mtro. fernando solares valdes

Mtro. Fernando Solares Valdes Septiembre 2011

PROTECCIÓN DE DATOS PERSONALES

|

• Introducción• Algunas Definiciones importantes• Niveles de seguridad• Principios• Consentimiento• Derechos de los titulares• Otros puntos de protección de datos a tener en cuenta• Introducción al modelo de gestión• Sistemas de Gestión y PRIVACIDAD• Objetivos ISO 27000• Fases de la adecuación• Conclusiones

Agenda

|

¿Qué supone esta Ley?

• Un RESPALDO para los ciudadanos contra la posible utilización indebida de sus datos personales.

• Supone que los datos personales serán tratados con el RESPETO necesario.

• Otorga un CONTROL al titular sobre sus propios datos.

Introducción

|

• Nacimiento de una Obligación: Quien trata datos de carácter personal ha de

cumplir con una serie de Obligaciones.

• Protección frente a la indefensión: Confiere una serie de derechos y garantías a los ciudadanos.

¿Qué supone esta Ley?

Introducción

|

¿POR QUÉ CUMPLIR CON LA LEY?

• Desde un punto de vista Legal: por la necesidad de garantizar un Derecho Fundamental a la Protección de datos.

• Desde un punto de vista práctico: porque se establece un Régimen sancionador, que va de los 100 a 320,000 días de salario mínimo.

• Desde el punto de vista del empresario: Es una ocasión para realizar una auditoria y establecer un control de su sistema organizativo y técnico.

Introducción

|

El alcance de la legislación de protección de datos comprende la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

OBJETO DE LA LEY

Introducción

|

Son sujetos regulados por esta Ley, los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, con excepción de:

I. Las sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables, y

II.Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.

OBJETO DE LA LEY

Introducción

|

Clientes y Contactos

|Proveedores

Nóminas

Marketing

Curriculum

Contabilidad y Declaraciones a hacienda pública

Gestión de Personal

Archivo de Visitantes (Seguridad)

Contactos Web

Archivos mas frecuentes en la empresa:

OBJETO DE LA LEY

Introducción

|

Algunas definiciones importantes:

Datos personales: Cualquier información concerniente a una persona física identificada o identificable.

Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.

|

Encargado: La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable.

Responsable: Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales.

Titular: La persona física a quien corresponden los datos personales.

Tratamiento: La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.

Algunas definiciones importantes:

|

Datos:

-Identificativos-Características personales

-Circunstancias sociales.-Académicos y profesionales.

-Empleo y carrera administrativa-Información comercial

-Económico-financieros.-Transacciones.

Datos personales

NIVELES DE SEGURIDAD

Datos personales Sensibles

Los datos se clasifican en Niveles según interferencia en la INTIMIDAD del individuo

Datos

-Especialmente protegidos: (Ideología, Creencias, religión,

origen racial, salud o vida sexual)

|

EntidadesPrivadas

Empresas

• Pymes

• Sociedades

• Fábricas

• Asociaciones

• Inmobiliarias..

Sanidad

• Farmacias

• Ópticas

• Laboratorios

• Clínicas

ColegiosProfesionales

• GraduadosSociales

• Ingenieros

• Peritos

• Abogados

¿QUIÉN HA DE ADAPTARSE A LA LFPDPPP?

LFPDPPP

Escuelas

• Universidades

• Primarias

• Secundarias

|

• Seguridad

Adopción de medidas de seguridad dispuestas en el Reglamento de Medidas de Seguridad.

• Comunicación de datos

Las cesiones han de ser amparadas por Ley o ser consentidas por el titular de los datos.

• Acceso por cuenta de Terceros

Empresas y entidades que prestan servicios: Gestorías, Empresas informáticas.

PRINCIPIOS

|

• Calidad de datos, proporcionalidad, finalidad.

• Consentimiento.Exige una manifestación de la voluntad libre e

inequívoca del titular de los datos.

• Transparencia (información en la Recogida de datos).Se ha de cumplir con el deber de informar de lo

expresamente dispuesto en la LFPDPPP.

PRINCIPIOS

|

Principios de licitud, calidad, proporcionalidad y lealtad

Los datos sólo podrán ser tratados de forma leal y lícita. No se pueden recoger los datos de manera desleal, ilícita o fraudulenta. Los datos que se recojan sólo pueden ser tratados de acuerdo a finalidades determinadas, explícitas y legítimas del responsable de la base de datos. esto significa que es necesario informar y dar a conocer cuales son estas finalidades.

No pueden ser utilizados para otras finalidades sin el consentimiento del afectado. si queremos usarlos para publicidad o para otras cuestiones deberemos de informar de cuales son estas finalidades y solicitar el consentimiento.

Sólo se recogerán los datos necesarios, no hay que excederse. cuando en un cuestionario se soliciten datos hay que determinar cuales son los necesarios para conseguir la finalidad.

|

Principio de Calidad de los datos

Los datos se actualizarán cuando se conozca una nueva situación del afectado. La actualización de los datos es un gran problema en muchas empresas, ya que no pueden asegurar que los datos que manejan estén actualizados debido al esfuerzo que supone el realizarlo.

Se cancelarán cuando hayan dejado de ser necesarios. establecer un periodo de caducidad, el problema es saber cuando han dejado de ser necesarios y conocer que legislación afecta para tener en cuenta los periodos que nos impone. Limitación en el caso de los datos especialmente sensibles, que será el mínimo para cumplir la finalidad.

|

Principio de información

Cuando se vaya a solicitar datos personales es necesario informar de lo siguiente:

I. La identidad y domicilio del responsable que los recaba;II. Las finalidades del tratamiento de datos;III. Las opciones y medios que el responsable ofrezca a los titulares

para limitar el uso o divulgación de los datos;IV. Los medios para ejercer los derechos de acceso, rectificación,

cancelación u oposición, de conformidad con lo dispuesto en esta Ley;

V. En su caso, las transferencias de datos que se efectúen, yVI. El procedimiento y medio por el cual el responsable comunicará a

los titulares de cambios al aviso de privacidad, de conformidad con lo previsto en esta Ley.

|


En cumplimiento de la Ley Federal de Protección de datos de 21 de Abril de 2010, le informamos que sus datos serán tratados por NOMBRE DEL RESPONSABLE DEL TRATAMIENTO con dirección C/XXXXXXXX.

La finalidad del tratamiento es (determinar con claridad la finalidad del mismo). Ej. Gestión clientes, gestión de personal, informarle de nuestros productos y ofertas. Se han implantado las medidas de seguridad necesarias para evitar el uso por personal no autorizado y la divulgación a terceros.

Hay que determinar la cesión de datos que se puedan realizar. Ej. En caso de cesión de datos “Asimismo se le informa que sus datos serán puestos a disposición de las empresas XXXX para las finalidades XXXXX”. O sino va a ceder los datos “La empresa tratará estos datos con la máxima confidencialidad siendo el destinatario único y exclusivo de los mismos, y no efectuando cesiones o comunicaciones a terceros al margen de las señaladas por la normativa vigente.”

|


Puede ejercer sus derechos de acceso a los datos, rectificación y cancelación mediante carta dirigida a XXXXXXXXX, adjuntando fotocopia de documento identificativo.

En caso de modificarse cualquiera de las condiciones de la recogida de datos se le hará llegar una nueva comunicación mediante XXXXXXXXXXXXX

EN CASO DE RECABARSE DATOS PERSONALES SENSIBLES:Por la aceptación de la presente cláusula, otorga el permiso expreso para que RESPONSABLE DE LA BASE DE DATOS realice el tratamiento de sus datos, incluyendo aquellos que puedan ser considerados sensibles, según la legislación aplicable de protección de datos.

|

Consentimiento

El consentimiento se debe de solicitar: Para un tratamiento o serie de tratamientos concretos, y para unas

finalidades determinadas y legítimas. En caso de cesión de los datos, se debe de informar a quien se van a ceder

los datos y para que finalidades, para el que afectado pueda oponerse a estas cesiones.

El consentimiento puede ser expreso o tácito. Expreso cuando así lo solicite la ley (datos especialmente protegidos,

cesiones, otras finalidades envío de publicidad) Tácito en el resto de los casos, siempre hay que dar la posibilidad de retirar

el consentimiento

Para poder realizar un tratamiento de datos se exigirá el consentimiento inequívoco, a no ser que la ley diga otra cosa.

|

Consentimiento

Consentimiento Expreso: cuando la voluntad se manifieste verbalmente, por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos.

Se entenderá que el titular consiente tácitamente el tratamiento de sus datos, cuando habiéndose puesto a su disposición el aviso de privacidad, no manifieste su oposición.

|

Consentimiento

No será necesario el consentimiento para el tratamiento de los datos personales cuando:

I. Esté previsto en una Ley;II. Los datos figuren en fuentes de acceso público;III. Los datos personales se sometan a un procedimiento previo de disociación;IV. Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable;V. Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes;VI. Sean indispensables para la atención médica,…..

|

Se ha de respetar unos procedimientos y plazos para dar respuesta a estos derechos.

ACCESO

RECTIFICACIÓN

CANCELACIÓN

OPOSICIÓN

DERECHOS DE LOS TITULARES

|

Otros puntos de la protección de datos a tener en cuenta

Clasificación de los datos conforme a su nivel de protección.

Cesión de datos a terceros Tratamiento de los datos por terceros Transferencias internacionales de datos Atención al ejercicio de los derechos Protección de los datos, medidas de seguridad a

aplicar. Tratamientos específicos de publicidad, creación de

bases de datos de exclusión de publicidad.

|

El objeto de la PRIVACIDAD es garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas y especialmente su honor e intimidad personal y familiar

Las organizaciones se suelen debatir entre sólo cumplir con la PRIVACIDAD o implantar las medidas necesarias para no tener incidentes

Sistema de Gestión Y Privacidad

|

Sistema de gestión y Privacidad

Para una organización lo que verdaderamente es importante es no tener incidentes que puedan desembocar en denunciasPara ello se suele llegar a puntos muertos en el desarrollo de las medidas en los que el discurso es “Ya sé que podemos tener un incidente, pero es que la ley no lo exige”

La legislación establece unas medidas de seguridad concretas, pero deja claro que la organización debe hacer lo necesario para proteger los datos personales

|

Sistema de Gestión y Privacidad

Dicho esto, un Sistema de Gestión contempla los controles necesarios para

Evitar incidentes en la medida de lo posible Detectarlos rápidamente si se producen Darles una respuesta rápida, eficaz y ordenada Adoptar las medidas para que no se vuelva a repetir Y todo ello, como no puede ser de otra forma, cumpliendo con

la legislación aplicable

La implantación de un Sistema de Gestión, o incluso su certificación,

NO constituyen ninguna garantía de cumplimiento en lo referente a

PRIVACIDAD

|

Si además de pensar en cumplir con la ley, pensamos en tener los datos personales con un nivel de seguridad que nos permita ser optimista...

¿Cuál de los siguientes objetivos podríamos pasar por alto?

Sistema de Gestión y Privacidad

|

• Asegurarse de que puede tratar los datos y asignarles una finalidad concreta.

• Recoger los datos de forma adecuada y poner especial cuidado en el consentimiento.

• Informar a los titulares de la identidad del Responsable, de sus derechos, etc...

• Poner especial cuidado en las cesiones de datos y en realizar contratos con los encargados de tratamiento.

Pasos para adecuar a una empresa a la Legislación de protección de Datos Personales

|

• Redacción de un Documento de Seguridad. Implantación de Medidas de seguridad (técnicas y organizativas).

• Respetar al máximo los Derechos y Principios que la Ley otorga al titular de los datos de carácter personal.

• Auditorias con periodicidad temporal.

Pasos para adecuar a una empresa a la Legislación de protección de Datos Personales

|

FASES ADECUACIÓN

Análisis de Empresas- Análisis de BB.DD.

- Funciones del personal- Procedimientos de seguridad

- Sistemas informáticos

Contratos Redacción de

Documento de Seguridad

Políticas de

seguridadRegulación

jurídica

Implementación en la empresa

Establecimiento del sistema de gestión

|

• Un Sistema de Gestión no garantiza que la organización cumpla con la PRIVACIDAD

• Sin embargo la mayoría de los objetivos de la ISO 27000 son de aplicación para la protección de datos personales

• La seguridad de datos personales requiere de un proceso de gestión, el establecido en la ISO 27000 está basado en el modelo PDCA que es el más difundido

• Por todo ello un Sistema de Gestión no garantiza que se cumpla con la PRIVACIDAD pero ayuda ... Y mucho

Conclusiones

|

CONCLUSIONES

• ¿POR QÚE ADECUARNOS A LA LFPDPPP?

Sanciones. Legislación. Gestión segura de la información. Crear buena imagen, prestigio. Protección ante empleados por la incorrecta utilización

de la información, del correo electrónico, Internet, etc... Evitar principales fuentes de problemas:

» Clientes insatisfechos.» Personal interno.» Competencia.

Mtro. Fernando [email protected]

www.cibersoftec.com

mtro. fernando solares valdes

Documents

atos origin and fish

atos and fish symbol

atos consulting

datos personales sern

datos de carcter personal

and the fish symbol

leyintroduccinpgina

for the client