad nacional, la seguridad o la salud pública, las disposiciones de orden público o de derechos de terceros; o bien, se requieran para cumplir con una obligación legalmente adquirida por el titular; o, como en este caso, la transmisión de los datos personales se dio por mandamiento judicial.
CRITERIOS RELEVANTES
16
El Ayuntamiento (Sujeto Obligado) deberá entregar constancia de retenciones, previa acreditación de la titularidad de datos personales.Recurso de revisión: 01007/INFOEM/IP/RR/2014Comisionada ponente: Eva Abaid YapurSesión: 24ª sesión ordinaria, de fecha 1 de julio de 2014Sentido de la votación: Unanimidad de los presentesEl 30 de abril de 2014, un particular solicitó al Ayuntamiento (Sujeto Obligado) la información relacionada con su constancia de retenciones por el tiempo que laboró en ese municipio. El sujeto obligado omitió atender la solicitud planteada por el recurrente, motivo por el cual interpuso un recurso de revisión.En este sentido, cabe señalar que, si bien la solicitud se ingresó mediante la vía de acceso a la información pública, esta situación no impedía que, con el principio de sencillez y celeridad aludido en el artículo 2 de la LPDPEM, se le diera curso como de acceso a datos personales.
Continúa en la siguiente diapositiva…
CRITERIOS RELEVANTES
17
El Ayuntamiento (Sujeto Obligado) deberá entregar constancia de retenciones, previa acreditación de la titularidad de datos personales.Viene de diapositiva anterior…Después del estudio del presente asunto, este órgano garante arribó a la convicción de que el sujeto obligado tiene el deber de presentar ante las autoridades fiscales, a través de los medios y formatos electrónicos, la información relativa a las personas a quienes, en el mes inmediato anterior, hubieran efectuado retenciones de impuesto sobre la renta; por lo tanto, es evidente que se generó la constancia de retenciones solicitada.Igualmente, se concluye que el derecho de acceso a los datos personales consiste en que el particular puede solicitar y ser informado sobre la información de sí mismo que se encuentra en posesión de los sujetos obligados. En esta tesitura, este órgano garante ordenó, por unanimidad de los presentes, la entrega de la información en las oficinas del sujeto obligado, previa identificación del solicitante para acreditar la titularidad de los datos, mediante un documento oficial, como credencial para votar, pasaporte vigente o licencia de conducir.
CRITERIOS RELEVANTES
18
Independientemente de la expedición de una Ley General de Protección de Datos Personales en posesión de sujetos obligados, cuyos tiempos y términos se sujetan a la agenda legislativa, se considera que la iniciativa presentada por el IFAI el año pasado, es una propuesta bastante completa, no obstante, aprovechando las experiencias derivadas de la práctica de la materia, se considera importante lo siguiente:• Unificar criterios en materia de protección de datos personales,
derivados de las experiencias internas, nacionales e internacionales. Ejemplo: Sugerir esquemas de protección de datos personales por diseño a Sujetos Obligados que difundan información por internet (mecanismo para coadyuvar para que el “Derecho al Olvido” sea efectivo, referencia sentencia del IFAI del año pasado, en torno al boletín laboral emitido por las Juntas Federales de Conciliación y Arbitraje).
• Armonizar y promover los esquemas de coordinación a fin de reconocer una firma electrónica avanzada única o mecanismos de identificación y autenticación homogéneos y sencillos para la tramitación de las solicitudes previstas en la materia.
REFLEXIONES FINALES EN TORNO A LA CONSTRUCCIÓN DEL DERECHO A LA PROTECCIÓN DE DATOS PERSONALES EN NUESTRO PAÍS
19
• Cohesionar las diversas disposiciones relativas a protección de datos personales, como en el caso de la portabilidad, derecho previsto en la Ley Federal de Telecomunicaciones y Radiodifusión o en la Ley para la Transparencia y Ordenamiento de los Servicios Financieros, e incluso hacerlo extensivo a problemas del ámbito local, por ejemplo en el sector salud, con los expedientes clínicos.
• Precisar las condiciones para el uso de los medios de apremio, como instrumentos para hacer cumplir las resoluciones y determinaciones de los Órganos Garantes, distinguiéndolas, eventualmente de las sanciones y delimitando los conceptos de responsabilidad patrimonial del Estado, para evitar problemática al respecto.
REFLEXIONES FINALES EN TORNO A LA CONSTRUCCIÓN DEL DERECHO A LA PROTECCIÓN DE DATOS PERSONALES EN NUESTRO PAÍS
200
• Se considera importante minimizar riesgos y posibilitar medios de defensa eficaces y sencillos en contra de un gran problema como lo es el robo y la suplantación de identidad, así como los fraudes cometidos por dicha razón, a través de las siguientes consideraciones:
- Establecer mecanismos sencillos y expeditos ante los proveedores de bienes y servicios comerciales y/o financieros, para evitar la consumación de los daños producidos por los ilícitos.
- Llevar a cabo una nueva reflexión en torno al contenido del derecho de oposición para atender dicho problema, o en su defecto, proponer un medio de defensa efectivo en contra del uso ilegítimo de datos personales por parte de terceros.
REFLEXIONES FINALES EN TORNO A LA LEY GENERAL DE PROTECCIÓN DE DATOS PERSONALES
211
Instituto de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Estado de México y Municipios
www.infoem.org.mx
Teléfonos: (722) 226 19 80 ó 01 800 821 04 41Extensión 103
Instituto Literario Pte. No. 510, Col. Centro,C.P. 50000, Toluca, Estado de México