Semana de Transparencia 2017 Implicaciones de la armonización de la Ley General de Datos Personales en Posesión de los Sujetos Obligados Dra. María Solange Maqueo Ramírez Profesora Investigadora División de Estudios Jurídicos Centro de Investigación y Docencia Económicas (CIDE) maria.maqueo@cide.edu

Introducción Problemas de dispersión normativa Reforma constitucional de 2014 “en materia de transparencia” Problemas de dispersión normativa Atribuciones diferenciadas entre órganos garantes y sujetos obligados Carencia de estándares comunes de protección en el país LGPDPPSO Modificaciones de carácter institucional Modificaciones sustantivas Modificaciones procedimentales Armonización en la legislación estatal

Algunas características del proceso legislativo Proceso tardío Multiplicidad de iniciativas Participación ciudadana Participación de los órganos garantes Toma de decisiones preliminares: ¿Ley detallada o genérica? – Alcance de la Ley General ¿Temporalidad de la conservación? ¿Mecanismos de transferencias internacionales? ¿Alcance de los derechos ARCO? ¿Oficial de protección de datos? …

Algunos rasgos distintivos de la LGPDP Ley reglamentaria de los arts. 6º. Base A y 16, segundo párrafo de la CPEUM Sujetos obligados diferenciados: Personas físicas o morales que ejerzan recursos públicos o que realicen actos de autoridad y sindicatos Titulares del DPDP: Personas físicas y régimen para personas fallecidas –interés jurídico o legítimo Reconocimiento de los derechos ARCO

Algunos rasgos distintivos de la LGPDP “Derecho a la portabilidad de datos personales” Art. 57. Cuando se traten datos personales por vía electrónica en un formato estructurado comúnmente utilizado, el titular tendrá derecho a obtener del responsable una copia de los datos objeto de tratamiento en un formato electrónico estructurado y comúnmente utilizado que le permita seguir utilizándolos. Cuando el titular haya facilitado los datos personales y el tratamiento se base en el consentimiento o en un contrato, tendrá derecho a transmitir dichos datos personales y cualquier otra información que haya facilitado y que se conserve en un sistema de tratamiento automatizado a otro sistema en un formato electrónico comúnmente utilizado, sin impedimentos por parte del responsable del tratamiento de quien se retiren los datos personales. El SN establecerá mediante lineamientos los parámetros a considerar para determinar los supuestos en los que se está en presencia de un formato estructurado y comúnmente utilizado, así como las normas técnicas, modalidades y procedimientos para la transferencia de datos personales.

Algunos rasgos distintivos de la LGPDP Estándares homogéneos para el Aviso de Privacidad (integral y simplificado) Régimen especial por vulneraciones: Se consideran como vulneraciones: La pérdida o destrucción no autorizada El robo, extravío o copia no autorizada El uso, acceso o tratamiento no autorizado El daño, alteración o modificación no autorizada El responsable deberá llevar una bitácora de vulneraciones (descripción de la misma, fecha, motivo y acciones correctivas inmediatas y definitivas). Régimen de notificación por vulneraciones al titular y a los organismos garantes, cuando éstas afecten de forma significativa los derechos patrimoniales o morales; sin dilación alguna, cuando se confirme que ha ocurrido la vulneración y el responsable haya empezado a tomar acciones de revisión exhaustiva de la magnitud de la afectación.

Algunos rasgos distintivos de la LGPDP Definición taxativa de fuentes de acceso público Prohibición como regla general del tratamiento de datos personales sensibles Especificación del régimen de transferencias Obligaciones de información (realización, finalidad y sujetos) Obligaciones de formalización (cláusulas contractuales)

Algunos rasgos distintivos de la LGPDP Robustecimiento del principio de responsabilidad e incremento de la expectativa razonable de privacidad: Elaboración de políticas y programas en materia de protección de datos obligatorios y exigibles al interior de los sujetos obligados. Establecimiento de esquemas de supervisión –auditorías internas o externas- que permitan evaluar el cumplimiento de dichas políticas. Establecimiento y puesta en práctica de programas de actualización del personal en la materia. Adopción de esquemas de “privacidad por defecto” en sistemas, plataformas informáticas, aplicaciones electrónicas e, incluso, en sus políticas y programas. Análisis de impacto a la protección de datos personales y análisis de riesgos

Algunos rasgos distintivos de la LGPDP Procedimientos y recursos INAI Procedimiento de verificación Recurso de Revisión Recurso de Inconformidad Facultad de Atracción SO Acceso Rectificación Cancelación Oposición SCJN Recurso de Inconformidad en materia de seguridad nacional

Algunos rasgos distintivos de la LGPDP Resoluciones del órgano garante vinculatorias, definitivas e inatacables Excepción: CJ por razones de seguridad nacional podrá interponer recurso de revisión ante la SCJN. Régimen de responsabilidad administrativa Medidas de apremio Amonestación pública Multa equivalente al 150 hasta 1500 veces el valor diario de la UMA ($113,235.00 Pesos en M.N.) Infracciones (art. 163)

Implicaciones del proceso de armonización Plazos perentorios o aplicación directa de la LGPDP y supletoriedad de la ley estatal existente Régimen estandarizado - Principios, deberes, derechos, mecanismos de ejercicio de derechos y medios de impugnación Armonización de las 11 leyes especiales en los Estados que ya contaban con legislación específica en la materia (Colima, Guanajuato, Oaxaca, CDMX, Tlaxcala, Campeche, Edo. Mex., Veracruz, Durango, Chihuahua y Puebla) Aprobación de 21 leyes nuevas en la materia.

Situación actual Leyes aprobadas y publicadas: 22 Entidades Federativas Leyes pendientes: 6 Entidades Federativas Iniciativa de leyes: 4 Entidades Federativas Importantes retos para su implementación y efectividad: capacitación y gestión documental integral

¡MUCHAS GRACIAS POR SU ATENCIÓN! Dra. María Solange Maqueo Ramírez Email: maria.maqueo@cide.edu Twitter: @SolMaqueo