LEY GENERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS: RETOS EN LA ARMONIZACIÓN JULIO A. TÉLLEZ VALDÉS CIUDAD DE PUEBLA DE ZARAGOZA 31 DE AGOSTO DE 2017

Reforma constitucional 2014 Resultó necesaria la creación de 3 instrumentos normativos: Ley General de Transparencia y Acceso a la Información Pública Gubernamental (DOF 04 de mayo 2014); Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (DOF 26 enero 2017); Ley General de Archivos (pendiente)

Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados 01 02 03 Es de orden público y de observancia general en toda la República, reglamentaria de los artículos 6o., Base A y 16, segundo párrafo, de la Constitución Política de los Estados Unidos Mexicanos, en materia de protección de datos personales en posesión de sujetos obligados. Todas las disposiciones de esta Ley General, según corresponda, y en el ámbito de su competencia, son de aplicación y observancia directa para los sujetos obligados pertenecientes al orden federal. Tiene por objeto establecer las bases, principios y procedimientos para garantizar el derecho que tiene toda persona a la protección de sus datos personales, en posesión de sujetos obligados.

LGPDPPSO. Objeto Establecer las bases, principios y procedimientos para garantizar el derecho que tiene toda persona a la protección de sus datos personales, en posesión de sujetos obligados.

Elementos de la LGPDPPSO Establecer las bases de coordinación para el Sistema Nacional de Protección de Datos Personales; Definir las competencias de los órganos garantes (federal y estatales); Establecer las bases de coordinación para que los OG locales y las unidades de transparencia sirvan como conducto de las denuncias que quieran presentarse por violaciones a leyes de PDP (en posesión de particulares y de entes públicos); Establecer y definir los principios a los que deberá sujetarse el tratamiento de datos personales; Armonización de las leyes en la materia (federal y estatales).

Aplicación e interpretación (art. 8 LGPDPPSO) La aplicación e interpretación de la presente Ley se realizará conforme a lo dispuesto en la Constitución Política de los Estados Unidos Mexicanos, los Tratados Internacionales de los que el Estado mexicano sea parte, así como las resoluciones y sentencias vinculantes que emitan los órganos nacionales e internacionales especializados, favoreciendo en todo tiempo el derecho a la privacidad, la protección de datos personales y a las personas la protección más amplia. Para el caso de la interpretación, se podrán tomar en cuenta los criterios, determinaciones y opiniones de los organismos nacionales e internacionales, en materia de protección de datos personales.

Transitorio Segundo LGPDPPSO Segundo. La Ley Federal de Transparencia y Acceso a la Información Pública, las demás leyes federales y las leyes vigentes de las Entidades Federativas en materia de protección de datos personales, deberán ajustarse a las disposiciones previstas en esta norma en un plazo de seis meses siguientes contado a partir de la entrada en vigor de la presente Ley. En caso de que el Congreso de la Unión o las Legislaturas de las Entidades Federativas omitan total o parcialmente realizar las adecuaciones legislativas a que haya lugar, en el plazo establecido en el párrafo anterior, resultará aplicable de manera directa la presente Ley, con la posibilidad de seguir aplicando de manera supletoria las leyes preexistentes en todo aquello que no se oponga a la misma, hasta en tanto no se cumpla la condición impuesta en el presente artículo.

Ley de Protección de Datos Personales del Estado de Puebla

Objeto. Garantizar el derecho que tiene toda persona a la protección de sus Datos Personales.

Objetivos de la Ley PDP Estado de Puebla I. Garantizar que toda persona pueda ejercer el derecho a la protección de los Datos Personales; II. Distribuir competencias entre el Instituto de Transparencia y los Responsables, en materia de protección de Datos Personales; III. Establecer las bases mínimas y condiciones homogéneas que regirán el Tratamiento de los Datos Personales y el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, mediante procedimientos sencillos y expeditos; IV. Proteger los Datos Personales en posesión de cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos del Estado y los Ayuntamientos de Puebla, con la finalidad de regular su debido Tratamiento; V. Garantizar la observancia de los principios de protección de Datos Personales previstos en la presente Ley y demás disposiciones que resulten aplicables en la materia; VI. Promover, fomentar y difundir una cultura de protección de Datos Personales, y VII. Establecer los mecanismos para garantizar el cumplimiento y la efectiva aplicación de las medidas de apremio y establecer un catálogo de sanciones para aquellas conductas que contravengan las disposiciones previstas en la presente Ley.

¿A quiénes aplica? I. El Poder Ejecutivo, sus Dependencias y Entidades; II. El Poder Legislativo y cualquiera de sus Órganos; III. El Poder Judicial y cualquiera de sus Órganos; IV. Los Tribunales Administrativos, en su caso; V. Los Ayuntamientos, sus Dependencias y Entidades; VI. Los órganos constitucionalmente autónomos; VII. Los Partidos Políticos, y VIII. Fideicomisos y fondos públicos.

Principales retos de la armonización

(LGPDPPSO /LPDP Estado de Puebla) Medidas de Seguridad Administrativas: Políticas y procedimientos para la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación, clasificación y borrado seguro de la información, así como la sensibilización y capacitación del personal, en materia de protección de datos personales (art. 3, f. XXI, LGPDPPSO/ art. 5, f. XXV LPDPEP); Medidas de Seguridad (LGPDPPSO /LPDP Estado de Puebla) Medidas de Seguridad Físicas: Conjunto de acciones y mecanismos para proteger el entorno físico de los datos personales y de los recursos involucrados en su tratamiento (art. 3, f. XXII, LGPDPPSO/ art. 5, f. XXVI LPDPEP); y, Medidas de Seguridad Técnicas: Conjunto de acciones y mecanismos para proteger el entorno físico de los datos personales y de los recursos involucrados en su tratamiento (art. 3, f. XXIII, LGPDPPSO/ art. 5, f. XXVII LPDPEP ).

Medidas de Seguridad Físicas Prevenir el acceso no autorizado al perímetro de la organización del Responsable, sus instalaciones físicas, áreas críticas, recursos y Datos Personales; b) Prevenir el daño o interferencia a las instalaciones físicas, áreas críticas de la organización del Responsable, recursos y Datos Personales; c) Proteger los recursos móviles, portátiles y cualquier soporte físico o electrónico que pueda salir de la organización del Responsable, y d) Proveer a los equipos que contienen o almacenan Datos Personales de un mantenimiento eficaz, que asegure su disponibilidad e integridad. Medidas de Seguridad Físicas

Medidas de Seguridad Técnicas Prevenir que el acceso a los Datos Personales, así como a los recursos, sea por usuarios identificados y autorizados; b) Generar un esquema de privilegios para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones; c) Revisar la configuración de seguridad en la adquisición, operación, desarrollo y mantenimiento del software y hardware, y d) Gestionar las comunicaciones, operaciones y medios de almacenamiento de los recursos informáticos en el Tratamiento de Datos Personales Medidas de Seguridad Técnicas

Deberes de los Responsables ( Ley PDP del Estado de Puebla) Con independencia del tipo de sistema en el que se encuentren los Datos Personales o el tipo de Tratamiento que se efectúe, el Responsable deberá establecer y mantener las medidas de seguridad de carácter administrativo, físico y técnico para la protección de los Datos Personales, que permitan protegerlos contra daño, pérdida, alteración, destrucción o su uso, acceso o Tratamiento no autorizado, así como garantizar su confidencialidad, integridad y disponibilidad. Lo anterior, sin perjuicio de lo establecido por las disposiciones vigentes en materia de seguridad emitidas por las autoridades competentes al sector que corresponda, cuando éstas contemplen una protección mayor para el Titular o complementen lo dispuesto en la presente Ley y demás normativa aplicable.

Las medidas de seguridad adoptadas por el Responsable deberán considerar (Art. 47 LPDP Puebla): I. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los Datos Personales tratados para una tercera persona no autorizada para su posesión; II. La sensibilidad de los Datos Personales tratados; III. El desarrollo tecnológico; IV. Las posibles consecuencias de una vulneración para los Titulares; V. Las Transferencias de Datos Personales que se realicen; VI. El número de Titulares, y VII. Las vulneraciones previas ocurridas en los sistemas de Tratamiento.

Ciberseguridad ¿Estamos preparados en América Latina y el Caribe Ciberseguridad ¿Estamos preparados en América Latina y el Caribe? (Informe Ciberseguridad 2016)

2017 Cost of Data Breach Study (IBM)  El costo promedio de una violación de datos (DATA BREACH) es de $3,62 millones de dólares a nivel mundial. Según el estudio sobre el costo de la brecha de datos en 2017, los "fallos en el cumplimiento" y la "precipitación para notificar" se encontraban entre las cinco razones principales por las que el costo de una infracción aumentó en Estados Unidos.

Medidas de seguridad técnicas y físicas, ¿estamos preparados? Protección contra pérdida o/y modificación Medidas de seguridad Protocolos buena prácticas Educación para los servidores públicos

GRACIAS POR SU ATENCIÓN