El Comité de Información del Instituto Nacional para el Desarrollo de Capacidades del Sector Rural, A.C. (INCA Rural), con fundamento en lo dispuesto en los artículos 29 de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, 60 de su Reglamento, y la fracción II del Lineamiento Vigésimo Séptimo de los Lineamientos de Protección de Datos Personales emitidos por el Instituto Federal de Acceso a la Información Pública, publicado en el Diario Oficial de la Federación el 30 de septiembre de 2005, y CONSIDERANDO Que la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental garantiza la protección de los datos personales en posesión de la Administración Pública Federal Que corresponde al Comité de Información del INCA Rural establecer y supervisar la aplicación de los criterios específicos en materia de protección de datos personales que estén en poder de este Instituto. Que la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental señala que los sujetos obligados deberán adoptar las medidas necesarias para garantizar la seguridad de los datos personales y evitar su alteración, perdida, transmisión y acceso no autorizado y, Que los datos personales son considerados como información confidencial, la cual no podrá difundirse, distribuirse o comercializarse salvo el consentimiento expreso de su titular, de conformidad con la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental. Se emiten los siguientes: CRITERIOS ESPECIFICOS PARA LA PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DEL INSTITUTO NACIONAL PARA EL DESARROLLO DE CAPACIDADES DEL SECTOR RURAL, A.C. Capitulo I Disposiciones Generales 1. Los presentes Criterios son de observancia obligatoria para el INCA Rural. Su objeto es establecer las medidas que deberán observar los servidores públicos del INCA Rural autorizados para manejar datos personales en el ejercicio de sus funciones y con ello garantizar al titular de los datos personales la facultad de decisión sobre el uso y destino de sus datos personales, asegurar su adecuado tratamiento e impedir la transmisión ilícita y lesiva para la dignidad y los derechos del afectado. Este ordenamiento establece las condiciones y requisitos mínimos para el debido manejo y custodia de los sistemas de datos personales que se encuentren en posesión del INCA Rural en el ejercicio de sus atribuciones. Página 1 de 7
2. Para determinar si la información que posee el INCA Rural constituye un dato personal y en apego al artículo segundo de los lineamientos de Protección de datos Personales publicados en el DOF el 30 de septiembre de 2005, deberán agotarse las siguientes condiciones: 1) Que la misma sea concerniente a una persona física, identificada o identificable, y 2) Que la información se encuentre contenida en los archivos del INCA Rural. 3. Para los efectos de los presentes Criterios, además de las definiciones establecidas en los artículos 3 de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental y 2 de su Reglamento, se entenderá por: I. Destinatario: Cualquier persona física o moral, pública o privada que recibe datos personales. II. Encargado: El servidor público o cualquier otra persona física o moral facultado por un instrumento jurídico o expresamente autorizado por el Responsable para llevar a cabo el tratamiento físico o automatizado de los datos personales. III. Sistema Persona: Aplicación informática desarrollada por el Instituto Federal de Acceso a la Información Pública para mantener actualizado el listado de los sistemas de datos personales que posean las dependencias y entidades para registrar e informar sobre las transmisiones, modificaciones y cancelaciones de los mismos. IV. Responsable: El servidor público titular de la unidad administrativa del INCA Rural, que decide sobre el tratamiento físico o automatizado de datos personales, así como el contenido y finalidad de los sistemas de datos personales. V. Titular de los datos: Persona física a quien se refieren los datos personales que sean objeto de tratamiento. VI. Transmisión: Toda entrega total o parcial de sistemas de datos personales realizada por el INCA Rural a una Dependencia, entidad o a cualquier persona distinta al Titular de los datos, mediante el uso de medios físicos o electrónicos, así como a través de la utilización de cualquier otra tecnología que lo permita. VII. Transmisor: El responsable del INCA Rural que posee los datos personales objeto de la transmisión. VIII. Tratamiento: Operaciones y procedimientos físicos o automatizados que permitan recabar, registrar, reproducir, conservar organizar, modificar, transmitir y cancelar datos personales. IX. Usuario: Servidor público autorizado expresamente por el Encargado para acceder a los sistemas de datos personales, sin la posibilidad de agregar o modificar su contenido, en el ejercicio de sus funciones. 4. Un Sistema de datos personales constituye el conjunto ordenado de datos personales que estén en posesión de una dependencia o entidad, con independencia de su forma de acceso, creación, almacenamiento u organización. Los sistemas de datos personales podrán distinguirse entre físicos y automatizados, definiéndose cada uno de ellos de la siguiente forma: a) Físicos: Conjunto ordenado de datos que para su tratamiento están contenidos en registros manuales, impresos, sonoros, magnéticos, visuales u hológrafos. b) Automatizados: Conjunto ordenado de datos que para su tratamiento han sido o están sujetos a un tratamiento informático y que por ende requieren de una herramienta tecnológica especifica para su acceso, recuperación o tratamiento. Página 2 de 7
Capitulo II Tratamiento de datos personales. 5. Para el tratamiento de los datos personales, el INCA Rural deberá observar los principios de licitud, calidad, acceso y corrección, de información, seguridad, custodia y consentimiento para su transmisión. 6. La posesión de datos personales deberá obedecer exclusivamente a las atribuciones legales o reglamentarias del INCA Rural y los datos personales deberán obtenerse a través de los medios previstos en dichas disposiciones. Los datos personales deberán observar un proceso de tratamiento en estricto apego a la finalidad para la cual fueron obtenidos. Dicha finalidad debe ser determinada y legítima. 7. Los datos personales deberán almacenarse de forma tal que permitan el ejercicio de los derechos de acceso y corrección de la información prevista por la Ley, su Reglamento y demás disposiciones administrativas aplicables en materia de transparencia y acceso a la información pública. Capítulo III Resguardo de datos personales en medios físicos 8. Las unidades administrativas que cuenten con sistemas de datos personales serán las responsables del resguardo de los datos personales que estén en su posesión. El Responsable de los datos personales contará con un registro actualizado y deberán garantizar el manejo cuidadoso en su tratamiento. 9. En caso de presentarse un incidente, el Responsable del sistema de datos personales correspondiente emitirá un informe de los hechos al Responsable la Unidad Administrativa, con copia al titular del INCA Rural y al Órgano Interno de Control. En caso de comprobarse el robo, extravío de los datos personales, el INCA Rural deberá realizar la denuncia penal y/o administrativa que corresponda. En este caso, el Responsable de los datos personales dará aviso por escrito a los ciudadanos afectados a no más de 30 días naturales de haber ocurrido el incidente, con el propósito de que los ciudadanos afectados tomen precauciones para enfrentar el uso ilegal de su identidad y, en su caso, que lo denuncien. 10. El Comité de Información del INCA Rural será el encargado de coordinar y supervisar las acciones encaminadas a la protección de datos personales. 11. Cuando el periodo de conservación de los sistemas de datos personales haya concluido, el área Coordinadora de Archivos del INCA Rural solicitará al Archivo General de la Nación el dictamen del destino final de dichos sistemas de datos personales. Capitulo IV Transmisión de datos personales en medios físicos 12. El INCA Rural podrá transmitir datos personales sin el consentimiento del Titular de los datos únicamente en los siguientes casos: Página 3 de 7
1) Los necesarios por razones estadísticas, científicas o de interés general previstas en la ley, previa disociación de datos personales con el individuo a que se refieran. 2) Cuando se transmitan ente sujetos obligados o entre dependencias y entidades, siempre y cuando los datos personales se utilicen para el ejercicio de facultades propias de los mismos. 3) Cuando exista una orden judicial. 4) A terceros, cuando se contrate la prestación de un servicio que requiera el tratamiento de datos personales. Dichos terceros no podrán utilizar los datos personales para propósitos distintos a aquellos para los cuales se les hubiesen transmitido. 5) En los demás casos que establezcan las leyes. Preparación previa a la transmisión de datos personales: 13. Toda transmisión será respaldada por un escrito que emita el solicitante al Encargado del sistema de datos personales que contiene los datos personales solicitados. Dicho escrito deberá motivar y fundamentar el acceso a los datos personales en el ejercicio de sus funciones. 14. La transmisión de datos personales deberá realizarse a través de medios de reproducción (copias simples, disquetes, discos compactos). El Encargado se asegurará de mantener y resguardar el medio original en el que se encuentren los datos personales Transmisión de datos personales mediante traslado físico: 15. La transmisión de datos personales entre dependencias y entidades se realiza mediante entrega en mano por un mensajero autorizado de la dependencia o entidad que los envía. La entrega se realizará sólo si el destinatario demuestra de manera auténtica su identidad y el mensajero recaba el nombre, firma y la fecha de recepción. 16. La transmisión de datos personales entre un particular y el INCA Rural se realiza mediante correo certificado. La entrega se realiza sólo si el destinatario demuestra de manera auténtica su identidad y el mensajero recaba nombre, firma y la fecha de recepción. 17. Para transmitir datos personales mediante traslado físico, las únicas personas autorizadas para son: (i) el Encargado que realiza la preparación previa, (ii) el mensajero que realiza la entrega de los expedientes resultantes y (iii) el Destinatario. Según el caso, podrían considerarse como personas autorizadas los jefes inmediatos superiores de los sujetos aquí mencionados. 18. Si los datos personales quedan en manos de una persona no autorizada, ello es razón suficiente para dar inicio al proceso de atención de un incidente, de conformidad con lo establecido en los presentes Criterios. 19. Para evitar lo anterior, es preferible que el mensajero regrese con los datos personales si el Destinatario no puede identificarse para recibirlos de manera personal. Página 4 de 7
Capitulo V Registro de Transmisiones. 20. Para datos personales en medios físicos, se lleva registro de la operación de transmisión incluyendo, cuando menos, los siguientes datos: (i) nombre y cargo del Destinatario de la dependencia o entidad solicitante; (ii) nombre y cargo del Responsable o Encargado que realiza la preparación previa de las copias que serán transferidas; (iii) una relación de los datos personales que serán transferidos; (iv) fecha, hora y vía utilizada de la transmisión. También deberá registrarse en el Sistema Persona, de conformidad con lo que establece el Cuadragésimo de los Lineamientos de Protección de Datos Personales que dice: Los responsables deberán informar al Instituto dentro de los 10 días hábiles de marzo y de septiembre de cada año cualquier transmisión de sistemas de datos personales. 21. En caso de presentarse un incidente, se sigue el siguiente procedimiento: El Responsable de los Sistemas de Datos Personales emite un informe de los hechos al Titular del Área Administrativa, con copia al titular del INCA Rural y al titular del Órgano Interno de Control. En caso de comprobarse el robo de datos personales, el extravío de datos personales o una incursión al Sistema de Datos Personales, el INCA Rural, a no más de 5 días naturales de haber ocurrido el incidente, realiza la denuncia penal y/o administrativa que corresponda. En caso de haberse detectado el robo o el extravío de datos personales, el Responsable de los Sistemas de Datos Personales da aviso por escrito a los ciudadanos afectados a no más de 30 días de haber ocurrido el incidente con el propósito de solicitar a los ciudadanos afectados tomar precauciones para enfrentar el uso ilegal de su identidad y, si ello llegara a ocurrir, para que lo denuncien. Capitulo VI Resguardo de datos personales en medios automatizados 22. Las unidades administrativas que cuenten con sistemas de datos personales automatizados asignarán un espacio en su equipo de cómputo exclusivo para su resguardo. 23. El Responsable y/o el Encargado de cada unidad administrativa será el responsable de dicho equipo de cómputo y contará con una clave de acceso y contraseña. El Encargado será el responsable del buen uso que se le de a la contraseña. 24. El equipo de cómputo tendrá acceso restringido. Para acceder al equipo de cómputo se deberá tener autorización expresa la cual será emitida, a través de una clave de acceso y contraseña, por el Encargado de cada unidad administrativa. 25. En caso de presentarse un incidente, el Encargado de los sistemas de datos personales automatizados de la unidad administrativa correspondiente emitirá un informe de los hechos al Responsable de dicha área con copia al titular del INCA y al Órgano Interno de Control en la Coordinación General. En caso de comprobarse el robo, extravío o una incursión no autorizada a los datos personales automatizados, el INCA Rural deberá realizar la denuncia penal y/o Página 5 de 7
administrativa que corresponda. En este caso, el Responsable de los sistemas de datos personales automatizados dará aviso por escrito a los ciudadanos afectados a no más de 30 días naturales de haber ocurrido el incidente, con el propósito de que los ciudadanos afectados tomen precauciones para enfrentar el uso ilegal de su identidad y, en su caso, que lo denuncien. 26. Cuando el periodo de conservación de los sistemas de datos personales automatizados haya concluido, la Coordinación de Archivos del INCA Rural, observará lo establecido en los Lineamientos generales para la organización y conservación de los archivos de las dependencias y entidades de la Administración Pública Federal. Capitulo VII Transmisión de datos personales en medios automatizados. Preparación previa a la transmisión de datos personales: 27. Toda transmisión será respaldada por un escrito que emita el Destinatario al Responsable de los sistemas de datos personales automatizados objeto de la transmisión. Dicho escrito motivará y fundamentará el acceso a los datos personales en el ejercicio de sus funciones y se remitirá copia al superior jerárquico del Destinatario. 28. Los archivos electrónicos resultantes de la preparación previa a la transmisión de datos personales deberán estar en formato de imagen o PDF y encriptados en un nivel no menor a 128 bits. Transmisión de datos personales mediante redes de comunicación electrónica: 29. Los Encargados de los sistemas de datos personales podrán transmitir datos personales en los siguientes medios automatizados: 1) Correo electrónico. Asegurándose de que los archivos electrónicos cumplan con las medidas de seguridad señaladas en el numeral anterior y, 2) Sistema de Solicitudes de Información (SISI). La transmisión de datos personales a través del SISI se realizará únicamente si el solicitante, Titular de los datos, cuenta con la certificación del medio de identificación electrónica. Página 6 de 7