LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE Implementación de la LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS Dra. Gabriela Montes 22 de noviembre de 2017

Regulación del derecho a la protección de datos personales en México

El derecho a la protección de datos personales Derecho fundamental de tercera generación que busca la protección de la persona en relación con el tratamiento de su información Impone una serie de deberes a los involucrados en el tratamiento para garantizar la protección de la información personal Reconoce al ciudadano la facultad de controlar sus datos personales y la capacidad para disponer y decidir sobre los mismos (autodeterminación informativa)

Evolución del Derecho a la protección de datos personales en México El DPDP se reguló como una restricción al derecho de acceso a la información Se reconoce el derecho a la protección de datos personales como derecho independiente 26 de enero de 2017 Nueva etapa del derecho a la protección de datos personales 1 año para emitir lineamientos al INAI PNPDP SNT Entra en vigor al día siguiente de la publicación 6 meses Para homologar legislación estatal Lineamientos del SNT Sin plazo 26 de julio de 2017 2002 Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental 2009 Reformas a los artículo 6, 16 y 73 Constitución 2010 Ley Federal de Protección de Datos Personales en Posesión de Particulares 28-Abril-16 Senado Aprueban Ley General de Datos Personales Sujetos Obligados 13-dic-16 Diputados Aprueban Ley General de Datos Personales Sujetos Obligados 26 de enero de 2018

Leyes estatales de protección de datos personales Legislación en México (Ámbitos de competencia ) Ámbito Federal INAI Ámbito local ICAI Sector privado empresas, profesionistas, sindicatos, ONG … Gobierno Estatal Gobierno municipal Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su reglamento. Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados Gobierno Federal Secretarías, etc. Leyes estatales de protección de datos personales

Avance en el proceso de armonización BAJA CALIFORNIA SONORA Estados que contaban con ley de datos y publicaron nueva ley homologada a la Ley General en el plazo previsto. Estados que no contaban con ley de datos, publicaron ley de datos homologada a la Ley General en el plazo previsto Estados que no contaban con ley de datos, publicaron ley de datos homologada a la Ley General fuera del plazo previsto Estados con Ley de Datos no armonizada conforme a la Ley General Estados sin Ley de Datos personales publicada CHIHUAHUA BAJA CALIFORNIA SUR COAHUILA SINALOA NUEVO LEÓN DURANGO ZACATECAS TAMAULIPAS NAYARIT SAN LUIS POTOSÍ AGS GUANAJUATO YUCATÁN QUER. JALISCO HIDALGO ESTADO DE MÉXICO COLIMA MICHOACÁN CDMX TLAXCALA QUINTANA ROO MOR PUEBLA VERACRUZ CAMPECHE TABASCO GUERRERO OAXACA CHIAPAS

Ley General de Protección de Datos Personales Novedades de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados Publicada en el DOF el 26 de enero de 2017

Fideicomisos y fondos públicos.  El INAI será órgano garante en el ámbito federal para… Cualquier autoridad o entidad, órgano u organismo de los poderes Ejecutivo, Legislativo y Judicial Órganos autónomos Partidos políticos Fideicomisos y fondos públicos. Los sindicatos continuarán siendo sujetos obligados de la Ley Federal de Protección de Datos Personales en Posesión de Particulares.

Novedades de la LGPDPPSO Estandarización en la denominación y definición de los sujetos en materia de datos personales. Titular. Responsable. Encargado. Homogeneidad en la denominación de los medios de impugnación Recurso de revisión Recurso de inconformidad Catálogo de responsabilidades administrativas en materia de protección de datos personales

Establece obligaciones a Reconoce 4 derechos a los particulares Novedades de la LGPDPPSO Establece obligaciones a los sujetos obligados Reconoce 4 derechos a los particulares 1. Acceso 8 principios 2 deberes 1. Licitud 1. Seguridad 2. Rectificación 2. Lealtad 2. Confidencialidad 3. Cancelación 3. Consentimiento 4. Finalidad 4. Oposición 5. Proporcionalidad 6. Información * Además se reconoce el derecho a la Portabilidad de datos 7. Calidad 8. Responsabilidad

Novedades de la LGPDPPSO Portabilidad de los datos personales Derecho del titular de obtener del responsable una copia de los datos objeto de tratamiento en formato electrónico estructurado y comúnmente utilizado que le permita seguir utilizándolos. El SNT deberá emitir lineamientos para el ejercicio de este derecho

Novedades de la LGPDPPSO Establece mecanismos de defensa en caso de estar inconforme con la respuesta del sujeto obligado. 1 Se reconoce el derecho a presentar recurso de revisión ante el INAI en caso de estar inconforme con la respuesta a las solicitudes ARCO de los sujetos obligados del ámbito federal. Dentro del procedimiento del recurso de revisión se reconoce la posibilidad de conciliar (si ambas partes están de acuerdo) En caso de estar inconforme con una resolución emitida por el organismo local se puede presentar recurso de inconformidad ante el INAI. Además, el INAI puede ejercer la facultad de atracción de los recursos que considere relevantes por su interés y trascendencia. 2 3 4

Novedades de la LGPDPPSO Se establecen mecanismos preventivos para garantizar la debida protección de los datos personales Posibilidad de realizar auditorias previas a petición de los sujetos obligados Evaluaciones de impacto a la privacidad Esquemas de mejores prácticas Regulación del régimen de transferencias

Novedades de la LGPDPPSO Se reconoce el derecho a denunciar violaciones a la Ley Si alguien considera que una instancia federal está tratando sus datos personales en contra de las disposiciones de la Ley podrá denunciar ante el INAI esta situación. En supuestos diferentes al recurso de revisión, El INAI verificará el cumplimiento de la Ley a petición de parte El INAI también puede hacer verificaciones de manera oficiosa Resolverá si los sujetos obligados federales cumplieron o no la ley

Beneficios de la Ley General de Protección de Datos Personales Toda persona podrá: Estar segura que sus datos personales serán utilizados y cuidados bajo las mismas reglas mínimas en cualquier parte del país. Denunciar ante los organismos garantes estatales o el INAI, según corresponda, el uso indebido de sus datos personales. Defenderse cuando considere vulnerado o restringido su derecho a la protección de datos personales.

SUJETOS OBLIGADOS PARA EL ESTADO DE BAJA CALIFORNIA Implementación de la LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS PARA EL ESTADO DE BAJA CALIFORNIA Publicada el 18 de agosto de 2017

Son sujetos obligados Son sujetos obligados por esta Ley, en el ámbito estatal y municipal, cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, Ayuntamientos, órganos autónomos, partidos políticos, fideicomisos y fondos públicos.   Las personas físicas y jurídicas que no encuadren en la anterior figura se sujetarán a lo previsto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Por ejemplo: ONG que reciben recursos públicos Sindicatos Notarios

Persona física a quien corresponden los Conceptos clave Todos los seres humanos tenemos datos personales Titular Persona física a quien corresponden los datos personales

Obtención, uso, divulgación o almacenamiento. Conceptos clave Los datos personales son tratados al contratar o prestar un servicio público Tratamiento Obtención, uso, divulgación o almacenamiento. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales

Unidad de transparencia Involucrados en el tratamiento de datos personales Sujeto obligado que DECIDE sobre el tratamiento de los datos personales Responsable Unidad de transparencia Dar trámite a las solicitudes de derechos ARCO.  Asesorar a las áreas adscritas al Responsable en materia de protección de datos personales. Relación establecida a través de un instrumento jurídico que acredite su existencia, alcance y contenido. Persona física o jurídica, que sola o conjuntamente con otras trate DP A NOMBRE Y POR CUENTA del responsable Encargado

Si tratas datos personales Te aplica a cualquier modalidad de tratamiento de los datos personales

La ley establece 8 serie de principios y deberes Que deben observarse en las diferentes etapas de tratamiento EN LA RECOLECCIÓN DURANTE EL TRATAMIENTO ANTES DE RECOGER LOS DATOS EN LAS TRANSFERENCIAS, REMISIONES Y TRANSMISIONES AL FINALIZAR

Establece obligaciones a Reconoce 4 derechos a los particulares La Ley estatal de protección de datos al igual que la Ley General Establece obligaciones a los sujetos obligados Reconoce 4 derechos a los particulares 1. Acceso 8 principios 2 deberes 1. Licitud 1. Seguridad 2. Rectificación 2. Lealtad 2. Confidencialidad 3. Cancelación 3. Consentimiento 4. Finalidad 4. Oposición 5. Proporcionalidad 6. Información * Además se reconoce el derecho a la Portabilidad de datos 7. Calidad 8. Responsabilidad

Al igual que la Ley General, la ley estatal establece 8 principios 1 Licitud 4 Finalidad 3 Consentimiento 2. Lealtad 5 Proporcionalidad 7 Calidad 6 Información 8 Responsabilidad

Principios Licitud todo tratamiento de datos personales por parte del Responsable deberá sujetarse a las facultades o atribuciones que la normatividad aplicable le confiera. Art. 9 LDP BC

Principios Consentimiento Es necesario para el tratamiento de sus datos. Libre: Sin que medie error, mala fe, violencia o dolo que puedan afectar la manifestación de voluntad del titular; Específico: Referida a finalidades concretas, lícitas, explícitas y legítimas que justifiquen el tratamiento; e Informado: Que el titular tenga conocimiento del aviso de privacidad previo al tratamiento a que serán sometidos sus datos personales. En casos especiales Explícito: En la obtención del consentimiento de menores de edad o de personas que se encuentren en estado de interdicción o incapacidad, datos sensibles y patrimoniales. Art. 10 LDP BC

Excepción al principio de consentimiento El Responsable no estará obligado a recabar el consentimiento del titular para el tratamiento de sus datos personales en los siguientes casos:  Cuando una ley así lo disponga…  Cuando las transferencias se realicen entre responsables en ejercicio de atribuciones… Cuando exista una orden judicial, resolución o mandato fundado y motivado de autoridad competente;  Para el reconocimiento o defensa de derechos del titular ante autoridad competente; Cuando los datos personales se requieran para ejercer un derecho o cumplir obligaciones derivadas de una relación jurídica entre el titular y el Responsable; Cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes; Cuando los datos personales sean necesarios para efectuar un tratamiento para la prevención, diagnóstico, la prestación de asistencia sanitaria; Cuando los datos personales figuren en fuentes de acceso público; Cuando los datos personales se sometan a un procedimiento previo de disociación, o Cuando el titular de los datos personales sea una persona reportada como desaparecida en los términos de la ley en la materia. Art. 11 LDP BC

Principios Calidad El Responsable deberá adoptar las medidas necesarias para mantener exactos, completos, correctos y actualizados los datos personales en su posesión, a fin de que no se altere la veracidad de éstos. Cuando los datos personales hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas en el aviso de privacidad y que motivaron su tratamiento conforme a las disposiciones que resulten aplicables, deberán ser suprimidos, previo bloqueo en su caso, y una vez que concluya el plazo de conservación de los mismos. Considerar normas contables, presupuestales, fiscales cuando hay erogación de recursos; Derechos laborales;

Principios El Responsable deberá establecer y documentar los procedimientos para la conservación y, en su caso, bloqueo y supresión de los datos personales que lleve a cabo, en los cuales se incluyan los periodos de conservación de los mismos, de conformidad con lo dispuesto en el artículo anterior de la presente Ley. Proporcionalidad El Responsable sólo deberá tratar los datos personales que resulten adecuados, relevantes y estrictamente necesarios para la finalidad que justifica su tratamiento. Realizar los esfuerzos necesarios para que los datos personales tratados sean los mínimos necesarios de acuerdo con la finalidad del tratamiento que tenga lugar.

Principios Lealtad El Responsable no deberá obtener y tratar datos personales, a través de medios engañosos o fraudulentos, privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad. En todo tratamiento de datos personales, se presume que existe la expectativa razonable de privacidad, entendida como la confianza que deposita cualquier persona en el Responsable, respecto de que los datos personales proporcionados serán tratados conforme a los términos establecidos por esta Ley.

Responsabilidad El Responsable deberá implementar los mecanismos previstos en la presente Ley para acreditar el cumplimiento de los principios, deberes y obligaciones establecidos en la presente Ley y rendir cuentas sobre el tratamiento de datos personales en su posesión al titular y al Instituto. Podrá valerse de estándares o mejores prácticas nacionales o internacionales. Art. 15 LPDBC

Principios El aviso de privacidad es indispensable para considerar que el consentimiento es informado Información El Responsable deberá informar al titular, a través del aviso de privacidad, la existencia y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda tomar decisiones informadas al respecto.

¿Qué es el aviso de privacidad Documento a disposición del titular de forma física, electrónica o en cualquier formato generado por el Responsable, a partir del momento en el cual se recaben sus datos personales, con el objeto de informarle los propósitos del tratamiento de los mismos; Materializa el principio de información

Características del aviso de privacidad Deberá tener un lenguaje sencillo, claro y comprensible y con una estructura que facilite su entendimiento. Contar con información necesaria. El Responsable deberá informar al titular, a través del aviso de privacidad sobre la existencia y características principales del tratamiento al que serán sometidos sus datos personales, Para que el titular pueda tomar decisiones informadas al respecto.

Estructura y diseño del Aviso de Privacidad No usar frases inexactas, ambiguas o vagas; Para su redacción tomar en cuenta el perfil del titular; No incluir textos o formatos que induzcan al titular a elegir una opción en específico; No incluir casillas previamente marcadas, y No remitir a textos o documentos que no estén disponibles para el titular.

¿Cómo se da a conocer? Por regla general, el aviso de privacidad deberá ser difundido por los medios electrónicos y físicos con que cuente el Responsable. Aviso de privacidad Aviso de privacidad Aviso de privacidad Aviso de privacidad Depende de la forma en la que se recaben los datos personales

Elementos del aviso de privacidad El aviso simplificado deberá contener la siguiente información: I.  La denominación del Responsable; II.  Las finalidades del tratamiento para las cuales se obtienen los datos personales, distinguiendo aquéllas que requieran el consentimiento del titular; III. Cuando se realicen transferencias de datos personales que requieran consentimiento, se deberá informar:  a) Las autoridades, poderes, entidades, órganos y organismos gubernamentales del Estado de Baja California Sur, estatales o municipales, o en su caso, de cualquiera de los tres órdenes de gobierno y las personas físicas o jurídicas a las que se transfieren los datos personales, y  b) Las finalidades de estas transferencias; IV. Los mecanismos y medios disponibles para que el titular, en su caso, pueda manifestar su negativa para el tratamiento de sus datos personales para finalidades y transferencias que requieren su consentimiento; y V. El sitio donde se podrá consultar el aviso de privacidad integral. Art. 14 LPDBC

Elementos del aviso integral El aviso de privacidad integral, además de lo dispuesto en las fracciones del artículo anterior, deberá contener, al menos, la siguiente información:  El domicilio del Responsable;  Los datos personales que serán sometidos a tratamiento, identificando aquéllos que son sensibles;  El fundamento legal que faculta al Responsable para llevar a cabo el tratamiento;  Las finalidades del tratamiento para las cuales se obtienen los datos personales, distinguiendo aquéllas que requieren el consentimiento del titular;  Los mecanismos, medios y procedimientos disponibles para ejercer los derechos ARCO;  El domicilio de la Unidad de Transparencia; y  Los medios a través de los cuales el Responsable comunicará a los titulares los cambios al aviso de privacidad. Art. 14 LPDBC

Fines determinados en el uso de datos personales El tratamiento de datos personales debe ser sólo el necesario para cumplir con la finalidad determinada y legítima que se señaló en el aviso de privacidad de manera clara y objetiva. Primarias Secundarias Dan origen y son necesarias por la relación jurídica Finalidades distintas a las que dieron origen a la relación jurídica o bien aquellas que sean permitidas de forma explícita por una ley o reglamento o el responsable haya obtenido el consentimiento. El titular puede negarse u oponerse al tratamiento de sus datos para estas finalidades, sin afectar la relación jurídica con el responsable. Cualquier otra finalidad, solo con previo consentimiento del titular

Establece obligaciones a Reconoce 4 derechos a los particulares La Ley estatal de protección de datos al igual que la Ley General Establece obligaciones a los sujetos obligados Reconoce 4 derechos a los particulares 1. Acceso 8 principios 2 deberes 1. Licitud 1. Seguridad 2. Rectificación 2. Lealtad 2. Confidencialidad 3. Cancelación 3. Consentimiento 4. Finalidad 4. Oposición 5. Proporcionalidad 6. Información * Además se reconoce el derecho a la Portabilidad de datos 7. Calidad 8. Responsabilidad

Deberes Seguridad Con independencia del tipo de sistema en el que se encuentren los datos personales o el tipo de tratamiento que se efectúe, el Responsable deberá establecer y mantener las medidas de seguridad de carácter administrativo, físico y técnico para la protección de los datos personales, que permitan protegerlos contra daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, así como garantizar su confidencialidad, integridad y disponibilidad. Confidencialidad El Responsable deberá establecer controles o mecanismos que tengan por objeto que todas aquellas personas que intervengan en cualquier fase del tratamiento de los datos personales, guarden confidencialidad respecto de éstos, obligación que subsistirá aún después de finalizar sus relaciones con el mismo. Lo anterior, sin menoscabo de lo establecido en las disposiciones de acceso a la información pública.

Vulneraciones de seguridad Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos.

La cadena siempre se rompe por el eslabón más débil. Empleados mal capacitados. Anexan bases de datos por error; Rebelan datos personales por teléfono; Administrativos difunden datos de salud, etc. Tiran documentos con datos personales sin triturar Contraseñas Email 12345 Banco xxxxx

Actividades a realizar Antes de recabar los datos Taller de Sistemas de Datos Personales enero de 2019 Actividades a realizar Antes de recabar los datos

Taller de Sistemas de Datos Personales enero de 2019 Antes de la recabar los datos Revisar el marco normativo para identificar las facultades legales expresas que nos facultan para la obtención de los datos. Los datos que se recaben deben ser destinados a una Finalidad específica vinculada con la atribución legal. Que los datos personales sean pertinentes y no excesivos. (No pedir lo que no voy a utilizar o procesar).

Taller de Sistemas de Datos Personales enero de 2019 También es importante… Prever los usuarios (EXTERNOS) que voy a contratar para el tratamiento de los datos y establecer (contratos), así como los destinatarios que por ley accedan a los sistemas de datos personales. Tener claras las obligaciones en materia de datos personales. Elaborar el aviso de privacidad (simplificado e integral) Asegurarme que existan los mecanismos para obtener el consentimiento expreso (si trato datos de menores o incapaces, sensibles, biométricos o patrimoniales)

Taller de Sistemas de Datos Personales enero de 2019 Al momento de recolectar los datos Informar al Interesado No pedir datos excesivos Requerir el consentimiento inequívoco, expreso y por escrito del titular de los datos personales

Transferencias, transmisiones o remisiones de datos personales Taller de Sistemas de Datos Personales enero de 2019 El ente público no podrá difundir o ceder los datos personales contenidos en los sistemas de datos desarrollados en el ejercicio de sus funciones, salvo que haya mediado el consentimiento expreso por escrito o por un medio de autentificación similar, de las personas a que haga referencia la información. Al efecto, la oficina de información pública contará con los formatos necesarios para recabar dicho consentimiento. El encargado o responsable receptor quedará sujeto a las mismas obligaciones legales y reglamentarias del cedente, respondiendo solidariamente por la inobservancia de las mismas

Quien recibe los datos personales deberá… Taller de Sistemas de Datos Personales Quien recibe los datos personales deberá… enero de 2019  Asegurar niveles de protección y seguridad similares a los adoptados por el sujeto obligado; Debe recibir el aviso de privacidad notificado por el responsable; Debe sujetar el tratamiento a las finalidades permitidas; Si un encargado cambia la finalidad de tratamiento para lo cual lo contrato el Responsable se convierte a su vez en responsable.

Taller de Sistemas de Datos Personales enero de 2019 ¿Se incluyen cláusulas de confidencialidad en los contratos cuando se realizará el tratamiento de datos personales? Honorarios Servicios ¿En los contratos se establece que una vez que sean necesarios los datos deberá devolverlos al Ente Público?

Taller de Sistemas de Datos Personales enero de 2019 Al suprimir sistemas de datos personales Vincular a procesos archivísticos; Documentar los procesos de baja; Cuidar que la información no sea recuperable.

Establece obligaciones a Reconoce 4 derechos a los particulares La Ley estatal de protección de datos al igual que la Ley General Establece obligaciones a los sujetos obligados Reconoce 4 derechos a los particulares 1. Acceso 8 principios 2 deberes 1. Licitud 1. Seguridad 2. Rectificación 2. Lealtad 2. Confidencialidad 3. Cancelación 3. Consentimiento 4. Finalidad 4. Oposición 5. Proporcionalidad 6. Información * Además se reconoce el derecho a la Portabilidad de datos 7. Calidad 8. Responsabilidad

A R C O También reconoce el derecho a ejercer 4 derechos Acceso Acceder a mis datos personales Solicitar el Aviso de Privacidad Requerir información relacionada con las condiciones generales del tratamiento Corregir datos personales inexactos o incorrectos Supresión o eliminación de los datos personales, previo bloqueo, cuando están siendo tratados en contravención a la LFPDPPP, su Reglamento y demás disposiciones aplicables. El bloqueo es por el plazo mientras prescriben las responsabilidades derivadas del tratamiento. Solicitar el cese en el tratamiento de los datos personales por razones legítimas y de manera justificada, o bien, para fines específicos. Acceso A Rectificación R Cancelación C Oposición O

También se reconoce Portabilidad de los datos personales Vertiente de los derechos ARCO mediante el cual el titular de obtener del responsable una copia de los datos objeto de tratamiento en formato electrónico estructurado y comúnmente utilizado que le permita seguir utilizándolos. El SNT deberá emitir lineamientos para el ejercicio de este derecho.

Existen dos procedimientos para garantizar el cumplimiento de la Ley Incumplimiento de principios o deberes Inconformidad con respuesta a derechos ARCO/portabilidad u omisión de respuesta Verificación Recurso de revisión De manera oficiosa A petición de parte Incumple con la resolución Infracciones a la Ley Procedimiento de imposición de sanciones

Al proteger los datos personales en realidad se cuida A las personas

Cuida los datos personales como si los fueran tuyos que tratas como si los fueran tuyos @INAImexico @OscarGuerraFord @gaby_gimm inaimexico