implicaciones de la ley de datos personales en el sector privado
TRANSCRIPT
Implicaciones de la Ley de Datos Personales en el Sector Privado
María Marván Laborde
ComisionadaInstituto Federal de Acceso a la
Información y Protección de Datos
1 de abril de 2011
¿Las leyes de protección de datos personales impiden su circulación?
Las leyes de protección de datos personalesbuscan:
Proteger al ser humano
Proveer reglas que permitan, al mismotiempo, la circulación de los datos necesariospara gobernar y necesarios para la economía
Circulación ordenada
1868. Se creó el primer semáforo
(J.P. Knight). Se instaló en el
exterior del Parlamento británico
de Westminster.
1914. Primer semáforo de EUA, en
la Ciudad de Cleveland.
1924. Primer semáforo mecánico
en la Ciudad de México. 1932.
Primer semáforo eléctrico
La creación de Reglamentos de Transito ysemáforos, no impidió expandir la industriaautomotriz, simplemente generó esquemas paraproteger a los seres humanos (peatones yautomovilistas), regular y dar orden a la“circulación” de los vehículos.
La protección de datos personales NO INHIBELA ECONOMÍA, NO EVITA LA CIRCULACIÓNDE DATOS, simplemente: LA ORDENA
Circulación ordenada
¿Qué son los datos personales?
Toda información concerniente o relativa a una persona física identificada o
identificable
Ejemplos
Identificación◦ Nombre, edad, domicilio, sexo, RFC, CURP...
Patrimoniales◦ Cuentas bancarias, saldos, propiedades...
Salud◦ Estados de salud físicos y mentales...
Biométricos◦ Huellas dactilares, iris, voz, firma autógrafa...
Otros◦ Ideología, afiliación política, religión, origen
étnico, preferencia sexual...
Derecho a la Privacidad o a la Protección de datos personales
Hoy es un auténtico derechofundamental la protección de datospersonales, distinto al de la vida privadao a la intimidad
Este derecho tiene sus propios mecanismos de protección
En México, este derecho ya es constitucional
Derecho Internacional
Disposiciones en organismosmultilaterales, tales como la OCDE, la ONU
Legislación Europea:◦ Convenio 108 del Consejo de Europa (1981)◦ Directiva 95/46/CE◦ Carta de Derechos Fundamentales (2000)
Legislación en América:◦ Canadá, Argentina, Chile, Uruguay y Colombia◦ EEUU (auto)regulación sectorial no reconoce el
derecho a la protección de datos personales en sí
¿Qué quieren decir estos Principios?
Licitud: Apego a la legalidad y actuación de buena fe
Finalidad: Hacer explicito al dueño de los datos paraque los voy a usar, no usarlos con otro propósito
Proporcionalidad: No pedir (almacenar) datosinnecesarios para mis fines (ir a los mínimos)
Calidad: Veracidad y exactitud de los datoscontenidos en las bases de datos (constanteactualización y depuración de las mismas)
¿Qué quieren decir estos principios?
Información: Aviso de privacidad
Consentimiento: manifestación de la voluntad del dueño de los datos para que el responsable pueda usarlos, transferirlos etc.
Responsabilidad: Quién tiene una base de datos es responsable del uso de la misma. Tiene que velar por la seguridad y evitar el mal uso
Derechos (ARCO)
Acceso
Rectificación
Cancelación
Oposición
Derecho de Acceso
Derecho del titular a obtenerinformación sobre sí y aconocer si está siendo objetode tratamiento, así como elalcance de dicho tratamiento
Derecho de Rectificación
Derecho del titular a que semodifiquen los datos queresulten ser inexactos oincompletos
Derecho de Cancelación
Derecho del titular que dalugar a que se supriman losdatos que resulten serinadecuados o excesivos
Derecho de Oposición
Prerrogativa que consiste enoponerse al uso de datospersonales para unadeterminada finalidad
Estructura de la leyLa LFPDP consta de 69 artículos divididos en 11 capítulosdenominados de la siguiente manera:
I. Disposiciones generales.
II. De los Principios de protección de datos personales.
III. De los Derechos de los titulares de datos personales.
IV. Del Ejercicio de los derechos deacceso, rectificación, cancelación y oposición.
V. De la transferencia de datos.
VI. De las Autoridades.
VII. Del Procedimiento de protección de datos.
VIII.Del procedimiento de verificación.
IX. Del procedimiento de imposición de sanciones.
X. De las infracciones y sanciones.
XI. De los delitos en materia de tratamiento indebido
Objeto y ámbito de aplicaciónLa ley es de observancia obligatoria entodo el territorio nacional y tiene porobjeto regular el tratamientolegítimo, controlado e informado de losdatos personales en posesión de losparticulares
Sujetos obligados Todas las personas físicas o morales que para
sus actividades cotidianas recaben, manejen yutilicen información personal, con excepciónde:◦ Las Sociedades de Información Crediticia
◦ Las personas que recolectan y almacenan datospersonales para uso exclusivamente personal odoméstico
Principios y derechos
Contempla todos y cada uno de losprincipios y derechos ARCO, reconocidosen el documento denominado “EstándaresInternacionales sobre protección de datospersonales y privacidad. Resolución deMadrid”, aprobado en noviembre de 2009
Datos sensibles
Los datos sensibles sólo podrán ser tratadoscon el consentimiento expreso y por escritodel titular
No podrán crearse bases de datos coninformación personal de esta naturaleza, amenos que el responsable justifique lasfinalidades legítimas, explícitas ydeterminadas, en función de sus actividades
Ejercicio de los derechos ARCO Procedimiento sencillo y expedito para quelas personas puedan ejercer los derechosARCO ante los responsables de las bases dedatos, cuyo plazo máximo de respuesta es de20 días hábiles contados a partir de larecepción de la solicitud
Transferencias de datos
Facilita transferencias de DP dentro y fueradel país
Condición: el responsable debe informarloen el aviso de privacidad:◦ La finalidad de las transferencias◦ el titular acepte o consienta éstas
La LFPDP señala excepciones para solicitar elconsentimiento del titular, a fin de llevar acabo transferencias nacionales ointernacionales
Facultades del IFAI
El IFAI es responsable de garantizar estederecho fundamental
Sus facultades normativas:◦ Interpretar en el ámbito administrativo la
ley.◦ Emitir criterios y recomendaciones para
garantizar el pleno derecho a la protecciónde datos personales.
◦ Divulgar estándares y mejores prácticasinternacionales en materia de seguridad dela información
Facultades del IFAI
Sus facultades en materia de verificación:◦ Vigilar y verificar el cumplimiento de la ley.◦ Elaborar estudios de impacto sobre la
privacidad previos a la puesta en práctica deuna nueva modalidad de tratamiento de datospersonales o a la realización de modificacionessustanciales en tratamientos ya existentes
Sus facultades resolutorias:◦ Conocer y resolver los procedimientos de
protección de derechos y verificación
Facultades del IFAI
Sus facultades en materia de imposición desanciones:
Las infracciones deberán ser sancionadas:
◦ el apercibimiento
◦ multas máximas
◦ Se establece un sistema de modulación de lapenalidad, de acuerdo con la gravedad de lasconductas
Mitigantes y agravantes
Al sancionar el IFAI está obligado a tomar encuenta:◦ Naturaleza del dato
◦ Resistencia del sujeto obligado para acceder ala petición del particular
◦ Carácter intencional
◦ Capacidad económica del responsable
◦ Capacidad de daño (en casos de fallas deseguridad)
◦ Reincidencia
Autoridades reguladoras
La ley constituye el marco normativo paraque las dependencias emitan regulaciónespecializada que involucre el tratamientode datos personales, con la coadyuvanciadel IFAI
Delitos en materia de tratamiento de datos personales
Fue voluntad del legislador establecer tipospenales para sancionar hasta con 5 años deprisión a los responsables que bajo ciertascircunstancias hagan un uso ilícito de lainformación personal que tratan
www.ifai.org.mx
http://www.infomex.org.mx/gobiernofederal/home.action
01800 TEL IFAI
01800 835 4324
TEL. 50 04 24 00
¡Gracias!