Ley Federal de Proteccin de Datos

Personales en Posesin de los

Particulares y su Reglamento

Origen del derecho a la

proteccin de datos personales

Cmo surge el derecho a la

proteccin de datos personales?
El desarrollo vertiginoso de las Tecnologas de
la Informacin plante y sigue planteando
nuevos retos y amenazas para la vida de las
personas con relacin a su privacidad y
proteccin de sus datos personales.

Tecnologas de la Informacin versus proteccin de

datos personales: riesgos
Indexacin
Spam
Geolocalizacin

Fraudes

Phishing

Riesgos

Suplantacin de
Identidad

Videovigilancia
Publicidad
hipercontextualizada

En qu consiste el Derecho a la Proteccin

de Datos Personales (DPDP)?

Derecho
fundamental
de tercera
generacin que
busca la
proteccin de
la persona en
relacin con el
tratamiento de
su informacin

Poder de
disposicin y
control que
faculta a su
titular a decidir
cules de sus
datos proporciona
a un tercero.

Derecho a la
Autodeterminacin
Informativa.

Derecho que
tiene toda
persona a
conocer y
decidir, quin,
cmo y de qu
manera recaba,
utiliza y
comparte sus
datos personales.

La proteccin de datos personales

a nivel internacional
Directrices de la OCDE
(1980)
Convenio 108 (1981)
Resolucin 45/95 dela ONU
(1990)

Directiva 95/46/CE(1995)
Marco de Privacidad de APEC
(1999)
Carta de Derechos Fundamentales de la
Unin Europa (2000)

Directrices de Armonizacin de la
Red Iberoamericana (2007)
Estndares internacionales (2009)

Los datos personales como derecho

fundamental en Mxico
2007

El artculo 6 constitucional es la primera

referencia sobre el derecho a la proteccin de
datos personales
2 El artculo 16 constitucional
0
incorpora el Derecho a la
0 Proteccin de Datos Personales
9 como un derecho fundamental

Reconoce su autonoma y
lo dota de contenido

Marco normativo
APLICA
Sector Pblico Ley Federal de Transparencia y Acceso a la
Federal
Informacin Pblica Gubernamental.
mbito
Privado
(a nivel nacional)

Entidades
Federativas

Ley Federal de Proteccin de Datos

Personales en Posesin de los Particulares.

Leyes de proteccin de datos o de transparencia

con apartados especficos en el tema,
que aplican nicamente para el sector pblico
estatal.

Ley Federal de Proteccin de Datos

Personales en Posesin de los
Particulares

Definiciones

Sujetos involucrados en el tratamiento de

datos personales
Responsable
Persona fsica o moral de
carcter privado que
DECIDE sobre el
tratamiento de los datos
personales

Ajeno a la organizacin del

responsable.

Relacin establecida a
travs de un instrumento
jurdico que acredite su
existencia, alcance y
contenido.

Encargado

Persona fsica o jurdica, que

sola o conjuntamente con
otras trate DP A NOMBRE Y
POR CUENTA del responsable

Persona o departamento
de datos personales

Tercero
Persona fsica o moral,
nacional o extranjera
distinta del titular, el
responsable y el encargado

Dar trmite a las solicitudes de derechos

ARCO.
Fomentar la proteccin de datos
personales.
Designado desde el 6 de julio de 2011.

Naturaleza-objeto-finalidad
Objeto
Naturaleza y mbito
de aplicacin

Proteccin de datos
personales en posesin de
los particulares

Finalidad
Regular el tratamiento
- Legtimo
- Controlado
- Informado

- Orden pblico y
- Observancia general
- Federal

LFPDPPP

Garantizar la privacidad y el derecho a la

autodeterminacin informativa de las personas

Sujetos regulados
Personas fsicas o morales de carcter privado.
Con excepcin de:

Particulares que
lleven a cabo el
tratamiento de
datos
personales

* Las sociedades de informacin crediticia.

* Las personas fsicas que recaben y almacenen datos
personales con fines exclusivamente personales.
* Las personas morales.
* La informacin que se refiere exclusivamente a
personas fsicas en su calidad de comerciantes y
profesionistas.
* La informacin de identificacin para fines de
representacin de las personas que presten sus servicios
a alguna persona moral
o fsica con actividades
empresariales y/o prestacin de servicios como es:
nombre completo y funciones o cargo, domicilio,
direccin electrnica, telfono y nmero de fax todos
ellos institucionales.

Ejes rectores

1. Desarrollo de los principios de proteccin de datos

personales internacionalmente reconocidos.
2. Reconocimiento de los derechos ARCO.
3. Establecimiento de mecanismos sencillos, expeditos y
gratuitos para el ejercicio y tutela de los derechos
ARCO.
4. Incorporacin de un rgimen de infracciones
sanciones que desaliente conductas inadecuadas.

Diagnstico inicial
1. Mi organizacin
cotidianas?

utiliza

datos

personales

en

sus

actividades

2. De dnde se obtienen los datos personales?

3. Qu reas intervienen en el tratamiento de datos personales?
4. Para qu se utilizan los datos personales?
5. Con quin y para qu se comparten los datos personales?
6. Formatos en que se almacenan los datos personales y tecnologas
utilizadas?
7. Cunto tiempo se conservan los datos personales?

Principales obligaciones
de las empresas

Principios

Primera fase: al momento de recabar

los datos personales

Se recaban
los datos
personales

Uso o
manejo de
los datos
personales

Supresin

No utilizar medios engaosos o fraudulentos.

Poner a disposicin el aviso de privacidad.
Obtener el consentimiento del titular.
Recabar los datos personales estrictamente necesarios.
Evitar la creacin de bases de datos personales de carcter sensible.

Lealtad en la obtencin

Para la obtencin de datos

personales no debe valerse del
engao o fraude, de forma tal
que la persona no pueda
conocer con propiedad los
trminos
y
condiciones
vinculados a ese tratamiento.

Informacin sobre el tratamiento

Dar a conocer la existencia misma del
tratamiento
y
sus
caractersticas
esenciales en trminos claros y sencillos
que
le
resulten
fcilmente
comprensibles, a travs del aviso de
privacidad.

Consentimiento
Es la manifestacin de la voluntad del titular que de manera
libre, informada y especfica autoriza el tratamiento de su informacin.

El consentimiento puede ser expreso o tcito.

Por regla general, es vlido el consentimiento tcito.
El consentimiento es expreso para datos personales
patrimoniales o financieros.

El consentimiento es expreso y por escrito para

datos personales sensibles.

Excepciones del consentimiento

Excepciones del consentimiento:
Se encuentre previsto en una Ley.
DP en fuentes de acceso pblico.
DP se hayan disociado.
Cumplimiento de obligaciones derivadas de una relacin
jurdica entre el titular y el responsable.
Exista una situacin de emergencia que pueda daar a un
individuo.

Sean indispensables para la atencin, gestin o tratamiento

mdico o la prestacin de asistencia sanitaria, siempre y cuando
el titular no est en condiciones de otorgar su consentimiento.
Se dicte una resolucin de una autoridad competente.

Datos estrictamente necesarios

El tratamiento de datos de carcter

personal debe circunscribirse a
aqullos que resulten adecuados,
relevantes y no excesivos con
relacin a las finalidades que
justificaron su obtencin.

Segunda fase: durante el manejo o

utilizacin de los datos personales

Se recaban
los datos
personales

Uso o
manejo de
los datos
personales

Supresin

Utilizar la informacin personal respetando la ley.

Respetar la expectativa razonable de privacidad.
Limitar el uso de los datos personales al cumplimiento de las
finalidades determinadas.
Usar los datos que resulten estrictamente necesarios.
Mantener los datos actualizados.
Limitar el periodo de conservacin.

Licitud en el tratamiento

Todo responsable debe llevar a cabo

el tratamiento de datos personales
de forma lcita, esto es, respetando
la legislacin aplicable, buena fe y
los derechos y libertades de las
personas.

Fines determinados en el uso

de datos personales
El tratamiento de datos personales debe ser slo el necesario
para cumplir con la finalidad determinada y legtima que se
seal en el aviso de privacidad de manera clara y objetiva.

Secundarias

Primarias
Dan origen y son
necesarias por la
relacin jurdica

Finalidades distintas a las que

dieron origen a la relacin jurdica o
bien aquellas que sean permitidas
de forma explcita por una ley o
reglamento o el responsable haya
obtenido el consentimiento.

El titular puede
negarse u oponerse al
tratamiento de sus datos
para estas finalidades, sin
afectar la relacin jurdica
con el responsable.

Cualquier otra
finalidad, solo con

previo
consentimiento del
titular

Usar los datos estrictamente

necesarios
El responsable slo debe tratar la mnima
cantidad de informacin personal necesaria
para conseguir la finalidad perseguida, es
decir, realizar esfuerzos razonables para
limitar los datos personales tratados al
mnimo
necesario
(principio
de
minimizacin).

Actualizacin de datos personales

Adoptar, siempre que ello sea posible,

medidas
razonables
para
que
la
informacin personal est puesta al da a
efecto de responder a esa veracidad en
tanto persiste el tratamiento.

Responsabilidad
Adoptar las medidas necesarias
para cumplir con los principios y
obligaciones en materia de
proteccin de datos personales
Rendir cuentas al titular
en caso de
incumplimiento

Velar por el cumplimiento

de los principios

Establecer mecanismos
necesarios para evidenciar dicho
cumplimiento, tanto ante los
titulares como ante la autoridad
de supervisin

Tercera fase: una vez agotada la

finalidad

Se recaban
los datos
personales

Uso o
manejo de
los datos
personales

Supresin
Cancelar los
datos personales
previo bloqueo

Para lo cual, deber:

El
responsable
deber
demostrar
que
los
datos
personales
se
conservan,
bloquean, suprimen o cancelan
en los plazos establecidos.

Establecer
y
documentar
procedimientos para la conservacin,
bloqueo y supresin de los datos
personales, estableciendo los periodos
para cada uno de ellos.

Seguridad de las bases de datos

personales
Para garantizar la integridad, confidencialidad y disponibilidad de los
datos personales, la LFPDPPP prev lo siguiente:

Todo responsable debe establecer y mantener medidas de

seguridad de carcter administrativo, tcnico y fsico que
permitan proteger los datos personales contra dao, prdida,
alteracin, destruccin o el uso, acceso, o tratamiento no
autorizado.

Para la implementacin de dichas medidas se debe tomar en

cuenta factores como riesgo existente y posibles consecuencias
para los titulares, la sensibilidad de los datos personales y el
desarrollo tecnolgico.

Seguridad de las bases de datos

personales
Acciones de seguridad concretas:

Elaborar un inventario de datos personales.

Determinar las funciones y obligaciones de las personas que traten

datos personales.

Contar con un anlisis de riesgos de datos personales que consiste en

identificar peligros y estimar los riesgos a los datos personales.

Establecer las medidas de seguridad aplicables a los datos personales e

identificar aquellas implementadas de manera efectiva.

Realizar el anlisis de brecha que consiste en la diferencia de las

medidas de seguridad existentes y aquellas faltantes que resultan
necesarias para la proteccin de datos personales.
Elaborar un plan de trabajo para la implementacin de las medidas
de seguridad faltantes, derivadas del anlisis de brecha.
Llevar a cabo revisiones o auditoras.
Capacitar al personal que efecte el tratamiento
Realizar un registro de los medios de almacenamiento de los datos
personales.

Vulneraciones de seguridad

Las vulneraciones de seguridad ocurridas en

cualquier fase del tratamiento que afecten de
forma significativa los derechos patrimoniales o
morales de los titulares, sern informadas de
forma inmediata por el responsable al titular, a
fin de que este ltimo pueda tomar las medidas
correspondientes a la defensa de sus derechos.

Deber de confidencialidad

Se erige como la obligacin del

responsable y de quienes intervienen en
cualquier fase del tratamiento de datos
personales de guardar y respetar la
confidencialidad de los mismos, obligacin
que subsistir an despus de finalizar sus
relaciones con el titular, o siendo el caso,
con el responsable.

Cmputo en la nube
Modelo de provisin externa de servicios de cmputo bajo demanda, que implica el
suministro de infraestructura, plataforma o software, mediante procedimientos de
virtualizacin, en recursos compartidos.

El reglamento en su art. 52
establece las reglas mnimas
para que el responsable se
pueda adherir a servicios de
cmputo en la nube.

El responsable no podr
adherirse a servicios que no
garanticen la debida
proteccin de los datos
personales.

Transferencia de bases de datos

La LFPDPPP facilita las transferencias de datos

personales dentro y fuera del pas, siempre y
cuando el responsable informe en el aviso de
privacidad la realizacin, la finalidad de las
transferencias y el titular acepte o consienta
stas.

La LFPDPPP seala excepciones para solicitar

el consentimiento del titular, a fin de llevar a
cabo
transferencias
nacionales
o
internacionales.

Transferencia de bases de datos:

excepciones
Las transferencias nacionales o
internacionales de DP podrn realizarse

sin el consentimiento del titular

cuando la transferencia:

Est prevista en una Ley o Tratado en los que Mxico forme parte.
Sea necesaria para la prevencin o el diagnstico mdico, la
prestacin de asistencia sanitaria, tratamiento mdico o la gestin
de servicios sanitarios.
Sea efectuada a sociedades controladoras, subsidiarias o afiliadas
bajo el control comn del responsable, o a una sociedad matriz o a
cualquier sociedad del mismo grupo del responsable que opere bajo
los mismos procesos y polticas internas (normas internas sobre la
proteccin de DP).

Transferencia de bases de datos:

excepciones
podrn realizarse

sin el consentimiento del titular,

cuando la transferencia:

Sea necesaria por virtud de un contrato celebrado o por

celebrar en inters del titular, por el responsable y un
tercero.
Sea necesaria o legalmente exigida para la salvaguarda de
un inters pblico, o para la procuracin y administracin
de justicia.
Sea precisa para el reconocimiento, ejercicio o defensa de
un derecho en proceso judicial.

Sea precisa para el mantenimiento o cumplimiento de

una relacin jurdica entre el responsable y el titular.

Remisin de datos
Las remisiones o comunicaciones de datos personales, nacionales e
internacionales, entre un responsable y un encargado no requerirn ser
informadas al titular ni contar con su consentimiento.
El encargado se convierte
en un responsable cuando:
Encargado

Utilice los DP para finalidades

distintas a las autorizadas.
Efecte una transferencia,

Responsable

incumpliendo las
instrucciones del responsable.

El encargado no incurrir en responsabilidad cuando previa indicacin

EXPRESA del responsable, remita los DP a otro encargado.

Mecanismos de autorregulacin

Cualquier conjunto de normas de proteccin de datos que se

apliquen a uno o varios responsables de un mismo sector y
cuyo contenido es determinado por dichos responsables.

Con el objeto de armonizar los tratamientos que lleven a

cabo quienes se adhieren a los mismos y facilitar el
ejercicio de los derechos de los titulares. Pudiendo
demostrar con ello, el cumplimiento de las obligaciones
previstas en la normativa.

Derechos

Cules son mis derechos?

Acceso
Acceder a mis datos personales
Solicitar el Aviso de Privacidad
Requerir informacin relacionada con las condiciones generales del tratamiento

Rectificacin
Datos personales inexactos
Datos personales incorrectos

Cancelacin
Supresin de los datos personales, previo bloqueo, cuando estn siendo
tratados en contravencin a la LFPDPPP, su Reglamento y dems disposiciones
aplicables

Oposicin
Solicitar el cese en el tratamiento de los datos personales por razones legtimas y de
manera justificada, o bien, para fines especficos.

Procedimiento para el ejercicio de los

derechos ARCO

Aspectos generales

El procedimiento especfico para el ejercicio de los

derechos ARCO lo establece cada responsable.

Se debe designar a una persona o departamento de

datos personales para dar trmite a las solicitudes
de derechos ARCO. El designado tambin fomentar
la proteccin de los datos personales en la
organizacin.

El ejercicio de un derecho ARCO no excluye el

ejercicio de los otros, ni puede constituir requisito
previo.

Procedimientos de tutela del derecho

a la proteccin de datos personales

Ante el IFAI
Proteccin de
Derechos

Verificacin

Imposicin de
sanciones

Proteccin de derechos

Inicia a instancia del titular de los datos o de su

representante por inconformidad en la respuesta o por la
falta de respuesta por parte del responsable del
tratamiento de los datos personales.
Tambin procede cuando el responsable no le otorg al
titular acceso a sus datos personales o lo hizo en un formato
incomprensible, o se neg a rectificar o cancelar sus datos.

Se debe sealar claramente la reclamacin y los preceptos

de la LFPDPPP que se consideren vulnerados.

Proteccin de derechos

El plazo para interponer este procedimiento es de 15 das a

partir de que el responsable le comunic la respuesta al
responsable o cuando haya vencido el plazo de respuesta
previsto para el responsable.

Contra la resolucin de este procedimiento procede el

juicio de nulidad ante el Tribunal de Justicia Fiscal y
Administrativa.

Procedimiento de verificacin

Tiene como finalidad que el IFAI compruebe el cumplimiento de

las disposiciones previstas en la LFPDPPP o en la regulacin que
derive de ella.

Las actuaciones de verificacin inician:

De oficio: derivado del incumplimiento a resoluciones

dictadas con motivo de procedimientos de proteccin de
derechos.

A peticin de parte: cuando se presuma fundada y

motivadamente la existencia de violaciones a la
Ley.

El procedimiento de verificacin durar mximo 180 das, plazo

que puede ser ampliado por una sola vez.

Procedimiento de verificacin

El IFAI est facultado para requerir al responsable la

documentacin necesaria o tambin puede visitar el
establecimiento donde estn las bases de datos
personales.

Los servidores pblicos del IFAI estn obligados a guardar

confidencialidad sobre la informacin que conozcan a
partir de este procedimiento.

En contra de la resolucin del Instituto al procedimiento

de verificacin procede el juicio de nulidad ante el
Tribunal Federal de Justicia Fiscal y Administrativa.

Procedimiento de imposicin de
sanciones

Se detona cuando el IFAI tenga conocimiento

de un presunto incumplimiento de alguno de
los principios o disposiciones de la LFPDPPP
como consecuencia del desahogo del
procedimiento de proteccin de derechos o
del procedimiento de verificacin.

Imposicin de sanciones

Rgimen de infracciones y sanciones

La LFPDPPP prev una serie de conductas consideradas como

infracciones con su correspondiente sancin, misma que
puede ir desde el apercibimiento hasta la imposicin de
multas mximas bajo un sistema de modulacin de la
penalidad, de acuerdo con la gravedad de las conductas,
tomando en cuenta:

La naturaleza del dato.

La notoria improcedencia de la negativa del responsable
para realizar los actos solicitados por el titular.
El carcter intencional de la accin u omisin.
La capacidad econmica del responsable.
La reincidencia.

Rgimen de infracciones y sanciones

Delito

Prisin

Provocar una vulneracin de

seguridad a las bases de
datos bajo su custodia.

3 meses a 3 aos

Tratamiento de DP
mediante el engao,
aprovechndose del error
del titular o del
responsable.

Tratndose de datos
personales sensibles.

6 meses a 5 aos
Delitos llevados
a cabo con
nimo de lucro
Penas
anteriores

Consecuencias de un manejo inadecuado de

datos personales para una organizacin

Prdida de confianza de los clientes.

Riesgo reputacional frente a los clientes.
Prdida de activos en la organizacin.
Prdida de competitividad en un mercado
globalizado.