Protección de
Datos Personales
Los datos personales constituyen
la información que te identifica,
incluso pueden revelar aspectos
privados sobre tu personalidad, tus
preferencias y gustos, características
físicas y biométricas, datos de
salud, información financiera,
académica y laboral, creencias
religiosas y políticas, entre otros.
Módulo I.
Protección de los datos personales y su legislación
Tema 1. La protección de datos personales en
el ámbito internacional
¿Qué es la protección de datos personales?
La protección de los datos personales es el derecho
humano que tiene toda persona para que se respete su
privacidad y para decidir sobre el uso de dichos datos.
Las primeras leyes y
normativas en materia de
protección de datos
personales fueron creadas
en Europa, cuyo marco
regulatorio estaba destinado
a establecer un equilibrio
entre la protección de la
vida privada de las personas
y la libre circulación de los
datos personales dentro
de la Unión Europea.
Protección de Datos Personales

Tema 2. Legislación en materia de protección

de datos personales en México El Instituto Nacional de Transparencia,
Acceso a la Información y Protección
Para garantizar el cumplimento de este derecho
de datos personales (INAI) es la
humano y regular el tratamiento legítimo, controlado
autoridad que vigila el cumplimiento
e informado de los datos personales, se creó la
de la Ley Federal de Protección de
Ley Federal de Protección de Datos Personales
Datos Personales en Posesión de
en Posesión de los Particulares (LFPDPPP) y su
los Particulares.
Reglamento (RLFPDPPP), ambos publicados en el
Diario Oficial de la Federación el 5 de Julio de 2010
y 21 de diciembre del 2011 respectivamente,
las cuales, para fines de este curso, les llamaremos
en su conjunto “Legislación de datos personales”.

Dicha legislación es Tema 3. Data Protection Office

obligatoria para las La Ley Federal de Protección de
Personas Morales de
Datos Personales en Posesión de los
carácter privado que
Particulares (LFPDPPP) obliga a los
traten datos personales
de Personas Físicas, Responsables a tener un
por lo que la legislación departamento de datos personales
no es aplicable a las de conformidad a su artículo 30; es
Personas Morales por ello que en Grupo BBVA se creó
ni a las Personas la Dirección de Protección de Datos
Físicas con actividad Personales, perteneciente a la
empresarial. Dirección de Cumplimiento.
Protección de Datos Personales
Responsabilidades de la
Data Protection Office.
Evaluar, analizar, asesorar y, en su caso,
autorizar, la aplicabilidad de la Legislación
de Datos Personales.
Identificar riesgos legales en los diferentes
procesos, proyectos y actividades en los que
implique un tratamiento de datos personales,
así como en la creación de nuevos productos
y/o servicios en el Grupo.
Implementar acciones para prevenir, mitigar
y sancionar incumplimientos a la Legislación
de Protección de Datos.
Fomentar la cultura de protección de datos
personales al interior de la organización y
determinar las acciones necesarias para
la atención de los Derechos ARCO en
apego a la regulación.
Módulo II.
Obligaciones legales en materia de
protección de datos personales
1. Datos Personales Generales.
Es cualquier información que
te identifica o que te hace
identificable, por ejemplo:
Tu nombre.
2. Datos Financieros o
Patrimoniales.
Es toda la información asociada
a tus finanzas, productos
bancarios y a tu patrimonio,
por ejemplo: tu número de cuenta.
3. Datos Sensibles.
Es aquella información que afecte la
esfera más íntima del titular o que
incluso el uso indebido de dicha
información puede ocasionar
discriminación, por ejemplo:
tu preferencia sexual.
Protección de Datos Personales
4. Tratamiento de datos personales.
Es la obtención, uso, acceso, manejo,
aprovechamiento, transferencia,
divulgación o almacenamiento de
datos personales; por ejemplo:
la obtención de tus datos personales
en la contratación de algún producto.
5. Titular de los datos personales.
Es la persona física a quien corresponden
los datos personales; por ejemplo,
tú como dueño de tus datos personales.
6. Responsable del tratamiento
de los datos personales.
Es la persona física o moral de carácter
privado, que decide sobre el tratamiento
de datos personales, por ejemplo:
BBVA Banco o BBVA Seguros.
7. Encargado del tratamiento
de los datos.
Es aquella persona física o moral que
utiliza los datos personales a nombre
del Responsable, también se le conoce
como “Proveedor”; un ejemplo en el
Grupo BBVA son los call center.
Tema 1. Aviso de Privacidad
El Aviso de Privacidad es el documento
generado por el Responsable en el cual
se le da a conocer a los Titulares de los
datos la información que se recaba
de ellos y con qué fines se va a utilizar;
los medios o mecanismos para ejercer
sus Derechos ARCO, así como de las
transferencias de datos personales
que se pueden realizan.
Es obligación del Responsable dar a
conocer el Aviso de Privacidad al
Titular de los datos, previo a que
obtenga su información.
Cada una de las empresas y sedes
pertenecientes al Grupo BBVA tienen
su propio Aviso de Privacidad, los
cuales están disponibles para consulta
a través de los medios de comunicación
que se tiene con los diferentes
Titulares de los datos, como son:
Protección de Datos Personales

Página de Internet
Acceso: conocer qué Rectificación:
Menú de audio respuesta (IVR) información tiene el modificar o actualizar
de la línea de atención a Clientes Responsable del titular los datos personales
en sus bases de datos que BBVA tiene
Sucursales y/u oficinas
y/o sistemas. registrados.
Por ejemplo, conocer Por ejemplo, cuando
Recepciones de edificios corporativos
qué datos personales solicitan la actualización
Somos BBVA (Portal de empleados) tiene BBVA en del domicilio, un
sus sistemas. teléfono de contacto,
correo electrónico,
el CURP, etc.
Tema 2. Derechos ARCO

Los Derechos de Acceso, Rectificación, Cancelación: eliminar Oposición: suspender

Cancelación y Oposición (ARCO) son los datos personales el uso de los datos
aquellos derechos que tienen los cuando ya no sean personales para
Titulares para decidir sobre utilizados o necesarios; aquellos fines distintos
el uso de sus por ejemplo, cuando el a los necesarios para
datos personales. Titular de los datos ya la prestación del
no tiene ningún producto servicio; por ejemplo,
activo en el Banco y ya el envío de publicidad,
transcurrió el plazo promociones o
legal de conservación encuestas de
de la información. satisfacción.
Protección de Datos Personales
Los canales y/o medios para
recibir solicitudes de Derechos
ARCO en las distintas empresas
de Grupo BBVA podrás
encontrarlos dentro de los
Avisos de Privacidad
correspondientes a
las mismas.
Tema 3. Transferencias de
datos personales
Es la comunicación de los datos
personales de Clientes, usuarios
y colaboradores del Grupo
BBVA con terceros autorizados,
que se realiza para cumplir con
el fin para el cual se
obtuvieron los datos
personales.
Tema 4. Principios de protección de datos personales
1. Licitud: El tratamiento de los datos personales
debe ser con apego y cumplimiento a lo dispuesto
por la legislación mexicana y el derecho internacional.
2. Consentimiento: Se debe obtener la autorización de
los Titulares previo al tratamiento de los datos personales.
3. Información: Es la obligación de dar a conocer al
Titular de los datos, el Aviso de Privacidad previo a la
obtención o al uso de los datos personales.
4. Calidad: Los datos personales deben ser exactos,
completos, pertinentes, correctos y actualizados.
5. Finalidad: Los datos personales sólo pueden ser
utilizados para las finalidades que el Titular de los datos
autorizó, y que son acordes a los establecidos en el Aviso
de Privacidad y al objeto o giro del Responsable.
Protección de Datos Personales

6. Lealtad: Establece la obligación de tratar los datos Tema 5. Deberes de protección

personales privilegiando la protección de los intereses de datos personales
del titular y la expectativa razonable de privacidad.
1. Seguridad:
7. Proporcionalidad: Los datos personales que se se deben implementar y
soliciten y utilicen deben ser únicamente los mantener medidas de seguridad
necesarios, adecuados y relevantes, de acuerdo a administrativas, técnicas y
las finalidades para las que se hayan obtenido. físicas que permitan proteger
los datos personales contra
daño, pérdida, alteración,
8. Responsabilidad: Este principio obliga al destrucción o el uso, acceso o
Responsable a velar y responder por el tratamiento tratamiento no autorizado.
de los datos personales que se encuentren bajo su
custodia o posesión, e incluso de aquellos datos que 2. Confidencialidad:
se compartan con los encargados o proveedores; es la obligación que tienen
debiendo adoptar las medidas y controles necesarios todos los colaboradores,
para el cumplimiento de cada uno de los principios encargados y terceros que den
antes mencionados. tratamiento de datos personales,
de guardar confidencialidad
respecto de estos; lo anterior
se incumple cuando se comparte
o divulga la información con
terceros no autorizados, ya sea
que se haga con la intención
o por negligencia.
Protección de Datos Personales

Módulo III.
Protección de los datos personales y su legislación
Tema 2. Acciones de vulneración
de datos personales
Tema 1. Causas de la vulneración de Es importante que conozcas
datos personales algunas acciones de vulneración
de datos personales con el objetivo
Las vulneraciones de seguridad de datos personales
de que puedas identificarlas en
son incidentes ocurridos en cualquier fase del
tu labor diaria, es por eso que te
tratamiento, es decir desde su obtención, uso,
presentamos algunos ejemplos:
aprovechamiento, almacenamiento hasta su
eliminación, los cuales pueden originarse por:
Consultar los datos personales
sin justificación y sin presencia
I. La pérdida II. El robo, del cliente;
o destrucción extravío o
no autorizada. copia no Entregar información, de forma
autorizada. física o verbal, a terceros no
autorizados;

Utilizar los datos personales

para finalidades distintas y
III. El uso, acceso, IV. El daño, no autorizadas;
transferencia la alteración
o tratamiento o modificación Prestar tus usuarios y
no autorizado. no autorizada. contraseñas para que alguien
más acceda a la información
Protección de Datos Personales
Cualquier incidente de vulneración en la
información en el Grupo BBVA puede causar
daños significativos a los titulares de los datos
personales, así como multas, daños
reputacionales para el propio Grupo y
sanciones laborales para los colaboradores
que hayan causado o participado en
dichos incidentes.
Recuerda que, si tienes sospecha o
conocimiento de algún incidente de
vulneración de la información, debes
notificarlo al buzón
protecciondedatospersonales.mx@bbva.com
o bien a través del canal de
denuncia que se encuentra
en el portal de
“Entorno Colaborativo BBVA”.
Módulo IV.
Medidas de seguridad
Tema 1. Tipos de medidas de seguridad
1. Medidas de Seguridad Físicas:
conjunto de acciones y mecanismos, ya sea
que usen o no la tecnología, destinados
para prevenir el acceso no autorizado a las
instalaciones físicas, áreas críticas de la
organización, equipo e información;
proporcionar mantenimiento a los equipos
o sistemas que asegure su disponibilidad,
funcionalidad e integridad; así como que
garantice la eliminación de datos de
forma segura.
Protección de Datos Personales
2. Medidas de Seguridad Técnicas:
conjunto de actividades, controles o
mecanismos que se valen de la tecnología
para asegurar que el acceso a los sistemas
sea por usuarios identificados y
autorizados y únicamente con el perfil
necesario para llevar a cabo las
actividades a desempeñar.
3. Medidas de Seguridad
Administrativas:
conjunto de acciones y
mecanismos dirigidos a los
colaboradores a nivel organizacional,
como lo es elaboración de políticas y
normativas en materia de protección
de datos personales; la formación y
capacitación del personal,
así como las campañas
de concientización en
materia de protección
de datos personales.
Tema 2. Recomendaciones para poner en
práctica la protección de datos personales
en tus actividades diarias.
Si bien existen infinidad de escenarios en los
que la información corporativa o personal
pudiera verse amenazada, enseguida te
mostramos algunos ejemplos de cómo
mantener segura la información y con ello,
los datos personales:
Sólo emplea redes wi-fi confiables,
nunca te conectes a redes públicas
o abiertas.
Cuida tu entorno en lugares públicos y
evita tener a la vista información laboral.
Mantener la contraseña como personal,
secreta e intransferible.
No descuides documentos en
multifuncionales o impresoras.
Protección de Datos Personales

Cuida tus conversaciones: si se trata de

temas laborales, asegúrate de no hacerlo
en lugares públicos o zonas comunes b) Daños reputacionales al
Grupo Financiero BBVA;
(elevadores, restaurantes, etc.).
Prisión de 3 meses a 3 años a la persona
c) que, estando autorizado para tratar datos
personales, con ánimo de lucro, provoque
Módulo V.
una vulneración de seguridad
Sanciones
a las bases de datos
bajo su custodia.
Tema 1. Sanciones al incumplimiento de Prisión de 6 meses
la normativa externa.
El incumplimiento a las obligaciones
d) a 5 años al que, con
el fin de alcanzar
establecidas en la Legislación de datos un lucro indebido, trate
personales puede ocasionar: datos personales
mediante el engaño,

a)
Multas, que van desde los $10,374.00 aprovechándose del
hasta $33,196,800.00 por cada error en que se encuentre
incumplimiento aproximadamente;
y tratándose de datos

el Titular o la persona
sensibles, como los datos autorizada para transmitirlos.
biométricos, la multa puede
ascender hasta los $66
millones aproximadamente.
Protección de Datos Personales

Tema 2. Sanciones al incumplimiento de

la normativa interna.
El incumplimiento a las políticas y normativas
internas de Grupo BBVA sobre protección de
datos personales es causa de sanción
conforme a su régimen disciplinario, que puede
ser desde una amonestación verbal o escrita
hasta la desvinculación de la empresa para
el colaborador involucrado.