Ley Federal de Protección de Datos

April 21, 2018 | Author: FepMoreliaAC | Category: Information Privacy, Virtue, Politics, Government, Society
Share Embed Donate


Short Description

Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento...

Description

Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento

Origen del derecho a la protección de datos personales

¿Cómo surge el derecho a la protección de datos personales? El desarrollo vertiginoso de las Tecnologías de la Información planteó y sigue planteando nuevos retos y amenazas para la vida de las personas con relación a su privacidad y protección de sus datos personales.

Tecnologías de la Información versus protección de datos personales: riesgos 

Indexación 



Spam

Geolocalización

Riesgos 





Fraudes

Phishing



Publicidad hipercontextualizada 

Suplantación de Identidad

Videovigilancia

¿En qué consiste el Derecho a la Protección de Datos Personales (DPDP)?

Derecho fundamental de tercera generación que busca la protección de la persona en relación con el tratamiento de su información

Poder de disposición y control que faculta a su titular a decidir cuáles de sus datos proporciona a un tercero.

Derecho a la Autodetermi-Autodetermi nación Informativa.

Derecho que tiene toda persona a conocer y decidir, quién,

cómo y de qué manera recaba, utiliza y comparte sus datos personales.

La protección de datos personales a nivel internacional Directrices de la OCDE (1980) Convenio 108 (1981) Resolución 45/95 dela ONU (1990)

Directiva 95/46/CE(1995) Marco de Privacidad de APEC (1999) Carta de Derechos Dere chos Fundamentales de de la Unión Europa (2000)

Directrices de Armonización de la Red Iberoamericana (2007) Estándares internacionales internacionales (2009)

Los datos personales como derecho fundamental en México 2007

El artículo 6 constitucional es la primera referencia sobre el derecho a la protección de datos personales

2 El artículo 16 constitucional 0 incorpora el Derecho a la 0 Protección de Datos Personales 9 como un derecho fundamental

Reconoce su autonomía y lo dota de contenido

Marco normativo APLICA

Sector Público Ley Federal Federa l de Transparencia y Acceso a la Federal Información Pública Gubernamental. Ámbito Privado (a nivel nacional)

Entidades Federativas

Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Leyes de protección de datos o de transparencia con apartados específicos en el tema, que aplican únicamente para el sector público estatal.

Ley Federal de Protección Protección de Datos Personales en Posesión de los Particulares

Definiciones

Sujetos involucrados en el tratamiento de datos personales Responsable Persona física o moral de carácter privado que DECIDE sobre el tratamiento de los datos personales

Ajeno a la organización del responsable.

Relación establecida a través de un instrumento  jurídico que acredite su existencia, alcance y contenido.

Encargado

Persona física o jurídica, jurídica, que sola o conjuntamente con otras trate DP A NOMBRE Y POR CUENTA del responsable

Persona o departamento de datos personales per sonales

Tercero Persona física o moral, nacional o extranjera distinta del titular titular,, el responsable y el encargado







Dar trámite a las solicitudes de derechos ARCO. Fomentar la protección de datos personales. Designado desde el 6 de julio de 2011.

Naturaleza-objeto-finalidad Objeto Naturaleza y ámbito de aplicación

Protección de datos personales en posesión de los particulares

Finalidad Regular el tratamiento - Legítimo - Controlado - Informado

- Orden público y - Observancia general - Federal

LFPDPPP

Garantizar Garantizar la privacidad y el derecho a la autodeterminación informativa informativa de las personas

Sujetos regulados Personas físicas o morales de carácter privado. Con excepción de:

Particulares que lleven a cabo el tratamiento de datos personales

* Las sociedades de información crediticia. * Las personas físicas que recaben y almacenen datos personales con fines exclusivamente personales. * Las personas morales. * La información que se refiere exclusivamente a personas físicas en su calidad de comerciantes y profesionistas. * La información de identificación para fines de representación de las personas que presten sus servicios a alguna persona moral o física con actividades empresariales y/o prestación prestación de servicios servicios como es: nombre completo y funciones func iones o cargo, cargo, domicilio, dirección electrónica, teléf ono ono y número número de fax todos ellos institucionales.

Ejes rectores

1. Desarrollo de los principios de protección de datos personales internacionalmente reconocidos. 2. Reconocimiento de los derechos ARCO. ARCO. 3. Establecimiento de mecanismos sencillos, expeditos y gratuitos   para el ejercicio y tutela de los derechos gratuitos ARCO. 4. Incorporación de un régimen de infracciones y sanciones que sanciones  que desaliente conductas inadecuadas.

Diagnóstico inicial 1. ¿Mi organi organizac zación ión cotidianas?

utili utiliza za

datos datos

per persona sonales les

en

sus sus

activid actividade adess

2. ¿D ¿De e dónd dónde e se obt obtie iene nen n los dato datoss per perso sona nale les? s? 3. ¿Qué ¿Qué áreas áreas interv intervien ienen en en el el trata tratamie miento nto de dato datoss perso personal nales? es? 4. ¿Par ¿Para a qué qué se uti utili liza zan n los dat datos os pers person onal ales es?? 5. ¿Con ¿Con quién quién y para para qué qué se com compar parten ten los datos datos per person sonale ales? s? 6. ¿Form ¿Formatos atos en en que que se almac almacena enan n los dato datoss person personale aless y tecnol tecnología ogíass utilizadas? 7. ¿Cuánt ¿Cuánto o tiemp tiempo o se se cons conserv ervan an los los datos datos person personale ales? s?

Principales obligaciones de las empresas

Principios

Primera fase: al momento de recabar los datos personales

Se recaban los datos personales

Uso o manejo de los datos personales

Supresión



No utilizar medios engañosos o fraudulentos.



Poner a disposición el aviso de privacidad. privacidad.



Obtener el consentimiento del titular.



Recabar los datos personales estrictamente necesarios.



Evitar la creación de bases de d e datos personales de carácter sensible. sensible.

Lealtad en la obtención Para la obtención de datos personales no debe valerse del engaño o fraude, de forma tal que la persona no pueda conocer con propiedad los términos y condiciones vinculados a ese tratamiento.

Información sobre el tratamiento Dar a conocer la existencia misma del tratamiento y sus características esenciales en términos claros y sencillos que le resulten fácilmente comprensibles, a través del aviso de privacidad.

Consentimiento manifestación ción de d e la voluntad del titular que de manera Es la manifesta libre, informada y específica autoriza el tratamiento de su información.

El consentimiento consentimiento puede ser expreso expreso o  o tácito.

Por regla general, general, es válido el consentimiento tácito.

El consentimiento es expreso expreso para  para datos personales patrimoniales o patrimoniales  o financieros. El consentimiento es expreso y por escrito para datos personales sensibles.

Excepciones del consentimiento Excepciones del consentimiento: 

Se encuentre previsto en una Ley.



DP en fuentes de acceso público.



DP se hayan disociado.



Cumplimiento de obligaciones derivadas de una relación jurídica entre el titular y el responsable.



Exista una situación de emergencia que pueda dañar a un individuo.



Sean indispensables para la atención, gestión o tratamiento médico o la prestación de asistencia sanitaria, siempre y cuando el titular no esté en condiciones de otorgar su consentimiento.



Se dicte una resolución de una autoridad competente.

Datos estrictamente necesarios El tratamiento de datos de carácter personal debe circunscribirse a aquéllos que resulten adecuados, relevantes y no excesivos con relación a las finalidades que justificaron su obtención.

Segunda fase: durante el manejo o utilización de los datos personales

Se recaban los datos personales













Uso o manejo de los datos personales

Supresión

Utilizar la información personal respetando la ley. Respetar la expectativa razonable de privacidad. Limitar el uso de los datos personales al cumplimiento de las finalidades determinadas. Usar los datos que resulten estrictamente necesarios. Mantener los datos actualizados. Limitar el periodo de conservación.

Licitud en el tratamiento Todo responsable debe llevar a cabo el tratamiento de datos personales de forma lícita, esto es, respetando la legislación aplicable, buena fe y los derechos y libertades de las personas.

Fines determinados en el uso de datos personales El tratamiento de datos personales debe ser sólo el necesario para cumplir con la finalidad determinada y legítima que se señaló en el aviso de privacidad de manera clara y objetiva.

Secundarias

Primarias Dan origen y son necesarias por la relación jurídica

Finalidades distintas

a las que dieron origen a la relación jurídica o bien aquellas que sean permitidas de forma explícita por una ley o reglamento o el responsable haya obtenido el consentimiento.

El titular puede negarse u oponerse al tratamiento de sus datos para estas finalidades, sin afectar la relación jurídica

Cualquier otra finalidad, solo con

previo consentimiento

del

Usar los datos estrictamente necesarios El responsable sólo debe tratar la mínima cantidad de información personal necesaria para conseguir la finalidad perseguida, es decir, realizar esfuerzos razonables para limitar los datos personales tratados al mínimo necesario (principio de minimización).

Actualización de datos personales Adoptar, siempre que ello sea posible, medidas razonables para que la información personal esté puesta al día a efecto de responder a esa veracidad en tanto persiste el tratamiento.

Responsabilidad Adoptar las medidas necesarias para cumplir con los principios y obligaciones en materia de protección de datos personales Rendir cuentas al titular en caso de incumplimiento

Velar por el cumplimiento de los principios

Establecer mecanismos necesarios para evidenciar dicho cumplimiento, tanto ante los titulares como ante la autoridad de supervisión

Tercera fase: una vez agotada la finalidad

Se recaban los datos personales

Uso o manejo de manejo  de los datos personales

Supresión Cancelar los datos personales previo bloqueo

Para lo cual, deberá: El responsable deberá demostrar que los datos personales se conservan, bloquean, suprimen o cancelan en los plazos establecidos.

Establecer y documentar procedimientos para la conservación, bloqueo y supresión de los datos personales, estableciendo los periodos para cada uno de ellos.

Seguridad de las bases de datos personales Para garantizar la integridad, confidencialidad y disponibilidad de los datos personales, la LFPDPPP prevé lo siguiente: 



Todo responsable debe establecer y mantener medidas de seguridad de carácter administrativo, técnico y físico que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso, o tratamiento no autorizado. Para la implementación de dichas medidas se debe tomar en cuenta factores como riesgo existente y posibles consecuencias para los titulares, la sensibilidad de los datos personales y el desarrollo tecnológico.

Seguridad de las bases de datos personales Acciones de seguridad concretas: Elaborar un inventario de datos personales.  Determinar las funciones y obligaciones de las personas que traten  datos personales. Contar con un análisis de riesgos de datos personales que consiste en  identificar peligros y estimar los riesgos a los datos personales. Establecer las medidas de seguridad aplicables a los datos personales e  identificar aquellas implementadas de manera efectiva. 



  

Realizar el análisis de brecha que consiste en la diferencia de las medidas de seguridad existentes y aquellas faltantes que resultan necesarias para la protección de datos personales. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, derivadas del análisis de brecha. Llevar a cabo revisiones o auditorías . Capacitar al personal que efectúe el tratamiento Realizar un registro de los medios de almacenamiento de los datos

personales.

Vulneraciones de seguridad

Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas de forma inmediata por el responsable al titular , a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos.

Deber de confidencialidad

Se erige como la obligación del responsable y de quienes intervienen en cualquier fase del tratamiento de datos personales de guardar y respetar la confidencialidad   de los mismos, obligación confidencialidad que subsistirá aún después de finalizar sus relaciones con el titular, o siendo el caso, con el responsable.

Cómputo en la nube Modelo de provisión externa de servicios s ervicios de cómputo bajo demanda, que implica el suministro de infraestructura, plataforma o software, mediante procedimientos de virtualización, en recursos compartidos.

El reglamento en su art. 52 establece las reglas mínimas para que el responsable se pueda adherir a servicios de cómputo en la nube.

El responsable no podrá adherirse a servicios que no garanticen la debida protección de los datos personales.

Transferencia de bases de datos



La LFPDPPP facilita las transferencias de datos personales dentro y fuera del país, siempre siempre y cuando el responsable informe en el aviso de

privacidad  la realización, la finalidad de las privacidad  transferencias y el titular acepte o consienta éstas.. éstas



La LFPDPPP señala excepciones para solicitar el consentimiento del titular, a fin de llevar a

cabo transferencias internacionales.

nacionales

o

Transferencia de bases de datos: excepciones Las transferencias nacionales o internacionales de DP podrán realizarse

sin el consentimiento del titular cuando la transferencia:

Esté prevista en una Ley o Tratado Tratado en los que México forme parte. Sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios. Sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas (normas internas sobre la  protección de DP). D P).

Transferencia de bases de datos: excepciones … podrán realizarse

sin el consentimiento del titular, cuando la transferencia:

Sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero. Sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración y administración de justicia. Sea precisa para el reconocimiento, ejercicio o defensa de un derecho en proceso judicial. Sea precisa para el mantenimiento o cumplimiento de titula r una relación jurídica entre el responsable y el titular

Remisión de datos Las remisiones o comunicaciones de datos personales, nacionales e internacionales, entre un responsable y un encargado  no requerirán ser informadas al titular ni contar con su consentimiento. El encargado se convierte en un responsable cuando:

Encargado





Utilice los DP para finalidades distintas a las autorizadas. Efectúe una transferencia,

Responsable

incumpliendo las instrucciones del responsable. El encargado no incurrirá en responsabilidad cuando previa indicación EXPRESA del responsable, remita los DP a otro encargado.

Mecanismos de autorregulación

Cualquier conjunto de normas de protección de datos que se apliquen a uno o varios responsables de un mismo mis mo sector y cuyo contenido es determinado por dichos responsables.

Con el objeto de armonizar los tratamiento tr atamientoss que lleven a cabo quienes se adhieren a los mismos y facilitar el ejercicio de los derechos de los titulares. Pudiendo Pudiendo demostrar con ello, el cumplimiento de las obligaciones previstas en la normativa.

Derechos

¿Cuáles son mis derechos? Acceso Acceder a mis datos personales Solicitar el Aviso de Privacidad Requerir información relacionad relacionada a con las condiciones generales del tratamiento

Rectificación Datos personales inexact inexactos os Datos personales incorrect incorrectos os

Cancelación Supresión de los datos personales, previo bloqueo, cuando están siendo tratados en contravención a la LFPDPPP, su Reglamento y demás disposiciones aplicables

Oposición Solicitar el cese en el tratamiento tratamiento de los datos personales por razones legítimas legítimas y de manera justificada, justificada, o bien, para fines fines específicos.

Procedimiento para el ejercicio de los derechos ARCO

Aspectos gener generales ales 





El procedimiento específico para el ejercicio de los derechos ARCO lo establece cada responsable. Se debe designar a una persona o departamento de datos personales para dar trámite a las solicitudes de derechos ARCO. El designado también fomentará la protección de los datos personales en la organización. El ejercicio de un derecho ARCO no excluye el ejercicio de los otros, ni puede constituir requisito previo.

Procedimientos de tutela del derecho a la protección de datos personales

Ante el IFAI Protección de Derechos

Verificación Imposición de sanciones

Protección de derechos 

Inicia a instancia del titular de los datos o de su representante por inconformidad en la respuesta o por la falta de respuesta por parte del responsable del tratamiento de los datos personales. También procede cuando el responsable no le otorgó al titular acceso a sus datos personales o lo hizo en un formato incomprensible, o se negó a rectificar o cancelar sus datos.



Se debe señalar claramente la reclamación y los preceptos de la LFPDPPP que se consideren vulnerados.

Protección de derechos





El plazo para interponer este procedimiento es de 15 días a partir de que el responsable le comunicó la respuesta al responsable o cuando haya vencido el plazo de respuesta previsto para el responsable.

Contra la resolución de este procedimiento procede el juicio de nulidad ante el Tribunal de Justicia Fiscal y Administrativa.

Procedimiento de verificación 





Tiene como finalidad que el IFAI compruebe el cumplimiento de las disposiciones previstas en la LFPDPPP LFPDPP P o en la regulación que derive de ella. Las actuaciones de verificación verificación inician: inician:   De oficio: derivado del incumplimiento a resoluciones  dictadas con motivo de procedimientos de protección de derechos.    A petición de parte: cuando se presuma fundada y motivadamente motivada mente la existencia de violaciones viola ciones a la Ley. Ley. El procedimiento de verificación durará máximo 180 días, plazo que puede ser ampliado por una sola vez.

Procedimiento de verificación 





El IFAI está facultado para requerir al responsable la documentación necesaria o también puede visitar el establecimiento donde estén las bases de datos personales. Los servidores públicos del IFAI están obligados a guardar confidencialidad sobre la información que conozcan a partir de este procedimiento. En contra de la resolución del Instituto al procedimiento de verificación procede el juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa.

Procedimiento de imposición de sanciones

Se detona cuando el IFAI tenga conocimiento de un presunto incumplimiento de alguno de los principios o disposiciones de la LFPDPPP como consecuencia del desahogo del procedimiento de protección de derechos o del procedimiento de verificación.

Imposición de sanciones

Régimen de infracciones y sanciones 

La LFPDPPP prevé una serie de conductas consideradas como infracciones con su correspondiente sanción, misma que puede ir desde el apercibimiento apercibimiento   hasta la imposición de multas máximas bajo un sistema de modulación de la penalidad,, de acuerdo con la gravedad de las conductas, penalidad tomando en cuenta:  

  

La naturaleza del dato. dato. La notoria improcedencia de la negativa del responsable para realizar los actos solicitados por el titular. El carácter intencional de la acción u omisión. La capacidad económica del responsable. La reincidencia. reincidencia.

Régimen de infracciones y sanciones Delito

Prisión

Provocar una vulneración de seguridad a las bases de datos bajo su custodia.

3 meses a 3 años

Tratamiento ratami ento de d e DP mediante el engaño, aprovechándose del error del titular o del responsable.

Tratándose de datos personales sensibles.

6 meses a 5 años Delitos llevados a cabo con ánimo de lucro Penas anteriores

Consecuencias de un manejo inadecuado de datos personales para una organización









Pérdida de confianza de los clientes. Riesgo reputacional frente a los clientes. Pérdida de activos en la organización. Pérdida de competitividad en un mercado globalizado.

View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF