protección de datos personales y seguridad en el entorno digital en aguascalientes
TRANSCRIPT
@joelsasComisionado: Joel Salas SuárezSede: Aguascalientes, Aguascalientes
3 0 d e e n e r o d e 2 0 1 5
@joelsas
Índice
1. Entorno digital
2. Datos personales y derechos
3. Uso y riesgos
4. ¿Cómo te ayudan el IFAI y el ITEA?
5. Ejemplo: Resolución vs Google
@joelsas
Entorno digital
@joelsas
Entorno Digital en México
Fuente: consumoresponde/vértigopolítico/Forbes/Kaspersky
@joelsas
0
10
20
30
40
50
60
70
Po
rce
nta
je d
e U
suar
ios
de
Inte
rnet 51.5 50.1
41.3
38.1 37.735.6
32 31.5
4° 7° 12° 19°
49
En Aguascalientes más del 51% usa Internet
Para su consulta en: http://www3.inegi.org.mx/sistemas/sisept/default.aspx?t=tinf239&s=est&c=26487
Porcentaje de Usuarios de Internet por Entidad Federativa (INEGI, 2014)61.5
59.157.4
5651.9
44.4% Promedio nacional
1° 2° 3° 8° 10° 24° 25° 27° 29° 30°
@joelsas
Redes Sociales más utilizadas en México
Fuente: estudio de Marketing Digital y Social Media de la Asociación Mexicana de Internet (Amipci), en http://eleconomista.com.mx
RED SOCIALALCANCE DE USUARIOS
(%)
Facebook 98.3
Twitter 92
Youtube 80.3
Google Plus 71.6
LinkedIn 70.9
Instagram 62.6
Foursquare 45
Pinterest 38.1
Waze 32.9
Vine 26.3
@joelsas
Datos personales y derechos
@joelsas
¿Qué conmemoramos?
con el objetivo de promoverel conocimiento entre losciudadanos acerca de cuálesson sus derechos yresponsabilidades en materiade protección de datos.
El 28 de enero se conmemora el día de laProtección de Datos Personales,
@joelsas
Un dato personal es…
Cualquier información que permita identificarte o hacerte identificable.
• Nombre
• Fecha de nacimiento
• Edad
• Teléfono
• Domicilio
• Correo
Cada segundo, 12 personas son
víctimas de un delito en la red.
@joelsas
El derecho a la protección de datos personales
Reconoce al ciudadano la facultad de controlar sus datos personales
y la capacidad para disponer y decidir sobre los mismos.
@joelsas
Gracias a la Constitución y a las Leyes de protección de datos personales tienes derecho a:
• Conocer, antes de entregar tus datos personales, cómo serán tratados mediante un aviso de privacidad.
• Tus datos sean tratados sólo para las finalidades que te informaron en el aviso de privacidad;
• Cuiden y protejan tus datos personales para que estén seguros;
• Guardar la confidencialidad de tus datos;
@joelsas
Además puedes…
• Acceder a tus datos personales que estén en posesión de empresas o del gobierno;
• Rectificar tus datos cuando sean erróneos;
• Cancelar los datos que ya no son necesarios;
• Oponerte a que tus datos se traten para usos específicos, como mandarte publicidad.
@joelsas
Uso y riesgos
@joelsas
Frecuentemente damos datos personales al gobierno…
Licencias para
conducir
Programas de apoyo social y becas
Inscripción escuela o
universidad
Acta de nacimiento
Servicio médico
@joelsas
También entregamos datos personales a particulares…
Solicitud tarjeta de
crédito
Contrato de celular
Descarga de Apps y
juegos
Alta en redes
sociales: FB, Twitter
Respuesta a encuestas
@joelsas
Vulneraciones en México
Fuente: consumoresponde/vértigopolítico/Forbes/Kaspersky
@joelsas
Vulneraciones en México
Fuente: Kaspersky en http://2p8k8h2xv0bq1lgs0t1chg7elq.wpengine.netdna-cdn.com/files/2014/04/Kaspersky_Lab_infographics_Identity_Theft.png
62% de las personas sufrió
ataques sobre su información financiera.
27% de las personas sufrió ataques de
Malware.
61% de las personas nunca podrá recuperar
toda la información perdida durante un ataque cibernético.
@joelsas
0
20
40
60
80
100
120
140
160
Vulneraciones en el Mundo
Número de usuarios afectados por empresa
Datos comprometidos:
NombreDirecciónTeléfonoCorreo electrónicoContraseñasNúmero de seguro socialTarjetas de crédito yotros datos financierosHábitos de consumo
4.5
56
76
110
145
Fuente: Information Security Media Group en http://docs.ismgcorp.com/files/infographics/DBT-TopBreaches-123014.pdf
Can
tid
ad e
n m
illo
ne
s
En el caso de SONY
Pictures, se desconoce la cantidad de
usuarios afectados
@joelsas
Riesgos al buscar empleo:
Una organización podría:Recabar tus datos personales, sin
mostrar un aviso de privacidad.
Usar tus datos personales
sensibles, sin solicitar tu
consentimiento.
Usar tu información para otras
finalidades, sin informarte.
@joelsasImagen por hugoo13: http://hugoo13.deviantart.com/art/Free-alien-cartoon-character-1-196543247
Ten cuidado con anunciantes anónimos, tu CV contiene muchos
datos personales.
Puedes negarte a proporcionar cualquier dato
que sea irrelevante para
el proceso de reclutamiento.
Lee cuidadosamente el Aviso de
Privacidad del reclutador, para evitar cualquier
manejo indebido de tu información
personal.
¿Cómo cuido mis datos al buscar empleo?
@joelsas
Navegar en sitios poco confiables
puede causar que el equipo de cómputo se infecte con virus, y exponga nuestra
información personal.
Las computadoras y dispositivos móviles
almacenan una enorme cantidad de datos
personales, su robo o pérdida puede tener serias implicaciones.
Riesgos al utilizar Entornos Digitales:
Al conectarnos a redes no confiables,
como las de los aeropuertos o
cafeterías, nuestra información podría
ser interceptada por otros.
Cuando un dispositivo se manda a reparación o se
deshecha, alguien malintencionado podría acceder fácilmente a los
datos personales.
@joelsas
¿Cómo cuido mis datos en Entornos Digitales?
Considera el riesgo que implica divulgar
nuestra información, la de familiares o
amigos.
Sé consciente del nivel de difusión
que puede tener la información en redes sociales,
servicios de mensajería o
grupos de chat.
Modera el uso de aplicaciones y redes
sociales para compartir de manera
continua hábitos, ubicación o dar clic a
“me gusta”, ya que todo esto puede
servir para perfilarte.
@joelsas
VIDEO
Vídeo del Gobierno de Paraguay sobre la Protección de Datos PersonalesConsúltalo aquí: https://www.youtube.com/watch?v=FNaHgP9a5Zc
@joelsas
¿Cómo te ayudanel IFAI y el ITEA?
@joelsas
Ley Federal de Protección de
Datos Personales en Posesión
de los Particulares y su
reglamento.
Ámbito Federal Ámbito local
Sector privadoempresas, profesionistas …
Ley Federal de Transparencia y
Acceso a la información Pública
Gubernamental y su
Reglamento
Gobierno FederalSecretarías, etc.
Gobierno EstatalGobierno municipal
Marco Jurídico en México
Actualmente existen 11 leyes especiales
para garantizar la protección de datos
personales en posesión de gobierno
(Colima, Guanajuato, Oaxaca, Distrito Federal, Tlaxcala,
Campeche, Veracruz, Estado de México, Chihuahua, Durango
y Puebla)
@joelsas
Marco Jurídico en Aguascalientes
Ley de Transparencia y Acceso a la Información Pública del Estado deAguascalientes
Publicada el 22 de mayo de 2006 y en vigor desde el 01 de agosto de 2006
Deben proteger los datos personales en su posesión las siguientes instancias del estado (sujetosobligados):
Los Poderes Ejecutivo, Legislativo y Judicial.
Los Ayuntamientos.
Los organismos públicos desconcentrados, descentralizados, lasempresas de participación estatal, dependencias y unidades de apoyo.
Los organismos públicos autónomos.
Los fideicomisos públicos estatales y municipales, y
Organismos, institutos y personas, que ejerzan recursos púbicos.
Cabe señalar que los partidos políticos que cuenten con registro oficial estarán obligadosa proporcionar información a través del Instituto Estatal Electoral.
@joelsas
Podrás recibirlos por
correo certificado en tu domicilio o en la unidad de enlace.
Puedes acceder o rectificar tus datos ante el Gobierno Federal
Acude a la
unidad de
enlace de la
dependencia
federal o en
INFOMEX
ESPERA NOTIFICACIONES
RECIBE TUS DATOS
SOLICITARECIBE
RESPUESTA
En caso de
que falten
datos podrán
pedirte más
información.
Deberás
acreditar
identidad
(identificación
oficial) o
representación
legal (por
ejemplo, ser el
padre del
menor)
PAGA
10 díashábiles
Por regla
general se
puede acceder
a los datos 1
vez al año,
gratuitamente.
Las copias
certificadas
cuestan al igual
que el envío.
@joelsas
Pero…
• No siempre procede el ejercicio de los derechos deacceso, rectificación, cancelación y oposición.
• No procederán cuando existan:Datos personales tratados con fines de seguridad y salud pública;
Disposiciones de orden público;
Protejan derechos de terceros;
Artículo 16 de la CPEUM
@joelsas
Si quieres ejercer tus derechos
ARCO ante los sujetos
obligados…• Sólo los interesados o sus legítimos representantes, previa acreditación, podrán
presentar solicitud de ejercicio de derechos ARCO ante la Unidad de Enlace o suequivalente.
• Permanece atento a notificaciones. Si la solicitud no contiene todos los datosrequeridos o son erróneos, pueden pedirte información adicional en los 10 díashábiles siguientes.
• Deben darte respuesta en 10 días hábiles (pero los sujetos obligados pueden ampliarel plazo por 10 días hábiles más).
• En caso de que no tenerse por resuelta la información solicitada en los plazos ymodalidades establecidas, serán aplicadas a la autoridad las sanciones que seestablecen en la Ley.
• Si no estas conforme puedes interponer el recurso de revisión ante el superior deltitular de la Unidad de Enlace de los sujetos obligados, o bien, interponer el recursode inconformidad directamente ante él.
@joelsas
Si no estás conforme con la respuesta acude
con nosotros:
Gobierno Federal
Empresas
Gobierno del estado
• Superior del Titular de la Unidad de Enlace de los sujetos obligados a través del recurso de revisión.
• Directamente ante el Instituto de Transparencia del Estado de Aguascalientes a través del recurso de inconformidad.
• Instancias jurisdiccionales correspondientes.
@joelsas
Presenta su solicitud ante el responsable
20 días para notificar la determinación
(contados a partir del mismo día en que se recibió la solicitud)
SÍ es procedente
Se hará efectiva la determinación, dentro de los
15 días siguientes a la fecha en que se comunicó la respuesta
El responsable emite respuesta
+ 20 días
+ 15 días
RESPUESTAS• Previa acreditación• Siempre se debe emitir una respuesta: formato legible, comprensible y de fácil
acceso.• NEGATIVA: Justificar respuesta e informar sobre el derecho que le asiste (sol. de
protección de derechos)
También puedes ejercer tus derechos ARCO ante un ente
privado…
@joelsas
Si no estás de acuerdo con la respuesta del ente
privado, o bien tienes conocimiento de alguna
violación a la Ley, el IFAI sustancia los siguientes
procedimientos:
Protección de Derechos
Verificación
Imposición de Sanciones
@joelsas
Acceder a la información contenida en un aparato
para el procesamiento de datos o cualquier
dispositivo de almacenamiento de información sin
autorización de su propietario o poseedor legítimo;
o
Interferir el buen funcionamiento de un sistema
operativo, programa de computadora, base de datos
o cualquier archivo informático, sin autorización de
su propietario o poseedor legítimo.
• De 1 a 3 meses de prisión.• De 150 a 300 días multa.• El pago de la reparación de los
daños y perjuicios ocasionados.
Para el Responsable delmantenimiento:
• De 2 a 6 meses de prisión.• De 300 a 600 días multa.• El pago de la reparación de daños
y perjuicios ocasionados.
Abrir o interceptar en forma dolosa, una
comunicación escrita, electrónica, magnética,
óptica o informática que no esté dirigida al
inculpado.
• De 3 a 6 meses de prisión.• De 5 a 20 días multa.• Pago total de la reparación de los
daños y perjuicios ocasionados.
ACCESO INFORMÁTICO INDEBIDO
VIOLACIÓN DE CORRESPONDENCIA
Delitos sancionados por el Código
Penal para el Estado de Ags.
@joelsas
Ejemplo: Resolución vs Google
El Titular se inconformó con el tratamiento de información publicada en el motor de búsqueda de Google, indicando que “afecta mi esfera más intima… relaciones comerciales y financieras… seguridad personal e integridad física”.
Google México (el Responsable) indicó que no presta, ni administra la operación del servicio de motor de búsqueda. Este corresponde a “Google Inc” (Estados Unidos).
En el análisis realizado en el expediente PPD 0094/14 se identificó que:• Google México está constituida en el país (le aplican derechos y obligaciones). • Es responsable del tratamiento de datos personales del Titular.• El Titular ejerció sus derechos ARCO (Arts. 25, 27, 28 y 29 de la LFPDPPP).• El argumento de “imposibilidad” utilizado por el Responsable no es válido (Art. 32).
El Titular presentó inconformidad puesto que:• El nombre de “Google México” aparece en la página del motor de búsqueda.• El argumento de Google México para deslindarse de responsabilidades es una declaración
unilateral.• Es falso que Google México no opere y preste servicios del motor de búsqueda.• Google México está sujeto a la LFPDPPP.
• Se REVOCA la respuesta de Google México. Debe hacer efectivos los derechos de Oposición y Cancelación de datos personales del Titular; ello implica que:
• Al teclear el nombre del Titular no aparezcan los links o URLs referidos (Art. 27).• Cancelará datos del Titular que obren en sus bases de datos (Art. 25).• El IFAI analizará si procede iniciar un proceso de sanción, ya que Google México podría
estar incurriendo en incumplimiento a las disposiciones de la LFPDPPP (Art. 61 y 63)
PPD 0094/14 vs Google México respecto a Cancelación y Oposición de Datos Personales
El derecho al olvido es el derecho que tienen las personas a que información acerca de ellossea eliminada después de cierto periodo de tiempo. La era de internet ha traído consigo lanecesidad de generar un balance entre la diseminación de información y las garantíaspersonales. El derecho al olvido comprende tres facetas:• El derecho al olvido del pasado judicial,• el derecho al olvido establecido por la legislación de protección de datos y• el derecho equivalente a la atribución de una fecha de caducidad a los datos personales o
que debería aplicarse en el contexto específico de las redes sociales.
Caso similarLa Agencia Española de Protección de Datos (AEPD) resolvió un caso similar, estableciendoque los particulares pueden pedirle a Google (España) que deje de referenciar a ellosdeterminada información.Google España y Google Inc llevaron el caso a la Corte de Justicia de la Unión Europea (CJEU)buscando anulación de la resolución de la AEPD. La CJEU determinó que:• Las actividades de los motores de búsqueda de Google son considerados como
“procesadores de datos personales” y que Google puede ser calificado como “Controladorde datos” y que Google España se encontraba bajo el marco regulatorio correspondiente.
• La CJEU, aludiendo a derechos fundamentales (vida privada y protección de datospersonales) calificó el procesamiento de datos relacionados con el nombre de unparticular podría afectar estos derechos.
El derecho al olvido puede definirse como el derecho a salvaguardar la reputación, o procurar la tranquilidad de las personas, desligándolas de acontecimientos que les afecten.
@joelsas
Gracias
ifai.org.mx@ifaimexico
@joelsas