Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento

Transcripción

1 Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento

2 Una nueva Ley Para ser un puerto Seguro

3 Antecedentes: Modelos de protección: UE vs. APEC Marco de privacidad del foro de cooperación económica Asia Pacifico (APEC, 2005) Mexico: LFPDPPP Directivas Europeas 95/56/EC y 97/66/EC, 2002/58 EC

4 Un poco de antecedentes Aspectos que pueden impactar en la organización Habeas data Convención de Estrasburgo Protocolo 108 de la comisión de Europa Modelo de la APEC Otros modelos desarrollados por Alemania, España, Argentina y Brasil

5 Evolución del derecho a la protección de datos: México Reformas constitucionales y anteproyectos de Ley Reforma Constitucional al Art. 73 Constitucional en Materia de Datos Personales (DOF el 30 de abril del 2009) Reforma Constitucional al artículo 16 (1 de junio de 2009) Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros Ley Federal de Protección de Datos Personales en Posesión de los Particulares (DOF 6 de julio de 2010) Reglamento (DOF 21 de diciembre de 2011)

6 Qué ha entrado en vigor? Se encuentra el marco jurídico completo? Fecha Límite para que los Responsables expidan los avisos de privacidad A partir de esta fecha los Titulares de los datos podrán ejercer sus derechos ARCO frente a los Responsables Fecha límite para designar a la persona y/o departamento encargado del tratamiento de los datos Entra en vigor el Reglamento de la LFPDPPP Entra en vigor La LFPDPPP 6 de Julio de Julio de diciembre 2011 Enero de 2012 A partir de Enero de 2012 cualquier reclamación por parte de los Titulares de los datos podrá seguir el procedimiento para la Protección de Derechos del Titular de los Datos. 31

7 Conceptos LFPDPPP Conceptos utilizados: Titular Responsable Tratamiento Aviso de privacidad Consentimiento Canal Tipos de datos: Datos personales Datos personales sensibles Derechos Arco (en términos de la Ley): Acceso Rectificación Cancelación Oposición

8 Conceptos LFPDPPP En el ciclo de vida de los datos (en términos de la Ley): Obtención Almacenamiento Bloqueo Uso Divulgación Cancelación / Supresión

9 Ámbito de aplicación Son sujetos regulados todas las personas morales de carácter privado. Excepción 1: Sociedades de Información crediticia Excepción 2: Recolección y tratamiento: (i) para uso exclusivamente personal; (ii) sin fines de divulgación o utilización comercial. Excepción 3: Proveedores (Artículo 5 del Reglamento) Uso exclusivamente personal: Si la recolección tiene como finalidad el cumplir con una obligación derivada de una relación jurídica, no se considera para uso exclusivamente personal.

10 Impacto de la LFPDPPP en la organización Aspectos que pueden impactar en la organización Nuevas obligaciones Nuevas multas Nuevo delitos Publicidad negativa Acciones legales por daño moral Pérdida de la confianza de clientes y empleados

11 Impacto en las diversas áreas de la organización Áreas de la organización impactadas por la LFPDPPP CEO: Daño a la reputación y a la marca CFO: Crecimiento de costos; costos vs. beneficios Ventas/Mercadotecnia: Metas de venta; servicio a clientes Legal/Control Interno: Mayor carga administrativa; demandas; auditorías por parte del IFAI RH: Intercambio de carteras; plazos de conservación de datos Director de TI: Necesidad de incorporar medidas técnicas, administrativas y físicas para proteger la información

12 Por dónde empezar? Necesidad de crear un Programa de cumplimiento Resulta indispensable realizar un diagnóstico multidisciplinario -Aspectos legales -Aspectos de seguridad -Aspectos de tecnología (TI) -Aspectos de procesos Un diagnostico adecuado permite desarrollar una estrategia de gobierno de los datos y diseñar un programa de cumplimiento en torno a la estrategia.

13 Programa de Protección de Datos: Tres pilares Datos Personales Datos Personales Sensibles Principio de Licitud Función de Tratamiento de datos Principio de Responsabilid ad Principio de Lealtad Generación Obtención Uso Acceso, manejo, divulgación, aprovechamiento, transferencia, disposición Guarda Bloqueo Cancelación /supresión Principio de Proporcionali dad Primer pilar: Principios jurídicos del Tratamiento Principio de Consentimien to Segundo pilar: Seguridad de la información Principio de Finalidad Principio de Información Principio de Calidad Tercer pilar: Garantía al ejercicio de derechos ARCO (Departamento Datos Personales)

14 Situación actual en las organizaciones Variedad de canales para captar información y de políticas internas de tratamiento. Internet Solicitudes de trabajo Consulta a bases de datos Adquisición de información Desconocimiento sobre transferencias de datos a terceros; falta de contratos; poco control sobre información transferida. Datos inexactos Fines imprecisos Información desproporcionada conforme al fin Ineficiencia de TI Falta de consentimiento del titular Finalidades poco claras Finalidades específicas por área Políticas diversas de tratamiento No se tiene evidencia del consentimiento de los titulares; falta de procesos para dar curso a solicitudes de derechos arco.

15 Un ejemplo que puede pasar en la realidad Data center India Call Center Matriz en EUA Tercero: Persona física o moral nacional o extranjera. Encargado: Persona física o jurídica que trate datos personales por cuenta del responsable. Datos de origen racial, étnico, estado de salud, preferencia sexual. Empresa de ventas telefónica Datos personales y datos personales sensibles Privacy disclaimer Responsable: Persona física o moral que trata los datos. Información concerniente a una persona. Titular: Dueño de los datos.

16 Situación objetivo de la LFPDPPP Determinar claramente responsabilidades del tratamiento Canales de obtención Aviso de Privacidad completo Aviso de Privacidad simplificado Aviso de Privacidad de espacios limitados Canales de transferencia Contratos de procesamiento Obligaciones y cláusulas apropiadas al tipo de relación Tratamiento de la información Plazos de conservación Finalidades actuales; nuevos productos y reutilización Bloqueo Respuesta a solicitudes de derechos ARCO Seguridad TI Medidas administrativas

17 Pilares del Programa Primer pilar: principios jurídicos para el tratamiento Necesidad de contar con análisis sólidos a fin de: Determinar políticas para el tratamiento Aprovechar las excepciones que nos brinda la legislación para evitar costos operativos Identificar responsables y garantizar el que la organización logre efectivamente incidir en la conducta de proveedores y socios comerciales Principio de Responsabilid ad Principio de Licitud Principio de Lealtad Generar una cultura en la organización que permita generar evidencia de cumplimiento a fin de limitar riesgos de sanciones o demandas. Principio de Proporcionalid ad Principio de Consentimient o Principio de Finalidad Principio de Información Principio de Calidad

18 Pilares del Programa Segundo Pilar: Medidas de Seguridad El Responsable o aquel que lleve a cabo el tratamiento de datos personales tiene ciertas obligaciones con la finalidad de proteger los datos personales contra (a) daño, (b) pérdida; (c) alteración; (d) destrucción; (e) uso, acceso o tratamiento no autorizado. La obligación consiste en: establecer y mantener ciertas medidas de seguridad. Las medidas de seguridad son de 3 tipos: Administrativas Técnicas Físicas

19 Pilares del Programa Tercer pilar: Protección de derechos ARCO El Departamento de Protección de Datos tiene dos funciones críticas: Dar trámite a las solicitudes de los titulares. Necesidad de analizar la procedencia de solicitudes de acceso, cancelación, rectificación y oposición al tratamiento Los datos personales deben ser resguardados de tal manera que permitan el ejercicio sin dilación de estos derechos ( ) Fomentar la protección de datos personales al interior de la organización. Programas de capacitación a empleados Sensibilización de clientes, proveedores y socios de negocios Procesos consecuenciales: La cancelación de datos personales dará lugar a un periodo de bloqueo tras el cual se procederá a la supresión del dato

20 Aspectos metodológicos para el diagnóstico Frente legal Analizar las necesidad de la empresa Revisar documentación legal Identificar si la organización ha llevado a cabo los análisis jurídicos que la ley requiere

21 Aspectos metodológicos para el diagnóstico Frente procesos Identificar las áreas involucradas Confirmar el alcance en cuanto al flujo, ciclo y tratamiento de datos Verificar si la operación actual establece la evidencia adecuada y suficiente para brindar confort sobre la protección de datos.

22 Aspectos metodológicos para el diagnóstico Frente seguridad Verificar las medidas de seguridad específicas para la protección de datos en los procesos de negocio y en las Tecnologías de información Verificar el estado de las instalaciones involucradas en el tratamiento y ciclo de los datos personales. Analizar las posibles amenazas y vulnerabilidades, así como los riesgos. Analizar los mecanismos para el tratamiento de riesgos en la organización

23 Actividades Inmediatas 1 Estrategia de protección de datos Estrategia de protección de datos 2 Diagnóstico del nivel de cumplimiento 3 Plan de acción 15

24 Actividades Inmediatas 1 Plan de difusión, capacitación, gestión, del cambio de protección de datos 4 Acciones sobre las medidas de seguridad 2 Acciones sobre los datos personales y personales sensibles agnóstico del nivel de cumplimiento Estrategia de protección de datos 5 Acciones sobre los principios jurídicos de tratamiento 3 Acciones sobre el tratamiento sobre los datos personales y personales sensibles (datos arco) 3 Plan de acción 15

25 Actividades Inmediatas 1 Estrategia de protección de datos Estrategia de protección de datos 2 Diagnóstico del nivel de cumplimiento 4 Implementación 3 Plan de acción 15

26 Actividades Inmediatas 1 Tablero de control de tratamiento de datos a nivel organización y por unidad de negocio 3 Implementación de acciones sobre datos personales sensibles 2 Implementación de la función y rol de los responsables de tratamiento de datos Estrategia de protección de datos 4 Implementación sobre los procedimientos arco (manual de operaciones) 4 Implementación 5 Implementación sobre las medidas de seguridad 15

27 Actividades Inmediatas 5 Validación del nivel de cumplimiento 1 Estrategia de protección de datos Estrategia de protección de datos 2 Diagnóstico del nivel de cumplimiento 4 Implementación 3 Plan de acción 15

28 Actividades Inmediatas Auditorias internas Validación y monitoreo de la implementación. 5 Validación del nivel de cumplimiento Servicios de soporte, calidad y mejora continua. Estrategia de protección de datos Asesoría en el manejo de incidencias Operación, monitoreo y mejora continua Asesoría en nuevas regulaciones 15

29 Las facultades del IFAI Avisos de privacidad y Autoregulación Dra. Lina Ornelas

30 Conclusiones La empresa enfrenta nuevos retos y nuevas obligaciones y hay un término para cumplir con las disposiciones La empresa debe contar con una estrategia que sostenga su Programa de protección de datos; un diagnóstico proporciona la información necesaria para diseñar una estrategia y el Programa Resulta importante generar evidencia del cumplimiento

31 Conclusiones El marco jurídico se irá desenvolviendo en el tiempo, situación que demanda un sistema continuado de control y mejora Esencial crear una cultura de protección de datos dentro de la organización a fin de que el programa de protección de datos sea conocido, compartido y aplicado por toda la organización Resulta esencial revisar las relaciones con terceros y asegurarse que los terceros han sido efectivamente vinculados al Programa

32 Qué hacer cuando soy titular y tengo una queja?

33 Recuerde Es importante revisar la congruencia de sus Avisos de Privacidad.

34 Gracias 2012 PricewaterhouseCoopers S.C. Todos los derechos reservados. En este documento se refiere a PricewaterhouseCoopers S.C., la cual es una firma miembro de PricewaterhouseCoopers International Limited, cada firma miembro constituye una entidad legal independiente. MPC: _AM_PresWebcastDatos