Foro sobre Protección de Datos Personales

“La Protección a la Vida Privada en Situaciones de Desastres

y Contingencias Naturales”

Alexis Cervantes Padilla

Una apuesta por la especialización

Contenido

Se estudiarán los siguientes temas:

1. Marco Conceptual: Protección de datos

personales en estado de emergencia;

2. Obtención, almacenamiento y

divulgación de datos personales en

estados de emergencia;

3. Tratamiento de datos personales en

desastres naturales y contingencias;

4. Creación ad hoc de la Medidas

regulatorias en materia de Protección de

Datos Personales en situaciones de

emergencia;

5. Cultura de la Prevención en Materia de

Datos Personales: Robo de identidad;

6. Gestión de Datos Forenses: Regulación

adecuada;

ConclusionesIntroducción: Protección de Datos Personales en Situaciones de

Emergencia

www.davara.com.mx

Situaciones o Estados de Emergencia

Ámbito Individual

Ámbito Colectivo Desastres naturales, cataclismos, situación de

guerra, estado de excepción, epidemias, cambios

en la política internacional, etc.

Comisión de delitos, violencia familiar, interés

superior del niño, enfermedades y

padecimientos, peligro de perder la vida, etc.

www.davara.com.mx

Los Datos Personales en Situaciones de Emergencia

¡Para hacer frente a una situación de emergencia la

disponibilidad de los datos personales es fundamental!

Las organizaciones

privadas y públicas se

verán obligadas a

obtener, usar y divulgar

datos personales

www.davara.com.mx

¿Es permisiva la Ley en Situaciones de Emergencia?

Una mala interpretación y aplicación de la Ley no debe de

ser motivo o causa de una tragedia.

Gran Barrera de la Ley: EL CONSENTIMIENTO

Solución: EXCEPCIONES AL CONSENTIMIENTO

www.davara.com.mx

Excepciones al Consentimiento en el Ámbito Privado

Excepciones al consentimiento para el Tratamiento:

•Esté previsto en una Ley.

•Exista una situación de emergencia.

• Indispensables para servicios médicos o de salud.

Excepciones al consentimiento para la Divulgación:

•Esté previsto en una Ley o Tratado.

•Necesaria para servicios médicos o de salud.

•Necesaria para la salvaguarda de un interés público

o la administración de justicia.

www.davara.com.mx

Excepciones al Consentimiento en el Ámbito Público

Excepciones al consentimiento para el Tratamiento:

• Cuando una ley así lo disponga.

• Cuando exista una orden judicial o mandato fundado.

• Para el reconocimiento o defensa de derechos del titular.

• Cuando exista una situación de emergencia que potencialmente pueda dañar a un

individuo en su persona o en sus bienes.

• Cuando sea necesario para efectuar un tratamiento de asistencia sanitaria.

• Cuando el titular sea una persona reportada como desaparecida

Excepciones al consentimiento para la Divulgación:

• Esté prevista en esta Ley u otras leyes, convenios o Tratados Internacionales.

• Cuando sea legalmente exigida para la investigación y persecución de los delitos, la

procuración o administración de justicia.

• Cuando sea precisa para el reconocimiento, ejercicio o defensa de un derecho.

• Cuando lsea necesaria para la prevención o el diagnóstico médico, la prestación de

asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios.

• Cuando se trate de casos de excepción al tratamiento.

• Cuando sea necesaria por razones de seguridad nacional.

ConclusionesEl Derecho a la Privacidad y el Interés Público

www.davara.com.mx

El Derecho a la Privacidad y otros Derechos Fundamentales

El Derecho a la Vida del Individuo siempre va estar por

encima del Derecho a la Privacidad

La propia

normatividad

Mexicana de

Datos así lo

refleja:

www.davara.com.mx

El Libre Flujo de Información

Siempre debe de existir un equilibrio entre el

interés individual de las personas y el libre

flujo de la información.

La propia normatividad Mexicana de Datos así lo refleja:

www.davara.com.mx

El interés público toma mayor significado de lo normal:

La gobernabilidad asume como

tarea fundamental la

desaparicion de la amenaza.

www.davara.com.mx

El Interés Individual vs. El Interés Público

Se debe de tomar

en balanza el

potencial daño al

individuo vs. el

interés público:

ConclusionesReglas para el Tratamiento de Datos Personales en Situaciones

de Emergencia

www.davara.com.mx

Consideración de los Riesgos y el Daño Potencial

Punto de partida: considerar los riesgos y el daño

potencial que pueden surgir si no obtiene, almacena o

divulga la información.

Cumplir el mismo propósito o finalidad en aras

del interés público, con menos divulgación de

datos personales.

www.davara.com.mx

Obtención de los Datos Personales

Principios Rectores durante la obtención en Situaciones de Emergencia:

Principio de

Información

Principio de

Proporcionalidad

Principio de

Finalidad

Minimización

de los Datos

www.davara.com.mx

Uso y Divulgación de los Datos Personales

Base Legal Legítima = Excepciones al Consentimiento

El tener una base legal legítima para el uso y

divulgación de los datos personales, no

exime del cumplimiento de los principios y

deberes que marca la Ley.

www.davara.com.mx

Principios Rectores durante la obtención en Situaciones de Emergencia:

Principio de

Calidad

Reglas Aplicables

a las

Transferencias

Deber de

Confidencialidad

Deber de

Seguridad

Uso y Divulgación de los Datos Personales (II)

www.davara.com.mx

Determinación de Razones y Motivos durante el Uso y

Divulgación

Departamento de Protección de Datos Personales

Situación de Emergencia

Razones y MotivosNo Sí

BitácoraCaso Concreto

www.davara.com.mx

Contenido de la Bitácora

1. Registro de Razones y Motivos.

2. Finalidades a Cumplir.

3. Documentación Relevante.

4. Datos de Terceros.

ConclusionesBuenas Prácticas en Situaciones de Emergencia

www.davara.com.mx

3 Etapas a Seguir

Planeación Atención Recuperación

1 2 3

www.davara.com.mx

Planeación1

• Identificación de las bases de datos.

• Identificación de los deberes y obligaciones como

Responsable.

• Asegurar la calidad de la información y los datos personales.

• Plan de acción preventivo en caso de enfrentarse a una

situación de emergencia.

• Política de acciones y Plan de Respuesta en caso de

enfrentarse a una situación de emergencia.

• Designar a un equipo de respuesta.

• Capacitación al personal en general, y en especial al equipo

de respuesta en caso de situación de emergencia.

No se debe esperar una Situación de Emergencia; las medidas y

acciones deben constar desde un inicio en la Política de

Privacidad y Protección de Datos.

www.davara.com.mx

Atención2

• Seguir paso a paso la Política de acciones interna y

el Plan de Respuesta.

• Determinar las finalidades, razones y motivos

específicos para el uso y divulgación de los datos

personales.

• Garantizar la seguridad de los datos personales

siempre y en todo momento.

• Asegurar los datos personales de cualquier tipo de

acceso, uso o divulgación no autorizado.

• En la medida de lo posible, notificar a los titulares

sobre el uso o divulgación de los datos personales.

www.davara.com.mx

Recuperación3

• Llevar un Registro o Bitácora de los datos

personales que fueron usados o divulgados.

• Seguimiento de los datos personales que fueron

divulgados, asegurando el cumplimiento de la

finalidad de la divulgación.

• En caso de ya no ser necesaria, requerir a los

terceros la devolución, o en su caso, destrucción

de los datos personales.

• Revisión de la efectividad de las políticas de

privacidad y de protección de datos personales.

• En medida de lo posible, retomar la normalidad.

www.davara.com.mx

Comunicado INAI 19S: Fondo de Desastres Naturales

• Requerir que se identifique;

• Ser cauteloso con la finalidad;

• No proporcionar datos si no se tiene la seguridad

de que quien los requiere está autorizado;

• Consultar fuentes oficiales;

• Proporcionar sólo aquellos datos que resulten

necesarios; y

• Solicitar un comprobante de que fueron

proporcionados datos personales.

Conclusiones Caso Real

www.davara.com.mx

Detalles del Caso

Se ha producido un accidente industrial de gran magnitud en las

afueras de la ciudad de Puebla.

Las autoridades locales lideran cerca de la zona de desastres, un

Centro de Asistencia Humanitaria para proporcionar apoyo

a los afectados por el incidente, así como para brindar información

a sus familiares y amigos.

Varios grupos de voluntarios, centros médicos así como los medios

de comunicación locales, están incitando al Centro de Asistencia

Humanitaria para que divulgue todos los detalles personales de las

personas que están o podrían estar atrapadas en el desastre, para

su pronta identificación y ayuda.

¿Qué debería hacer el Centro de Asistencia?

www.davara.com.mx

¿Cómo Actuar?

• Primero que nada, el Centro de Asistencia Humanitaria necesita considerar si

tiene el poder legal para hacer la divulgación de los datos personales.

• El Centro de Asistencia Humanitaria entiende que los centros médicos podrían

llegar a ser considerados como Autoridades, pero todavía desconoce la

situación de los grupos de voluntarios y de los medios de comunicación.

• La autoridad principal en el Centro de Asistencia Humanitaria tendrá que

sopesar el posible beneficio de interés público de divulgar los datos personales

a los medios de comunicación, en contra del posible detrimento que esto pueda

causar a los individuos, tomando en consideración el deber de confidencialidad

y el principio de finalidad.

• La autoridad principal en el Centro de Asistencia Humanitaria deberá

determinar su la divulgación de los datos personales, podría encuadrar en

algún supuesto de excepción al consentimiento.

Conclusiones ¡MUCHAS GRACIAS!