protección de datos personales.fb

7/28/2019 Protección de datos personales.FB

http://slidepdf.com/reader/full/proteccion-de-datos-personalesfb 1/50

PROTECCIÓN DEDATOS PERSONALESLIC. FRANCISCO JAVIER BARRERAGARCÍA



La protección Constitucional de losDatos Personales

Reforma Constitucional• 30 de Abril de 2009, Protección de

Datos Personales

Creación de Ley

• 6 de Julio de 2010, Ley Federal deProtección de Datos en Posesión deParticulares



Cronograma de Protección deDatos

Entrada en vigor LFPDPPP

6/Julio/10

Fecha limite para:* Aviso dePrivacidad

*Designar Responsable

6/Julio/11

Entrada en vigor del Reglamento de

la LFPDPPP

22/12/12

Los propietarios deDatos pueden

ejercer losderechos ARCO

Enero 2012



¿Qué son los datos

personales? Es cualquier información relacionada

contigo, por ejemplo, tu nombre, teléfono,domicilio, fotografía o huellas dactilares,así como cualquier otro dato que puedaservir para identificarte. Este tipo de datoste permiten además, interactuar con otras

personas, o con una o másorganizaciones, así como que puedas ser sujeto de derechos.



¿Qué tipo de datos

personales hay?

Identificación (nombre, domicilio, teléfono,correo electrónico, firma, RFC, CURP, fecha

de nacimiento, edad, nacionalidad, estadocivil, etc.); Laborales (puesto, domicilio, correo

electrónico y teléfono del trabajo); Patrimoniales (información fiscal, historial

crediticio, cuentas bancarias, ingresos yegresos, etc.);

Académicos (trayectoria educativa, título,número de cédula, certificados, etc.);



¿Qué tipo de datos

personales hay?

Ideológicos (creencias religiosas, afiliación políticay/o sindical, pertenencia a organizaciones de lasociedad civil y/o asociaciones religiosas;

De salud (estado de salud, historial clínico,enfermedades, información relacionada concuestiones de carácter psicológico y/o psiquiátrico,etc.);

Características personales (tipo de sangre, ADN,huella digital, etc.);

Características físicas (color de piel, iris y cabellos,señales particulares, etc.); vida y hábitos sexuales,origen (étnico y racial.); entre otros.



¿A quién le pertenecen los datos

personales?

El dueño de tus datos personales eresTÚ, y TÚ decides a quién, para qué,cuándo y por qué los proporcionas.



¿ u uentes privados para

garantizar la protección demis datos? Nombrar a un responsable que atienda tus

solicitudes de acceso, rectificación,

cancelación y oposición de tus datospersonales.

Contar con las medidas de seguridadnecesarias para garantizar tus datos contra

un uso indebido o ilícito, un acceso noautorizado, o contra la pérdida, alteración,robo o modificación de tu informaciónpersonal.

Capacitar a su personal.



proteger los datos

personales? Todos debemos proteger los datos personales,es un esfuerzo conjunto: Tú exigiendo tusderechos, quienes posean datos personales,

observando lo establecido por la Ley y el IFAI,garantizando ese derecho.



¿Quién será la autoridad responsable de

proteger mis derechos materia de datos

personales?

El IFAI es la autoridad garante en materia deprotección de datos personales. La Ley le haotorgado la facultad de difundir el

conocimiento de este nuevo derecho entre lasociedad mexicana, de promover su ejercicioy vigilar su debida observancia por parte delos entes privados que posean datos

personales.



proteger los datos

personales? Para evitar que los datos sean utilizados parauna finalidad distinta para la cual laproporcionaste, evitando con ello se afecten

otros derechos y libertades, por ejemplo que seutilice de forma incorrecta cierta información desalud lo que podría ocasionar unadiscriminación laboral, entre otros supuestos.





personales?

El IFAI es la autoridad garante en materia deprotección de datos personales. La Ley le haotorgado la facultad de difundir el

conocimiento de este nuevo derecho entre lasociedad mexicana, de promover su ejercicioy vigilar su debida observancia por parte delos entes privados que posean datos

personales.



¿Recibirán alguna sanción las empresas que no

cumplan la Ley?

El Instituto, en su carácter de autoridad garante, tienela facultad de imponer sanciones a aquellasempresas que incumplan alguna disposición de laLey. A continuación se mencionan algunas de lasposibles sanciones:II. Multa de 100 a 160,000 días de salario mínimovigente en el Distrito Federal, cuando la empresaactúe con negligencia o dolo con respecto a la

información personal, no observe los principios deprotección de datos establecidos en la Ley u omitadatos en el Aviso de Privacidad



¿Qué tienen que hacer los entes privados

para garantizar la protección de mis datos?

Nombrar a un responsable que atienda tussolicitudes de acceso, rectificación,

cancelación y oposición de tus datospersonales.

Contar con las medidas de seguridadnecesarias para garantizar tus datos contra

un uso indebido o ilícito, un acceso noautorizado, o contra la pérdida, alteración,robo o modificación de tu informaciónpersonal.

Capacitar a su personal.





personales?

Si no estás satisfecho con lo que la empresate respondió al ejercer tu derecho de acceso,rectificación, cancelación u oposición, o bien,

no obtuviste respuesta, puedes acudir al IFAI.Mediante un procedimiento sencillo yexpedito, el Instituto atenderá tu solicitud.



Implicaciones de la LFPDPPP

• Nuevas Obligaciones

• Nuevas Multas

• Nuevos delitos

• Publicidad Negativa

• Acciones legales por daño moral• Perdida de confianza del cliente



¿Qué otras autoridades están involucradas?

Con el propósito de coadyuvar con el Institutoen la debida aplicación de la Ley,dependencias de la Administración PúblicaFederal colaborarán con el IFAI en la emisiónde la regulación que corresponda. Entre ellasestán las secretarías de Economía, Salud,Comunicaciones y Transportes, Hacienda yCrédito Público y Educación, las cualesdeberán emitir normas específicas para laprotección de los datos personales en lossectores económico, de salud,telecomunicaciones, financiero y educativo.



¿Qué significa "tratamiento de datos

personales"?

Se refiere a cualquier operación que serealice con tus datos, desde su obtención,uso, divulgación, almacenamiento y hasta su

cancelación y supresión



¿Quién puede tratar los datos personales?

Cualquier particular, ya sea persona física omoral; por ejemplo, un colegio, un hospital,un médico, una aseguradora, un banco, una

compañía telefónica, una tienda deautoservicio, un gimnasio. Todos ellos debenobservar las disposiciones previstas en laLey.



La importancia de la seguridad de la

información personal

Ello contribuye a minimizar los riesgos deacciones en contra de tu informaciónpersonal como robo, alteración o

modificación, pérdida total o parcial,transmisiones indebidas o ilícitas, accesos noautorizados y robo de identidad, entre otras,que pueden lesionar tus derechos o

libertades fundamentales.



¿Qué es un Aviso de Privacidad?

Cualquier empresa o ente privado que solicitedatos personales deberá elaborar un Aviso dePrivacidad, documento a través del cual

podrás conocer la finalidad que tendrá lainformación que se te pida. El Aviso dePrivacidad deberá proporcionar además,información que permita identificar a la

empresa que recaba los datos y deberáprecisar la forma de hacer efectivos losderechos de acceso, rectificación,cancelación y oposición (derechos ARCO).



Aviso de Privacidad

Documento físico, electrónico o en cualquier otro formato generado por el responsable quees puesto a disposición del titular, previo al

tratamiento de sus datos personales, deconformidad con el artículo 15 de la presenteLey.



r cu o .- av so e pr vac adeberá contener, al menos, lasiguiente información: I. La identidad y domicilio del responsable que los recaba; II. Las finalidades del tratamiento de datos; III. Las opciones y medios que el responsable ofrezca a los

titulares para limitar el uso o divulgación de los datos; IV. Los medios para ejercer los derechos de acceso,

rectificación, cancelación u oposición, de conformidad con lodispuesto en esta Ley;

V. En su caso, las transferencias de datos que se efectúen, y VI. El procedimiento y medio por el cual el responsable

comunicará a los titulares de cambios al aviso de privacidad,

de conformidad con lo previsto en esta Ley. En el caso de datos personales sensibles, el aviso de

privacidad deberá señalar expresamente que se trata de estetipo de datos.




En el Aviso de Privacidad la empresa deberáconsultarte si autorizas que se transfiera tuinformación a terceros. La empresa deberá

notificarte de cualquier cambio que realice al Aviso de Privacidad y pedir tu consentimientopara el nuevo uso que quiera dar a tus datos.




El Aviso de Privacidad podrá ponerse a tudisposición a través de medios físicos,digitales, visuales, sonoros o de cualquier

otra tecnología.



¿Qué es una transferencia de datos

personales?

Se refiere a cualquier tipo de comunicaciónde datos realizada a una persona distinta dela empresa a la que se los proporcionaste.

Dichas transferencias podrán realizarsesiempre y cuando tú lo autorices.



¿De qué manera se ejercen los derechos de

acceso, rectificación, cancelación u

oposición (ARCO)?

Cada uno de nosotros, como titulares de los datospersonales, o en su caso, un representante legal,podremos ejercer cualquiera de los derechos ARCOante las empresas que los tengan en sus bases de

datos.

D é j l d h d





oposición (ARCO)?

Las empresas privadas que cuenten con bases dedatos deberán designar en un área de atención aclientes a un responsable para recibir las solicitudestendientes a ejercer los derechos ARCO.

D é j l d h d





oposición (ARCO)?

Es importante tener en cuenta que el ejercicio decada uno de estos derechos es independiente entresí, es decir, no es necesario agotar uno para ejercer alguno de los otros tres.



¿Cuál es el costo del ejercicio de los

derechos ARCO?

El ejercicio de los derechos ARCO es gratuito yúnicamente deberás cubrir el costo por reproducciónen copias u otros formatos. En caso de que volvierasa ejercer cualquiera de los derechos en un plazo

menor a doce meses, el costo no podrá exceder delequivalente a tres días de salario mínimo vigente enel Distrito Federal. Si se realizaran modificacionessustanciales al Aviso de Privacidad y surgen

situaciones que ameriten nuevamente el ejercicio deun mismo derecho en menos de 12 meses, no habrácosto.

¿En cuánto tiempo se debe obtener



¿En cuánto tiempo se debe obtener respuesta de la persona física o empresa

respecto del ejercicio de derechos?

Una vez presentada la solicitud, la empresa queposea tus datos cuenta con un plazo máximo de 20

días hábiles para responder , y 15 días hábiles

más para hacer efectivos los el ejercicio de derecho

que solicites, en caso de que resulten procedentes.Los plazos podrán ser ampliados por una sola vez ypor un periodo igual cuando existan hechos que lo

justifiquen.

¿ n qu casos pue e a empresa negarse o a o parc a men e



¿ q p p g pa permitir el acceso, o a realizar la rectificación o cancelación

de los datos personales, o a conceder la oposición al

tratamiento de los mismos?

Cuando el solicitante no sea el titular de los datospersonales, o el representante no esté debidamenteacreditado

Cuando la persona física o empresa no tenga en su

posesión los datos personales

parcialmente a permitir el acceso o a realizar la



parcialmente a permitir el acceso, o a realizar la

rectificación o cancelación de los datos personales,

o a conceder la oposición al tratamiento de los

mismos? Cuando se lesionen datos personales de un tercero Cuando exista algún impedimento legal o resolución

de autoridad competente que restrinja el ejercicio dealguno de los derechos ARCO

Cuando la rectificación, cancelación y oposiciónsolicitada haya sido previamente realizada.

La empresa deberá comunicar y justificar cuando seactualice alguno de los anteriores supuestos y no

pueda llevar a cabo la acción que le fue solicitada.



Plazos de implementación de la Ley

A f in de que tanto el IFAI, en su carácter de autoridady como las empresas que posean datos personalesse preparen para estar en condiciones de aplicar laLey, se estableció una serie de plazos.

A más tardar un año después de la entrada en vigor de la Ley, las personas físicas o morales que poseanbases de datos deberán expedir los Avisos dePrivacidad y designar a la persona o departamento

para atender las solicitudes de los titulares de losdatos.



Plazos de implementación de la Ley

Por otro lado, los titulares de los datos podrán ejercer sus derechos de acceso, rectificación, cancelación yoposición ante las personas designadas por lasempresas, 18 meses después de la entrada en vigor

de la Ley. En caso de que no haya una respuesta satisfactoria

por parte de los entes privados, el titular de los datospodrá recurrir al IFAI en un término aproximado de 20

meses después de la entrada en vigor de la Ley.




cumplan la Ley?

El Instituto, en su carácter de autoridad garante, tienela facultad de imponer sanciones a aquellasempresas que incumplan alguna disposición de laLey. A continuación se mencionan algunas de las

posibles sanciones: I. Apercibimiento




cumplan la Ley?

El Instituto, en su carácter de autoridad garante, tienela facultad de imponer sanciones a aquellasempresas que incumplan alguna disposición de laLey. A continuación se mencionan algunas de las

posibles sanciones: II. Multa de 100 a 160,000 días de salario mínimo

vigente en el Distrito Federal, cuando la empresaactúe con negligencia o dolo con respecto a lainformación personal, no observe los principios deprotección de datos establecidos en la Ley u omitadatos en el Aviso de Privacidad



III. Multa de 200 a 320,000 días de salario mínimo vigenteen el Distrito Federal, en los casos previstos en lasfracciones VIII a XVIII del artículo anterior, y

IV. En caso de que de manera reiterada persistan lasinfracciones citadas en los incisos anteriores, se impondráuna multa adicional que irá de 100 a 320,000 días desalario mínimo vigente en el Distrito Federal. En tratándose

de infracciones cometidas en el tratamiento de datossensibles, las sanciones podrán incrementarse hasta por dos veces, los montos establecidos



SALARIO MÍNIMO

DOF: 21/12/2012 Resolución del H. Consejo de Representantes de la Comisión

Nacional de los Salarios Mínimos que fija los salarios mínimosgenerales y profesionales vigentes a partir del 1 de enero de2013.

SEGUNDO.- Los salarios mínimos generales que tendrán vigenciaa partir del 1 de enero de 2013 en las áreas geográficas a que serefiere el punto resolutorio anterior, como cantidad mínima quedeben recibir en efectivo los trabajadores por jornada ordinariadiaria de trabajo, serán los que se señalan a continuación:

Pesos Área geográfica "A“ 100= $6,476.00 160,000 = $10,361,600.00 $64.76 Área geográfica "B" $61.38

¿Cómo armar este



¿Cómo armar esterompecabezas?

Crear una comisión multidisciplinaria en lasáreas de legal, tecnologías de lainformación, procesos

Efectuar un diagnostico que permita definir un programa de acción sobre este tema.



Comisión multidisciplinaria

Legal.- Es el punto de contacto conlas autoridades y las áreas internas.Es importante su participación en eldiseño, implementación y gestión delas actividades para el cumplimiento

de los requerimientos.




Procesos de negocio.- Área encargada de ser el medio de contacto de los titulares y/opropietarios de los datos y a quienes se les

debe dar respuesta, entre otras, a lassolicitudes ARCO (acceso, rectificación,cancelación y oposición).

Será el área encargada de recabar, solicitar los datos y por tanto la información (aviso deprivacidad, consentimiento).




Tecnología de la Información.- Es necesariapara la implementación de medidasadministrativas, técnicas y físicas para

proteger la seguridad de los datos, basadasen un análisis de riesgos.

Es de suma importancia para la protección ,administración, conservación, destrucción,disponibilidad, vulnerabilidad de los datos.



Diagnóstico de cumplimiento

Implica que una vez conformado la comisiónmultidisciplinaria, que esta efectué un estudioque permita diagnosticar, en base a la

legislación vigente en México, la aplicación,protección, salvaguarda, destrucción,modificación según el caso de la informaciónde la información que se posee.

Análisis del flujo de la



Análisis del flujo de laInformación

• Obtener losDatos

• Mantener losDatos

• Cancelar los

Datos(Destrucción)



Columnas soporte

Principios Jurídicos

Certeza y Seguridad

Potestad de derechos ARCO



PROBLEMAS SEGURO

Desconocimientosobre

transparencias dedatos a terceros

Poco control sobreinformacióntransferida

Adquisición deinformación

Internet

Solicitudes detrabajo

Consulta a basesde datos

Finalidades pococlaras

Finalidadesespecificas por área

Políticas diversasde tratamiento

Estrategia de protección de



Estrategia de protección dedatos

1

Definición y

organización delproyecto

2

Diagnóstico del

nivel decumplimiento

3

Plan de acción

4

Implementación

5

Validación del

nivel decumplimiento



Por su atención gracias…

© Francisco Javier Barrera García, Todos los derechos reservados. 2013, México.

protección de datos personales.fb

Documents