Ley de Protección de Datos Personales - Generalidades - Lic. Juan Alberto Lo pez Mendi vil SUBDIRECTOR DE VINCULACIÓN Y CAPACITACIÓN DE ISTAI
Objetivo del Curso: Al finalizar, los asistentes podrán adquirir los conocimientos que les permitan cumplir las disposiciones de la Ley de Protección de Datos Personales local.
Disposiciones Generales y Antecedentes del D.P.D.P
Actualmente, el uso extensivo de tecnologías y telecomunicaciones ha permitido que se tenga más acceso a información personal. Pero en muchas de las ocasiones los Datos Personales son tratados para fines distintos a los recabados, o son transmitidos sin conocimiento del titular, rebasando así su privacidad.
Antecedentes El tema de la protección de datos personales en el país es relativamente novedoso, fue a partir de 2002 cuando la LFTAIPG estableció Que ente, organismo u órgano público federal? sería responsable del debido tratamiento de los datos personales en su posesión, y del desarrollo de mecanismos para la seguridad de los mismos.
Evolución del Derecho en México 2002 Ley de Transparencia y Acceso a la Información Pública Gubernamental 2007 El Congreso de la Unión aprobó reforma al artículo 6 constitucional Establece la protección de los Datos Personales. 2008 Reformas a los artículos 16 y 73 de la CPEUM e introduce el derecho de toda persona a la protección de su información. 2009 El artículo 16 constitucional incorpora el Derecho a la Protección de Datos Personales, como un derecho fundamental. 2010 Aprobación de la Ley Federal de Protección de Datos Personales en Posesión de Particulares. 2017 Aprobación y publicación de la Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados.
Disposiciones Generales Soporte físico (inteligible a simple vista). La normatividad Estatal es aplicable a cualquier tratamiento de Datos Personales que obren en soportes físicos o electrónicos, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización Soporte electrónico (se requiere de un aparato con circuitos electrónicos que procese su contenido). El Estado garantizará la privacidad de los individuos y deberá velar porque terceras personas no incurran en conductas que puedan afectarla arbitrariamente
Disposiciones Generales Por regla general no podrán tratarse Datos Personales sensibles, salvo que se cuente con el consentimiento expreso de su titular. El tratamiento de Datos Personales de menores de edad se deberá privilegiar el interés superior de la niña, el niño y el adolescente (entrevistas de menores).
Disposiciones Generales La aplicación e interpretación de la Ley se hará favoreciendo en todo tiempo el derecho a la privacidad, la protección de datos personales y a las personas la protección más amplia. Los Datos Personales NO podrán solicitarse y tratarse (transmitirse), salvo que sean estrictamente necesarios para el ejercicio y cumplimiento de las atribuciones y obligaciones del responsable.
Excepciones al consentimiento I.- Cuando una norma con rango de ley señale expresamente que no será necesario el consentimiento del titular para el tratamiento de sus datos personales, por razones de seguridad pública, salud pública, disposiciones de orden público o protección de derechos de terceros;
Excepciones al consentimiento II.- Cuando exista una orden judicial, resolución o mandato fundado y motivado de autoridad competente; III.- Para el reconocimiento o defensa de derechos del titular ante autoridad competente; IV.- Cuando los datos personales se requieran para ejercer un derecho o cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable;
Excepciones al consentimiento V.- Cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes; VI.- Cuando los datos personales sean necesarios para la prevención, el diagnóstico médico, la prestación de servicios de asistencia sanitaria, el tratamiento médico, o la gestión de servicios sanitarios, VII.- Cuando los datos personales figuren en fuentes de acceso público;
Excepciones al consentimiento VIII.- Cuando los datos personales se sometan a un procedimiento previo de disociación, IX.- Cuando el titular sea una persona reportada como desaparecida en los términos de la ley en la materia.
Documento de Seguridad
Documento de Seguridad El documento de seguridad es una de las partes fundamentales de la protección de datos. El documento de seguridad es el documento mediante el cual se elabora y adoptan las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal, su adopción es de obligado cumplimiento para el responsable del fichero, o en su caso, del encargado del tratamiento.
Documento de Seguridad Contenido I. Nombre de los sistemas de tratamiento o base de datos. II. Nombre, cargo y adscripción del administrador de cada sistema. III. Funciones y obligaciones del responsable, encargados y demás personas. IV. Inventario de datos personales tratados. V. Estructura y descripción de los sistemas de tratamiento, indicando tipo de soporte y las características del lugar donde se resguardan.
Documento de Seguridad Contenido VI. Controles y mecanismos de seguridad para transferencias. VII. Resguardo de los soportes físicos y electrónicos. VIII. Análisis de riesgos (causas de las posibles amenazas y probables eventos no deseados, y los daños y consecuencias que éstas puedan producir) IX. Análisis de brecha (lo que es, contra lo que se espera). X. Gestión de vulneraciones. XI. Las medidas de seguridad físicas aplicadas a las instalaciones. XII. Controles de identificación y autenticación de usuarios. XIII. Procedimientos de respaldo y recuperación de datos personales.
Documento de Seguridad Contenido XIV. El plan de contingencia (respuesta rápida en caso de incidentes, accidentes o estados de emergencia). XV. Las técnicas utilizadas para la supresión y borrado seguro de los datos personales. XVI. El plan de trabajo. XVII. Los mecanismos de monitoreo y revisión de las medidas de seguridad (abarca todo lo anterior). XVIII. El programa general de capacitación. XIX. Las bitácoras de acceso, operación cotidiana y vulneraciones a la seguridad de datos personales.
Documento de Seguridad Actualización Procesos de mejora Medidas preventivas o correctivas
Vulneraciones de seguridad Pérdida Robo, extravío Uso, acceso, tratamiento no autorizado Daño, alteración o modificación no autorizada
Bitácora de vulneraciones Cuándo? Por qué? Acciones implementadas
Medidas de Seguridad
Medidas de Seguridad Conjunto de acciones, actividades, controles o mecanismos administrativos, técnicos y físicos, que permitan a los sujetos obligados proteger los datos personales.
Políticas y procedimientos necesarios para la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación, clasificación y borrado seguro de la información, así como la sensibilización y capacitación del personal, en materia de protección de datos personales. Medidas de Seguridad Conjunto de acciones y mecanismos para proteger el entorno físico de los datos personales y de los recursos involucrados en su tratamiento. Conjunto de acciones y mecanismos encaminados al empleo de la tecnología relacionada con hardware y software, para proteger el entorno digital de los datos personales y los recursos involucrados en su tratamiento.
Relación del Responsable y Encargado
*Nota: Si el Encargado incumple las instrucciones, asumirá el carácter de Responsable. Encargado Debe realizar las actividades de tratamiento sin ostentar poder alguno de decisión sobre el alcance y contenido del mismo. Responsable Subcontratado El Encargado podrá subcontratar servicios que impliquen el tratamiento de los Datos Personales, siempre que exista autorización del Responsable, formalizándolo a través de un contrato. - El contrato deberá contener: - Clausulas: 1. Tener políticas de protección de DP; 2. Transparentar la subcontratación; 3. Abstenerse de incluir condiciones o asumir la propiedad de la información; 4. Guardar confidencialidad; 5. Cuente con mecanismos de seguridad, entre otros. Limita las actuaciones del Encargado, a través de un contrato o cualquier instrumento jurídico, que permita acreditar su existencia, alcance y contenido. 1. Realizar el tratamiento de los DP conforme a las instrucciones. 2. Abstenerse de tratar los DP para finalidades distintas. 3. Implementar medidas de seguridad. 4. Informar cuando ocurran vulneraciones. 5. Guardar confidencialidad 6. Abstenerse de transferir, salvo que exista mandato expreso.
Comité y Unidad de Transparencia
El Comité de Transparencia es la máxima autoridad en materia de protección de DP. Atribuciones: 1. Instituir procedimientos internos para eficientizar el ejercicio del derecho ARCO. 2. Confirmar, modificar o revocar inexistencias de DP o negativas del ejercicio de los derechos ARCO. 3. Establecer criterios específicos. 4. Supervisar el cumplimiento de medidas, controles y acciones de seguridad. 5. Entre otras* Cada Responsable contará con un Comité y una Unidad de Transparencia que se integrará y funcionará conforme a la LTAI *Artículo 116 Ley Estatal.
Los Responsables que lleven a cabo tratamientos de DP relevantes o intensivos, podrán designar un oficial de protección de DP, especializado en la materia y que formará parte de la UT. 1. Gestionar las solicitudes para el ejercicio de los derechos ARCO. 2. Establecer mecanismos para asegurar que los DP solo se entreguen a su Titular o representante acreditado. 3. Aplicar instrumentos de evaluación de calidad sobre la gestión de las solicitudes del ejercicio de los derechos ARCO. 4. Asesorar a las áreas adscritas al Responsable en la materia. 5. Entre otras**
Derechos de los Titulares y su Ejercicio DERECHOS ARCO
El titular tendrá derecho de acceder a sus datos personales que obren en posesión del responsable, así como conocer la información relacionada con las condiciones y generalidades de su tratamiento.
El titular tendrá derecho a solicitar al responsable la rectificación o corrección de sus datos personales, cuando estos resulten ser inexactos, incompletos o no se encuentren actualizados.
El titular tendrá derecho a solicitar la cancelación de sus datos personales de los archivos, registros, expedientes y sistemas del responsable, a fin de que los mismos ya no estén en su posesión y dejen de ser tratados por este último.
El titular podrá oponerse al tratamiento de sus datos personales o exigir que se cese el mismo, cuando: I. El tratamiento debe cesar para evitar que su persistencia cause un daño o perjuicio al titular. II. Sus datos personales sean objeto de un tratamiento automatizado, el cual le produzca efectos jurídicos no deseados o afecte de manera significativa sus intereses, derechos o libertades, y estén destinados a evaluar, sin intervención humana, determinados aspectos personales del mismo.
Ejercicio de los Derechos ARCO 1 2 3 El ejercicio de los derechos ARCO por parte del Titular será gratuito. El Titular sólo cubrirá los gastos de reproducción, certificación o envío. Si el Titular proporciona el medio magnético, electrónico o el mecanismo necesario para reproducir los DP, los mismos deberán ser entregados sin costo.
Ejercicio de los Derechos ARCO Si existe disposición legal que lo prevea, o en su caso por mandato judicial. Tratándose de menores se estará a las reglas de representación en materia civil. Si se trata de personas fallecidas, la persona que acredite tener interés jurídico podrá ejercer los derechos, siempre que exista una expresión fehaciente o exista mandato judicial.
Ejercicio de los Derechos ARCO Nombre del titular y domicilio u otro medio para recibir notificaciones; Documento que acrediten la identidad del Titular, y en su caso, la personalidad e identidad de su representante De ser posible, el área responsable que trata los DP y ante la cual se presenta la solicitud La descripción clara y precisa de los DP respecto de los que se busca ejercer los derechos ARCO Cualquier otro elemento o documento que facilite la localización de los DP
Ejercicio de los Derechos ARCO 10 días hábiles para notificar la determinación Titular (contados a partir del día siguiente al que se recibió la solicitud.) Presenta su solicitud Responsable Sí Titular Atiende el requerimiento 10 días hábiles No Si la solicitud es insuficiente o errónea, se interrumpe el plazo** para hacer un requerimiento al Titular Dentro de los primeros 5 días hábiles + 10 días hábiles* Si procede el derecho ARCO se hará efectivo en un plazo no mayor a 15 días Se tendrá por no presentada la solicitud *Ampliación de plazos: podrán ser ampliados por una sola ocasión, por un periodo igual y de manera justificada. **Se interrumpirá el plazo para resolver la solicitud, comenzando de nuevo al día siguiente de que se atienda el requerimiento.
Medios de Impugnación
Recurso de Revisión El Recurso de Revisión procede en los siguientes supuestos: (Art. 129) La denominación del responsable. El nombre completo del titular que recurre, su representante y, en su caso, el tercero interesado. La fecha de notificación de la respuesta. El acto que recurre y los puntos petitorios.
Recurso de Inconformidad El Titular o se Representante podrán impugnar la resolución del Recurso de Revisión. (Art. 117 Ley General) Las resoluciones del INAI podrán: I. Sobreseer o desechar. II. Confirmar. III. Revocar o modificar. IV. Ordenar la entrega de los DP. Se podrá presentar ante el organismo garante que haya emitido la resolución o ante el INAI, en un plazo de 15 días contados a partir del siguiente a la fecha de la notificación de la resolución impugnada. El INAI resolverá el Recurso en un plazo que no podrá exceder de 30 días contados a partir del día siguiente de la interposición del recurso (facultad de prórroga). Los organismos garantes deberán remitir el recurso de inconformidad al INAI al día siguiente de haberlo recibido. El Recurso de Inconformidad procede contra resoluciones que: I. Clasifiquen los DP sin que se cumplan las características señaladas en la ley. II. Determinen la inexistencia de DP. III. Declaren la negativa de DP. IV. Inconformidad con costos de reproducción
Medidas de Apremio y Responsabilidades
Medidas de Apremio El ISTAI podrá imponer las siguientes medidas de apremio para asegurar el cumplimiento de sus determinaciones: Amonestación Pública. $80.60 Valor diario Multa 150 hasta 1,500 UMAs $12,090.00 $120,900.00
Causas de Sanción Serán causa de sanción por incumplimiento lo siguiente: I. Actuar con negligencia, dolo o mala fe durante la sustanciación de solicitudes ARCO. II. Incumplir con los plazos de atención a dichas solicitudes. III. No contar con el Aviso de Privacidad. IV. No establecer las medidas de seguridad en términos de la Ley. V. Clasificar como confidencial Datos Personales sin que se cumplan con las condiciones señaladas en la Ley. VI. Presentar vulneraciones a los Datos Personales por falta de implementación de medidas de seguridad. VII. Entre otras. Las conductas mencionadas se harán del conocimiento de las autoridades respectivas para que impongan o ejecuten la sanción. Las sanciones de carácter económico no podrán ser cubiertas con recursos públicos.
www.transparenciasonora.org Gracias por su atención