privacidad de datos por jorge delgado josé manuel cano
DESCRIPTION
Día de la Seguridad 8va edición. Marco de referencia –¿Porqué estamos aquí reunidos? –La Gobernanza de las empresas y la seguridad de la información –Privacidad de datos; el nuevo paradigma •Ley Federal de Protección de Datos Personales en Posesión de los Particulares –¿Qué son los datos personales? –¿De que se trata la LFPDPPP? –¿Quiénes están obligados? –¿Qué deben hacer los particulares? –Principios y derechos –¿Qué hay que cumplir? –SancionesTRANSCRIPT
Taller 3: Privacidad de datosObligaciones y oportunidades para las
empresas
José Manuel Cano Muñiz
Director General
Optimización Administrativa, S.A. de C.V.
www.oasa.net.mx
OASA®
Agenda
• Marco de referencia– ¿Porqué estamos aquí reunidos?
– La Gobernanza de las empresas y la seguridad de la información
– Privacidad de datos; el nuevo paradigma
• Ley Federal de Protección de Datos Personales en Posesión de los Particulares– ¿Qué son los datos personales?
– ¿De que se trata la LFPDPPP?
– ¿Quiénes están obligados?
– ¿Qué deben hacer los particulares?
– Principios y derechos
– ¿Qué hay que cumplir?
– Sanciones
Agenda
• La privacidad de datos y la Ley federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita.
• El proyecto de cumplimiento de la LFPDPPP:
– ¿Qué impacto tienen la Ley en las organizaciones?
– ¿Quiénes deben involucrarse?
– Definiendo el plan de acción
– Recomendaciones
MARCO DE REFERENCIA
¿ Porqué estamos aquí reunidos ?
¿ Alguien sabe de la importancia de los Datos Personales y su
privacidad?
¿A quién aplica la ley y su reglamento?
¿Qué tienen que hacer las empresas y sus empleados?
¿Quiénes deben participar?
¿Cuáles son las consecuencias de no cumplir la Ley?
¿Qué hemos hecho en nuestra organización?
La gobernanza de las empresas y la seguridad de la información
El éxito de cualquier organización se fundamenta en la
integración de tres elementos básicos que deben estar
completamente alineados e integrados: Procesos de
negocio, Tecnologías de Información y Personas
La Tecnología de Información:
• Aportando valor
• Bajo control
• Bien utilizada y aprovechada
• Habilitando las estrategias de negocio
• Acelerando la innovación
• Medida en su desempeño
• Evaluada en su inversión y retorno
¿Porqué considerar el Gobierno de TI?
• La TI es crítica para el negocio
• La TI es estratégica para el negocio
• Las expectativas y la realidad no coinciden
• La TI no ha conseguido la atención que merece
• LA TI involucra importantes inversiones y grandes riesgos
Seguridad de la información
Procesos
de negocio
Personas(Organización)
Tecnologías de
Información
Go
bie
rno
Seguridad informática
Privacidad de datos; el nuevo paradigma
Aceptando entonces que la seguridad de la información y por consecuencia la seguridad informática
son esenciales para el funcionamiento y supervivencia de una empresa, la privacidad de datos surge
como una obligación, que además de ser importante para nuestro negocio, es protegida por las leyes
de muchos países.
Privacidad: Ambito de la vida privada que se tiene derecho a proteger de cualquier intromisión.
Datos: Información dispuesta de manera adecuada para su tratamiento. Diccionario de la Lengua española
Protegiendo:
Confidencialidad: la información es accesible sólo para aquéllos que están autorizados.
Integridad: la información sólo puede ser creada y modificada por quien esté autorizado a hacerlo.
Disponibilidad: la información debe ser accesible para su consulta o modificación cuando se requiera.
• El DP es de quien lo capta.
• El DP no tiene valor.
• El DP es un bien libre.
• No hay restricción en su uso.
• No es necesario protegerlo.
• El titular no tiene derechos.
• El DP es propiedad del titular.
• El DP es un derecho fundamental.
• El DP es un bien privado.
• Uso sujeto a finalidad y consentimiento.
• Medidas de seguridad específicas.
• Derechos ARCO.
Antes Hoy
Privacidad de datos; el nuevo paradigma
En México, la privacidad de los datos personales esta protegida por la Ley Federal de Protección
de Datos Personales en Posesión de los Particulares (LFPDPPP).
LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES
¿Qué son los datos personales?
Cualquier información concerniente a una persona física identificada o identificable (a través de los
mismos), expresados en forma numérica, alfabética, gráfica, fotográfica, acústica o cualquier otro tipo.
Existen datos personales y datos personales sensibles (*)
Identificación
• Nombre, domicilio, teléfono, correo electrónico, firma, RFC, CURP, edad, estado civil, etc.
Laborales
• Area, puesto, sueldo, prestaciones, cuenta bancaria, historia laboral, etc.
Patrimoniales (*)
• Información fiscal, historial crediticio, cuentas bancarias, ingresos y egresos, etc.
Académicos
• Trayectoria educativa, título, número de cédula, certificados, etc.
Ideológicos (*)
• Creencias religiosas, afiliación política o sindical, pertenencia a organizaciones civiles o religiosas, etc.
De salud (*)
• Estado de salud, historial clínico, enfermedades, información de carácter psicológico y/o psiquiátrico, etc.
Características personales (*)
• Tipo de sangre, ADN, huella digital, preferencia sexual, color de piel, origen étnico y racial, señas particulares, etc.
entre otros….. Y que se encuentran en medios magnéticos o papel (base de datos, documentos, hojas de cálculo, etc.)
¿De que se trata la LFPDPPP?
1. Tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su
tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación
informativa de las personas.
2. Establece que los responsables en el tratamiento de datos personales, deben observar los principios de licitud,
consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad.
3. Señala que tratándose de datos personales sensibles, el responsable deberá obtener el consentimiento expreso y por
escrito del titular para su tratamiento.
4. Establece como obligación de los responsables en el tratamiento de datos personales, informar a los titulares de los
datos, qué se recaba de ellos y con qué fines, a través del aviso de privacidad.
5. Dispone que el titular de datos o su representante legal podrán solicitar al responsable de datos personales, el acceso,
rectificación, cancelación u oposición respecto de los datos personales que le conciernen .
6. Establece que el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI), difundirá el
conocimiento del derecho a la protección de datos personales en la sociedad mexicana, promoverá su ejercicio y vigilará
por la debida observancia.
¿Quiénes están obligados LFPDPPP?
Los particulares, sean personas físicas o morales de carácter privado que para sus
actividades cotidianas, recabe, maneje y utilice información personal. Aplica también
cuando los DP son tratados por un tercero a solicitud del responsable.
No están sujetos a las disposiciones de esta ley:
• Las sociedades de información crediticia.
• Las personas físicas o morales que lleven a cabo la recolección y
almacenamiento de datos personales, para uso exclusivamente personal y sin
fines de divulgación o utilización comercial. (Ej. Directorio telefónico de los
amigos y contactos personales).
¿Qué deben hacer los particulares?
Informar sobre el uso que dará a la información.
Nombrar a un responsable que atienda las solicitudes de Acceso,
Rectificación, Cancelación y Oposición de los datos personales.
Contar con las medidas de seguridad administrativas, técnicas y
físicas necesarias para garantizar los datos contra un uso indebido o
ilícito, un acceso no autorizado, o contra la pérdida, alteración, robo
o modificación de información personal.
Capacitar a su personal.
Son las reglas mínimas que deben observar las empresas o entes privados que tratan datos
personales (personas físicas o morales), garantizando con ello un uso adecuado de la información
personal.
Principios y derechos
Principios:
Licitud
Consentimiento
Información
Calidad
Finalidad
Lealtad
Proporcionalidad
Responsabilidad
Derechos
Acceso
Rectificación
Cancelación
Oposición
¿QUÉ HAY QUE CUMPLIR?
• Cualquier empresa o ente privado que solicite datos personales deberá elaborar un Aviso de
Privacidad, documento a través del cual se podrá conocer la finalidad que tendrá la información que se
solicite.
• El Aviso de Privacidad deberá proporcionar además, información que permita identificar a la empresa
que recaba los datos y deberá precisar la forma de hacer efectivos los derechos de Acceso,
Rectificación, Cancelación y Oposición (ARCO), indicando la persona o departamento encargado de
atender las solicitudes.
• En el Aviso de Privacidad, la empresa deberá consultar al titular si autoriza que se transfiera su
información a terceros. La empresa deberá notificarte de cualquier cambio que realice al Aviso de
Privacidad y pedir consentimiento para el nuevo uso que quiera dar a los datos.
• El Aviso de Privacidad podrá ponerse a disposición a través de medios impresos, digitales, visuales,
sonoros o de cualquier otra tecnología.
Avisos de Privacidad
• Consentimiento expreso:• Necesario para datos personales sensibles, patrimoniales o financieros.
• La voluntad se manifiesta verbalmente, por escrito, por medios electrónicos, ópticos o cualquier otro que permita demostrar de manera
clara y patente que la persona otorgó su consentimiento.
• Para DP sensibles, a través de su firma autógrafa, firma electrónica o cualquier mecanismo de autenticación que se establezca.
• Consentimiento tácito:• Se utiliza para el resto de los datos personales.
• No es necesaria una manifestación expresa, es suficiente que se haya hecho del conocimiento de la persona el aviso de privacidad y que
no se haya opuesto a él.
¿Cómo consiente una persona el usode sus datos?
• No es necesario el consentimiento:• Cuando este previsto en una Ley.
• Los DP figuren en fuentes de acceso público.
• Tengan el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el
responsable.
• Exista una situación de emergencia que pueda dañar a un individuo.
• Indispensables para la atención y tratamiento médico, asistencia sanitaria y el titular no este en
condiciones de otorgarlo.
• Previamente sometidos a un proceso de disociación
Se refiere a cualquier tipo de comunicación de datos realizada a una persona distinta de la empresa
a la que fueron proporcionados y está sujeta al consentimiento del titular de los datos personales. El
tercero receptor asume las mismas obligaciones que el responsable de los DP.
La Ley prevé que la transmisión de datos se lleve a cabo sin que medie consentimiento cuando:
• Esté prevista en una ley o en un tratado del cual México sea parte.
• Sea necesaria para la prevención o diagnóstico médico.
• Se realice entre empresas pertenecientes a un grupo empresarial que compartan determinados
procesos o políticas internas.
• Sea necesaria para el cumplimiento de un contrato de interés para el titular, celebrado entre la
empresa que posee los datos y un tercero.
• Por el interés público de procuración o administración de justicia.
• Cuando lo solicite un juez dentro de un proceso judicial.
Transferencia de Datos Personales
Medidas de Seguridad
• Funciones y obligaciones del personal.
• Responsable de seguridad.
• Registro de incidencias.
• Control de acceso (lógico y físico).
• Instalaciones seguras.
• Inventario y clasificación de la información.
• Registros de datos.
• Identificación y autenticación.
• Gestión de soportes y documentos.
Medidas de Seguridad…
• Transmisión a través de redes públicas o redes inalámbricas de comunicaciones.
• Copias de respaldo y recuperación.
• Archivos no automatizados• Criterios de archivo.
• Dispositivos de almacenamiento.
• Custodia de soportes.
• Almacenamiento de la información.
• Copia o reproducción.
• Acceso a la documentación.
• Traslado de documentación.
• Retención y desecho.
• Auditoría de TI.
Para ejercer los derechos ARCO, se debe presentar una solicitud (por escrito, por medios
electrónicos o cualquier otra tecnología):
• Acceso. Se puede solicitar a una determinada empresa que informe si en sus bases de datos tiene
algún dato personal del titular.
• Rectificación. Para corregir los datos personales que alguna empresa tenga en sus bases. Aplica
cuando los datos son incorrectos, imprecisos, incompletos o están desactualizados.
• Cancelación. Es la facultad para solicitar la cancelación de datos de las bases que tenga una
determinada empresa, la cual deberá dejar de tratar tales datos, en especial cuando dicho tratamiento
no cumpla con las disposiciones legales aplicables y ya no es necesaria para las actividades
relacionadas con la empresa que los tiene . Los datos deberán ser bloqueados y posteriormente,
suprimidos de las bases de datos.
• Oposición. Facultad para solicitar a la empresa que pretenda realizar el tratamiento de datos
personales que se abstenga de hacerlo en determinadas situaciones, por ejemplo, para fines
publicitarios.
Derechos ARCO
Sanciones
• El IFAI tiene la facultad de imponer sanciones:
• Apercibimiento para que el responsable lleve a cabo los actos solicitados por el titular.
• Multa de 100 a 160,000 días de salario mínimo vigente en el DF, cuando la empresa actúe con
negligencia o dolo con respecto a la información personal, no observe los principios de
protección de datos establecidos en la Ley u omita datos en el Aviso de Privacidad.
• Multa de 200 a 320,000 días de salario mínimo general vigente en el Distrito Federal, cuando
incumpla con su deber de confidencialidad en el tratamiento de los datos, cambie la finalidad
del tratamiento de los mismo sin dar aviso al titular, transfiriera datos a terceros sin el
consentimiento del titular, obstruya los actos de verificación del IFAI o realice un uso ilegítimo
de los datos.
• En caso de que persistan las infracciones de manera reiterada, el IFAI podrá imponer una
multa adicional que irá de 100 a 320,000 días de salario mínimo vigente en el DF.
• Tratándose de infracciones cometidas en el tratamiento de datos sensibles, los montos de las
sanciones podrán incrementarse hasta por dos veces.
La privacidad de datos y la LFPIORPI
La LFPIORPI tiene por objeto proteger el sistema financiero y la economía nacional, estableciendo
medidas y procedimientos para prevenir y detectar actos u operaciones que involucren recursos de
procedencia ilícita.
Los clientes o usuarios de quienes realicen Actividades Vulnerables (AV), proporcionarán la
información y documentación necesaria para el cumplimiento de sus obligaciones.
Identificar a los clientes y usuarios con quiénes realicen las propias AV sujetas a supervisión, verificar su identidad y recabarinformación sobre su actividad u ocupación.
Presentar los Avisos en la SHCP en los tiempos y bajo la forma prevista en la Ley, a través de los medios electrónicos y en elformato oficial que establezca la SHCP, quién podrá comprobar el cumplimiento de las obligaciones.
Quiénes realicen AV, deberán cumplir con criterios de integridad, disponibilidad, audibilidad y
confidencialidad en materia de conservación y resguardo de información y documentación.
Custodiar, proteger, resguardar y evitar la destrucción u ocultamiento de la información y documentación soporte a la AV,así como la que identifique a sus clientes o usuarios.
• Contar con los sistemas informáticos que reúnan las
características técnicas y de seguridad necesarias para presentar
los Avisos.
• Establecer y mantener las medidas de seguridad administrativas,
técnicas y físicas que permitan proteger la información y
documentación.
LFPIORPI LFPDPPPDatos Personales
Entonces …
EL PROYECTO DE CUMPLIMIENTO DE LA LFPDPPP
• Legal:
• Nuevas obligaciones
• Posibilidad de sanciones
• Riesgo de cometer un delito
• Acciones por daño moral
• Negocio:
• Afectación de imagen (publicidad negativa o positiva)
• Mala reputación
• Desconfianza de clientes, empleados y proveedores
• Procesos de negocio:
• Nuevas actividades
• Nuevos y mejores controles
• Afectación a los tiempos de ciclo
• Tecnología de Información:
• Modificación de arquitectura de la infraestructura
• Adquisición de hardware y software
• Implantación de políticas y procedimientos de seguridad de la información
¿Qué impacto tiene en las organizaciones?
¿Quiénes deben involucrarse?
• Dirección General: Afectación a la empresa, a su reputación o a la marca, promoción de la
cultura de protección de datos y seguridad de la información .
• Finanzas y Administración: Costo de cumplimiento, desarrollo de políticas y procedimientos,
adquisición de infraestructura de TI, sanciones e implantación de medidas físicas.
• Comercial: Servicio al cliente, uso de los datos para promoción, afectación del plan de ventas.
• Legal: Definición del alcance del cumplimiento y excepciones para disminuir costos de
cumplimiento, notificación de vulneraciones, atención de auditorías del IFAI y demandas.
• Recursos Humanos: Intercambio de información, confianza de los trabajadores.
• Auditoría interna: Seguimiento a medidas de seguridad y solicitudes ARCO, implantación de
esquemas de autoregulación.
• Tecnología de Información: Implantación de medidas técnicas de seguridad, aseguramiento de
los procesos de administración de la TI.
Definiendo el plan de acción
2.Flujos de
Información( procesos administrativos y
tecnológicos )
4.Revisión de Medidas de Seguridad
1.Organización
6.Implantación de remediaciones
3.Análisis de
activos
5.Análisis de
Cumplimiento
Gestión del proyecto
La seguridad de la información y el cumplimiento de la LFPDPPP no es un proyectoespecífico de una vez. Al contrario, es es un procesos que debemos mantener en mejora yrevisión continua.
Independientemente o adicionalmente a que ahora existe una Ley que debemos cumplir, exploremos
las oportunidades desde el punto de vista del negocio y de la seguridad de la información, esto es,
¿que valor podemos agregar al negocio, que riesgos podemos mitigar y que cotos podemos reducir o
eliminar?
No dejemos la seguridad de la información y el cumplimiento de la LFPDPPP en las clásicas preguntas
que no tendrán respuesta hasta que actuemos:
• Informático: ¿Cuánto cuesta?
• Jurídico: ¿Cómo me amparo y puedo reducir el riesgo legal?
• Directores: ¿Qué y hasta adonde realizo?, ¿Ya emití los avisos de privacidad, es todo?
• El resto de la organización: No sabe, no le entiende, no le importa y no es su problema.
El manejo de datos personales es un asunto de Administración de Riesgos. Mientras menos datos personalestengamos y durante el menor tiempo ¡Mejor!
Recomendaciones
GENERADOR DE AVISOS DE PRIVACIDAD
(GAP)
Dirección General de Autorregulación
¿Qué es el GAP?
Herramienta estándar dirigida a los responsables con la finalidad
de que éstos puedan elaborar en línea sus respectivos avisos de
privacidad.
¿Cómo surge el GAP?
El IFAI en su calidad de autoridad garante en materia de protección de datos personales ha puesto a disposición de los particulares
herramientas que faciliten el cumplimiento de las obligaciones que dispone la Ley Federal de Protección de Datos Personales en
Posesión de los Particulares.
Se crea el GAP como una herramienta electrónica para que los responsables cumplan con el principio de información en el
tratamiento de los datos personales.
¿Qué ventajas obtengo al usarlo?
Esta herramienta…
• Facilita a los responsables la elaboración de sus avisos de privacidad;
• Los avisos de privacidad generados cumplen con todos los elementos informativos que señala la normatividad en
materia de datos personales.
Ten en cuenta que…
a) El uso del GAP, no exime a los responsables de poner a disposición de los titulares el aviso de privacidad;
b) No equivale a una autorización del IFAI; y
c) La veracidad de la Información proporcionada depende del usuario
¿Qué debo saber
antes de usar el GAP?
• Glosario de símbolos.
Manual de Usuario Inicio
ABC del Aviso de Privacidad Salir
Previsualizar Eliminar
Modificar Exportar a PDF
Exportar a Word Imprimir
Texto de ayuda
¿Cómo se utiliza el Generador de Avisos de Privacidad?
http://generador-avisos-privacidad.ifai.org.mx/users/login
GRACIAS POR SU ATENCIÓN