Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados

Objetivos Conocer los antecedentes del derecho a la protección de datos personales en México. Identificar los conceptos y figuras fundamentales para la aplicación de la LGPDPPSO. Saber las principales obligaciones que como responsables deben cumplir. 4. Conocer los procedimientos de impugnación en la materia. 5. Conocer la facultad de verificación del INAI y organismos garantes. 6. Conocer las consecuencias de incumplir con el marco normativo de la materia.

derecho a la protección de datos personales En qué consiste el derecho a la protección de datos personales Poder de disposición y control que faculta a su titular a decidir cuáles de sus datos proporciona a un tercero. Derecho a la Autodeterminación Informativa. Derecho que tiene toda persona a conocer y decidir, quién, cómo y de qué manera recaba, utiliza y comparte sus datos personales. Derecho fundamental que busca la protección de la persona en relación con el tratamiento de su información

derecho a la protección de datos personales En qué consiste el derecho a la protección de datos personales Protección de datos personales Acceso a la información Confidencialidad

En qué consiste el derecho a la protección de datos personales Acceso a la información Qué medidas de seguridad debo implementar a mis bases de datos. Tengo problemas para cargar mi información en la PNT. Cuánto tiempo debo conservar el dato personal de este titular. Cómo debo cumplir las obligaciones de transparencia. Los datos son proporcionales a la finalidad. Puedo publicar este dato personal. Debo dar conocer el aviso de privacidad con todos sus elementos. Puedo divulgar un dato personal Nuevo proyecto que trata datos personales de manera intensiva o relevante-Debo realizar una Evaluación de impacto.

Marco normativo Sector público federal Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados Ámbito privado (a nivel nacional) Ley Federal de Protección de Datos Personales en Posesión de los Particulares Entidades Federativas Leyes de protección de datos estatales APLICA

Los datos personales como un derecho humano en México 2007 Se reforma el artículo 6º constitucional Información que se refiere a la vida privada y los datos personales será protegida 2009 Se reforma el artículo 16, segundo párrafo de la CPEUM Se reconoce el derecho a la protección de datos personales como un derecho fundamental 2010 Se expide la Ley Federal de Protección de Datos Personales en Posesión de los Particulares 26 de enero 2017 Se expide la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados

¿A quién le aplica la Ley General? Son sujetos obligados en el ámbito federal, estatal y municipal, cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos.

Ámbito de aplicación objetivo Aplicable a cualquier tratamiento de datos personales que obren en soportes físicos o electrónicos, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización. OBJETO

¿A quién NO le aplica la Ley General? NO es aplicable a: Sindicatos Personas físicas o morales que reciban y ejerza recursos públicos o realice actos de autoridad en el ámbito federal, estatal y municipal Se regularán por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares

Excepciones generales del derecho a la protección de datos personales Seguridad nacional Disposiciones de orden público Seguridad y salud públicas Proteger los derechos de terceros

Diagnóstico inicial ¿Mi organización utiliza datos personales en sus actividades cotidianas? ¿De dónde obtenemos los datos personales? ¿Qué áreas intervienen en el tratamiento de datos personales? ¿Para qué se utilizamos los datos personales? ¿Con quién y para qué compartimos los datos personales? ¿Formatos en que se almacenamos los datos personales y tecnologías utilizadas? 7. ¿Cuánto tiempo conservamos los datos personales?

Conceptos Datos personales Tratamiento: Datos personales sensibles Afecten a la esfera más íntima de su titular Pueda dar origen a discriminación Conlleve un riesgo grave para éste Revelen aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual. Datos personales Cualquier información concerniente a una persona física identificada o identificable. Tratamiento: LG: art. 3, fracciones IX, X y XXXIII

Figuras previstas LG: art. 3 fracciones XV, XXVIII y XXXI

3 2 1 4 8 5 7 6 Principios Finalidad Lealtad Licitud Proporcionalidad Responsabilidad 5 Consentimiento 7 Información 6 Calidad LG: art. 16

1.Principio de licitud Tratar los datos personales conforme a las atribuciones legales conferidas al responsable LG: art. 17 L: 8

No tratar datos personales a través de medios fraudulentos o engañosos 2.Principio de lealtad No tratar datos personales a través de medios fraudulentos o engañosos LG: art. 19 L: 11

3. Principio de consentimiento Características Libre Específico Informado Tipos Tácito Expreso LG: arts. 20 y 21 L: 12 a 19

Excepciones al consentimiento Cuando una ley así lo disponga Cuando las transferencias que se realicen entre responsables, sean sobre datos personales que se utilicen para el ejercicio de facultades propias, compatibles o análogas con la finalidad que motivó el tratamiento de los datos personales Cuando exista una orden judicial, resolución o mandato fundado y motivado de autoridad competente Para el reconocimiento o defensa de derechos del titular ante autoridad competente Cuando los datos personales se requieran para ejercer un derecho o cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable LG: art.22

Excepciones al consentimiento Cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes Cuando los datos personales sean necesarios para efectuar un tratamiento para la prevención, diagnóstico, la prestación de asistencia sanitaria Cuando los datos personales figuren en fuentes de acceso público LG: art.22

Excepciones al consentimiento Cuando los datos personales se sometan a un procedimiento previo de disociación Cuando el titular de los datos personales sea una persona reportada como desaparecida en los términos de la ley en la materia LG: art.22

Fuentes de acceso público Las páginas de Internet o medios remotos o locales de comunicación electrónica, óptica y de otra tecnología Los directorios telefónicos en términos de la normativa específica Los diarios, gacetas o boletines oficiales, de acuerdo con su normativa Los medios de comunicación social Los registros públicos conforme a las disposiciones que les resulten aplicables LG: arts. 3, fracción XVII y 5

4.Principio de información Aviso de privacidad Simplificado Integral Físico Electrónico Cualquier formato LG: arts. 3, fracción II y 26 L: 26 a 32

Elementos del aviso de privacidad simplificado La denominación del responsable Las finalidades del tratamiento para las cuales se obtienen los datos personales Cuando se realicen transferencias de datos personales que requieran consentimiento, se deberá informar: Las autoridades, poderes, entidades, órganos y organismos gubernamentales de los tres órdenes de gobierno y las personas físicas o morales a las que se transfieren los datos personales Las finalidades de estas transferencias 4. Los mecanismos y medios disponibles para que el titular pueda manifestar su negativa para el tratamiento de sus datos personales para finalidades y transferencias 5. El sitio donde se podrá consultar el aviso de privacidad integral LG: 27 L: 33 y 34

Elementos del aviso de privacidad integral El domicilio del responsable. Los datos personales que serán sometidos a tratamiento, identificando aquéllos que son sensibles. El fundamento legal que faculta al responsable para llevar a cabo el tratamiento Las finalidades del tratamiento para las cuales se obtienen los datos personales, distinguiendo aquéllas que requieren el consentimiento del titular Los mecanismos, medios y procedimientos disponibles para ejercer los derechos ARCO. El domicilio de la Unidad de Transparencia Los medios a través de los cuales el responsable comunicará a los titulares los cambios al aviso de privacidad LG: 28 y 27 L: 35 a 45

Herramienta GAP sector público

5.Principio de finalidad Tratamiento de datos personales Legítimas Concretas Explicitas Lícitas LG: 18 L: 9

Finalidades distintas Cuando se traten DP para finalidades distintas a aquéllas establecidas en el AP El responsable deberá contar con: Atribuciones conferidas en ley Consentimiento del titular Salvo se trate de una persona reportada como desaparecida LG: 18 L: 10

Concluya 6.Principio de calidad Datos personales Correctos, exactos, completos, actualizados Deberán ser suprimidos Dejen de ser necesarios Concluya Periodo de conservación LG: 23 L: 21 a 23

7.Principio de proporcionalidad Tratamiento de datos personales Adecuados Relevantes Estrictamente necesarios para las finalidades LG: 25 L: 24 y 25

8.Principio de responsabilidad Destinar recursos para instrumentar programas y políticas Garantizar que sus tecnologías cumplan por defecto con lo previsto en la LGPDPPPSO Poner en práctica el programa de capacitación Elaborar políticas y programas obligatorios y exigibles al interior del R LG: 29 y 30 L: 46 a 54

Deber de confidencialidad El responsable deberá establecer controles o mecanismos que tengan por objeto que todos las personas que intervengan en cualquier fase del tratamiento de los datos personales, guarden confidencialidad respecto de éstos, aún después de finalizar la relación con el responsable LG: 42 L: 71

Derechos del titular Portabilidad LG: 43 a 47

Portabilidad de datos personales ¿Qué es la portabilidad? Vía electrónica en un formato estructurado y comúnmente utilizado Derecho a obtener una copia de los DP Derecho a transmitir los dp que se conserven en un sistema de tratamiento automatizado a otro sistema en formato electrónico a un R receptor Lineamientos que establecen los parámetros, modalidades y procedimientos para la portabilidad de dp (12.feb. 2018) LG: 57

Sobre portabilidad Formato estructurado y comúnmente utilizado: Formato electrónico accesible y legible en medios automatizados Reutilización y/o aprovechamiento Interoperabilidad Procedencia: Tratamiento por medios automatizados y en el fecu. Dp en posesión del R o sus encargados. Dp del titular o de pf vinculada a fallecido. El titular haya proporcionado directamente sus dp al R, de forma activa y consciente. No afecte los derechos y libertades de terceros. Exista relación jurídica entre el R receptor y el T, o Se de cumplimiento a una disposición legal, o El T pretenda ejercer algún derecho. Información no comprendida por la portabilidad: derivada, inferida, creada o generada por el R. No impone la obligación de almacenar, conservar dp en un formato estructurado. No implica el cese o la conclusión de la relación jurídica entre el T y el R. L Parámetros: 6 , 8 , 9, 10

Legitimación para el ejercicio de los derechos ARCOP Titular o su representante (regla general) Menores de edad, personas en estado de interdicción L:74- 76 a 81 Reglas de la legislación civil Personas fallecidas 75, 82 Acreditar interés jurídico y que haya documento fehaciente Tercero, por disposición legal o mandato judicial Excepciones LG: 49 L: acreditación 76 a 82

Atención a solicitud de ejercicio de derechos ARCOP Recurso de revisión Negativa a dar trámite Recepción de la solicitud ARCO Respuesta a más tardar los siguientes 20 días, ampliados hasta por 10 días Plazo de 15 días para hacer efectivo el ejercicio de derechos ARCO Falta de respuesta LG: 50 y 51 L: procedimiento: 83 a 107

Requisitos de la solicitud de ejercicio de derechos ARCOP Solicitud de derechos ARCO Nombre Titular Representante Domicilio para recibir notificaciones Documentos que acrediten la identidad del titular En su caso, la identidad y personalidad del representante Descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos ARCO (salvo el derecho de acceso) Descripción del derecho ARCO que se pretende ejercer LG: 52

Causales para la no procedencia de la solicitud de derechos ARCOP El titular o su representante no estén debidamente acreditados. Los datos no se encuentren en posesión del responsable. Exista un Impedimento legal. Obstaculización de actuaciones judiciales o administrativas. Exista una resolución de autoridad que restrinja el ejercicio de los derechos ARCO. La cancelación u oposición haya sido previamente realizada. Cuando el responsable no sea competente. Proteger interés jurídicos tutelados del titular. Necesarios para el cumplimiento de obligaciones contraídas por el titular. (LG 55)

Cómo se da por cumplido el ejercicio efectivo de los derechos ARCO y P Puesta a disposición del titular los dp por consulta directa, copias simples o certificadas, medios magnéticos , sonoros o cualquier otra tecnología R notifique la constancia de acredite la corrección R notifique la constancia de cancelación. R notifique la constancia de que la oposición se ha realizado. * Reciba la copia de los dp en fecu. * Se le notifique al T que el R transmisor hizo la transmisión al R receptor L: 92, 93, 94, 95, 98 L Parámetros: 22

Incompetencia, inexistencia y reconducción Cuando el R no sea competente para atender la solicitud Deberá hacer del conocimiento del T dentro de los 3 días siguientes a la presentación de la solicitud Orientarlo hacia el R competente (de ser posible) Cuando el R declare inexistencia de los DP en sus archivos, registros, sistemas o expediente Deberá constar en una resolución del Comité de Transparencia que confirme la inexistencia Cuando el R advierta que la solicitud corresponda a una materia distinta Deberá reconducir la vía haciéndolo del conocimiento al T LG: 53

Interposición del recurso de revisión Impugnación del responsable a una solicitud de ejercicio de derechos ARCO Interposición del recurso de revisión Negativa de dar trámite a toda solicitud Falta de respuesta del responsable LG: 56

Encargado El encargado deberá realizar las actividades Sin ostentar poder alguno de decisión sobre el alcance y contenido del tratamiento Limitando sus actuaciones a los términos fijados por el responsable LG: 58

Formalización de la relación responsable - encargado La relación entre el responsable y el encargado deberá estar formalizada mediante: Contrato Cualquier otro instrumento jurídico que decida el R Para acreditar su existencia, alcance y contenido LG: 59 L: 108 a 112

Contenido de las clausulas generales Cláusulas del instrumento jurídico Tratamiento conforme a las instrucciones Abstención de tratar los DP para otras finalidades Implementa- ción medidas de seguridad Información al R cuando ocurra una vulneración Confidencia- lidad de los DP Supresión o devolución de los DP una vez cumplida la relación jurídica Cuando no exista una previsión legal que exija lo contrario Abstención de transferir los DP Salvo : El R así lo determine La comunicación derive de una subcontratación Por mandato expreso de la autoridad competente LG: 59

Incumplimiento de las instrucciones del responsable Asumirá el carácter de responsable Si es persona física o moral de carácter privado LFPDPPP Autoridad, dependencia u organismo Ley de Protección de Datos del sector público que corresponda LG: 60 L: 112

Subcontratación de servicios El encargado podrá: Subcontratar servicios que impliquen el tratamiento de DP por cuenta del responsable El subcontratado asumirá el carácter de encargado en los términos de la Ley Siempre y cuando medie la autorización expresa del responsable LG: 61 y 62 L: 110

Cómputo en la nube Posibilidad de que el RESPONSABLE haga uso de servicios externos de cómputo y de infraestructura, plataformas o programas informáticos, generalmente en Internet, para el almacenamiento, resguardo y tratamiento de datos personales. El responsable solo podrá adherirse a servicios que garanticen la debida protección de los datos personales. Solo si se garantiza que el proveedor externo cuenta con políticas de protección de datos personales equivalentes a los principios y deberes establecidos en la Ley General. LG: 63 y 64 L: 111

Tipos de comunicaciones de datos personales Transferencias Remisiones

Transferencia Toda comunicación de datos personales dentro o fuera del territorio mexicano, realizada a persona distinta del titular, del responsable o del encargado LG: 3, fracción XXXIII y 65

Características de las transferencias Consentimiento, salvo excepciones. Formalizada, salvo excepciones. Se deberá comunicar el aviso de privacidad LG: 65, 66 y 69 L: 113 a 118

Transferencias que se pueden hacer aún sin el consentimiento del titular Esté prevista en la Ley, convenios o Tratados Internacionales. Se realice entre responsables, siempre y cuando los DP se utilicen para el ejercicio de facultades propias, compatibles o análogas Sea legalmente exigida para la investigación y persecución de los delitos. Sea precisa para el reconocimiento, ejercicio o defensa de un derecho ante autoridad competente, siempre y cuando medie el requerimiento de esta última . Sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios. Sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el R y el T. Sea necesaria por virtud de un contrato celebrado o por celebrar en interés del T, por el R y un tercero. En los casos en los que el R no esté obligado a recabar el consentimiento del T para el tratamiento y transmisión de sus DP . Sea necesaria por razones de seguridad nacional. LG: 70

Formalización de Transferencias nacionales o internacionales LG: 66

Excepciones a la formalización de las transferencias Transferencias nacionales Se realicen entre responsables en cumplimiento de una disposición legal o en el ejercicio de sus atribuciones Transferencias internacionales Se encuentre prevista en una ley o tratado Se realice a petición de una autoridad extranjera u organismo internacional Siempre y cuando las facultades entre los R sean homólogas Las finalidades sean análogas a aquéllas que dieron origen al tratamiento LG: 66

Remisión Toda comunicación de DP dentro o fuera del territorio mexicano, realizada exclusivamente entre el responsable y su encargado LG: 3, fracción XXVII y 71

Obligaciones del encargado en las remisiones Tratamiento conforme a instrucciones del responsable Abstención de finalidades distintas Medidas de seguridad Información en caso de vulneración Confidencialidad Supresión o devolución de datos Transferencia sólo por orden del responsable No es necesario el consentimiento del titular. No es necesario ser informadas al titular.

Acciones preventivas Esquemas de mejores practicas. Evaluaciones de impacto en la protección de datos personales. Oficial de Protección de Datos.

Implementación de los esquemas de mejores prácticas El R podrá desarrollar o adoptar esquemas de mejores prácticas En lo individual En acuerdo con: Responsables Encargados Organizaciones LG: 72 a 79

Evaluación de impacto a la protección de datos personales EIPDP es un documento mediante el cual el R valora los impactos reales respecto de un tratamiento intensivo o relevante de datos personales. Identificar y mitigar los impactos y amenazas que puedan comprometer los principios y deberes que rigen el tratamiento de los datos personales, así como los derechos de los titulares. Prevenir riesgos que pudieran producirse en los titulares respecto al tratamiento de su información personal. LG: 3, fracción XVI y 74

Evaluación de impacto a la protección de datos personales El SNT emitió las Disposiciones administrativas para la elaboración, presentación y valoración de las EIPDP (23.ene.2018)

¿Cuándo elaborar una Evaluación de impacto? Cuando el responsable pretenda: *Poner en operación *Modificar Políticas públicas Sistemas o plataformas informáticas Aplicaciones electrónicas o cualquier otra tecnología Que impliquen el tratamiento intensivo o relevante de dp LG: 74 y 75

¿Qué es un tratamiento intensivo o relevante? Se considerará tratamiento intensivo o relevante de DP cuando: Existan riesgos inherentes a los dp a tratar Se traten dp sensibles Se efectúen o pretendan efectuar transferencias LG: 75 DAEI: 8

Tratamientos intensivos o relevantes particulares Cambiar finalidades que justificaron su origen por finalidades incompatibles. Tratar dp de grupos vulnerables como origen étnico, estado de salud, preferencia sexual, situación económica y nivel de instrucción. Crear bases de datos personales concernientes a un número elevado de titulares. Llevar a cabo cruces de información con múltiples sistemas o plataformas electrónicas. Usar tecnologías de vigilancia, aeronaves o aparatos no tripulados, minería de datos, biometría, Internet de las cosas, radiofrecuencia, geolocalización o cualquier otra tecnología q se desarrolle en el futuro. Revertir la disociación de datos personales (9 L). DAEI: 9

Procedimiento de la Evaluación de impacto a la protección de datos personales 30 días previos a la fecha en que se pretenda poner en operación 30 días siguientes para la emisión de un dictamen no vinculante Presentación de la evaluación de impacto LG: 77 y 78

Evaluaciones de impacto en la protección de datos personales interinstitucionales Elaborar una evaluación y presentarla ante 2 o más responsables pretenden, de manera conjunta o coordinada, implementar o modificar Orden Federal Instituto Orden Federal, Estatal y/o Municipal Instituto y los organismos garantes competentes Orden Estatal y/o Municipal de una sola entidad federativa Organismo Garante de dicha entidad Orden Estatal y/o Municipal de dos o más entidades federativas Organismos Garantes de dichas entidades federativas según corresponda Orden Municipal de dos o más entidades federativas DAEI: 11

Contenido mínimo de las EIPDP Descripción de lo que se pretenda implementar o modificar. Justificación de la implementación o modificación. Representar el ciclo de vida de los datos personales a tratar. Identificar, analizar y describir la gestión de riesgos. Análisis de cumplimiento normativo. Resultados de las consultas externas. Opinión técnica del oficial de protección de datos personales. Cualquier otra información considerada relevante. DAEI: 14, 15,17 a 22 Dirección General de Normatividad y Consulta

Descripción de la política pública Denominación Nombre de la política pública, programa, sistema o plataforma Objetivos generales y específicos que persigue Fundamento legal Categorías de los titulares Datos personales tratados Finalidades del tratamiento Procesos, fases, actividades operativas Fuentes de donde se obtienen los datos personales Transferencias Tiempo de duración de la política Tecnología que se pretenda utilizar Medidas de seguridad Nombre y cargo de servidor público que cuente con facultades para decidir y autorizar la puesta en marcha o la modificación Cualquier otra información DAEI: 15

Realización de diligencias y/o reuniones Valoración de la EIPDP Realización de diligencias y/o reuniones Acta Día 30 Responsable presenta evaluación de impacto INAI/Organismos Garantes emiten acuerdo de admisión o un requerimiento de información Responsable cuenta con 5 días para subsanar omisiones Si el responsable advierte un cambio en los riesgos identificados respecto al tratamiento intensivo o relevante de datos personales INAI/Organismos Garantes emiten un dictamen: cumple o no cumple 5 días 5 días Informe de implementación de Recomendaciones no vinculantes 20 días Día 1 Si no subsana se tiene por no presentada El RIA interrumpe el plazo Para emitir dictamen DAEI: 23 a 32 Dirección General de Normatividad y Consulta

Dictamen No cumple con la LGPDPPSO Sentido del dictamen Dictamen Cumple con la LGPDPPSO No se emiten recomendaciones no vinculantes No cumple con la LGPDPPSO Emiten recomendaciones no vinculantes DAEI: 28 Dirección General de Normatividad y Consulta

Se pronunciará sobre la pertinencia de: Sentido del dictamen Se pronunciará sobre la pertinencia de: Los controles y medidas para eliminar o mitigar el riesgo. Los mecanismos para que la política o sistema cumpla desde el diseño y por defecto con la LGPDPPSO. La puesta en operación o modificación de la política pública o sistema informático. También podrá: Orientar al responsable para el fortalecimiento de las obligaciones de la LFPDPPSO, señalando medidas o acciones en función de las características generales y particulares de la política pública. DAEI: 29 Dirección General de Normatividad y Consulta

Consultas - Opinión técnica Consulta por parte del responsable ante el Instituto u organismo garante: Presentarla en el domicilio del Instituto o de los organismos garantes. Describirá detalladamente el tratamiento que se pretende efectuar o modificar. Incluir datos de la persona designada para proporcionar mayor información y/o documentación al respecto. La consulta podrá ir acompañada de aquellos documentos que el responsable considere conveniente hacer del conocimiento del Instituto o los organismos garantes. DAEI: 12

Exención en las Evaluación de impacto Requisitos del informe Denominación y objetivos generales de la media implementada. Finalidades. Razón, motivo o situación. Consecuencias de la evaluación de impacto. Fundamento. Fecha de operación. Opinión del oficial de protección de datos personales. Mecanismos y procedimientos de cumplimiento. Se comprometen los efectos que se pretenden lograr Situación de emergencia o urgencia Causas DAEI: 33 a 37

De la exención de la presentación de la EIPDP Presentación de informe dentro de los 30 días posteriores, a la implementación Implementación o modificación por parte del responsable INAI emite notificación: -Presentado el informe -Requiera información INAI hace RIA (en su caso) Responsable atiende RIA INAI emite una respuesta: - Sí se comprometía la política pública - Reconoce situación de emergencia - Debes presentar la EIPDP por no actualizar supuestos (10 días) Día 15 5 días 5 días Día 1 DAEI: 33 a 37

Oficial de protección de datos personales Los responsables que lleven tratamientos intensivos o relevantes podrán Designar a un oficial de protección de pd Formará parte de la Unidad de Transparencia Realizará las atribuciones de la Unidad de Transparencia LG:85 DEI: 121 y 122

Procedimientos de impugnación Recurso de revisión Derecho del T a inconformarse por la respuesta que emita el R a una solicitud de ejercicio de derechos ARCO Recurso de inconformidad El T podrá impugnar ante el INAI la resolución del recurso de revisión emitido por el Organismo garante

Unidad de Transparencia u Organismo garante Recurso de revisión Unidad de Transparencia u Organismo garante Por Inconformidad por respuesta a una solicitud de derechos ARCO 15 días para su interposición, a partir del día siguiente de la notificación de la respuesta. Falta de respuesta a una solicitud de ejercicio de derechos ARCO 15 días para su interposición, a partir del día siguiente al vencimiento del plazo para dar respuesta. LG: 103

Causales de procedencia Se clasifiquen como confidenciales los DP sin que se cumplan las características señaladas en las leyes Se declare la inexistencia de los DP Se declare la incompetencia por el R Se entreguen DP incompletos Se entreguen DP que no correspondan con lo solicitado La negativa al ejercicio de los derechos ARCO No se dé respuesta a una solicitud dentro de los plazos establecidos en la Ley Se entregue o ponga a disposición DP en una modalidad o formato distinto al solicitado, o en un formato incomprensible El T se inconforme con los costos de reproducción, envío o tiempos de entrega de los DP Se obstaculice el ejercicio de los derechos ARCO, a pesar de que fue notificada la procedencia de los mismos No se dé trámite a una solicitud En los demás casos que dispongan las leyes LG: 104

Conciliación en el recurso de revisión Una vez admitido el recurso de revisión, el INAI o los Organismos garantes podrán buscar una conciliación entre el T y el R De llegar a un acuerdo, éste se hará constar por escrito y tendrá efectos vinculantes LG: 106

Resolución del recurso de revisión Presentación del recurso de revisión Dentro de los primeros 15 días de la notificación de la respuesta o del vencimiento de plazo de la misma. Proceso de determinación jurídica del INAI u Organismo garante. Resolución del recurso de revisión En 40 días y podrá ampliarse 20 días Inconformidad por respuesta a una solicitud ARCO Falta de respuesta a solicitud ARCO LG: 108

Resolución del recurso de revisión La resolución del INAI o de los Organismos garantes podrán: Sobreseer o desechar Confirmar la respuesta del R Revocar o modificar la respuesta del R Ordenar la entrega de los dp,en caso de omisión del R Las resoluciones establecerán, en su caso, los plazos y términos para su cumplimiento y los procedimientos para asegurar su ejecución LG: 111

Cumplimiento de la resolución del recurso de revisión Los R deberán informar al INAI o a los Organismos garantes el cumplimiento de sus resoluciones Ante la falta de resolución por parte del INAI o los Organismos garantes, se entenderá confirmada la respuesta del R LG: 111

Probables responsabilidades Cuando el INAI o los Organismos garantes, determinen que se pudo haber incurrido en una probable responsabilidad por el incumplimiento a las obligaciones previstas Deberán hacerlo del conocimiento del órgano interno de control o de la instancia competente para que ésta inicie, en su caso, el procedimiento de responsabilidad respectivo LG: 111

Impugnación de resoluciones INAI- Organismos garantes Contra las resoluciones de Organismos garantes se acudirá al INAI interponiendo el recurso de inconformidad El Poder Judicial de la Federación mediante el Juicio de Amparo Contra las resoluciones del INAI se acudirá al Juicio de Amparo ante PJF LG: 116

Recurso de inconformidad Ante el El T podrá impugnar la resolución del recurso de revisión emitida por el organismo garante LG: 117

Causales de procedencia Procederá contra las resoluciones que: Clasifiquen los DP sin que se cumplan las características señaladas Determinen la inexistencia de DP Declaren la negativa de DP, es decir: Se entreguen DP incompletos Se entreguen DP que no correspondan con los solicitados Se niegue el acceso, rectificación, cancelación u oposición de DP Se entregue o ponga a disposición DP en un formato incomprensible El T se inconforme con los costos de reproducción, envío, o tiempos de entrega de los DP Se oriente a un trámite específico que contravenga lo dispuesto en el 54 LG: 118

Resolución del recurso de inconformidad Las resoluciones del Instituto podrán: Sobreseer o desechar el recurso Confirmar la resolución del Organismo garante Revocar o modificar la resolución del Organismo garante Ordenar la entrega de los DP en caso de omisión del R LG: 124

Recurso de inconformidad INAI resolverá en no más de 30 días, el plazo podrá ampliarse una sola vez por un periodo igual. Si con el RI se modifica o revoca la resolución del organismo garante local, éste deberá emitir un nuevo fallo, dentro de los 15 días siguientes en que se hubiere notificado la resolución dictada o se tenga conocimiento de la resolución dictada en la inconformidad. LG: 120

Responsabilidades administrativas durante el recurso de inconformidad Cuando el INAI determine durante la sustanciación del recurso de inconformidad, que se pudo haber incurrido en una probable responsabilidad Deberá hacerlo del conocimiento del órgano interno de control o de la instancia competente para que ésta inicie, en su caso, el procedimiento de responsabilidad respectivo LG: 124

INAI conocerá recursos de revisión Facultad de atracción INAI conocerá recursos de revisión Pendientes de resolución Por su interés y trascendencia Competencia original de los Organismos garantes De: Oficio A petición Organismos garantes Recurrente LG: 130

Finalidad del tratamiento de los DP. Factores a considerar Finalidad del tratamiento de los DP. Numero y tipo de titulares involucrados en el tratamiento. Sensibilidad de los dp. Posibles consecuencias que derivarían por el tratamiento indebido o indiscriminado de los dp. Relevancia del tratamiento en atención al impacto social o económico y del interés publico para conocer el recurso de revisión . LG: 130

Procedimiento de Verificación Facultad de verificación INAI Organismos garantes Verificar y vigilar Cumplimiento del marco normativo LG: 146

Denuncia Tipos de verificación Oficio Titular Cualquier persona INAI u Organismos Garantes Cuenten con indicios que hagan presumir fundada y motivada la existencia de violaciones Denuncia Titular Cuando considere que ha sido afectado por actos del R que puedan ser contrarios a lo dispuesto en la LGPDPPSO Cualquier persona Cuando tenga conocimiento de presuntos incumplimientos a las obligaciones previstas LG: 147

Plazos para presentar la denuncia El derecho a presentar una denuncia precluye En 1 año contado a partir del día siguiente en que se realicen los hechos u omisiones Cuando los hechos u omisiones sean de tracto sucesivo El término empezará a contar a partir del día hábil siguiente al último hecho realizado LG: 147

Requisitos para presentar la denuncia Nombre de la persona que denuncia o de su representante El domicilio o medio para recibir notificaciones La relación de hechos y los elementos con los que cuente para probar su dicho El R denunciado y su domicilio o los datos para su identificación y/o ubicación La firma del denunciante o de su representante En caso de no saber firmar, bastará huella digital LG: 148

El INAI o los Organismos garantes podrán ordenar medidas cautelares Si del desahogo de la verificación se advierte Daño inminente Daño irreparable El INAI o los Organismos garantes podrán ordenar medidas cautelares Siempre y cuando no impidan el cumplimiento de las funciones ni el aseguramiento de bases de datos LG: 149

Finalidades de las medidas cautelares Sólo podrán tener una finalidad Correctiva Temporal Hasta que los R lleven a cabo las recomendaciones hechas por el INAI o los Organismos garantes LG: 149

Conclusión de la verificación Concluirá con la resolución que emita el INAI o los Organismos garantes Establezcan las medidas que deberá adoptar el R LG: 150

Verificación LG: 149

Medidas de apremio  Para el cumplimiento de las resoluciones emitidas por el Instituto o los Organismos garantes. Sanciones  por incumplimiento de las obligaciones establecidas en la Ley General. LG: 152 y 163

Medidas de apremio Multa Amonestación pública Cumplimiento de las resoluciones del INAI o los Organismos garantes podrán imponer: Amonestación pública Multa Equivalente a la cantidad de 150 hasta 1,500 veces el valor diario de la UMA LG: 153

Se requerirá el cumplimiento al superior jerárquico Si a pesar de la ejecución de las medidas de apremio no se cumpliere con la resolución Se requerirá el cumplimiento al superior jerárquico Para que en el plazo de 5 días lo obligue a cumplir sin demora Transcurrido el plazo, sin que se haya dado cumplimiento, se dará vista la autoridad competente en materia de responsabilidades LG: 154

Multas se harán efectivas por Las multas que fijen el INAI y los Organismos garantes se harán efectivas Por el SAT o las Secretarías de Finanzas de las entidades federativas LG: 155 y 156

Clasificación de las medidas de apremio Para calificar las medidas de apremio el INAI y los Organismos garantes deberán considerar: Gravedad de la falta del R determinada por elementos como: Daño causado Indicios de intencionalidad Duración del incumplimiento de las determinaciones del INAI o los Organismos garantes y la afectación al ejercicio de sus atribuciones Condición económica del infractor Reincidencia LG: 158 LG: 157

Plazo de aplicación de las medidas de apremio Las medidas de apremio deberán aplicarse e implementarse En un plazo máximo de 15 días, contados a partir de que sea notificada la medida de apremio al infractor LG: 159

Condición económica del infractor El INAI o los Organismos garantes podrán requerir al infractor la información para determinar su condición económica En caso de no proporcionarla, las multas se cuantificarán con base a los elementos que se tengan a disposición como: Registros públicos Medios de información Páginas de Internet propias del R Cualquiera que evidencie su condición LG: 160 a 162

Sanciones LG: 163

Causas de responsabilidad consideradas graves Conductas graves Actuar con negligencia, dolo o mala fe durante la sustanciación de las solicitudes Incumplir los plazos de atención previstos en la para responder las solicitudes o para hacer efectivo el derecho de que se trate Dar tratamiento, de manera intencional, a los DP en contravención a los principios y deberes Llevar a cabo la transferencia de DP en contravención a lo previsto Crear bases de DP en contravención a lo dispuesto por el artículo 5 de la Ley Omitir la entrega del informe anual y demás informes a que se refiere la LGTAIP o entregar el mismo de manera extemporánea Reincidencia en las conductas previstas Causas de responsabilidad consideradas graves LG: 163, fracción I, II, IV, VI, X, XII y XIV

Sanciones Orden civil Orden penal O cualquier otro tipo INE Las responsabilidades resultado de procedimientos administrativos son independientes INE Organismos públicos locales electorales de las entidades federativas Partidos políticos INAI u organismo garante dará vista OIC del Responsable relacionado Fideicomisos o fondos públicos INAI u organismo garante dará vista LG: 164, 165 y 166

Obligaciones del responsable respecto al tratamiento Identificar las facultades expresas que la normatividad aplicable le confiera al responsable. Establecer finalidades concretas, explícitas, lícitas y legítimas para el tratamiento de datos personales. Prohibición de utilizar datos personales de manera engañosa o fraudulenta. Recabar de manera previa el consentimiento del titular para el tratamiento de sus datos personales, ya sea en su modalidad tácita o expresa según corresponda, salvo que se actualice alguna causal de excepción prevista en el artículo 22 de la Ley General. Suprimir de los archivos, registros los datos personales una vez que dejen de ser necesarios. Establecer y documentar los procedimientos para la conservación y, en su caso, bloqueo y supresión de los datos personales. Recabar y utilizar los datos personales estrictamente necesarios. Dar a conocer al titular el aviso de privacidad. Implementar mecanismos para acreditar el cumplimiento de los principios, deberes y obligaciones establecidos en la Ley General. Rendir cuentas sobre el tratamiento de datos personales en su posesión, al titular como al INAI.

Obligaciones del responsable respecto al tratamiento 11. Establecer controles o mecanismos para asegurar que toda persona que intervenga en el tratamiento guarde confidencialidad respecto de éstos. 12. Establecer y mantener medidas de seguridad de carácter administrativo, físico y técnico. 13. Contratar o adherirse a servicios, aplicaciones e infraestructura en el cómputo en la nube que cumplan con los principios y deberes establecidos en la Ley General. 14. Diseñar, implementar, operar, un sistema de gestión de la seguridad. 14. Elaborar un documento de seguridad y actualizarlo, conforme sea necesario. 15. Informar sin dilación al titular y al Instituto u organismo garante las vulneraciones de seguridad. 16. Establecer procedimientos sencillos que permitan el ejercicio de los derechos ARCO. 17. Formalizar toda prestación de servicios que involucre un tratamiento de datos personales.

Obligaciones del responsable respecto al tratamiento 19. Formalizar las transferencias mediante cláusulas contractuales. 20. Gestionar las solicitudes para el ejercicio de los derechos ARCO. 21. Designar a un oficial de protección de datos personales cuando el responsable, lleve a cabo tratamientos relevantes o intensivos de datos personales. 22. Colaborar con el INAI para capacitar y actualizar de forma permanente a sus servidores públicos. 23. Atender los requerimientos de información en la sustanciación del recurso de revisión. 24. Proporcionar al INAI o los organismos garantes la documentación que solicite con motivo de un procedimiento de verificación. 25. Realizar una evaluación de impacto a la protección de datos personales previa a la puesta en operación o modificación de políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que impliquen el tratamiento intensivo o relevante de datos personales.

Gracias por su atención Dudas dirigirlas a la Dirección General de Enlace que corresponda