Diseño, Desarrollo e Implementación para la Seguridad en la Tecnología

ACTIVIDAD 4.- PROTECCIÓN DE DATOS. REGULACIONES QUE APLICAN:

OBLIGACIONES MÁS RELEVANTES Y SANCIONES MÁS RELEVANTES POR
INCUMPLIMIENTO.

Dra. Irma Yolanda Díaz

Maestría en Ciberseguridad

Presentan:

Ing. Isis Sarai Espinosa Lozano

Colima, col. A 10 de diciembre de 2022

Contenido
Actividad 4.- Protección de datos. Regulaciones que aplican: Obligaciones más
relevantes y sanciones más relevantes por incumplimiento. Dos cuartillas. ........ 3

Ley Federal de Protección de Datos Personales en Posesión de los Particulares

............................................................................................................................. 5

Reglamento de la Ley Federal de Protección de Datos Personales en Posesión

de los Particulares. .............................................................................................. 6

Ley General de Protección de Datos en Posesión de Sujetos Obligados ........... 7

Sanciones en Materia del Tratamiento Indebido de Datos Personales. .............. 9

Bibliografía ............................................................................................................ 11
Actividad 4.- Protección de datos. Regulaciones que aplican: Obligaciones
más relevantes y sanciones más relevantes por incumplimiento. Dos
cuartillas.

Primeramente, es necesario que se tenga un conocimiento sobre la definición de

protección de datos, la cual se refiere a los derechos de las personas sobre el control
y tratamiento de la información, desde su recolección, mantenimiento, utilización,
almacenamiento, organización y acceso, así como del conocimiento sobre los datos
que están siendo utilizados. En pocas palabras el individuo tiene derecho a la
reserva y confidencialidad de sus datos.

Cabe aclarar que los datos personales se refieren a toda aquella información que
permiten identificar a un individuo, le brindan identidad, lo describen y precisan, ya
sea a través de su nombre, lugar de origen y residencia, trayectoria académica y
laboral, firma y datos biométricos, entre otros. (Instituto de Transparencia, Acceso
a la Información Pública, Protección de Datos Personales y Rendición de Cuentas
de la Ciudad de México, 2022)

Existen datos personales que hacen referencia a aspectos más sensibles, los
cuales, si son utilizados de manera indebida, puedan dar origen a discriminación o
generar un riesgo grave para el individuo. Se consideran sensibles los datos
personales que puedan revelar aspectos como características físicas, origen racial
o étnico, estado de salud, información genética, preferencia sexual, creencias
religiosas, filosóficas y morales, así como opiniones políticas. (Instituto
Duranguense de Acceso a la Información Pública y de Protección de Datos
Personales, 2022)

En México, en 2002, con la Ley Federal de Acceso a la Información Pública

Gubernamental se realizó el reconocimiento constitucional del derecho de
protección de datos personales para el ámbito público, desarrollado en el marco de
los postulados de la doctrina europea y los esquemas de autorregulación y
sectorización del sistema anglosajón. (Mendoza Enríquez, 2018)

Durante 2009, se realizaron reformas constitucionales de los artículos 16 y 73 en

donde se brinda el derecho a la protección de datos personales y durante el año
2010 se contó con la Ley Federal de Protección de Datos Personales en Posesión
de los Particulares, en donde se brindan disposiciones expresas para que las
empresas realicen el correcto tratamiento de datos personales en el sector privado.
Finalmente, durante 2017, se emitió la Ley General de Protección de Datos
Personales en Posesión de Sujetos Obligados, con la cual se terminó dictar
obligaciones, deberes, procedimientos, sanciones y recursos en la materia, tanto
para el sector público como privado. (Mendoza Enríquez, 2018).

“El derecho de protección de datos personales cuenta con principios enunciados en

la legislación aplicable al manejo de la información, tanto para empresas públicas
como privadas.” (Mendoza Enríquez, 2018).
Principio de licitud: La obtención de los datos no puede realizarse a través de
métodos fraudulentos, siempre se recabaran de acuerdo a las disposiciones
establecidas en la legislación en materia de datos personales y de manera lícita.

Principio de finalidad: todo tratamiento de datos personales deberá estar justificado

se deberá de limitar al cumplimiento de las finalidades previstas en el aviso de
privacidad.

Principio de lealtad: el responsable tendrá que privilegiar la protección de los datos

personales y velará por el cumplimiento de los principios de protección de estos.

Principio de consentimiento: todo tratamiento de datos personales estará sujeto al

consentimiento de su titular una vez expreso el aviso de privacidad. En caso de
datos personales sensibles, se deberá obtener el consentimiento expreso y por
escrito del titular para su tratamiento.

Principio de calidad: el responsable procurará que los datos personales contenidos

en las bases de datos se proporcionen directamente por el titular, sean pertinentes,
correctos y actualizados según los fines para los cuales fueron recabados.

Principio de proporcionalidad: el tratamiento de datos personales será estrictamente

para la finalidad que justifica su tratamiento.

Principio de información: Se deberá de informar a los titulares de los datos la

información que se recabe de ellos y su finalidad.

Principio de responsabilidad: el responsable deberá tomar las medidas necesarias

y suficientes para garantizar que el aviso de privacidad sea respetado en todo
momento.
Ley Federal de Protección de Datos Personales en Posesión de los
Particulares

Como se mencionó anteriormente, a partir de 2010, México cuenta con la Ley

Federal de Protección de Datos Personales en Posesión de los Particulares o Ley
de Protección de Datos, la cual fue implementada para regular el tratamiento de los
datos personales por parte de todas aquellas personas físicas o morales de carácter
privado que lleven a cabo el tratamiento de datos personales, exceptuando a las
sociedades de información crediticia y las personas que traten datos para su uso
personal. Realizando, de esta manera, una recopilación y tratamiento de datos
personales seguro y satisfactorio.

la LFPDPPP estipula obligaciones para los particulares, como lo es el dar a

conocer a los titulares, la información que de ellos se recaba y los fines para los
cuales serán utilizados sus datos, a través del aviso de privacidad. Además de que
en caso de existir alguna vulneración de seguridad en el tratamiento de los datos,
se deberá informar inmediatamente al titular con el fin de que este pueda
emprender acciones que ayuden a la defensa de sus derechos.

Los principales beneficios de la LFPDPPP son la regulación del tratamiento

legítimo, controlado e informado de los datos, la garantía de la privacidad y el
derecho a la autodeterminación informativa de las personas.

En cuanto al régimen de transferencia nacional e internacional de datos, la

información será tratada conforme al aviso de privacidad, pues se asumen las
mismas obligaciones.
Reglamento de la Ley Federal de Protección de Datos Personales en
Posesión de los Particulares.

Con el fin de completar la estructura jurídica relacionada con la protección de

datos personales, en 2011, se publicó el Reglamento de la Ley Federal de
Protección de Datos Personales en Posesión de los Particulares, en donde se
hace hincapié en la obligación de informar el tratamiento de los datos personales
al titular de esta.

En su capítulo 1, se definen conceptos relacionados con los nuevos entornos de

las tecnologías de información y comunicación, además de clarificar el ámbito de
aplicación, territorial y objetivo. Uno de los principales puntos de este capítulo es la
definición de los derechos ARCO (Acceso a los datos, Rectificarlos, solicitud de
Cancelación u Oponerse a su tratamiento)

En el capítulo 2 del reglamento se señala el alcance de los principios de licitud,

consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y
responsabilidad, los cuales deberán ser observados por los responsables de datos
personales. (Mendoza Enríquez, 2018)

Dentro del capítulo 3 se engloban una serie de pautas respecto a la seguridad de

la información, además, establece los factores de seguridad aplicables a los datos
personales. Respecto a las transferencias de datos personales, se encuentran
sujetas al consentimiento de su titular, salvo las excepciones enmarcadas por el
artículo 37 de la LFPDPPP.

El principal problema que se establece actualmente es que no se cuenta con

fuerza en la recolección de datos que se realizan en internet las empresas
privadas establecidas fuera de México, por lo que ante el avance de nuevas
tecnologías y nuevas formas de procesar, analizar, almacenar y utilizar los datos
personales el reglamento se vuelve inoperante.
Ley General de Protección de Datos en Posesión de Sujetos Obligados

En enero de 2017, se publica la Ley General de Protección de Datos en Posesión

de Sujetos Obligados, la cual busca proteger los datos personales en posesión de
cualquier autoridad, entidad, órgano y organismo de los tres niveles de gobierno, ,
órganos autónomos, partidos políticos, fideicomisos y fondos públicos, con la
finalidad de regular su debido tratamiento; garantizar que toda persona pueda
ejercer el derecho a la protección de los datos personales, y establecer los
mecanismos para garantizar el cumplimiento y la efectiva aplicación de las
medidas de apremio que correspondan para aquellas conductas que contravengan
las disposiciones previstas en esta ordenamiento, así como regular los medios de
impugnación.

En este ordenamiento se habla por primera vez, del concepto de portabilidad de

los datos, se menciona la diferencia entre los conceptos de responsable y
encargado, a fin de definir las facultades y responsabilidades respecto al
tratamiento de datos personales. Además, cubre la necesidad de formalizar esta
relación mediante contrato o cualquier otro instrumento jurídico que decida el
responsable, de conformidad con la normativa que le resulte aplicable, y que
permita acreditar su existencia, alcance y contenido.

En cuanto a las acciones preventivas, el responsable podrá desarrollar o adoptar

esquemas de mejores prácticas.
Desafíos y cumplimiento de la regulación en materia de datos personales en
las empresas en México

En base a la Encuesta de Privacidad del Consumidor Cisco 2022, se puede

afirmar que los consumidores quieren mayor transparencia sobre cómo se utilizan
y protegen sus datos personales, por lo que están tomando medidas para proteger
sus datos y esto viene a generar nuevos desafíos para las empresas, debido a
que deben de mostrar mayor transparencia o pueden perder clientes.

“Los consumidores apoyan el uso de la Inteligencia Artificial (IA) pero están

preocupados por la forma en la que las empresas utilizan la IA; el 65% ha perdido
la confianza en las organizaciones debido a su uso de la IA.” (Cisco Systems,
2022)

Por último el 61% de los consumidores considera que las leyes tienen un impacto
positivo y quieren que el gobierno asuma un papel de liderazgo en la protección de
datos, debido a que no confían en que las empresas privadas se hagan
responsables de los datos personales por cuenta propia. (Cisco Systems, 2022)

El estudio Cisco 2022 Data Privacy Benchmark Study informó de que el 91% de
las organizaciones considerar la privacidad como un imperativo empresarial y el
83% ve las regulaciones de privacidad favorablemente. (Cisco SECURE, 2022)

Las leyes en materia de protección de datos personales de México están basadas

en la visión Europea en la protección de este derecho y en algunos elementos de
derecho anglosajón, por lo que México tiene como desafío el seguir incorporando
elementos que se adecuen a las empresas y consumidores nacionales, siempre
asegurando la protección de los datos personales.
 Sanciones en Materia del Tratamiento Indebido de Datos Personales.

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares

estipula en sus capítulos X De las Infracciones y Sanciones y XI De los Delitos en
Materia del Tratamiento Indebido de Datos Personales, las conductas y sanciones
que se recibirán en caso de un tratamiento indebido de datos personales.

Sanción Conducta

No cumplir con la solicitud del titular para el acceso, rectificación, cancelación u

Apercibimiento
oposición al tratamiento de sus datos personales, sin razón fundada.


Actuar con negligencia o dolo en la tramitación de solicitudes de acceso,
rectificación, cancelación u oposición de datos personales.
100 a 160,000 veces
 Declarar dolosamente la inexistencia de datos personales, cuando exista total o
el valor de la UMA parcialmente en las bases de datos del responsable.
 Dar tratamiento a los datos personales en contravención a los principios
($8,688.00 a establecidos en la LFPDPPP.
$13,900,800.00 para
 Omitir en el aviso de privacidad.
2020)  Mantener datos personales inexactos cuando resulte imputable al responsable,
o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente
procedan cuando resulten afectados los derechos de los titulares.
 No cumplir con el apercibimiento de la autoridad

Incumplir el deber de confidencialidad.

cambiar sustancialmente la finalidad originaria del tratamiento de los datos, sin
obtener nuevamente el consentimiento del titular.
 Transferir datos a terceros sin comunicar a estos el aviso de privacidad que
contiene las limitaciones a que el titular sujetó la divulgación de los mismos
 vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando
200 a 320,000 veces resulte imputable al responsable.
el valor de la UMA Llevar a cabo la transferencia o cesión de los datos personales, fuera de los
casos previstos en la LFPDPPP.
($17,376.00 a  Recabar o transferir datos personales sin el consentimiento expreso del titular,
$27,801,600.00 para en los casos en que este sea exigible.
2020)  Obstruir los actos de verificación de la autoridad.
 Recabar datos en forma engañosa y fraudulenta.
 Continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el
cese del mismo por el instituto o los titulares.
 Tratar los datos personales de manera que se afecte o impida el ejercicio de los
derechos ARCO.
 Crear bases de datos personales sensibles, sin que se justifique la creación de
las mismas para finalidades legítimas, concretas y acordes con las actividades
o fines explícitos que persigue el sujeto regulado.
Tabla 1.- Sanciones por conductas de incumplimiento a la LFPDPPP (Cruz, 2020)

Por su parte en el artículo 67 señala la imposición de de tres meses a tres años de

prisión al que estando autorizado para tratar datos personales, con ánimo de lucro,
provoque una vulneración de seguridad a las bases de datos bajo su custodia.

En su Artículo 68 señala como sanción prisión de seis meses a cinco años al que,
con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño,
aprovechándose del error en que se encuentre el titular o la persona autorizada para
transmitirlos.

Finalmente en su artículo 69 menciona que tratándose de datos personales

sensibles, las penas a que se refiere este Capítulo se duplicarán.
Bibliografía

CÁMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIÓN. (s.f.). LEY

FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN
DE LOS PARTICULARES.

Cisco SECURE. (2022). Cisco 2022 Data Privacy Benchmark Study. Obtenido de
chrome-
extension://efaidnbmnnnibpcajpcglclefindmkaj/https://www.cisco.com/c/dam/
en_us/about/doing_business/trust-center/docs/cisco-privacy-benchmark-
study-2022.pdf?CCID=cc000742&DTID=odicdc000016

Cisco Systems. (16 de Noviembre de 2022). MCS. Obtenido de Consumidores

desean más transparencia con el uso de sus datos, reveló encuesta de Cisco:
https://mcs.com.mx/consumidores-desean-mas-transparencia-con-el-uso-
de-sus-datos-revelo-encuesta-de-cisco/

Cruz, J. (26 de Febrero de 2020). idc online. Obtenido de Cuál es la multa por no
proteger los datos personales:
https://idconline.mx/corporativo/2020/02/26/cual-es-la-multa-por-no-
proteger-los-datos-personales

Instituto de Transparencia, Acceso a la Información Pública, Protección de Datos

Personales y Rendición de Cuentas de la Ciudad de México. (23 de 11 de
2022). Instituto de Transparencia, Acceso a la Información Pública,
Protección de Datos Personales y Rendición de Cuentas de la Ciudad de
México. Obtenido de ¿Qué son los datos personales?:
https://infocdmx.org.mx/index.php/protege-tus-datos-
personales/%C2%BFqu%C3%A9-son-los-datos-personales.html

Instituto Duranguense de Acceso a la Información Pública y de Protección de Datos

Personales. (22 de 11 de 2022). instituto duranguense de acceso a la
información pública y de protección de datos personales. Obtenido de ¿Qué
 son los datos personales?: https://idaip.org.mx/sitio/que-son-los-datos-
personales/#page-content

Mendoza Enríquez, O. A. (2018). Marco jurídico de la protección de datos

personales en las empresas de servicios establecidas en México: desafíos y
cumplimiento. Revista IUS.