Introducción a la Ley de Protección de Datos Personales para el Distrito Federal

¿Manejan datos personales? Presentación Los integrantes del grupo deberán presentarse con sus compañeros, mencionando: Nombre Cargo Área de adscripción ¿Manejan datos personales?

Objetivo Al finalizar el curso “Introducción a la Ley de Protección de Datos Personales para Distrito Federal”, el participante distinguirá los elementos más destacados de esa ley.

Reglas de operación

Evaluación 10 puntos Final Valor Las evaluaciones que serán impartidas en el curso de Introducción a la Ley de Transparencia y Acceso a la Información Pública del Distrito Federal, son 3: Primera.- Será impartida al inicio del curso, la cual, tiene como propósito medir el nivel de conocimientos que tiene el participante en los temas que serán abordados (escrita) Segunda.- Se aplicará de manera aleatoria, dirigiendo preguntas directas Tercera.- Al término del curso, la cual, tiene como propósito medir el nivel de conocimientos alcanzados por el participante en los temas abordado (escrita).

Plan de sesión TEMAS: Introducción al Derecho a la Protección de Datos Personales Principios Rectores Excepciones al principio de Consentimiento Sistemas de Datos Personales Medidas de seguridad Procedimiento: Derechos ARCO Medios de Defensa

Introducción al Derecho de Protección de Datos Personales Tema Uno Introducción al Derecho de Protección de Datos Personales

Video: Controla tus datos personales Actividad, UNA ESCENA COTIDIANA Duración (10 min) Instrucciones: Reproducir el video controla tus datos para generar reflexión Posteriormente se pedierá que emitan sus comentarios respecto al video y hagan una similitud con su vida cotidiana Reprod

Video: Who is watching you? Reproducir video Who´s Watching You Se pedirá que observen el video y que hagan una reflexión de lo que pasa en él y que analicen si tiene semejanza con la vida cotidiana. Reprod

¿Qué son los Datos Personales? El Art. 2 de la LPDPDF los define como: Toda información numérica, alfabética, gráfica acústica o de cualquier otro tipo concerniente a una persona física identificada o identificable.

Persona Física Identificada: Es “identificada” cuando, dentro de un grupo de personas, se la distingue de todos los demás miembros del grupo. Identificable: Cuando sea necesario el empleo de otros mecanismos y/o información para identificarla.

Tipos de Datos Personales Identificativos Electrónicos Laborales Patrimoniales Procedimientos Académicos Transito o migratorios Salud Biométricos Sensibles Públicos Tipos de Datos Personales

Categorías de Datos Personales Datos identificativos: El nombre, domicilio, teléfono particular, teléfono celular, estado civil, firma, RFC, CURP, número de pasaporte, lugar y fecha de nacimiento, nacionalidad, fotografía, costumbres, idioma o lengua, entre otros. Datos electrónicos: correo electrónico, dirección IP, dirección MAC (dirección Media Access Control o dirección de control de acceso al medio), nombre de usuario, contraseñas, firma electrónica; o cualquier otra información empleada por la persona, para su identificación en internet u otra red de comunicaciones electrónicas.

Categorías de Datos Personales Datos laborales: documentos de reclutamiento y selección, de nombramiento, de incidencia, de capacitación, actividades extracurriculares, referencias laborales y personales, solicitud de empleo y hoja de servicio. Datos patrimoniales: bienes muebles e inmuebles, información fiscal, historial crediticio, ingresos y egresos, cuentas bancarias, seguros, fianzas y servicios contratados.

Categorías de Datos Personales Datos sobre procedimientos administrativos y/o jurisdiccionales: La información relativa a una persona que se encuentre sujeta a un procedimiento administrativo seguido en forma de juicio. Datos de tránsito y movimientos migratorios: Información relativa al tránsito de las personas dentro y fuera del país, así como la información migratoria.

Categorías de Datos Personales Datos Académicos: Trayectoria educativa, calificaciones, títulos, cédula profesional, certificados y reconocimientos, demás análogos. Datos sobre la salud: El expediente clínico de cualquier atención médica, referencias o descripción de sintomatologías, detección de enfermedades, incapacidades médicas, discapacidades, intervenciones quirúrgicas, vacunas, consumo de estupefacientes, uso de aparatos oftalmológicos, ortopédicos, auditivos, prótesis, así como el estado físico o mental de la persona.

Datos biométricos: Huellas dactilares, ADN, geometría de la mano, características de iris y retina, además análogos. Datos especialmente protegidos (sensibles): origen étnico o racial, características morales o emocionales, ideología y opiniones políticas, creencias, convicciones religiosas, filosóficas y preferencia sexual. Datos personales de naturaleza pública: aquellos que por mandato legal sean accesibles al público. Ley de Desarrollo Social (beneficiarios)

Protección de Datos Personales La función del derecho a la protección de datos: Garantizar a la persona el control sobre sus datos personales (tanto su uso como su destino), para impedir su tráfico ilícito y la vulneración de la dignidad del afectado.

Acceder a su información Implica Acceder a su información Conocer su inclusión en un SDP Actualizar o corregir Conocer los FINES Confidencialidad de los datos

Tema Dos Breve historia de la protección de datos personales en el Distrito Federal

Derecho a la protección de datos personales obtuvo su autonomía, al ser publicada la Ley de Protección de Datos Personales para el Distrito Federal. (3-oct) Excepción al Derecho de Acceso a la Información Pública (Capítulo de la LTAIPDF) Breviario Histórico 2003 2007 2008 2009 LTAIPDF: 8, 10, 12 fracc. V, y 38 Fracc. I y IV Reforma del Art. 6° Constitucional Fracc. II y III: protección a la vida privada, los datos personales, toda persona sin acreditar interés …. acceso gratuito a la Información Pública y a sus DP o a la rectificación. Se fortalece el tema de la Protección de Datos Personales y se incorpora en la CPEUM los Derechos ARCO Art. 16 “Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley…”

¿Pero el artículo 6 Constitucional NO regula la Libertad de Expresión y el DAIP? Efectivamente, ese artículo constitucional regula esas materias, pero tiene algunas disposiciones expresas en materia de protección de datos personales, la cuales, las ubicamos en las fracciones: II III La información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que fijen las leyes. Toda persona, sin necesidad de acreditar interés alguno o justificar su utilización, tendrá acceso gratuito […] a sus datos personales o a la rectificación de éstos.

Artículo 16 Constitucional Otro artículo constitucional en el que se regula el derecho humano a la protección de datos personales es el artículo 16, segundo párrafo, que señala: Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley.

Anotación A pesar que de que, la LTAIPRC ya no regula directamente el tema, no quiere decir que no existen algunas disposiciones al respecto: Para ejercer el Derecho de Acceso a la Información Pública no es necesario acreditar derechos subjetivos, interés legítimo o razones que motiven el requerimiento, ni podrá condicionarse el mismo por motivos de discapacidad, salvo en el caso del derecho a la Protección de Datos Personales… Art. 7 La información de carácter personal es irrenunciable, intransferible e indelegable, por lo que ninguna autoridad podrá proporcionarla o hacerla pública, salvo que medie consentimiento expreso del titular.

Otra anotación Art. 24 f. XXIII Art. 191 f. I Art. 193 (Obligaciones de los Sujetos obligados) Asegurar la protección de los datos personales en su posesión con los niveles de seguridad adecuados previstos por la normatividad aplicable Art. 24 f. XXIII (Información Confidencial) Para que los sujetos obligados puedan permitir el acceso a información confidencial requieren obtener el consentimiento de los particulares titulares de la información. Salvo las excepciones previstas en la Ley. Art. 191 f. I Toda persona por sí o por medio de representante, tiene derecho a presentar una solicitud de acceso a la información, sin necesidad de sustentar justificación o motivación alguna y tendrá acceso gratuito a la información pública y a sus datos personales en poder de los sujetos obligados, salvo los casos de excepción contemplados por esta ley. Art. 193

Los Principios rectores Tema Tres Los Principios rectores

1. Principio de Licitud artículo 5 de la LPDPDF 7 Atribuciones LICITUD Voluntad: libre, inequívoca, específica e informada. CONSENTIMIENTO Ciertos, adecuados, pertinentes y no excesivos CALIDAD DE LOS DATOS Personas autorizadas CONFIDENCIALIDAD Garantizar que solo los autorizados accedan SEGURIDAD Almacenarlos permitan el ejercicio ARCO DISPONIBILIDAD TEMPORALIDAD Destruir los datos pertinentes Necesarios Informado Principios Rectores ¿Quiénes son los autorizados? Excepciones Art. 16 LPDPDF Leyenda de Privacidad Art. 9 LPDPDF Numeral 13 de LPDPDF Art. 5 LPDPDF

1. Principio de Licitud artículo 5 de la LPDPDF Este principio implica que los: “… sistemas de datos personales [obedezcan exclusivamente a las atribuciones legales o reglamentarias] de cada ente público y deberán obtenerse a través de medios previstos en dichas disposiciones…” Los Sistemas de Datos Personales no pueden tener finalidades contrarias a las leyes o a la moral públicas

2. Principio de Consentimiento artículo 5 de la LPDPDF Este principio refiere la voluntad libre, inequívoca, específica e informada, mediante la cual, el titular de los datos personales consiente al tratamiento de sus datos personales. Cuando los entes públicos recaben datos personales, éstos, deberán utilizar el modelo de leyenda para informar el interesado (según el artículo 9 de la LPDPDF). El modelo de leyenda se encuentra en el numeral 13 de los lineamientos.

Información de la Leyenda de Privacidad Los entes públicos tienen la obligación de informar, previamente a la recolección de los datos personales, los siguientes elementos básicos: Existencia de un SDP Señalamiento del tratamiento Finalidad Fundamentos legales o atribuciones Destinatario de los datos (en caso de ser procedente) Responsable del SDP Domicilio de la OIP Posibilidad de ejercer los derechos ARCO

3. Principio de Calidad de los Datos artículo 5 de la LPDPDF Este principio implica que los datos personales deban reunir 4 elementos básicos: en relación al ámbito y finalidad para los que se hubieren obtenido. Los datos recabados deberán ser los que respondan con veracidad a la situación actual del interesado…” Ciertos Adecuados Pertinentes NO excesivos

4 . Principio de Seguridad artículo 5 de la LPDPDF Este principio consiste en garantizar que únicamente el responsable del sistema de datos personales o en su caso las personas debidamente autorizadas puedan llevar a cabo el tratamiento de los datos personales mediante procedimientos establecidos para este efecto Fuente: http://www.economiapersonal.com.ar/wp-content/uploads/2010/06/phishing-03.bmp

5. Principio de Confidencialidad artículo 5 de la LPDPDF Este principio consiste en: “… garantizar que sólo las personas autorizadas accedan a los datos personales para su tratamiento con la obligación de observar el deber de secrecía…” ¿Quiénes son los que se encuentran autorizados? Se recomienda en el segundo punto de esta diapositiva, aplicar la dinámica “Lectura comentada”, para la cual, el instructor deberá dividir a los participantes en tres grupos, a cada uno de ellos, se deberá dar un ejemplar de la LPDPDF, a fin de que, en ella identifiquen a las personas que se encuentran autorizadas para tener acceso a los datos personales; una vez realizado esto, deberán dar una definición y dar un ejemplo de las funciones que podrían desempeñar. (Dinámica de 5 min.)

Organigrama del Sistema de Datos Personales Art. 21 y 22 LPDPDF coordina a todos los responsables Decide sobre la Protección y tratamiento de los dato Personales, contenido y finalidad Se recomienda en el segundo punto de esta diapositiva, aplicar la dinámica “Lectura comentada”, para la cual, el instructor deberá dividir a los participantes en tres grupos, a cada uno de ellos, se deberá dar un ejemplar de la LPDPDF, a fin de que, en ella identifiquen a las personas que se encuentran autorizadas para tener acceso a los datos personales; una vez realizado esto, deberán dar una definición y dar un ejemplo de las funciones que podrían desempeñar. (Dinámica de 5 min.) Hace tratamiento de Datos Personales

6. Principio de Disponibilidad artículo 5 de la LPDPDF Los datos deben ser almacenados y organizados de modo que permitan, el ejercicio de los derechos ARCO de Acceso, Rectificación, Cancelación, Oposición, del interesado.

7. Principio de Temporalidad artículo 5 de la LPDPDF El principio de temporalidad, implica que los datos personales deben ser destruidos una vez que hayan dejado de ser necesarios o pertinentes a los fines para los que fueron obtenidos. Fuente: http://www.anobium.es/docs/gc_noticias/img/7EPXYabgnt.jpg

Excepciones al Consentimiento Tema Cuatro Excepciones al Consentimiento

Excepciones al Consentimiento Artículo 16 de la LPDPDF Se encuentra previsto en sus atribuciones Exista una orden judicial Se refiera a las partes de un convenio El titular no este disponible para otorgarlo El tratamiento este previsto en una ley La transmisión se realice entre entes públicos

Excepciones al Consentimiento Artículo 16 de la LPDPDF Se de a conocer a terceros para la prestación de un servicio Por razones de salud pública, emergencia o estudio epidemiológico Los datos figuren en registros públicos y su tratamiento sea necesario Excepciones al Consentimiento Artículo 16 de la LPDPDF

Sistemas de Datos Personales Tema Cinco Sistemas de Datos Personales Artículos de 6 a 12 de la LPDPDF

Obligaciones de Transparencia Publicar en la Gaceta Oficial de la Ciudad de México: la creación, modificación, o supresión de un SDP 2 Registrar Electrónico de SDP

Operación RESDP Enlace en materia de datos personales, deberá ingresar clave y contraseña asignada por la Dirección de Datos Personales

Sistema de Datos Personales (SDP) Conjunto organizado de datos personales que esté en posesión de los entes públicos, contenidos en archivos, registros, ficheros, base o banco de datos… Numeral 3 de los Lineamientos para la Protección de DP en el DF

Tipos de SDP´s Físicos: Están contenidos en registros manuales, impresos, sonoros, magnéticos, visuales u holográficos, estructurado conforme a criterios específicos relativos a personas físicas que permitan acceder sin esfuerzos desproporcionados a sus datos personales. Automatizados: Conjunto ordenado de datos de carácter personal que permita acceder a la información relativa a una persona física utilizando una herramienta tecnológica.

Creación, Modificación y Supresión de un SDP La creación, modificación y supresión de un SDP es competencia exclusiva del Titular del Ente (o equivalente). Debe ser publicada en la GODF. La publicación debe contener por lo menos, los siguientes elementos:

Supresión de un SDP lineamiento 9 El acuerdo en el que se dicte la supresión de un SDP, debe indicar: El destino de los datos ahí contenidos Medidas previstas para su destrucción. Publicarlo en la GODF al menos 30 días hábiles previos

Tema Seis Medidas de Seguridad

Niveles de Seguridad Artículo 14 de la LPDPDF Alto Datos personales: relativos a la ideología, religión, creencias, afiliación política, origen racial o étnico, salud, biométricos, genéticos o vida sexual…. Medio Datos personales: Comisión de infracciones administrativas, delitos, Hacienda pública, datos patrimoniales, servicios financieros, datos suficientes que permitan obtener una evaluación de la personalidad del individuo Básico Aplicable a todos los sistemas Responsable de seguridad Auditoría Control de acceso físico Pruebas con datos reales 3 Documento de Seguridad Funciones y obligaciones del personal autorizado al tratamiento de DP Registro de incidencias Identificación y autentificación Control de acceso Copias de respaldo Distribución de soportes Registro de acceso Telecomunicaciones + Niveles de Seguridad Artículo 14 de la LPDPDF

Niveles de Seguridad Artículo 14 de la LPDPDF 1.- Física Protección de instalaciones, equipo o sistemas 2.- Lógica Identificación y autentificación 3.- Desarrollo y aplicaciones Autorizaciones para la creación o tratamiento de los SDP 4.- Cifrado Contraseñas, claves y algoritmos 5.-Comunicaciones y redes Acceso a dominios o carga de programas

Procedimiento: Derechos ARCO Tema Siete Procedimiento: Derechos ARCO

Derechos ARCO

Medios para presentar una solicitud ARCO Existen tres modos de presentar una solicitud: electrónicamente, verbalmente, o por escrito Los tres medios más empleados son: INFOMEX-DF, TELINFODF, en la OIP

Requisitos para la solicitud de Derechos ARCO Nombre del ente Nombre del titular de los datos Descripción de lo requerido Domicilio (físico o electrónico) Modalidad en la que se requiere la información

¿Cuándo se acredita la personalidad del solicitante? (Art. 32) La personalidad del titular de los datos personales se acredita cuando se acude a las instalaciones de la OIP a recoger la respuesta. Por otros medios, sólo se podrá notificar la disponibilidad de la respuesta.

¿Cómo se acredita la personalidad? Art. 32 La UT no puede entregar información vía INFOMEX, o correo electrónico o verbalmente.

Procedimiento para ejercer los Derechos ARCO (Art. 32) Notifica la existencia de una respuesta Solicitud Entrega los datos Gestiona a través de sistema INFOMEX Turna a unidades administrativas competentes para contar con la información ¿Solicitud es clara? Sí No Prevención 5 días Desahoga la prevención Se tiene por no presentada Respuesta 15 días hábiles Sólo en OIP En cualquiera de los medios señalados Respuesta fundada y motivada firmada por el responsable del sistema y el titular de la OIP Notifica la procedencia Previa acreditación dentro de 10 días procede a rectificar Bloquea el dato 30 días hábiles Acceso Rectificación , cancelación y oposición Negativa No localización Artículo 32 Acta circunstanciada Improcedencia Artículo 36 y 12 Procedimiento para ejercer los Derechos ARCO (Art. 32)

249 Costos Concepto Monto Copia certificada por cada página $2.22 De copia simple o fotostática por cada página $0.55 Planos $97.51 Disco compacto $20.63 Audio casetes Videocasetes $53.47 Comprobado el pago, el ente tiene 3 días hábiles como máximo para la entrega. El particular una vez notificado el costo de reproducción, cuenta con 30 días hábiles para efectuar el pago. 249 Código Fiscal del D.F

Tema Ocho Medios de Defensa

o Denuncia (Art. 17 LPDPDF) Procede por: Denuncia (Art. 17 LPDPDF) Utilización de los datos de carácter personal en que se impida o se atente gravemente contra el ejercicio de los derechos de las personas o Cesión

Procedimiento de la Denuncia 20 días hábiles art.17 LPDPDF Elementos de procedencia: Nombre del denunciante. Nombre del ente obligado. Descripción clara y precisa del incumplimiento. Domicilio físico (en el D.F.) o correo electrónico. DENUNCIA INFODF ADMITE LA DENUNCIA INFODF SOLICITA AL ENTE OBLIGADO EL INFORME Y EL DICTAMEN DE LA DIRECCIÓN DE DATOS PERSONALES. UNA VEZ RECIBIDO EL INFORME Y EL DICTÁMEN EL INFODF EMITE RESOLUCIÓN Procedimiento: 4 1 2 3

Recurso de Revisión Las OIP deben orientar sobre el derecho a interponer el recurso, la forma y el plazo. Se tramitará de conformidad con lo establecido en la LTAIPDF Arts. 233-254 LTAIPRC (Art. 40 LPDPDF) Deberá interponerse dentro de los 15 días hábiles contados a partir de la fecha en que surta efectos la notificación de la resolución El Instituto deberá resolver dentro de los 30 días hábiles siguientes a la admisión del recurso. Las resoluciones del INFODF son definitivas, inatacables y obligatorias para los entes públicos. Los particulares pueden promover amparo.

Recurso de Revisión (Causales) Art. 38 LPDPDF El recurso de revisión se puede interponer por 2 causas La primera es, porque te sientes AGRAVIADO con la respuesta que te dio el ente obligado Causales de procedencia Art. 38 LPDDF La segunda, es por qué el ente público NO TE DIO RESPUESTA a tu solicitud

Recurso de Revisión Art.237 LTAIPRC El recurso de revisión deberá contener lo siguiente: I. El nombre del recurrente y, en su caso, el de su representante legal, así como del tercero interesado, si lo hay; II. El sujeto obligado ante el cual se presentó la solicitud; III. El domicilio, medio electrónico para oír y recibir notificaciones, en caso de no haberlo señalado, se harán por estrados; IV. El acto o resolución que recurre y, en su caso, el número de folio de respuesta de solicitud de acceso, V. La fecha en que se le notificó la respuesta al solicitante o tuvo conocimiento del acto reclamado, o de presentación de la solicitud en caso de falta de respuesta; VI. Las razones o motivos de inconformidad, y VII. La copia de la respuesta que se impugna, salvo en caso de falta de respuesta de solicitud. Artículo 237 Art.237 LTAIPRC

Infracciones (Art. 41 LPDPDF) Omisión o irregularidad en la atención de solicitudes ARCO. Recabar datos personales sin cumplir el Deber de Información o sin el consentimiento cuando éste es procedente. Crear sistemas sin la publicación correspondiente en la GODF. Incumplir con los principios, con las resoluciones del INFODF. Obtención fraudulenta o engañosa de datos; transmisiones indebidas (lucro) . Obstaculizar inspección del INFODF. Destruir, alterar o ceder DP sin autorización.

Taller de Documento de Seguridad noviembre de 2017 Correo: oip@salud.df.gob.mx oip@sersalud.df.gob.mx Tel: 50381700 Ext 1735 ¡GRACIAS POR SU ATENCIÓN!