LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES (LFPDPPP) SU APLICACIÓN EN LAS PYMES Consilio In Notitia
QUÉ SON LOS DATOS PERSONALES? Toda información concerniente o relativa a una persona física identificada o identificable: o Identificación: Nombre, edad, domicilio, sexo, RFC, CURP... o Patrimoniales: Cuentas bancarias, saldos, propiedades o Salud: Estados de salud físicos y mentales... o Biométricos: Huellas dactilares, iris, voz, ADN... o Otros: Ideología, afiliación política, religión, origen étnico,
QUÉ SON LOS DATOS PERSONALES SENSIBLES? Son aquellos datos que afectan a la esfera más íntima del Titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, aquellos que pueden revelar: Origen racial o étnico, Estado de salud, presente y futuro, Información genética, Creencias religiosas, filosóficas y morales, Afiliación sindical, Opiniones políticas, y Preferencia sexual.
CÓMO RECABO EL CONSENTIMIENTO? Datos financieros o patrimoniales CONSENTIMIENTO EXPRESO Datos personales CONSENTIMIENTO TÁCITO Datos Sensibles EXPRESO Y POR ESCRITO
EXCEPCIONES PARA OBTENER EL CONSENTIMIENTO DEL TITULAR -En Ley; -Figuren en fuentes de acceso público; -Se encuentren disociados; -Sea para cumplir obligaciones derivadas de una relación jurídica. -Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes; -Se dicte resolución de autoridad competente. -Sean indispensables para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento, y que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente.
TRATAMIENTO EN ÁREAS ESPECÍFICAS Finanzas y Administración: Tratamiento de datos de clientes, proveedores y personal (transacciones electrónicas, facturación cobranza.) Establecimiento de medidas de seguridad. Recursos Humanos: Contenido y manejo de expedientes de personal, reglas específicas (reclutamiento, selección y contratación de personal), elaboración de nómina. TI: Administración y custodia de bases electrónicas de datos personales (Retención de datos personales, registro de datos y localización). Marketing y publicidad: Tratamiento de datos personales para campañas publicitarias o envío de publicidad.
PERSONAS QUE INTERVIENES EN EL TRATAMIENTO DE DATOS PERSONALES El titular de los datos El responsable del tratamiento. PyME El encargado del tratamiento
OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES El responsable empresa PYME, que maneja, usa, recaba o transfiere datos personales en cualquier fase del tratamiento debe garantizar: Los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, previstos en la Ley. La emisión de los avisos de privacidad. La designación una persona o departamento de datos personales, que dará trámite a las solicitudes de los titulares, a fin de cumplir con los derechos ARCO.
OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES La integridad, confidencialidad, disponibilidad, secreto, custodia de los datos. El mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales.
OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES La elaboración de políticas y programas de privacidad obligatorios y exigibles al interior; La realización de un programa de capacitación, actualización y concientización del personal sobre las obligaciones en materia de protección de datos personales;
OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES Un sistema de supervisión y vigilancia interna, verificaciones o auditorías externas para comprobar el cumplimiento de las políticas de privacidad;
OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES Un procedimiento para que se atienda el riesgo para la protección de datos personales por la implementación de nuevos productos, servicios, tecnologías y modelos de negocios, así como para mitigarlos;
OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES La revisión periódica de las políticas y programas de seguridad para determinar las modificaciones que se requieran; Medidas para la trazabilidad de los datos personales, es decir, acciones, medidas y procedimientos técnicos que permiten rastrear a los datos personales durante su tratamiento.
OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES Procedimientos para recibir y responder dudas y quejas de los titulares de los datos personales;
EN QUÉ CONSISTEN LOS PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES? Calidad Proporcionalidad Información Finalidad Consentimiento Licitud y Lealtad Tratamiento Responsabilidad
AVISO DE PRIVACIDAD Finalidades del tratamiento de datos En el caso de datos personales sensibles, se deberá señalar expresamente que se trata de este tipo de datos Procedimiento y medio por el cual se comunicará a los titulares cambios al aviso de privacidad La identidad y domicilio del responsable que los recaba Opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos Medios para ejercer los derechos de acceso, rectificación, cancelación u oposición (ARCO) En su caso, las transferencias de datos que se efectúen
DERECHOS DEL TITULAR DE LOS DATOS PERSONALES Decidir a quién proporciona su información y saber para qué la va a utilizar (autodeterminación). Ejercicio de los derechos ARCO (acceder, rectificar, cancelar y oponerse) frente al tratamiento de su información personal, oponibles frente al responsable.
DERECHO DE ACCESO Poner a disposición del titular o su representante, la información relativa a las condiciones y generalidades del tratamiento de los datos personales, que posea, mediante la expedición de copias simples, documentos electrónicos o cualquier otro medio que determine, el aviso de privacidad
DERECHO DE RECTIFICACIÓN El titular o su representante, podrán solicitar en todo momento al responsable que rectifique sus datos personales que resulten ser inexactos o incompletos.
DERECHO DE CANCELACIÓN Implica el cese en el tratamiento de datos personales por parte del responsable a partir de un bloqueo de los mismos y su posterior supresión.
DERECHO DE OPOSICIÓN El titular podrá oponerse al tratamiento de sus datos personales o a exigir su cese.
TRANSFERENCIA Transferencia: Toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento. El aviso de privacidad, contendrá una cláusula en la que se indique si el titular acepta o no la transferencia de sus datos. El tercero receptor, asumirá las mismas obligaciones que correspondan al responsable que transfirió los datos. El responsable al transferir los datos personales a terceros nacionales o extranjeros, distintos del encargado, deberá comunicar a éstos el aviso de privacidad y las finalidades a las que el titular sujetó su tratamiento.
MEDIDAS DE SEGURIDAD PARA LA PROTECCIÓN DE DATOS PERSONALES. Que permitan proteger los datos contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado No menores a aquellas que mantengan para el manejo de su información Confidencialidad durante y después Administrativas Técnicas y Físicas Tomando en cuenta el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico Las vulneraciones de seguridad, que afecten los derechos de los titulares, serán informadas inmediatamente al titular, a fin de que éste pueda tomar las medidas conducentes a la defensa de sus derechos.
AUTORIDADES EN MATERIA DE REGULACIÓN DE PROTECCIÓN DE DATOS PERSONALES. El Instituto Federal de Acceso a la Información y Protección de Datos (IFAI), es la autoridad garante. Entre sus facultades se encuentran: Promover el ejercicio del derecho de protección de datos, y vigilar su debida observancia. Llevar a cabo inspecciones a los sistemas de bases de datos de las empresas, a fin de corroborar el cumplimiento de la Ley. Conocer de las solicitudes de protección de datos personales presentadas por los particulares, por la respuesta o a falta de ésta, de las empresas en el ejercicio de sus derechos ARCO. Podrá buscar una conciliación entre el titular de los datos y el responsable. Imponer sanciones a aquellas empresas que incumplan alguna disposición de la Ley.
o La Secretaría de Economía: Difundir el conocimiento de las obligaciones en torno a la protección de datos personales entre la IP nacional e internacional con actividad comercial en territorio mexicano; Promover mejores prácticas comerciales en torno a la protección de los datos personales como insumo de la economía digital, y el desarrollo económico nacional en su conjunto. Las dependencias de la Administración Pública Federal emitirán la regulación que corresponda en el ámbito de sus atribuciones, para la protección de los datos personales.
SANCIONES Apercibimiento para el responsable; Multas desde 100 hasta 320,000, días de salario mínimo vigente en el Distrito Federal; En caso de que persistan las conductas infractoras, además de las infracciones señaladas, se impondrá una multa adicional que irá de 100 a 320,000 días de salario mínimo vigente en el D.F. Tratándose de datos personales sensibles, el monto de las multas se duplica. Las sanciones que determine el IFAI se impondrán sin perjuicio de la responsabilidad civil o penal que resulte.
INFRACCIONES Y SANCIONES Infracción No cumplir con la solicitud del titular para ejercer sus derechos ARCO, sin fundamento. Sanción Apercibimiento Actuar con negligencia o dolo en la tramitación y respuesta de solicitudes ARCO Declarar dolosamente la inexistencia de datos personales, cuando existan total o parcialmente Dar tratamiento a los DP en contravención a los principios establecidos en la Ley Multa de $6,233.00 hasta $9 972,800.00 Multa de $6,233.00 hasta $9 972,800.00 Multa de $6,233.00 hasta $9 972,800.00
Infracción Omitir en el aviso de privacidad, alguno o todos de los elementos. Mantener DP inexactos cuando resulte imputable al responsable, o no efectuar las rectificaciones o cancelaciones procedentes de los mismos, cuando resulten afectados los derechos de los titulares Sanción Multa de $6,233.00 hasta $9 972,800.00 Multa de $6,233.00 hasta $9 972,800.00 No cumplir con el apercibimiento impuesto Incumplir el deber de confidencialidad Multa de $6,233.00 hasta $9 972,800.00 Multa de $12,466.00 hasta $19 945,600.00
Infracción Cambiar sustancialmente la finalidad originaria, sin dar aviso del cambio. Transferir datos a terceros sin comunicarles el aviso de privacidad con las limitaciones a las que el titular sujeto la divulgación de los mismos. Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable. Llevar a cabo la transferencia o cesión de los DP, fuera de los casos permitidos por la Ley. Sanción Multa de $12,466.00 hasta $19 945,600.00 Multa de $12,466.00 hasta $19 945,600.00 Multa de $12,466.00 hasta $19 945,600.00 Multa de $12,466.00 hasta $19 945,600.00
Infracción Recabar o transferir DP sin el consentimiento expreso del titular, en los casos en que éste sea exigible. Obstruir los actos de verificación de la autoridad. Sanción Multa de $12,466.00 hasta $19 945,600.00 Multa de $12,466.00 hasta $19 945,600.00 Recabar datos en forma engañosa o fraudulenta. Multa de $12,466.00 hasta $19 945,600.00 Continuar con el uso ilegítimo de los DP cuando se ha solicitado el cese del mismo por el IFAI o los titulares. Multa de $12,466.00 hasta $19 945,600.00
Infracción Tratar los DP de manera que se afecte o impida el ejercicio de los derechos ARCO. Crear bases de datos sensibles, sin el consentimiento expreso y por escrito, y sin que se justifique la creación de las mismas. Sanción Multa de $12,466.00 hasta $19 945,600.00 Multa de $12,466.00 hasta $19 945,600.00
CONDUCTAS QUE SE TIPIFICAN COMO DELITOS ESPECIALES EN MATERIA DE TRATAMIENTO DE DATOS PERSONALES Al que estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia, se le impondrá de 3 meses a 3 años de prisión. Al que con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos, se le sancionará con prisión de 6 meses a 5 años. Tratándose de datos personales sensibles, las penas se duplicarán.
FECHAS RELEVANTES EN LA APLICACIÓN DE LA LFPDPPP Reglamento de la Ley, 21de diciembre de 2011. 2010 2011 2012 2013 Junio de 2013, límite para establecer y mantener medidas de seguridad administrativas, físicas y en su caso técnicas para la protección de los datos personales. Inicia el ejercicio de los Derechos ARCO, fecha de entrada el 6 de enero de 2012.
CONSILIO IN NOTITIA Lic. Celina López González Correo electrónico: licasaje09@gmail.com celina.lopez.gonzalez@gmail.com Domicilio: Despacho 502, calle Carolina número 100, Col. Ciudad de los Deportes, Delegación Benito Juárez, México, D.F. Teléfono (55) 55635812