Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Datos personales: Cualquier informacin concerniente a una persona fsica identificada o identificable. Titular: La persona fsica a quien corresponden los datos personales. Responsable: Persona fsica o moral de carcter privado que decide sobre el tratamiento de datos personales. Encargado: La persona fsica o jurdica que sola o conjuntamente con otras trate datos personales por cuenta del responsable.
Es cualquier informacin relacionada con el Titular, por ejemplo, tu nombre, telfono, domicilio, fotografa o huellas dactilares, as como cualquier otro dato que pueda servir para identificarte. Este tipo de datos te permiten adems, interactuar con otras personas, o con una o ms organizaciones, as como que puedas ser sujeto de derechos.
Riesgos
Seguridad
Publicidad no solicitada
Fraudes financieros
Privacidad
Negacin de Servicios
Discriminacin
Chantaje
Cultura Empresarial
Aviso de Privacidad Tratamiento de Datos Personales
Responsabilidad
Derechos ARCO
Consentimiento
Derechos arco
Principios
Licitud
Consentimiento
Informacin
Calidad
Finalidad
Lealtad
Proporcionalidad Responsabilidad
Datos
Titular
ARCO
Datos Finalidad Consentimiento Quin tiene acceso
Para qu?
Internos
Externos
Consentimiento
Tcito
Expreso
Sensibles
Financieros y Patrimoniales
Aviso de privacidad
Documento fsico, electrnico o en cualquier otro formato generado por el responsable que es puesto a disposicin del titular, previo al tratamiento de sus datos personales.
Finalidades Fortalecer el nivel de confianza entre responsable y titular con relacin al tratamiento de su informacin personal Transparentar al titular las finalidades y transferencias a que son sometidos sus datos personales Informar al titular cmo ejercer los derechos que la ley le otorga y los mecanismos para que decida sobre el tratamiento de sus datos. Mejorar el canal de comunicacin Disminuir las quejas, inconformidades o disputas de los titulares. Caractersticas Es redactado de manera concisa Contiene la informacin relevante y necesaria que permita al titular identificar las caractersticas principales del tratamiento Cuenta con un diseo y presentacin apropiada que facilite su comprensin Para la difusin se pueden usar formatos fsicos, electrnicos, medios verbales o cualquier otra tecnologa, siempre y cuando garantice y cumpla con el deber de informar al titular.
Aviso de Privacidad
Simplificado
Art. 17
Identidad y domicilio Finalidades Opciones y medios para limitar el uso o divulgacin Medios para ejercer derechos ARCO Transferencias de datos Procedimiento y medio para comunicar cambios al aviso. Sealar si se tratan datos sensibles
Identidad y domicilio Finalidades Mecanismo para conocer el aviso completo Sealar si se tratan datos sensible Vnculo al aviso completo
El riesgo inherente por tipo de dato personal La sensibilidad de los datos personales tratados
Nmero de titulares
El desarrollo tecnolgico
Medio
Alto
Bajo
Medio
Violaciones la privacidad
Vulneraciones
Uso, acceso o tratamiento no autorizado Dao, la alteracin o modificacin no autorizada
Involucrados
RH
MKT
Sistemas
Legal
La privacidad no se acaba en la puerta de nuestra casa, por lo que no debe acabarse al borde de la nube
Aviso de privacidad
Finalidades
Tratamientos
Transferencias
Cmputo en la nube
Servicios en la nube
Servicios de escritorio
Bases de datos
Otros servicios
An tratndose de sistemas, servicios y datos en la nube el Responsable debe asegurarse de que el proveedor cumple con:
a) Tener y aplicar polticas de proteccin de datos personales afines a los principios y deberes aplicables que establece la Ley y el presente Reglamento; b) Transparentar las subcontrataciones que involucren la informacin sobre la que se presta el servicio; c) Abstenerse de incluir condiciones en la prestacin del servicio que le autoricen o permitan asumir la titularidad o propiedad de la informacin sobre la que presta el servicio, y d) Guardar confidencialidad respecto de los datos personales sobre los que se preste el servicio, y
b) Permitir al responsable limitar el tipo de tratamiento de los datos personales sobre los que se presta el servicio;
c) Establecer y mantener medidas de seguridad adecuadas para la proteccin de los datos personales sobre los que se preste el servicio;
d) Garantizar la supresin de los datos personales una vez que haya concluido el servicio prestado al responsable, y que este ltimo haya podido recuperarlos, y e) Impedir el acceso a los datos personales a personas que no cuenten con privilegios de acceso, o bien en caso de que sea a solicitud fundada y motivada de autoridad competente, informar de ese hecho al responsable.
Qu hacer?
Realizar anlisis de riesgos derivado de trabajar en la nube
REVISAR los trminos y condiciones del servicio por parte del proveedor
Google Docs almacena informacin como actividad de la cuenta (espacio utilizado, nmero de inicios de sesin, acciones ejecutadas) datos despelgados y enlaces que se siguieron (Links, imgenes, artculos) informacin hotrrica (del navegador, direccin IP, fecha de acceso, cookies, URL
Los consumidores de servicios en la nube tienen un mensaje para sus proveedores: Mantengamos los datos entre nosotros.
Autorregulacin
El responsable tiene la obligacin de velar, responder, as como de rendir cuentas al titular sobre el tratamiento de sus datos personales. Para cumplir con esta obligacin, el responsable puede valerse de estndares y mejores prcticas internacionales, as como de esquemas de autorregulacin. Lo anterior puede traducirse en cdigos deontolgicos o de buenas prcticas profesionales, sellos de confianza u otros mecanismos Estos esquemas son vinculantes para quienes se adhieran a los mismos; no obstante, la adhesin es de carcter voluntario
Establecer procesos y prcticas cualitativos Fomentar que los responsables establezcan polticas, procesos y buenas prcticas Promover que los responsables de manera voluntaria cuente con constancias o certificaciones sobre el cumplimiento de la Ley y mostrar su compromiso con la proteccin de datos personales Identificar a los responsables que cuenten con polticas de privacidad alineadas al cumplimiento de los principios y derechos, as como de competencia laboral
Promover el compromiso de los responsables con la rendicin de cuentas y adopcin de polticas internas consistentes con criterios externos, as como para auspiciar mecanismos para implementar polticas de privacidad, incluyendo herramientas, transparencia, supervisin interna continua, evaluaciones de riesgo, verificaciones externas y sistemas de remediacin; y Encauzar mecanismos de solucin alternativa de controversias entre responsables, titulares y terceros, como son los de conciliacin y mediacin.
Referencia en la Ley y Reglamento las personas fsicas o morales podrn convenir entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulacin vinculante en materia de proteccin de datos personales, que complementen lo dispuesto por la Ley, el presente Reglamento y las disposiciones que se emitan por las dependencias en desarrollo del mismo y en el mbito de sus atribuciones. Asimismo, a travs de dichos esquemas el responsable podr demostrar ante el Instituto el cumplimiento de las obligaciones previstas en dicha normativa.
Beneficios de la autorregulacin
Cuando un responsable adopte y cumpla un esquema de autorregulacin, dicha circunstancia ser tomada en consideracin para determinar la atenuacin de la sancin que corresponda, en caso de verificarse algn incumplimiento a lo dispuesto por la Ley y el presente Reglamento, por parte del Instituto. Asimismo, el Instituto podr determinar otros incentivos para la adopcin de esquemas de autorregulacin, as como mecanismos que faciliten procesos administrativos ante el mismo.
Publicar Aviso de privacidad Designar responsable de Proteccin de Datos Definir mecanismos ARCO Ventanilla de atencin a Titulares para ejercer derechos ARCO Mantenimiento de datos Clasificacin de la informacin Acuerdo de confidencialidad (Internos y Externos) Apegarse a un esquema de autorregulacin / Mediacin
Identificacin de Datos y sus fuentes Clasificacin de Datos Anlisis de finalidad y proporcionalidad Unificacin de bases de Datos Definicin del tratamiento y controles para proteccin de Datos (en funcin del aviso de privacidad) Asignacin de permisos y privilegios para el tratamiento de los Datos Capacitacin del personal Implantacin de controles
Infracciones y sanciones
200-320mil DSMGVDF Incumplimiento de deber de confidencialidad Uso desapegado a la finalidad marcada en Aviso Transferir datos sin comunicar aviso de privacidad Vulneracin a la seguridad Transferir sin consentimiento del titular Obstruir verificacin de autoridad Transferencia o cesin en contra de Ley Recabar datos en forma engaosa o fraudulenta Uso ilegtimo de datos en caso de solicitud de cese Impedir ejercicio derechos ARCO No justificar tratamiento de datos sensibles
100-160mil DSMGVDF Negligencia o dolo en trmites ARCO Declarar dolosamente inexistencia Incumplimiento de principios de Ley Omisiones en aviso de privacidad Datos inexactos Incumplimiento de apercibimiento
Delitos: 3 meses a 3 aos de prisin con nimo de lucro, vulnerar seguridad a bases de datos 6 meses a 5 aos de prisin con nimo de lucro indebido, tratar datos personales mediante engao o error
Datos Sensibles
El IFAI considerar: Naturaleza del dato (sensibles, financieros y patrimoniales) Negativa injustificada del Responsable a solicitudes del Titular Intencionalidad en la infraccin Capacidad econmica Reincidencia
Reincidencia
Sello de Confianza
Contacto: Pablo Corona Fraga Gerente de Certificacin de Sistemas de Gestin de TI Tel.1204 5191 Ext. 427 pcoronaf@nyce.org.mx