La nueva Ley de Proteccin de Datos

LEY FEDERAL DE PROTECCIN DE DATOS PERSONALES EN POSESIN DE LOS PARTICULARES

Ing. Jorge Delgado, ISC, DEA, DRI, CISSP, CISA, CISM, LA-ISO27001, QSA. Security Consultant Manager jdelgado@s21sec.com

Advertencia

S21sec 2010
La informacin facilitada en este documento es propiedad de S21sec, quedando terminantemente prohibida la modificacin o explotacin de la totalidad o parte de los contenidos del presente documento, sin el consentimiento expreso y por escrito de S21sec, sin que en ningn caso la no contestacin a la correspondiente solicitud pueda ser entendida como autorizacin presunta para su utilizacin.
Pg. 2

ndice
Proteccin de datos LPDPP Principios y derechos Siguientes pasos

Pg. 3
3

Proteccin de Datos

Pg. 4

Normativa Internacional
En el mbito internacional, cabe destacar la labor de la Organizacin para la Cooperacin y el Desarrollo Econmicos (OCDE), organismo multilateral que ha elaborado importantes lineamientos y polticas sobre privacidad y proteccin de datos y proteccin al consumidor en el contexto del comercio electrnico, entre los ms importantes.

Pg. 5

La Unin Europea de Naciones

Derecho a la intimidad y libre circulacin de datos personales. Transferencia de datos personales e informacin a pases terceros. Restricciones comerciales con otros pases.
En 1977 fue aprobada la Ley de Proteccin de Datos de la RFA; en Francia, en el ao de 1978 fue publicada la Ley de Informtica, Ficheros y Libertades; posteriormente pases como Dinamarca (1978); Austria, (1978); y Luxemburgo(1979) expidieron su legislacin en la materia. El artculo 8de la Carta de los Derechos Fundamentales de la Unin Europea fue aprobado el 7 de diciembre de 2000. Seis aos despus, el Comit de Ministros del Consejo de Europa resolvi declarar el 28 de enero como el "Da de la Proteccin de los Datos Personales", con motivo del aniversario de la firma de Convenio No. 108 del Consejo de Europa para la proteccin de los datos personales en los sistemas automatizados. Dictamen 8/2003, sobre el proyecto de clusulas contractuales tipo presentado por un grupo de asociaciones empresariales. "The alternative model contract". Adoptado el 17 de diciembre de 2003 por el Grupo de trabajo de proteccin de las personas en lo que respecta al tratamiento de datos personales.(MARKT/11754/03/ES WP 84). Decisin 2004/644/CE del Consejo de 13 de septiembre de 2004, por la que se adoptan las normas de desarrollo del Reglamento 45/2001/CE del Parlamento Europeo y del Consejo relativo a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulacin de estos datos (DOCE n L 296/17 de 21 septiembre 2004). Decisin de la Comisin 2004/915/CE, de 27 de diciembre de 2004, por la que se modifica la Decisin 2001/497/CE en lo relativo a la introduccin de un conjunto alternativo de clusulas contractuales tipo para la transferencia de datos personales a terceros pases (DOCE nL 385 de 29 de diciembre de 2004).
Pg. 6

Los Estados Unidos de Amrica

Cuentan con un marco jurdico bastante amplio en materia de privacidad, tambin ha adoptado una poltica de autorregulacin (a cargo en gran medida del sector privado). Se ha ocupado ms de legislar aquellos sectores que se consideran ms sensibles y vulnerables para la sociedad, como son el sector salud y la proteccin y confidencialidad de la informacin que proporcionen nios menores de edad a sitios en Internet. Autoridad: Federal Trade Commission.
Privacy Act (1974) Fair credit reporting act of 1970 Health Insurance Portability and Accountability Act of 1996 (HIPAA) Video privacy protection act of 1983 (18 U.S.C & 2710) Childrens online privacy protection act. Family educational rights and privacy act Drivers privacy protection act Telemarketing and the telephone consumer protection act.
Pg. 7

Canad

Han seguido polticas de regulacin sobre privacidad y proteccin de datos caracterizadas por la adopcin de la llamada Tercera Va, es decir, han tratado de adoptar un marco regulatorio que no sea ni excesivamente sobre regulado por el gobierno ni tampoco que sea libremente autorregulado por las empresas.
Ley de acceso a los documentos de los Organismos Pblicos y de proteccin de datos personales de 12 junio 1982 de Qubec, modificada en 1 de marzo de 1987. Ley de acceso a la informacin y de proteccin de datos personales de 7 de julio de 1982 de Canad. Adhesin en 1984 a las Guidelines on the Protection of Privacy and Transborder Flows of Personal Data de 1980. The Privacy Act, 1991. Privacy Commissioner of Canada. Ottawa. Loi sur la protection des renseignements personnels et les documents lectroniques Loi qui a obtenue la Sanction royale le 13 avril 2000. Personal Information Protection and Electronic Documents Act ( Bill C-6). (in force on May 1, 2000). Loi sur les renseignements mdicaux. En vigueur depuis le 25 avril 2001. Loi sur la protection des renseignements personnels dans le secteur priv de la province de Qubec 11 dcembre 2003.

Pg. 8

Mxico
Mxico es integrante de diversos foros y organismos internacionales que permiten el flujo transfronterizo de datos garantizando la proteccin de los mismos Las Directrices relativas a la proteccin de la intimidad, la privacidad y de la circulacin transfronteriza de datos personales, documento adoptado por el Consejo de la OCDE. Las Directrices para la regulacin de los archivos de datos personales informatizados, Resolucin 45/85 de la Asamblea General de la ONU, adoptada el 14 de diciembre de 1990, constituyen el primer documento de mbito universal en esta materia. El Foro de Cooperacin Econmica Asia-Pacfico expidi el Marco de Privacidad de APEC, el cual enfatiza que la falta de una legislacin adecuada en la materia, genera desconfianza en los consumidores y los usuarios de comunicaciones y de otras tecnologas de la informacin. Las Directrices para la Armonizacin de la Proteccin de Datos en la Comunidad Iberoamericana, expedidas por la Red Iberoamericana de Proteccin de Datos, tienen como objeto ofrecer a los Estados iberoamericanos criterios orientativos que puedan ser de utilidad en el desarrollo de las iniciativas normativas para establecer un marco homogneo de proteccin que posibilite el intercambio de informacin entre ellos. El TLC con la Unin Europea contempla la cooperacin en materia de proteccin de los datos de carcter personal con vistas a mejorar su nivel de proteccin y prevenir los obstculos a los intercambios que requieran transferencia de datos de carcter personal. Tambin seala que las partes se obligan a garantizar un grado elevado de proteccin respecto al tratamiento de los datos de carcter personal.

Pg. 9

Ley de Proteccin de Datos Personales

Pg. 10

Apartados LFPDPP

Fundamentos

Artculo 16 Constitucional: Nadie puede ser molestado en su persona, familia, domicilio, papeles o posesiones, sino en virtud de mandamiento escrito de la autoridad competente, que funde y motive la causa legal del procedimiento. Las comunicaciones privadas son inviolables: la ley sancionara penalmente cualquier acto que atente contra la libertad y primaca de las mismas. Exclusivamente la autoridad judicial federal, a peticin de la autoridad federal que faculte la ley o del titular del ministerio pblico de la entidad federativa correspondiente, podr autorizar la intervencin de cualquier comunicacin privada

Pg. 12

Concepto del derecho a la proteccin de datos

...El contenido del Derecho fundamental a la proteccin de datos consiste en un poder de disposicin y de control sobre los datos personales que faculta a la persona para decidir cules de stos datos proporcionar a un tercero, sea el Estado o un particular, o cules puede este tercero recabar, y que tambin permite al individuo saber quin posee esos datos personales y para qu, pudiendo oponerse a esa posesin o uso .. El derecho a la autodeterminacin informativa (habeas data) es un derecho que tenemos todos a ejercer un control y poder decidir cundo, dnde, cmo y por quin son tratados nuestros datos personales.

Pg. 13

Antecedentes
El 11 de julio de 2002 se cre el primer instrumento normativo en materia de proteccin de datos personales en Mxico, la Ley Federal de Transparencia y Acceso a la Informacin Pblica Gubernamental. La Ley contempla la definicin de datos personales, as como un captulo dedicado a la proteccin de datos personales en posesin del gobierno federal y seala los principios generales que deben regir el tratamiento de los mismos: consentimiento, informacin, seguridad, calidad, entre otros, as como disposiciones generales que permiten el ejercicio de los derechos de acceso y rectificacin. El 20 de julio de 2007 fue publicada la reforma al artculo 6constitucional. Las fracciones II y III constituyen las primeras menciones constitucionales expresas que reconocen el derecho a la proteccin de datos personales. El IFAI fue creado con la Ley Federal de Transparencia en 2002. Normativa y herramientas adicionales: REGLAMENTO DE LA LEY FEDERAL DE TRANSPARENCIA Y ACCESO A LA INFORMACIN PBLICA GUBERNAMENTAL. Lineamientos de proteccin de datos personales. Sistema Persona.
Pg. 14

Legislacin
14/02/01 Propuesta de iniciativa de Ley Federal de Proteccin de Datos Personales. Fueron presentadas iniciativas, cuyas propuestas oscilaron entre el modelo garantista, que entorpece el libre flujo de datos, y el modelo liberalizado, que no plantea puntos mnimos regulatorios para dar certeza al ciudadano. 21/02/01 Propuesta de reformas al Art. 16 constitucional en materia de proteccin de datos personales 27/04/10 Aprobacin por el Congreso. 05/07/10 Publicacin de la LFPDPP en el DOF.

Pg. 15

Sinopsis LFPDPP
La Ley que se expide tiene por objeto la proteccin de los datos personales en posesin de los particulares, con la finalidad de regular su tratamiento legtimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminacin informativa de las personas. Establece que los responsables en el tratamiento de datos personales, deben observar los principios de licitud, consentimiento, informacin, calidad, finalidad, lealtad, proporcionalidad y responsabilidad. Seala que tratndose de datos personales sensibles (aspectos como origen racial o tnico, estado de salud presente o futuro, informacin gentica, creencias religiosas, filosficas y morales, afiliacin sindical, opiniones polticas, preferencia sexual) el responsable deber obtener el consentimiento expreso y por escrito del titular para su tratamiento. Se establece como obligacin de los responsables en el tratamiento de datos personales, de informar a los titulares de los datos, la informacin que se recaba de ellos y con qu fines, a travs del aviso de privacidad. Se dispone que el titular de datos o su representante legal podrn solicitar al responsable de datos personales, el acceso, rectificacin, cancelacin u oposicin respecto de los datos personales que le conciernen. Establece que el Instituto Federal de Acceso a la Informacin y Proteccin de Datos, tendr por objeto difundir el conocimiento del derecho a la proteccin de datos personales en la sociedad mexicana, promover su ejercicio y vigilar por la debida observancia.

Pg. 16

Autoridad garante
Atribuciones En trminos de esta ley, el Instituto se constituye como autoridad garante dotndolo de nuevas facultades informativas, normativas, de verificacin, resolutorias y sancionadoras. En ejercicio real de dos derechos fundamentales que se complementan: el derecho a la Informacin y el de la Proteccin de los Datos Personales. Conceptos Constituyen datos personales, nombre, telfono, domicilio, fotografa, o huellas dactilares, as como cualquier otro dato que pueda identificar a un individuo. Cada persona es propietaria de sus datos personales y slo ella decide cmo, cundo, a quin y para qu entrega su informacin personal, salvo las excepciones que marquen las leyes. Existen datos que se consideran sensibles y por lo tanto requieren de mayor proteccin, por ejemplo: origen racial o tnico, estado de salud, informacin gentica, creencias religiosas, filosficas y morales, afiliacin sindical, opiniones polticas y preferencias sexuales. Fechas Las personas podrn ejercer estos derechos e iniciar procedimientos de proteccin ao y medio despus de que entre en vigor la Ley (enero de 2012). Las empresas tienen un ao para designar responsables que atiendan las solicitudes de acceso, rectificacin, cancelacin y oposicin de los datos .

IFAIPD
Es un rgano con autonoma operativa, presupuestaria y de decisin. mbito publico: Resolver las inconformidades interpuestas en contra de las respuestas que las dependencias y entidades del Poder Ejecutivo Federal dan a las solicitudes de informacin pblica y de acceso y correccin de datos personales de los ciudadanos. Proteger los datos personales en poder de las dependencias y entidades del Poder Ejecutivo Federal. mbito privado En materia de infracciones y sanciones, se prev todo un catlogo y se otorga al IFAI la potestad sancionadora y condiciones indispensables para el cumplimiento de la ley. Para la imposicin de multas el IFAI deber ponderar, la naturaleza del dato; la notoria improcedencia o negativa del responsable; el carcter intencional o no, de la accin u omisin constitutiva de la infraccin; la capacidad econmica del responsable, y la reincidencia. Lo anterior garantiza que no se vean afectados sectores econmicos como el de las MiPymes o Pymes. Finalmente, se establece un rgimen transitorio que permitir que los sujetos obligados adecuen sus prcticas actuales y las autoridades emitan la regulacin mnima indispensable para la correcta observancia del derecho.
Pg. 18

Tipos de datos personales

Identificacin nombre, domicilio, telfono, correo electrnico, firma, RFC, CURP, fecha de nacimiento, edad, nacionalidad, estado civil, etc.; Laborales puesto, domicilio, correo electrnico y telfono del trabajo, etc.; Patrimoniales informacin fiscal, historial crediticio, cuentas bancarias, ingresos y egresos; Acadmicos trayectoria educativa, ttulo, nmero de cdula, certificados, etc.; Ideolgicos creencias religiosas, afiliacin poltica y/o sindical, pertenencia a organizaciones de la sociedad civil y/o asociaciones religiosas; De salud estado de salud, historial clnico, enfermedades, informacin relacionada con cuestiones de carcter psicolgico y/o psiquitrico, etc.; Caractersticas personales tipo de sangre, ADN, huella digital, etc.; Caractersticas fsicas color de piel, iris y cabellos, seales particulares, etc.); vida y hbitos sexuales, origen (tnico y racial; entre otros..
Pg. 19

Quin es responsable de proteger los datos?

Todos debemos proteger los datos personales: Las personas exigiendo sus derechos, Compromisos quienes posean datosInternacionalesobservando lo establecido por Personales IFAI personales, en materia de Proteccin de Datos la Ley, y el garantizando ese derecho.

Cual es el derecho de proteccin?

Es la facultad que otorga la Ley para que el propietario de los datos personales, decida a quin proporcionar su informacin, cmo y para qu. Este derecho le permite acceder, rectificar, cancelar y oponerse al tratamiento de su informacin personal. Por sus iniciales, son conocidos comnmente como derechos ARCO.
Pg. 20

Qu deben hacer los particulares?

Nombrar Compromisos Internacionales en materia de Proteccin de Datos Personales a un responsable que atienda las solicitudes de acceso, rectificacin, cancelacin y oposicin de los datos personales. Contar con las medidas de seguridad necesarias para garantizar los datos contra un uso indebido o ilcito, un acceso no autorizado, o contra la prdida, alteracin, robo o modificacin de informacin personal. Capacitar a su personal. Informar sobre el uso que dar a la informacin.

Pg. 21

Quin puede tratar datos personales?

CualquierCompromisosya sea persona fsica o moral; por ejemplo, un colegio, un particular, Internacionales en materia de Proteccin de Datos Personales hospital, un mdico, una aseguradora, un Banco, una compaa telefnica, una tienda de autoservicio. Todos ellos deben observar las disposiciones previstas en la Ley. No estn sujetos a las disposiciones de esta ley: Las sociedades de informacin crediticia (bur de crdito) debido a que ya se encuentran reguladas por la Ley de las Sociedades de Informacin Crediticia. Quienes traten (personas fsicas o morales) los datos con fines exclusivamente personales, sin afn de divulgarlos o utilizarlos de manera comercial; por ejemplo, el directorio telefnico de los amigos y contactos personales.

Pg. 22

Principios y derechos

Pg. 23

Principios
Son las reglas mnimas que deben observar las empresas o entes privados que tratan datos personales (personas fsicas o morales), garantizando con ello un uso adecuado de la informacin personal. Estos principios son: Licitud Se refiere al compromiso que deben asumir los entes privados (personas fsicas o morales) que traten tu informacin cuando se solicita la prestacin de un bien o servicio, respetando en todo momento la confianza depositada en ellos para el buen uso que le darn a los datos. Consentimiento Le permite al propietario de los datos decidir de manera informada, libre, inequvoca y especfica si quiere compartir su informacin con otras personas. Para las empresas que la posean, implica el deber de solicitar autorizacin o consentimiento del titular para que pueda tratar la informacin personal, sobre todo cuando se trata de datos sensibles. La Ley exige a las empresas soliciten consentimiento de manera expresa y por escrito. Adicionalmente, debern implementar medidas de seguridad estrictas que eviten quebrantar la confidencialidad, integridad y disponibilidad de esos datos.
Pg. 24

Principios
Calidad Los datos personales en posesin de empresas deben estar actualizados y reflejar con veracidad la realidad de la informacin, de tal manera que cualquier inexactitud no afecte al titular. Asimismo, implica que el tiempo que esa empresa conserve los datos no debe exceder ms all de lo necesario para el cumplimiento de los fines que justificaron su tratamiento. Cuando se cumpla ntegramente la finalidad para la cual se proporcionaron los datos, el tratamiento deja de ser necesario y, por lo tanto, las empresas deben cancelarlos. Informacin Se refiere a la potestad que otorga la Ley al propietario de conocer previamente las caractersticas esenciales del tratamiento a que sern sometidos los datos personales que proporciones a un ente privado o empresa. En un lenguaje comprensible, las empresas y las personas fsicas deben dar a conocer esas caractersticas a travs del "Aviso de Privacidad".

Pg. 25

Principios
Proporcionalidad Las empresas slo podrn recabar los datos estrictamente necesarios e indispensables para la finalidad que se persigue y que justifica su tratamiento. Responsabilidad Quienes traten datos personales deben asegurar que ya sea dentro o fuera de nuestro pas, se cumpla con los principios esenciales de proteccin de datos personales, comprometindose a velar siempre por el cumplimiento de estos principios y a rendir cuentas en caso de incumplimiento.

Pg. 26

Entidades
La LFPDP es de aplicacin principalmente a las siguientes figuras:

Cesionario
Persona fsica o jurdica que recibe los datos del responsable del fichero, y realiza un uso propio con los mismos.

Titular Responsable de Bases de Datos

Persona fsica o jurdica que decide sobre el uso y finalidad de los datos.

Encargado del tratamiento

Persona fsica o jurdica que con motivo de la prestacin de un servicio al responsable del fichero, puede tener acceso a los datos personales.
Pg. 27

Persona fsica que es titular de los derechos reconocidos en la Ley.

Principios de la Seguridad
Proteccin de datos de carcter personal de su:
Divulgacin Modificacin Confidencialidad Integridad

Destruccin

Disponibilidad

por agentes externos o internos, accidental o intencionadamente ! Implementacin de medidas administrativas, fsicas y tcnicas eficaces para garantizar y velar por la confidencialidad, integridad, y disponibilidad de los datos personales

Pg. 28

Aviso de Privacidad
Cualquier empresa o ente privado que solicite datos personales deber elaborar un Aviso de Privacidad, documento a travs del cual se podr conocer la finalidad que tendr la informacin que se solicite. El Aviso de Privacidad deber proporcionar adems, informacin que permita identificar a la empresa que recaba los datos y deber precisar la forma de hacer efectivos los derechos de acceso, rectificacin, cancelacin y oposicin (derechos ARCO), indicando la persona o departamento encargado de atender las solicitudes. En el Aviso de Privacidad, la empresa deber consultar al titular si autoriza que se transfiera su informacin a terceros. La empresa deber notificarte de cualquier cambio que realice al Aviso de Privacidad y pedir consentimiento para el nuevo uso que quiera dar a los datos. El Aviso de Privacidad podr ponerse a disposicin a travs de medios fsicos, digitales, visuales, sonoros o de cualquier otra tecnologa.

Pg. 29

Transferencia de Datos Personales

Se refiere a cualquier tipo de comunicacin de datos realizada a una persona distinta de la empresa a la que fueron proporcionados. Dichas transferencias podrn realizarse siempre y cuando sean autorizadas por el titular. La Ley prev que la transmisin de datos se lleve a cabo sin que medie consentimiento cuando: Est prevista en una ley o en un tratado del cual Mxico sea parte. Sea necesaria para la prevencin o diagnstico mdico. Se realice entre empresas pertenecientes a un grupo empresarial que compartan determinados procesos o polticas internas. Sea necesaria para el cumplimiento de un contrato de inters para el titular, celebrado entre la empresa que posee los datos y un tercero. Por el inters pblico de procuracin o administracin de justicia. Cuando lo solicite un juez dentro de un proceso judicial.

Pg. 30

Derecho de Acceso
Se puede solicitar a una determinada empresa que informe si en sus bases de datos tiene algn dato personal del titular. Para ejercer este derecho se presenta una solicitud (por escrito, por medios electrnicos o cualquier otra tecnologa), conteniendo: Nombre y domicilio o medio para recibir comunicaciones. Identificacin o documentos que acrediten la personalidad del representante legal. Explicacin clara y precisa de los datos personales a los cuales se quiere tener acceso. Cualquier otro elemento o documento que facilite la localizacin de datos personales. Es importante conservar la constancia de la solicitud ya que en caso de no obtener respuesta o quedar satisfecho se puede acudir al IFAI con ella (indispensable).

Pg. 31

Derecho de Rectificacin
Es el derecho que te otorga la Ley a que se corrijan los datos personales que alguna empresa tenga en sus bases. Aplica cuando los datos son incorrectos, imprecisos, incompletos o estn desactualizados. Para que la informacin sea corregida se debe presentar una solicitud (por escrito, por medios electrnicos o cualquier otra tecnologa), conteniendo: Nombre y domicilio o medio para recibir comunicaciones. Identificacin o documentos que acrediten la personalidad del representante legal. Especificar los datos que se desea rectificar, as como algn documento que justifique la rectificacin. Cualquier otro elemento o documento que facilite la localizacin de datos personales. Es importante conservar la constancia de la solicitud pues ser necesaria en caso de que decidas acudir al IFAI.

Pg. 32

Derecho de Cancelacin
Es la facultad para solicitar la cancelacin de datos de las bases que tenga una determinada empresa, la cual deber dejar de tratar tales datos, en especial cuando dicho tratamiento no cumpla con las disposiciones legales aplicables. Los datos debern ser bloqueados y, posteriormente, suprimidos de las bases de datos. Esta solicitud procede cuando la informacin personal ya no es necesaria para las actividades relacionadas con la empresa que los tiene en sus bases. La peticin se deber presentar por escrito, por medios electrnicos o cualquier otra tecnologa, conteniendo: Nombre y domicilio o medio para recibir comunicaciones. Identificacin o documentos que acrediten la personalidad del representante legal. Especificar los datos que deben ser cancelados. Cualquier otro elemento o documento que facilite la localizacin de datos personales. De ser posible, la finalidad del tratamiento para la cual son tratados los datos personales. Es importante conservar la constancia de la solicitud ya que es indispensable en caso de requerir apoyo para iniciar un procedimiento ante el IFAI.

Pg. 33

Derecho de Oposicin
Consiste en la facultad para solicitar a la empresa que pretenda realizar el tratamiento de datos personales que se abstenga de hacerlo en determinadas situaciones, por ejemplo, para fines publicitarios. La solicitud deber contener: Nombre y domicilio o medio para recibir comunicaciones. Identificacin o documentos que acrediten la personalidad del representante legal. Especificar las razones por las cuales se opone el titular al tratamiento.

Pg. 34

Procedimiento
Una vez presentada la solicitud, la empresa que posea datos cuenta con un plazo mximo de 20 das hbiles para responder, y 15 das hbiles ms para hacer efectivos el ejercicio de derecho que solicites, en caso de que resulten procedentes. Los plazos podrn ser ampliados por una sola vez y por un periodo igual cuando existan hechos que lo justifiquen. La empresa podr negar total o parcialmente las solicitudes cuando: el solicitante no sea el titular de los datos personales, o el representante no est debidamente acreditado. la persona fsica o empresa no tenga en su posesin los datos personales. se lesionen datos personales de un tercero. exista algn impedimento legal o resolucin de autoridad competente que restrinja el ejercicio de alguno de los derechos ARCO. la rectificacin, cancelacin y oposicin solicitada haya sido previamente La empresa deber comunicar y justificar cuando se actualice alguno de los anteriores supuestos y no pueda llevar a cabo la accin que le fue solicitada.

Pg. 35

En caso de mala utilizacin

Si una empresa est haciendo mal uso de datos personales, el titular puede ejercer el derecho de oposicin, a fin de que los datos no sean utilizados. La excepcin a esta disposicin opera cuando: El titular de los datos personales sea parte firmante de un contrato y el tratamiento de sus datos personales sea necesario para el cumplimiento de dicho contrato. Exista una disposicin legal que prevea su tratamiento. La cancelacin obstaculice actuaciones judiciales o administrativas vinculadas con obligaciones fiscales o la investigacin y persecucin de delitos. Su tratamiento sea necesario para realizar una accin de inters pblico. Su tratamiento sea necesario para cumplir con una obligacin que el titular de los datos haya adquirido. Los datos sean objeto de tratamiento para la prevencin o diagnstico mdico o la gestin de servicios de salud -siempre que dicho tratamiento se realice por un profesional de la salud sujeto a un deber de secreto.

Pg. 36

Procedimiento IFAI
Se puede presentar una solicitud de proteccin de datos ante el Instituto, ya sea por escrito libre o por medios electrnicos, durante los 15 das hbiles siguientes a la fecha en que la empresa haya comunicado su respuesta; o bien, a partir de que haya vencido el plazo de respuesta, sin que sta hubiera sido generada. El plazo mximo para que el IFAI emita la resolucin es de 50 das hbiles, contados a partir de la presentacin de la solicitud. Si existe causa justificada, el plazo podr ampliarse por una vez y por un periodo igual. En caso de que la resolucin que emita el Instituto sea favorable al titular de los datos, el IFAI lo notificar a la empresa o ente privado que tiene los datos; sta tendr un plazo de 10 das hbiles para hacer efectivos los derechos objeto de proteccin. Es importante destacar que la Ley prev que el procedimiento puede concluir mediante un acuerdo por escrito, firmado por las partes. En cualquier momento, el Instituto puede buscar una conciliacin, obligndose a verificar que el acuerdo suscrito sea cumplido por el ente privado. En caso de inconformidad con la resolucin, se puede promover un juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa contra la resolucin que emita el IFAI, o interponer un Juicio de Amparo.

Pg. 37

Calendario Implementacin
Actividad El Ejecutivo Federal deber expedir el Reglamento de esta Ley dentro del ao siguiente a su entrada en vigor. Las empresas designarn a una persona o departamento de datos personales (dependiendo del tamao del negocio) para atender las solicitudes de acceso, rectificacin, cancelacin u oposicin de datos personales, a ms tardar un ao despus de la entrada en vigor de la presente Ley. Las empresas expedirn los avisos de privacidad para informar a las personas sobre la finalidad en el uso de sus datos y el nombre del responsable de su proteccin, a ms tardar un ao despus de la entrada en vigor de la presente Ley. Cualquier persona podr ejercer ante los responsables designados por las empresas sus derechos de acceso, rectificacin, cancelacin y oposicin (conocidos por sus siglas como derechos ARCO) contemplados en el Captulo IV de la Ley; dieciocho meses despus de la entrada en vigor de la Ley. Cualquier persona podr dar inicio al procedimiento de proteccin de derechos ante el IFAI, en caso de alguna inconformidad ante la respuesta de la empresa, dieciocho meses despus de la entrada en vigor de la Ley.
Pg. 38

Fecha 6 Julio 2011 6 Julio 2011

6 Julio 2011

Enero 2012

Febrero 2012

Sanciones
El IFAI tiene la facultad de imponer sanciones a aquellas empresas que incumplan alguna disposicin de la Ley. Algunas de las posibles sanciones son: Apercibimiento. Multa de 100 a 160,000 das de salario mnimo vigente en el DF, cuando la empresa acte con negligencia o dolo con respecto a la informacin personal, no observe los principios de proteccin de datos establecidos en la Ley u omita datos en el Aviso de Privacidad. Multa de 200 a 320,000 das de salario mnimo general vigente en el Distrito Federal, cuando incumpla con su deber de confidencialidad en el tratamiento de los datos, cambie la finalidad del tratamiento de los mismo sin dar aviso al titular, transfiriera datos a terceros sin el consentimiento del titular, obstruya los actos de verificacin del IFAI o realice un uso ilegtimo de los datos. En caso de que persistan las infracciones de manera reiterada, el IFAI podr imponer una multa adicional que ir de 100 a 320,000 das de salario mnimo vigente en el DF. Tratndose de infracciones cometidas en el tratamiento de datos sensibles, los montos de las sanciones podrn incrementarse hasta por dos veces.
Pg. 39

Siguientes pasos para las Autoridades

Pg. 40

Reglamentacin
El IFAI deber emitir un Reglamento, con disposiciones generales, lineamientos, procedimientos, y definiciones. Para emitir la regulacin y coadyuvar en la debida aplicacin de la Ley: ciertas dependencias de la Administracin Pblica Federal colaborarn con el IFAI. entre ellas se encuentran las Secretaras de Economa, Salud, Comunicaciones y Transportes, Hacienda y Crdito Pblico y Educacin, las cuales debern emitir normas especficas para la proteccin de los datos personales en los sectores econmico, de salud, telecomunicaciones, financiero y educativo. Recomendaciones sobre medidas de seguridad aplicable. Poner a disposicin un servicio similar al Sistema Persona.

Pg. 41

Definiciones

TRATAMIENTO

+
DATOS

Operacin o procedimiento, sea o no automatizado, que permita su obtencin, uso, divulgacin, almacenamiento, cancelacin y supresin, as como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Cualquier informacin numrica, alfabtica, grfica, fotogrfica, acstica o de cualquier otro tipo concerniente a personas fsicas identificadas o identificables.

+
SOPORTE
Objeto o medio fsico que almacena o contiene datos. Documentos u objetos susceptibles de ser tratados en un sistema de informacin y sobre los cuales se pueden almacenar y recuperar datos.

Pg. 42

Especificacin de medidas de seguridad

Funciones y obligaciones del personal. Responsable de seguridad. Registro de Incidencias. Control de Acceso. Registros. Identificacin y autenticacin. Gestin de soportes y documentos. Transmisin a travs de redes pblicas o redes inalmbricas de comunicaciones. Copias de respaldo y recuperacin. Archivos no automatizados Criterios de archivo. Dispositivos de almacenamiento. Custodia de soportes. Almacenamiento de la informacin. Copia o reproduccin. Acceso a la documentacin. Traslado de documentacin. Retencin y desecho. Auditora.

Pg. 43

Siguientes pasos para los Particulares

Pg. 44

Adecuacin y Auditora
Revisar procesos: Administrativos. Tecnolgicos. Revisar infraestructura: Plataforma operativa. HW, SW, SO, Aplicaciones, BD. Comunicaciones. Incorporar principios: Due care. Due dilligence.

Pg. 45

Fases de un proyecto de adecuacin

4. 4. Anlisis GAP de Anlisis GAP de Medidas de Medidas de Seguridad Seguridad 2. 2. Identificacin de Identificacin de Flujos de Flujos de Informacin Informacin 3. 3. Anlisis de Anlisis de BD BD existentes existentes 5. 5. Anlisis de Anlisis de Cumplimiento Cumplimiento LFPDP LFPDP 6. 6. Adecuacin al Adecuacin al Reglamento de Reglamento de Seguridad Seguridad

1. 1. Organizacin yy Organizacin Planificacin Planificacin

7. 7. Auditora Auditora

Gestin del proyecto Gestin del proyecto

Pg. 46

Gestin de la Seguridad
Desarrollar un Programa de Seguridad y Proteccin de la Informacin: Administracin del riesgo. Normativa. Organizacin (estructura, roles y responsabilidades..). Clasificacin de informacin. Seguridad fsica. Seguridad en el personal. Controles de acceso a los recursos de informacin. Operaciones y comunicaciones. Desarrollo y mantenimiento se sistemas. Administracin de incidentes. Continuidad de las operaciones. Cumplimiento.

Pg. 47

Algunas consideraciones
Asegurarse que siempre, previo a la obtencin de los datos, se informe al titular. Los usuarios deben estar al corriente, de las medidas tcnicas y organizativas que deben cumplir. Cada base de datos personales tiene asociado un nivel de seguridad, y como consecuencia unas medidas de seguridad. Los usuarios debern tener especial diligencia en adoptar las medidas de seguridad que correspondan, a la hora de tratar los datos en una ubicacin diferente a la original. Deben adoptarse todas aquellas medidas organizativas que se consideren necesarias para garantizar la seguridad de los datos. Los usuarios debern tener especial diligencia para eliminar, y en su caso bloquear, los datos personales que hayan perdido la finalidad para la cual fueron recabados. El mantener el debido secreto es una de los requisitos que se incumplen con ms frecuencia, principalmente por la falta de formacin o por la ausencia de procedimientos (ie. no verificar la identidad de un usuario que solicita informacin). Incidente: implica cualquier acceso o comunicacin inconsciente o imprudente de datos personales a un tercero no autorizado. Debern adoptarse medidas para que la informacin con datos personales se almacene de forma que permita ejecutar fcilmente cualquier el ejercicio de derechos. Teniendo en cuenta que los plazos de respuesta al ejercicio de derechos son tan breves, deber darse cauce a estas solicitudes en el menor tiempo posible. Las solicitudes de ejercicio de derechos debern ser siempre contestadas, aunque sea para informar que no se est tratando ningn dato personal.
Pg. 48

Pg. 49

*[ MUCHAS GRACIAS ]
Jorge Delgado ISC, DEA, DRI, CISSP, CISA, CISM, LA-ISO27001, QSA. Security Consultant Manager jdelgado@s21sec.com 5255-5290-6568 52155-3032-7902

Pg. 50