INSTITUTO DE

TRANSPARENCIA

INFORMATIVA

DEL ESTADO DE SONORA

Tu llave de acceso a la información pública

LA PROTECCIÓN DE DATOS PERSONALES EN ARCHIVOS PÚBLICOS

(Curso teórico-práctico)

Lic. Juan Alberto López Mendívil

El asistente al finalizar el curso-taller

podrá reconocer los principios

referentes al derecho fundamental de

protección de los datos personales

contenidos en sus archivos públicos

y definir, con esto, las medidas de

seguridad conducentes.

Objetivo

¿En qué consiste el derecho a la

autodeterminación informativa?

• Es el derecho que tiene toda persona a conocer y decidir, quién, cómo y de qué manera recaba y utiliza sus datos personales.

Los Datos Personales, es toda la información relativa a la vida privada de una persona.

Características físicas, morales o emocionales Domicilio y número telefónico Origen étnico o racial Estado de salud físico o mental Creencias o convicciones religiosas o filosóficas Patrimonio Vida afectiva y familiar Preferencias sexuales Ideología y opiniones políticas Análogas como la Información Genética.

LA RELEVANCIA INTERNACIONAL DE LOS

• Los principales instrumentos internacionales de derechos humanos reconocen al derecho a la vida privada.

• Sin embargo, los avances en las Tecnologías de la Información y sus implicaciones para la vida de las personas dieron origen a un derecho distinto, relacionado con la protección de los datos personales.

Sus orígenes en la normatividad

fases de creación

I. La Resolución 509 de la Asamblea del Consejo de Europa sobre derechos humanos y nuevos logros científicos y técnicos

II. A finales de los 70’s • Leyes nacionales de Alemania Francia, Dinamarca, Austria,

Luxemburgo;

• Resolución del Parlamento Europeo sobre la tutela de los derechos del individuo frente al creciente progreso técnico en el sector de la informática (1979)

III. En los 80’s surgen un catálogo de derechos de los ciudadanos para hacer efectiva la protección de los datos personales que se positiviza en diversos instrumentos normativos.

Principales instrumentos en Europa

I. Convenio 108 del Consejo de Europa sobre protección de datos personales (1985)

II. Directiva 95/46/CE sobre protección de personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos

III. Carta de Derechos Fundamentales de la Unión Europea (2000)

• Reconoce el derecho a la protección de datos como un derecho fundamental y autónomo, distinto al derecho a la intimidad y la privacidad de las personas

¿Cómo surge este nuevo derecho?

• Del derecho a la intimidad (noción

tradicional “a ser dejado solo”), y

• Por el uso vertiginoso de la tecnología (que representa una amenaza a la privacidad por la acumulación

de grandes cantidades de información, su transmisión fuera de

las fronteras en minutos, así como la formación de perfiles del

comportamiento de las personas –quienes son, qué

enfermedades tienen, dónde y que compran, etc.)

En nuestro país, tiene sus orígenes

a nivel constitucional en los artículos

6º y 16.

1) Las fracciones II y III del artículo 6 constitucional tienen la

virtud de ser las primeras menciones constitucionales

expresas que hacen un reconocimiento del derecho a la

protección de datos personales y se constituyen como

limitantes al ejercicio del derecho de acceso a la

información. Estas fracciones señalan que:

La información a que se refiere la vida privada será

protegida en términos de la ley respectiva.

Toda persona tiene derecho a acceder y rectificar sus

datos personales.

2) En el segundo párrafo del artículo 16 constitucional se

establece la base de los denominados derechos

“ARCO” como parte del capítulo en donde se

contemplan las Garantías Individuales.

Artículo 16. Nadie puede ser molestado en su persona … Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros. …

CONSTITUCIÓN POLÍTICA DE LOS ESTADOS UNIDOS MEXICANOS

Reforma que adiciona un segundo párrafo de fecha 01 de junio de 2009

Acceso El titular de los datos puede solicitar información concerniente a datos concretos, datos incluidos en un sistema de datos, o la totalidad de sus datos sometidos a tratamiento

Rectificación Facultad de solicitar que se modifiquen sus datos inexactos o incompletos

Cancelación Facultad de pedir que se supriman los datos inadecuados o excesivos

Oposición Facultad de inconformarse al tratamiento de sus datos.

Habeas Data Es la acción que concede la Ley al titular de los datos

personales de:

Ley Federal de Protección de Datos personales en Posesión de Particulares (Publicada en DOF el 5 de julio de 2010)

• Tiene por objeto la protección de los datos personales en posesión

de los particulares, con la finalidad de regular su tratamiento legítimo,

controlado e informado, a efecto de garantizar la privacidad y el

derecho a la autodeterminación informativa de las personas.

DATOS PERSONALES

GOBIERNO PARTICULARES

ESTATAL FEDERAL

INFORMACIÓN CONFIDENCIAL (Referida a la vida privada de las personas físicas)

Artículo 18: “La información de acceso restringido, en sus modalidades de reservada y confidencial, no podrá ser divulgada…”.

LA LEY DE ACCESO A LA INFORMACIÓN PÚBLICA DEL ESTADO DE SONORA EN SU CAPÍTULO DE LA INFORMACIÓN

DE ACCESO RESTRINGIDO ESTABLECE:

I.- Contenga datos personales de los particulares o servidores públicos;

II.- Entregada por los particulares a los sujetos obligados oficiales, con reserva expresa de confidencialidad; y

III.- Por disposición expresa de la Ley.

INFORMACIÓN CONFIDENCIAL (LAIPES ART. 27)

“La información concerniente a una persona física,

identificada o identificable, relativa a … que afecte

o pueda afectar la intimidad de las

personas físicas”

Fracción I del artículo 3 de la LAIPES

LA LAIPES DEFINE COMO DATOS PERSONALES :

… se adicionan las políticas generales, condiciones y

requisitos mínimos para el debido manejo y custodia

de sus sistemas de datos, así como los

procedimientos y/o medidas de seguridad que

deberán observar los sujetos obligados,

garantizándose a los particulares la facultad de

decisión sobre el uso y destino de sus datos

personales de conformidad con los principios

establecidos en la Ley, con el propósito de asegurar

su adecuado tratamiento e impedir su transmisión

ilícita y lesiva para la dignidad y derechos del

afectado.

DE LA REFORMA A LA LAIPES

Uno de los objetivos de la Ley de Acceso a la Información Pública del Estado de Sonora es:

Artículo 5, fracción III.- “Asegurar la

protección de los datos personales recibidos,

generados, administrados o en posesión de los

sujetos obligados;”

...

¿Qué es un SISTEMA DE DATOS PERSONALES?

Es el conjunto ordenado de datos personales que estén en posesión de un sujeto obligado, sin perjuicio de que el sistema sea físico o automatizado.

Ejemplo: Sistema de datos de Recursos Humanos Sistema de datos de alumnos inscritos Sistema de datos de proveedores Sistema de datos de usuarios de servicios

1. LICITUD: LA POSESIÓN Y TRATAMIENTO DE DATOS PERSONALES POR PARTE DE LOS S.O., OBEDECE EXCLUSIVAMENTE A LAS ATRIBUCIONES LEGALES Y REGLAMENTARIAS;

2. CONSENTIMIENTO: REFIERE A LA MANIFESTACIÓN DE VOLUNTAD LIBRE, INEQUÍVOCA, ESPECÍFICA E INFORMADA;

3. CALIDAD DE LOS DATOS: SER CIERTOS, ADECUADOS, PERTINENTES Y NO EXCESIVOS EN RELACIÓN AL ÁMBITO Y FINALIDAD PARA LOS QUE SE HUBIEREN OBTENIDO (QUE RESPONDA CON VERACIDAD A LA SITUACIÓN ACTUAL DEL INTERESADO);

4. CONFIDENCIALIDAD: LA GARANTÍA DE QUE EXCLUSIVAMENTE LOS AUTORIZADOS POR LA LEY PUEDEN TENER ACCESO A LOS DATOS, ASÍ COMO EL DEBER DE SECRECÍA DE LOS RESPONSABLES Y USUARIOS;

Principios rectores en el Tratamiento de los Datos Personales

ART. 32 LAIPES

5. SEGURIDAD: SE GARANTIZA QUE ÚNICAMENTE EL RESPONSABLE Y LOS USUARIOS DEL SISTEMAS DE DATOS PERSONALES LLEVEN SUS TRATAMIENTO CON LOS PROCEDIMIENTOS ESTABLECIDOS PARA ELLO;

6. DISPONIBILIDAD: LOS D.P. DEBERÁN SER ALMACENADOS O ARCHIVADOS DE TAL MODO QUE PERMITAN SU ACCESO, RECTIFICACIÓN, CANCELACIÓN U OPOSICIÓN DEL INTERESADO; Y

7. TEMPORALIDAD: LOS D.P. DEBERÁN SER DESTRUIDOS CUANDO HAYAN DEJADO DE SER NECESARIOS O PERTINENTES PARA LOS FINES PARA LOS QUE SE HUBIEREN RECOLECTADO U OBTENIDO. (ÚNICAMENTE SE PERMITIRÁ SU TRATAMIENTO Y CONSERVACIÓN ÍNTEGRA Y PERMANENTE, CUANDO SEA PARA FINES HISTÓRICOS).

Principios rectores en el Tratamiento de los Datos Personales

ART. 32 LAIPES

Niveles de seguridad de Datos personales

NIVEL BÁSICO NIVEL MEDIO NIVEL ALTO

IDENTIFICACIÓN

LABORALES

ACADEMICOS

TRANSITO Y MOVIMIENTOS MIGRATORIOS

JURISDICIONALES

PATRIMONIALES

VIDA SEXUAL

CARACTERISTICAS PERSONALES

CARACTERISTICAS FÍSICAS

ESTADO DE SALUD FISICO O MENTAL

IDEOLÓGICOS Y RELIGIOSOS

LABORALES

Documentos de reclutamiento y selección Documentos de nombramiento Documentos de incidencia Documentos de capacitación Puesto Domicilio de trabajo Correo electrónico institucional Teléfono institucional Actividades extracurriculares Referencias laborales Referencias personales (cartas de recomendación, etc.) Trabajo actual Trabajos anteriores Otros

Nombre RFC CURP Edad Domicilio Teléfono particular Teléfono celular particular Correo electrónico Estado civil Firma Firma electrónica Cartilla militar Lugar de nacimiento Fecha de nacimiento Nacionalidad Nombres de familiares, dependientes y beneficiarios Fotografía Costumbres Idioma Otros

IDENTIFICACIÓN

NIVEL BASICO

NIVEL MEDIO

DATOS PATRIMONIALES Afores Fianzas Servicios contratados Referencias personales crediticias o patrimoniales Otros Bienes muebles e inmuebles Información fiscal Historial crediticio Ingresos y egresos Cuentas bancarias Seguros

DATOS ACADEMICOS Trayectoria educativa Títulos Cédula profesional Certificados Reconocimientos Otros

TRANSITO Y MOVIMIENTOS MIGRATORIOS

Información relativa al tránsito de las personas dentro y fuera del país Información migratoria de las personas Otros

DATOS JURISDICIONALES Datos sobre procedimientos administrativos seguidos en forma de juicios y/o jurisdiccionales Información derivada de resoluciones judiciales o administrativas que incidan en la esfera jurídica de una persona física.

NIVEL ALTO ESTADO DE SALUD FISICO O MENTAL

Discapacidades Intervenciones quirúrgicas Vacunas Consumo de sustancias tóxicas Uso de aparatos oftalmológicos, ortopédicos, auditivos, entre otros (anteojos, aparatos de oído, prótesis, etc.) Estado de salud Historial clínico Alergias Enfermedades Información relacionada con cuestiones de carácter psicológico y/o psiquiátrico Incapacidades médicas

CARACTERISTICAS FÍSICAS Color de piel Color de iris Color de cabello Señas particulares Estatura Peso Complexión

CARACTERISTICAS PERSONALES Tipo de sangre ADN Huella digital Otros

DATOS IDEOLÓGICOS Y RELIGIOSOS Creencias religiosas Ideologías Afiliación política Afiliación sindical Pertenencia a organizaciones de la sociedad civil Pertenencia a organizaciones religiosas

VIDA SEXUAL

Preferencias sexuales Hábitos sexuales Otros

EN LAS INSTITUCIONES EDUCATIVAS, ¿QUIÉN ES QUIÉN EN LA PROTECCIÓN

DE DATOS PERSONALES?

Afectado o interesado: Persona física titular

de los datos que sean objeto de tratamiento

(ALUMNOS, PERSONAL)

Usuario: Sujeto autorizado para acceder a datos (PERSONAL

DOCENTE, DE ADMINISTRACIÓN Y SECRETARIAL).

¿Cuáles son las principales obligaciones?

a.- Notificación e inscripción de Sistemas en el Directorio

Estatal de Sistemas de Datos Personales ( Arts. 74 al 77 LGMIRPDP).

b.- Cumplimiento del deber de información del interesado

y, en su caso, la obtención del consentimiento para el tratamiento

de su información de carácter personal.

c.- Elaboración del Documento de seguridad e implantación de medidas de seguridad de carácter técnico y organizativo en el sistema de

información.

d.- Formación del personal: Encargado, responsable y usuarios de

seguridad.

¿Cómo recabas el consentimiento?

La manifestación de la voluntad del titular es la

principal causa legitimadora del tratamiento de los

datos personales, salvo excepciones. El

consentimiento puede ser expreso o tácito.

a. El consentimiento es expreso cuando la voluntad del

titular se manifieste verbalmente, por escrito, por

medios electrónicos, ópticos o por cualquier otra

tecnología, o por signos inequívocos.

b. El consentimiento es tácito cuando el titular accede al

tratamiento de sus datos una vez que habiéndose

puesto a su disposición el aviso de privacidad, no

manifieste su oposición.

En el momento en que se recaben datos

personales, los sujetos obligados deberán hacer

del conocimiento al titular de los datos tanto en

los formatos físicos como en los electrónicos

utilizados para ese fin, lo siguiente:

a).- La mención de que los datos recabados serán

protegidos en términos de lo dispuesto por la Ley;

b).- El fundamento legal para ello; y,

c).- El objeto y la finalidad del Sistema de Datos

Personales. ARTÍCULO 67 LINEAMIENTOS

POR LO QUE ES MUY IMPORTANTE:

“Los datos personales recabados serán protegidos, incorporados y tratados en el Sistema de Datos Personales (indicar nombre), con fundamento en (indicar) y cuya finalidad es (describirla); el cual fue registrado en el Directorio Estatal de Sistemas de Datos Personales ante el Instituto de Transparencia Informativa del Estado de Sonora (www.transparenciasonora.org), y podrán ser transmitidos a (indicar), con la finalidad de (indicar), además de otras transmisiones previstas en la Ley. La Unidad Administrativa responsable del Sistema de Datos Personales es (indicarlo), y la dirección donde el interesado podrá ejercer los derechos de acceso, rectificación, cancelación y oposición ante la misma es (indicarla). Lo anterior se informa en cumplimiento del artículo 67 de los lineamientos para el manejo de la información restringida y la protección de los datos personales en posesión de los sujetos obligados del Estado de Sonora, emitidos por el Instituto de Transparencia Informativa del Estado de Sonora”.

ARTÍCULO 68.- Sin perjuicio de que los sujetos obligados elaboren sus propios formatos para informar al titular de los datos lo establecido por el artículo anterior, podrán utilizar el siguiente modelo:

DOCUMENTO DE SEGURIDAD + IMPLEMENTACIÓN DE MEDIDAS DE SEGURIDAD DOCUMENTO DE SEGURIDAD – ACTUALIZADO Adopción de las medidas de seguridad (Básica, Media o Alta), técnicas y organizativas, de conformidad con los artículos 78 al 88 de los LGMIRPDP. Además; ARTÍCULO 69.- Los sujetos obligados que recaben datos personales a través de un servicio de orientación telefónica, u otros medios o sistemas, deberán establecer un mecanismo por el que se informe previamente a los particulares que sus datos personales serán recabados, la finalidad de dicho acto así como el tratamiento al cual serán sometido…

¿Y cuáles son las Medidas de Seguridad a implementar?

BASES DE DATOS NO AUTOMATIZADOS (PAPEL)

CRITERIOS DE ARCHIVO

» Archivo de soportes o documentos.- Los soportes o documentos en papel deberán ser almacenados siguiendo un criterio de archivo que debe garantizar la correcta conservación de los documentos, la localización y consulta de la información.

» Los soportes o documentos se archivarán en el lugar correspondiente, de modo que permitan una buena conservación, clasificación, acceso y uso de los mismos.

TRASLADO DE SOPORTES O DOCUMENTOS PAPEL

» Traslado de soportes o documentos en papel con datos de carácter personal.- En los procesos de traslado de soportes o documentos deberán adoptarse medidas dirigidas para impedir el acceso o manipulación por terceros y, de manera que, no pueda verse el contenido, sobre todo, si hubieren datos de carácter personal.

» Traslado de dependencias.- En caso de cambiar de dependencia, en el proceso de traslado de los soportes o documentos en papel, se deberá realizar con el debido orden. Asimismo, se procurara mantener fuera del alcance de la vista de cualquier personal de la entidad, aquellos documentos o soportes en papel donde consten datos de carácter personal.

» Custodia de llaves de acceso a archivadores o dependencias.- Mantener debidamente custodiadas las llaves de acceso a los locales o dependencias, despachos, así como a los armarios, archivadores u otros elementos que contenga soportes o documentos en papel con datos de carácter personal.

» Cierre de despachos o dependencias.- En caso de disponer de un despacho, cerrar con llave la puerta, al término de la jornada laboral o cuando deba ausentarse temporalmente de esta ubicación, a fin de evitar accesos no autorizados.

» Almacenamiento de soportes o documentos en papel.- Guardar todos los soportes o documentos que contengan información de carácter personal en un lugar seguro, cuando éstos no sean usados, particularmente, fuera de la jornada laboral. Cuando estos soportes o documentos, no se encuentren almacenados, por estar siendo revisados o tramitados, será la persona que se encuentre a su cargo la que deba custodiar e impedir, en todo momento, que un tercero no autorizado pueda tener acceso.

» No dejar en fotocopiadoras, faxes o impresoras, papeles con datos de carácter personal.- Asegurarse de que no quedan documentos impresos que contengan datos personales, en la bandeja de salida de la fotocopiadora, impresora o faxes.

» Documentos no visibles en los escritorios, mostradores u otro

mobiliario.- Se deberá mantener la confidencialidad de los datos personales que consten en los documentos depositados o almacenados en los escritorios, mostradores u otro mobiliario.

» Desechado y destrucción de soportes o documentos en papel con datos personales.- No tirar soportes o documentos en papel, donde se contengan datos personales, a botes de basura o contenedores, de modo que pueda ser legible o fácilmente recuperable la información.

Se deberá prohibir terminantemente echar en botes de basura,

contenedores de cartón o papel, soportes o documentos, donde se contengan datos personales.

BASES DE DATOS AUTOMATIZADOS (INFORMÁTICOS) En particular, respecto a la información de carácter personal contenida en ficheros informáticos, deberá cumplir, en consonancia con lo expuesto en anteriores apartados, las siguientes diligencias:

Claves de acceso al sistema informático.- Las contraseñas de acceso al sistema informático son personales e intransferibles, siendo el

Usuario el único responsable de las consecuencias que pudieran derivarse de su mal uso, divulgación o pérdida.

Queda prohibido, asimismo, emplear identificadores y contraseñas de otros Usuarios para acceder al sistema informático.

En caso de que fuera necesario acceder al sistema, en ausencia de un compañero, se solicitará al Responsable de Informática

para que se habilite el acceso eventual. Una vez finalizada la(s) tarea(s) que motivaron el acceso, deberá ser comunicado, de nuevo, al Responsable de Informática.

Bloqueo o apagado del equipo informático.- Bloquear la sesión del Usuario en el supuesto de ausentarse temporalmente de su

puesto de trabajo, a fin de evitar accesos de otras personas al equipo informático. Esto, sobre todo, deberá tenerse en cuenta,

por parte del personal que esté en atención al público.

Almacenamiento de archivos en la red informática.- Guardar todos los ficheros de carácter personal empleados por el Usuario, en el espacio de la red informática el Departamento de Informática, a fin de facilitar la realización de las copias de seguridad o respaldo y proteger el acceso frente a personas no autorizadas.

Manipulación de los archivos informáticos.- Únicamente las personas autorizadas, podrán introducir, modificar o anular los datos personales contenidos en los ficheros. Los permisos de acceso de los Usuarios a los diferentes ficheros serán concedidos por el Responsable. En el caso de que cualquier Usuario requiera, para el desarrollo de su trabajo, acceder a ficheros a cuyo acceso no está autorizado, deberá ponerlo en conocimiento del citado Responsable.

Generación de ficheros de carácter temporal.- Ficheros de carácter temporal son aquellos en los que se almacenan datos de carácter personal, generados a partir de un fichero general para el desarrollo o cumplimiento de una tarea(s) determinada(s). Estos ficheros deben ser borrados una vez hayan dejado de ser necesarios para los fines que motivaron su creación, y mientras estén vigentes, deberán ser almacenados en la carpeta habilitada en la red informática. Si transcurrido un mes el Usuario detecta la necesidad de continuar utilizando la información almacenada en el fichero, deberá comunicárselo al Responsable de Informática, para adoptar las medidas oportunas sobre el mismo.

FORMACIÓN, INFORMACIÓN O CONCIENCIACIÓN DE LOS USUARIOS DEL SISTEMA DE INFORMACIÓN.

El responsable del Sistema de Datos Personales o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. NOTA: En la actualidad, todavía hay una carencia de información hacia quienes en los Centros Educativos, tratan diariamente diversos datos de carácter personal.

CRITERIOS DE DATOS PERSONALES AVALADOS POR EL IFAI

Expedientes médicos en

instituciones de salud públicas:

El IFAI ha determinado que el

paciente debe tener acceso a su

expediente médico, pues es titular de la

información relativa a su estado de salud.

CRITERIOS DE DATOS PERSONALES

Currículum Vitae de servidores

públicos:

El IFAI ha determinado que el curriculum vitae contiene datos personales, pues generalmente en él se señalan, entre otros datos, el domicilio particular, el número telefónico, la fecha de nacimiento y el estado civil. El criterio ha sido que debe elaborarse una versión pública de este documento, pues los antecedentes laborales y la preparación académica, entre otros, acreditan la idoneidad del servidor público en el cargo que ocupa.

CRITERIOS DE DATOS PERSONALES

CRITERIOS DE DATOS PERSONALES

Servicio Civil de carrera:

En el caso de un concurso de ingreso, únicamente se considera pública la calificación del ganador. En el caso de exámenes derivados de la capacitación que recibe un servidor público, las calificaciones son públicas, pues acreditan su desempeño como tal.

CRITERIOS DE DATOS PERSONALES

Firma de servidores públicos:

El debate consiste en determinar si la

firma de un servidor público que no hace

constar un acto de autoridad debe

considerarse pública, o bien, es un dato

personal.

Estados de cuenta bancarios de

servidores públicos:

El IFAI ha determinado que se trata de

datos personales, pues es información

relativa a su patrimonio, a menos, que se

trate de información relativa a una cuenta

corporativa integrada con recursos públicos.

CRITERIOS DE DATOS PERSONALES

Calificaciones de estudiantes con becas

otorgadas por el Estado Mexicano :

En el caso de becas, el IFAI ha considerado

que la rendición de cuentas se da a través de las

constancias de terminación de estudios o la

obtención del grado correspondiente, así como

mediante los informes que los becarios rinden

periódicamente a la institución que les otorgó la

beca, y no mediante la difusión en lo particular

de sus calificaciones.

CRITERIOS DE DATOS PERSONALES

Calificaciones de exámenes derivados del

servicio civil de carrera :

En el caso de un concurso de ingreso,

únicamente se considera pública la calificación del

ganador.

En el caso de exámenes derivados de la

capacitación que recibe un servidor público, las

calificaciones son públicas, pues acreditan su

desempeño como tal.

CRITERIOS DE DATOS PERSONALES

INSTITUTO DE

TRANSPARENCIA

INFORMATIVA

DEL ESTADO DE SONORA

albertolm7@hotmail.com