en Posesin de los Particulares? Lina Gabriela Ornelas Nez Directora General de Autorregulacin Junio 2012 Andamiaje Jurdico Video vigilancia. Difusin. Internacional: CBPRs; Red Iberoamericana de Proteccin de Datos (RIPD). Sustanciacin y Verificacin. Andamiaje Jurdico Reglamento de la Ley Federal de Proteccin de Datos Personales, publicado el 22 de diciembre de 2011, en el Diario Oficial de la Federacin (D.O.F). Criterios generales para la instrumentacin de medidas compensatorias, mismos que se publicaron el 18 de abril de 2012, en el Diario Oficial de la Federacin (D.O.F). Recomendaciones de Medidas de Seguridad. Parmetros para los mecanismos y medidas de autorregulacin vinculante. Lineamientos del Aviso de Privacidad. Regulacin Sectorial Parmetros de Autorregulacin Vinculante La Secretara de Economa, en coadyuvancia con el IFAI fijar, en los prximos meses, los parmetros para el desarrollo de los mecanismos de autorregulacin vinculante (art. 43, fracc. V de la LFPDPPP), estos incluirn: -Generalidades de los esquemas de autorregulacin -Tipo de esquemas de autorregulacin (cdigos deontolgicos, polticas de privacidad -Requerimientos mnimos para los esquemas de autorregulacin. -Caractersticas de certificadores y auditores. -Procedimiento para la notificacin de esquemas de autorregulacin. Contenido mnimo de los Esquemas de Autorregulacin Vinculante: Tipo de esquema; mbito de aplicacin; Procedimientos y mecanismos para hacer eficaz la proteccin de datos y medir su eficacia; Sistemas de supervisin y vigilancia, Programas de capacitacin para quienes traten los datos; Mecanismos para facilitar los derechos ARCO; Identificacin de los responsables, y Medidas efectivas en caso de incumplimiento. Los esquemas de autorregulacin tambin podrn incluir la certificacin de los Responsables. Registro de los Esquemas de Autorregulacin Los esquemas de autorregulacin se notificarn de manera simultanea a las autoridades sectoriales correspondientes y al IFAI. El Registro ser administrado por el IFAI. Se incluirn solamente aquellos registros que cumplan con los Parmetros de Autorregulacin. Lineamientos del Aviso de Privacidad La Secretaria de Economa en coadyuvancia con el IFAI emitir los Lineamientos para el contenido y alcance del Aviso de Privacidad (art. 43, fraccin III de la LFPDPPP). OBJETIVO: Ser un manual de auto contenido que defina el alcance y conformacin del aviso de privacidad, de conformidad con lo previsto en la LFPDPPP y su Reglamento. Principales interrogantes a las que se busca dar respuesta con los Lineamientos del Aviso de Privacidad: Qu es el aviso de privacidad? Cules son sus funciones? Cul es el contenido del aviso de privacidad?, Cmo se lleva a cabo la puesta a disposicin del aviso de privacidad ante el titular? Cules son las modalidades del aviso de privacidad y su respectivo contenido Principales elementos que se prevn en el contenido del proyecto de los Lineamientos: Establecimiento de las denominaciones de las tres modalidades del aviso de privacidad (integral, simplificado y corto). La forma en la que el responsable debe cumplir con la obligacin de incluir en el aviso de privacidad el mecanismo a travs del cual el titular manifieste su negativa al tratamiento de sus datos para finalidades secundarias. La inclusin del uso de mecanismos en medios remotos o locales de comunicacin electrnica, ptica u otra tecnologa, que permitan recabar datos personales de manera automtica y simultnea al tiempo que el titular hace contacto con los mismos (cookies, web beacons u otros). Identificacin de terceros receptores a los que se les transfieren los datos personales. Descripcin del procedimiento para el ejercicio de los derechos ARCO. Las condiciones con las que deben cumplir los medios que habilite el responsable para el ejercicio de los derechos ARCO y para la revocacin del consentimiento. Inclusin en el aviso de privacidad de los datos de contacto de la persona o departamento de proteccin de datos personales. La definicin de los supuestos en que no se actualiza un simple cambio en el aviso de privacidad, sino un nuevo aviso de privacidad. Medidas de Seguridad Establecer medidas de seguridad administrativas, fsicas y/o tcnicas para la proteccin de los DP, mismas que deben ser documentadas (acciones: anlisis de riesgo, anlisis de brecha, revisiones o auditoras, capacitacin, entre otras.) El responsable debe considerar los siguientes factores para determinar las medidas de seguridad: Riesgo inherente por tipo de dato personal. Sensibilidad de los datos personales. Desarrollo tecnolgico. Posibles consecuencias de una vulneracin para los titulares. De forma adicional, el responsable procurar tomar en cuenta los siguientes elementos: Numero de titulares. Vulnerabilidades previas ocurridas en los sistemas de tratamientos. Riegos por valor potencial cualitativo o cuantitativo que puedan tener los datos por una persona no autorizada para su posesin. E S T R A T E G I A El establecimiento de las medidas de seguridad tiene por objeto: Evitar La prdida o destruccin no autorizada. El robo, extravo o copia no autorizada. El uso, acceso o tratamiento no autorizado. El dao, la alteracin y/o modificacin no autorizada. En caso de vulneracin a la seguridad El responsable debe informar al titular al menos la naturaleza del incidente; datos personales comprometidos; recomendaciones del titular acerca de las medidas que pudiera adoptar para proteger sus intereses; acciones correctivas y medios donde podr obtener mas informacin. M E D I D A S C O M P E N S A T O R I A S Cuando resulte imposible dar a conocer al aviso de privacidad al titular o exija esfuerzos desproporcionados en consideracin al nmero de titulares o a la antigedad de los datos, el responsable podr instrumentar medidas compensatorias. Para implementar la medida compensatoria, el responsable debe acreditar ante el IFAI: Que enfrenta a alguna imposibilidad de hecho para dar a conocer a los titulares el aviso de privacidad, tales como la falta de elementos que le permitan contactar al titular o que los datos sean inexactos o desactualizados. Que dar a conocer el aviso de privacidad personal o directamente a los titulares requiere de esfuerzos desproporcionados por parte del responsable, es decir: 1.Es disruptivo de actividades cotidianas u ordinarias. 2.Es desmesurado considerando la capacidad econmica del negocio del responsable. Contenido Aviso de privacidad simplificado Los artculos 17, fraccin II de la LFPDPPP y 27 del Reglamento. La identidad y domicilio del responsable. Las finalidades del tratamiento. Los mecanismos para conocer el aviso de privacidad completo. Medios Diarios de circulacin nacional, locales o revistas especializadas. Pgina de Internet del responsable. Hipervnculos en la pgina del Instituto, cuando el responsable no cuente con pgina de internet. Carteles informativos. Cpsulas informativas en radiodifusoras. Medios alternos de comunicacin masiva. Las medidas compensatorias las deber instrumentar el responsable de acuerdo con los criterios generales que expidi el Instituto el 18 de abril de 2012. Los CASOS NO PREVISTOS en los criterios, requerirn AUTORIZACIN EXPRESA del Instituto previa a su instrumentacin. V I D E O V I G I L A N C I A La videovigilancia (V-V) se define como el uso de cmaras de video o de sistemas cerrados de tlvision que involucren la colocacin de una o varias cmaras en espacios privados o pblicos limitados para la supervisin o monitoreo de ese espacio y de las personas que en l se encuentran. Existen dos tipos de videovigilancia: La que se realiza en tiempo real, sin grabaciones de por medio y La que guarda las imgenes en dispositivos. La videovigilancia implica el tratamiento de los datos personales, dado que las imgenes identifican o hacen identificables a los individuos Dicha actividad es regulada por la LFPDPPP y su Reglamento cuando se lleva a cabo por particulares -siempre y cuando dicha actividad no se lleve a cabo para uso exclusivamente personal- y no por dependencias o entidades del gobierno. Modelo de Aviso de Privacidad a la Camara Nacional de Autotransporte y Turismo (CANAPAT) derivado de una consulta que hizo al IFAI PROCEDIMIENTOS ANTE EL IFAI Procedimiento de Proteccin de Derechos (art. 45 a 58 de la LFPDPPP y 113 a 127 de su Reglamento). Procedimiento de Verificacin (art. 59 y 60 de la LFPDPPP y arts. 128 a 139 del Reglamento). Procedimiento de Imposicin de Sanciones (art. 61 y 62 de la LFPDPPP y 140 a 144 del Reglamento). Procedimiento de Proteccin de Derechos Causales de procedencia : El responsable no entregue al titular los datos personales solicitados o lo haga en un formato incomprensible. Que el titular no haya recibido respuesta por parte del responsable o que la informacin sea incompleta o no corresponda a la solicitada; o bien, el titular no este conforme con el costo o modalidad de reproduccin. El responsable se niegue a efectuar la rectificacin o cancelacin a los datos personales; persista en el tratamiento aunque haya procedido la solicitud de oposicin o se niegue a atenderla. Procedimiento de Verificacin OBJETO Verificar el cumplimiento de la LFPDPPP, as como, de la normatividad que derive de la misma. Puede iniciarse: A) De oficio B) A peticin de parte En contra de la resolucin procede la interposicin del juicio de nulidad ante el TFJFA El procedimiento concluye con la resolucin que emita el Pleno del IFAI, mediante la cual: A) Se establecern las medidas que deber adoptar el responsable, o B) Se podr instruir el inicio del procedimiento de imposicin de sanciones, establecindose un plazo para su inicio. Procedimiento de Imposicin de sanciones Puede iniciar si con motivo del desahogo del procedimiento de proteccin de derechos o del procedimiento de verificacin que realice el Instituto, se tenga conocimiento de un presunto incumplimiento de alguno de los principios o disposiciones de la LFPDPPP, a efecto de determinar la sancin que corresponda. El procedimiento inicia con la notificacin al presunto infractor, y se desenvuelve a travs de las siguientes etapas: Ofrecimiento y desahogo de pruebas; Admisin o desechamiento de pruebas, y Cierre de instruccin y resolucin. El Instituto fundar y motivar sus resoluciones, considerando: La naturaleza del dato. La notoria improcedencia de la negativa del responsable, para realizar los actos solicitados por el titular. El carcter intencional o no, de la accin u omisin constitutiva de la infraccin. La capacidad econmica del responsable. La reincidencia. 51% 26% 23% Julio 2011 - Diciembre 2011 TV de Paga Radio TV abierta 63% 17% 10% 10% Radio Abril Junio 2012 Carmen Aristegui Oscar Mario Beteta Joaqun Lpez Driga Carlos Loret de Mola Se imprimieron 10,000 ejemplares de la LFPDPPP Se repartieron 2,000 carteles Spots de TV Avisos de Privacidad Caquitos Redes Sociales Anuncios de Radio Asteriscos Conciencia Proteccin de Datos Personales Se pueden encontrar en la pgina del IFAI DIFUSIN INSTITUCIONAL EN MATERIA DE PROTECCIN DE DATOS ACTIVIDADES EN MATERIA DE DATOS PERSONALES A NIVEL INTERNACIONAL Red Iberoamericana de Proteccin de Datos Personales (RIPDP): Elaboracin de opinin respecto a temas que se abordan en bloque. Promocin de regulaciones en materia de privacidad en diversos Estados que no cuentan con ella. Opinin sobre los seminarios a realizarse. Contratacin del consultor externo encargado de elaborar el estudio y la plataforma electrnica que sistematiza los criterios jurisprudenciales emitidos por las autoridades de Iberoamrica. Subgrupo de Privacidad de APEC para la implementacin del Sistema de CBPRs Anlisis y emisin de comentarios a los siguientes documentos: Los relacionados con la solicitud de una Economa miembro y de un tercero certificador para formar parte del Sistema de CBPRs; Protocolos del Panel Conjunto de Supervisin, al Glosario y al cuestionario de encargados. Asistencia a reuniones del Subgrupo de Privacidad de APEC para dar seguimiento y emitir comentarios realizados. Elaboracin y actualizacin del Plan de accin de Mxico que incluye una comparativa de toda la regulacin de privacidad en Mxico con el Marco de privacidad de APEC. Realizacin de diversos comunicados con las autoridades de APEC para recibir la documentacin necesaria para formar parte del Acuerdo de Cooperacin Transfronteriza de APEC. REGULACIN SECTORIAL El IFAI contrat un estudio especializado para elaborar un diagnstico de la regulacin existente en las materias del sector financiero y salud. GRACIAS Lina Gabriela Ornelas Nez Directora General de Autorregulacin Junio 2012