¿Qué podemos esperar después del Reglamento de la Ley Federal de Protección de Datos Personales

en Posesión de los Particulares?

Lina Gabriela Ornelas NúñezDirectora General de Autorregulación

Junio 2012

Andamiaje Jurídico

Video vigilancia.

Difusión.

Internacional: CBPRs; Red Iberoamericana de Protección de Datos(RIPD).

Sustanciación y Verificación.

Andamiaje Jurídico

Reglamento de la Ley Federal de Protección de DatosPersonales, publicado el 22 de diciembre de 2011, en el DiarioOficial de la Federación (D.O.F).

Criterios generales para la instrumentación de medidascompensatorias, mismos que se publicaron el 18 de abril de2012, en el Diario Oficial de la Federación (D.O.F).

Recomendaciones de Medidas de Seguridad.

Parámetros para los mecanismos y medidas de autorregulaciónvinculante.

Lineamientos del Aviso de Privacidad.

Regulación Sectorial

Parámetros de Autorregulación Vinculante

La Secretaría de Economía, en coadyuvancia con el IFAI fijará, en lospróximos meses, los parámetros para el desarrollo de los mecanismosde autorregulación vinculante (art. 43, fracc. V de la LFPDPPP), estosincluirán:-Generalidades de los esquemas de autorregulación-Tipo de esquemas de autorregulación (códigosdeontológicos, políticas de privacidad-Requerimientos mínimos para los esquemas de autorregulación.-Características de certificadores y auditores.-Procedimiento para la notificación de esquemas de autorregulación.

Contenido mínimo de los Esquemas deAutorregulación Vinculante:

Tipo de esquema; Ámbito de aplicación; Procedimientos y mecanismos para hacer eficaz la

protección de datos y medir su eficacia; Sistemas de supervisión y vigilancia, Programas de capacitación para quienes traten los datos; Mecanismos para facilitar los derechos ARCO; Identificación de los responsables, y Medidas efectivas en caso de incumplimiento.

Los esquemas de autorregulación también podránincluir la certificación de los Responsables.

Registro de los Esquemas de Autorregulación

Los esquemas de autorregulación se notificarán de manerasimultanea a las autoridades sectoriales correspondientes y al IFAI.

El Registro será administrado por el IFAI.

Se incluirán solamente aquellos registros que cumplan con losParámetros de Autorregulación.

Lineamientos del Aviso de Privacidad

La Secretaria de Economía en coadyuvancia con el IFAI emitirá los Lineamientospara el contenido y alcance del Aviso de Privacidad (art. 43, fracción III de laLFPDPPP).

OBJETIVO: Ser un manual de auto contenido que defina el alcance y conformación del aviso deprivacidad, de conformidad con lo previsto en la LFPDPPP y su Reglamento.

Principales interrogantes a las que se busca dar respuesta con los Lineamientos del Aviso dePrivacidad:

¿Qué es el aviso de privacidad?

¿Cuáles son sus funciones?

¿Cuál es el contenido del aviso de privacidad?,

¿Cómo se lleva a cabo la puesta a disposición del aviso de privacidad ante eltitular?

¿Cuáles son las modalidades del aviso de privacidad y su respectivo contenido

Principales elementos que se prevén en el contenido del proyecto de los Lineamientos:

Establecimiento de las denominaciones de las tres modalidades del aviso de privacidad(integral, simplificado y corto).

La forma en la que el responsable debe cumplir con la obligación de incluir en el aviso deprivacidad el mecanismo a través del cual el titular manifieste su negativa al tratamiento desus datos para finalidades secundarias.

La inclusión del uso de mecanismos en medios remotos o locales de comunicaciónelectrónica, óptica u otra tecnología, que permitan recabar datos personales de maneraautomática y simultánea al tiempo que el titular hace contacto con los mismos (cookies, webbeacons u otros).

Identificación de terceros receptores a los que se les transfieren los datos personales.

Descripción del procedimiento para el ejercicio de los derechos ARCO.

Las condiciones con las que deben cumplir los medios que habilite el responsable para elejercicio de los derechos ARCO y para la revocación del consentimiento.

Inclusión en el aviso de privacidad de los datos de contacto de la persona o departamento deprotección de datos personales.

La definición de los supuestos en que no se actualiza un simple cambio en el aviso deprivacidad, sino un nuevo aviso de privacidad.

Medidas de Seguridad Establecer medidas de seguridad administrativas, físicas y/o técnicas para la protección de losDP, mismas que deben ser documentadas (acciones: análisis de riesgo, análisis debrecha, revisiones o auditorías, capacitación, entre otras.)

El responsable debe considerar los siguientes factores para determinar las medidas de seguridad:

Riesgo inherente por tipo de dato personal.

Sensibilidad de los datos personales.

Desarrollo tecnológico.

Posibles consecuencias de una vulneración para los titulares.

De forma adicional, el responsable procurará tomar en cuenta los siguientes elementos:

Numero de titulares.

Vulnerabilidades previas ocurridas en los sistemas de tratamientos.

Riegos por valor potencial cualitativo o cuantitativo que puedantener los datos por una persona no autorizada para su posesión.

E S T R A T E G I A

El establecimiento de las medidas de seguridad tiene por objeto:

Evitar

•La pérdida o destrucción no autorizada.• El robo, extravío o copia no autorizada.•El uso, acceso o tratamiento no autorizado.• El daño, la alteración y/o modificación no autorizada.

En caso de vulneración a la seguridad

El responsable debe informar al titular al menos la naturaleza delincidente; datos personales comprometidos; recomendaciones deltitular acerca de las medidas que pudiera adoptar para protegersus intereses; acciones correctivas y medios donde podrá obtenermas información.

M E D I D A S C O M P E N S A T O R I A S

Cuando resulte imposible dar a conocer al aviso de privacidad al titular o exijaesfuerzos desproporcionados en consideración al número de titulares o a laantigüedad de los datos, el responsable podrá instrumentar medidascompensatorias.

Para implementar la medida compensatoria, el responsable debe acreditar anteel IFAI:

Que enfrenta a alguna imposibilidad de hecho para dar a conocer a lostitulares el aviso de privacidad, tales como la falta de elementos que lepermitan contactar al titular o que los datos sean inexactos o desactualizados.

Que dar a conocer el aviso de privacidad personal o directamente a lostitulares requiere de esfuerzos desproporcionados por parte delresponsable, es decir:

1.Es disruptivo de actividades cotidianas u ordinarias.2.Es desmesurado considerando la capacidad económica del negocio delresponsable.

ContenidoAviso de privacidad simplificado

Los artículos 17, fracción II de la LFPDPPP y 27 del Reglamento.

• La identidad y domicilio del responsable.• Las finalidades del tratamiento.• Los mecanismos para conocer el aviso de

privacidad completo.

Medios

• Diarios de circulación nacional, locales o revistas especializadas.

• Página de Internet del responsable.• Hipervínculos en la página del

Instituto, cuando el responsable no cuente con página de internet.

• Carteles informativos.• Cápsulas informativas en

radiodifusoras.• Medios alternos de comunicación

masiva.Las medidas compensatorias las deberáinstrumentar el responsable de acuerdo conlos criterios generales que expidió el Institutoel 18 de abril de 2012. Los CASOS NOPREVISTOS en los criterios, requeriránAUTORIZACIÓN EXPRESA del Instituto previa asu instrumentación.

V I D E O V I G I L A N C I A

La videovigilancia (V-V) se define como el uso de cámaras de video ode sistemas cerrados de télévision que involucren la colocación deuna o varias cámaras en espacios privados o públicos limitados parala supervisión o monitoreo de ese espacio y de las personas que en élse encuentran. Existen dos tipos de videovigilancia:

La que se realiza en tiempo real, sin grabaciones de por medio y La que guarda las imágenes en dispositivos.

La videovigilancia implica el tratamiento de losdatos personales, dado que las imágenes identificano hacen identificables a los individuos

Dicha actividad es regulada por la LFPDPPP y suReglamento cuando se lleva a cabo por particulares-siempre y cuando dicha actividad no se lleve a cabopara uso exclusivamente personal- y no pordependencias o entidades del gobierno.

Modelo de Aviso dePrivacidad a la CamaraNacional de Autotransporte yTurismo (CANAPAT) derivadode una consulta que hizo alIFAI

PROCEDIMIENTOS ANTE EL IFAI

• Procedimiento de Protección de Derechos (art. 45 a 58 de laLFPDPPP y 113 a 127 de su Reglamento).

• Procedimiento de Verificación (art. 59 y 60 de la LFPDPPP yarts. 128 a 139 del Reglamento).

• Procedimiento de Imposición de Sanciones (art. 61 y 62 dela LFPDPPP y 140 a 144 del Reglamento).

Procedimiento de Protección de Derechos

Causales de procedencia :

El responsable no entregue al titular losdatos personales solicitados o lo haga en unformato incomprensible.

Que el titular no haya recibido respuesta por parte del

responsable o que la información sea incompleta o

no corresponda a la solicitada; o bien, el titular no este conforme

con el costo o modalidad de reproducción.

El responsable seniegue a efectuar larectificación ocancelación a losdatos personales;persista en eltratamiento aunquehaya procedido lasolicitud deoposición o se nieguea atenderla.

Procedimiento de Verificación

OBJETO

Verificar el cumplimiento de la LFPDPPP, asícomo, de la normatividad que derive de la misma.

Puede iniciarse:

A) De oficio

B) A petición de parte

En contra de la resolución procede la interposición del

juicio de nulidad ante el TFJFA

El procedimiento concluye con laresolución que emita el Pleno delIFAI, mediante la cual:

A) Se establecerán las medidas quedeberá adoptar el responsable, o

B) Se podrá instruir el inicio delprocedimiento de imposición desanciones, estableciéndose un plazopara su inicio.

Procedimiento de Imposición de sanciones

Puede iniciar si con motivo del desahogo del procedimiento de protección dederechos o del procedimiento de verificación que realice el Instituto, se tengaconocimiento de un presunto incumplimiento de alguno de los principios odisposiciones de la LFPDPPP, a efecto de determinar la sanción que corresponda.

El procedimiento inicia con la notificación al presunto infractor, y se desenvuelvea través de las siguientes etapas:

Ofrecimiento y desahogo de pruebas;

Admisión o desechamiento de pruebas, y

Cierre de instrucción y resolución.

El Instituto fundará y motivará sus resoluciones, considerando:

• La naturaleza del dato.

• La notoria improcedencia de la negativa del responsable,para realizar los actos solicitados por el titular.

• El carácter intencional o no, de la acción u omisiónconstitutiva de la infracción.

• La capacidad económica del responsable.

• La reincidencia.

51%26%

23%

Julio 2011 - Diciembre 2011

TV de Paga Radio TV abierta

63%17%

10%

10%

RadioAbril – Junio 2012

Carmen Aristegui Oscar Mario Beteta

Joaquín López Dóriga Carlos Loret de Mola

• Se imprimieron 10,000 ejemplares de la LFPDPPP

• Se repartieron 2,000 carteles

Spots de TV• Avisos de Privacidad• Caquitos• Redes Sociales

Anuncios de Radio• Asteriscos• Conciencia• Protección de Datos

Personales

Se pueden encontrar en la página del IFAI

DIFUSIÓN INSTITUCIONAL EN MATERIA DE PROTECCIÓN DE DATOS

ACTIVIDADES EN MATERIA DE DATOS PERSONALES A NIVEL INTERNACIONAL

Red Iberoamericana de Protección de Datos Personales (RIPDP):

Elaboración de opinión respecto a temas que seabordan en bloque.

Promoción de regulaciones en materia de privacidad endiversos Estados que no cuentan con ella.

Opinión sobre los seminarios a realizarse.

Contratación del consultor externo encargado deelaborar el estudio y la plataforma electrónica quesistematiza los criterios jurisprudenciales emitidos porlas autoridades de Iberoamérica.

Subgrupo de Privacidad de APEC para la implementación del Sistema de CBPRs

Análisis y emisión de comentarios a los siguientes documentos:

Los relacionados con la solicitud de una Economía miembro y de un tercero certificador para formar parte del Sistema de CBPRs;

Protocolos del Panel Conjunto de Supervisión, al Glosario y al cuestionario de encargados.

Asistencia a reuniones del Subgrupo de Privacidad de APEC para dar seguimiento y emitir comentarios realizados.

Elaboración y actualización del Plan de acción de México que incluye unacomparativa de toda la regulación de privacidad en México con el Marco deprivacidad de APEC.

Realización de diversos comunicados con las autoridadesde APEC para recibir la documentación necesaria para formarparte del Acuerdo de Cooperación Transfronteriza de APEC.

REGULACIÓN SECTORIAL

El IFAI contrató un estudio especializado paraelaborar un diagnóstico de la regulaciónexistente en las materias del sectorfinanciero y salud.

GRACIASLina Gabriela Ornelas Núñez

Directora General de Autorregulación Junio 2012