Ley Federal sobre Proteccin de Datos Personales en Posesin de Particulares

Datos Personales / Conceptos

Datos personales: Cualquier informacin concerniente a una persona fsica identificada o identificable. Titular: La persona fsica a quien corresponden los datos personales. Responsable: Persona fsica o moral de carcter privado que decide sobre el tratamiento de datos personales. Encargado: La persona fsica o jurdica que sola o conjuntamente con otras trate datos personales por cuenta del responsable.

Datos Personales / Conceptos

Es cualquier informacin relacionada con el Titular, por ejemplo, tu nombre, telfono, domicilio, fotografa o huellas dactilares, as como cualquier otro dato que pueda servir para identificarte. Este tipo de datos te permiten adems, interactuar con otras personas, o con una o ms organizaciones, as como que puedas ser sujeto de derechos.

Riesgos

Seguridad

Publicidad no solicitada

Fraudes financieros

Privacidad

Negacin de Servicios

Discriminacin

Chantaje

Qu hay que hacer?

Cultura Empresarial
Aviso de Privacidad Tratamiento de Datos Personales

Responsabilidad

Derechos ARCO

Seguridad de los Datos Personales

Consentimiento

Derechos arco

Acceso Rectificacin Cancelacin Oposicin

Principios

Licitud

Consentimiento
Informacin

Calidad
Finalidad

Lealtad
Proporcionalidad Responsabilidad

Datos

Titular
ARCO
Datos Finalidad Consentimiento Quin tiene acceso

Para qu?

Internos

Externos

Cmo se recaba el consentimiento?

Consentimiento

Tcito

Expreso

Sensibles

Financieros y Patrimoniales

Aviso de privacidad

Documento fsico, electrnico o en cualquier otro formato generado por el responsable que es puesto a disposicin del titular, previo al tratamiento de sus datos personales.
Finalidades Fortalecer el nivel de confianza entre responsable y titular con relacin al tratamiento de su informacin personal Transparentar al titular las finalidades y transferencias a que son sometidos sus datos personales Informar al titular cmo ejercer los derechos que la ley le otorga y los mecanismos para que decida sobre el tratamiento de sus datos. Mejorar el canal de comunicacin Disminuir las quejas, inconformidades o disputas de los titulares. Caractersticas Es redactado de manera concisa Contiene la informacin relevante y necesaria que permita al titular identificar las caractersticas principales del tratamiento Cuenta con un diseo y presentacin apropiada que facilite su comprensin Para la difusin se pueden usar formatos fsicos, electrnicos, medios verbales o cualquier otra tecnologa, siempre y cuando garantice y cumpla con el deber de informar al titular.

Aviso de Privacidad

Aviso de privacidad Completo

Art. 16 (al menos)

Simplificado
Art. 17

Identidad y domicilio Finalidades Opciones y medios para limitar el uso o divulgacin Medios para ejercer derechos ARCO Transferencias de datos Procedimiento y medio para comunicar cambios al aviso. Sealar si se tratan datos sensibles

Identidad y domicilio Finalidades Mecanismo para conocer el aviso completo Sealar si se tratan datos sensible Vnculo al aviso completo

Factores para determinar los controles de seguridad

El riesgo inherente por tipo de dato personal La sensibilidad de los datos personales tratados

Nmero de titulares

Otros factores que resulten de otras leyes o regulacin aplicable al responsable

Vulnerabilidades previas ocurridas en los sistemas de tratamiento

El desarrollo tecnolgico

Las posibles consecuencias de una vulneracin para los titulares

Riesgo de tratamiento no autorizado por parte de terceros

Anlisis de riesgos asociados a los Datos Personales

Medio

Alto

Bajo

Medio

Violaciones la privacidad

Robo, extravi o copia no autorizada

Prdida o destruccin no autorizada

Vulneraciones
Uso, acceso o tratamiento no autorizado Dao, la alteracin o modificacin no autorizada

Involucrados

RH

MKT

Sistemas

Legal

La privacidad no se acaba en la puerta de nuestra casa, por lo que no debe acabarse al borde de la nube

Aviso de privacidad

Finalidades

Tratamientos

Transferencias

Cmputo en la nube

CRM Email Masivo

Servicios en la nube
Servicios de escritorio

Bases de datos
Otros servicios

Tratamiento de datos personales en el denominado cmputo en la nube

An tratndose de sistemas, servicios y datos en la nube el Responsable debe asegurarse de que el proveedor cumple con:
a) Tener y aplicar polticas de proteccin de datos personales afines a los principios y deberes aplicables que establece la Ley y el presente Reglamento; b) Transparentar las subcontrataciones que involucren la informacin sobre la que se presta el servicio; c) Abstenerse de incluir condiciones en la prestacin del servicio que le autoricen o permitan asumir la titularidad o propiedad de la informacin sobre la que presta el servicio, y d) Guardar confidencialidad respecto de los datos personales sobre los que se preste el servicio, y

Tratamiento de datos personales en el denominado cmputo en la nube

Los proveedores de servicios en la nube debern contar con mecanismos para::

a) Dar a conocer cambios en sus polticas de privacidad o condiciones del servicio que presta;

b) Permitir al responsable limitar el tipo de tratamiento de los datos personales sobre los que se presta el servicio;

c) Establecer y mantener medidas de seguridad adecuadas para la proteccin de los datos personales sobre los que se preste el servicio;

d) Garantizar la supresin de los datos personales una vez que haya concluido el servicio prestado al responsable, y que este ltimo haya podido recuperarlos, y e) Impedir el acceso a los datos personales a personas que no cuenten con privilegios de acceso, o bien en caso de que sea a solicitud fundada y motivada de autoridad competente, informar de ese hecho al responsable.

Cmputo en la nube y LFPDPPP

Formalizar acuerdos con el proveedor

Apego a la legislacin local no importando dnde est la infraestructura

El responsable no puede deslindarse de su responsabilidad y mantiene la obligacin de proteger los datos

Qu hacer?
Realizar anlisis de riesgos derivado de trabajar en la nube

REVISAR los trminos y condiciones del servicio por parte del proveedor

Datos personales retenidos por los proveedores de cmputo en la nube

Google Docs almacena informacin como actividad de la cuenta (espacio utilizado, nmero de inicios de sesin, acciones ejecutadas) datos despelgados y enlaces que se siguieron (Links, imgenes, artculos) informacin hotrrica (del navegador, direccin IP, fecha de acceso, cookies, URL
Los consumidores de servicios en la nube tienen un mensaje para sus proveedores: Mantengamos los datos entre nosotros.

Autorregulacin

Principio de responsabilidad y autorregulacin vinculante

El responsable tiene la obligacin de velar, responder, as como de rendir cuentas al titular sobre el tratamiento de sus datos personales. Para cumplir con esta obligacin, el responsable puede valerse de estndares y mejores prcticas internacionales, as como de esquemas de autorregulacin. Lo anterior puede traducirse en cdigos deontolgicos o de buenas prcticas profesionales, sellos de confianza u otros mecanismos Estos esquemas son vinculantes para quienes se adhieran a los mismos; no obstante, la adhesin es de carcter voluntario

Objetivos primordiales de la autorregulacin

Establecer procesos y prcticas cualitativos Fomentar que los responsables establezcan polticas, procesos y buenas prcticas Promover que los responsables de manera voluntaria cuente con constancias o certificaciones sobre el cumplimiento de la Ley y mostrar su compromiso con la proteccin de datos personales Identificar a los responsables que cuenten con polticas de privacidad alineadas al cumplimiento de los principios y derechos, as como de competencia laboral

Objetivos primordiales de la autorregulacin

Promover el compromiso de los responsables con la rendicin de cuentas y adopcin de polticas internas consistentes con criterios externos, as como para auspiciar mecanismos para implementar polticas de privacidad, incluyendo herramientas, transparencia, supervisin interna continua, evaluaciones de riesgo, verificaciones externas y sistemas de remediacin; y Encauzar mecanismos de solucin alternativa de controversias entre responsables, titulares y terceros, como son los de conciliacin y mediacin.

Referencia en la Ley y Reglamento las personas fsicas o morales podrn convenir entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulacin vinculante en materia de proteccin de datos personales, que complementen lo dispuesto por la Ley, el presente Reglamento y las disposiciones que se emitan por las dependencias en desarrollo del mismo y en el mbito de sus atribuciones. Asimismo, a travs de dichos esquemas el responsable podr demostrar ante el Instituto el cumplimiento de las obligaciones previstas en dicha normativa.

Beneficios de la autorregulacin

Cuando un responsable adopte y cumpla un esquema de autorregulacin, dicha circunstancia ser tomada en consideracin para determinar la atenuacin de la sancin que corresponda, en caso de verificarse algn incumplimiento a lo dispuesto por la Ley y el presente Reglamento, por parte del Instituto. Asimismo, el Instituto podr determinar otros incentivos para la adopcin de esquemas de autorregulacin, as como mecanismos que faciliten procesos administrativos ante el mismo.

Qu hay que hacer

Identificar y Describir Bases de Datos personales

Publicar Aviso de privacidad Designar responsable de Proteccin de Datos Definir mecanismos ARCO Ventanilla de atencin a Titulares para ejercer derechos ARCO Mantenimiento de datos Clasificacin de la informacin Acuerdo de confidencialidad (Internos y Externos) Apegarse a un esquema de autorregulacin / Mediacin

Sistema de Gestin de datos Personales

Identificacin de Datos y sus fuentes Clasificacin de Datos Anlisis de finalidad y proporcionalidad Unificacin de bases de Datos Definicin del tratamiento y controles para proteccin de Datos (en funcin del aviso de privacidad) Asignacin de permisos y privilegios para el tratamiento de los Datos Capacitacin del personal Implantacin de controles

Infracciones y sanciones
200-320mil DSMGVDF Incumplimiento de deber de confidencialidad Uso desapegado a la finalidad marcada en Aviso Transferir datos sin comunicar aviso de privacidad Vulneracin a la seguridad Transferir sin consentimiento del titular Obstruir verificacin de autoridad Transferencia o cesin en contra de Ley Recabar datos en forma engaosa o fraudulenta Uso ilegtimo de datos en caso de solicitud de cese Impedir ejercicio derechos ARCO No justificar tratamiento de datos sensibles

Apercibimiento Incumplir solicitudes ARCO

100-160mil DSMGVDF Negligencia o dolo en trmites ARCO Declarar dolosamente inexistencia Incumplimiento de principios de Ley Omisiones en aviso de privacidad Datos inexactos Incumplimiento de apercibimiento

Delitos: 3 meses a 3 aos de prisin con nimo de lucro, vulnerar seguridad a bases de datos 6 meses a 5 aos de prisin con nimo de lucro indebido, tratar datos personales mediante engao o error

Las sanciones pueden duplicarse en caso de

Datos Sensibles

El IFAI considerar: Naturaleza del dato (sensibles, financieros y patrimoniales) Negativa injustificada del Responsable a solicitudes del Titular Intencionalidad en la infraccin Capacidad econmica Reincidencia

Reincidencia

Sello de Confianza

Contacto: Pablo Corona Fraga Gerente de Certificacin de Sistemas de Gestin de TI Tel.1204 5191 Ext. 427 pcoronaf@nyce.org.mx