LINA GABRIELA ORNELAS NÚÑEZ PROFESORA INVESTIGADORA ASOCIADA

Presentación del tema: "LINA GABRIELA ORNELAS NÚÑEZ PROFESORA INVESTIGADORA ASOCIADA"— Transcripción de la presentación:

1 REGULACIÓN EN MATERIA DE PROTECIÓN DE DATOS PERSONALES EN POSESIÓN DE PARTICULARES
LINA GABRIELA ORNELAS NÚÑEZ PROFESORA INVESTIGADORA ASOCIADA CENTRO DE INVESTIGACIÓN Y DOCENCIA ECONÓMICAS (CIDE)

2 ¿QUÉ ES LA PROTECCIÓN DE DATOS?
Derecho fundamental del titular Obligación de quien trata datos personales

3 PLAN DE EXPOSICIÓN Primera parte
Conceptos básicos Titular Datos personales Bases de datos Tratamiento Responsable y encargado del tratamiento La persona o departamento de datos personales Otras definiciones ¿Por qué tengo que seguir las instrucciones internas en el tratamiento de datos personales? El objeto de la normatividad sobre protección de datos Conocer los riesgos que implica el tratamiento de datos personales Necesidad de evitar sanciones Consecuencias en casos de incumplimiento para los empleados Los principios a observar en el tratamiento de datos personales Responsabilidad Licitud Consentimiento Información Calidad Finalidad Lealtad Proporcionalidad

4 ¿QUÉ ES LA PROTECCIÓN DE DATOS?
CONCEPTOS

5 TITULAR Persona física a quien corresponden los datos personales.
Los clientes de la empresa, seguidores en redes sociales, contactos, etc. Tú, tu tus etc.

6 De los datos personales
TITULAR De los datos personales TITULAR De los derechos ARCO

7 DATOS PERSONALES Datos personales
Cualquier información concerniente a una persona física identificada o identificable. Datos personales sensibles Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste.

8 Datos Personales DATOS PERSONALES
Número de teléfono Dirección postal Cualquier información concerniente a una persona física identificada o identificable. Nombre y apellidos

9 Una dirección de e-mail, ¿es un dato personal?
DATOS PERSONALES Una dirección de , ¿es un dato personal?

10 DATOS PERSONALES Los datos personales podrán estar expresados en forma: numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, concerniente a una persona física identificada o persona física identificable.

11 DATOS PERSONALES SENSIBLES
Origen racial o étnico Estado de salud presente y futuro Información genética Opiniones políticas Afiliación sindical Creencias religiosas, filosóficas y morales Preferencia sexual

12 DATOS PERSONALES SENSIBLES
Que me haya lesionado un pie, ¿es un dato sensible?

13 BASES DE DATOS Conjunto ordenado de datos personales referentes a una persona física identificada o identificable. Finalidad del tratamiento. Medidas de seguridad aplicables.

14 BASES DE DATOS Conjunto ordenado Criterio lógico Datos personales
Cualquier información concerniente a una persona física identificada o identificable. Tratamiento Por cualquier medio.

15 BASES DE DATOS Clientes Empleados (RR.HH.) Colaborado-res externos
Proveedores que sean personas físicas Agenda de contactos (Marketing)

16 El uso abarca cualquier acción de:
TRATAMIENTO De datos personales Divulgación Obtención Almacenamiento Uso El uso abarca cualquier acción de: - Aprovechamiento, - Disposición de datos. - Transferencia, - Manejo, - Acceso, Por cualquier medio

17 TRATAMIENTO DE DATOS PERSONALES
Cumplimentar un contrato. Imprimir documentos. Verlos en pantalla. Obtener datos personales mediante un formulario electrónico o en papel. Borrar datos. Rectificar datos incorrectos. Crear una base de datos. Enviar un que contenga un archivo con datos personales. Remitirlos al encargado del tratamiento. Transferir datos a las autoridades competentes.

18 RESPONSIBLE DEL TRATAMIENTO
Persona física o moral. De carácter privado. Que decide. Sobre el tratamiento.

19 RESPONSABLE DEL TRATAMIENTO
Decide sobre el tratamiento de los datos personales. Empleados Clientes Otros

20 RESPONSABLE DEL TRATAMIENTO
Departamento de Recursos Humanos No decide sobre el tratamiento Trata datos para cumplir sus funciones como parte del responsable El responsable es la empresa o asociación Otros Departamentos Misma situación (Marketing, Jurídico, etc.)

21 ENCARGADO DEL TRATAMIENTO
Persona física o jurídica. Que sola o conjuntamente con otras. Trata datos personales. Por cuenta del responsable.

22 RESPONSABLE Y ENCARGADO
Responsable del tratamiento Encargado del tratamiento Decide sobre el tratamiento de datos personales. No decide. Trata datos personales por cuenta del responsable. Da instrucciones al encargado. Tiene que seguir las instrucciones del responsable. Empresa que presta servicios a la asociación, tales como almacenamiento de bases de datos, contador externo, asistencia técnica, etc.

23 PERSONA O DEPARTAMENTO DE DATOS PERSONALES
Específico TI Asuntos Legales RR.HH. Marketing Otros

24 PERSONA O DEPARTAMENTO DE DATOS PERSONALES
Fomentará la protección de datos al interior de la organización Dará trámite a las solicitudes de ejercicio de derechos ARCO

25 PERSONA O DEPARTAMENTO DE DATOS PERSONALES
Procedimiento mediante el cual los datos personales No pueden asociarse al titular Ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo

26 PERSONA O DEPARTAMENTO DE DATOS PERSONALES
Recomendaciones del IFAI para la Designación de la Persona o Departamento de Datos Personales

27 PERSONA O DEPARTAMENTO DE DATOS PERSONALES (IFAI)
Funciones en materia de atención de solicitudes de derechos: 1. Establecer y administrar procedimientos para la recepción, tramitación, seguimiento y atención oportuna de las solicitudes para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, así como para la atención de quejas o solicitudes presentadas por los titulares relacionadas con las políticas y/o prácticas de protección de datos personales desarrolladas por la organización, y 2. Monitorear los avances o cambios legislativos en materia de privacidad y protección de datos personales que pudieran impactar en los ejes rectores y acciones desarrolladas en este tema al interior de la organización, haciendo las adecuaciones necesarias.

28 PERSONA O DEPARTAMENTO DE DATOS PERSONALES (IFAI)
Funciones en materia de fomento de la protección de datos al interior de la organización: 1. Diseñar y ejecutar una política y/o prácticas de protección de datos personales al interior de la organización, o bien, adecuar y mejorar las prácticas ya existentes en el marco de la Ley; 2. Alinear esta política y/o prácticas -incluyendo sus objetivos, acciones estratégicas, líneas de acción, asignación de roles y responsabilidades generales y específicas y un procedimiento y plazos de implementación- a los procesos internos de la organización que demanden o aprovechen información personal; 3. Desarrollar un mecanismo para evaluar la eficacia y eficiencia de esta política y/o prácticas; 4. Monitorear y evaluar los procesos internos de la organización vinculados con la obtención, uso, explotación, conservación, aprovechamiento, cancelación y transferencia de datos personales, a fin de asegurar que la información sea protegida, tratada conforme a los principios de la Ley y respetada; 5. Colaborar y coordinar acciones con otras áreas de la organización como la legal, de tecnologías, sistemas, seguridad de la información, mercadotecnia, atención al cliente, recursos humanos, entre otras, a efecto de asegurar el debido cumplimiento de la política y/o prácticas de privacidad en sus procesos internos, formatos, avisos, recursos y gestiones que se lleven a cabo; 6. Asegurar que la política y/o prácticas de protección de datos personales cumplan con la Ley y demás normatividad aplicable; 7. Difundir y comunicar la política y/o prácticas de protección de datos personales implementadas al interior de la organización, así como capacitar a todo el personal sobre las mismas; 8. Fomentar una cultura de protección de datos personales orientada a elevar el nivel de concienciación del personal y terceros involucrados, como encargados, en el tratamiento de datos personales; 9. Monitorear el cumplimiento de la política y/o prácticas de protección de datos personales de las sociedades subsidiarias o afiliadas bajo el control de común de la organización o cualquier sociedad del mismo grupo del responsable que opere y le sean aplicables estas prácticas; 10. Identificar e implementar mejores prácticas relacionadas con la protección de datos personales; 11. Promover la adopción de esquemas de autorregulación, y 12. Ser el representante de la organización en materia de protección de datos personales ante otros actores.

29 TRANSFERENCIA Y REMISIÓN

30 TRANSFERENCIA Y REMISIÓN
Toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento. La comunicación de datos personales entre el responsable y el encargado, dentro o fuera del territorio mexicano.

31 FUENTE DE ACCESO PÚBLICO
Aquellas bases de datos cuya consulta puede ser realizada por cualquier persona. Sin más requisito que, en su caso, el pago de una contraprestación. De conformidad con lo señalado por el Reglamento de esta Ley.

32 FUENTE DE ACCESO PÚBLICO
I. Los medios remotos o locales de comunicación electrónica, óptica y de otra tecnología, siempre que el sitio donde se encuentren los datos personales esté concebido para facilitar información al público y esté abierto a la consulta general. II. Los directorios telefónicos en términos de la normativa específica. III. Los diarios, gacetas o boletines oficiales, de acuerdo con su normativa. IV. Los medios de comunicación social.

33 ¿POR QUÉ TENGO QUE SEGUIR LAS INSTRUCCIONES INTERNAS?
¿QUÉ ES LA PROTECCIÓN DE DATOS? ¿POR QUÉ TENGO QUE SEGUIR LAS INSTRUCCIONES INTERNAS?

34 OBJETO DE LA NORMATIVIDAD
LFPDPPP y su Reglamento Finalidad Regular su tratamiento legítimo, controlado e informado Garantizar la privacidad y el derecho a la autodeterminación informativa de las personas Objeto Protección de los datos personales en posesión de los particulares

35 TRATAMIENTO Legítimo Controlado Informado

36 RIESGOS QUE IMPLICA EL TRATAMIENTO
Sanciones Económicas Mala imagen Pérdida de clientes Otros Para el responsable y quienes tratan datos personales

37 SANCIONES Administrativas Multas económicas previstas en la LFPDPPP
Civiles Exigencia de responsabilidad civil al responsable en caso de incumplimiento que cause un daño al titular Penales Exigencia de responsabilidad penal (cárcel) en caso de que se cometa un delito tipificado en la Ley

38 SANCIONES EN LA LFPDPPP
Mínimo 100 días de salario mínimo vigente pesos) = 6476 pesos Máximo 320,000 días de salario mínimo vigente = 20,723,200 pesos

39 SANCIONES EN LA LFPDPPP
Datos sensibles Los montos podrán incrementarse hasta por dos veces Total = 41,446,400 pesos

40 EVITAR SANCIONES Una multa podría suponer la quiebra de la empresa
La multa hace que los clientes pierdan confianza Una multa significa que la empresa no cumple con la legalidad La empresa podría pedir responsabilidades a quien cometió la infracción

41 CONSECUENCIAS PARA LOS EMPLEADOS
Perder la confianza del patrón Exigencia interna de responsabilidad Pérdida de oportunidades de ascensos, mejoras económicas, etc. Despido

42 PRINCIPIOS A OBSERVAR EN EL TRATAMIENTO DE DATOS PERSONALES
¿QUÉ ES LA PROTECCIÓN DE DATOS? PRINCIPIOS A OBSERVAR EN EL TRATAMIENTO DE DATOS PERSONALES

43 PRINCIPIOS DE LA PROTECCIÓN DE DATOS
Responsa-bilidad Licitud Consenti-miento Informa-ción Calidad Finalidad Lealtad Proporcio-nalidad

44 RESPONSABILIDAD Entre las medidas que podrá adoptar el responsable se encuentran por lo menos las siguientes: I. Elaborar políticas y programas de privacidad obligatorios y exigibles al interior de la organización del responsable; II. Poner en práctica un programa de capacitación, actualización y concientización del personal sobre las obligaciones en materia de protección de datos personales; III. Establecer un sistema de supervisión y vigilancia interna, verificaciones o auditorías externas para comprobar el cumplimiento de las políticas de privacidad; IV. Destinar recursos para la instrumentación de los programas y políticas de privacidad; V. Instrumentar un procedimiento para que se atienda el riesgo para la protección de datos personales por la implementación de nuevos productos, servicios, tecnologías y modelos de negocios, así como para mitigarlos; VI. Revisar periódicamente las políticas y programas de seguridad para determinar las modificaciones que se requieran; VII. Establecer procedimientos para recibir y responder dudas y quejas de los titulares de los datos personales; VIII. Disponer de mecanismos para el cumplimiento de las políticas y programas de privacidad, así como de sanciones por su incumplimiento; IX. Establecer medidas para el aseguramiento de los datos personales, es decir, un conjunto de acciones técnicas y administrativas que permitan garantizar al responsable el cumplimiento de los principios y obligaciones que establece la Ley y el presente Reglamento, o X. Establecer medidas para la trazabilidad de los datos personales, es decir, acciones, medidas y procedimientos técnicos que permiten rastrear a los datos personales durante su tratamiento.

45 LICITUD Principio de licitud Con apego a la Ley.
Cumpliendo los principios de la protección de datos personales.

46 LICITUD Actuación fraudulenta o engañosa
I. Exista dolo, mala fe o negligencia en la información proporcionada al titular sobre el tratamiento; II. Se vulnere la expectativa razonable de privacidad del titular; III. Las finalidades no son las informadas en el aviso de privacidad.

47 ¿Qué ocurre si se han obtenido datos personales mediante engaño?
LICITUD ¿Qué ocurre si se han obtenido datos personales mediante engaño?

48 LICITUD Obtener datos personales mediante engaño Tratamiento ilícito
Dar tratamiento a los datos personales en contravención a los principios establecidos en la Ley (fracción IV del artículo 63 de la LFPDPPP) Comisión de infracción Sancionable con multa de de 100 a 160,000 días de salario mínimo vigente en el Distrito Federal. Otras sanciones (pérdida de clientes, etc.)

49 CONSENTIMIENTO Definición
Manifestación de la voluntad del titular de los datos mediante la cual se efectúa el tratamiento de los mismos. Validez Cosentimiento informado Legitimación Es uno de los principios de la LFPDPPP, si bien se considera la causa principal legitimadora del tratamiento. Inequívoco En el caso del consentimiento expreso, de manera que existan elementos que indubitablemente demuestren su consentimiento.

50 CONSENTIMIENTO Regla general Opt-out Excepción Opt-in

51 CARACTERÍSTICAS DEL CONSENTIMIENTO
Libre Sin que medie error, mala fe, violencia o dolo, que puedan afectar la manifestación de voluntad del titular Específico Referido a una o varias finalidades determinadas que justifiquen el tratamiento Informado Que el titular tenga conocimiento del aviso de privacidad previo al tratamiento a que serán sometidos sus datos personales y las consecuencias de otorgar su consentimiento

52 FORMAS DEL CONSENTIMIENTO
Tácito Expreso Verbal Por escrito

53 FORMAS DEL CONSENTIMIENTO
CRITERIO UTILIZADO PARA DETERMINAR QUÉ FORMA ES NECESARIA NATURALEZA DE LOS DATOS PERSONALES TRATADOS

54 CONSENTIMIENTO EXPRESO
I. Lo exija una ley o reglamento; II. Se trate de datos financieros o patrimoniales; III. Se trate de datos sensibles; IV. Lo solicite el responsable para acreditar el mismo, o V. Lo acuerden así el titular y el responsable (art. 15 del Reglamento de la Ley).

55 ¿Siempre es necesario el consentimiento?

56 CONSENTIMIENTO No será necesario el consentimiento para el tratamiento de los datos personales cuando (art. 10 de la LFPDPPP): I. Esté previsto en una Ley; II. Los datos figuren en fuentes de acceso público; III. Los datos personales se sometan a un procedimiento previo de disociación; IV. Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable; V. Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes; VI. Sean indispensables para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la Ley General de Salud y demás disposiciones jurídicas aplicables y que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente, o VII. Se dicte resolución de autoridad competente.

57 CONSENTIMIENTO Las transferencias nacionales o internacionales de datos podrán llevarse a cabo sin el consentimiento del titular cuando se dé alguno de los siguientes supuestos (art. 37 de la LFPDPPP): I. Cuando la transferencia esté prevista en una Ley o Tratado en los que México sea parte; II. Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios; III. Cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas; IV. Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero; V. Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia; VI. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y VII. Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.

58 REVOCACIÓN DEL CONSENTIMIENTO
Por el titular Sin que se le atribuyan efectos retroactivos En cualquier momento

59 REVOCACIÓN DEL CONSENTIMIENTO
¿Siempre se puede revocar el consentimiento dado para el tratamiento de datos personales?

60 REVOCACIÓN DEL CONSENTIMIENTO
No, si una disposición legal lo impide Es decir, obliga al responsable a tratar los datos personales

61 PRUEBA DEL CONSENTIMIENTO
La carga de la prueba recae siempre sobre el responsable.

62 INFORMACIÓN Información al titular de los datos. Aviso de Privacidad.

63 AVISO DE PRIVACIDAD Documento físico, electrónico o cualquier otro formato Generado por el responsable que es puesto a disposición del titular Previo al tratamiento de sus datos personales

64 CARACTERÍSTICAS Sencillo Expresado en lenguaje claro y comprensible
Con una estructura y diseño que facilite su entendimiento Con información necesaria

65 CONTENIDO MÍNIMO I. La identidad y domicilio del responsable que los recaba; II. Las finalidades del tratamiento de datos; III. Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos; IV. Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición, de conformidad con lo dispuesto en esta Ley; V. En su caso, las transferencias de datos que se efectúen, VI. El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad, de conformidad con lo previsto en esta Ley.

66 CONTENIDO MÍNIMO En el supuesto de que se traten datos personales sensibles, deberá indicarse expresamente tal circunstancia

67 PUESTA A DISPOSICIÓN Obtenidos directamente del titular:
– Personalmente del titular – Directamente del titular por cualquier medio electrónico, óptico, sonoro o visual, o a través de cualquier otra tecnología Obtenidos indirectamente del titular: – En el primer contacto que se tenga con el titular cuando los datos personales sean: * Tratados para una finalidad prevista en la transferencia consentida. * Obtenidos de una fuente de acceso público. – Previo al aprovechamiento de los datos personales: * Cuando el responsable pretenda utilizar los datos personales para una finalidad distinta a la consentida, es decir, tenga lugar un cambio de finalidad.

68 INFORMACIÓN Resolución Nº PS/0002/12, de 14 de noviembre de Infractor: Pharma Plus, S.A. de C.V.

69 INFORMACIÓN Infracción Art. de la LFPDPPP Monto Días de salario mínimo
Contravenir el principio de información en el tratamiento de datos personales 63, fracción IV $1,500,033.78 24,066 días Omitir el elemento de identidad en el aviso de privacidad 63, fracción V $500,011.26 8,022 días Total — $2,000,0045 32,088 días

70 CALIDAD Finalidad Exactos Completos Pertinentes Correctos Actualizados

71 ¿Quién tiene que velar por la calidad de los datos personales?

72 ¿Por qué es importante la calidad de los datos personales?

73 AFECTA OTROS DERECHOS Y LIBERTADES DE LOS INDIVIDUOS
CALIDAD DATO FALSO DATO INEXACTO AFECTA OTROS DERECHOS Y LIBERTADES DE LOS INDIVIDUOS

74 FINALIDAD Determinadas. Explícitas. Legítimas.
Relacionadas con la actividad del responsable.

75 Para qué serán tratados los datos
FINALIDAD Para qué serán tratados los datos Claridad Sin lugar a confusión De manera objetiva

76 FINALIDAD Tratamiento para otros fines
Siempre que los mismos no sean incompatibles con los que motivaron el tratamiento inicial del dato.

77 FINALIDAD Si el responsable pretende tratar los datos para un fin distinto que no resulte compatible o análogo a los fines establecidos en aviso de privacidad Se requerirá obtener nuevamente el consentimiento del titular.

78 FINALIDAD Datos personales sensibles
No podrán crearse bases de datos que contengan datos personales sensibles Sin que se justifique la creación de las mismas Para finalidades legítimas, concretas y acordes Con las actividades o fines explícitos que persigue el sujeto regulado

79 Expectativa razonable de privacidad
LEALTAD Confianza que deposita cualquier persona en otra Respecto de que los datos personales proporcionados entre ellos Expectativa razonable de privacidad Serán tratados conforme a lo que acordaron las partes

80 PROPORCIONALIDAD Datos proporcionales Necesarios Adecuados Relevantes

81 PROPORCIONALIDAD Minimización del tratamiento
Sólo los adecuados o necesarios en atención a la finalidad (proporcionalidad en sentido estricto) Mínima cantidad de información en atención a la finalidad (minimización)

82 ¿Cuáles son los principios que tienen que cumplirse en el tratamiento de datos personales?

83 GUÍA PRÁCTICA DEL IFAI Fase 1
Al momento de recabar los datos personales Fase 2 Durante el manejo o utilización de los datos personales Fase 3 Una vez finalizado el tratamiento

84 GUÍA PRÁCTICA DEL IFAI Fase Obligaciones
Al momento de recabar los datos personales 1. Dar un uso a los datos personales respetando la ley, desde el momento de su obtención (principio de licitud). 2. No utilizar medios engañosos o fraudulentos para obtener los datos personales (principio de lealtad). 3. Poner a disposición el aviso de privacidad, de tal manera que el titular pueda conocer de qué forma serán tratados sus datos personales y cómo podrá ejercer sus derechos ARCO (principio de información). 4. Obtener el consentimiento o autorización del titular para el tratamiento de sus datos personales, salvo las excepciones previstas en el artículo 10 de la Ley. Cuando se recaben datos personales sensibles el consentimiento del titular deberá ser expreso y por escrito. En el caso de datos personales de carácter patrimonial o financiero, el consentimiento del titular deberá ser expreso únicamente. Fuera de estos dos casos, como regla general es válido el consentimiento tácito (principio de consentimiento) siempre y cuando se ponga a disposición de los individuos titulares de los datos, el aviso de privacidad, en el que se indique lo que se hará con su información. 5. Evitar la creación de bases de datos de carácter sensible, salvo que se justifique plenamente la necesidad del tratamiento para la consecución de finalidades legítimas y concretas relacionadas con las actividades estatutarias o comerciales que persigue el responsable. 6. Recabar sólo aquellos datos personales que sean necesarios para las finalidades para las que se obtienen.

85 GUÍA PRÁCTICA DEL IFAI Obligaciones
1. Utilizar los datos personales respetando la Ley (principio de licitud). 2. Respetar la expectativa razonable de privacidad del titular, es decir, la confianza que depositó este último en el responsable, respecto de los datos personales que serán tratados conforme a lo que acordaron y en los términos establecidos por la Ley (principio de lealtad). 3. Limitar el tratamiento de la información personal al cumplimiento de las finalidades previamente consentidas por el titular (principio de finalidad). 4. Usar los datos personales que resulten estrictamente necesarios para cumplir con las finalidades para las cuales fueron recabados (principio de proporcionalidad). 5. Mantener los datos personales actualizados y correctos (principio de calidad). 6. Limitar el periodo de conservación de la información personal tratada al mínimo necesario (principio de calidad). 7. Mantener la confidencialidad de los datos personales tratados (deber de confidencialidad). 8. Implementar medidas de seguridad de carácter administrativo, físico y técnico que garanticen la confidencialidad e integridad de los datos personales (deber de seguridad). 9. Informar al titular, sin demora alguna, sobre las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de éste, en cuanto se confirme la vulneración sucedida (deber de seguridad). 10. Adoptar las medidas necesarias para cumplir con las obligaciones establecidas en la Ley (principio de responsabilidad). 11. Rendir cuentas al titular en caso de algún incumplimiento con relación a la protección de sus datos personales (principio de responsabilidad). 12. Comunicar los datos personales a terceros nacionales o extranjeros únicamente con la autorización del titular, salvo las excepciones previstas en la Ley, y hacer del conocimiento de los receptores de los datos personales el aviso de privacidad y las finalidades a las que el titular sujetó el tratamiento de su información personal.

86 GUÍA PRÁCTICA DEL IFAI Fase Obligaciones
Una vez finalizado el tratamiento Suprimir los datos personales cuando hayan concluido las finalidades que dieron origen al tratamiento, previo bloqueo (principio de calidad).

87 PLAN DE EXPOSICIÓN Segunda parte
Los deberes de quien trata datos personales Medidas de seguridad Confidencialidad Los derechos ARCO Acceso Rectificación Cancelación Oposición    Consejos prácticos para minimizar riesgos y garantizar el cumplimiento Cumplir con la política o reglas de privacidad corporativas Seguir los procedimientos establecidos o que se establezcan Notificar internamente incumplimientos o potenciales incumplimientos Conclusiones

88 DEBERES A OBSERVAR EN EL TRATAMIENTO DE DATOS PERSONALES
¿QUÉ ES LA PROTECCIÓN DE DATOS? DEBERES A OBSERVAR EN EL TRATAMIENTO DE DATOS PERSONALES

89 DEBERES EN PROTECCIÓN DE DATOS
Medidas de seguridad Confidencialidad Deberes del responsable y encargado del tratamiento

90 MEDIDAS DE SEGURIDAD - Confidencialidad - Integridad - Disponibilidad
Garantizar - Confidencialidad - Integridad - Disponibilidad Proteger Los datos personales Evitar Daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado

91 MEDIDAS DE SEGURIDAD Administrativas Físicas Técnicas

92 ADMINISTRATIVAS Conjunto de acciones y mecanismos para:
Establecer la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación y clasificación de la información, así como la concienciación, formación y capacitación del personal, en materia de protección de datos personales.

93 FÍSICAS Conjunto de acciones y mecanismos, ya sea que empleen o no la tecnología, destinados para: d) Garantizar la eliminación de datos de forma segura. c) Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, funcionalidad e integridad, y b) Proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones; a) Prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información;

94 TÉCNICAS Conjunto de actividades, controles o mecanismos con resultado medible, que se valen de la tecnología para asegurar que: d) Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de datos personales. c) Se incluyan acciones para la adquisición¸ operación, desarrollo y mantenimiento de sistemas seguros, y b) El acceso referido en el inciso anterior sea únicamente para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones; a) El acceso a las bases de datos lógicas o a la información en formato lógico sea por usuarios identificados y autorizados;

95 MEDIDAS DE SEGURIDAD

96 FACTORES PARA DETERMINAR LAS MEDIDAS
I. El riesgo inherente por tipo de dato personal. II. La sensibilidad de los datos personales tratados. III. El desarrollo tecnológico. IV. Las posibles consecuencias de una vulneración para los titulares.

97 I. El número de titulares.
OTROS FACTORES I. El número de titulares. II. Las vulnerabilidades previas ocurridas en los sistemas de tratamiento. III. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión. IV. Demás factores que puedan incidir en el nivel de riesgo o que resulten de otras leyes o regulación aplicable al responsable.

98 ACCIONES PARA LA SEGURIDAD
I. Elaborar un inventario de datos personales y de los sistemas de tratamiento; II. Determinar las funciones y obligaciones de las personas que traten datos personales; III. Contar con un análisis de riesgos de datos personales que consiste en identificar peligros y estimar los riesgos a los datos personales; IV. Establecer las medidas de seguridad aplicables a los datos personales e identificar aquéllas implementadas de manera efectiva; V. Realizar el análisis de brecha que consiste en la diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales; VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, derivadas del análisis de brecha; VII. Llevar a cabo revisiones o auditorías; VIII. Capacitar al personal que efectúe el tratamiento, y IX. Realizar un registro de los medios de almacenamiento de los datos personales.

99 ACCIONES CÍCLICAS

100 ACTUALIZACIÓN DE LAS MEDIDAS
Si hay datos sensibles, una vez al año I. Se modifiquen las medidas o procesos de seguridad para su mejora continua, derivado de las revisiones a la política de seguridad del responsable. II. Se produzcan modificaciones sustanciales en el tratamiento que deriven en un cambio del nivel de riesgo. III. Se vulneren los sistemas de tratamiento, de conformidad con lo dispuesto en el artículo 20 de la Ley y 63 del Reglamento. IV. Exista una afectación a los datos personales distinta a las anteriores.

101 VULNERACIONES DE SEGURIDAD
I. La pérdida o destrucción no autorizada. II. El robo, extravío o copia no autorizada. III. El uso, acceso o tratamiento no autorizado. IV. El daño, la alteración o modificación no autorizada.

102 INFORMACIÓN AL TITULAR
I. La naturaleza del incidente. II. Los datos personales comprometidos. III. Las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses. IV. Las acciones correctivas realizadas de forma inmediata. V. Los medios donde puede obtener más información al respecto.

103 MEDIDAS CORRECTIVAS Y PREVENTIVAS
Medidas si concurre una vulneración de datos Acciones correctivas Acciones preventivas Acciones de mejora

104 CONFIDENCIALIDAD Obligación de guardar sigilo o silencio sobre los datos personales que se traten. Del responsable. De quienes intervengan en cualquier fase del tratamiento de los datos personales. Incluso una vez finalizada la relación laboral o contractual con el responsable del tratamiento.

105 ¿QUÉ ES LA PROTECCIÓN DE DATOS?
DERECHOS ARCO

106 DERECHOS ARCO Acceso Rectificación Cancelación Oposición

107 ACCESO “Los titulares tienen derecho a acceder a sus datos personales que obren en poder del responsable, así como conocer el Aviso de Privacidad al que está sujeto el tratamiento” (art. 23 de la LFPDPPP).

108 RECTIFICACIÓN “El titular de los datos tendrá derecho a rectificarlos cuando sean inexactos o incompletos” (art. 24 de la LFPDPPP).

109 CANCELACIÓN “El titular tendrá en todo momento el derecho a cancelar sus datos personales. La cancelación de datos personales dará lugar a un periodo de bloqueo tras el cual se procederá a la supresión del dato. El responsable podrá conservarlos exclusivamente para efectos de las responsabilidades nacidas del tratamiento. El periodo de bloqueo será equivalente al plazo de prescripción de las acciones derivadas de la relación jurídica que funda el tratamiento en los términos de la Ley aplicable en la materia” (art. 25 de la LFPDPPP).

110 OPOSICIÓN “El titular tendrá derecho en todo momento y por causa legítima a oponerse al tratamiento de sus datos. De resultar procedente, el responsable no podrá tratar los datos relativos al titular” (art. 27 de la LFPDPPP).

111 CARACTERÍSTICAS DEL EJERCICIO
Ejercicio personal (titular o representante legal) El ejercicio de un derecho no es requisito previo ni impedimento para el ejercicio de otro derecho Sencillez Gratuidad

112 ATENCIÓN POR EL RESPONSABLE
El responsable del tratamiento: Atiende al ejercicio de los derechos. Resguardará los datos personales de tal manera que permitan el ejercicio de los derechos sin dilación.

113 SOLICITUDES DE EJERCICIO
Contenido mínimo El nombre del titular y domicilio u otro medio para comunicarle la respuesta a su solicitud. Los documentos que acrediten la identidad o, en su caso, la representación legal del titular. La descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos mencionados. Cualquier otro elemento o documento que facilite la localización de los datos personales.

114 GUÍAS PARA EL EJERCIO DEL IFAI
Medios de comunicación Habilitar medios remotos o locales de comunicación electrónica u otros que considere pertinentes. Formularios, sistemas y otros métodos Establecer formularios, sistemas y otros métodos simplificados, mismos que deben ser informados en el aviso de privacidad. Servicios de atención al público Utilizar los servicios de atención al público o de reclamaciones que tiene en operación, siempre y cuando los plazos de respuesta no sean mayores a los señalados por la Ley. En tal caso, la identidad del titular se considerará acreditada por los medios establecidos por el responsable para la identificación de los titulares en la prestación de sus servicios o contratación de sus productos, siempre que a través de dichos medios se garantice la identidad del titular. Fuente: Guía práctica para la atención de las solicitudes de ejercicio de los Derechos ARCO, disponible en y la Guía práctica para ejercer el derecho a la Protección de Datos Personales, disponible en CAPACITACIÓN CONTADORES PÚBLICOS

115 CONSEJOS PRÁCTICOS PARA MINIMIZAR RIESGOS Y GARANTIZAR EL CUMPLIMIENTO
¿QUÉ ES LA PROTECCIÓN DE DATOS? CONSEJOS PRÁCTICOS PARA MINIMIZAR RIESGOS Y GARANTIZAR EL CUMPLIMIENTO

116 CONSEJOS PRÁCTICOS Cumplir con la política o reglas de privacidad corporativas Seguir los procedimientos establecidos o que se establezcan Notificar internamente incumplimientos o potenciales incumplimientos

117 CONSEJOS PRÁCTICOS Identificar/valorar riesgos Adoptar medidas
Verificar el cumplimiento Educar y concientizar

118 CONSEJOS PRÁCTICOS Aplicación práctica apoyada en consultoría/ auditoría Políticas internas que complementen/ sean base del instrumento de autorregulación Parámetros de autorregulación vinculante

119 CONSEJOS PRÁCTICOS ¿Por qué es importante adoptar/cumplir con políticas internas de protección de datos personales y privacidad?

120 CONSEJOS PRÁCTICOS Adoptar medidas que incluyan las siguientes áreas de actuación en materia de protección de datos personales: Trazabilidad de los datos personales y su tratamiento Principios Deberes Autorregulación vinculante Solicitudes de los interesados (consultas, quejas o resolución de disputas) Derechos ARCO Auditoría

121 CUMPLIMIENTO EN LA EMPRESA
Gobierno de la protección de datos Formación y concientización Gestión de archivos Seguridad de los datos personales Requerimientos en protección de datos — Políticas y procedimientos — Estructuras de gobierno — Medidas — Auditorías — Registro de riesgos — Retornos — Análisis de impacto de privacidad (Privacy impact assessment, PIA) — Inducción — Formación basada en roles — Actualizaciones — Archivos — Formación online (e-learning) — Acceso a TI — Concientización de dónde encontrar contenidos sobre datos personales y fácil acceso a los mismos — Roles y responsabilidades — Formación y concientización — Activos de información — Indexación y mapeo de archivos — Obtención de datos — Mantenimiento de archivos — Plazos de retención — Supresión de datos — Propietario/ responsabilidad — Seguridad física-anuales — Seguridad de redes — Dispositivos móviles — Trabajo en casa — Monitoreo de empleados — Contratos con terceros — Incidencias procedimientos — Bitácora (log) — Monitoreo — Redacción — Excepciones — Revelaciones — Protocolos para comunicación — Acuerdos de gestión de comunicación de datos Ejemplos de prueba — Intranet — Organigrama — Descripciones de puestos de trabajo — Términos de referencia — Minutas de reuniones — Informes internos — Informes externos — Informes de auditoría — Registros de riesgos — PIAs — Presentaciones para formación — Módulo de formación online (e-learning) — Archivos centrales de formación — Archivos de actualizaciones de formación — Requerimientos de perfiles de TI — Formularios de obtención de datos — Avisos de tratamiento — Detalle de sistemas de gestión de archivos — Roles y estructura de gestión de archivos — Archivos de formación — Registro de activos de información — Registros de destrucción y/o certificados — Contratos con terceros para el almacenamiento y/o destrucción — Registros de contraseñas — Licencias de seguridad de TI — Bitácora de incidencias — Cláusulas estandarizadas sobre seguridad — Análisis de riesgo de trabajo en casa — Registro de dispositivos móviles — Bitácora de sistema de actividad — Informes de actividad (métricas) — Ejemplos de respuestas a requerimientos Fuente: Information Commissioner´s Office, Auditing data protection, a guide to ICO data protection audits, v. 2.0, Mayo de 2012.

122 ¿QUÉ ES LA PROTECCIÓN DE DATOS?
CONCLUSIONES

123 CONCLUSIONES La protección de datos personales es un derecho fundamental Necesidad de adoptar medidas que sirvan para garantizar un tratamiento lícito y leal y evitar sanciones Es una cuestión que implica al responsable y a quienes tratan datos personales en cualquier fase (empleados, encargado del tratamiento, etc.).

124 ¡MUCHAS GRACIAS!