UNIDAD 2

Normatividad y Regulación
de los Datos Personales

Legislación en Tecnología de Información y Telecomunicaciones

Ciclo: 21-3

Maestra Elizabeth Cataño Vargas 1

2. Normatividad y regulación de los datos
personales
2.1. Normatividad aplicable a nivel estatal, federal e internacional
2.2. Los principios de protección de datos personales
2.2.1 Licitud
2.2.2 Lealtad
2.2.3 Calidad
2.2.4 Finalidad
2.2.5 Proporcionalidad
2.2.6 Consentimiento
2.2.7 Información
2.2.8 Responsabilidad
2.3. Medidas de seguridad y confidencialidad
2.4. Derecho al ejercicio y atención
2.5. Las prestaciones de servicios
2.6. Regulación contractual
2.7. Los órganos de control

2
 Introducción

Los acciones aplicadas para garantizar el derecho a la

protección de datos personales tienen la finalidad de
otorgar a los usuarios de los medios digitales un
mayor control sobre el uso de su información en
manos de organizaciones y particulares.

En la actualidad, la protección de datos personales

en México va en camino de contar con un marco
jurídico sólido para garantizar su ejercicio.

3
 Marco Normativo

APLICA
Sector Público Ley Federal de Transparencia y Acceso a
Federal la Información Pública Gubernamental.

Ámbito Ley Federal de Protección de Datos

Privado Personales en Posesión de los
(a nivel nacional) Particulares.

Leyes de protección de datos o de transparencia

Entidades
con apartados específicos en el tema, que aplican
Federativas únicamente para el sector público estatal.

4
 Leyes estatales de protección de datos
personales

1. Colima
Ley de Protección de Datos Personales del Estado de Colima.
21 de junio de 2003.

2. Guanajuato
Ley de Protección de Datos Personales para el Estado y los Municipios de Guanajuato.
19 de mayo de 2006.

3. Oaxaca
Ley de Protección de Datos Personales del Estado de Oaxaca.
23 de agosto de 2008.

4. Distrito Federal
Ley de Protección de Datos Personales para el Distrito Federal.
3 de octubre de 2008.

5. Tlaxcala
Ley de Protección de Datos Personales para el Estado de Tlaxcala.
14 de mayo de 2012.

5
 Leyes estatales de protección de datos
personales

6. Campeche
Ley de Protección de Datos Personales del Estado de Campeche y sus Municipios.
9 de julio de 2012.
7. Estado de México
Ley de Protección de Datos Personales del Estado de México.
31 de agosto de 2012.
8. Veracruz
Ley para la Tutela de los Datos Personales en el Estado de Veracruz de Ignacio de la Llave.
2 de octubre de 2012.

9. Durango
Ley de Protección de Datos del Estado de Durango.
13 de junio de 2013.

10. Chihuahua
Ley de Protección de Datos Personales del Estado de Chihuahua.
26 de junio de 2013.

11. Puebla
Ley de Protección de Datos Personales en Posesión de los Sujetos Obligados del Estado de Puebla.
25 de noviembre de 2013.

6
 Figuras

Responsable

Persona física o moral de

carácter público o privado
que DECIDE sobre el
tratamiento de los datos
personales

Encargado

La persona física o moral que

sola o conjuntamente con
otras personas procesa datos
personales por indicación o
solicitud del Responsable;

7
Principios rectores en materia de
protección de datos personales

8
Principios

9
 Principio del Consentimiento

• Como regla general, los datos personales

sólo podrán ser tratados con el
consentimiento de su titular.

• La manifestación de la voluntad del

titular debe ser libre, informada y
específica.

10
 Principio de Licitud

Todo responsable debe llevar a cabo el

tratamiento de datos personales de forma
lícita, esto es, respetando la legislación
aplicable y los derechos y libertades de
las personas.

11
 Principio de Información

Dar a conocer la existencia misma del

tratamiento y sus características
esenciales en términos claros y
sencillos que resulten fácilmente
comprensibles.

12
 Principio de Lealtad

Para la obtención de datos personales

no debe valerse del engaño o fraude,
de forma tal que la persona no pueda
conocer con propiedad los términos y
condiciones vinculados a ese
tratamiento.

13
 Principio de Proporcionalidad

El tratamiento de datos personales debe

circunscribirse a aquéllos que resulten
adecuados, relevantes y no excesivos con
relación a las finalidades que justificaron su
obtención.

14
 Principio de Finalidad

El tratamiento de datos personales

deberá limitarse al cumplimiento
de las finalidades determinadas,
explícitas y legítimas del
responsable del tratamiento.

15
 Principio de Calidad

• Los datos personales deben ser exactos,

completos y actualizados para el cumplimiento
de las finalidades para las que sean tratados.

• Los datos personales deben ser suprimidos una

vez que se cumplan o agoten las finalidades
para las cuales fueron recabados.

16
 Principio de Responsabilidad

El responsable está obligado a implementar

aquellos mecanismos necesarios para
evidenciar dicho cumplimiento, ante los
titulares como a la autoridad garante.

17
Deberes

18
 Deber de Seguridad

Aplicación de medidas de seguridad

encaminadas a garantizar la
confidencialidad, integridad y
disponibilidad de éstos, bajo estándares y
buenas prácticas reconocidas
internacionalmente en la materia.

19
 Deber de Confidencialidad

Obligación del responsable y de quienes

intervienen en cualquier fase del
tratamiento de datos personales de
guardar y respetar la confidencialidad de
los mismos.

20
Derechos

21
 Derechos ARCO

Acceso
Acceder a los datos personales.
Requerir información relacionada con las condiciones generales del tratamiento.

Rectificación
Datos personales inexactos.
Datos personales incorrectos.

Cancelación
Supresión de los datos personales, previo bloqueo, cuando están siendo
tratados en contravención a la normativa aplicable.

Oposición
Cese en el tratamiento de los datos personales por razones legítimas y de manera
justificada, o bien, para fines específicos.

22
 Procedimiento para la defensa de los derechos ARCO
ante el INAI

Sector Privado
Sector Público
Procedimiento de Protección de Derechos
Recurso de Revisión (LFTAIPG)
(LFPDPPP)

Reconoce la tutela de los derechos de acceso,

Reconoce la tutela de los derechos de
rectificación, cancelación y oposición.
acceso y rectificación.
Se podrá hacer efectivo hasta febrero de 2012.

Plazo máximo de 50 días hábiles Plazo máximo de 50 días hábiles

prorrogables por una sola vez. prorrogables por una sola vez.
Los sujetos regulados podrán impugnar las
La resolución es definitiva e resoluciones del INAI promoviendo el juicio de
inatacable para los sujetos obligados. nulidad ante el Tribunal Federal de Justicia Fiscal
y Administrativa.
Un elemento innovador de esta Ley es el
procedimiento conciliatorio que las partes -
No prevé un mecanismo de
responsable y titular- podrán llevar a cabo para
conciliación.
solucionar el conflicto en cualquier etapa del
procedimiento de protección de derechos.

23
 Otros procedimientos que se sustancian ante el INAI
de acuerdo con la LFPDPPP

VERIFICACIÓN IMPOSICIÓN DE SANCIONES

Inicia:
✓ De oficio: derivada del incumplimiento
a resoluciones dictadas con motivo de Este procedimiento se detona cuando el INAI
procedimiento de protección de tiene conocimiento de un presunto
derechos. incumplimiento de alguno de los principios o
✓ A petición de parte: cuando se disposiciones de la LFPDPPP como consecuencia
presuma fundada y del desahogo del procedimiento de protección
motivadamente, la existencia de de derechos o del procedimiento de verificación.
violaciones a la ley.
El INAI tendrá acceso a la información y
documentación que considere necesaria y Prevé un periodo para la presentación y
los servidores públicos estarán obligados a desahogo de pruebas, al término del cual el INAI
guardar la confidencialidad sobre la deberá resolver en definitiva.
información que conozcan.

En el Reglamento de la LFPDPPP se En el Reglamento de la LFPDPPP se desarrollará

desarrollará la forma, términos y plazos en la forma, términos y plazos en que se sustanciará
que se sustanciará este procedimiento. este procedimiento.

24
 Infracciones y sanciones

La LFPDPPP prevé una serie de conductas consideradas como

infracciones, las cuales serán castigadas con las siguientes sanciones:

✓ No atender la solicitud del titular apercibimiento.

✓Tratar datos en contra de los principios, omitir el aviso de privacidad,

mantener datos personales inexactos, declarar dolosamente la
inexistencia de datos, etc. multa.

✓Incumplir el deber de confidencialidad, cambiar sustancialmente de

finalidad sin avisar al titular, vulnerar la seguridad de las bases,
transferir datos sin consentimiento del titular, etc. multa.

Los montos pueden incrementarse por: reincidencia o por tratarse de

datos sensibles.

25
 Periodos de implementación de la LFPDPPP

PLAZO ACTIVIDAD
✓ Ley entra en vigor.
6 de julio de 2010

✓ Ejecutivo expide Reglamento.

✓Empresas designan a persona /

Julio 2011 departamento que atenderá a
particulares.
✓ Empresas emiten aviso de privacidad.

✓Titulares pueden ejercer

Enero de 2012
derechos ARCO ante responsables.
✓ Particulares pueden presentar su
Febrero de 2012 solicitud de protección de derechos al
INAI.

26
Implicaciones de la reforma al artículo 6
constitucional en materia de protección
de datos personales

27
 Situación normativa actual del derecho a la
protección de datos personales

En tanto se expida la ley general en

materia de datos personales en posesión
de sujeto obligados, permanecerá vigente
la normatividad federal y local en la
materia, en sus respectivos ámbitos de
aplicación.

28
 Actualmente

Las leyes, reglamentos, lineamientos, órganos

acuerdos, criterios y procedimientos locales
en materia de protección de datos personales
siguen vigentes.

29
 Posible escenario en periodo de
transición

Coexistencia de leyes, reglamentos,

lineamientos, órganos y procedimientos
locales en materia de protección de datos
personales actuales, con aquéllos que prevé la
normativa de acceso a la información.

30
Impacto de la reforma al artículo 6 constitucional en
materia de datos personales

INAI como máximo órgano garante en el

sector público federal.

Emisión de una ley general y federal de

protección de datos personales.

Generación de condiciones en los entes públicos

para que el derecho a la protección de datos
personales sea operante.

31
 Iniciativa de ley general de protección
de datos personales del Senado

Tiene por objeto establecer las bases,

principios y procedimientos para garantizar el
derecho a la protección de datos personales
en los tres niveles de gobierno.

Conceptos, figuras, principios y

derechos acorde con los estándares
nacionales e internacionales.

Estándares mínimos para homologar el

derecho a la protección de datos
personales en el país.

32
 Aspectos a destacar de la iniciativa
de ley general del Senado
Entre los temas desarrollados a lo largo de los 144 artículos de la propuesta de ley general
del Senado, destacan por su relevancia los que a continuación se indican:

Sistema Nacional de Transparencia, Acceso a la Información y

Protección de Datos Personales

Definición de las bases que permitan la construcción e implementación del Sistema

Nacional en lo que respecta al derecho a la protección de datos personales, desde
una óptica de política pública.

Temas de seguridad
Incorporación de temas específicos de seguridad como lo es el cómputo en la nube y
las vulneraciones, de acuerdo con los actuales estándares nacionales e
internacionales que rigen la materia.

Medios de impugnación
Definición de las reglas generales que permitan sustanciar los procedimientos de recursos
de revisión, de inconformidad, así como ejercer la facultad de atracción.

33
 ¿Hacia dónde va el derecho a la protección de datos
personales en los tres niveles de gobierno?

Ley Federal de Transparencia y Acceso a Iniciativa de Ley General de Protección de Datos

la Información Pública Gubernamental Personales
PRINCIPIOS
1. Licitud.
PRINCIPIOS
2. Lealtad.
1. Consentimiento.
3. Consentimiento.
2. Proporcionalidad.
4. Finalidad.
3. Finalidad.
5. Proporcionalidad.
4. Información.
6. Información.
5. Calidad.
7. Calidad.
8. Responsabilidad.
DEBERES
DEBERES
1. Seguridad.
1. Seguridad.
2. Confidencialidad.
DERECHOS
DERECHOS 1. Acceso.
1. Acceso. 2. Rectificación.
2. Rectificación. 3. Cancelación.
4. Oposición.

No previsto. Régimen de datos personales sensibles.

34
 ¿Hacia dónde va el derecho a la protección de datos
personales en los tres niveles de gobierno?

Ley Federal de Transparencia y

Iniciativa de Ley General de Protección de
Acceso a la Información Pública
Datos Personales
Gubernamental
No previsto. Relación responsable-encargado.

Régimen de transferencias
No previsto. • Nacionales.
• Internacionales.
Medidas preventivas
• Evaluaciones de impacto a la protección de
No previsto.
datos personales.
• Esquemas de mejores prácticas.

Medios de impugnación
Medios de impugnación 1. Recursos de revisión.
1. Recursos de revisión. 2. Recursos de inconformidad.
3. Facultad de atracción.

No previsto. Procedimiento de verificación.

Régimen de imposición de sanciones

Catálogo general de • Catálogo de responsabilidades
responsabilidades administrativas. administrativas en materia de
protección de datos personales

35
 Conclusión

Los datos personales siempre son nuestros,

pero a veces es necesario que los
proporcionemos a otros para hacer un trámite,
comprar un producto o contratar un servicio.

De manera común, tanto particulares (médicos,

bancos, hoteles, empresas de telefonía móvil,
aseguradoras, etc.) como Sujetos Obligados
(oficinas de tránsito, catastro, escuelas y
hospitales públicos, tribunales, procuradurías,
entre otros) recaban nuestros datos.

36
 Bibliografía
1. Estudio de autorregulación en materia de privacidad y protección de datos personales en el ámbito
de las TI, Secretaría de Economía. Consultado el 30 de agosto del 2017. Disponible en: en:
https://prosoft.economia.gob.mx/Imagenes/ImagenesMaster/Estudios%20Prosoft/FREF_04.pdf

2. Estudio de Protección de Datos Personales entre Usuarios y Empresas, Asociación Mexicana de

Internet. Consultado el 30 de agosto del 2017. Disponible en:
https://www.asociaciondeinternet.mx/es/component/remository/Proteccion-de-Datos-
Personales/Estudio-de-Proteccion-de-Datos-Personales-entre-Usuarios-y-Empresas/lang,es-
es/?Itemid=

3. Gamboa Montejano, Claudia, "Datos personales: Estudio teórico conceptual de su regulación

actual y de las iniciativas presentadas para la creación de una Ley en la materia", Centro de
Documentación, Información y Análisis de la Cámara de Diputados, 2009. Consultado el 30 de
agosto del 2017. Disponible en: http://www.diputados.gob.mx/sedia/sia/spi/SPI-ISS-24-09.pdf

37