La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Ley Federal de Protección de Datos Personales y Derecho de Acceso a la Información. Dr. Alfonso Páez Álvarez Culiacán, Sinaloa, 2012.

Presentaciones similares


Presentación del tema: "Ley Federal de Protección de Datos Personales y Derecho de Acceso a la Información. Dr. Alfonso Páez Álvarez Culiacán, Sinaloa, 2012."— Transcripción de la presentación:

1 Ley Federal de Protección de Datos Personales y Derecho de Acceso a la Información. Dr. Alfonso Páez Álvarez Culiacán, Sinaloa, 2012

2 Plan de exposición I. ¿Cómo surge el derecho? II. ¿En qué consiste el derecho? III. Protección de datos personales en México

3 I. ¿Cómo surge el derecho?

4 Informática versus protección datos personales O Primera aproximación: reconocimiento del derecho a la vida privada y familiar (no injerencia). O Derecho a la autodeterminación. O Tensión entre el uso cada vez más generalizado de la informática y el riesgo que implica para la vida privada. O Incorpora a los principios esenciales del derecho a la privacidad el del consentimiento.

5 II. ¿En qué consiste el derecho?

6 Protección de datos personales privacidad e intimidad O Derecho a la privacidad e intimidad: protege a la esfera privada e íntima de cualquier injerencia (derecho a estar solo). derecho a la autodeterminación informativa O Derecho a la protección de datos personales: poder de disposición y control de la información personal, faculta a la persona para decidir cuáles datos proporcionar a un tercero; saber quién y para qué posee esos datos, y oponerse a esa posesión o uso (derecho a la autodeterminación informativa).

7 Entonces, la protección de datos personales… quién, cómo y de qué manera recaba, utiliza y comparte Es el derecho que tiene toda persona a conocer y decidir quién, cómo y de qué manera recaba, utiliza y comparte sus datos personales.

8 Conceptos básicos

9 ¿Qué son los datos personales? Toda información concerniente o relativa a una persona física identificada o identificable.

10 Ejemplos O Identificación O Nombre, edad, domicilio, sexo, RFC, CURP... O Patrimoniales O Cuentas bancarias, saldos, propiedades... O Salud O Estados de salud físicos y mentales... O Biométricos O Huellas dactilares, iris, voz, firma autógrafa... O Íntimos O Ideología, afiliación política, religión, preferencia sexual...

11 Datos personales sensibles íntimos o particulares O Revelan aspectos íntimos o particulares de las personas: El origen racial o étnico. El estado de salud presente y futuro. La información genética. Las creencias religiosas, filosóficas y morales. La afiliación sindical. Las opiniones políticas. La preferencia sexual. O Los datos personales sensibles o especialmente protegidos al revelar aspectos muy íntimos y particulares de la vida privada de las personas, merecen de medidas de protección más exigentes y robustas.

12 Otros conceptos importantes… O Titular: O Titular: persona física a quien corresponden los datos personales. O Bases de datos: O Bases de datos: conjunto ordenado de datos personales referentes a una persona identificada o identificable. O Tratamiento: O Tratamiento: obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales. O Responsable: O Responsable: persona física o moral de carácter privado que decide sobre el tratamiento de datos personales. O Encargado: O Encargado: persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable. O Transferencia: O Transferencia: toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento.

13 Principios

14 Licitud y Lealtad El tratamiento de los datos personales deberá llevarse con pleno cumplimiento de: O Legalidad; O Respeto a la buena fe y O Los derechos del individuo cuya información es sometida a tratamiento.

15 Finalidad O Tratamiento en el ámbito de finalidades determinadas, explícitas y legítimas. O El tratamiento para fines distintos a los establecidos en el aviso de privacidad requiere consentimiento.

16 Proporcionalidad O Sólo se deberán recabar los datos adecuados o necesarios para la finalidad que justifica el tratamiento.. O El tratamiento obedecerá a tratar la mínima cantidad de información necesaria para conseguir la finalidad perseguida.

17 Calidad O Datos pertinentes, correctos y actualizados. O Datos que reflejen la realidad.

18 Información O Dar a conocer a los titulares la existencia del tratamiento y sus características. O En términos fácilmente comprensibles y previo a la recolecta de los datos. O A través del aviso de privacidad por diversos medios.

19 Información… El principio de información se materializa en el aviso de privacidad, que informa al titular sobre: O Identidad y domicilio del responsable que recaba sus datos; O Finalidades del tratamiento de datos; O Medios para ejercer los derechos de acceso, rectificación, cancelación u oposición; O Transferencias de datos, y O Cambios al aviso.

20 Consentimiento O La voluntad del titular es la causa principal legitimadora del tratamiento de los datos personales. O Excepciones: la ley, celebración de un contrato… O Aunque en la mayoría de los casos el consentimiento es tácito, la manifestación deberá ser libre, específica, inequívoca e informada.

21 Responsabilidad O Deber de la persona responsable del tratamiento de los datos de velar por el cumplimiento de los principios y rendir cuentas al titular en caso de incumplimiento.

22 Deberes

23 Deber de seguridad integridad, confidencialidad y disponibilidad alteración, pérdida, transmisión y acceso no autorizado. O Obligación de adoptar las medidas necesarias para garantizar la integridad, confidencialidad y disponibilidad de los datos personales mediante acciones que eviten su alteración, pérdida, transmisión y acceso no autorizado.

24 Obligaciones en materia de seguridad de las bases de datos… establecer y mantener medidas de seguridad de carácter administrativo, técnico y físico O Todo responsable deberá establecer y mantener medidas de seguridad de carácter administrativo, técnico y físico que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso, o tratamiento no autorizado. no O Los responsables no deberán adoptar medidas de seguridad menores a aquellas que mantengan para el manejo de su información. riesgo existente y posibles consecuencias para los titulares, la sensibilidad de los datos personales y el desarrollo tecnológico. O Para la implementación de dichas medidas éstos deberán tomar en cuenta factores como riesgo existente y posibles consecuencias para los titulares, la sensibilidad de los datos personales y el desarrollo tecnológico.

25 Las medidas de seguridad deberán atender… O La sensibilidad de la información personal (nivel básico, medio y alto). O El tipo de soporte de las bases de datos (físico, automatizado o mixto).

26 Vulneraciones de seguridad de las bases de datos… O Las vulneraciones de seguridad deberán ser informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos.

27 Deber de confidencialidad O Secreto, discreción, confidencialidad y custodia O Secreto, discreción, confidencialidad y custodia al que está obligada toda persona que maneja, usa, recaba o transfiere datos personales en cualquier fase del tratamiento.

28 Derechos

29 Derechos (ARCO) O Acceso O Rectificación O Cancelación O Oposición

30 Acceso Derecho del titular a obtener información sobre sí, así como si la misma está siendo objeto de tratamiento y el alcance del mismo.

31 Rectificación Derecho del titular a que se modifiquen los datos que resulten ser inexactos o incompletos.

32 Cancelación Derecho del titular que da lugar a que se supriman los datos que resulten ser inadecuados o excesivos.

33 Bloqueo O Identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades por su tratamiento, hasta el plazo de prescripción legal o contractual. O Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a su cancelación.

34 Oposición Prerrogativa que consiste en oponerse al uso de datos personales para una determinada finalidad.

35 III. Protección de datos personales en México

36 Garantía fundamental

37 Constitución Política de los Estados Unidos Mexicanos artículo 6 constitucional El artículo 6 constitucional reconoce el derecho de acceso a la información como una garantía fundamental y se constituye como limitante al ejercicio del derecho de acceso a la información, señala que: La información a que se refiere la vida privada será protegida en términos de ley respectiva, y Toda persona tiene derecho a acceder y rectificar sus datos personales.

38 Constitución Política de los Estados Unidos Mexicanos artículo 16 constitucional Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición… El artículo 16 constitucional incorpora a la lista de garantías fundamentales consagradas en nuestra Carta Magna, el derecho a la protección de datos personales: Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición… artículo 73 constitucional El artículo 73 constitucional dota de facultades al Congreso de la Unión para legislar en materia de protección de datos personales en posesión de particulares.

39 En el sector público federal y estatal…

40 LFTAIPG O Reconoce por primera vez en México la protección de los datos personales. O Se limita a las bases de datos del sector público a nivel federal. O Es a la vez, una ley de acceso a la información y una ley de protección de datos personales (limitada en su ámbito de aplicación). O Su capítulo IV establece un marco muy general que regula la obtención, almacenamiento, transmisión, uso y manejo de los datos personales en posesión de dependencias y entidades federales.

41 A nivel estatal O Los estados de Colima, Jalisco y Tlaxcala cuentan con leyes de protección de datos para el sector público y privado. O Los estados de Guanajuato, Coahuila, Oaxaca, Distrito Federal y Morelos sólo regulan la protección de datos personales en posesión del sector público. O La mayoría de las legislaciones estatales contienen un capítulo de protección de datos personales en sus leyes de transparencia.

42 En el sector privado LFPDPPP

43 2010, un año clave… O El 13 de abril de 2010 la Cámara de Diputados aprobó el proyecto de decreto por el que se expide la Ley Federal de Protección de Datos Personales en posesión de los particulares. O Por su parte, la Cámara de Senadores aprobó por unanimidad dicho dictamen, el 27 de abril de O Finalmente, el 5 de julio de 2010 el Poder Ejecutivo Federal publicó en el Diario Oficial de la Federación la Ley.

44 Ejes rectores de la ley 1.Ámbito de aplicación 2.Principios y derechos 3.Ejercicio de los derechos ARCO 4.Transferencias de datos 5.Autoridades: Garante y Reguladoras 6.Procedimientos: Protección de datos Verificación imposición de sanciones 7.Infracciones y sanciones.. 8.Delitos en materia de tratamiento indebido.

45 Objeto y ámbito de aplicación La ley es de observancia obligatoria en todo el territorio nacional y tiene por objeto regular el tratamiento legítimo, controlado e informado de los datos personales en posesión de los particulares.

46 Sujetos regulados Personas físicas o morales que para sus actividades cotidianas recaben, manejen y utilicen información personal, con excepción de: Las Sociedades de Información Crediticia. Las personas que recolectan y almacenan datos personales para uso exclusivamente personal o doméstico.

47 Principios y derechos O Principios: Licitud, consentimiento, información, calidad; finalidad, lealtad, proporcionalidad y responsabilidad O Derechos ARCO O Deber de seguridad O Deber de confidencialidad

48 IFAI como autoridad garante

49 Facultades del IFAI como autoridad garante O Informativas O Normativas O De verificación O Preventivas O Resolutorias O De cooperación nacional e internacional O Sancionadoras

50 IFAI como autoridad garante Sus facultades informativas: O Proporcionar apoyo técnico a los responsables que los soliciten para el cumplimiento de las obligaciones establecidas en la Ley. O Rendir al Congreso de la Unión un informe anual de sus actividades. O Desarrollar, fomentar y difundir análisis, estudios e investigaciones en materia de protección de datos personales en posesión de los particulares.

51 IFAI como autoridad garante Sus facultades normativas: O Interpretar en el ámbito administrativo la ley. O Emitir criterios y recomendaciones para garantizar el pleno derecho a la protección de datos personales. O Divulgar estándares y mejores prácticas internacionales en materia de seguridad de la información.

52 IFAI como autoridad garante Sus facultades en materia de verificación: O Vigilar y verificar el cumplimiento de la ley. Sus facultades resolutorias: O Conocer y resolver los procedimientos de protección de derechos, verificación e imposición de sanciones. Sus facultades preventivas: O Elaborar estudios de impacto sobre la privacidad previos a la puesta en práctica de una nueva modalidad de tratamiento de datos personales o a la realización de modificaciones sustanciales en tratamientos ya existentes.

53 IFAI como autoridad garante Sus facultades en materia de cooperación nacional e internacional: O Acudir a foros internacionales en la materia. O Cooperar con otras autoridades de supervisión y organismos nacionales e internacionales, a efecto de coadyuvar en materia de protección de datos personales. Sus facultades sancionadoras: O Llevar a cabo el procedimiento de imposición de sanciones

54 Procedimientos

55 Ejercicio de los derechos ARCO

56 Procedimiento Titular o Representante Solicitud Responsable

57 Requisitos de la solicitud o Nombre del titular y domicilio u otro medio para recibir comunicaciones; o Copia de su identificación o documento que acrediten la personalidad del representante; o La descripción clara y precisa de los datos personales; o En el caso de solicitudes de rectificación se deberá señalar las modificaciones a realizar y aportar la documentación que sustente la petición; o En el caso de solicitudes de cancelación y oposición, especificar las razones por las que quiere que cancelen o se opone al tratamiento de sus datos, y o Cualquier otro elemento o documento que facilite su localización.

58 Plazos Solicitud de Derechos ARCO Ante el Responsable 15 días hábiles efectivo el derecho 20 días hábiles determinación adoptada Comunicación al Titular Prorrogables x un plazo igual

59 Costos o El ejercicio de los derechos ARCO es gratuito. o Únicamente se debe cubrir el costo por reproducción y envío. o Excepciones al principio de gratuidad: en caso de que el derecho se ejerciera sobre un mismo dato en un plazo menor a 12 meses, el costo no excederá del equivalente a 3 SMVDF.

60 Cuándo se puede negar el ejercicio de derechos… o El solicitante no sea el Titular o representante legal; o No se encuentren los datos en el sistema o sistemas del responsable; o Se lesionen datos personales de un tercero; o Por impedimento legal o resolución de autoridad competente que restringa el ejercicios de los derechos ARCO, y o Se haya solicitado con anterioridad la rectificación, cancelación u oposición.

61 Procedimientos ante el IFAI

62 Procedimiento de Protección de Derechos Titular Instituto Federal de Acceso a la información y Protección de Datos Solicitud de Protección de Datos

63 Procedimiento de protección de derechos sus pretensiones no fueron satisfechas O En caso de que el titular considere que en el ejercicio de sus derechos ARCO sus pretensiones no fueron satisfechas O Este procedimiento tiene por objeto: O Sobreseer o confirmar la solicitud de protección de datos por improcedente, o O Confirmar, revocar o modificar la respuesta del responsable. 50 días hábiles. O El plazo máximo para dictar la resolución es de 50 días hábiles.

64 Requisitos de la Solicitud de Protección o Nombre o Nombre del titular o representante legal y domicilio para oír y recibir notificaciones; o Nombre del responsable; o Fecha fecha en la que se presentó la solicitud o Fecha de la respuesta o bien la fecha en la que se presentó la solicitud en caso de no tener respuesta; solicitud respuesta o La solicitud y de ser el caso, la respuesta que se recurre, y contenido de su reclamación preceptos o Se deberá expresar con claridad el contenido de su reclamación y los preceptos de la Ley que se consideren violados.

65 Plazos Inconformidad Ante el IFAI * Resolución 50 días hábiles 15 días hábiles Prorrogables x 50 días hábiles Inconformidad Ante el IFAI * Resolución 50 días hábiles 15 días hábiles Prorrogables x 50 días hábiles

66 Procedimiento conciliador o Un elemento innovador de esta Ley es el procedimiento conciliatorio que las partes - responsable y titular- podrán llevar a cabo para solucionar el conflicto, en cualquier etapa del procedimiento de protección de derechos. o De existir un acuerdo de conciliación entre las partes, éste se hará constar por escrito y tendrá efectos vinculantes. En este caso la solicitud de protección de datos quedará sin materia y el IFAI verificará el cumplimiento del acuerdo respectivo.

67 Procedimiento de verificación O Las actuaciones de verificación del IFAI iniciarán: De oficio: Derivada del incumplimiento a resoluciones dictadas con motivo de procedimiento de protección de derechos A petición de parte: Cuando se presuma fundada y motivadamente, la existencia de violaciones a la ley. O El IFAI tendrá acceso a la información y documentación que considere necesaria y los servidores públicos estarán obligados a guardar la confidencialidad sobre la información que conozcan.

68 Procedimiento de sanción O Este procedimiento se detona cuando el IFAI tenga conocimiento de un presunto incumplimiento de alguno de los principios o disposiciones de la ley como consecuencia del desahogo del procedimiento de protección de derechos o del procedimiento de verificación. O Se prevé un periodo para la presentación y desahogo de pruebas, al término del cual el Instituto deberá resolver en definitiva.

69 Medio de impugnación de las resoluciones del IFAI Los particulares podrán impugnar las resoluciones del IFAI, promoviendo el juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa.

70 Infracciones y Sanciones

71 Infracciones y sanciones La ley prevé una serie de conductas consideradas como infracciones, las cuales serán castigadas con las siguientes sanciones: O No atender la solicitud del titular apercibimiento O Tratar datos en contra de los principios; omitir el aviso de privacidad, mantener datos personales inexactos, declarar dolosamente la inexistencia de datos, etc. Multa de $5,746 a $9,193,600 O Incumplir deber de confidencialidad, cambiar sustancialmente de finalidad sin avisar al titular, vulnerar la seguridad de las bases; transferir datos sin consentimiento del titular, etc. Multa de $11,492 a $18,387,200 O Los montos pueden duplicarse por: O Reincidencia, o O Por tratarse de datos sensibles

72 Infracciones y sanciones O El Instituto para imponer las sanciones correspondientes deberá tomar en cuenta: O La naturaleza del dato. O La notoria improcedencia de la negativa del responsable para realizar los actos solicitados por el titular. O El carácter intencional de la acción u omisión. O La capacidad económica del responsable. O La reincidencia.

73 Delitos en materia de tratamiento de datos personales Fue voluntad del legislador establecer tipos penales para sancionar a los responsables, que bajo ciertas circunstancias hagan uso ilícito de datos personales, con prisión de: - 3 meses a 3 años (al que provoque, con ánimo de lucro, una vulneración de seguridad a las bases de datos) - 6 meses a 5 años (al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño)

74 Autoridades reguladoras

75 con la coadyuvancia del IFAI. La ley constituye el marco normativo para que las dependencias emitan regulación especializada que involucre el tratamiento de datos personales, con la coadyuvancia del IFAI.

76 Tratamiento en sectores específicos

77 Sectores específicos o Marketing y publicidad: tratamiento para campañas publicitarias o envío de publicidad. o Telecomunicaciones: retención de datos personales o registro de datos de identificación y localización. o Financiero: establecimiento de medidas de seguridad en transacciones electrónicas. o Salud: reglas específicas para la realización de ensayos clínicos o tratamiento del expediente clínico. o Sector educativo: bases de datos de alumnos. o Laboral: contenido y manejo del expediente de personal.

78 Además, la Ley prevé…

79 Transferencias de datos O La ley facilita las transferencias de datos personales dentro y fuera del país, siempre y cuando el responsable informe en el aviso de privacidad la realización, la finalidad de las transferencias y el titular acepte o consienta éstas. O La Ley señala excepciones para solicitar el consentimiento del titular, a fin de llevar a cabo transferencias nacionales o internacionales.

80 Mecanismos de autorregulación o La Ley faculta a los particulares a convenir entre ellos o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulación vinculante en la materia, que tengan por objeto: Complementar y adaptar a tratamiento específicos o concretos las disposiciones de la Ley. Desarrollar reglas o estándares específicos que permitan armonizar los tratamientos de datos efectuados por los adheridos y facilitar el ejercicio de los derechos ARCO. Incluir mecanismos para medir su eficacia en la protección de los datos, consecuencias y medidas correctivas eficaces en caso de incumplimiento. o Dichos esquemas serán notificados de manera simultánea a las autoridades sectoriales correspondientes y al IFAI.

81 Plazos de implementación de la Ley

82 Plazos… 6 de julio de 2010 O La Ley entra en vigor. Julio de 2011 O El Ejecutivo Federal deberá expedir su Reglamento. O Las empresas designarán a una persona o departamento de datos personales para atender las solicitudes de derechos ARCO. O Las empresas deberán expedir los avisos de privacidad.

83 Plazos… Enero de 2012 O Toda persona podrá ejerce sus derechos ARCO ante los responsables designados por las empresas. Febrero de 2012 O Toda persona podrá interponer su queja ante el IFAI, en caso de que considere que cualquiera de sus derechos ARCO ejercido ha sido vulnerado por el responsable de que se trate.

84 Retos

85 O Emitir el reglamento dentro del año siguiente a la entrada en vigor de la ley. O Emitir criterios que coadyuven a un mejor cumplimiento de la ley. O Diseñar mecanismos eficaces para la recepción y atención de solicitudes de protección de datos. O Difusión y capacitación al interior y exterior. O Solicitar a la Unión Europea el nivel de adecuación como un país seguro en materia de protección de datos personales. O Diseñar la estructura organizacional más adecuada para asumir y ejecutar con eficiencia las nuevas tareas y responsabilidades del IFAI.


Descargar ppt "Ley Federal de Protección de Datos Personales y Derecho de Acceso a la Información. Dr. Alfonso Páez Álvarez Culiacán, Sinaloa, 2012."

Presentaciones similares


Anuncios Google