PROTECCIN DE DATOS PERSONALES

LIC. FRANCISCO JAVIER BARRERA GARCA

La proteccin Constitucional de los Datos Personales

Reforma Constitucional
30 de Abril de 2009, Proteccin de Datos Personales

Creacin de Ley
6 de Julio de 2010, Ley Federal de Proteccin de Datos en Posesin de Particulares

Cronograma de Proteccin de Datos

Entrada en vigor LFPDPPP 6/Julio/10

Fecha limite para: * Aviso de Privacidad *Designar Responsable 6/Julio/11

Entrada en vigor del Reglamento de la LFPDPPP 22/12/12

Los propietarios de Datos pueden ejercer los derechos ARCO Enero 2012

Qu son los datos personales?

Es cualquier informacin relacionada contigo, por ejemplo, tu nombre, telfono, domicilio, fotografa o huellas dactilares, as como cualquier otro dato que pueda servir para identificarte. Este tipo de datos te permiten adems, interactuar con otras personas, o con una o ms organizaciones, as como que puedas ser sujeto de derechos.

Qu tipo de datos personales hay?

Identificacin (nombre, domicilio, telfono, correo electrnico, firma, RFC, CURP, fecha de nacimiento, edad, nacionalidad, estado civil, etc.); Laborales (puesto, domicilio, correo electrnico y telfono del trabajo); Patrimoniales (informacin fiscal, historial crediticio, cuentas bancarias, ingresos y egresos, etc.); Acadmicos (trayectoria educativa, ttulo, nmero de cdula, certificados, etc.);

Qu tipo de datos personales hay?

Ideolgicos (creencias religiosas, afiliacin poltica y/o sindical, pertenencia a organizaciones de la sociedad civil y/o asociaciones religiosas; De salud (estado de salud, historial clnico, enfermedades, informacin relacionada con cuestiones de carcter psicolgico y/o psiquitrico, etc.); Caractersticas personales (tipo de sangre, ADN, huella digital, etc.); Caractersticas fsicas (color de piel, iris y cabellos, seales particulares, etc.); vida y hbitos sexuales, origen (tnico y racial.); entre otros.

A quin le pertenecen los datos personales?

El dueo de tus datos personales eres T, y T decides a quin, para qu, cundo y por qu los proporcionas.

Qu tienen que hacer los entes privados para garantizar la proteccin de mis datos?

Nombrar a un responsable que atienda tus solicitudes de acceso, rectificacin, cancelacin y oposicin de tus datos personales. Contar con las medidas de seguridad necesarias para garantizar tus datos contra un uso indebido o ilcito, un acceso no autorizado, o contra la prdida, alteracin, robo o modificacin de tu informacin personal. Capacitar a su personal.

Quin est obligado a proteger los datos personales?

Todos debemos proteger los datos personales, es un esfuerzo conjunto: T exigiendo tus derechos, quienes posean datos personales, observando lo establecido por la Ley y el IFAI, garantizando ese derecho.

Quin ser la autoridad responsable de proteger mis derechos materia de datos personales?

El IFAI es la autoridad garante en materia de proteccin de datos personales. La Ley le ha otorgado la facultad de difundir el conocimiento de este nuevo derecho entre la sociedad mexicana, de promover su ejercicio y vigilar su debida observancia por parte de los entes privados que posean datos personales.

Por qu es importante proteger los datos personales?

Para evitar que los datos sean utilizados para una finalidad distinta para la cual la proporcionaste, evitando con ello se afecten otros derechos y libertades, por ejemplo que se utilice de forma incorrecta cierta informacin de salud lo que podra ocasionar una discriminacin laboral, entre otros supuestos.

Quin ser la autoridad responsable de proteger mis derechos materia de datos personales?

El IFAI es la autoridad garante en materia de proteccin de datos personales. La Ley le ha otorgado la facultad de difundir el conocimiento de este nuevo derecho entre la sociedad mexicana, de promover su ejercicio y vigilar su debida observancia por parte de los entes privados que posean datos personales.

Recibirn alguna sancin las empresas que no cumplan la Ley?

El Instituto, en su carcter de autoridad garante, tiene la facultad de imponer sanciones a aquellas empresas que incumplan alguna disposicin de la Ley. A continuacin se mencionan algunas de las posibles sanciones: II. Multa de 100 a 160,000 das de salario mnimo vigente en el Distrito Federal, cuando la empresa acte con negligencia o dolo con respecto a la informacin personal, no observe los principios de proteccin de datos establecidos en la Ley u omita datos en el Aviso de Privacidad

Qu tienen que hacer los entes privados para garantizar la proteccin de mis datos?

Nombrar a un responsable que atienda tus solicitudes de acceso, rectificacin, cancelacin y oposicin de tus datos personales. Contar con las medidas de seguridad necesarias para garantizar tus datos contra un uso indebido o ilcito, un acceso no autorizado, o contra la prdida, alteracin, robo o modificacin de tu informacin personal. Capacitar a su personal.

Quin ser la autoridad responsable de proteger mis derechos materia de datos personales?

Si no ests satisfecho con lo que la empresa te respondi al ejercer tu derecho de acceso, rectificacin, cancelacin u oposicin, o bien, no obtuviste respuesta, puedes acudir al IFAI. Mediante un procedimiento sencillo y expedito, el Instituto atender tu solicitud.

Implicaciones de la LFPDPPP
Nuevas Obligaciones

Nuevas Multas
Nuevos delitos Publicidad Negativa

Acciones legales por dao moral

Perdida de confianza del cliente

Qu otras autoridades estn involucradas?

Con el propsito de coadyuvar con el Instituto en la debida aplicacin de la Ley, dependencias de la Administracin Pblica Federal colaborarn con el IFAI en la emisin de la regulacin que corresponda. Entre ellas estn las secretaras de Economa, Salud, Comunicaciones y Transportes, Hacienda y Crdito Pblico y Educacin, las cuales debern emitir normas especficas para la proteccin de los datos personales en los sectores econmico, de salud, telecomunicaciones, financiero y educativo.

Qu significa "tratamiento de datos personales"?

Se refiere a cualquier operacin que se realice con tus datos, desde su obtencin, uso, divulgacin, almacenamiento y hasta su cancelacin y supresin

Quin puede tratar los datos personales? Cualquier particular, ya sea persona fsica o moral; por ejemplo, un colegio, un hospital, un mdico, una aseguradora, un banco, una compaa telefnica, una tienda de autoservicio, un gimnasio. Todos ellos deben observar las disposiciones previstas en la Ley.

Quin puede tratar los datos personales?

Cualquier particular, ya sea persona fsica o moral; por ejemplo, un colegio, un hospital, un mdico, una aseguradora, un banco, una compaa telefnica, una tienda de autoservicio, un gimnasio. Todos ellos deben observar las disposiciones previstas en la Ley.

La importancia de la seguridad de la informacin personal

Ello contribuye a minimizar los riesgos de acciones en contra de tu informacin personal como robo, alteracin o modificacin, prdida total o parcial, transmisiones indebidas o ilcitas, accesos no autorizados y robo de identidad, entre otras, que pueden lesionar tus derechos o libertades fundamentales.

Qu es un Aviso de Privacidad? Cualquier empresa o ente privado que solicite datos personales deber elaborar un Aviso de Privacidad, documento a travs del cual podrs conocer la finalidad que tendr la informacin que se te pida. El Aviso de Privacidad deber proporcionar adems, informacin que permita identificar a la empresa que recaba los datos y deber precisar la forma de hacer efectivos los derechos de acceso, rectificacin, cancelacin y oposicin (derechos ARCO).

Aviso de Privacidad

Documento fsico, electrnico o en cualquier otro formato generado por el responsable que es puesto a disposicin del titular, previo al tratamiento de sus datos personales, de conformidad con el artculo 15 de la presente Ley.

Artculo 16.- El aviso de privacidad deber contener, al menos, la siguiente informacin:

I. La identidad y domicilio del responsable que los recaba; II. Las finalidades del tratamiento de datos; III. Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgacin de los datos; IV. Los medios para ejercer los derechos de acceso, rectificacin, cancelacin u oposicin, de conformidad con lo dispuesto en esta Ley; V. En su caso, las transferencias de datos que se efecten, y VI. El procedimiento y medio por el cual el responsable comunicar a los titulares de cambios al aviso de privacidad, de conformidad con lo previsto en esta Ley. En el caso de datos personales sensibles, el aviso de privacidad deber sealar expresamente que se trata de este tipo de datos.

Qu es un Aviso de Privacidad? En el Aviso de Privacidad la empresa deber consultarte si autorizas que se transfiera tu informacin a terceros. La empresa deber notificarte de cualquier cambio que realice al Aviso de Privacidad y pedir tu consentimiento para el nuevo uso que quiera dar a tus datos.

Qu es un Aviso de Privacidad?

El Aviso de Privacidad podr ponerse a tu disposicin a travs de medios fsicos, digitales, visuales, sonoros o de cualquier otra tecnologa.

Qu es una transferencia de datos personales?

Se refiere a cualquier tipo de comunicacin de datos realizada a una persona distinta de la empresa a la que se los proporcionaste. Dichas transferencias podrn realizarse siempre y cuando t lo autorices.

De qu manera se ejercen los derechos de acceso, rectificacin, cancelacin u oposicin (ARCO)?

Cada uno de nosotros, como titulares de los datos personales, o en su caso, un representante legal, podremos ejercer cualquiera de los derechos ARCO ante las empresas que los tengan en sus bases de datos.

De qu manera se ejercen los derechos de acceso, rectificacin, cancelacin u oposicin (ARCO)?

Las empresas privadas que cuenten con bases de datos debern designar en un rea de atencin a clientes a un responsable para recibir las solicitudes tendientes a ejercer los derechos ARCO.

De qu manera se ejercen los derechos de acceso, rectificacin, cancelacin u oposicin (ARCO)?

Es importante tener en cuenta que el ejercicio de cada uno de estos derechos es independiente entre s, es decir, no es necesario agotar uno para ejercer alguno de los otros tres.

Cul es el costo del ejercicio de los derechos ARCO?

El ejercicio de los derechos ARCO es gratuito y nicamente debers cubrir el costo por reproduccin en copias u otros formatos. En caso de que volvieras a ejercer cualquiera de los derechos en un plazo menor a doce meses, el costo no podr exceder del equivalente a tres das de salario mnimo vigente en el Distrito Federal. Si se realizaran modificaciones sustanciales al Aviso de Privacidad y surgen situaciones que ameriten nuevamente el ejercicio de un mismo derecho en menos de 12 meses, no habr costo.

En cunto tiempo se debe obtener respuesta de la persona fsica o empresa respecto del ejercicio de derechos?

Una vez presentada la solicitud, la empresa que posea tus datos cuenta con un plazo mximo de 20 das hbiles para responder, y 15 das hbiles ms para hacer efectivos los el ejercicio de derecho que solicites, en caso de que resulten procedentes. Los plazos podrn ser ampliados por una sola vez y por un periodo igual cuando existan hechos que lo justifiquen.

En qu casos puede la empresa negarse total o parcialmente a permitir el acceso, o a realizar la rectificacin o cancelacin de los datos personales, o a conceder la oposicin al tratamiento de los mismos?

Cuando el solicitante no sea el titular de los datos personales, o el representante no est debidamente acreditado Cuando la persona fsica o empresa no tenga en su posesin los datos personales

En qu casos puede la empresa negarse total o parcialmente a permitir el acceso, o a realizar la rectificacin o cancelacin de los datos personales, o a conceder la oposicin al tratamiento de los mismos? Cuando se lesionen datos personales de un tercero Cuando exista algn impedimento legal o resolucin de autoridad competente que restrinja el ejercicio de alguno de los derechos ARCO Cuando la rectificacin, cancelacin y oposicin solicitada haya sido previamente realizada. La empresa deber comunicar y justificar cuando se actualice alguno de los anteriores supuestos y no pueda llevar a cabo la accin que le fue solicitada.

Plazos de implementacin de la Ley

A fin de que tanto el IFAI, en su carcter de autoridad y como las empresas que posean datos personales se preparen para estar en condiciones de aplicar la Ley, se estableci una serie de plazos. A ms tardar un ao despus de la entrada en vigor de la Ley, las personas fsicas o morales que posean bases de datos debern expedir los Avisos de Privacidad y designar a la persona o departamento para atender las solicitudes de los titulares de los datos.

Plazos de implementacin de la Ley

Por otro lado, los titulares de los datos podrn ejercer sus derechos de acceso, rectificacin, cancelacin y oposicin ante las personas designadas por las empresas, 18 meses despus de la entrada en vigor de la Ley. En caso de que no haya una respuesta satisfactoria por parte de los entes privados, el titular de los datos podr recurrir al IFAI en un trmino aproximado de 20 meses despus de la entrada en vigor de la Ley.

Recibirn alguna sancin las empresas que no cumplan la Ley?

El Instituto, en su carcter de autoridad garante, tiene la facultad de imponer sanciones a aquellas empresas que incumplan alguna disposicin de la Ley. A continuacin se mencionan algunas de las posibles sanciones: I. Apercibimiento

Recibirn alguna sancin las empresas que no cumplan la Ley?

El Instituto, en su carcter de autoridad garante, tiene la facultad de imponer sanciones a aquellas empresas que incumplan alguna disposicin de la Ley. A continuacin se mencionan algunas de las posibles sanciones: II. Multa de 100 a 160,000 das de salario mnimo vigente en el Distrito Federal, cuando la empresa acte con negligencia o dolo con respecto a la informacin personal, no observe los principios de proteccin de datos establecidos en la Ley u omita datos en el Aviso de Privacidad

III. Multa de 200 a 320,000 das de salario mnimo vigente en el Distrito Federal, en los casos previstos en las fracciones VIII a XVIII del artculo anterior, y IV. En caso de que de manera reiterada persistan las infracciones citadas en los incisos anteriores, se impondr una multa adicional que ir de 100 a 320,000 das de salario mnimo vigente en el Distrito Federal. En tratndose de infracciones cometidas en el tratamiento de datos sensibles, las sanciones podrn incrementarse hasta por dos veces, los montos establecidos

SALARIO MNIMO

DOF: 21/12/2012 Resolucin del H. Consejo de Representantes de la Comisin Nacional de los Salarios Mnimos que fija los salarios mnimos generales y profesionales vigentes a partir del 1 de enero de 2013. SEGUNDO.- Los salarios mnimos generales que tendrn vigencia a partir del 1 de enero de 2013 en las reas geogrficas a que se refiere el punto resolutorio anterior, como cantidad mnima que deben recibir en efectivo los trabajadores por jornada ordinaria diaria de trabajo, sern los que se sealan a continuacin: Pesos rea geogrfica "A 100= $6,476.00 160,000 = $10,361,600.00 $64.76 rea geogrfica "B" $61.38

Cmo armar este rompecabezas?

Crear una comisin multidisciplinaria en las reas de legal, tecnologas de la informacin, procesos

Efectuar un diagnostico que permita definir un programa de accin sobre este tema.

Comisin multidisciplinaria

Legal.- Es el punto de contacto con las autoridades y las reas internas. Es importante su participacin en el diseo, implementacin y gestin de las actividades para el cumplimiento de los requerimientos.

Comisin multidisciplinaria

Procesos de negocio.- rea encargada de ser el medio de contacto de los titulares y/o propietarios de los datos y a quienes se les debe dar respuesta, entre otras, a las solicitudes ARCO (acceso, rectificacin, cancelacin y oposicin). Ser el rea encargada de recabar, solicitar los datos y por tanto la informacin (aviso de privacidad, consentimiento).

Comisin multidisciplinaria

Tecnologa de la Informacin.- Es necesaria para la implementacin de medidas administrativas, tcnicas y fsicas para proteger la seguridad de los datos, basadas en un anlisis de riesgos. Es de suma importancia para la proteccin , administracin, conservacin, destruccin, disponibilidad, vulnerabilidad de los datos.

Diagnstico de cumplimiento

Implica que una vez conformado la comisin multidisciplinaria, que esta efectu un estudio que permita diagnosticar, en base a la legislacin vigente en Mxico, la aplicacin, proteccin, salvaguarda, destruccin, modificacin segn el caso de la informacin de la informacin que se posee.

Anlisis del flujo de la Informacin

Obtener los Datos
Mantener los Datos

Cancelar los Datos (Destruccin)

Columnas soporte
Principios Jurdicos Certeza y Seguridad Potestad de derechos ARCO

Adquisicin de informacin Internet Solicitudes de trabajo Consulta a bases de datos

Finalidades poco claras Finalidades especificas por rea Polticas diversas de tratamiento

Desconocimiento sobre transparencias de datos a terceros Poco control sobre informacin transferida

PROBLEMAS SEGURO

Estrategia de proteccin de datos

1 Definicin y organizacin del proyecto 2 Diagnstico del nivel de cumplimiento 3 Plan de accin

4 Implementacin

5 Validacin del nivel de cumplimiento

Por su atencin gracias

Francisco Javier Barrera Garca, Todos los derechos reservados. 2013, Mxico.