Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Durango.
¿En qué consiste el derecho a la protección de datos personales? Es un derecho fundamental que busca la protección de la persona en relación con el tratamiento de su información. Objeto de la Ley.- Garantizar la privacidad de toda persona, mediante el establecimiento de bases, principios, obligaciones y procedimientos para asegurar el derecho a la protección de los datos personales que se encuentren en posesión de los sujetos obligados.
FUNDAMENTO LEGAL CPEUM, Artículo 6 Base A, y 16 segundo párrafo. Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados. Constitución Local, Artículo 29, fracción III Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Durango (publicada el 11 de junio de 2017).
SON SUJETOS OBLIGADOS: En el ámbito estatal y municipal, cualquier autoridad, entidad, órgano y organismos del: Poder Ejecutivo Poder Legislativo Poder Judicial Órganos Autónomos Universidades Partidos Políticos Fideicomisos Fondos Públicos RESPONSABLES ENCARGADOS
DEBERES DE LOS RESPONSABLES Observar los Principios que establece la Ley. Generar el Aviso de Privacidad en dos modalidades: Integral y simplificado. Implementar Medidas de Seguridad, físicas, técnicas, y administrativas para la protección de los datos personales. Contar con un Sistema de Gestión. Elaborar un Documento de Seguridad. Llevar una Bitácora de las Vulneraciones a la seguridad ocurridas, en el tratamiento de datos personales.
Garantizar el ejercicio de los Derechos ARCO (Acceso, Rectificación, Cancelación, Oposición). Registrar ante el IDAIP, los sistemas de datos personales que poseen. Emitir reglamento de protección de datos personales, y demás normatividad.
PRINCIPIOS
Documento que se pondrá a disposición del titular a partir del momento en que se recaben sus datos personales, de forma física, electrónica o en cualquier formato generado por el responsable, con el objeto de informarle los propósitos del tratamiento al que serán sometidos sus datos personales.
MEDIDAS DE SEGURIDAD TÉCNICAS FÍSICAS Conjunto de acciones y mecanismos para proteger el entorno físico de los datos personales y de los recursos involucrados en su tratamiento. TÉCNICAS Conjunto de acciones y mecanismos que se valen de la tecnología relacionada con hadware y software para proteger el entorno digital de los datos personales y recursos involucrados en su tratamiento . ADMINISTRATIVAS Políticas y procedimientos para la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación, clasificación y borrado seguro de la información, así como la sensibilización, formación y capacitación del personal, en materia de protección de datos personales.
SISTEMA DE GESTIÓN Las acciones relacionadas con las medidas de seguridad para el tratamiento de los datos personales deberán estar documentadas y contenidas en un sistema de gestión. Se entenderá por sistema de gestión al conjunto de elementos y actividades interrelacionadas para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de los datos personales, de conformidad con lo previsto en la LPDP y las demás disposiciones que le resulten aplicables en la materia.
DOCUMENTO DE SEGURIDAD Instrumento que describe y da cuenta de manera general sobre las medidas de seguridad técnicas, físicas y administrativas adoptadas por el responsable para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que posee. ELEMENTOS I. El inventario de datos personales y de los sistemas de tratamiento II. Las funciones y obligaciones de las personas que traten datos personales III. El análisis de riesgos IV. El análisis de brecha V. El plan de trabajo VI. Los mecanismos de monitoreo y revisión de las medidas de seguridad VII. El programa general de capacitación
BITÁCORA DE VULNERACIONES El responsable deberá llevar una bitácora de las vulneraciones a la seguridad en la que se describa ésta, la fecha en la que ocurrió, el motivo de ésta y las acciones correctivas implementadas de forma inmediata y definitiva. Algunas que se consideran como vulneraciones: La pérdida o destrucción no autorizada; El robo, extravío o copia no autorizada; El uso, acceso o tratamiento no autorizado; El daño, la alteración o modificación no autorizada.
A oponerse a cualquier forma de tratamiento de sus datos personales. Derechos ARCO De acceder a sus datos personales que obren en posesión del responsable. Acceso A solicitar al responsable la rectificación o corrección de sus datos personales, cuando estos resulten ser inexactos, incompletos o no se encuentren actualizados. Rectificación A solicitar la cancelación de sus datos personales de los archivos, registros, expedientes y sistemas del responsable, a fin de que los mismos ya no estén en su posesión. Cancelación Cancelación El titular de los datos personales tendrá DERECHO: A oponerse a cualquier forma de tratamiento de sus datos personales.
MEDIOS DE IMPUGNACIÓN *Recurso de revisión ante el IDAIP Procedimiento de Conciliación *Recurso de Inconformidad ante el INAI *Juicio de Amparo ante el Poder Judicial de la Federación
Registrar ante el IDAIP, los sistemas de datos personales que poseen los responsables.
Es importante saber:
MEDIDAS DE APREMIO El Instituto podrá imponer las siguientes medidas de apremio para asegurar el cumplimiento de las determinaciones emitidas: I. Amonestación pública II. Multa equivalente a la cantidad de ciento cincuenta hasta mil quinientas veces el valor diario de la Unidad de Medida y Actualización.
INFRACCIONES Y SANCIONES (ALGUNAS) Actuar con negligencia, dolo o mala fe durante la sustanciación de las solicitudes para el ejercicio de los derechos ARCO. Multa de 500 a 1500 veces el valor diario de la Unidad de Medida y Actualización. Usar, sustraer, divulgar, ocultar, alterar, mutilar, destruir o inutilizar, total o parcialmente y de manera indebida datos personales, que se encuentren bajo su custodia o a los cuales tengan acceso o conocimiento con motivo de su empleo, cargo o comisión. Multa de 150 a 500 veces el valor diario de la Unidad de Medida y Actualización. No contar con el aviso de privacidad, o bien, omitir en el mismo alguno de los elementos a que refiere el artículo 21 de la Ley, según sea el caso, y demás disposiciones que resulten aplicables en la materia. Multa de 150 a 500 veces el valor diario de la Unidad de Medida y Actualización.
Incumplir los plazos de atención previstos en la presente Ley para responder las solicitudes para el ejercicio de los derechos ARCO o para hacer efectivo el derecho de que se trate. Multa de 500 a 1500 veces el valor diario de la Unidad de Medida y Actualización. Dar tratamiento, de manera intencional, a los datos personales en contravención a los principios y deberes establecidos en la presente Ley. Multa de 500 a 1500 veces el valor diario de la Unidad de Medida y Actualización.
Por su atención Muchas Gracias cecilia_loera@idaip.org.mx