Ley Federal de Protección de Datos Personales en Posesión de los Particulares Elementos de la Ley y el anteproyecto de Reglamento ¿Quién protege tus datos personales por Internet? Dirección General de Comercio Interior y Economía Digital Subsecretaría de Industria y Comercio Secretaría de Economía

Agenda Agenda Contexto México Características generales de la Ley y el Anteproyecto de Reglamento Aviso de Privacidad Autorregulación Vinculante Equilibrio entre la protección del derecho fundamental y la práctica comercial Las consideraciones sobre privacidad y el entorno digital Consideraciones finales

Contexto para México

Perfil de México 11° país más poblado del mundo y el 1° entre las naciones de habla hispana Más de 112 millones de habitantes 5.1 millones unidades económicas 95.2% son micro empresas 4.3% son pequeñas 0.2% son grandes 14ª economía más grande del mundo El valor de las exportaciones e importaciones representa el 59.7% del PIB Tratados de apertura y libre comercio con más de 40 países EE.UU. es el destino del 80% de las exportaciones y 48% de las importaciones Fuentes: FMI, INEGI, Secretaría de Economía

Cultura de Privacidad Uno de los principales retos que enfrentan las empresas y los consumidores en nuestro país es la baja cultura de privacidad y por tanto de la protección de datos personales. Empresas Consumidores Cultura de Privacidad

Encuesta sobre cultura de privacidad de datos en las MiPYMES Con el objetivo de fomentar la cultura sobre Protección de Datos Personales en las Empresas e identificar las brechas en el conocimiento actual entre las empresas la Secretaría realizó una encuesta en línea enfocada a MiPYMES El periodo sobre el que se reportan los respuestas comprenden del 2 de febrero al 23 de febrero de 2011 Se establecieron sólo 9 reactivos con respuestas cerradads para facilitar el llenado y envío de información. Se recibieron las respuestas de 155 empresas  

Encuesta Cultura de Privacidad: Tipo de empresa  

Encuesta Cultura de Privacidad: Ámbito de operación   Entre otros medios se señalan: chat, twitter, piezas impresas, redes sociales, vía postal

Cultura de privacidad empresarial  De conformidad con las facultades que la Ley le confiere a la Secretaría de Economía y considerando el impacto de la Ley, la SE con el objetivo de fomentar la cultura sobre Protección de Datos Personales en las Empresas e identificar las brechas en el conocimiento actual entre las empresas realizó una encuesta en línea enfocada a MiPYMES La encuesta permaneció en línea durante un mes. Se establecieron 9 reactivos con respuestas cerradas para facilitar el llenado y envío. Se contó con la participación de 155 empresas. Fuente: Encuesta realizada en línea por la DGCIED de en febrero de 2011. Participaron 155 MiPYMES

Características de la Ley y el Reglamento

Regulación sobre Protección de Datos Personales Gobierno Federal Estatal Particulares Ley Federal de Protección de Datos personales en Posición de los Particulares Publicada en DOF el 5 de julio de 2010 . Finalidad: Regular el tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. Autoridades Autoridad Garante - Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) Autoridades Reguladoras - Dependencias APF, las cuales emitirán la regulación secundaria con la coadyuvancia del Instituto.   Obligaciones de la Autoridad Publicación del Reglamento: 1 año para emitir Reglamento (Ejecutivo Federal) De conformidad con el artículo Segundo transitorio, existe la obligación de expedir el Reglamento de la Ley dentro del año siguiente a su entrada en vigor (06-julio-2011). Derechos ARCO: 1.5 años para que titulares puedan solicitar hacer efectivos sus derechos ARCO Protección de Datos: 1.5 años para que IFAI pueda recibir solicitudes de protección de derechos. Obligaciones de los Particulares Avisos de Privacidad: 1 año para expedir avisos de privacidad (particulares) Atribuciones de la Secretaría de Economía El Artículo 43 de la Ley señala las atribuciones de la Secretaría: I. Difundir el conocimiento respecto a la protección de datos personales en el ámbito comercial; II.Fomentar las buenas prácticas comerciales en materia de protección de datos personales; III.Emitir los lineamientos correspondientes para el contenido y alcances de los avisos de privacidad en coadyuvancia con el Instituto, a que se refiere la presente Ley; IV.Emitir, en el ámbito de su competencia, las disposiciones administrativas de carácter general, en coadyuvancia con el Instituto; (Reglamento) V.Fijar los parámetros necesarios para el correcto desarrollo de los mecanismos y medidas de autorregulación a que se refiere el artículo 44 de la presente Ley, incluido la promoción de Normas Mexicanas o Normas Oficiales Mexicanas, en coadyuvancia con el Instituto; VI.Llevar a cabo los registros de consumidores en materia de datos personales y verificar su funcionamiento; VII.Celebrar convenios con cámaras de comercio, asociaciones y organismos empresariales en lo general, en materia de protección de datos personales; VIII.Diseñar e instrumentar políticas y coordinar la elaboración de estudios para la modernización y operación eficiente del comercio electrónico, así como para promover el desarrollo de la economía digital y las tecnologías de la información en materia de protección de datos personales; IX.Acudir a foros comerciales nacionales e internacionales en materia de protección de datos personales, o en aquellos eventos de naturaleza comercial, y X.Apoyar la realización de eventos, que contribuyan

Hitos importantes Enero 2012 Ejercicio de derechos ARCO (titulares) Protección de derechos (IFAI) Junio 2011 Guía para la generación de avisos de privacidad Julio 2010 Expedición de la Ley TRANSITORIOS de la Ley PRIMERO.- El presente Decreto entrará en vigor al día siguiente al de su publicación en el Diario Oficial de la Federación. SEGUNDO.- El Ejecutivo Federal expedirá el Reglamento de esta Ley dentro del año siguiente a su entrada en vigor. TERCERO.- Los responsables designarán a la persona o departamento de datos personales a que se refiere el artículo 30 de la Ley y expedirán sus avisos de privacidad a los titulares de datos personales de conformidad a lo dispuesto por los artículos 16 y 17 a más tardar un año después de la entrada en vigor de la presente Ley. CUARTO.- Los titulares podrán ejercer ante los responsables sus derechos de acceso, rectificación, cancelación y oposición contemplados en el Capítulo IV de la Ley; así como dar inicio, en su caso, al procedimiento de protección de derechos establecido en el Capítulo VII de la misma, dieciocho meses después de la entrada en vigor de la Ley. QUINTO.- En cumplimiento a lo dispuesto por el artículo tercero transitorio del Decreto por el que se adiciona la fracción XXIX-O al artículo 73 de la Constitución Política de los Estados Unidos Mexicanos, publicado en el Diario Oficial de la Federación el 30 de abril de 2009, las disposiciones locales en materia de protección de datos personales en posesión de los particulares se abrogan, y se derogan las demás disposiciones que se opongan a la presente Ley. SEXTO.- Las referencias que con anterioridad a la entrada en vigor del presente Decreto, se hacen en las leyes, tratados y acuerdos internacionales, reglamentos y demás ordenamientos al Instituto Federal de Acceso a la Información Pública, en lo futuro se entenderán hechas al Instituto Federal de Acceso a la Información y Protección de Datos Personales. SÉPTIMO.- Las acciones que, en cumplimiento a lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, corresponda realizar al Ejecutivo Federal, se sujetarán a los presupuestos aprobados de las instituciones correspondientes y a las disposiciones de la Ley Federal de Presupuesto y Responsabilidad Hacendaria. OCTAVO.- El Presupuesto de Egresos de la Federación para el Ejercicio Fiscal de 2011 considerará partidas suficientes para el adecuado funcionamiento del Instituto Federal de Acceso a la Información y Protección de Datos en las materias de esta Ley. Julio 2011 Designación de persona o departamento que fomente la protección de datos personales Expedición de Avisos de Privacidad 2011 Expedición de Reglamento

Actores y Mecanismo Simplificado de aplicación de la Ley y Reglamento En México En México u otro país Secretaría de Economía Entidades privadas - Autorregulación Coadyuvancia A Parámetros Lineamientos 5 Encargado Aviso de privacidad Transmisión 3 Responsable Titular 2 1 Consentimiento (tácito, expreso) Terceros Solicitud de Protección de derechos Derechos ARCO (acceso, rectificación, corrección, oposición) 4 Transferencia Verificación B Sanción IFAI

Autoridades – resumen simplificado IFAI Procedimientos de verificación Procedimientos de imposición de sanciones Protección de los derechos Cultura de privacidad a los individuos Secretaría de Economía Lineamientos sobre Avisos de Privacidad Parámetros Autorregulación Vinculante Coordinación con la Iniciativa Privada – flujo comercial Otras Secretarías Regulación secundaria - sectorial Trabajo conjunto para la elaboración del Reglamento

Avisos de privacidad

Definición - Aviso de Privacidad Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales. Finalidades Características Fortalecer el nivel de confianza entre responsable y titular con relación al tratamiento de su información personal Transparentar al titular las finalidades y transferencias a que son sometidos sus datos personales Informar al titular cómo ejercer los derechos que la ley le otorga y los mecanismos para que decida sobre el tratamiento de sus datos. Mejorar el canal de comunicación Disminuir las quejas, inconformidades o disputas de los titulares. Es redactado de manera concisa Contiene la información relevante y necesaria que permita al titular identificar las características principales del tratamiento Cuenta con un diseño y presentación apropiada que facilite su comprensión Para la difusión se pueden usar formatos físicos, electrónicos, medios verbales o cualquier otra tecnología, siempre y cuando garantice y cumpla con el deber de informar al titular.

Tipos de aviso de privacidad Completo Simplificado Se pone a disposición previo al tratamiento Tipos de aviso de privacidad Art. 16 (…al menos) Art. 17 Identidad y domicilio Finalidades Opciones y medios para limitar el uso o divulgación Medios para ejercer derechos ARCO Transferencias de datos Procedimiento y medio para comunicar cambios al aviso. Señalar si se tratan datos sensibles Identidad y domicilio Finalidades Mecanismo para conocer el aviso completo Señalar si se tratan datos sensible El aviso de privacidad deberá contener, al menos, la siguiente información: La identidad y domicilio del responsable que los recaba; Las finalidades del tratamiento de datos; Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos; Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición, de conformidad con lo dispuesto en esta Ley; V. En su caso, las transferencias de datos que se efectúen, y El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad, de conformidad con lo previsto en esta Ley. En el caso de datos personales sensibles, el aviso de privacidad deberá señalar expresamente que se trata de este tipo de datos ----------------------------------------------------------------------- El procedimiento de protección de derechos se iniciará a instancia del titular de los datos o de su representante legal, expresando con claridad el contenido de su reclamación y de los preceptos de esta Ley que se consideran vulnerados. La solicitud de protección de datos deberá presentarse ante el Instituto dentro de los quince días siguientes a la fecha en que se comunique la respuesta al titular por parte del responsable. La opción y el plazo que tiene el titular de presentar ante el IFAI el procedimiento de protección de derechos

Vínculo con aviso de privacidad Principio Vínculo con aviso de privacidad Información Da a conocer al titular qué datos personales se recaban y con qué fines Consentimiento El consentimiento tácito se obtiene si se pone a disposición del titular Finalidades El tratamiento se limita al cumplimiento de las finalidades previstas en él Proporcionalidad Los datos que se traten deberán ser los necesarios, adecuados y relevantes en relación con las finalidades establecidas en él Responsabilidad El responsable debe tomar medidas para garantizar que el aviso sea respetado por él, encargados o terceros, aún cuando éstos estén fuera del país Principios de la Ley y aviso de privacidad La Ley contempla 8 principios, de los cuales 5 se vinculan con el aviso de privacidad. Licitud Consentimiento Información Calidad Finalidad Lealtad Proporcionalidad Responsabilidad

Autorregulación Vinculante

Principio de responsabilidad y autorregulación vinculante El responsable tiene la obligación de velar, responder, así como de rendir cuentas al titular sobre el tratamiento de sus datos personales. Para cumplir con esta obligación, el responsable puede valerse de estándares y mejores prácticas internacionales, así como de esquemas de autorregulación. Lo anterior puede traducirse en códigos deontológicos o de buenas prácticas profesionales, sellos de confianza u otros mecanismos Estos esquemas son vinculantes para quienes se adhieran a los mismos; no obstante, la adhesión es de carácter voluntario Las personas físicas o morales podrán convenir entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulación vinculante en materia de protección de datos. Pueden traducirse en códigos deontológicos o de buenas prácticas profesionales, sellos de confianza u otros mecanismos

Objetivos primordiales (1/2) Establecer procesos y prácticas cualitativos Fomentar que los responsables establezcan políticas, procesos y buenas prácticas Promover que los responsables de manera voluntaria cuente con constancias o certificaciones sobre el cumplimiento de la Ley y mostrar su compromiso con la protección de datos personales Identificar a los responsables que cuenten con políticas de privacidad alineadas al cumplimiento de los principios y derechos, así como de competencia laboral

Objetivos primordiales (2/2) Promover el compromiso de los responsables con la rendición de cuentas y adopción de políticas internas consistentes con criterios externos, así como para auspiciar mecanismos para implementar políticas de privacidad, incluyendo herramientas, transparencia, supervisión interna continua, evaluaciones de riesgo, verificaciones externas y sistemas de remediación; y Encauzar mecanismos de solución alternativa de controversias entre responsables, titulares y terceros, como son los de conciliación y mediación.

Esquemas de autorregulación reconocidos por autoridad Establece parámetros para desarrollo y medidas de autorregulación Puede acreditar y revocar SE Puede sugerir revocar acreditaciones o certificados IFAI Pueden otorgar y revocar certificaciones Pueden realizar verificaciones y auditorías a certificados 5 Independientes e imparciales para otorgar certificados Puede encauzar mecanismos de solución alternativa de controversias 2 2 Se someten a la certificación de manera voluntaria pero se obligan a partir de ese momento 1 1 1 1 1

Equilibrio entre la protección del derecho fundamental y la práctica comercial

Se busca precisar las disposiciones y los procedimientos para que: El equilibrio entre la práctica empresarial y el ejercicio de los derechos de los titulares Se busca precisar las disposiciones y los procedimientos para que: Los titulares de los datos hagan efectivo su derecho Los particulares cumplan con las obligaciones previstas por Ley Titulares del derecho y empresas se benefician: Regula aspectos que permiten su interacción y con autoridades. Brinda seguridad y certeza jurídica a los sujetos involucrados. Se propicia una cultura de protección de datos personales que fortalece el esquema legal para garantizar el poder de disposición de las personas respecto de sus datos personales y da certeza a las transacciones comerciales.

Actividad de la empresa Actividad del titular del dato personal El equilibrio entre la práctica empresarial y el ejercicio de los derechos de los titulares Actividad de la empresa Actividad del titular del dato personal La persona o departamento dentro de la organización designado para dar trámite a las solicitudes; Los medios de autenticación del titular; El plazo máximo de respuesta a las solicitudes; La forma de entrega de la información en caso de ejercer el derecho de acceso; El carácter gratuito de la atención de las solicitudes o el costo de reproducción en caso de que aplique, Entre otras cuestiones que el responsable considere relevantes incluir en el aviso de privacidad. Conocer la persona o departamento de datos personales designada por el responsable, ante el cual podrá ejercer sus derechos ARCO, y Ejercer sus derechos ARCO; Revocar el consentimiento otorgado Limitar el uso de su información. Se encuentra informado y conoce los cambios en el aviso de privacidad Solicita ante el IFAI los procedimientos de protección de derechos o verificación. Conocer el aviso de privacidad completo; Otorgar su consentimiento expreso; Conocer los listados de exclusión existentes.

Las consideraciones sobre privacidad y el entorno digital

La Importancia de los Datos Personales en el Desarrollo Económico Las tecnologías de Información en las últimas décadas han ido cambiando constantemente la dinámica comercial, derivado de la creación de nuevos modelos de negocio, lo que ha requerido un constante flujo de información entre consumidores y empresas. De igual forma, la necesidad de contar con presencia mundial ha obligado a las empresas y consumidores a crear procesos comerciales dependientes de la identificación de los mismos a través de la transferencia de datos globalmente para proveer o adquirir un producto o servicio. Nuevos Modelos de Negocio Nuevos Consumidores Avances Tecnológicos/Cobertura En el siglo XXI comienza con un despliegue tecnológico trascendental. El avance en los campos tecnológico e informático ha generado una expansión que conlleva al intercambio de flujos de información constante, y parte de ella es la relativa a las personas. Ahora es posible, a través de distintos medios, acceder a la información de millones de seres humanos y sus actividades en cualquier parte del planeta. Sin embargo, frente al terreno ganado en materia de libertad de información y expresión, se ha irrumpido silenciosamente en el ámbito de lo privado, pues la sencilla obtención de cualquier tipo de dato sobre una persona física posibilita la generación de perfiles sobre ella y la afectación de la esfera de sus derechos y libertades. INFORMACIÓN

La Importancia de los Datos Personales en el Desarrollo Económico Diversos países han podido encontrar beneficios económicos al contar con modelos que permiten el correcto y ágil flujo de datos con sus socios comerciales. BENEFICIOS ECONÓMICOS Economías de Alcance Incremento del comercio en TICS y Servicios Acceso al conocimiento Incremento en la productividad Oportunidades de crecimiento internacional Acceso a nuevos Productos y Servicios

Riesgos asociados al mal uso de datos personales Robo de identidad Falta de seguridad en transacciones Impedir ejercicio de derechos Pérdida o destrucción Daño o alteración La ley y el anteproyecto fomentan la protección a bases de datos con información personal, ya sea física o electrónica, impulsando el tratamiento legítimo y control de los datos personales. Las vulneraciones de seguridad de datos personales ocurridas en cualquier fase del tratamiento son: La pérdida o destrucción no autorizada; El robo, extravío o copia no autorizada; El uso, acceso o tratamiento no autorizado; El daño, la alteración y/o modificación no autorizada, o Cualquier otra que afecte los derechos de los titulares.

Medidas de seguridad en la normativa Art 19 Ley Establecer y mantener medidas de seguridad Proteger contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado Art 20 Ley Las vulneraciones de seguridad ocurridas serán informadas de forma inmediata por el responsable al titular El Instituto desarrollará y pondrá a disposición de los responsables una herramienta para identificar las medidas de seguridad mínimas que aplicarán a los datos personales tratados. Cuando exista un bajo riesgo para los datos personales tratados, de conformidad con las recomendaciones que emita el Instituto, la herramienta facilitará la elaboración del documento de seguridad y la identificación de las acciones.

¿Las empresas en México establecen medidas de seguridad? Un 56% de las empresa manifiesta invertir en el tema de protección de información personal. En caso de no implementar medidas de seguridad, el 72% de los encuestados considera que las consecuencias más significativas son el daño a la reputación y la marca por la pérdida de la información para el desarrollo de los negocios, así como el no establecer dichas medidas podría representar sanciones y penas que la LFPDPPP establece por incumplimiento. Fuente: Ernst&Young. Seguridad sin fronteras Resultados de la Encuesta Global de Seguridad de la Información. Marzo, 2011

¿Las empresas en México establecen medidas de seguridad? Las principales prioridades de seguridad de la información son: 1. Continuidad de negocio 2. Cumplimiento con requerimientos regulatorios  LFPDPPP 3. Cumplimiento con políticas corporativas Fuente: Ernst&Young. Seguridad sin fronteras Resultados de la Encuesta Global de Seguridad de la Información. Marzo, 2011

Consideraciones finales

Consideraciones finales - Beneficios de la Normatividad Certeza jurídica para los regulados. Empoderamiento del titular Evitar malos usos de los datos personales Mejora de la percepción Cuidado de la información como activo Competitividad Titulares Empresas

Ley Federal de Protección de Datos Personales en Posesión de los Particulares Elementos de la Ley y el anteproyecto de Reglamento ¿quién protege tus datos personales por Internet? Dirección General de Comercio Interior y Economía Digital Subsecretaría de Industria y Comercio Secretaría de Economía