protección de datos personales: el nuevo reto · ylos avances en las ti y sus implicaciones para...

Protección de Datos Personales: el nuevo reto

Ángel Trinidad ZaldívarComisionado

Diciembre 2010

Contenido

I. Antecedentes

II. Jurisprudencia

III. AmenazasI. Adultos

II. Menores

IV. Anexo - LFPDPPP

¿Qué son los datos personales?

Cualquier información concerniente a una persona física identificada o identificable.

Ley Federal de Transparencia y Acceso a la Información Pública gubernamental y Ley Federal de Protección de Datos Personales en Posesión de Particulares

“…entre otra, la relativa a su origen étnico o racial, o que estéreferida a las características físicas, morales o emocionales, a su vida afectiva y familiar, domicilio, número telefónico, patrimonio, ideología y opiniones políticas, creencias o convicciones religiosas o filosóficas, los estados de salud físicos o mentales, las preferencias sexuales, u otras análogas que afecten su intimidad.” (redacción anterior)

Antecedentes

1819 - Benjamín Constant: Mientras los antiguos gozaban del derecho a intervenir en los asuntos públicos, pero carecían de libertades en el orden individual, los modernos afirman que la libertad se compone de la independencia privada.

1888 – Thomas Cooley : Derecho a ser dejado solo (Right to be let alone)

1890 – Warren y Brandeis: Derecho a la privacidad (Right to privacy)

Sentencia de Tribunal Constitucional (España)

254/1993 – No es posible aceptar que el derecho fundamental a la intimidad agota su contenido en facultades puramente negativas, de exclusión.

Orígenes

Los avances en las TI y sus implicaciones para la vida de las personas dieron origen a un derecho distinto, relacionado con la protección de los datos personales (PDP).

Concepto de Intimidad

Orígenes II (Repercusiones Jurídicas)

1967 - Consejo de Europa: “Comisión Consultiva para estudiar las tecnologías de información y su potencial agresividad a los derechos de la persona”.1968 - Resolución 509 de CE: “Derechos Humanos y nuevos logros científicos y técnicos.1981 – Convenio 108 de CE: Protección de las personas con respecto al tratamiento automatizado de los datos de carácter personal.1995 - Directiva 95/46/CE sobre protección de personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos.

Orígenes III (Repercusiones Constitucionales)

Constitución Española 1978, art. 18.4: “La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.Constitución Perú art. 2.6: “Toda persona tiene derecho a que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad”.Constitución Venezuela, art. 60: “…La ley limitaráel uso de la informática”.

Antecedentes en México

2002 – LFTAIPG

о Reconoce la protección de datos. Limitado al sector público.

2007 – Reforma 6º Constitucional

Reconoce el derecho a la protección de datos en el ámbito público.

2008 – Reforma 73 Constitucional

Dota de facultades expresas al Congreso Federal para expedir una ley de protección de datos en posesión de los particulares.

2008 – Reforma 16 Constitucional

Introduce el derecho a la protección de datos personales como un derecho autónomo e independiente

2010 – LFPDPPP

PrincipiosPrincipios

Resoluciones Judiciales

Tribunal Constitucional Federal AlemánSentencia 15 Dic. 1983

Tribunal Constitucional Español)Sentencia 11/1998Sentencias 290/2000 y 292/2000Sentencia 19 sept. 2008

SCJNAcción de inconstitucionalidad 25/2004Amparo Directo 2044/2008

Tribunal Constitucional Alemán

Principio de autodeterminación informativa (Westin)

“La proliferación de centros de datos ha permitido, gracias a los avances tecnológicos, producir una imagen total y pormenorizada de la persona respectiva –un perfil de la personalidad-, incluso en el ámbito de su intimidad, convirtiéndose así el ciudadano en un hombre de cristal”

Tribunal Constitucional Español

Tribunal Constitucional Español)Sentencia 11/1998

La garantía de la intimidad lato sensu, adopta hoy un entendimiento positivo que se traduce en un derecho de control sobre los datos relativos a la propia persona

Sentencias 290/2000 y 292/2000..garantizar un poder de control sobre sus datos personales…no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, sino los datos de carácter personal.

Sentencia 19 sept. 2008Apostasía

Suprema Corte de Justicia de la Nación (México)

SCJNAcción de inconstitucionalidad 25/2004

VS Ley transparencia de Nuevo León. Publicidad de juicios. “La audiencia pública debe considerarse extensible a todos los procedimientos de orden jurisdiccional de cualquier naturaleza” aunque sólo se mencione para penal y político.Con la publicidad no sólo el acto jurisdiccional puede ser juzgado socialmente, sino que, exponiendo su conducta a la crítica, les será más difícil actuar arbitrariamente

Amparo Directo 2044/2008“Las personas que ocupan puestos públicos están sometidos a escrutinios públicos intensos, lo cual implica una disminución natural de lo que puede considerarse incluido en su esfera privada”

Amenazas (debido a TI)

Adultos Robo de identidad

Abuso de confianza

Fraude

Extorsión

Secuestro

MenoresPornografía

Abuso de confianza

Ciberbullying

Universo

México 28 millones de usuarios en internet

52 % de computadoras adquiridas para el hogar

6 de cada 10 jóvenes entre 12 y 19 años son usuarios

5 de cada 10 entre 20 y 24 años son usuarios

El 50% de los usuarios lo hace en el hogar, 34% en Café y 20% en trabajo.

Ha crecido el riesgo digital

Antes de la Era digital el

acceso a expedientes

era complejo y difícil.

Las TI han eliminado esa dificultad

Tarjetas de Crédito

Verizon: 98% de información robada es de TC.

Symantec: 73% - Numero de seguridad, No. de tarjeta, fechas de expiración, PIN, domicilio tarjetahabiente

Otra: numero de seguridad social, numero de tel, dirección de e-mail

Caso TJX

46 millones de tarjetas de crédito robadas

Mayor robo de datos personales hasta la fecha.

Se introdujeron en el sistema de una red local inalámbrica

TJX recogía demasiada información y la almacenaba mucho tiempo

No actualizó sus sistemas de seguridad

Information Black Market

Captured IRC

<VzB> Hey bro, you here? <Skult> ? <VzB> Im interested in buying your dumps <Skult> Not selling individually, only bulk+ POS terminal <VzB> Really? How much is bulk? <Skult> $60K usd for each pos <VzB> whoah, ok. Listen I do make large buys sometimes, but that takes a lot of trust. Plus I cant exactly send you a WU for that much money. If we did a deal I would need to see some proof of what you have. Plus I will ask you somethings to confirm you even know what your talking about. I see a lot of rippers, especially here on IRC

<VzB> You said in your ad you have 27 POS, which kind are they then? <Skult> Just locations, I wont say what kind they are :> <VzB> Fair enough. What kind of traffic are they? High /low? <Skult> Very high, they are restaurant servers very very good locations

<VzB> How many dumps from each POS bro and is there T2/pins? <Skult> too many to count : > Pins if I have them I do not sell

<VzB> Ok cool.

Abuso

Cinco empleados o contratistas quienes accedieron a registros electrónicos de pasaportes sin permiso. Si el acceso no fue autorizado,podría violar leyes criminales relativas a fraudes y abuso con computadoras.

El Inspector General encargado del caso encontró que los archivos incluían a 150 políticos, artistas y atletas; 127 de esos expedientes habían sido accedidos al menos una vez entre septiembre de 2002 y marzo de 2008.

Esos 127 expedientes de pasaportes fueron accedidos un total de 4,148 veces en el periodo. El pasaporte de una persona fue buscado 356 veces por 77 usuarios distintos.

El Senado norteamericano busca persecución criminal a espías de Pasaportes 10-Jul-2008

http://www.pcworld.com/businesscenter/article/148173/senators_want_criminal_prosecutions_of_passport_snoopers.html

Abuso + Robo de identidad + Fraude

Un ex contratista del ejército de los Estados Unidos se declaró culpable de exceder el acceso autorizado a una computadora y robo agravado de identidad, después de ser acusado de vender nombres y números de seguro social de 17,000 empleados del ejército, indicó el Departamento de Justicia de los Estados Unidos

Contratista de servicios de cómputo en el sector militar condenado por cargo de robo de identidad 02-May-2008

http://www.cio.com/article/346663/Military_Computer_Contractor_Convicted_on_ID_Theft_Charges

Distribución masiva de malware + Técnicas de incursión en redes inalámbricas vulnerables + Robo de identidad + Fraude

Casi 50% de los comerciantes minoristas han sido víctimas de alguna clase de ataque a su seguridad de información. Sólo un pequeño porcentaje de estos ataques han sido reportados a sus clientes

En la cadena de supermercados Hannaford Bros, se estima que los criminales robaron 4.2 millones de números de cuenta de las computadoras atacadas

En 2006, ladrones de datos tuvieron acceso a 94 millones de números de tarjetas (robaron 46) de pago vía el acceso no autorizado a los sistemas de la cadena TJX. El minorista debió crear un fondo de 107 millones de dólares para cubrir las demandas de los emisores de tarjetas.

La mayoría de las fallas de seguridad de los comercios minoristas no se revelan, según la firma de investigación Gartner25-May-2008

http://www.cso.com.au/index.php/id;1397175505

Distribución masiva de malware + Extorsión

Autoridades Rusas encarcelaron a una banda que extorsionó a compañías de apuestas en líneas a través de ataques de “negación de servicio” (DDoS)

Casinos Online y sitios de apuestas fueron atacados por el grupo, quienes usaron computadoras “zombie” para lanzar ataques de negación del servicio

Se dice que la banda logró extorsionar por más de 4 millones de dólares de empresas británicas después de amenazarlos con ataques a sus sitios web, haciéndolos inaccesibles al mundo exterior

Una banda de extorsionadores en línea de origen ruso fueron encarcelados por un fraude de 4 millones de dólares a sitios de apuestas 05-Oct-2006 Sophos Labs

http://www.sophos.com/pressoffice/news/articles/2006/10/extort-ddos-blackmail.html

Distribución masiva de malware + Vandalismo

Podrían usar el método usado durante una “guerra” de dos semanas contra Estonia en 2007 en el que hackers derribaron los sitios web de bancos, instituciones de gobierno y partidos políticos usando ataques de “negación de servicio” (DoS), a través de olas masivas de requerimientos y accesos a sus sitios web.

Hackers advierten a las cadenas comerciales en Londres 25Hackers advierten a las cadenas comerciales en Londres 25--AbrAbr--2008 BBC News2008 BBC News

http://news.bbc.co.uk/2/hi/technology/7366995.stm

Distribución masiva de malware + Terrorismo

En Mayo de 2007, la nación Báltica experimentó una serie de ataques de “negación de servicio” (DoS) como resultado de una desición del gobierno de reubicar la estatua rusa de “personas desconocidas”asesinadas durante la segunda guerra mundial

En Estonia, país reconocido por su alto nivel de servicios en línea, ataques de negación de servicio (DoS) derribaron los servicios de acceso a Internet y bloquearon la posibilidad de comprar alimentos, combustibles o realizar transacciones bancarias por muchos días

Estonia establece su estrategia de cyberseuridad 02Estonia establece su estrategia de cyberseuridad 02--OctOct--2008 Robert Vamosi2008 Robert Vamosi

http://news.cnet.com/8301-1009_3-10056893-83.html

Amenazas para MenoresHábitos de Navegación

En relación al MSN, 75% de los adolescentes de 15 a 18 años aceptan a desconocidos, mientras que lo hace el 18% de los niños y niñas entre 9 y 11 años.

45,3% de niños, niñas y adolescentes tienen la computadora en su habitación. No reciben supervisión de adultos.

30% publica datos personales (dirección de su casa, teléfono, nombre de la escuela) en su fotolog o página personal.

32% abre correos con archivos adjuntos enviados por desconocidos.

Chatear con gente desconocida

El 49% de la muestra consideró que no es peligroso chatear con gente que no conoce.

Fuente: Chic@s y Tecnología: ¿Una interacción sin riesgos? Usos y costumbres de niñas, niños y adolescentes en relación a las Nuevas Tecnologías de la información y la Comunicación, Chicos.net A.C., Save the Children, y Ecpat, junio 2009.

Ir a una cita con una persona que conociópor Internet

43% no considera peligroso ir a una cita con una persona que se conoció en Internet o por mensaje de texto en el celular.

Fuente: Chicos y Tecnología: ¿Una interacción sin riesgos? Usos y costumbres de niñas, niños y adolescentes en relación a las Nuevas Tecnologías de la información y la Comunicación, Chicos.net A.C., Save the Children, y Ecpat, junio 2009.

56% ya se encontraron con amigos virtuales y 65% fueron al encuentro solos (Brasil)

Aceptar o agregar desconocidos en su MSN

El 48% no percibe peligrosidad al aceptar desconocidos en su MSN.


32% manifiesta que, a veces, entra a sitios con contenido únicamente para adultos (este porcentaje aumenta a medida que se avanza en edad).37% usa la webcam para conocer y que lo conozcan personas nuevas, comportamiento más acentuado en los adolescentes de 12 a 18 años. 48% en la franja de 15 a 18 años agregan a desconocidos en el MSN. 42,3% de los de 12 a 14 años y el 17% de 9 a 11 años.36% de adolescentes entre 12 y 18 años afirma que publica fotos suyas en poses provocativas.

Publicar fotos de otros sin su consentimiento

El 50% no considera que sea peligroso publicar fotos de otras personas sin su permiso.


www.ifai.org.mx

www.infomex.org.mx

01800 TEL IFAI

01800 835 4324

[email protected]

TEL. 50 04 24 00

Sujetos obligados de la Ley: Personas físicas o morales particulares que lleven a cabo el tratamiento de datos personales, excepto:

Las sociedades de información crediticia

Las personas que lleven a cabo la recolección y almacenamiento de datos personales sin fines de divulgación o utilización comercial.

(Artículo 2)

Limites a los principios y derechos previstos en la Ley: Seguridad nacional, el orden, seguridad y salud publica así como los derechos de terceros. (Artículo 4)

• Licitud (Artículo 7, primer párrafo)

• Consentimiento (Artículo 8)

• Información (Artículo 15)

• Calidad (Artículo 11)

• Finalidad (Artículo 12)

• Lealtad (Artículo 7 segundo párrafo)

• Proporcionalidad (Artículo 13)

• Responsabilidad

Artículo 6Artículo 6

El consentimiento no es necesario si:El consentimiento no es necesario si:

Así está previsto en una Ley.

Los datos consten en fuentes de acceso público.

Los datos personales se sometan a un procedimiento previo de disociación.

Es con el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable.

Existe una situación de emergencia que pueda dañar a un individuo en su persona o bienes.

Es indispensable para la atención médica, o asistencia sanitaria, sí el titular no esté en condiciones de hacerlo y su tratamiento se haga por una persona

sujeta al secreto profesional.

Se dicta resolución de autoridad competente.

Artículo 10Artículo 10 Excepciones al consentimientoExcepciones al consentimiento

Artículo 8Artículo 8 Consentimiento tácito y expreso y cuándo se requiere cada uno de ellosConsentimiento tácito y expreso y cuándo se requiere cada uno de ellos

Elementos del aviso de privacidad:Elementos del aviso de privacidad:

La identidad y domicilio del responsable que los recaba.

Finalidades del tratamiento de datos.

Opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos.

Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición, de conformidad con lo dispuesto en esta Ley.

Las transferencias de datos que se efectúen.

El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad, conforme a la Ley.


Artículo 15Artículo 15 Principio de información: aviso de privacidadPrincipio de información: aviso de privacidad

¿Quién los puede ejercer?El titular o su representante

(Artículo 22)

¿Quién los puede ejercer?El titular o su representante

(Artículo 22)

Acceso(Artículo 23)

Rectificación(Artículo 24)

Cancelación (Artículo 25)

Bloqueo: para efectos de responsabilidades

nacidas del tratamiento(Artículo 25)

Causales de improcedencia de la

cancelación(Artículo 26). Cuando:

Sea para el desarrollo y cumplimiento de un contrato

legal

Sea necesario para proteger intereses jurídicamente tutelados

del titular

Sea por disposición legal

Sea necesario para una acción de interés público

Sea necesario para cumplir con una obligación legalmente

adquirida por el titular

el t

rata

mie

nto

:el

tra

tam

ien

to:

la c

ance

laci

ónla

can

cela

ción Obstaculice actuaciones judiciales o

administrativas vinculadas a obligaciones fiscales, investigación y persecución de delitos o sanciones

administrativa.

Oposición(Artículo 27)

Los derechos no son mutuamente excluyentes(Artículo 22)

Los derechos no son mutuamente excluyentes(Artículo 22)

Requisitos de la solicitud de A,R,C,O(Artículo 29)

Requisitos de la solicitud de A,R,C,O(Artículo 29)

I. Nombre del titular y domicilio u otro medio de notificación

II. Documentos que acrediten identidad o representación legal

Atención por parte del RESPONSABLEAtención por parte del RESPONSABLE

III. Descripción clara y precisa de los DP respecto de los cuales se ejerce

IV. Cualquier otro elemento o documento que facilite la localización

de los DP

Artículo 31: Para el caso de rectificación (R), debe incluir las modificaciones a

realizarse y la documentación que sustente la petición

Debe designar a una persona o departamento de DP para atender

solicitudes A,R,C,O(Artículo 30)

Debe ATENDER la solicitud en dos tiempos:

(Artículo 32)

20 días para comunicar al titular

la determinación adoptada

15 días para hacer efectiva la

determinación adoptada

Ambos plazos se pueden ampliar por una vez¿Problema?


Causales para negativa del A, R, C O:

Cuando el solicitante no sea el titular de los datos personales, o el representante legal esté debidamente

acreditado para ello

Cuando exista un impedimento legal, o la resolución de una autoridad competente, que restrinja el A, R, C, O a

los datos personales

Cuando en su base datos no se encuentren los datos personales del solicitante

Cuando se lesionen los derechos a un tercero

Cuando la R, C O haya sido previamente realizada

Podrá ser parcial

Deberá estar justificada (informar el motivo de la

decisión) y aportar, “en su caso”, las pruebas

pertinentes.

Condiciones de la negativa del A, R, C O:

Negativa del A, R, C ONegativa del A, R, C O


La obligación de acceso se dará por cumplida cuando se pongan a disposición del titular los datos personales; o bien, mediante la expedición de copias simples, documentos electrónicos o cualquier otro medio que determine el responsable en el aviso de privacidad

En el caso de que el titular solicite el acceso a los datos a una persona que presume es el responsable y ésta resulta no serlo, bastará con que así se le indique al titular por cualquier de los medios a que se refiere el párrafo anterior, para tener por cumplida la solicitud.

Especificaciones para el Acceso (A)Especificaciones para el Acceso (A)


La entrega de los datos personales será gratuita, debiendo cubrir el titular únicamente los gastos justificados de envío o con el costo de reproducción en copias u otros formatos.

Cumplimiento de la obligaciónCumplimiento

de la obligación

CostosCostosNo obstante, si la misma persona reitera su solicitud en un período menor a doce meses, los costos no serán mayores a 3 días de SMGVDF, a menos que existan modificaciones sustanciales al avisode privacidad que motiven nuevas consultas.

Artículo 36: Cuando el responsable pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos del encargado, deberá comunicar a éstos el aviso de privacidad y las finalidades a las que el titular sujetó su tratamiento. El tratamiento de los datos se hará conforme a lo convenido en el aviso de privacidad, el cual contendrá una cláusula en la que se indique si el titular acepta o no la transferencia de sus datos, de igual manera, el tercero receptor, asumirá las mismas obligaciones que correspondan al responsable que transfirió los datos.

Es posible la transferencia sin el consentimiento del particular cuando:

• Esta prevista en la ley o un tratado

• Es necesaria por motivos médicos o sanitarios

• Es efectuada a sociedades controladoras, bajo el control del mismo grupo del responsable que opere bajo los mismas políticas internas;

• Es necesaria en razón de una contratación en interés del titular, por el responsable y un tercero;

• Es necesaria o legalmente exigida para la salvaguarda de un interés público, o la procuración o administración de justicia;

• Es necesaria para reconocer, ejercer o defender un derecho ante un proceso judicial;

• Es precisa para mantener y cumplir una relación judicial entre titular y responsable.

Artículo 37 Artículo 37

La expresión clara del contenido de la reclamación y de los preceptos de la

LFPDPPP que se consideran vulnerados

15 días después de la respuesta

Si no hay respuesta, una vez vencido el

plazo

¿Quién la puede interponer?El titular o su representante

¿Quién la puede interponer?El titular o su representante ¿Cuál es el plazo para interponerla?¿Cuál es el plazo para interponerla?

¿Problema? Se deberá acreditar la fecha de la solicitud

Naturaleza y procedencia del ACTO RECLAMADO

Naturaleza y procedencia del ACTO RECLAMADO

Artículo 45(Primera parte)

Artículo 45(Primera parte)

También procederá cuando

No se entreguen los datos solicitados

Se niegue a efectuar modificaciones o correcciones a los datos

Se entreguen en un formato incomprensible

El titular no esté conforme con la información entregada por considerar que

es incompleta o no corresponde.

Solicitud de protección de datos personalesSolicitud de protección de datos personales


¿Qué debe contener? REQUISITOS FORMALES

¿Qué debe contener? REQUISITOS FORMALES

Por escrito libre o a través de los formatos electrónicos que establezca el Instituto, la solicitud de protección deberá contener:

El nombre del titular o representante legal, en su caso, así como del tercero interesado,

si lo hay

El domicilio para recibir y oír notificaciones

El nombre del responsable

La fecha de la respuesta, salvo que se trate de un procedimiento por falta de respuesta

Solicitud de protección de datos personalesSolicitud de protección de datos personales

¿Problema?

Los actos que motivan la solicitud (acto reclamado)

Los demás elementos que se considere procedente hacer del conocimiento del

Instituto

“La forma y términos en que deba acreditarse la identidad del titular o

bien, la representación legal se establecerán en el Reglamento”

“La forma y términos en que deba acreditarse la identidad del titular o

bien, la representación legal se establecerán en el Reglamento”

Asimismo, a la solicitud de protección de datos deberá acompañarse la solicitud y la respuesta que se recurre o, en su caso, los

datos que permitan su identificación.

Recepción de la solicitud de protección de

datos en el IFAI

Artículo 45(Segunda parte)

Artículo 45(Segunda parte)

El IFAI corre traslado al

responsable

15 días tiene el responsable para emitir

respuesta al traslado, ofrecer pruebas y

manifestar lo que a su derecho convenga

El IFAI admite y desahoga las pruebas

Concluido el desahogo las pruebas, el IFAI

notifica al responsable para que presente

alegatos

5 días tiene el responsable para

presentar sus alegatos

El IFAI valora las pruebas, los elementos de convicción y ¿puede o debe? Celebrar

audiencia con las partes

Bosquejo del procedimientoBosquejo del procedimiento

El Instituto resuelve dentro de 50 días (con posibilidad

de una ampliación) (Artículo 47)

Suplencia de la queja

(Artículo 50) / Prevención (Artículo 49)

Conciliación(Artículo 54)

Las resoluciones serán:Las resoluciones serán:

- ImpugnablesPodrán ser impugnadas por juicios de

nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa

(Artículo 56)

- Públicas (parcialmente)Todas las resoluciones del Instituto serán

susceptibles de difundirse públicamente en versiones públicas, eliminando aquellas

referencias al titular de los datos(Artículo 57)

-Cumplidas-Dentro de los diez días hábiles siguientes a

s u notificación (Artículo 48)

Los titulares que consideren que han sufrido un daño o lesión en sus bienes o

derechos como consecuencia del incumplimiento a lo dispuesto en la

presente Ley por el responsable o encargado, podrán ejercer los derechos que

estimen pertinentes para efectos de la indemnización que proceda, en términos de las disposiciones legales correspondientes.

(Artículo 58)

Recepción de la solicitud de protección de

datos en el IFAI , por falta

de respuesta


El IFAI corre traslado al

responsable para que

acredite haber respondido

10 días tiene el responsable para acreditar haber

respondido en tiempo y forma a la solicitud, o dar

respuesta a la misma

En caso de que la respuesta atienda a lo solicitado, la solicitud de protección de

datos se consideraráimprocedente y se

sobreseerá el asunto.

Procedimiento de falta de respuestaProcedimiento de falta de respuesta

En caso de que se compruebe que no hay respuesta atienda a lo

solicitado, la resolución instruirá la entrega de la misma, sin costo para el

titular.

Procederá cuando:1.Se de el incumplimiento a

las resoluciones dictadas con motivo de procedimientos de

protección de derechos o2.Se presuma fundada y

motivadamente la existencia de violaciones a la presente

ley.

Facultad del Instituto: Verificar el cumplimiento de la Ley y de la normatividad

que se derive de la misma(Artículo 59)

Facultad del Instituto: Verificar el cumplimiento de la Ley y de la normatividad

que se derive de la misma(Artículo 59)

A petición de parte

A petición de parte

Procedimiento de verificación(Artículo 60)

El Instituto tendrá acceso a la información y documentación que considere necesarias, de

acuerdo con la resolución que lo motive

Los servidores públicos deberán guardar confidencialidad sobre la información que

conozcan en los procedimientos de verificación.

De oficioDe oficio

“El Reglamento desarrollara la forma, términos y plazos en que se

sustanciará el procedimiento”

“El Reglamento desarrollara la forma, términos y plazos en que se

sustanciará el procedimiento”

Si con motivo de esos dos procedimientos, el Instituto tuviera conocimiento de un

presunto incumplimiento de alguno de los principios o disposiciones de la Ley, se iniciará un procedimiento de sanción.

(Artículo 60)

Si con motivo de esos dos procedimientos, el Instituto tuviera conocimiento de un

presunto incumplimiento de alguno de los principios o disposiciones de la Ley, se iniciará un procedimiento de sanción.

(Artículo 60)

Procedimiento de verificaciónProcedimiento de verificación

Procedimiento de sanción

(Artículo 62)

Protección de derechos

Protección de derechos

Notificación al presunto infractor

15 días tendrá el presunto infractor para ofrecer

pruebas y manifestar lo que a su derecho convenga

En caso de no haber pruebas, el Instituto

resolverá con base en los elementos de convicción que

disponga

El Instituto admitirá las

pruebas y procederá a su

desahogo.

5 días tendrá el presunto

infractor para ofrecer alegatos

El IFAI valora las pruebas, los elementos de

convicción y formulará una resolución

El Instituto resuelve dentro de 50 días

(con posibilidad de ampliación)

“El Reglamento desarrollara la forma, términos y plazos en que se sustanciará el

procedimiento, incluyendo presentación de pruebas y alegatos, la celebración de audiencias y el cierre de instrucción”

“El Reglamento desarrollara la forma, términos y plazos en que se sustanciará el

procedimiento, incluyendo presentación de pruebas y alegatos, la celebración de audiencias y el cierre de instrucción”

No cumplir con la solicitud A, R, C O sin razón fundada

Declarar dolosamente la inexistencia de los datos personales cuando obren total o parcialmente en

sus bases de datos

Actuar con negligencia o dolo en la tramitación de solicitudes A, R, C, O

Dar tratamiento en contravención a los principios

Omitir el aviso de privacidad o alguno de sus elementos

Mantener datos inexactos cuando resulte imputable al responsable, o no efectuar R o C

cuando procedan legalmente

No cumplir con el apercibimiento a que se refiere la fracción I del artículo 64 de la Ley

Artículo 63. Son infracciones a la Ley, las siguientes conductas llevadas a cabo por el

responsable:

Artículo 63. Son infracciones a la Ley, las siguientes conductas llevadas a cabo por el

responsable:

Artículo 64. Las infracciones a la presente Ley serán sancionadas por el Instituto con:

Artículo 64. Las infracciones a la presente Ley serán sancionadas por el Instituto con:

Apercibimiento

Multa de 100 a 160,000 días de SMGVDF

Incumplir el deber de confidencialidad del artículo 21

Cambiar la finalidad del tratamiento de los DP, sin observar a lo dispuesto en el artículo 12.

Transferir datos a terceros sin comunicar a éstos el aviso de privacidad

Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al

responsable

Llevar a cabo transferencias o cesiones de bases de datos fuera de los casos permitidos

Recabar o transferir datos sin el consentimiento expreso del titular, en los casos en que éste sea

exigible

Recabar datos en forma engañosa y fraudulenta

Obstruir los actos de verificación de la autoridad

Continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del

mismo por el Instituto o los titularesTratar los datos personales de manera que se afecte o se impida el ejercicio de los derechos

ARCO

Cualquier incumplimiento del responsable a las obligaciones establecidas a su cargo en términos de

la Ley.

Crear bases de datos en contravención a lo dispuesto en el artículo 9, párrafo 2

Multa de 200 a 320,000 días de SMGVDF

Por si fuera poco…Por si fuera poco…

En caso de que de manera reiterada persistan las infracciones, se impondrá una multa adicional de

100 a 320,000 días de SMGVDF.

“En tratándose” de infracciones cometidas en el tratamiento de datos sensibles, las sanciones

podrán incrementarse hasta por dos veces

$57.46

SMGVDFSMGVDF

100 SMGVDF = $5746100 SMGVDF = $5746

200 SMGVDF = $11492200 SMGVDF = $11492

160,000 SMGVDF = $9’193,600160,000 SMGVDF = $9’193,600

320,000 SMGVDF = $18’387,200320,000 SMGVDF = $18’387,200

640,000 SMGVDF = $36’744,400640,000 SMGVDF = $36’744,400

1280,000 SMGVDF = $73’548,8001280,000 SMGVDF = $73’548,800

Provocar una vulneración de seguridad a las bases de datos bajo su custodia.

Lucrar indebidamente con datos personales ya sea por engaño o error del

titular

Artículo 67

Artículo 67

Artículo 68

Artículo 68

3 meses a 3 años de prisión 6 meses a 5 años de prisión

* Tratándose de datos sensibles la sanción se duplica

TransitoriosTransitorios

Un año para nombrar a encargado o departamento de datos personales y expedir avisos de privacidad

Un año para emitir el Reglamento

18 meses para que los particulares puedan ejercer derechos ARCO

Se abrogan las disposiciones locales y todas las que se opongan a la presente Ley

protección de datos personales: el nuevo reto · ylos avances en las ti y sus implicaciones para...

Documents