protección de datos personales en méxico y perspectiva internacional
Post on 05-Aug-2015
214 Views
Preview:
TRANSCRIPT
Ley y Reglamento de
Protección de Datos Personales
Antecedentes InternacionalesMarco Normativo en México
Joel A. Gómez TreviñoProfesor de La Salle, INFOTEC, ITESM, y Universidad Panamericana
Presidente de la Academia Mexicana de Derecho Informático, A.C.
Profesional Certificado en Protección de Datos Personales por NYCE
Experto Técnico en Protección de Datos Personales por EMA
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Breve Historia de Desarrollos
Legislativos en el Mundo
La Firma Líder en Derecho de lasTecnologías de la Información 2
1973 Suecia70’s: Alemania, Austria,
Dinamarca, Francia, Noruega, Luxemburgo
73 y 74: EUA desarrolla leyes sectoriales
1980: Principios de Privacidad de la OCDE
80’s: Reino unido, Irlanda, Islandia,
Finlandia, San marino, Holanda e Israel
80’s: Leyes para el sector público: Australia, Japón
y Canadá
90’s: Guías de la ONU sobre archivos de datos
personales computarizados
90’s: EUROPA: Portugal, Bélgica, España, Suiza, Mónaco, Italia, Grecia
1995: Directiva 95/46/EC del Parlamento Europeo
90’s: Países ex-soviéticos, Chile, Nueva Zelanda,
Hong Kong, Taiwán, Tailandia y Corea del Sur
00’s: Safe Harbor y Privacy Framework de
APEC
00’s: Países europeos, asia pacífico, áfrica y de
américa latina (Argentina, Colombia y
Uruguay)
2010’s: Malasia, Trinidad y Tobago, Ucrania, India
y Rusia
2010’s: México, Perú y Costa Rica
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Modelos Regulatorios08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 3
Habeas Data Omnibus
Ley Financiera
Ley de Salud
Ley de Crédito
Modelo Sectorial
Constitución
Constitución Ley Especial
Nivel de Protección para los Titulares de los Datos- +Directiva Europea de PDP
Algunos países deAmérica Latina
EstadosUnidos
Europa y algunos paísesde América Latina
Estándares técnicos no obligatorios(ISO/IEC 29100:2011)
Guías, leyes modelo y políticas globales no obligatorias
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Legislación de DP en América Latina
Legislación Incompleta (Sectorial)
Bolivia
El Salvador
Guatemala
Nicaragua
República Dominicana
Venezuela
Cuba
Legislación Incompleta + Habeas Data
Paraguay
Ecuador
Panamá
Honduras
Legislación Mixta (HB + Omnibus)
Brasil
Colombia
Chile
Paraguay
Ley basada en la Directiva
Europea
Argentina
Uruguay
México
Perú
Costa Rica
Colombia
La Firma Líder en Derecho de lasTecnologías de la Información
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Marco Jurídico Internacional
• OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data 1980
• Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data 1980
• Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows 2001
• APEC Privacy Framework 2004
• Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data
La Firma Líder en Derecho de lasTecnologías de la Información
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Otros instrumentos
internacionales
• 34th International Conference of Privacy and
Data Protection Commissioners
• Article 12 The Universal Declaration on Human Rights 1948
• Article 17 The International Covenant on Civil and Political Rights 1966
• Article 16 The Convention on the Rights of the Child 1989
• E/CN.4/1990/72: Guidelines for the regulation of computerized personal data files 1990
• Article 8 Convention for the Protection of Human Rights and Fundamental Freedoms
1950
• Council of Europe: Recommendations and resolutions of the Committee of Ministers
• Council of Europe: Recommendation No.R(99) 5 for the protection of privacy on the
Internet 1999
• OECD Guidance on Policy and Practice: Privacy Online (book)
• OECD Guidelines on Cross-Border Privacy Law Enforcement 2006-ongoing
• OECD Guidelines for the Security of Information Systems and Networks: Towards a
Culture of Security 2002
La Firma Líder en Derecho de lasTecnologías de la Información
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Tepito vende bases de datos oficialesEl Universal - 19 de abril de 2010
• Bases de datos que contienen
información personal de millones de
mexicanos están a la venta en 12 mil
dólares en el barrio de Tepito; la han
adquirido tanto grupos del crimen
organizado como agentes policiacos.
• EL UNIVERSAL comprobó que en tres
memorias externas, cada una de 160
gigabytes, el comprador recibe el padrón
electoral de todo el país, el registro de
todos los vehículos y de licencias de
conducir, entre otros “productos”.
• La información la han adquirido tanto
grupos del crimen organizado como
agentes policiacos que la utilizan para
trabajar, ya que en sus corporaciones no
tienen esa disponibilidad de datos.
• El agente consultado advirtió del riesgo
de esta última información: “Los
delincuentes ya saben con quién llegar, a
quién amenazar, pues cruzando datos
con la lista del padrón [electoral],
obtienen hasta sus domicilios y ubican a
su familia, para presionarlos”.
• La información que se adquiere contiene
también la identificación de todo el
parque vehicular del Servicio Federal,
donde está incluido el transporte de
carga. Ahí se detallan marca, modelo,
placas y tipo de carga que transportan,
desde electrodomésticos y abarrotes
hasta material explosivo y las rutas.
La Firma Líder en Derecho de lasTecnologías de la Información 7
08/07/2015
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Facebook guarda 800 páginas de
información de cada usuario08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 8
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
¿Cómo se puede proteger
la privacidad?08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 9
Privacidad
Tecnología
Leyes
Códigos
de
Ética
Contratos
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Régimen Jurídico de
PDP en México08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 10
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Normatividad en materia de PDP08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 11
Constitución Política de los E.U.M. (Arts. 6°, 16° y 73 XXIX-O)
Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP)
Reglamento de la LFPDPPP (RLFPDPPP)
Criterios Generales para la instrumentación de medidas compensatorias sin la autorización expresa del IFAI (Criterios)
Parámetros para el correcto desarrollo de los esquemas de autorregulación vinculante (Parámetros)
Lineamientos del Aviso de Privacidad (Lineamientos)
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Antecedentes Constitucionales
• II. La información que se refiere a
la vida privada y los datos
personales será protegida en los
términos y con las excepciones
que fijen las leyes.
• III. Toda persona tendrá acceso
gratuito a la información pública,
a sus datos personales o a la
rectificación de éstos.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 12
Art. 6.- […] Para el ejercicio del derecho de acceso a la información, el Gobierno se regirá por los siguientes principios y bases:
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Antecedentes Constitucionales
• Art. 16.- […] Toda persona tienederecho a la protección de susdatos personales, al acceso,rectificación y cancelación de losmismos, así como a manifestar suoposición, en los términos que fijela ley, la cual establecerá lossupuestos de excepción a losprincipios que rijan el tratamientode datos, por razones deseguridad nacional, disposicionesde orden público, seguridad ysalud públicas o para proteger losderechos de terceros.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 13
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Antecedentes Constitucionales
• Art. 73.- El Congreso tiene facultad:
– XXIX-O. Para legislar en materia de
protección de datos personales en posesión
de particulares.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 14
@JoelGomezMX
Y aspectos más
relevantes de su
Reglamento
Ley Federal de Protección de
Datos Personales en Posesión
de Particulares
Publicada en el
Diario Oficial de la Federación
el 5 de Julio de 2010
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Estructura de la Ley08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 16
Ley FPDP
Principios
Licitud, calidad, consentimiento,
información, finalidad, lealtad,
proporcionalidad y responsabilidad
Derechos
ARCO
Acceso, Rectificación, Cancelación y
Oposición
Aviso de
Privacidad
Identidad, domicilio, finalidad, medios para
ejercer derechos ARCO, transferencia…
Medidas de
Seguridad
Administrativas, técnicas y físicas que
permitan proteger los datos personales
Infracciones
y Delitos
Multas hasta: $41,446,400
Prisión: 3m-3a a 6m-5a
Procedimientos: Protección de
Derechos, Verificación e Imposición de
Sanciones
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Definiciones Importantes
Aviso de Privacidad: Documento físico, electrónicoo en cualquier otro formato generado por el
responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley.
Bases de datos: El conjunto ordenado de
datos personales referentes a una persona
identificada o identificable.
Datos personales: Cualquier información
concerniente a una persona física identificada
o identificable.
La Firma Líder en Derecho de lasTecnologías de la Información 17
Datos personales sensibles: Aquellos datos personales que
afecten a la esfera más íntima de su titular, o cuya utilización
indebida pueda dar origen a discriminación o conlleve un riesgo
grave para éste.
En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial
o étnico, estado de salud presente y futuro, información genética, creencias religiosas,
filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Definiciones Importantes
Bloqueo: La identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de
determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción
legal o contractual de éstas. Durante dicho periodo, los datos personales no podrán ser objeto de
tratamiento y transcurrido éste, se procederá a su cancelación en la base de datos que corresponde.
Disociación: El procedimiento mediante el cual los datos
personales no pueden asociarse al titular ni permitir, por su
estructura, contenido o grado de desagregación, la identificación
del mismo.
La Firma Líder en Derecho de lasTecnologías de la Información 18
Transferencia: Toda comunicación de datos realizada a persona distinta del
responsable o encargado del tratamiento.
Remisión: La comunicación de datos personales entre el responsable y el
encargado, dentro o fuera del territorio mexicano.
Tratamiento: La obtención, uso, divulgación o almacenamiento de datos personales, por
cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento,
transferencia o disposición de datos personales.
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Protagonistas
Titular Responsable
Encargado
Tercero
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 19
La persona física a quien corresponden los datos personales
Quien solo o conjuntamente con otros trata datos personales por
cuenta del responsable
La persona física o moral, nacional o extranjera,
distinta del titular o del responsable de los datos
Persona física o moral de carácter
privado que decide sobre el tratamiento de datos personales
Transferencia de Datos
Remisión de Datos
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Objeto de la LFPDPPP
Pro
tecc
ión
de
los
Dat
os
Pers
on
ales
Regular su tratamiento legítimo, controlado e
informado
Garantizar la privacidad y
El derecho a la autodeterminación
informativa
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 20
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Ámbito de Aplicación
Si aplica
• Los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales.
No aplica
• Las sociedades de información crediticia y
• Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.
• (Entidades públicas o de gobierno).
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 21
Sujetos regulados:
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Principios
• Cap. II – De los Principios de Protección de
D.P.
– Establece que (Art. 6) los responsables en el
tratamiento de datos personales, deben observar
los principios de licitud, consentimiento,
información, calidad, finalidad, lealtad,
proporcionalidad y responsabilidad.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 22
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Resumen de Principios08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 23
Licitud • Los datos personales deberán recabarse y tratarse de manera lícita.
Consentimiento • Todo tratamiento de datos personales estará sujeto al consentimiento de su titular. Consentimiento expreso vs. Tácito.
Información • El responsable debe informar a los titulares la información que se recaba de ellos y con qué fines, a través del aviso de privacidad.
Calidad • Los datos personales contenidos en las bases de datos sean pertinentes, correctos y actualizados para los fines para los cuales fueron recabados.
Finalidad • El tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas en el aviso de privacidad.
Lealtad • Obligación de tratar los datos personales privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad.
Proporcionalidad • El tratamiento de datos personales será el que resulte necesario, adecuado y relevante en relación con las finalidades (aviso de privacidad).
Responsabilidad• El responsable velará por el cumplimiento de los principios de protección de datos
personales establecidos por esta ley, y garantizar que el aviso de privacidad sea respetado en todo momento por él y por terceros.
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Principios de la Ley Mexicana PDP
• Art. 7.- Licitud. Los
datos personales
deberán recabarse
y tratarse de
manera lícita.
• La obtención de
datos personales
no debe hacerse a
través de medios
engañosos o
fraudulentos.
• En todo tratamiento de datos
personales, se presume que existe
la expectativa razonable de
privacidad:
– Confianza que deposita cualquier
persona en otra, respecto de que
los datos personales
proporcionados entre ellos serán
tratados conforme a lo que
acordaron las partes en los términos
establecidos por esta Ley.
La Firma Líder en Derecho de lasTecnologías de la Información 24
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Principios del Reglamento PDP
• Art.10.- Principio de Licitud. El
principio de licitud obliga al responsable
a que el tratamiento sea con apego y
cumplimiento a lo dispuesto por la
legislación mexicana y el derecho
internacional.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 25
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Principios de la Ley Mexicana PDP
• Art. 8.- Consentimiento. Todo
tratamiento de datos personales
estará sujeto al consentimiento de su
titular (hay excepciones).
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 26
El consentimiento puede ser revocado en cualquier momento
sin efectos retroactivos.
Consentimiento Expreso:
• Cuando la voluntad se manifieste verbalmente, por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos.
El Consentimiento Expreso es Obligatorio:
• Tratándose de datos personales sensibles, así como los financieros o patrimoniales.
• Hay excepciones.
Consentimiento Tácito:
• Cuando habiéndose puesto a su disposición el aviso de privacidad, no manifieste su oposición.
DERECHO DEREVOCACIÓN
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Principios de la Ley Mexicana PDP
• Esté previsto en una Ley;
• Los datos figuren en fuentes de
acceso público;
• Los datos personales se
sometan a un procedimiento
previo de disociación;
• Tenga el propósito de cumplir
obligaciones derivadas de una
relación jurídica entre el titular
y el responsable;
• Exista una situación de
emergencia que potencialmente
pueda dañar a un individuo en su
persona o en sus bienes;
• Sean indispensables para la
atención médica, la prevención,
diagnóstico, la prestación de
asistencia sanitaria, tratamientos
médicos;
• Se dicte resolución de autoridad
competente.
La Firma Líder en Derecho de lasTecnologías de la Información 27
• Artículo 10.- No será necesario el
consentimiento para el tratamiento de los datos personales cuando:
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Principios del Reglamento PDP
La solicitud del consentimiento deberá ir referida a una finalidad o finalidades determinadas,
previstas en el aviso de privacidad.
Cuando los datos personales se obtengan
personalmente o de manera directa de su
titular, el consentimiento deberá ser previo al
tratamiento.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 28
• Art. 11.
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Principios del Reglamento PDP
Libre: sin que medie error, mala fe, violencia o dolo, que puedan afectar la manifestación de voluntad del titular;
Específico: referido a una o varias finalidades determinadas que
justifiquen el tratamiento
Informado: que el titular tenga conocimiento del aviso de privacidad
previo al tratamiento a que serán sometidos sus datos personales y las consecuencias de su consentimiento.
El consentimiento expreso también deberá ser inequívoco, es decir, que
existan elementos que de manera indubitable demuestren su
otorgamiento.
Características del Consentimiento
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 29
• Art. 12.
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Principios del Reglamento PDP
• Deberá previamente poner a disposición de éste el aviso de privacidad, el cual debe contener un mecanismo para que, en su caso:– el titular pueda manifestar su negativa
al tratamiento de sus datos personales para las finalidades que sean distintasa aquéllas que son necesarias y den origen a la relación jurídica entre el responsable y el titular.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 30
Art. 14.- Solicitud del consentimiento tácito. Cuando el responsable pretenda recabar los datos personales directa o personalmente de su titular…
Art. 13.- El consentimiento tácito es la regla general.
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
¿Cómo se puede consentir en
Internet?
Tipos de Consentimiento
BrowseWrap
ClickWrap
Opciones para Consentir
Opt-Out(hacer clic para
NO aceptar)
Opt-In(hacer clic para
aceptar)
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 31
Consentimiento Tácito (se da al
navegar)
Consentimiento Expreso (se da al
hacer clic)
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Mecanismo on-line para manifestar negativa al
tratamiento para finalidades distintas
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 32
Opt-IN
Opt-IN
Opt-OUT
Opt-OUT
Co
nse
nti
mie
nto
Exp
reso
Consentimiento Tácito
Click-WrapAgreement
Browse-Wrap Agreement(Si no existiese el
botón de “continuar”)
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Ejemplo: Click-Wrap Agreement
La Firma Líder en Derecho de lasTecnologías de la Información 33
NIC México(ITESM)
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Ejemplo: Click-Wrap Agreement
La Firma Líder en Derecho de lasTecnologías de la Información 34
NIC México(ITESM)
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Ejemplo: Click-Wrap Agreement
La Firma Líder en Derecho de lasTecnologías de la Información 35
Amazon
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Ejemplo: Click-Wrap Agreement
La Firma Líder en Derecho de lasTecnologías de la Información 36
Ticketmaster
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Ejemplo: Click-Wrap Agreement
La Firma Líder en Derecho de lasTecnologías de la Información 37
Tumblr
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Ejemplo: Click-Wrap Agreement
La Firma Líder en Derecho de lasTecnologías de la Información 38
Mondaq
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Ejemplo: Click-Wrap Agreement
La Firma Líder en Derecho de lasTecnologías de la Información 39
Motorola
Samsung
Expedia
We
Tran
sfe
r
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Ejemplo: Click-Wrap Agreement
La Firma Líder en Derecho de lasTecnologías de la Información 40
Diferentes políticas según el tipo de usuario
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Ejemplo: Browse-Wrap Agreement
La Firma Líder en Derecho de lasTecnologías de la Información 41
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Ejemplo: Browse-Wrap Agreement
La Firma Líder en Derecho de lasTecnologías de la Información 42
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Ejemplo: ¿Click-Wrap y Browse-Wrap Agreement?
La Firma Líder en Derecho de lasTecnologías de la Información 43
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Ejemplo: Cookie Law (Europa)
La Firma Líder en Derecho de lasTecnologías de la Información 44
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Ejemplo: Cookie Law (Europa)
La Firma Líder en Derecho de lasTecnologías de la Información 45
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Principios del Reglamento PDP
No se requerirá el consentimiento tácito o expreso para el tratamiento de los datos
personales cuando éstos deriven de una relación jurídica entre el
titular y el responsable.
No resulta aplicable lo establecido en el párrafo anterior cuando el tratamiento de datos personales sea para finalidades distintas a
aquéllas que son necesarias y den origen a la relación jurídica entre
el responsable y el titular.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 46
• Art. 17.- Excepciones al
principio del consentimiento.
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Principios del Reglamento PDP
A20. Prueba del Consentimiento
• Para efectos de demostrar la obtención del consentimiento, la carga de la prueba recaerá, en todos los casos, en el responsable.
A21. Revocación del Consentimiento
• En cualquier momento, el titular podrá revocar su consentimiento para el tratamiento de sus datos personales, para lo cual el responsable deberá establecer mecanismos sencillos y gratuitos.
Revocación Responsable a Encargado
• En caso de que los datos personales hubiesen sido remitidos con anterioridad a la fecha de revocación del consentimiento y sigan siendo tratados por encargados, el responsable deberá hacer de su conocimiento dicha revocación.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 47
DERECHO DEREVOCACIÓN
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Principios de la Ley Mexicana PDP
• Art. 15.- Información. El responsable
(del tratamiento de datos) tendrá la
obligación de informar a los titulares de
los datos, la información que se recaba
de ellos y con qué fines, a través del
aviso de privacidad.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 48
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Principios de la Ley Mexicana PDP
El responsable procurará que los datos personales contenidos en las bases de datos sean pertinentes,
correctos y actualizados para los fines para los cuales fueron recabados.
Cuando los datos de carácter personal hayan dejado de ser necesarios para
el cumplimiento de las finalidades previstas por el aviso de privacidad y las disposiciones legales aplicables,
deberán ser cancelados.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 49
• Art. 11.- Calidad.
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Principios del Reglamento PDPP
rin
cip
io d
e C
alid
ad
Se presume que se cumple con la calidad en los datos personales cuando éstos son proporcionados directamente por el titular, y hasta que éste no manifieste y acredite lo contrario, o bien, el responsable cuente con evidencia objetiva que los contradiga.
Mec
anis
mo
s El responsable deberá adoptar los mecanismos que considere necesarios para procurar que los datos personales que trate sean exactos, completos, pertinentes, correctos y actualizados, a fin de que no se altere la veracidad de la información.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 50
• Art. 26.- Principio de calidad.
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Principios de la Ley Mexicana PDP
• Art. 12.- Finalidad. El tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas en el aviso de privacidad.
• Si el responsable pretende tratar los datos para un fin distinto que no resulte compatible o análogo a los fines establecidos en aviso de privacidad, se requerirá obtener nuevamente el consentimiento del titular.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 51
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Principios del Reglamento PDP
• Art. 40.- Principio de finalidad. La finalidad o las finalidades establecidas en el aviso de privacidad deberán ser determinadas, lo cual se logra cuando con claridad, sin lugar a confusión y de manera objetiva se especifica para qué objeto serán tratados los datos personales.
• Art. 41.- Diferenciación. El responsable identificará y distinguirá en el aviso de privacidad entre las finalidades que dieron origen y son necesarias para la relación jurídica entre el responsable y el titular, de aquéllas que no lo son.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 52
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Principios del Reglamento PDP
• Art. 42.- Oposición del tratamiento para finalidades distintas. El titular podrá negar o revocar su consentimiento, así como oponerse para el tratamiento de sus datos personales para las finalidades que sean distintas a aquéllas que son necesarias y den origen a la relación jurídica entre el responsable y el titular, sin que ello tenga como consecuencia la conclusión del tratamiento para estas últimas finalidades.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 53
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Principios del Reglamento PDP
• Art. 43.- Tratamiento para finalidades distintas. El responsable no podrá llevar a cabo tratamientos para finalidades distintas que no resulten compatibles o análogas con aquéllas para las que hubiese recabado de origen los datos personales y que hayan sido previstas en el aviso de privacidad, a menos que:– I. Lo permita de forma explícita una ley o
reglamento,
– II. El responsable haya obtenido el consentimiento para el nuevo tratamiento.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 54
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Principios del Reglamento PDP
• Art. 44.- Lealtad. El principio de lealtad establece la obligación de tratar los datos personales privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad.
• No se podrán utilizar medios engañosos o fraudulentos para recabar y tratar datos personales. Existe fraude o engaño cuando:
– I. Exista dolo, mala fe o negligencia en la información proporcionada al titular sobre el tratamiento;
– II. Se vulnere la expectativa razonable de privacidad del titular;
– III. Las finalidades no son las informadas en el aviso de privacidad.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 55
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Principios de la Ley Mexicana PDP
• Art. 13.- Proporcionalidad. El tratamiento de datos personales será el que resulte necesario, adecuado y relevante en relación con las finalidades previstas en el aviso de privacidad.
• En particular para datos personales sensibles, el responsable deberá realizar esfuerzos razonables para limitar el periodo de tratamiento de los mismos a efecto de que sea el mínimo indispensable.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 56
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Principios de la Ley Mexicana PDP
Art. 14.-Responsabilidad.El responsable velará por el cumplimiento de los principios de protección de datos personales establecidos por esta ley, debiendo adoptar las medidas necesarias para su aplicación.
Lo anterior aplicará aún
y cuando estos datos:
• fueren tratados por
un tercero a
solicitud del
responsable.
• hayan sido
comunicados a un
encargado, ya sea
que este último se
encuentre o no en
territorio mexicano.
57
Deberá tomar las
medidas necesarias
y suficientes para
garantizar que el
aviso de privacidad
sea respetado en
todo momento por
él y por terceros.
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Elaborar políticas y programas de privacidad
Implementar programa de capacitación, actualización y concientización
Establecer un sistema de supervisión y vigilancia interna, verificaciones o
auditorías externas
Revisar periódicamente las políticas y programas
de seguridad
Instrumentar un procedimiento para que se atienda el riesgo para la protección de datos
personales
Destinar recursos para la instrumentación de los
programas y políticas de privacidad
Establecer procedimientos para recibir y responder
dudas y quejas
Disponer de mecanismos para el cumplimiento de las
políticas y programas de privacidad
Establecer medidas para el aseguramiento de los
datos personales
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 58
Art. 48 Reglamento.- El responsable deberá adoptar medidas para
garantizar el debido tratamiento, privilegiando los intereses del
titular y la expectativa razonable de privacidad
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
La figura del encargado
Art. 49.- Figura del
encargado. El encargado
es la persona física o moral,
pública o privada, ajena a la
organización del
responsable, que sola o
conjuntamente con otras,
trata datos personales por
cuenta del responsable,
como consecuencia de la
existencia de una relación
jurídica que le vincula con el
mismo y delimita el ámbito
de su actuación para la
prestación de un servicio.
Art. 51.- Relaciones
entre el responsable y el
encargado. La relación
entre el responsable y el
encargado deberá estar
establecida mediante
cláusulas contractuales u
otro instrumento jurídico
que decida el
responsable, que permita
acreditar su existencia,
alcance y contenido.
59
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Obligaciones del encargado(art. 50 del Reglamento)
Encargado
Tratar los datos personales
conforme a las instrucciones del
responsable
Abstenerse de tratar los datos personales para
finalidades distintas
Suprimir los datos personales una vez cumplida
la relación jurídica
Abstenerse de transferir los
datos personales
Guardar la confidencialidad
de los datospersonales
Implementar las medidas de seguridad
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 60
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Aviso de Privacidad
• Art. 15.- El responsable tendrá la obligación de informar a los titulares de datos, la información que se recaba de ellos y con qué fines, a través del aviso de privacidad.
• Art. 16.- El aviso de privacidad deberá contener, al menos:– Identidad y domicilio del responsable que los recaba;
– Finalidades del tratamiento de datos;
– Opciones y medios que el responsable ofrece a los titulares para limitar el uso o divulgación de los datos;
– Los medios para ejercer los derechos ARCO;
– Si hay transferencias de datos;
– Procedimiento para comunicar cambios al aviso de privacidad.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 61
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
La Firma Líder en Derecho de lasTecnologías de la Información 62
Aviso de privacidad
Completo Simplificado
• Identidad y domicilio • Finalidades• Opciones y medios para limitar el
uso o divulgación• Medios para ejercer derechos
ARCO• Transferencias de datos • Procedimiento y medio para
comunicar cambios al aviso.• Señalar si se tratan datos sensibles
• Identidad y domicilio • Finalidades• Mecanismo para conocer el aviso
completo• Señalar si se tratan datos sensible
Se pone a disposiciónprevio al tratamiento
Documento físico, electrónico o en cualquier otro formato
generado por el responsable
Se usa cuando hay obtención directa o para medios con
espacio reducido.
08/07/2015
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 63
• Sujeto al consentimiento del titular
• Identidad y domicilio del responsable
• Finalidades del tratamiento de datos
• Opciones y medios para limitar uso o divulgación
• Medios para ejercer los derechos ARCO
• Procedimiento para comunicar cambios al Aviso
• Si hay transferencias de datos
• Sencillo, claro y comprensible; estructura fácil
• Información que se recaba de ellos y con qué fines
• Las finalidades deberán ser determinadas (se especifica para qué objeto serán tratados los datos personales)
• Identificar y distinguir entre las finalidades que dieron origen y son necesarias para la relación jurídica entre el responsable y el titular, de aquéllas que no lo son.
• Se deberán incluir las finalidades para fines mercadotécnicos, publicitarios o de prospección comercial
• Si el titular acepta o no la transferencia de sus datos
LEY REGLAMENTO
Elementos del Aviso de Privacidad
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Lineamientos del Aviso de Privacidad
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 64
– Aviso de privacidad integral: cuando éste contenga la
totalidad de los elementos informativos a los que
refieren los artículos 8, 15, 16, 33 y 36 de la Ley, y 14,
30, 41, 68, 90 y 102 de su Reglamento, y el Vigésimo
de los presentes Lineamientos;
– Aviso de privacidad simplificado: cuando el aviso de
privacidad contenga los elementos informativos a los
que refieren los artículos 17, fracción II de la Ley y 27
de su Reglamento, y el Trigésimo cuarto de los
presentes Lineamientos, y
– Aviso de privacidad corto: cuando el aviso de
privacidad sea redactado en los términos del artículo 28
del Reglamento de la Ley y del Trigésimo octavo de los
presentes Lineamientos.
Obtención Directade D.P.
Formatos c/ Espacio Limitado
Obtención Personal de D.P.
Medio que permite su
entrega directa al
responsable
Con la presencia física del
responsable y del titular
Espacio mínimo y limitado;
datos mínimos
Ob
ten
ción
Ind
irecta: Fu
ente
de acceso
pú
blica o
tran
sferencia
Modalidades del Aviso de Privacidad:
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Contenido de los Avisos de Privacidad
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 65
(I) La identidad y domicilio del responsable; (II) Los datos personales que serán sometidos a tratamiento; (III) El señalamiento expreso de los
datos personales sensibles que se tratarán; (IV) Las finalidades del tratamiento; (V) Los mecanismos para que el titular pueda manifestar su negativa para el tratamiento de sus datos personales para aquellas
finalidades que no son necesarias, ni hayan dado origen a la relación jurídica con el responsable; (VI) Las transferencias de datos
personales que, en su caso, se efectúen; el tercero receptor de los datos personales, y las finalidades de las mismas; (VII) La cláusula que
indique si el titular acepta o no la transferencia, cuando así se requiera; (VIII) Los medios y el procedimiento para ejercer los derechos ARCO; (IX) Los mecanismos y procedimientos para que, en su caso, el titular
pueda revocar su consentimiento al tratamiento de sus datos personales; (X) Las opciones y medios que el responsable ofrece al
titular para limitar el uso o divulgación de los datos personales; (XI) La información sobre el uso de mecanismos en medios remotos o locales
de comunicación electrónica, óptica u otra tecnología, que permitan recabar datos personales de manera automática y simultánea al
tiempo que el titular hace contacto con los mismos, en su caso, y (XII) Los procedimientos y medios a través de los cuales el responsable
comunicará a los titulares los cambios al aviso de privacidad.
Integral
(I) La identidad y domicilio del responsable;
(II) Las finalidades del tratamiento, y
(III) Los mecanismos que
el responsable ofrece para que
el titular conozca el aviso de privacidad
integral.
Simplificado
(I) La identidad y domicilio del responsable;
(II) Las finalidades del tratamiento, y
(III) Los mecanismos que
el responsable ofrece para que
el titular conozca el aviso de privacidad
integral.
Corto
En apariencia son los mismos elementos, pero difiere en la extensión de “las finalidades”.
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Confidencialidad
• Artículo 21.- El responsable o terceros que
intervengan en cualquier fase del tratamiento de
datos personales deberán guardar confidencialidad
respecto de éstos, obligación que subsistirá aun
después de finalizar sus relaciones con el titular o,
en su caso, con el responsable.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 66
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Derechos de Titulares
Acceso
Los titulares tienen derecho a acceder a
sus datos personales que
obren en poder del responsable, así como conocer el
Aviso de Privacidad al que está sujeto el
tratamiento.
Rectificación
El titular de los datos tendrá
derecho a rectificarlos cuando
sean inexactos o incompletos.
Cancelación
El titular tendrá en todo momento el
derecho a cancelar sus datos
personales.
Oposición
El titular tendrá derecho en todo
momento a oponerse al
tratamiento de sus datos, cuando:
Revocación
El consentimiento podrá ser revocado
en cualquier momento sin que se le atribuyan efectos
retroactivos.
08/07/2015
Lex Informática Abogados, S.C.
67
• La cancelación de datos personales darálugar a un periodo de bloqueo tras el cualse procederá a la supresión del dato. Elresponsable podrá conservarlosexclusivamente para efectos de lasresponsabilidades nacidas deltratamiento.
• El periodo de bloqueo será equivalente alplazo de prescripción de las accionesderivadas de la relación jurídica quefunda el tratamiento en los términos dela Ley aplicable en la materia.
Bloqueo: La identificación yconservación de datos personales unavez cumplida la finalidad para la cualfueron recabados, con el únicopropósito de determinar posiblesresponsabilidades en relación con sutratamiento, hasta el plazo deprescripción legal o contractual deéstas..Supresión: Actividad consistente eneliminar, borrar o destruir el o los datospersonales, una vez concluido elperiodo de bloqueo, bajo las medidasde seguridad previamente establecidaspor el responsable.
I. Exista causa legítima ysu situación específicaasí lo requiera, lo cualdebe justificar que aunsiendo lícito eltratamiento, el mismodebe cesar para evitarque su persistenciacause un perjuicio altitular, oII. Requiera manifestarsu oposición para eltratamiento de susdatos personales a finde que no se lleve acabo el tratamientopara fines específicos.
I. Para revocar elconsentimiento, elresponsable deberá, enel aviso de privacidad,establecer mecanismossencillos y gratuitos.II. Cuando el titularsolicite la confirmacióndel cese del tratamientode sus datos personales,el responsable deberáresponder expresamentea dicha solicitud.III. El responsable deberáinformar al encargado dela revocación, para queproceda a efectuar loconducente.
Art. 22.- Los datos personales deben serresguardados de tal manera quepermitan el ejercicio sin dilación de losderechos ARCO.
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Excepciones Generales a los
Derechos ARCO
Artículo 34.- El responsable podrá negar el acceso a los datos personales, o a realizar la rectificación o cancelación o conceder la oposición al tratamiento de los mismos, en los siguientes supuestos:
I. Cuando el solicitante no sea el titular de los datos personales, o el representante legal no esté debidamente acreditado para ello;
II. Cuando en su base de datos, no se encuentren los datos personales del solicitante;
III. Cuando se lesionen los derechos de un tercero;
IV. Cuando exista un impedimento legal, o la resolución de una autoridad competente, que restrinja el acceso a los datos personales, o no permita la rectificación, cancelación u oposición de los mismos, y
V. Cuando la rectificación, cancelación u oposición haya sido previamente realizada.
La negativa a que se refiere este artículo podrá ser parcial en cuyo caso el responsable efectuará el acceso, rectificación, cancelación u oposición requerida por el titular.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 68
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Excepciones al
Derecho de Cancelación
Artículo 26.- El responsable no estará obligado a cancelarlos datos personales cuando:
I. Se refiera a las partes de un contrato privado, social o administrativo y sean necesarios para su desarrollo y cumplimiento;
II. Deban ser tratados por disposición legal;
III. Obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas;
IV. Sean necesarios para proteger los intereses jurídicamente tutelados del titular;
V. Sean necesarios para realizar una acción en función del interés público;
VI. Sean necesarios para cumplir con una obligación legalmente adquirida por el titular, y
VII.Sean objeto de tratamiento para la prevención o para el diagnóstico médico o la gestión de servicios de salud, siempre que dicho tratamiento se realice por un profesional de la salud sujeto a un deber de secreto.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 69
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Del Ejercicio de los Derechos ARCO
• Art. 29.- La solicitud ARCO deberá contener y
acompañar lo siguiente:
– Nombre del titular y domicilio o medio para
comunicar respuesta;
– Documentos que acrediten identidad o
representación legal;
– Descripción clara y precisa de datos personales de
los que se busca ejercer derechos ARCO;
– Cualquier otro elemento o documento que facilite la
localización de datos personales.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 70
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Del Ejercicio de los Derechos ARCO
• Art. 30.- El responsable deberá designar
a una persona (Chief Privacy Officer), o
departamento de datos personales,
quien dará trámite a las solicitudes de los
titulares, para el ejercicio de los derechos
a que se refiere la ley. Fomentará la
protección de datos personales al interior
de la organización.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 71
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Del Ejercicio de los Derechos ARCO
• Art. 32.- El responsable comunicará
al titular, en un plazo máximo de 20
días, contados desde la fecha en que
se recibió la solicitud ARCO, la
determinación adoptada, a efecto de
que, si resulta procedente, se haga
efectiva la misma dentro de los 15
días siguientes a la fecha en que se
comunica la respuesta.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 72
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Transferencia vs. Remisión
Transferencia:
• Toda comunicación de
datos realizada a persona
distinta del responsable o
encargado del
tratamiento.
• Se da entre el
responsable y un tercero.
Remisión:
• La comunicación de
datos personales entre el
responsable y el
encargado, dentro o fuera
del territorio mexicano.
• Se da entre el
responsable y un
encargado.
La Firma Líder en Derecho de lasTecnologías de la Información 73
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Transferencia de Datos
• Artículo 36.- Cuando el responsable pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos del encargado, deberá comunicar a éstos el aviso de privacidad y las finalidades a las que el titular sujetó su tratamiento.
• El tratamiento de los datos se hará conforme a lo convenido en el aviso de privacidad, el cual contendrá una cláusula en la que se indique si el titular acepta o no la transferencia de sus datos, de igual manera, el tercero receptor, asumirá las mismas obligaciones que correspondan al responsable que transfirió los datos.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 74
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Transferencia sin
Consentimiento
Artículo 37.- Las transferencias nacionales o internacionales
de datos podrán llevarse a cabo sin el consentimiento del titular cuando se dé alguno
de los siguientes supuestos:
I. Cuando esté prevista en una Ley o Tratado…;
II. Cuando sea necesaria para la prevención o el diagnóstico médico…;
III. Cuando sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo
el control común del responsable, o a una sociedad matriz o a cualquier sociedad
del mismo grupo del responsable que opere bajo los mismos procesos y políticas
internas;
IV. Cuando sea necesaria por virtud de un contrato celebrado o por celebrar en
interés del titular, por el responsable y un tercero;
V. Cuando sea necesaria o legalmente exigida para la salvaguarda de un interés
público, o para la procuración o administración de justicia;
VI. Cuando sea precisa para el reconocimiento, ejercicio o defensa de un derecho en
un proceso judicial, y
VII. Cuando sea precisa para el mantenimiento o cumplimiento de una relación
jurídica entre el responsable y el titular.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 75
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Prueba de Transferencia
Prueba del cumplimiento de las obligaciones en materia de transferencias
• Artículo 69. Para efectos de demostrar que la transferencia, sea ésta nacional o internacional, se realizó conforme a lo que establece la Ley y el presente Reglamento la carga de la prueba recaerá, en todos los casos, en el responsable que transfiere y en el receptor de los datos personales.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 76
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Formalización de Transferencia
Formalización de las transferencias nacionales
• Artículo 73. La transferencia deberá formalizarse mediante algún mecanismo que permita demostrar que el responsable transferente comunicó al responsable receptor las condiciones en las que el titular consintió el tratamiento de sus datos personales.
Formalización de las transferencias internacionales
• Artículo 75. A tal efecto, el responsable que transfiera los datos personales podrá valerse de cláusulas contractuales u otros instrumentos jurídicos en los que se prevean al menos las mismas obligaciones a las que se encuentra sujeto el responsable que transfiere los datos personales, así como las condiciones en las que el titular consintió el tratamiento de sus datos personales.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 77
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Medidas de Seguridad
• Art. 19.- Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los DPcontra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
• Art. 20.- Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informados de forma inmediata por el responsable al titular.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 78
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Medidas de Seguridad
Administrativas
• Conjunto de acciones y mecanismos para
establecer la gestión, soporte y revisión de
la seguridad de la información a nivel
organizacional, la identificación y
clasificación de la información, así como la
concienciación, formación y capacitación
del personal, en materia de protección de
datos personales;
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 79
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Medidas de Seguridad Físicas
Conjunto de acciones y mecanismos, ya sea que
empleen o no la tecnología, destinados para:
• a) Prevenir el acceso no autorizado, el daño o interferencia
a las instalaciones físicas, áreas críticas de la organización,
equipo e información;
• b) Proteger los equipos móviles, portátiles o de fácil
remoción, situados dentro o fuera de las instalaciones;
• c) Proveer a los equipos que contienen o almacenan datos
personales de un mantenimiento que asegure su
disponibilidad, funcionalidad e integridad, y
• d) Garantizar la eliminación de datos de forma segura;
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 80
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Medidas de Seguridad Técnicas
Conjunto de actividades, controles o mecanismos con resultado medible, que se valen de la tecnología para asegurar que:
• a) El acceso a las bases de datos lógicas o a la información en formato lógico sea por usuarios identificados y autorizados;
• b) El acceso referido en el inciso anterior sea únicamente para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones;
• c) Se incluyan acciones para la adquisición¸ operación, desarrollo y mantenimiento de sistemas seguros, y
• d) Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de datos personales;
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 81
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Acciones para la Seguridad de los
Datos Personales
• I. Elaborar un inventario de datos personales y de los sistemas de tratamiento;
• II. Determinar las funciones y obligaciones de las personas que traten datos personales;
• III. Contar con un análisis de riesgos de datos personales que consiste en identificar peligros y estimar los riesgos a los datos personales;
• IV. Establecer las medidas de seguridad aplicables a los datos personales e identificar aquéllas implementadas de manera efectiva;
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 82
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Acciones para la Seguridad de los
Datos Personales
• V. Realizar el análisis de brecha que consiste en la diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales;
• VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, derivadas del análisis de brecha;
• VII. Llevar a cabo revisiones o auditorías;
• VIII. Capacitar al personal que efectúe el tratamiento, y
• IX. Realizar un registro de los medios de almacenamiento de los datos personales.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 83
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Vulneraciones de Seguridad
Pérdida o destrucciónno autorizada
Robo, extravío o copiano autorizada
Uso, acceso o tratamiento no autorizado
Daño, la alteración o modificación no autorizada
Vulneraciones
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 84
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Notificación de Vulneraciones de
Seguridad
• El responsable deberá informar al titular las vulneraciones que afecten de forma significativa sus derechos patrimoniales o morales, en cuanto confirme que ocurrió la vulneración y haya tomado las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, y sin dilación alguna, a fin de que los titulares afectados puedan tomar las medidas correspondientes.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 85
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Información Mínima a Notificar
El responsable deberá informar al titular al menos lo siguiente:
• I. La naturaleza del incidente;
• II. Los datos personales comprometidos;
• III. Las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses;
• IV. Las acciones correctivas realizadas de forma inmediata, y
• V. Los medios donde puede obtener más información al respecto.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 86
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Medidas Correctivas
• En caso de que ocurra una vulneración a los datos personales, el responsable deberá analizar las causas porlas cuales se presentó eimplementar las accionescorrectivas, preventivas yde mejora para adecuar lasmedidas de seguridadcorrespondientes, a efectode evitar que la vulneración se repita.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 88
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Órgano Regulador: IFAI
• Art. 38.- Establece que el Instituto
<Nacional> de Acceso a la Información y
Protección de Datos, tendrá por objeto
difundir el conocimiento del derecho a la
protección de datos personales en la
sociedad mexicana, promover su
ejercicio y vigilar por la debida
observancia.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 89
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Procedimientos
• Procedimiento de Protección de
Derechos
• Procedimiento de Verificación
• Procedimiento de Imposición de
Sanciones
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 90
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 91
Infr
acc
ion
es
MULTAS de hasta$41,446,400 pesos
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Multas impuestas por el INAIEmpresas Multas
Radiomovil Dipsa (TELCEL) $10,264,460
Radiomovil Dipsa (TELCEL) $9'940,660
Radiomovil Dipsa (TELCEL) $6,264,165
Banamex $16,155,936
Tarjetas Banamex $9,848,140
UIC Universidad Intercontinental $5,297,600
UIC Universidad Intercontinental $3,428,150
UIC Universidad Intercontinental $1'295,200
BBVA Bancomer $6,637,900
Afore XXI Banorte $2,804,850
Afore XXI Banorte $1'246,600
IMM Internet Media México $4,079,880
Operadora Oceánica $2,493,200
08/07/2015
92
Empresas Multas
Caja Popular Cristo Rey $2,181,550
Integra Capital $2,169,460
Farmacias San Pablo $2,000,045
Real Estate Sellers $1,371,260
Obses de México $1'295,200
Sport City $1,246,600
Alsa 21 o Serba 21 $1,158,609
Señalética y Publicidad $582,840
Señalética y Publicidad $323,800
WTC Sports Clinic Ambulatorias $809,500
Solufinte $542,271
Asterisco Auto $417,611
Creaciones Textiles de Mérida $129,520
La Firma Líder en Derecho de lasTecnologías de la Información
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Delitos
– 3 meses a 3 años de prisión al que estando
autorizado para tratar datos personales, con ánimo de
lucro, provoque una vulneración de seguridad a las
bases de datos bajo su custodia.
– 6 meses a 5 años de prisión al que, con el fin de
alcanzar un lucro indebido, trate datos personales
mediante el engaño, aprovechándose del error en que
se encuentre el titular o la persona autorizada para
transmitirlos.
08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 93
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
Principales Obligaciones08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 94
¿Qué datos tengo?
¿Quién los maneja?¿Son necesarios?
¿Dónde están?¿Para qué los uso?
¿Cuántos son?
¿Tengo permiso?¿Están seguros? ¿Cuál es su ciclo de vida?IGNORANCIA
INCUMPLIMIENTO
CON LA LFPDPPP
Tengo un aviso, pero: no se cómo usarlo / implementarlo,no se si está bien hecho (cumple con la LFPDPPP), no se si
solo debo publicarlo o debo tener consentimiento expreso.
No cumplo con los 8 principios de tratamiento de datos.
No cuento con un procedimiento para atenderderechos ARCO y derecho de revocación.
No existen medidas técnicas, físicas y administrativas para el aseguramiento de datos personales.
No tengo políticas o programas de privacidad,ni programas de capacitación.
No sé qué hacer en caso de una vulneración de seguridad ocurrida en
cualquier fase del tratamiento de datos.
No he designado un CPO.
No he celebrado cláusulas o contratos que documenten la relación con mis encargados..
MULTAS: HASTA $41,446,400PRISIÓN: HASTA 10 AÑOS
@JoelGomezMX
about.me/joelgomezmxD.R. © 2015, Joel Gómez
@JoelGomezMX
¡GRACIAS!08/07/2015
La Firma Líder en Derecho de lasTecnologías de la Información 97
Joel A. Gómez TreviñoLex Informática Abogados, S.C.
Manuel M. Ponce N° 87, 3er Piso, Oficina 1-B
Col. Guadalupe Inn, Del. Álvaro Obregón
CP 01020, México, D.F.
Tel.- (55) 6395-9012
joelgomez@lexinformatica.com
www.lexinformatica.com
About.me/JoelGomezMX
Twitter.com/JoelGomezMX
Twitter.com/LexInformatica
top related