Creación de Sistemas de Datos Personales Coordinación Universitaria de Transparencia, Acceso a la Información y Protección de Datos Personales
Protección de Datos Personales
Fundamento Legal Ley 581 para la Tutela de los Datos Personales para el Estado de Veracruz de Ignacio de la Llave. Los Lineamientos para la Tutela de los Datos Personales en el Estado de Veracruz emitidos por el Instituto Veracruzano de Acceso a la Información (IVAI) Reglamento de Transparencia y Acceso a la Información de la Universidad Veracruzana.
Primeras acciones para el cumplimiento de la Ley 581 para la Tutela de los Datos Personales Creación, Constitución Legal o Formalización del Sistema o Sistemas de Datos Personales (Acuerdo del Rector); Registro de los Sistemas de Datos Personales en el Registro Electrónico de Sistemas de Datos Personales-Veracruz
Responsable de los Sistemas de Datos Personales Responsabilidades Titular de la CUTAI (coordinador interno y enlace ante el IVAI) Responsable de los Sistemas de Administración de Seguridad Informática DGTI, responsable de coordinar y controlar las medidas de seguridad aplicables Responsable del Sistema de Datos Personales Titular de la instancia responsable (unidad, área, dirección, departamento o nivel administrativo con capacidad jurídica de decisión) Encargado del tratamiento de los datos personales Persona que realiza el tratamiento cotidiano de los datos personales Responsable de seguridad de cada sistema El responsable de cada sistema de datos personales designará uno o varios responsables de seguridad para coordinar las medidas definidas en el documento de seguridad
Datos Personales conforme a la Ley La información numérica, alfabética, gráfica, acústica o de cualquier otro tipo concerniente a una persona física, identificada o identificable, concerniente a su origen étnico, características físicas, morales o emocionales, vida afectiva y familiar, domicilio y teléfono particulares, correo electrónico no oficial, patrimonio, ideología y opiniones políticas, creencias, convicciones religiosas y filosóficas, estado de salud, preferencia sexual, huella digital, ADN y número de seguridad social, u otros similares.
Sistema de Datos Personales: Sistema de Datos Personales: Todo conjunto organizado de archivos, registros, ficheros, bases o banco de datos personales de los entes públicos, cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización y acceso
Tipos de Sistemas de Datos Personales. Físicos. Automatizados
Categorías de Datos Personales 1 2 3 4 5 6 7 8 9 10 Identificativos Electrónicos Laborales Patrimoniales Sobre procedimientos administrativos y/o jurisdiccionales Académicos De tránsito y movimientos migratorios Salud Biométricos Especialmente protegidos (sensibles)
Categorías de Datos Personales Especialmente protegidos: origen étnico o racial, características morales o emocionales, ideología y opiniones políticas, creencias, convicciones religiosas, filosóficas y preferencia sexual; Nombre, domicilio, teléfono particular, teléfono celular, firma, RFC, CURP, matrícula del Servicio Militar Nacional, No. pasaporte, lugar y fecha de nacimiento, nacionalidad, edad, fotografía y demás análogos Direcciones electrónicas: correo electrónico no oficial, dirección IP, dirección MAC, nombre del usuario, contraseñas, firma electrónica o cualquier otra identificación electrónica Identificativos Huellas dactilares, ADN, geometría de la mano, características de iris, retina y demás análogos Expediente clínico, referencias o descripción de sintomatologías, detección de enfermedades, incapacidades médicas, discapacidades, intervenciones quirúrgicas, vacunas, consumo de estupefacientes, uso de aparatos oftalmológicos, ortopédicos, auditivos, prótesis, estado físico o mental de la persona Información relativa al tránsito de las personas dentro y fuera del país, así como información migratoria Biométricos Salud Sensibles Datos Personales Electrónicos Patrimoniales Doctos. reclutamiento, selección, nombramiento, incidencia, capacitación, actividades extracurriculares, referencias laborales, referencias personales, solicitud de empleo, hoja de servicio y demás análogos Laborales Bienes muebles e inmuebles, información fiscal, historial crediticio, ingresos y egresos, cuentas bancarias, seguros, fianzas, servicios contratados, referencias personales y demás análogos Trayectoria educativa, calificaciones, títulos, cédula profesional, certificados, reconocimientos y demás análogos Tránsito y migración Académicos Procedimientos Administrativos/ jurisdiccionales Persona sujeta a procedimiento administrativo seguido en forma de juicio o jurisdiccional en materia laboral, civil, penal, fiscal, administrativa o de cualquier otra rama del Derecho
ALTO Niveles de Seguridad VIII. Datos sobre la salud: El expediente clínico de cualquier atención médica, referencias o descripción de sintomatologías, detección de enfermedades, incapacidades médicas, discapacidades, intervenciones quirúrgicas, vacunas, consumo de estupefacientes, uso de aparatos oftalmológicos, ortopédicos, auditivos, prótesis, así como el estado físico o mental de la persona IX. Datos biométricos: Huellas dactilares, ADN, geometría de la mano, características de iris y retina y demás análogos X. Datos especialmente protegidos (sensibles): Origen étnico o racial, características morales o emocionales, ideología y opiniones políticas, creencias, convicciones religiosas, filosóficas, la pertenencia a sindicatos, la salud y preferencia sexual III. Datos laborales: Documentos de reclutamiento y selección, nombramiento, incidencia, capacitación, actividades extracurriculares, referencias laborales, referencias personales, solicitud de empleo, hoja de servicio y demás análogos MEDIO IV. Datos patrimoniales: Los correspondientes a bienes muebles e inmuebles, información fiscal, historial crediticio, ingresos y egresos, cuentas bancarias, seguros, fianzas, servicios contratados, referencias personales y demás análogos V. Datos sobre procedimientos administrativos y/o jurisdiccionales: La información relativa a una persona que se encuentre sujeta a un procedimiento administrativo seguido en forma de juicio o jurisdiccional en materia laboral, civil, penal, fiscal, administrativa o de cualquier otra rama del Derecho; I. Datos identificativos: El nombre, domicilio, teléfono particular, teléfono celular, firma, clave del Registro Federal de Contribuyentes (RFC), Clave Única de Registro de Población(CURP), Clave de elector, Matrícula del Servicio Militar Nacional, número de pasaporte, lugar y fecha de nacimiento, nacionalidad, edad, fotografía y demás análogos BÁSICO II. Datos electrónicos: Las direcciones electrónicas, tales como, el correo electrónico no oficial, dirección IP (Protocolo de Internet, dirección MAC o dirección de control de acceso al medio), así como el nombre del usuario, contraseñas, firma electrónica; o cualquier otra información empleada por la persona, para su identificación en Internet, acceso a sistemas de información u otra red de comunicaciones electrónicas VI. Datos académicos: Trayectoria educativa, calificaciones, títulos, cédula profesional, certificados y reconocimientos y demás análogos VII. Datos de tránsito y movimientos migratorios: Información relativa al tránsito de las personas dentro y fuera del país, así como información migratoria
Contenido del Acuerdo del Rector El acuerdo de creación de sistemas de datos personales deberá contener los requisitos a que se refiere el artículo 10 de la Ley, y el punto 7 de los lineamientos y deberá contener lo siguiente: Nombre I. La finalidad y el uso previsto II. El origen de los datos y el grupo de interesados al que va dirigido III. Personas sobre quien se obtiene datos IV El procedimiento de recopilación de los datos personales deberá indicar la forma o mecanismo de obtención de los mismos (formulario, Internet, transmisión electrónica, etcétera); V. La estructura básica del sistema de datos VI. Las cesiones de datos que se tengan previstas VII. La instancia responsable VIII. Unidad de Acceso a la Información Pública ante la cual se presentarán las solicitudes para ejercer los derechos ARCO IX. En el plazo de conservación X. Nivel de seguridad que resulte aplicable
Ejemplo IVAI Nombre SISTEMA DE DATOS PERSONALES DE LOS RECURSOS HUMANOS DEL INSTITUTO VERACRUZANO DE ACCESO A LA INFORMACIÓN I. Finalidad y uso previsto. La finalidad es realizar los trámites de contratación y generación de identificación de personal, así como lo necesario para la administración de nómina, otorgamiento de las prestaciones y movimientos de personal. El uso de los datos personales que se recaban es exclusivamente para cumplimiento de requisitos de contratación, obligaciones patronales y prestaciones laborales. II. Origen de los datos y grupo de interesados al que va dirigido. De los servidores públicos del Instituto Veracruzano de Acceso a la Información.
Ejemplo IVAI III. Personas o grupo de personas de quien se obtienen los datos Del interesado como trabajador del Instituto. Servidores públicos del Instituto Veracruzano de Acceso a la Información. IV. Procedimiento de recopilación de los datos personales Se recopila de forma física y electrónica de conformidad con los formatos de ingreso y contratos de personal, así como entrega de documentos.
Ejemplo IVAI V. Estructura básica de los sistemas de datos personales y descripción de los tipos de datos: Categoría Datos identificativos Datos electrónicos Tipo de datos personales Nombre Domicilio Teléfono particular Teléfono celular Estado civil Firma RFC CURP Nombres de familiares, dependientes y beneficiarios Fecha de nacimiento Lugar de nacimiento Fotografía Correo electrónico El modo de tratamiento es físico y automatizado.
Datos académicos Datos de salud Datos laborales Datos patrimoniales Datos biométricos Datos personales de naturaleza pública Ejemplo IVAI Trayectoria educativa (curriculums) Títulos Cédula profesional Certificados Reconocimientos Constancias Diplomas Incapacidades médicas Padecimientos Enfermedades Solicitud de empleo Nombramientos Contratos Número de seguridad social Número afiliación al IPE Constancia de No inhabilitación Constancia de No antecedentes penales Cuenta bancaria Información fiscal Seguros Descuentos por orden judicial Créditos Huella dactilar Resumen curricular de los servidores públicos del Instituto hasta el nivel de Jefe de Departamento
Ejemplo IVAI VI. Cesión de la que puedan ser objeto Los datos personales se ceden con el objeto de cumplimiento de obligaciones fiscales, laborales, administrativas o de auditoría, a las siguientes dependencias: Servicio de Administración Tributaria de la Secretaría de Hacienda y Crédito Público Instituto Mexicano del Seguro Social Órgano Fiscalización Superior del Estado Instituto de Pensiones del Estado Secretaría de Finanzas y Planeación Grupo Financiero Banorte VII. Instancias Responsables del tratamiento de datos personales Área administrativa: Dirección de Administración y Finanzas Cargo del responsable: Director de Administración y Finanzas
Ejemplo IVAI VIII. Unidad Administrativa ante la cual se puede ejercitar los derechos de acceso, rectificación, cancelación u oposición. Unidad de Acceso a la Información Pública del IVAI Domicilio: Cirilo Celis Pastrana s/n esq. Lázaro Cárdenas, Colonia Rafael Lucio, Xalapa, Ver., C.P. 91110 Correo electrónico: contacto@verivai.org.mx o irodriguez@verivai.org.mx IX. Plazo de Conservación. De acuerdo al valor documental administrativo, legal, contable y fiscal se sujeta al plazo de conservación y vigencia señalado en el Catálogo de Disposición Documental, por lo que se conservará en archivo de trámite durante dos años y ocho en el archivo de concentración. X. Nivel de protección exigible. Alto
Ejemplo CUTAI Nombre SISTEMA DE DATOS PERSONALES DEL SISTEMA DE ACCESO A LA INFORMACIÓN MKATSINÁ DE LA UNIVERSIDAD VERACRUZANA I. Finalidad y uso previsto. La finalidad es para realizar el trámite de acceso a la información del solicitante. El uso de los datos personales es para responder a su solicitud de acceso y para fines estadísticos. II. Origen de los datos y grupo de interesados al que va dirigido. Comunidad universitaria y sociedad en general.
Ejemplo CUTAI III. Personas o grupo de personas de quien se obtienen los datos De los solicitantes de acceso a la información pública de la Universidad Veracruzana IV. Procedimiento de recopilación de los datos personales Se recopila de forma física y electrónica de conformidad con los formatos de solicitud de acceso a la información pública
Ejemplo CUTAI V. Estructura básica de los sistemas de datos personales y descripción de los tipos de datos: CATEGORIA Datos Identificativos Nombre Domicilio Teléfono particular CURP Fecha de Nacimiento Sexo Ocupación DATOS Datos electrónicos Correo electrónico Nombre de usuario El modo de tratamiento es físico y automatizado. Contraseña
Ejemplo CUTAI VI. Cesión de la que puedan ser objeto No se aplica VII. Instancias Responsables del tratamiento de datos personales Coordinación Universitaria de Transparencia, Acceso a la Información y Protección de Datos Personales Cargo del responsable: Titular de la Coordinación Universitaria de Transparencia, Acceso a la Información y Protección de Datos Personales
Ejemplo CUTAI VIII. Unidad Administrativa ante la cual se puede ejercitar los derechos de acceso, rectificación, cancelación u oposición. Coordinación Universitaria de Transparencia, Acceso a la Información y Protección de Datos Personales Domicilio: Calle Veracruz # 46 Dep. 5, Fracc. Pomona, Xalapa, Ver. C.P. 91040. Tel/Fax (228) 841-59-20, 818-78-91. Conmutador 842-17.00 y 842-27-00 ext. 10500 Correo electrónico: transparencia@uv.mx IX. Plazo de Conservación. De acuerdo al valor documental administrativo, legal, contable y fiscal se sujeta al plazo de conservación y vigencia señalado en el Catálogo de Disposición Documental, por lo que se conservará en archivo de trámite durante cinco años y ocho en el archivo de concentración. X. Nivel de protección exigible. Básico
FORMATO Guardar el archivo con las siglas de su dependencia, guion medio y el nombre del sistema ejemplo: CUTAI-MKATSINA, y enviarlo por correo a transparencia@uv.mx
Cronograma de Actividades Reunión 12 de Junio Creación de los Sistemas de Datos Personales 17 de Junio Envío del formato electrónico de anexo del acuerdo Reunión 18 de Junio Registro de los Sistemas de Datos Personales