Taller 3: Privacidad de datosObligaciones y oportunidades para las

empresas

José Manuel Cano Muñiz

Director General

Optimización Administrativa, S.A. de C.V.

correo@oasa.net.mx

www.oasa.net.mx

OASA®

Agenda

• Marco de referencia– ¿Porqué estamos aquí reunidos?

– La Gobernanza de las empresas y la seguridad de la información

– Privacidad de datos; el nuevo paradigma

• Ley Federal de Protección de Datos Personales en Posesión de los Particulares– ¿Qué son los datos personales?

– ¿De que se trata la LFPDPPP?

– ¿Quiénes están obligados?

– ¿Qué deben hacer los particulares?

– Principios y derechos

– ¿Qué hay que cumplir?

– Sanciones

Agenda

• La privacidad de datos y la Ley federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita.

• El proyecto de cumplimiento de la LFPDPPP:

– ¿Qué impacto tienen la Ley en las organizaciones?

– ¿Quiénes deben involucrarse?

– Definiendo el plan de acción

– Recomendaciones

MARCO DE REFERENCIA

¿ Porqué estamos aquí reunidos ?

¿ Alguien sabe de la importancia de los Datos Personales y su

privacidad?

¿A quién aplica la ley y su reglamento?

¿Qué tienen que hacer las empresas y sus empleados?

¿Quiénes deben participar?

¿Cuáles son las consecuencias de no cumplir la Ley?

¿Qué hemos hecho en nuestra organización?

La gobernanza de las empresas y la seguridad de la información

El éxito de cualquier organización se fundamenta en la

integración de tres elementos básicos que deben estar

completamente alineados e integrados: Procesos de

negocio, Tecnologías de Información y Personas

La Tecnología de Información:

• Aportando valor

• Bajo control

• Bien utilizada y aprovechada

• Habilitando las estrategias de negocio

• Acelerando la innovación

• Medida en su desempeño

• Evaluada en su inversión y retorno

¿Porqué considerar el Gobierno de TI?

• La TI es crítica para el negocio

• La TI es estratégica para el negocio

• Las expectativas y la realidad no coinciden

• La TI no ha conseguido la atención que merece

• LA TI involucra importantes inversiones y grandes riesgos

Seguridad de la información

Procesos

de negocio

Personas(Organización)

Tecnologías de

Información

Go

bie

rno

Seguridad informática

Privacidad de datos; el nuevo paradigma

Aceptando entonces que la seguridad de la información y por consecuencia la seguridad informática

son esenciales para el funcionamiento y supervivencia de una empresa, la privacidad de datos surge

como una obligación, que además de ser importante para nuestro negocio, es protegida por las leyes

de muchos países.

Privacidad: Ambito de la vida privada que se tiene derecho a proteger de cualquier intromisión.

Datos: Información dispuesta de manera adecuada para su tratamiento. Diccionario de la Lengua española

Protegiendo:

Confidencialidad: la información es accesible sólo para aquéllos que están autorizados.

Integridad: la información sólo puede ser creada y modificada por quien esté autorizado a hacerlo.

Disponibilidad: la información debe ser accesible para su consulta o modificación cuando se requiera.

• El DP es de quien lo capta.

• El DP no tiene valor.

• El DP es un bien libre.

• No hay restricción en su uso.

• No es necesario protegerlo.

• El titular no tiene derechos.

• El DP es propiedad del titular.

• El DP es un derecho fundamental.

• El DP es un bien privado.

• Uso sujeto a finalidad y consentimiento.

• Medidas de seguridad específicas.

• Derechos ARCO.

Antes Hoy

Privacidad de datos; el nuevo paradigma

En México, la privacidad de los datos personales esta protegida por la Ley Federal de Protección

de Datos Personales en Posesión de los Particulares (LFPDPPP).

LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES

¿Qué son los datos personales?

Cualquier información concerniente a una persona física identificada o identificable (a través de los

mismos), expresados en forma numérica, alfabética, gráfica, fotográfica, acústica o cualquier otro tipo.

Existen datos personales y datos personales sensibles (*)

Identificación

• Nombre, domicilio, teléfono, correo electrónico, firma, RFC, CURP, edad, estado civil, etc.

Laborales

• Area, puesto, sueldo, prestaciones, cuenta bancaria, historia laboral, etc.

Patrimoniales (*)

• Información fiscal, historial crediticio, cuentas bancarias, ingresos y egresos, etc.

Académicos

• Trayectoria educativa, título, número de cédula, certificados, etc.

Ideológicos (*)

• Creencias religiosas, afiliación política o sindical, pertenencia a organizaciones civiles o religiosas, etc.

De salud (*)

• Estado de salud, historial clínico, enfermedades, información de carácter psicológico y/o psiquiátrico, etc.

Características personales (*)

• Tipo de sangre, ADN, huella digital, preferencia sexual, color de piel, origen étnico y racial, señas particulares, etc.

entre otros….. Y que se encuentran en medios magnéticos o papel (base de datos, documentos, hojas de cálculo, etc.)

¿De que se trata la LFPDPPP?

1. Tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su

tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación

informativa de las personas.

2. Establece que los responsables en el tratamiento de datos personales, deben observar los principios de licitud,

consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad.

3. Señala que tratándose de datos personales sensibles, el responsable deberá obtener el consentimiento expreso y por

escrito del titular para su tratamiento.

4. Establece como obligación de los responsables en el tratamiento de datos personales, informar a los titulares de los

datos, qué se recaba de ellos y con qué fines, a través del aviso de privacidad.

5. Dispone que el titular de datos o su representante legal podrán solicitar al responsable de datos personales, el acceso,

rectificación, cancelación u oposición respecto de los datos personales que le conciernen .

6. Establece que el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI), difundirá el

conocimiento del derecho a la protección de datos personales en la sociedad mexicana, promoverá su ejercicio y vigilará

por la debida observancia.

¿Quiénes están obligados LFPDPPP?

Los particulares, sean personas físicas o morales de carácter privado que para sus

actividades cotidianas, recabe, maneje y utilice información personal. Aplica también

cuando los DP son tratados por un tercero a solicitud del responsable.

No están sujetos a las disposiciones de esta ley:

• Las sociedades de información crediticia.

• Las personas físicas o morales que lleven a cabo la recolección y

almacenamiento de datos personales, para uso exclusivamente personal y sin

fines de divulgación o utilización comercial. (Ej. Directorio telefónico de los

amigos y contactos personales).

¿Qué deben hacer los particulares?

Informar sobre el uso que dará a la información.

Nombrar a un responsable que atienda las solicitudes de Acceso,

Rectificación, Cancelación y Oposición de los datos personales.

Contar con las medidas de seguridad administrativas, técnicas y

físicas necesarias para garantizar los datos contra un uso indebido o

ilícito, un acceso no autorizado, o contra la pérdida, alteración, robo

o modificación de información personal.

Capacitar a su personal.

Son las reglas mínimas que deben observar las empresas o entes privados que tratan datos

personales (personas físicas o morales), garantizando con ello un uso adecuado de la información

personal.

Principios y derechos

Principios:

Licitud

Consentimiento

Información

Calidad

Finalidad

Lealtad

Proporcionalidad

Responsabilidad

Derechos

Acceso

Rectificación

Cancelación

Oposición

¿QUÉ HAY QUE CUMPLIR?

• Cualquier empresa o ente privado que solicite datos personales deberá elaborar un Aviso de

Privacidad, documento a través del cual se podrá conocer la finalidad que tendrá la información que se

solicite.

• El Aviso de Privacidad deberá proporcionar además, información que permita identificar a la empresa

que recaba los datos y deberá precisar la forma de hacer efectivos los derechos de Acceso,

Rectificación, Cancelación y Oposición (ARCO), indicando la persona o departamento encargado de

atender las solicitudes.

• En el Aviso de Privacidad, la empresa deberá consultar al titular si autoriza que se transfiera su

información a terceros. La empresa deberá notificarte de cualquier cambio que realice al Aviso de

Privacidad y pedir consentimiento para el nuevo uso que quiera dar a los datos.

• El Aviso de Privacidad podrá ponerse a disposición a través de medios impresos, digitales, visuales,

sonoros o de cualquier otra tecnología.

Avisos de Privacidad

• Consentimiento expreso:• Necesario para datos personales sensibles, patrimoniales o financieros.

• La voluntad se manifiesta verbalmente, por escrito, por medios electrónicos, ópticos o cualquier otro que permita demostrar de manera

clara y patente que la persona otorgó su consentimiento.

• Para DP sensibles, a través de su firma autógrafa, firma electrónica o cualquier mecanismo de autenticación que se establezca.

• Consentimiento tácito:• Se utiliza para el resto de los datos personales.

• No es necesaria una manifestación expresa, es suficiente que se haya hecho del conocimiento de la persona el aviso de privacidad y que

no se haya opuesto a él.

¿Cómo consiente una persona el usode sus datos?

• No es necesario el consentimiento:• Cuando este previsto en una Ley.

• Los DP figuren en fuentes de acceso público.

• Tengan el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el

responsable.

• Exista una situación de emergencia que pueda dañar a un individuo.

• Indispensables para la atención y tratamiento médico, asistencia sanitaria y el titular no este en

condiciones de otorgarlo.

• Previamente sometidos a un proceso de disociación

Se refiere a cualquier tipo de comunicación de datos realizada a una persona distinta de la empresa

a la que fueron proporcionados y está sujeta al consentimiento del titular de los datos personales. El

tercero receptor asume las mismas obligaciones que el responsable de los DP.

La Ley prevé que la transmisión de datos se lleve a cabo sin que medie consentimiento cuando:

• Esté prevista en una ley o en un tratado del cual México sea parte.

• Sea necesaria para la prevención o diagnóstico médico.

• Se realice entre empresas pertenecientes a un grupo empresarial que compartan determinados

procesos o políticas internas.

• Sea necesaria para el cumplimiento de un contrato de interés para el titular, celebrado entre la

empresa que posee los datos y un tercero.

• Por el interés público de procuración o administración de justicia.

• Cuando lo solicite un juez dentro de un proceso judicial.

Transferencia de Datos Personales

Medidas de Seguridad

• Funciones y obligaciones del personal.

• Responsable de seguridad.

• Registro de incidencias.

• Control de acceso (lógico y físico).

• Instalaciones seguras.

• Inventario y clasificación de la información.

• Registros de datos.

• Identificación y autenticación.

• Gestión de soportes y documentos.

Medidas de Seguridad…

• Transmisión a través de redes públicas o redes inalámbricas de comunicaciones.

• Copias de respaldo y recuperación.

• Archivos no automatizados• Criterios de archivo.

• Dispositivos de almacenamiento.

• Custodia de soportes.

• Almacenamiento de la información.

• Copia o reproducción.

• Acceso a la documentación.

• Traslado de documentación.

• Retención y desecho.

• Auditoría de TI.

Para ejercer los derechos ARCO, se debe presentar una solicitud (por escrito, por medios

electrónicos o cualquier otra tecnología):

• Acceso. Se puede solicitar a una determinada empresa que informe si en sus bases de datos tiene

algún dato personal del titular.

• Rectificación. Para corregir los datos personales que alguna empresa tenga en sus bases. Aplica

cuando los datos son incorrectos, imprecisos, incompletos o están desactualizados.

• Cancelación. Es la facultad para solicitar la cancelación de datos de las bases que tenga una

determinada empresa, la cual deberá dejar de tratar tales datos, en especial cuando dicho tratamiento

no cumpla con las disposiciones legales aplicables y ya no es necesaria para las actividades

relacionadas con la empresa que los tiene . Los datos deberán ser bloqueados y posteriormente,

suprimidos de las bases de datos.

• Oposición. Facultad para solicitar a la empresa que pretenda realizar el tratamiento de datos

personales que se abstenga de hacerlo en determinadas situaciones, por ejemplo, para fines

publicitarios.

Derechos ARCO

Sanciones

• El IFAI tiene la facultad de imponer sanciones:

• Apercibimiento para que el responsable lleve a cabo los actos solicitados por el titular.

• Multa de 100 a 160,000 días de salario mínimo vigente en el DF, cuando la empresa actúe con

negligencia o dolo con respecto a la información personal, no observe los principios de

protección de datos establecidos en la Ley u omita datos en el Aviso de Privacidad.

• Multa de 200 a 320,000 días de salario mínimo general vigente en el Distrito Federal, cuando

incumpla con su deber de confidencialidad en el tratamiento de los datos, cambie la finalidad

del tratamiento de los mismo sin dar aviso al titular, transfiriera datos a terceros sin el

consentimiento del titular, obstruya los actos de verificación del IFAI o realice un uso ilegítimo

de los datos.

• En caso de que persistan las infracciones de manera reiterada, el IFAI podrá imponer una

multa adicional que irá de 100 a 320,000 días de salario mínimo vigente en el DF.

• Tratándose de infracciones cometidas en el tratamiento de datos sensibles, los montos de las

sanciones podrán incrementarse hasta por dos veces.

La privacidad de datos y la LFPIORPI

La LFPIORPI tiene por objeto proteger el sistema financiero y la economía nacional, estableciendo

medidas y procedimientos para prevenir y detectar actos u operaciones que involucren recursos de

procedencia ilícita.

Los clientes o usuarios de quienes realicen Actividades Vulnerables (AV), proporcionarán la

información y documentación necesaria para el cumplimiento de sus obligaciones.

Identificar a los clientes y usuarios con quiénes realicen las propias AV sujetas a supervisión, verificar su identidad y recabarinformación sobre su actividad u ocupación.

Presentar los Avisos en la SHCP en los tiempos y bajo la forma prevista en la Ley, a través de los medios electrónicos y en elformato oficial que establezca la SHCP, quién podrá comprobar el cumplimiento de las obligaciones.

Quiénes realicen AV, deberán cumplir con criterios de integridad, disponibilidad, audibilidad y

confidencialidad en materia de conservación y resguardo de información y documentación.

Custodiar, proteger, resguardar y evitar la destrucción u ocultamiento de la información y documentación soporte a la AV,así como la que identifique a sus clientes o usuarios.

• Contar con los sistemas informáticos que reúnan las

características técnicas y de seguridad necesarias para presentar

los Avisos.

• Establecer y mantener las medidas de seguridad administrativas,

técnicas y físicas que permitan proteger la información y

documentación.

LFPIORPI LFPDPPPDatos Personales

Entonces …

EL PROYECTO DE CUMPLIMIENTO DE LA LFPDPPP

• Legal:

• Nuevas obligaciones

• Posibilidad de sanciones

• Riesgo de cometer un delito

• Acciones por daño moral

• Negocio:

• Afectación de imagen (publicidad negativa o positiva)

• Mala reputación

• Desconfianza de clientes, empleados y proveedores

• Procesos de negocio:

• Nuevas actividades

• Nuevos y mejores controles

• Afectación a los tiempos de ciclo

• Tecnología de Información:

• Modificación de arquitectura de la infraestructura

• Adquisición de hardware y software

• Implantación de políticas y procedimientos de seguridad de la información

¿Qué impacto tiene en las organizaciones?

¿Quiénes deben involucrarse?

• Dirección General: Afectación a la empresa, a su reputación o a la marca, promoción de la

cultura de protección de datos y seguridad de la información .

• Finanzas y Administración: Costo de cumplimiento, desarrollo de políticas y procedimientos,

adquisición de infraestructura de TI, sanciones e implantación de medidas físicas.

• Comercial: Servicio al cliente, uso de los datos para promoción, afectación del plan de ventas.

• Legal: Definición del alcance del cumplimiento y excepciones para disminuir costos de

cumplimiento, notificación de vulneraciones, atención de auditorías del IFAI y demandas.

• Recursos Humanos: Intercambio de información, confianza de los trabajadores.

• Auditoría interna: Seguimiento a medidas de seguridad y solicitudes ARCO, implantación de

esquemas de autoregulación.

• Tecnología de Información: Implantación de medidas técnicas de seguridad, aseguramiento de

los procesos de administración de la TI.

Definiendo el plan de acción

2.Flujos de

Información( procesos administrativos y

tecnológicos )

4.Revisión de Medidas de Seguridad

1.Organización

6.Implantación de remediaciones

3.Análisis de

activos

5.Análisis de

Cumplimiento

Gestión del proyecto

La seguridad de la información y el cumplimiento de la LFPDPPP no es un proyectoespecífico de una vez. Al contrario, es es un procesos que debemos mantener en mejora yrevisión continua.

Independientemente o adicionalmente a que ahora existe una Ley que debemos cumplir, exploremos

las oportunidades desde el punto de vista del negocio y de la seguridad de la información, esto es,

¿que valor podemos agregar al negocio, que riesgos podemos mitigar y que cotos podemos reducir o

eliminar?

No dejemos la seguridad de la información y el cumplimiento de la LFPDPPP en las clásicas preguntas

que no tendrán respuesta hasta que actuemos:

• Informático: ¿Cuánto cuesta?

• Jurídico: ¿Cómo me amparo y puedo reducir el riesgo legal?

• Directores: ¿Qué y hasta adonde realizo?, ¿Ya emití los avisos de privacidad, es todo?

• El resto de la organización: No sabe, no le entiende, no le importa y no es su problema.

El manejo de datos personales es un asunto de Administración de Riesgos. Mientras menos datos personalestengamos y durante el menor tiempo ¡Mejor!

Recomendaciones

GENERADOR DE AVISOS DE PRIVACIDAD

(GAP)

Dirección General de Autorregulación

¿Qué es el GAP?

Herramienta estándar dirigida a los responsables con la finalidad

de que éstos puedan elaborar en línea sus respectivos avisos de

privacidad.

¿Cómo surge el GAP?

El IFAI en su calidad de autoridad garante en materia de protección de datos personales ha puesto a disposición de los particulares

herramientas que faciliten el cumplimiento de las obligaciones que dispone la Ley Federal de Protección de Datos Personales en

Posesión de los Particulares.

Se crea el GAP como una herramienta electrónica para que los responsables cumplan con el principio de información en el

tratamiento de los datos personales.

¿Qué ventajas obtengo al usarlo?

Esta herramienta…

• Facilita a los responsables la elaboración de sus avisos de privacidad;

• Los avisos de privacidad generados cumplen con todos los elementos informativos que señala la normatividad en

materia de datos personales.

Ten en cuenta que…

a) El uso del GAP, no exime a los responsables de poner a disposición de los titulares el aviso de privacidad;

b) No equivale a una autorización del IFAI; y

c) La veracidad de la Información proporcionada depende del usuario

¿Qué debo saber

antes de usar el GAP?

• Glosario de símbolos.

Manual de Usuario Inicio

ABC del Aviso de Privacidad Salir

Previsualizar Eliminar

Modificar Exportar a PDF

Exportar a Word Imprimir

Texto de ayuda

¿Cómo se utiliza el Generador de Avisos de Privacidad?

http://generador-avisos-privacidad.ifai.org.mx/users/login

GRACIAS POR SU ATENCIÓN

José Manuel Cano Muñiz

correo@oasa.net.mx

www.oasa.net.mx

OASA®