Curso: Ley y Reglamento Federal de Protección de datos Personales en Posesión de Particulares. 27 de abril de 2015

Transcripción

1 Curso: Ley y Reglamento Federal de Protección de datos Personales en Posesión de Particulares. 27 de abril de 2015

2 I. Introducción a la Protección de Datos Personales 2

3 Qué es el derecho a la protección de los datos personales? Es un derecho humano reconocido por el artículo 16 de la Constitución Política de los Estados Unidos Mexicanos, que impone obligaciones a las personas físicas o morales que utilizan datos personales, y que otorga derechos a los titulares de los datos, a fin de garantizar el buen uso de la información personal la privacidad y el derecho a la autodeterminación informativa de las personas. La LFPDPPP tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento, a efecto de garantizar su privacidad. Art. 16 3

4 Participación de México en el derecho a la protección de los DP. El pasado 12 y 13 de Noviembre de 2014 se llevo a cabo el XII Encuentro Iberoamericano de Protección de Datos Personales en la Cd. de México con sede en instalaciones del Ifai donde participaron los países que integran la Red Iberoamericana de Protección de Datos. México es el único país a nivel Iberoamericano con carácter de autónomo. 4

5 II. Normativa aplicable. 5

6 Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento. La Ley se publicó en el Diario Oficial de la Federación el 5 de julio de de julio de 2011 las personas reguladas deben tener a disposición de sus clientes su Aviso de Privacidad y deben haber designado a la Persona o Departamento de Datos Personales al interior del negocio. El Reglamento de la Ley se publicó en el Diario Oficial de la Federación el 21 de diciembre de

7 A partir del 6 de enero de 2012 los clientes pueden ejercer sus Derechos ARCO (acceso, rectificación, cancelación y oposición). Los ciudadanos titulares a partir del 6 de febrero de 2012 pueden ejercer su derecho a la protección de datos personales ante el IFAI. Lineamientos para el Aviso de Privacidad Integral, debe contar con 12 elementos informativos básicos a partir del 17 de abril de La creación, administración y uso de bases de datos deben contar con procesos y medidas de seguridad documentadas a partir del 22 de junio de

8 Cuál es el ámbito de aplicación de la Ley? Naturaleza y ámbito de aplicación - Orden público y - Observancia general - Federal Objeto Protección de datos personales en posesión de los particulares Ley Federal de Protección de Datos Personales en Posesión de los Particulares Finalidad Regular el tratamiento - Legítimo - Controlado - Informado 8

9 Sujetos Regulados Personas Físicas y Morales de carácter privado que recaban datos personales. Excepciones: Sociedades de Información Crediticia. Personas físicas que traten datos personales para su uso personal y familiar. 9

10 Quién es la entidad responsable del cumplimiento de esta Ley? El Instituto Federal de Acceso a la Información y Protección de Datos es la entidad encargada de difundir y promover el ejercicio del derecho a la protección de Datos Personales a la sociedad mexicana y garantizar el cumplimiento de la Ley. Está facultado para imponer infracciones y sanciones a quienes hagan uso indebido de los datos personales. 10

11 III. Conceptos básicos. 11

12 Conceptos básicos Qué es un dato personal? Es cualquier información concerniente a una persona física titular que la identifica o la hace identificable. Cuál es un dato sensible? Son datos personales que afectan la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen o conlleve un riesgo grave para éste. 12

13 Conceptos básicos Medios de almacenamiento Soporte físico: (inteligible a simple vista). Soporte electrónico: (se requiere de un aparato con circuitos electrónicos que procese su contenido). Bases de Datos: Pueden ser expresados en forma: Numérica Alfanumérica Gráfica Fotográfica Acústica Cualquier otro tipo de tecnología disponible en el mercado. 13

14 Obtención de datos Medios para recabar datos personales (DP) Los datos pueden obtenerse de 3 formas: Personalmente: Cuando el titular y/o responsable, presencia física de ambos. representante legal proporciona los DP al Directa: Cuando el titular proporciona los DP por algún medio que permite su entrega directa al responsable, entre ellos, medios electrónicos, sonoros, ópticos, visuales o cualquier otra tecnología que pueda utilizarse para ello. Indirecta: Cuando el Responsable obtienen los DP sin que el titular se los haya proporcionado de forma personal o directa, como podría ser a través de transferencias o fuentes de acceso público (medios expresamente definidos para hacer de conocimiento del público en general los datos que contiene, ej. página de Internet, boletín, diario oficial, entre otros). 14

15 Tratamiento de Datos Personales Es la obtención, divulgación uso o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales. 15

16 Datos de identificación Datos de contacto Datos laborales Datos sobre características físicas Datos académicos Datos patrimoniales o financieros 16

17 Datos biométricos Datos ideológicos Datos sobre opiniones políticas Datos sobre afiliación sindical Datos de vida sexual Datos de Salud Datos de origen étnico o racial IMPORTANTE: Las características de los datos personales y datos personales sensibles de este documento son sólo una orientación, ya que el pleno del Ifai no ha emitido criterios institucionales al respecto, además de que ciertos datos personales que en un principio no se consideren sensibles, podrían llegar a serlo dependiendo del contexto en que se trate la información 17

18 IV. Designar un encargado o departamento de Datos Personales 18

19 Actores principales Responsable: Es la persona física o moral de carácter privado que DECIDE sobre el tratamiento de los DP, es decir: Quien establece las finalidades del tratamiento o el uso que se les dará, El tipo de datos que se requieren, A quién y para qué se comparten, Cómo se obtienen, almacenan y suprimen, y En qué casos se divulgarán. Encargado: Es la persona física o moral (Outsourcing), que trata los datos personales a nombre y por cuenta del Responsable. El encargado NO DECIDE sobre el tratamiento de los datos personales, lo realiza siguiendo las instrucciones del Responsable. Tercero: Es la persona física o moral, nacional o extranjera ajena a la organización, distinta del responsable, encargado o titular. 19

20 Cómo seleccionar al Encargado de DP? Oficial de Protección de DP Es importante considerar: Tamaño y capacidad de la organización. Tipo y volumen de datos obtenidos. Naturaleza e intensidad del tratamiento. Nivel de riesgo y confidencialidad. La persona o Departamento de DP Encargado de DP debe: Atender las Solicitudes de Derechos ARCO. Fomentar la protección de DP al interior del negocio. Art. 30 de la LFPDPPP. Es indispensable que el Responsable formalice la relación con el Encargado de DP mediante un instrumento jurídico (contrato, cláusulas contractuales, acuerdos o convenios) en el que se establezcan las obligaciones de ambos en torno a la protección de datos personales. 20

21 V. Identificar Transferencias 21

22 Transferencias Responsable Transferencia interna, Remisión de DP. Encargado Transferencia de DP La transferencia es la comunicación de datos personales, dentro o fuera del territorio nacional, a persona distinta del titular, del Responsable o del encargado. Formalizarla a través de instrumento jurídico. Tercero Debe ser Informada al titular a través del Aviso de Privacidad, a quien se transfieren y para que fines. Limitarse a las finalidades notificadas en el Aviso de Privacidad y consentidas por el titular. Se podrá realizar hasta que se haya obtenido el consentimiento del titular, salvo las excepciones marcadas en el Art. 37 de la Ley.* Transferencia a terceros. Los Receptores asumen las mismas obligaciones del Responsable sobre los datos recibidos de acuerdo con el Aviso de privacidad y Contrato firmado entre las partes. * Cuando esté previsto en una Ley o Tratado en el que México sea parte, para la prevención o el diagnóstico médico, para el cumplimiento de una relación jurídica o salvaguarda de un interés público o procuración de justicia. 22

23 Si el Responsable se adhiere a la infraestructura, los servicios o aplicaciones, el proveedor deberá cumplir con las siguientes condiciones, definidas en el Art. 52 del Reglamento de la Ley, de lo contrario el Responsable NO podrá adherirse. I. Cumpla, al menos, con lo siguiente: a) Tener y aplicar políticas de Protección de DP y medidas de seguridad acorden a la LFPDPPP. b) Transparentar las subcontrataciones. c) Abstenerse de asumir la titularidad o propiedad de la información y guardar confidencialidad. d) Garantizar la supresión de los DP una vez que haya concluido el servicio prestado al Responsable. 23

24 VI. Principios y deberes 24

25 Cumplir con los Principios y deberes Licitud Lealtad Proporcionalidad Licitud Lealtad Calidad Finalidad Consentimiento Información Responsabilidad 25

26 Licitud Lealtad Principios Todo tratamiento de datos personales debe ser con estricto apego y cumplimiento a lo dispuesto por la legislación mexicana y el derecho internacional. El tratamiento de DP debe realizarse en atención a lo acordado, NO deben de utilizarse medios engañosos o fraudulentos para recabar y tratar DP. 26

27 Principios Proporcionalidad Calidad Los DP tratados, deben ser los mínimos necesarios para el cumplimiento de la finalidad para la cual se recabaron. El responsable deberá aplicar el Criterio de minimización. Los DP deben ser correctos, exactos, completos, pertinentes y actualizados, de acuerdo con la finalidad para la cual fueron recabados. 27

28 Principio finalidad El tratamiento de DP debe ser sólo el necesario para cumplir con la finalidad determinada y legítima que se señaló en el aviso de privacidad de manera clara y objetiva. Primarias Dan origen y son necesarias para la relación jurídica. Una relación jurídica debe estar enmarcada por los siguientes factores: Vínculo entre los sujetos Dos o mas sujetos Estar regulado por el derecho, y Producir consecuencias jurídicas. Secundarias Finalidades distintas a las que dieron origen a la relación jurídica o bien aquellas legalmente permitidas o para las que el responsable haya obtenido el consentimiento: Mercadológicos, publicitarias Promocionales, comunicación, prospección, referencia comercial. Videografación y toma de fotigrafías. El titular puede oponerse al tratamiento de sus datos para estas finalidades y no será motivo para negar el servicio solicitado. 28

29 Principio Consentimiento Facultad de las personas para decidir sobre el tratamiento de sus DP. el cual tácito, expreso o expreso y por escrito debe ser libre, específico, informado e inequívoco. Tipo de Consentimiento Tácito Expreso Expreso y por escrito Para que tipo de datos se requiere Para cualquier tipo de dato personal, con excepción de los datos patrimoniales, financieros y sensibles. Para datos financieros y patrimoniales. Para datos personales sensibles. Si una ley o reglamento, en lo particular, exige el consentimiento expreso o expreso y por escrito para el tratamiento de DP, el responsable deberá solicitarlo de esa forma, aunque no se trate de datos financieros, patrimoniales o sensibles. Nota: No es necesario solicitar el consentimiento cuando el tratamiento de los DP sea en cumplimiento a obligaciones derivado de una relación jurídica entre el titular y el Responsable. 29

30 Principio de Responsabilidad Establecer Medidas de Seguridad administrativas, físicas y/o técnicas para la protección de los DP, mismas que deben ser documentadas (acciones: análisis de riesgo, análisis de brecha, revisiones o auditorías, capacitación, entre otras). Algunas medidas básicas pueden ser: 1. Elaborar Políticas de Protección de DP al interior del negocio que incluyan sistemas de supervisión y vigilancia. 2. Brindar capacitación para la concientización de personal. 3. Establecer procedimientos para atender las dudas o quejas de los titulares. 30

31 Qué es el Aviso de Privacidad? Es un documento físico, electrónico, visual, sonoro, o en cualquier otro formato generado por el responsable de manera sencilla, con un lenguaje claro y comprensible de aceurdo al perfil de los titulares, puesto a su disposición previo al tratamiento de sus datos personales. Establecer los términos y condiciones generales del tratamiento de los datos personales que recaba. El Responsable deberá tener el número de avisos de pivacidad que resulte necesario de acuerdo a los tratamientos que realice a los DP. 31

32 El aviso de privacidad debe estar disponible en alguno de los siguientes soportes: Físico (en papel) Electrónico (páginas web, correos electrónicos, etc.) Visual ( pantalla de TV, videos, etc.) Sonoro (Grabaciones, IVR, etc.) En otros medios (prensa) 32

33 No usar frases inexactas, ambiguas o vagas como entre otros, como por ejemplo, De manera enunciativa más no limitativa. No incluir textos o frases que induzcan al titular, de manera engañosa o fraudulenta. (ejemplo Le recomendamos que nos autorice el uso de su información personal sin restricción alguna, para ser más eficiente nuestro trabajo. No remitir al titular a textos o documentos que no estén disponibes (links disponibles). No incluir casillas u otros mecanismos similares que estén marcados previamente, que obliguen a los titulares a desmarcarlos para modificar la condición previamente establecida. 33

34 34

35 Ejemplo AP 35

36 Modalidades del Aviso de Privacidad Integral Simplificado Corto Cuando los datos se obtengan personalmente del titular (entrevista). Cuando se obtienen de manera directa (contacto pág. web vía telefónica). Cuando el espacio para dar a conocer el aviso sea limitado (correo, formatos, SMS, etc.). Nota: De acuerdo al tipo de DP que se recabe se deberá solicitar el consentimiento correspondiente. 36

37 Obligación de guardar secreto de los datos persnales que son tratados. El Responsable debe adoptar medidas para evitar que quienes tengan acceso a éstos divulguen dicha información. Se debe cumplir aun una vez que finalice la relación contractual o laboral entre el responsable y quien tenga accesos a los datos personales para el desarrollo de las tareas o funciones que se le hubiern encomendado. 37

38 Establecer Medidas de seguridad administrativas, físicas y técnicas para la proteger los DP, mismas que deben ser documentadas (acciones: análisis de riesgo, análisis de brecha, revisiones o auditorías, capacitación, entre otras.) 38

39 Pérdida, destrucción, robo, extravío, copia, uso, acceso, tratamiento, daño, alteración o modificación NO AUTORIZADO. Si hay vulneración que impacte los derechos patrimoniales o morales de los titulares, se deberán tomar acciones e informar a los titulares sin dilación, con el fin de que éstos tomen las medidas pertinentes. 39

40 VII. Derechos ARCO y la Protección de Derechos 40

41 Cada uno de nosotros, como titulares de los DP, o en su caso, nuestro representante legal, podremos ejercer cualquiera de los derechos ARCO ante las empresas que los tengan en sus bases de datos. 41

42 Mecanismos para que los ciudadanos podamos limitar el uso de nuestros datos personales para fines comerciales. (líneas telefónicas particulares o moviles, así como sus correos electrónicos, domicilios y nombres). Estas pueden ser propios o de organismos como la PROFECO y la CONDUSEF que ya han creado estas listas para registro opcional de los ciudadanos. REPEP (Registro Público para Evitar Publicidad y REUNS (Registro Público de Usuarios que no desean información publicitaria de Productos y Servicios Financieros). Las empresas que realizan actividades de promoción deberán previamente validar la existencia de los datos de sus prospectos en estas listas para no incurrir en una violación a la privacidad de los mismos. 42

43 La empresa debe designar una persona o un departamento interno para atender las solicitudes de los Titulares de los Datos a través del Ejercicio de sus derechos ARCO. El Reglamento y/o su encargado definen su proceso interno, medios y procedimientos para la recepción, atención y resolución de las Solicitudes de Derechos ARCO. El Ejercicio de los derechos debe ser gratuito, sólo en caso de reproducción o envío el titular pagara los costos correspondientes. 43

44 El Titular: Entrega solicitud de Derechos ARCO, en 2 tantos que incluyen: Identificación oficial Datos de localización para mantener la comunicación y/o enviar notificaciones. Documentación que ayude a su ágil localización o para demostrar la corrección o cambio solicitado. Espera 20 días la resolución procede o no su solicitud. Espera 15 días más aplicación de resolución. 44

45 El Departamento y/o Encargado de DP: Entregar, explicar y/o recibir la solicitud de Derechos ARCO, en 2 tantos: Sellar la recepción con fecha y firma de quien la recibe. Revisar y realizar el análisis de procedencia de la solicitud (20 días hábiles). Notificar al titular la resolución, proceda o no. Aplicar resolución (15 días hábiles). Nota: El Responsible puede, si así se requiere y justifica incrementar el plazo por única ocasión por los mismos plazos descritos en cada proceso, previa notificación al titular. 45

46 El Responsable podrá negar el ejercicio de los Derechos ARCO cuando: El titular o su representante legal no se acrediten debidamente. No se encuentren los datos personales en su base (s) de datos. Se lesionen derechos de terceros. La rectificación, cancelación u oposición hayan sido solicitadas preaviamente. Exista impedimento legal o resolución de las autoridades que restrinja el ejercicio de estos derechos. 46

47 VIII. Protección de Derechos ante el Ifai 47

48 El titular o su representante legal presenta su solicitud de protección de derechos ante el IFAI El Titular Está inconforme con la respuesta No recibió respuesta Plazos Dentro de los 15 días siguientes a la fecha en que se comunique la respuesta Dentro de los 15 días a partir de que haya vencido el plazo de respuesta Expresar claramente el contenido de su reclamación. Presentar el documento que pruebe la fecha en que presentó la solicitud de Derechos ARCO. Podrá interponerse: Por escrito libre o a través de los formatos establecidos por el IFAI. Sistema electrónico. En el domicilio del Instituto u oficina habilitada Por correo certificado con acuse de recibo 48

49 IX. Sanciones e Infracciones 49

50 No dar atención a las solicitudes ARCO Omitir el aviso, mantener DP inexactos, negar la existencia de DP con dolo Incumplir deber de confidencialidad, cambiar la finalidad o realizar transferencias sin dar aviso de ello o vulnerar la seguridad de las bases de datos El apercibimiento para que el responsable lleve a cabo los actos solicitados por el titular Multa de 100 a 160,000 VSM DF. De $6,230 a $9,972,800 Multa de 200 a 320,000 VSM DF De $12,466 a $19,945,600 El Salario mínimo vigente en el DF para 2014 es: Salario Mínimo Zona/Área geográfica A: pesos diarios Fuente: *DSMV DF: Días de Salario Mínimo vigente en el Distrito Federal 50

51 Delito Provocar una vulneración de seguridad a las bases de datos bajo su custodia. Prisión 3 meses a 3 años Tratamiento de DP mediante el engaño, aprovechándose del error del titular o del responsable. Tratándose de datos personales sensibles. 6 meses a 5 años Penas anteriores Delitos llevados a cabo con ánimo de lucro 51

52 52

53 53

54 Beatriz Vargas Director Comercial Tel: Cel Ricardo Rangel Director de Proyectos Estrátegicos Tel Cel