Taller de Protección de Datos Personales en posesión de sujetos obligados

Temática Aspectos relevantes de la Ley General de Protección de Datos Personales y su armonización estatal. Principios y deberes de los sujetos obligados en el nuevo marco de protección de datos personales Derechos ARCO y los mecanismos de impugnación

Conceptos claves de Datos Personales para sector público

¿Qué es un Dato Personal? Numérica, alfabética, alfanumérica, gráfica, fotográfica, acústica Toda información concerniente a una persona física Datos personales Identificada Identificable (cuando su identidad puede ser determinada) Datos sensibles Tratamiento

¿Qué es un Dato Personal Sensible? Estado de salud presente o futuro Aquellos que se refieran a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. origen racial o étnico s creencias religiosas, filosóficas y morales, opiniones políticas Tratamiento información genética preferencia sexual

Derecho a la Autodetermi-nación Informativa. ¿En qué consiste el derecho a la protección de datos personales? Derecho fundamental que busca la protección de la persona en relación con el tratamiento de su información Poder de disposición y control que faculta a su titular a decidir cuáles de sus datos proporciona a un tercero. Derecho a la Autodetermi-nación Informativa. Derecho que tiene toda persona a conocer y decidir, quién, cómo y de qué manera recaba, utiliza y comparte sus datos personales.

Los datos personales como derecho humano en México 2007 Se reforma el artículo 6º constitucional Información que se refiere a la vida privada y los datos personales será protegida 2009 Se reforma el artículo 16, segundo párrafo de la CPEUM Se reconoce el derecho a la protección de datos personales como un derecho fundamental 2010 Se expide la Ley Federal de Protección de Datos Personales en Posesión de los Particulares 27 de julio de 2017 Se publica la Ley de Protección de Datos Personales de Veracruz 26 de Enero 2017 Se expide la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados

Protección de datos personales: un derecho humano autónomo DERECHO DE ACCESO A LA INFORMACIÓN PÚBLICA DERECHO A LA PROTECCIÓN DE DATOS PERSONALES Artículo 6º apartado A CPEUM Interés colectivo de conocer el actuar gubernamental Artículos 6º Apartado A fracción II y 16 segundo párrafo CPEUM Interés colectivo de que se respete la intimidad, privacidad y dignidad de las personas I N T E R É S P Ú B L I C O

Ley Federal de Protección de Datos Personales en Posesión Particulares Sector Público Federal Ley General de Protección de Datos Personales en posesión de Sujetos Obligados Estatal Ley 316 de Veracruz Sector Privado Ley Federal de Protección de Datos Personales en Posesión Particulares Marco Jurídico

para Autoridades Federales para Entidades Federativas Importancia de la Ley General. Sector público Ley General Prevé Conceptos, figuras y principios de acuerdo con los estándares nacionales e internacionales. Estándares mínimos que permitan uniformar el derecho a la protección de datos personales en el país en el sector público ley marco Facultades para Autoridades Federales Facultades para Entidades Federativas

Ley 316 de Protección de Datos Personales en Posesión de Sujetos Obligados Gaceta Oficial del Estado número extraordinario 298, de fecha 27 de julio de 2017 Retoma las bases de la ley general, fortalecida con disposiciones de la Ley 581 para la Tutela de los Datos Personales y desarrollo normativo que beneficia el derecho a la protección de datos personales.

Sujetos Obligados

Tratamiento de Datos Personales Elaboración Utilización Uso Obtención Registro Conservación Organización Comunicación Almacenamiento Acceso Difusión Transferencia Posesión Disposición Divulgación Manejo

Persona física a quien corresponden los datos personales. Titular Los sujetos obligados por la Ley y quien decide sobre el tratamiento de los datos personales Son instancias públicas, no personas físicas. Tienen el poder de decisión respecto al uso, finalidades, tipo de datos. Reciben solicitudes para ejercicio de derechos ARCO. Responsable Persona física o jurídica, pública o privada, ajena a la organización del responsable, que trata datos personales en nombre y por cuenta de éste. Encargado

Comunicaciones Transferencias Remisiones

Transferencia: Toda comunicación de DP dentro o fuera del territorio mexicano, realizada a persona distinta del titular, del responsable o del encargado. Remisión: Toda comunicación de DP dentro o fuera del territorio mexicano, realizada exclusivamente entre el responsable y el encargado.

Responsables deben contar con: Integrado conforme a la Ley General de Transparencia y Acceso a la Información Pública. Autoridad máxima en la materia de protección datos personales. Confirma, modifica o revoca declaraciones de inexistencia de datos personales o negativas de ejercicio de derechos ARCO Comité de transparencia Integrada conforme a la Ley General y Local de Transparencia. Gestiona las solicitudes de ejercicio de derechos ARCO. Asesora a las áreas adscritas sobre datos personales Puede contar con Oficial de Protección de Datos Personales. Unidad de transparencia

Innovaciones en la Ley General

Cómputo en la Nube Posibilidad de que el RESPONSABLE haga uso de servicios externos de cómputo y de infraestructura (plataformas o programas informáticos) generalmente disponibles por medio de Internet, para el almacenamiento, resguardo y tratamiento de datos personales.

Vulneraciones en la Nube El responsable podrá hacer uso de servicios en la nube Solo si se garantiza que el proveedor externo cuenta con políticas de protección de datos personales equivalentes a los principios y deberes establecidos en la Ley.

Derecho de Portabilidad El titular puede ejercer ante un responsable (sujeto obligado) el derecho a obtener sus datos personales en un formato estructurado comúnmente utilizado (formato electrónico) para su uso posterior. Empoderamiento del Titular de los Datos Personales Elección de servicios

Esquema de acciones preventivas Esquemas de mejores prácticas previstos en la Ley Evaluaciones de Impacto ante un tratamiento intensivo o relevante de datos personales Los organismos garantes podrán emitir recomendaciones no vinculantes especializadas en la materia. Privacidad por diseño Figura del Oficial de Protección de Datos Cumplimiento

Procedimiento de verificación El procedimiento de verificación podrá tener una duración máxima de 50 días. Cumplimiento de principios de protección de datos Concluirá con la resolución que emita el IVAI.

Medidas de apremio y sanciones Medidas de apremio  Para el cumplimiento de las resoluciones emitidas. Amonestación Pública Multa AMONESTACIÓN El Instituto y los Organismos Garantes podrán imponer como medidas de apremio las siguientes:  ·         Amonestación Pública ·         Multa (cincuenta a mil quinientas veces el valor de la UMA) Si se diera el incumplimiento de las medidas de apremio, se requerirá al superior jerárquico que lo haga cumplir sin demora. Las multas que fije el Instituto y los organismos garantes se harán efectivas por medio del SAT o las Secretarias de Finanzas Locales. Para calificar las medidas de apremio se considerará: Gravedad de la falta, condición económica del infractor y reincidencia. SANCIONES La Ley General de Datos establece las cuales por las cuales se establecen las sanciones, de las cuales destacan: ·         Actuar con negligencia. ·         Usar, sustraer, divulgar, ocultar, alterar, mutilar, destruir o inutilizar, total o parcialmente y de manera indebida datos personales, que se encuentren bajo su custodia o a los cuales tengan acceso o conocimiento con motivo de su empleo, cargo o comisión. ·         No contar con el aviso de privacidad, o bien, omitir en el mismo alguno de los elementos a que refiere el artículo 27 de la presente Ley, según sea el caso, y demás disposiciones que resulten aplicables en la materia; ·         Llevar a cabo la transferencia de datos personales, en contravención a lo previsto en la presente Ley; ·         No acatar las resoluciones emitidas por el Instituto y los Organismos garantes A su vez, se señala que las sanciones de carácter económico no podrán ser cubiertas con recursos públicos. Por su parte, se señala que los incumplimientos que se susciten de los partidos políticos se dará vista al INE o en su caso, a los institutos locales.   Sanciones  por incumplimiento de las obligaciones establecidas en la Ley General (catálogo de sanciones).

Innovaciones de Veracruz Establecer la generación de un Programa Estatal de Protección de datos personales El oficial de Protección de Datos Personales podrá ser designado, no sólo cuando exista tratamiento intensivo, sino cuando así lo estime conveniente el sujeto obligado y existirá un proceso de certificación. Tratamiento de datos personales en caso de desastres naturales. Desarrollo del procedimiento de verificación Normas para la mejor atención de solicitudes de derechos ARCO

Disposiciones de la ley anterior Registros Públicos Historial Clínico Video-vigilancia y ficheros de control de acceso Boletines Judiciales, listas de acuerdos y Estrados La obligación de presentar un informe anual Niveles de seguridad

Régimen transitorio Abrogó la Ley 581 para la Tutela de Datos Personales y aquellas disposiciones que la contravengan. El IVAI debe modificar su normatividad interna a más tardar en un año Los responsables expedirán sus avisos de privacidad a más tardar 3 meses (27/OCT/2017) Los sujetos obligados ajustarán su normatividad y su gestión, así como los sistemas de datos personales a más tardar en un año. El IVAI expedirá el Programa Estatal de Protección de Datos Personales en un plazo de doce meses.

Principios y deberes en el nuevo marco de protección de datos personales

Principios del tratamiento de Datos Personales Responsabilidad Licitud En todo tratamiento de datos personales se deben observar los principios rectores Información Lealtad Finalidad Consentimiento Calidad Proporcionalidad

Correlación de artículos Artículos de la LPDPPSOV Principio Artículos de la LPDPPSOV Licitud 13 Finalidad 14 Lealtad 15 Consentimiento 16, 17, 18, 19, 20, 21, 22, 23, 24 Calidad 25 y 26 Proporcionalidad 27 Información 28, 29, 29, 30, 31, 32, 33, 34, 35, 36 Responsabilidad 37 y 38 Principio Consentimiento El cumplimiento de los principios no es aislado, requiere de la implementación de actividades y obligaciones previstas en toda la Ley 316 de Protección de Datos Personales en posesión de sujetos obligados de Veracruz, y demás disposiciones que sean aplicables

Obligaciones que derivan de los principios Identificar las facultades expresas que la normatividad aplicable le confiera al responsable. Establecer finalidades concretas, explícitas, lícitas y legítimas para el tratamiento de datos personales acordes a las que normatividad les confiera. Prohibición de utilizar datos personales de manera engañosa o fraudulenta. Recabar de manera previa el consentimiento del titular para el tratamiento de sus datos personales, ya sea en su modalidad tácita o expresa según corresponda, salvo que se actualice alguna causal de excepción prevista en la ley local.

Obligaciones que derivan de los principios 5. Adoptar las medidas necesarias para mantener exactos, completos, correctos y actualizados los datos personales. (Suprimir una vez que dejen de ser necesarios; documentar los procedimientos para la conservación y, en su caso, bloqueo y supresión de los datos personales) 6. Recabar y utilizar los datos personales estrictamente necesarios. 7. Dar a conocer al titular el aviso de privacidad.

Obligaciones que derivan de los principios 8. Implementar mecanismos para acreditar el cumplimiento de los principios, deberes y obligaciones establecidos en la ley local. - 9.Establecer y mantener medidas de seguridad. Determinarlas con base en un modelo multifactorial: riesgos, sensibilidad de DP, tecnología, transferencias llevadas a cabo y vulneraciones. Elaborar un documento de seguridad. Informar las vulneraciones al titular y al IVAI. Llevar una bitácora de vulneraciones. 10. Establecer controles o mecanismo para asegurar que toda persona que intervenga en el tratamiento guarde confidencialidad.

Principio de Información Documento a disposición del titular de forma física, electrónica o en cualquier formato generado por el responsable, a partir del momento en el cual se recaben sus datos personales, con el objeto de informarle los propósitos del tratamiento de los mismos. Modalidades Simplificado Art. 31 Integral Art. 32

Elementos a considerar Conocer la legislación de datos personales. Identificar las actividades o procedimientos en los que recaban, utilizan o tratan los datos personales. Distinguir cómo obtiene los datos personales. Identificar para que finalidades se utilizan los datos y qué datos son recopilados, en el que deberá considerar que las finalidades deben ser concretas, lícitas, explícitas y legítimas y que el tratamiento de los datos se limitará a aquellas que haya expresado en el aviso de privacidad. En la descripción de los datos se debe valorar que deben ser aquellos estrictamente necesarios para cumplir con las finalidades. Identificar las transferencias que se realicen distinguiendo aquellas que requieren consentimiento. Buscar una redacción adecuada según se trate el usuario o población objetivo (incluso previsiones particulares para menores de edad, personas con capacidades diferentes o grupos vulnerables). Elaborar primero el Aviso integral, para después extraer el aviso simplificado.

Aviso de privacidad Prohibiciones Características Usar frases inexactas, ambiguas o vagas; Incluir textos o formatos que induzcan al titular a elegir una opción en específico; Marcar previamente casillas, en caso de que éstas se incluyan para que el titular otorgue su consentimiento; y Remitir a textos o documentos que no estén disponibles para el titular en el aviso de privacidad. Características Debe ser sencillo; Con la información necesaria; Expresado en lenguaje claro; y Con una estructura y diseño que facilite su comprensión.

Tipo de medio de difusión Medios que se puede utilizar para difundir o dar a conocer el aviso de privacidad Tipo de medio de difusión Descripción Físicos Entrega individual del aviso, colocar letrero o anuncio, inserción del aviso en formato o documento por el que se recolecte el dato personal. Electrónicos Correo electrónico, inserción en la plataforma o sistema electrónico que se utilice, Internet, o la tecnología que así lo permita tomando en consideración las prohibiciones. Sonoros A través de los servidores públicos o personal que brinde atención al público de forma directa o vía telefónica por grabaciones previamente establecidas. Ópticos o visuales Proyección en pantallas o difusión de carteles.

Implicaciones

Letrero

Incorporado a un formato impreso } Aviso de privacidad simplificado o integral: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX Lista de asistencia a cursos Nombre procedencia firma Aviso de privacidad simplificado o integral. xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Electrónico Aviso de privacidad simplificado o integral: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Electrónico

Aviso de privacidad simplificado Requisitos Denominación del Responsable (nombre completo sin abreviaturas) Finalidades del tratamiento (distinguir las obligatorias de las optativas) Mecanismos para manifestar negativa (sólo respecto de las optativas, y si no existen mencionarlo expresamente) Transferencias que requieran consentimiento (ver artículo 92 y 93 de ley 316) Sitio o medio para consultar el aviso de privacidad integral (señalar liga completa de la sección de avisos de privacidad)

Aviso de privacidad integral 5 elementos del aviso simplificado Requisitos Domicilio del Responsable Datos que serán sometidos a tratamiento (distinguir los datos sensibles) Fundamento legal(citar artículo o artículos de las normas que permitan hacer el tratamiento y transferencias) Mecanismos, medios y procedimientos de derechos ARCO (incluir los medios que tengan disponibles) Transferencia que requieran o no del consentimiento. Datos de la unidad de transparencia Medios para cambios en el aviso de privacidad (señalar el mecanismo que puedan cumplir)

Afectación de la legalidad del acto Consecuencias de no proporcionar Aviso de Privacidad Afectación de la legalidad del acto Responsabilidad

SISTEMAS DE DATOS PERSONALES

Base de Datos: Conjunto ordenado de datos personales referentes a una persona física identificada o identificables, condicionados a criterios determinados con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización. Sistema de datos personales: Los datos personales contenidos en los archivos de un sujeto obligado que puede comprender el tratamiento de una o diversas bases de datos para el cumplimiento de una o diversas finalidades.

Ciclo de vida de los datos personales OBTENCIÓN DE DATOS Sistema de Datos Personales Tratamiento 1 Base de Datos B Tratamiento 2 Base de Datos A - FINES HISTÓRICOS (VERSIÓN ORIGINAL) - FINES ESTADÍSTICOS (DISOCIACIÓN) CONSER-VACIÓN PROCESAMIENTO DE LA INFORMACIÓN CUMPLIMIENTO DE LAS FINALIDADES DEPURACIÓN DE DATOS DESTRUCCIÓN

Creación, modificación y supresión de Sistemas de Datos Personales Determinado por el Titular Informar al IVAI Registro electrónico y actualización MODIFICACIÓN Modificación de alguno de sus elementos Registro electrónico SUPRESIÓN Establecer el destino de los datos, en su caso, las previsiones que se adopten para su destrucción.

Elementos del Registro I. El responsable que tiene a su cargo el sistema de datos personales;   II. La denominación del sistema de datos personales, la base de datos y el tipo de datos personales objeto de tratamiento; III. La finalidad o finalidades del tratamiento; IV. El origen, la forma de recolección y actualización de datos; V. El nombre y cargo del área administrativa responsable del tratamiento; VI. Las transferencias de las que puedan ser objeto, señalando la identidad de los destinatarios; VII. La normatividad aplicable que dé fundamento al tratamiento en términos de los principios de finalidad y licitud;

Elementos del Registro  VIII. El modo de interrelacionar la información registrada;   IX. El domicilio, teléfono y correo electrónico de la Unidad de Transparencia ante la que podrán ejercitarse de manera directa los derechos ARCO; X. El tiempo de conservación de los datos; XI. El nivel de seguridad, y XII. En caso de que se hubiera presentado una violación de la seguridad de los datos personales se indicará la fecha de ocurrencia, la de detección y la de atención. Dicha información deberá permanecer en el registro un año calendario posterior a la fecha de su atención. Dicha información será publicada en el portal informativo del Instituto y se actualizará por la Unidad de Transparencia en el primer y séptimo mes de cada año.

Documento de seguridad Notificación de vulneraciones Medidas de seguridad Tipos de medidas Administrativas Físicas Técnicas Documento de seguridad Sistema de gestión Notificación de vulneraciones Integridad Confidencialidad Disponibilidad Materialización Garantizar

Derechos ARCO y los mecanismos de impugnación

Toda persona tiene Derechos: Derecho de solicitar y obtener información de los datos personales que estén en posesión de terceros, y conocer la información relacionada con las condiciones y generalidades del tratamiento. Derecho de corregir o modificar datos cuando resulten inexactos o incompletos, inadecuados o excesivos. Derecho de eliminar los datos cuando la finalidad del tratamiento haya concluido o no se ajuste a los fines que fueron recopilados. Derecho a objetar el tratamiento de los datos personales de los que sea titular, para evitar que se cause daño o perjuicio al titular o se produzcan efectos no deseados. Acceso A Rectificación R Cancelación C Oposición O

Solicitud de derechos ARCO Requisitos para el ejercicio de los derechos ARCO: Nombre del titular y su domicilio o cualquier otro medio para recibir notificaciones. Documentos que acrediten la identidad del titular. Descripción de los datos personales Descripción del derecho ARCO que pretende ejercer.

Procedimiento de solicitud de derechos ARCO Debe acreditar identidad o la del representante legal Respuesta a más tardar los siguientes 15 días, ampliados hasta por 10 días Recepción de la solicitud Plazo de 15 días para hacer efectivo el ejercicio de derechos ARCO Falta de respuesta Negativa a dar trámite Se puede prevenir Pueden existir respuestas de orientación o improcedencia Recurso de revisión

Procedimiento de recurso de revisión Presentación del recurso de revisión Dentro de los primeros 15 días de la notificación de la respuesta o del vencimiento de plazo de la misma. Proceso de determinación jurídica IVAI. Resolución del recurso de revisión No podrá exceder de 40 días y podrá ampliarse hasta por 20 días, deberán ser notificadas a más tardar el tercer día siguiente a su aprobación. CONCILIACIÓN

Facultad de atracción del INAI El Pleno del INAI, de oficio o a petición fundada de los Organismos garantes, podrá ejercer la facultad de atracción. Asimismo, los recurrentes podrán hacer del conocimiento del Instituto la existencia de recursos de revisión que de oficio podría conocer. El INAI deberá emitir los lineamientos y criterios generales para determinar los recursos de revisión de interés y trascendencia que está obligado a conocer.

Procedimientos de impugnación La resolución del recurso de revisión emitido por el Organismo garante ante el INAI, puede ser impugnada mediante el recurso de inconformidad o en Juicio de Amparo. Recurso de Inconformidad Los únicos requisitos exigibles e indispensables en el escrito de interposición del Recurso de Inconformidad son los que indica la Ley General. Amparo

Retos que son corresponsabilidad del Estado y el individuo Resguardo adecuado de datos personales Deber de secrecía (aun cuando ya no sea responsable o finalice la relación laboral) Atención de solicitudes de derechos ARCO Promover una cultura de protección de datos personales preventiva y correctiva

Mtra. Irma Rodríguez Ángel ¡ G R A C I A S ! Mtra. Irma Rodríguez Ángel Directora de Datos Personales irodriguez@verivai.org.mx Ext. 406 y 410