Circular Normativa e Institucional

Transcripción

1 Circular Normativa e Institucional Origen Comité de Política y Normatividad. Comité de Información. Dirección de Planeación Estratégica y Financiera. Unidad de Enlace. Consecutivo CPN/CI/DPEF/UE 670 Marco Jurídico Capítulo III, Art. 14, 15 y 18 y Capítulo IV de la Ley Federal de Transparencia Pública Gubernamental (LFTAIPG), Reglamento y Lineamientos. Anexos Vigencia Entrada en vigor Conclusión Día Mes Año Hasta nuevo aviso. Asunto Criterios Internos para la Clasificación de la Información y Protección de Datos Personales en el marco de la LFTAIPG. Destino Personal adscrito a Corporativo, Red de Sucursales y Módulos de IITV. 1. Criterios Internos para la Clasificación de información Pública, Reservada y/o Confidencial. 2. Criterios Internos para la Protección de Datos Personales. 3. Anexo I Formato de Protección de Datos Personales. 4. Anexo II Formato de Relación del Personal Autorizado para Accesar a la Información Clasificada México, D. F., a 22 de abril de Por medio de la presente Circular, se hace de su conocimiento que con el objeto de asegurar la correcta clasificación de la información que generen, adquieran, transformen y/o conserven las Unidades Administrativas, de conformidad con lo dispuesto en el marco jurídico aplicable, se ratifican los siguientes criterios internos: Clasificación de información pública, reservada y/o confidencial. Protección de datos personales. Lo anterior, a efecto de que las Unidades Administrativas responsables de la información, realicen la clasificación de la información y protección de datos personales en apego a los criterios antes mencionados. Asimismo, se reitera que a través de la Normateca Interna se ponen a disposición del personal de la Institución, las siguientes emisiones de la Unidad de Enlace: Tema. Organización y Conservación de Archivos. Disposiciones Grales. de la Ley Federal de Transparencia. Guía de Clasificación de Documentos. Ubicación en la Normateca Interna. Apéndice: D. Procesos de Apoyo Sección: Ley Federal de Transparencia. Carpeta: Emisiones de la Unidad de Enlace. Para cualquier consulta respecto del contenido de la presente favor de comunicarse a la Unidad de Enlace de Banjercito, S.N.C. adscrita a la Dirección de Planeación Estratégica y Financiera a las extensiones 2146 o 305. Atentamente, Lic. Enrique Alvarez Villa. Secretario del Comité de Política y Normatividad. 1 de 1

2 Criterios Internos para la Clasificación de la Información Pública, Reservada y/o Confidencial. 1/2 Los Titulares de las Unidades Administrativas deberán de apegarse a los presentes criterios para clasificar los expedientes o documentos que generen y/o custodien sus áreas correspondientes y que deban tener el carácter de RESERVADO o CONFIDENCIAL, dependiendo de los siguientes casos: Tipo de Información Casos Fundamento Legal Período de clasificación I. Secreto Bancario (información de Clientes) Ley de Instituciones de Crédito, artículo 117. Ley Federal de Transparencia Pública Gubernamental, artículo 14, fracción II. Período de 12 AÑOS. Incluye aquellos documentos, que contienen información de clientes en Crédito, IITV, Fondos de Ahorro, Reclamaciones entre otros. Expedientes y Documentos RESERVADOS II. Secreto Fiduciario (Información de Clientes) III. Riesgo Institucional Todos los expedientes y documentos generados y/o custodiados por las áreas que contengan información cuya difusión vulnere el riesgo operativo, legal, crediticio, de mercado, y en general toda aquella información que se derive de procesos deliberativos de negociación y definición de políticas internas para fortalecer a la institución. Información relativa a las características técnicas y tecnológicas para la expedición de documentos o identificaciones, que ponga en riesgo la autenticidad de los mismos (falsificación). Ley de Instituciones de Crédito, artículo 117. Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, artículo 14, fracción II. Ley Federal de Transparencia Pública Gubernamental, artículo 14, fracción VI. De manera independiente del fundamento legal que aplique por otras disposiciones legales sobre el tipo de información que se trate. Ley Federal de Transparencia Pública Gubernamental, artículo 13, fracción V. Período de 12 AÑOS. Incluye aquellos documentos, que contienen datos de clientes de Fideicomisos. Los plazos de reserva serán determinados por los propios titulares de las áreas con base a la legislación que aplique para cada caso. Incluye aquellos documentos, de las áreas de riesgos, de los Comités de Riesgos, Activos y Pasivos, Tesorería y los que derivado del carácter de la información no puedan hacerse públicos. Dentro de esta clasificación podrán considerarse por ejemplo aquellos documentos, de los Manuales Operativos del Centro de Cómputo, Memorias Técnicas de Configuración del Equipo de Cómputo Institucional, entre otros., y en general información sensible de la infraestructura tecnológica de la Institución.

3 Criterios Internos para la Clasificación de la Información Pública, Reservada y/o Confidencial. 2/2 Expedientes y Documentos RESERVADOS IV. Riesgo Personal Todos los expedientes y documentos generados y/o custodiados por las áreas que contengan información cuya difusión ponga en riesgo la seguridad, vida o la salud del personal de la institución, y que por sus funciones requiera custodiar, generar o procesar información privilegiada de acceso restringido, como puede ser la información de seguridad informática, operativa, infraestructura de cómputo, entre otra. La documentación generada para la implementación, administración y seguimiento de las medidas de seguridad administrativa, física y técnica tendrá el carácter de información reservada y será de acceso restringido. Artículo 13, fracción IV de la Ley Federal de Transparencia Pública Gubernamental. Lineamiento 29 de los Lineamientos de Protección de Datos Personales. Los plazos de reserva serán determinados por los propios titulares de las áreas con base a la legislación que aplique para cada caso. Dentro de esta clasificación podrán considerarse por ejemplo, aquellos documentos y expedientes de los Manuales de la Seguridad Física de la Institución, entre otros. Expedientes y Documentos CONFIDENCIALES V. Datos Personales (Empleados, Exempleados y Beneficiarios del servicio médico). Entendiéndose por Datos Personales de una persona física identificada o inidentificable aquellos relativos a: origen étnico o racial, características físicas, características morales, características emocionales, vida afectiva, vida familiar, domicilio particular, patrimonio, número telefónico particular, ideología, opinión política, creencia religiosa, creencia filosófica, estado de salud física, estado de salud mental, preferencia sexual, y otras análogas que afecten su intimidad como información genética. Artículo 18, fracc. I y II de la Ley Federal de Transparencia Pública Gubernamental. PERMANENTE Esto incluye por ejemplo; aquellos documentos, del área de recursos humanos que contengan datos personales de los empleados, ex empleados o beneficiarios del servicio médico, como son: expedientes de personal, expedientes médicos, expedientes de nóminas, entre otros. También podrán considerarse los documentos y/o expedientes de clientes con nombres, edad, montos, datos patrimoniales de crédito y/o ahorro, domicilio particular, estado civil, etc. Así mismo, se establece como mejora a la clasificación de documentos con carácter de reservados y confidenciales, así como al control de los mismos, que todas las Unidades Administrativas integren a las bitácoras físicas y electrónicas de control de documentos una columna con el objeto de especificar la clasificación realizada conforme a la LFTAIPG en cada documento. Ejemplo: Clasificado según la LFTAIPG SI NO

4 Criterios Internos para la Protección de Datos Personales. 1/3 Para efectos de la aplicación a lo establecido en los Criterios Internos para la Protección de Datos Personales, se entenderá por: Encargado: Persona expresamente autorizada o facultada por el Responsable/Titular de la Unidad Administrativa para llevar a cabo el tratamiento físico o automatizado de los datos personales (agregar o modificar su contenido). Responsable/Titular de la Unidad Administrativa (Director o Subdirector de Área): Persona que decide sobre el tratamiento físico o automatizado de datos personales, así como el contenido y finalidad de los sistemas de datos personales. Titular de los datos: Persona física a quien se refieren los datos personales que sean objeto de tratamiento. Usuario: Servidor público facultado o expresamente autorizado por el Responsable que utiliza de manera cotidiana datos personales para el ejercicio de sus atribuciones, por lo que accede a los sistemas de datos personales, sin tener la posibilidad de agregar o modificar su contenido. Sistema de datos personales: Constituye el conjunto ordenado de datos personales que estén en posesión de una dependencia o entidad, con independencia de su forma de acceso, creación, almacenamiento u organización. Los sistemas de datos personales podrán distinguirse entre archivos físicos (papel) y automatizados (electrónicos). Transmisión: Toda entrega total o parcial de datos personales a cualquier persona distinta al Titular de los datos, mediante el uso de medios físicos o electrónicos como la interconexión de computadoras, bases de datos, acceso a redes de telecomunicación, así como a través de la utilización de cualquier otra tecnología que lo permita. Destinatario: Cualquier persona física o moral, pública o privada que recibe datos personales. Tratamiento: Operaciones o procedimientos físicos o automatizados que permitan recabar, registrar, reproducir, conservar organizar, modificar, transmitir y cancelar datos personales. Actualización del uso del Formato para la Protección de Datos Personales. Los Responsables de datos personales (Direcciones o Subdirecciones de Área) verificarán que el personal a su cargo (Usuario y/o Encargado de los Datos Personales), lleve a cabo las siguientes actividades: 1. Explicará al Titular de los datos personales, la motivación o fundamento legal del uso del Formato para la Protección de Datos personales (Anexo I). 2. Requisitará la fecha de entrega del formato, los datos del Titular de los datos y sus propios datos conforme al instructivo de llenado indicando en cada anexo. 3. Imprimirá y firmará el formato en dos tantos. 4. Entregará el formato y recabará la firma del Titular de los datos, indicándole que los datos personales facilitados serán protegidos e incorporados en un Sistema de Datos Personales, así como los organismos a los cuáles serán transmitidos dichos datos y la finalidad de su transmisión. 5. Adicionalmente, de considerarlo indispensable, solicitará copia de la identificación oficial del Titular de los datos o algún otro medio de autentificación. 6. Integrará uno de los dos tantos del formato debidamente firmado y copia de autenticación en el Expediente del Titular de los datos y el otro lo entregará al Titular de los datos. NOTA: Para el caso en que la difusión a la Protección de Datos Personales se realice por cualquier otro medio autorizado (cartel, tríptico) diferente a los puntos antes mencionados, no se aplicará dicho procedimiento.

5 Criterios Internos para la Protección de Datos Personales. 2/3 Medidas de seguridad, clasificación y tratamiento de datos por terceros. De acuerdo a las Disposiciones establecidas en los Lineamientos de Protección de Datos Personales, Banjercito, S.N.C., deberá informar a los titulares de los datos personales que recabe la finalidad de su recolección y el tratamiento que se les dará a los mismos. Los titulares de las Unidades Administrativas de Banjercito, S.N.C. deberán adoptar las medidas de seguridad necesarias para el resguardo y seguridad de los Sistemas de Datos Personales, de manera que se evite su alteración, pérdida o acceso no autorizado; asimismo, autorizar expresamente, en casos en que no esté previsto por un instrumento jurídico, a los Encargados y Usuarios y llevar el Formato de Relación del Personal Autorizado para Accesar a la la Información Clasificada (Anexo II), notificando lo anterior a la Unidad de Enlace. En cuanto a la ubicación física de los sistemas de datos personales, deberá asignarse al menos dos lugares distintos con espacios seguros y adecuados para operarlos con control de acceso a las instalaciones a través del registro de una bitácora, además de contar con al menos dos lugares distintos con las condiciones para almacenar los medios de respaldo de los sistemas. En los casos en que se contrate a terceros para que realicen el tratamiento de datos personales, deberá estipularse en el contrato respectivo la implementación de medidas de seguridad y custodia así como la imposición de penas convencionales por su incumplimiento. La documentación generada para la implementación, administración y seguimiento de las medidas de seguridad administrativa, física y técnica tendrá el carácter de Reservada y será de acceso restringido. Asimismo, el personal que tenga acceso a dicha documentación deberá evitar que esta sea divulgada, a efecto de no comprometer la integridad, confiabilidad, confidencialidad y disponibilidad de los sistemas de datos personales así como del contenido de éstos. La Gerencia de Seguridad y Protección Civil de la Dirección General Adjunta de Administración, Dirección de Informática, Dirección de Planeación Estratégica y Financiera y Subdirección de Tecnología y Seguridad Informática en conjunto con el Comité de Información, emitirán un Documento de Seguridad con las medidas administrativas, físicas y técnicas aplicables a los sistemas de datos personales, dicho documento será de carácter obligatorio para todo el personal de Banjercito, S.N.C. y personas externas que tengan acceso a los sistemas y/o sitio donde se ubican los mismos. Sistemas y tratamiento de Datos Personales. Los sistemas en los que Banjercito, S.N.C. podrá dar tratamiento a los datos personales podrán distinguirse de la siguiente forma: a) Físicos: Conjunto ordenado de datos que para su tratamiento están contenidos en registros manuales, impresos, sonoros, magnéticos, visuales u holográficos. b) Automatizados: Conjunto ordenado de datos que para su tratamiento han sido o están sujetos a algún tratamiento informático y que por ende requieren de una herramienta tecnológica específica para su acceso, recuperación o tratamiento. Los sistemas de datos personales utilizados en Banjercito, S.N.C., deberán cumplir con los siguientes principios: de licitud, calidad de los datos, acceso y corrección de información, seguridad, custodia y cuidado de la información, así como el consentimiento para su transmisión. Asimismo el tratamiento deberá ser exacto, adecuado, pertinente y no excesivo.

6 Criterios Internos para la Protección de Datos Personales. 3/3 Transmisión de Datos Personales. El personal autorizado de las Unidades Administrativas podrá transmitir los datos personales sin el consentimiento del Titular de los datos en los siguientes casos: a) Los necesarios por razones estadísticas, científicas o de interés general previstas en la Ley, previo procedimiento por el cual no puedan asociarse los datos personales con el individuo a quien se refieran; b) Cuando se transmitan entre sujetos obligados o entre dependencias y entidades, siempre y cuando los datos se utilicen para el ejercicio de las facultades propias de los mismos; c) Cuando exista una orden judicial; d) A terceros, cuando se contrate la prestación de un servicio que requiera el tratamiento de datos personales. Dichos terceros no podrán utilizar los datos personales para propósitos distintos a aquellos para los cuales se les hubieren transmitido, y e) En caso que las disposiciones legales establezcan. De lo contrario, el consentimiento del Titular de los datos deberá otorgarse por escrito en el Formato de Protección de Datos Personales (Anexo I) con su firma autógrafa y copia de su identificación oficial a través de un medio de autenticación. En su caso, Banjercito deberá cumplir con las disposiciones aplicables en materia de certificados digitales y o firmas electrónicas. Solicitudes de acceso a datos personales. Cualquier persona o su representante legal podrán presentar una solicitud de acceso a datos personales mediante escrito libre, formato emitido por el IFAI, Sistema de Solicitudes de Información (SISI) o a través de las modalidades establecidas para este fin. Asimismo, estas solicitudes pueden ser enviadas por los solicitantes por los siguientes medios: a) Por correo o mensajería, en cuyo caso el personal de la Unidad de Enlace realizará el registro de la solicitud correspondiente en el SISI, dando el trámite correspondiente de acuerdo a la normatividad correspondiente; b) Por medios electrónicos, en que el personal de la Unidad de Enlace recibirá la solicitud a través del SISI y continuará con el trámite de la misma, y c) Recepción física, en los casos en que el solicitante o su representante se presenten personalmente en la Unidad de Enlace, el personal habilitado de la misma los orientará sobre el proceso de captura de la solicitud de acceso a datos personales a través del SISI. La Unidad de Enlace será la responsable de realizar las notificaciones de las resoluciones de las solicitudes de acceso a datos personales y gestiones necesarias para facilitar el acceso a los datos personales, previa acreditación del Titular de los mismos o de su Representante legal. Corrección de datos personales. Para toda solicitud de corrección total o parcial de datos personales, el Titular de los mismos o su representante legal deberán acreditar su personalidad ante la Unidad de Enlace o el Servidor Público Habilitado para proceder a la corrección total o parcial de los datos. De las correcciones que se realicen, el personal de la Unidad de Enlace deberá llevar un registro en formato libre, mediante el cual se realice la solicitud de corrección total o parcial de los datos personales con los datos del documento oficial con el que se acredita la personalidad, los cuales pueden ser: pasaporte, cartilla del servicio militar, cédula profesional o credencial de elector. El particular o su representante podrá realizar la solicitud proporcionando nombre, domicilio, descripción clara de las correcciones a realizarse la forma en que desea le sea entregada la constancia de corrección de sus datos personales, ya sea personalmente en el domicilio de la Unidad de Enlace o por correo certificado con notificación, previo pago correspondiente.

7 Anexo I. Formato de Protección de Datos Personales. I 1/1

8 Anexo II. Formato de Relación del Personal Autorizado para Accesar a la Información Clasificada. II 1/2