2014

DefiniciónDefinición

Es toda aquella información concerniente

a una persona física identificada o identificable

- numérica

- alfabética

- gráfica

- fotográfica

- acústica

- o de cualquier otro tipo

Tipo de Datos Personales Tipo de Datos Personales

Tipo de Datos Personales Tipo de Datos Personales (2)(2)

Tipo de Datos Personales Tipo de Datos Personales (3) (3)

Datos Personales SensiblesDatos Personales Sensibles

Antecedentes del Derecho de Antecedentes del Derecho de Protección de Datos PersonalesProtección de Datos Personales

Los avances en las Los avances en las Tecnologías de la Tecnologías de la Información Información y sus y sus implicaciones para la vida de las implicaciones para la vida de las

personas personas dieron origen dieron origen a a un derecho distinto, relacionado un derecho distinto, relacionado con la protección de los datos con la protección de los datos personales.personales.

¿En qué consiste el Derecho de ¿En qué consiste el Derecho de Protección de Datos Personales?Protección de Datos Personales?

¿Qué son los derechos de tercera Qué son los derechos de tercera generación?generación?

Derecho de Protección de Datos Derecho de Protección de Datos Personales en el MundoPersonales en el Mundo

Ley Orgánica 15/1999, de Protección de Datos de Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal:Carácter Personal:

Autoridad independiente: Agencia Española de Autoridad independiente: Agencia Española de Protección de Datos.Protección de Datos.

Tiene leyes de protección de datos personales a nivel Tiene leyes de protección de datos personales a nivel federal y provincial.federal y provincial.

Tiene regulaciones sectoriales “Privacy Act” (safe Tiene regulaciones sectoriales “Privacy Act” (safe harbour), pero no reconoce el derecho como tal, ni harbour), pero no reconoce el derecho como tal, ni cuenta con una autoridad independiente en la materia.cuenta con una autoridad independiente en la materia.

Los países latinoamericanos con reconocimiento en Los países latinoamericanos con reconocimiento en sede constitucional del derecho a la protección de sede constitucional del derecho a la protección de datos personales: Perú, Venezuela, Argentina, Brasil, datos personales: Perú, Venezuela, Argentina, Brasil, Colombia, Ecuador, Guatemala, Nicaragua y México.Colombia, Ecuador, Guatemala, Nicaragua y México.

Derecho de Protección de los Datos Derecho de Protección de los Datos Personales en MéxicoPersonales en México

ART. 6ART. 6 ART. 16ART. 16

Disposiciones generalesDisposiciones generales

Garantizar la privacidad y el derecho a la autodeterminación informativa de las

personas

• Designación de una persona o departamento de datos personales.

• Expedir avisos de privacidad.

6 de

JULIO de

2011

• Ejercicio de los derechos ARCO.

• Interposición de quejas ante el IFAI.

ENERO de

2012

FEBRERO

de 2012

Periodos de implementaciónPeriodos de implementación

Sujetos ReguladosSujetos Regulados

La relativa a personas morales.

Aquella que refiera a personas físicas en su calidad de comerciantes y profesionistas.

Personas físicas que presten sus servicios para alguna persona moral o persona física con actividades empresariales y/o prestación de servicios, consistente únicamente en:

• Nombre y apellidos• Funciones o puestos

desempeñados• Domicilio físico• Dirección electrónica,

teléfono y fax

Siempre y cuando esta información sea tratada

para fines de representación del

empleador o contratista.

ExcepcionesExcepciones

Principios que rigen la PDPPrincipios que rigen la PDP

Impedir tratamiento por razones legítimas de manera

justificada.Listados de exclusión

(gratuito y constancia de inscripción)

Cuando no se cumplan los principios y deberes

(finalidad, proporcionalidad…)

Cuando los DP sean inexactos o incompletos.

No cumplan con el principio de calidad

A los datos personales, al aviso y a las condiciones del

tratamiento

CCESOCCESO

Todos los titulares o en su caso, el

representante legal podrán ejercer los

derechos de:

ECTIFICACIÓECTIFICACIÓNN

ANCELACIÓANCELACIÓNN

POSICIÓNPOSICIÓN

Derechos ARCODerechos ARCO

Conjunto ordenado de datos personales referentes a una persona identificada o identificable

Todo manejo de DP por cualquier medio

Medios remotos o locales de comunicación electrónica, óptica o de otra tecnología, siempre que el sitio donde se encuentren los DP esté concebido para facilitar información al público.

Comunicación de DP entre el responsable y el encargado, dentro o fuera del territorio mexicano

Algunas definicionesAlgunas definiciones

19

Un Un documentodocumento físico, electrónico o en cualquier físico, electrónico o en cualquier otro formato (visual, sonoro, etc.) generado por otro formato (visual, sonoro, etc.) generado por

el responsable que es puesto a disposición del el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos titular, previo al tratamiento de sus datos

personales, con el fin de informarle qué datos se personales, con el fin de informarle qué datos se recaban y con qué fines.recaban y con qué fines.

• Establecer los términos, alcances y condiciones del tratamiento de los datos personales.

• Informar al titular para que pueda tomar decisiones informadas sobre sus datos, a efecto de mantener el control y disposición sobre ellos.

Aviso de PrivacidadAviso de Privacidad

• Debe ser sencillo y con la información necesaria

• Expresado en español • Utilizar un lenguaje claro y comprensible• Para su redacción tomar en cuenta el perfil

del titular

• No usar frases inexactas, ambiguas o vagas• No incluir textos o formatos que induzcan al

titular a elegir una opción en específico• No incluir casillas previamente marcadas, y• No remitir a textos o documentos que no

estén disponibles para el titular.

Estructura y diseño del Aviso de Estructura y diseño del Aviso de PrivacidadPrivacidad

Elementos que debe contener el Elementos que debe contener el Aviso de PrivacidadAviso de Privacidad

Elementos del Aviso de Privacidad

1 La identidad y domicilio del responsable.

2 Los datos personales que serán sometidos al tratamiento.

3 El señalamiento expreso de los datos sensibles que se recaban.

4 Las finalidades del tratamiento.

5Los mecanismos para que el titular manifieste su negativa para el tratamiento de datos que no son necesarios para cumplir con la relación jurídica con el responsable.

6 Las transferencias que en su caso se efectúen, el tercero receptor y la finalidad de las mismas.

7 La cláusula que indica si el titular acepta o no la transferencia.

8 Los medios y procedimientos para el ejercicio de los derechos ARCO.

9 Los mecanismos y procedimientos para poder revocar el consentimiento.

10

Las opciones y medios para limitar el uso o divulgación de datos personales.

11

Informar sobre el uso de mecanismos en medios remotos o locales de comunicación que permitan recabar datos de manera automática y simultánea cuando el titular hace contacto con los mismos.

12

Los procedimientos y medios para comunicar cambios al aviso de privacidad.

Si los datos se Si los datos se obtienen de manera obtienen de manera directa o personaldirecta o personal

El AP se pone a El AP se pone a disposición disposición previo a la previo a la

obtención de los obtención de los datosdatos

Si los datos se Si los datos se obtienen de manera obtienen de manera

indirecta, de una indirecta, de una transferencia o de transferencia o de

una fuente de acceso una fuente de acceso públicopúblico

En el primer En el primer contacto con el contacto con el titular o previo titular o previo

al al aprovechamientaprovechamiento de los datoso de los datos

Si el responsable Si el responsable pretende tratar los pretende tratar los

DP para una DP para una finalidad distintafinalidad distinta

Se da a conocer Se da a conocer previo al previo al

aprovechamientaprovechamiento de la nueva o de la nueva

finalidadfinalidad

¿Cuándo dar a conocer el Aviso de ¿Cuándo dar a conocer el Aviso de Privacidad?Privacidad?

Modalidades del Modalidades del Aviso de PrivacidadAviso de Privacidad

23

Modalidad ContenidoCuando se pone a

disposición

Integral

Artículos 8, 15, 16, 33 y 36 de la LFPDPPP.

Artículos 14, 24, 26, 30, 40, 41, 42, 68, 90 y 102 del Reglamento.

Vigésimo, Vigésimo primero, Vigésimo segundo, Vigésimo tercero, Vigésimo cuarto, Vigésimo quinto, Vigésimo sexto, Vigésimo séptimo, Vigésimo octavo, Vigésimo noveno, Trigésimo, Trigésimo primero, Trigésimo segundo y Trigésimo tercero de los Lineamientos.

Cuando los datos se obtengan personalmentepersonalmente

del titular a través de formatos por los que se

recaban

Simplificado

Artículos 17, fracción II de la LFPDPPP y 27 del Reglamento.

Trigésimo cuarto, Trigésimo quinto, Trigésimo sexto y Trigésimo séptimo de los Lineamientos.

Al menos lo siguiente:

•La identidad y domicilio del responsable.

•Las finalidades del tratamiento (distinguir entre finalidades).

•Los mecanismos para conocer el aviso completo.

Cuando los datos se obtienen de manera de manera

directa del titular directa del titular por cualquier medio

electrónico, óptico, sonoro, visual, o a través

de cualquier otra tecnología

Corto

Artículo 28 del Reglamento.

Trigésimo octavo, Trigésimo noveno, Cuadragésimo y Cuadragésimo primero de los Lineamientos.

Al menos lo siguiente:

•La identidad y domicilio del responsable.

•Las finalidades del tratamiento (NO es necesario distinguir entre finalidades).

•Los mecanismos para conocer el aviso completo.

Se deberá proporcionar de manera inmediata al momento de recabar los datos. (espacio limitado)(espacio limitado)

• La identidad y domicilio del responsable

• Las finalidades del tratamiento

• Los mecanismos para conocer el aviso de privacidad completo

• Diarios de circulación nacional, locales o revistas especializadas

• Página de internet del responsable

• Hipervínculos en la página del Instituto, cuando el responsable no cuente con página de internet

• Carteles informativos• Cápsulas informativas en

radiodifusoras• Medios alternos de comunicación

masiva

Medidas compensatoriasMedidas compensatorias

• Riesgo por tipo de DP.• Sensibilidad de los DP.• Desarrollo tecnológico.• Posibles consecuencias para los titulares, por alguna

vulneración• Número de titulares.• Vulnerabilidades previas a los sistemas de tratamiento.• El riesgo por el valor potencial que pudieran tener los DP

tratados para una tercera persona no autorizada.• Demás factores que pudieran incidir en el nivel de riesgo o

que resulten de otras leyes o regulación que aplique al responsable.

Medidas de seguridadMedidas de seguridad

El procedimiento de verificación se desarrollará en máximo 180 días, durante el cual el personal del

Instituto plenamente identificado, podrá realizar visitas de máximo 10 días, para allegarse de

información necesaria de acuerdo al objeto y alcance señalado por escrito en la orden

de la visita, concluyendo éstas con el levantamiento del acta ante 2 testigos.

La verificación termina con la resolución del Pleno del Instituto.

Verificará el cumplimiento de la Ley y demás normatividad que de ésta derive

requiriendo la documentación necesaria o bien con visitas en el establecimiento donde

estén las bases de datos del responsable

Incumplimiento a resoluciones / conocimiento

de violaciones

Cualquiera podrá denunciar las presuntas violaciones, el Pleno del IFAI,

determinará de manera fundada y motivada la procedencia

Procedimiento de verificaciónProcedimiento de verificación

Por procedimientos de PD o por

verificaciones (presunta infracción)

Notifica al presunto infractor y

proporciona informe de hechos

Recibe notificación•Ofrece pruebas•Manifiesta por escrito lo que a su derecho convenga

Desahoga de acuerdo a las pruebas admitidas, y en su

caso solicita aquéllas adicionales que estime

necesarias

Notifica al presunto infractor

Podrá presentar alegatos si lo

considera necesario

Resolución del Pleno

Notifica la resolución a las

partes

Procedimiento para la imposición Procedimiento para la imposición de sancionesde sanciones

Días salario mínimo vigente en el Distrito Federal

$67.29

Infracciones y sancionesInfracciones y sanciones

De 100 a 160,000 días de s.m.v.D.F.

De 200 a 320,000 días de s.m.v.D.F.

Modelo de aviso completoAviso de Privacidad

[Nombre o razón o denominación social y comercial del responsable], con domicilio en [señalar calle, número, colonia, ciudad, municipio o delegación y entidad federativa], es responsable de recabar sus datos personales, del uso que se le dé a los mismos y de su protección.

Su información personal será utilizada para proveer los servicios y productos que ha solicitado, informarle sobre cambios en los mismos y evaluar la calidad del servicio que le brindamos. Para las finalidades antes mencionadas, requerimos obtener los siguientes datos personales: [dato 1], [dato 2], considerado como sensible según la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, [dato 3] y [dato 4].

Usted tiene derecho de acceder, rectificar y cancelar sus datos personales, así como de oponerse al tratamiento de los mismos o revocar el consentimiento que para tal fin nos haya otorgado, a través de los procedimientos que hemos implementado. Para conocer dichos procedimientos, los requisitos y plazos, se puede poner en contacto con nuestro departamento de datos personales en [datos de contacto, domicilio, teléfono, coreo electrónico] o visitar nuestra página de Internet [dirección electrónica].

Asimismo, le informamos que sus datos personales pueden ser transferidos y tratados dentro y fuera del país, por personas distintas a esta empresa. En ese sentido, su información puede ser compartida con [señalar el tipo de destinatarios de estas transferencias], para [describir finalidades]. Si usted no manifiesta su oposición para que sus datos personales sean transferidos, se entenderá que ha otorgado su consentimiento para ello.

□ No consiento que mis datos personales sean transferidos en los términos que señala el presente aviso de privacidad.

Si usted desea dejar de recibir mensajes promocionales de nuestra parte puede solicitarlo a través de [teléfono, dirección, correo electrónico].

Cualquier modificación a este aviso de privacidad podrá consultarla en [señalar medio].

Fecha última actualización [día/mes/año]

Modelo de aviso simplificadoAviso de privacidad

[Nombre o razón o denominación social y comercial del responsable], con domicilio en [domicilio] utilizará sus datos personales aquí recabados para [finalidad explícita]. Para mayor información acerca del tratamiento y de los derechos que puede hacer valer, usted puede acceder al aviso de privacidad completo a través de [lugar físico o electrónico donde se encuentra ubicado u opción a elegir para visualizarlo o escucharlo].

atencion@ifai.org.mxatencion@ifai.org.mx

01 800 TELIFAI 01 800 TELIFAI (01 800 8354324)(01 800 8354324)

Dudas Dudas sobre la sobre la LFPDPPPLFPDPPP

DudasDudas

El IFAI pone a tu disposición la El IFAI pone a tu disposición la capacitación en línea a través de capacitación en línea a través de

su su

Centro Virtual de Centro Virtual de FormaciónFormación

• Introducción a la LFPDPPPIntroducción a la LFPDPPP• Aviso de PrivacidadAviso de Privacidad• Designación de la Persona o Designación de la Persona o

Departamento de DPDepartamento de DP• Atención a las Solicitudes de Derechos Atención a las Solicitudes de Derechos

ARCOARCO

http://cevifaiprivada.ifai.org.mx/http://cevifaiprivada.ifai.org.mx/50.04.24.00 50.04.24.00

ext. 2983 y 2984ext. 2983 y 2984cevifai@ifai.org.mxcevifai@ifai.org.mx

Capacitación virtualCapacitación virtual

www.itea.org.mxTel. (449) 915 56 38 y 915 05 37 Av. Las Américas # 401 Int. 101

Fracc. La Fuente C.P. 20239 Aguascalientes, Ags.

¡Gracias por su atención!¡Gracias por su atención!