MTRO. LUIS GUSTAVO PARRA NORIEGA

SECRETARIO DE PROTECCIÓN DE DATOS PERSONALES

INAI

30 de noviembre de 2017

Protección de Datos Personales en Situaciones de Emergencia

Cuantificación de Daños Terremotos del 7S y 19S

Reportes preliminares de funcionarios federales estiman los daños:

Más de 250 mil viviendas afectadas costará su reparación más 10 mil millones

de pesos.

Daños a la infraestructura cultural en al menos 8 mil millones de pesos.

Atención de daños a casi 13 mil escuelas públicas costará más de 13 mil

millones de pesos.1

48 mil 150 millones de pesos es la segunda estimación global anunciado por el Presidente

de la República referente a los daños materiales ocasionados por los sismos del 7 y del 19

de septiembre de 2017. 2

1. Fuente: https://www.gob.mx/presidencia/prensa/palabras-del-presidente-licenciado-enrique-pena-nieto-en-el-evento-avances-para-la-reconstruccion-de-los-estados-afectados-por-los-sismos?idiom=es; consultado el 22/10/17.2. Fuente: http://www.excelsior.com.mx/nacional/2017/10/18/1195282; consultado el 22/10/17

Costo de Reconstrucción:

48 mil 150 millones de pesos

=Al presupuesto anual de las

pensiones federales de

5 millones de adultos mayores

11 veces el presupuesto de

las estancias infantiles de

apoyo a madres

trabajadoras (SEDESOL)

Al presupuesto anual

de la UNAM

Al 1% del Gasto Programable

del Gobierno Federal PPEF

2018

Cuantificación de Daños Terremotos del 7S y 19S

Resolución Internacional Sobre Privacidad y Acción Internacional Humanitaria

• Que la Conferencia Internacional analice en reuniones futuras losrequerimientos de privacidad y protección de datos en el contextode la acción humanitaria.

• Esforzarse para satisfacer la demanda de cooperación con lasorganizaciones humanitarias internacionales en el desarrollo deorientaciones expresadas por los actores humanitarios, tomando enconsideración las especificaciones de la acción humanitaria y lanecesidad de que dicha acción sea facilitada;

• Autorizar al Comité Ejecutivo para que cree un Grupo de Trabajosobre Privacidad y Acción Humanitaria que guíe y coordine estasactividades, y que haga un llamado a las Redes de Protección deDatos para que contribuyan activamente a la labor del Grupo deTrabajo;

37ª Conferencia Internacional de Autoridades de Protección de Datos y PrivacidadÁmsterdam, octubre 2015

Experiencia Internacional

Resolución Internacional en Protección de Datos y Desastres Naturales importantes.

o Esta resolución se enfoca en los efectos de los desastres naturales importantessobre el manejo de la información personal y la protección de la privacidad.

o Exhorta a los gobiernos a que den especial consideración a los problemas deinformación personal que surgen de los desastres.

o Considera que las entidades públicas que participan en la respuesta a un desastre deben tener un plan para eliminar la información personal que hayan obtenido cuando ya no se necesita para la respuesta.

o Expone que la pérdida de la disponibilidad de bases de datos de gobierno porperiodos prolongados, o la pérdida permanente de los archivos físicos, puedengenerar dificultades para procesos regulares de autenticación de identidad.También podrían haber nuevos riesgos de fraude de identidad que pudiendoincluir estafas a víctimas o al gobierno.

33ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad

Ciudad de México, Noviembre, 2011

Experiencia Internacional

Reporte del Grupo de Trabajo de AcciónHumanitaria y Privacidad

o En el marco de la 39ª Conferencia Internacional de Autoridades deProtección de Datos y Privacidad, celebrada en Hong Kong, enseptiembre de 2017, el Grupo de Trabajo de Privacidad y AcciónHumanitaria, presentó su Reporte de Actualización, en el queexpone el Manual de Protección de Datos en la AcciónHumanitaria.

39ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad

Hong Kong, Septiembre, 2017

Experiencia Internacional

Manual de Protección de Datos en la Acción Humanitaria.

Experiencia Internacional

https://shop.icrc.org/e-books/handbook-on-data-protection-in-humanitarian-action.html.

El Manual contiene 11 capítulos que abarcan distintos temas relacionados con datospersonales y su protección en casos de emergencias. El Manual se basa en las mejoresprácticas internacionales de la Acción Humanitaria, y fue elaborado en colaboración con elComité Internacional de la Cruz Roja y con la organización Brussels Privacy Hub.

Parte 2:6. Análisis de datos y Big Data7. Drones/UAVS y sensores remotos8. Biométricos9. Programas de Transferencia de fondos10. Servicios de nube11. Aplicaciones de mensajería instantánea

Parte 1:1. Introducción2. Principios básicos de Protección de Datos3. Bases legales del procesamiento de datospersonales4. Transferencias Internacionales de datos5. Evaluación de Impacto de Protección de Datos(DPIAS)

c

Manual de Protección de Datos en la Acción Humanitaria

Experiencia Internacional

https://shop.icrc.org/e-books/handbook-on-data-protection-in-humanitarian-action.html.

• El derecho a la protección de datos personales no es un derecho

absoluto y, en casos de emergencia, debe ser considerado y

equilibrado en relación con la protección de otros derechos

humanos, de acuerdo con el principio de proporcionalidad. En

ese sentido, el Manual establece los estándares mínimos para

proteger los datos personales de las víctimas, siempre tomando

en cuenta el contexto de emergencia en el que se dan las

situaciones.

• Las emergencias humanitarias se desarrollan en ambientes volátiles y cambiantes (como en desastres

naturales, o conflictos armados). Por ejemplo, muchas veces no es posible pedir el consentimiento de la

persona, por el tipo de condición en la que se encuentra, sin embargo, es necesario que se utilicen

alternativas para que el tratamiento de datos de la víctima cumpla con los estándares y principios de la

protección.

Los actores humanitarios han desarrollado documentos y directrices en la materia

• Opinión del Supervisor Europeo de Protección de Datos Personales sobrela Propuesta de establecer una regulación a los cuerpos europeos devoluntarios y asistencia humanitaria.

• Estándares profesionales para el protección del Trabajo, y Manual sobreprotección de datos en la Acción humanitaria, realizado por la Cruz RojaInternacional y Privacy Hub Bruselas, (Julio, 2017).

• Hacia un código de conducta para la implementación de directrices enel uso de SMS en desastres naturales

• Política en la Protección de Datos personales, de aquellas personas queconciernen a la UNHCR.

Experiencia Internacional

Desastres naturales y Protección de Datos

► Los desastres son el escenario clásico de la pérdida de datos personales, debido a que son

impredecibles.

Provocados por la

naturaleza

Terremotos

Huracanes

Inundaciones

Volcanes

Provocados por el

hombre

Actos terroristas

Incendios

Guerras

► Los desastres pueden

destruir sistemas de

tratamiento de datos

personales, así como la

infraestructura que los

contiene.

Fuente: http://www.informit.com/articles/article.aspx?p=422303&seqNum=4

Desastres naturales y Protección de Datos

►Es difícil predecir un desastre, y para minimizar su

impacto, es necesario contar con un Plan de

respuestas a incidentes.

►Si no se cuenta con un Plan, una vez que sucede el

desastre, suele ser muy tarde para recuperar losdatos.

Fuente: http://www.informit.com/articles/article.aspx?p=422303&seqNum=4

Riesgos para las empresas al perder datos personales en desastres naturales

Robo de información

Inhabilitación para operar de manera oportuna

Demandas y multas/sanciones

Pérdida de ventas

Fuente: http://www.informit.com/articles/article.aspx?p=422303&seqNum=8

►Una organización enfrenta los siguientes escenarios de riesgo, cuando los

datos personales no se pueden recuperar, derivado de un desastre natural:

Estrategia para proteger los datos personales frente a los desastres naturales

►Los componentes mínimos que deben incluirse en un Plan, para la protección de los datos

personales son:

Copias de seguridad y respaldos

Almacenamiento de los respaldos en diferentes sitios

Almacenamiento distribuido y cómputo en la nube

Gestión del ciclo de vida de los datos

Personal para conformar un equipo de respuesta

►Un Plan de Respuesta a Incidentes es una combinación de tecnología, procesos

organizacionales y mejores prácticas.

Fuente: http://www.informit.com/articles/article.aspx?p=422303&seqNum=8

Situación en México

En México Existen dos normativas en Materia de Datos Personales, si bien no son Leyes

específicas para la protección de datos personales en situaciones de emergencia, si

cuentan con mecanismos que pueden ser de utilidad en dichos casos:

Sector Privado:

• Solicitud de Derechos ARCO

• Procedimiento de Protección de

Derechos

• Procedimiento de Investigación y

Verificación

Sector Publico:

• Solicitud de Derechos ARCO

• Recurso de Revisión

• Procedimiento de Investigación y

Verificación

Ejercer tus derechos

ARCO en Situaciones de

Emergencia puede

resultar de utilidad si

sufriste pérdida de

documentos

Comunicado: Llama INAI a Ejercer Derecho De Acceso a La Información, en el Marco del Día Internacional del Derecho a Saber , 28/09/17

A través de los derechos

ARCO tienes derecho:

Acceder o solicitar a

instituciones públicas o

privadas la reproducción de:

• Documentos,

• Expedientes,

• Archivos; o

• Bases de datos.

A través del derecho de Acceso,

puedes pedir reproducción de

documentación, tal como:

• Laboral y de seguridad social

• Financiera o Patrimonial

• Escolar

• Salud

• A pesar de encontrarnos en situaciones de emergenciacomo las ocurridas con los terremotos del 7 y 19 septiembre,tanto particulares como autoridades tenemos la obligaciónde seguir protegiendo los datos personales en nuestraposesión de conformidad con la LFPDPPP y LGPDPPSO.

• No obstante lo anterior, dichas normativas establecenalgunos supuestos de excepción al consentimiento quepudieran aplicar de forma especial en situaciones deemergencia Art. 10, Fracciones V y VI de la LFPDPPP y art. 22,Fracciones VI y VII de la LGPDPPSO.

Tratamiento Adecuado de Datos Personales enSituaciones de Emergencia

Excepciones del Consentimiento

LFPDPPP

Art. 10.- No será́ necesario elconsentimiento para el tratamiento de losdatos personales cuando:

…

V. Exista una situación de emergenciaque potencialmente pueda dañar a unindividuo en su persona o en sus bienes;

VI. Sean indispensables para la atenciónmedica, la prevención, diagnóstico, laprestación de asistencia sanitaria ….

LGPDPSO

Art. 22.- El responsable no estaráobligado a recabar el consentimiento deltitular para el tratamiento de sus datospersonales en los siguientes casos:

…

VI. Cuando exista una situación deemergencia que potencialmente puedadañar a un individuo en su persona o ensus bienes;

VII. Cuando los datos personales seannecesarios para efectuar un tratamientopara la prevención, diagnóstico, laprestación de asistencia sanitaria;

Se puede presentar un procedimiento de verificación:

• Denuncia para una Investigación y eventual Verificación delSector Público para el caso de que se traten de Sujetos Obligadosdel Sector Público (Poder Ejecutivo, Legislativo, Judicial, PartidosPolíticos y Autónomos). LGPDPPSO

• Denuncia para Investigación y eventual Verificación del SectorPrivado, para el caso de que se traten de particulares (Personasfísicas y Personas Morales). LFPDPPP.

Tratamiento no adecuado, ¿Qué hago?

Procedimiento de Verificación del Sector Privado

• Denuncia ante el INAI. Cumpliendo con los requisitos del Art. 131 del Reglamento.

• Se canaliza a la DGVI quien analiza: 1. Si está incompleta: comunica al denuncianteque aporte la información que se requiera, 2. Si está completa: comunica alresponsable para requerirle que manifieste lo que a su derecho convenga.

• Debidamente conformado el expediente, se procede a su análisis y estudio para emitir:1. Acuerdo de determinación: DGIV considera que el responsable no vulneró

principios o deberes de la LFPDPPP.2. Acuerdo de inicio de procedimiento de verificación: DGIV presume que el

responsable incurrió en acciones u omisiones que constituyen un probableincumplimiento a los principios o deberes de la LFPDPPP.

• Concluye el trámite de la denuncia, concluye el procedimiento de investigación.

• Concluye el procedimiento de investigación. Se da continuidad al trámite de ladenuncia a través del procedimiento de verificación.

• Denuncia ante el INAI. Cumpliendo con los requisitos establecido en el Art. 148 de la ley.

• El INAI acusa de recibo y notifica el acuerdo al denunciante.

• Previo a la verificación, el INAI puede iniciar una investigación, su plazo de sustanciación esindependiente de la duración máxima establecida para la verificación.

• Inicia la verificación por una orden escrita que tiene por objeto:

1. Requerir al responsable la documentación e información necesaria.

2. Realizar visitas a las oficinas o instalaciones donde estén las bases de datos.

Si durante la verificación:

1. Se advierte un daño inminente o irreparable en materia de protección de datospersonales, el INAI puede ordenar una medida cautelar.

2. No se advierte un daño inminente o irreparable en materia de protección de datospersonales, el INAI emitirá una resolución, donde se establecen las medidas quedeberá adoptar el responsable y el plazo para cumplir.

Procedimiento de Verificación del Sector Público

MTRO. LUIS GUSTAVO PARRA NORIEGA

SECRETARIO DE PROTECCIÓN DE DATOS PERSONALES, INAI

INSURGENTES SUR NO. 3211 COL. INSURGENTES CUICUILCO,

DELEGACIÓN COYOACÁN, C.P. 04530, CIUDAD DE MÉXICO

gustavo.parra@inai.org.mx

Twitter. @lgparranoriega

TEL. (55) 5004 2400 EXT.2517

30 de noviembre de 2017

Protección de Datos Personales

en Situaciones de Emergencia