protección de datos personales: el nuevo reto · ylos avances en las ti y sus implicaciones para...
TRANSCRIPT
Protección de Datos Personales: el nuevo reto
Ángel Trinidad ZaldívarComisionado
Diciembre 2010
Contenido
I. Antecedentes
II. Jurisprudencia
III. AmenazasI. Adultos
II. Menores
IV. Anexo - LFPDPPP
¿Qué son los datos personales?
Cualquier información concerniente a una persona física identificada o identificable.
Ley Federal de Transparencia y Acceso a la Información Pública gubernamental y Ley Federal de Protección de Datos Personales en Posesión de Particulares
“…entre otra, la relativa a su origen étnico o racial, o que estéreferida a las características físicas, morales o emocionales, a su vida afectiva y familiar, domicilio, número telefónico, patrimonio, ideología y opiniones políticas, creencias o convicciones religiosas o filosóficas, los estados de salud físicos o mentales, las preferencias sexuales, u otras análogas que afecten su intimidad.” (redacción anterior)
Antecedentes
1819 - Benjamín Constant: Mientras los antiguos gozaban del derecho a intervenir en los asuntos públicos, pero carecían de libertades en el orden individual, los modernos afirman que la libertad se compone de la independencia privada.
1888 – Thomas Cooley : Derecho a ser dejado solo (Right to be let alone)
1890 – Warren y Brandeis: Derecho a la privacidad (Right to privacy)
Sentencia de Tribunal Constitucional (España)
254/1993 – No es posible aceptar que el derecho fundamental a la intimidad agota su contenido en facultades puramente negativas, de exclusión.
Orígenes
Los avances en las TI y sus implicaciones para la vida de las personas dieron origen a un derecho distinto, relacionado con la protección de los datos personales (PDP).
Concepto de Intimidad
Orígenes II (Repercusiones Jurídicas)
1967 - Consejo de Europa: “Comisión Consultiva para estudiar las tecnologías de información y su potencial agresividad a los derechos de la persona”.1968 - Resolución 509 de CE: “Derechos Humanos y nuevos logros científicos y técnicos.1981 – Convenio 108 de CE: Protección de las personas con respecto al tratamiento automatizado de los datos de carácter personal.1995 - Directiva 95/46/CE sobre protección de personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos.
Orígenes III (Repercusiones Constitucionales)
Constitución Española 1978, art. 18.4: “La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.Constitución Perú art. 2.6: “Toda persona tiene derecho a que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad”.Constitución Venezuela, art. 60: “…La ley limitaráel uso de la informática”.
Antecedentes en México
2002 – LFTAIPG
о Reconoce la protección de datos. Limitado al sector público.
2007 – Reforma 6º Constitucional
Reconoce el derecho a la protección de datos en el ámbito público.
2008 – Reforma 73 Constitucional
Dota de facultades expresas al Congreso Federal para expedir una ley de protección de datos en posesión de los particulares.
2008 – Reforma 16 Constitucional
Introduce el derecho a la protección de datos personales como un derecho autónomo e independiente
2010 – LFPDPPP
PrincipiosPrincipios
Resoluciones Judiciales
Tribunal Constitucional Federal AlemánSentencia 15 Dic. 1983
Tribunal Constitucional Español)Sentencia 11/1998Sentencias 290/2000 y 292/2000Sentencia 19 sept. 2008
SCJNAcción de inconstitucionalidad 25/2004Amparo Directo 2044/2008
Tribunal Constitucional Alemán
Principio de autodeterminación informativa (Westin)
“La proliferación de centros de datos ha permitido, gracias a los avances tecnológicos, producir una imagen total y pormenorizada de la persona respectiva –un perfil de la personalidad-, incluso en el ámbito de su intimidad, convirtiéndose así el ciudadano en un hombre de cristal”
Tribunal Constitucional Español
Tribunal Constitucional Español)Sentencia 11/1998
La garantía de la intimidad lato sensu, adopta hoy un entendimiento positivo que se traduce en un derecho de control sobre los datos relativos a la propia persona
Sentencias 290/2000 y 292/2000..garantizar un poder de control sobre sus datos personales…no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, sino los datos de carácter personal.
Sentencia 19 sept. 2008Apostasía
Suprema Corte de Justicia de la Nación (México)
SCJNAcción de inconstitucionalidad 25/2004
VS Ley transparencia de Nuevo León. Publicidad de juicios. “La audiencia pública debe considerarse extensible a todos los procedimientos de orden jurisdiccional de cualquier naturaleza” aunque sólo se mencione para penal y político.Con la publicidad no sólo el acto jurisdiccional puede ser juzgado socialmente, sino que, exponiendo su conducta a la crítica, les será más difícil actuar arbitrariamente
Amparo Directo 2044/2008“Las personas que ocupan puestos públicos están sometidos a escrutinios públicos intensos, lo cual implica una disminución natural de lo que puede considerarse incluido en su esfera privada”
Amenazas (debido a TI)
Adultos Robo de identidad
Abuso de confianza
Fraude
Extorsión
Secuestro
MenoresPornografía
Abuso de confianza
Ciberbullying
Universo
México 28 millones de usuarios en internet
52 % de computadoras adquiridas para el hogar
6 de cada 10 jóvenes entre 12 y 19 años son usuarios
5 de cada 10 entre 20 y 24 años son usuarios
El 50% de los usuarios lo hace en el hogar, 34% en Café y 20% en trabajo.
Ha crecido el riesgo digital
Antes de la Era digital el
acceso a expedientes
era complejo y difícil.
Las TI han eliminado esa dificultad
Tarjetas de Crédito
Verizon: 98% de información robada es de TC.
Symantec: 73% - Numero de seguridad, No. de tarjeta, fechas de expiración, PIN, domicilio tarjetahabiente
Otra: numero de seguridad social, numero de tel, dirección de e-mail
Caso TJX
46 millones de tarjetas de crédito robadas
Mayor robo de datos personales hasta la fecha.
Se introdujeron en el sistema de una red local inalámbrica
TJX recogía demasiada información y la almacenaba mucho tiempo
No actualizó sus sistemas de seguridad
Information Black Market
Captured IRC
<VzB> Hey bro, you here? <Skult> ? <VzB> Im interested in buying your dumps <Skult> Not selling individually, only bulk+ POS terminal <VzB> Really? How much is bulk? <Skult> $60K usd for each pos <VzB> whoah, ok. Listen I do make large buys sometimes, but that takes a lot of trust. Plus I cant exactly send you a WU for that much money. If we did a deal I would need to see some proof of what you have. Plus I will ask you somethings to confirm you even know what your talking about. I see a lot of rippers, especially here on IRC
<VzB> You said in your ad you have 27 POS, which kind are they then? <Skult> Just locations, I wont say what kind they are :> <VzB> Fair enough. What kind of traffic are they? High /low? <Skult> Very high, they are restaurant servers very very good locations
<VzB> How many dumps from each POS bro and is there T2/pins? <Skult> too many to count : > Pins if I have them I do not sell
<VzB> Ok cool.
Abuso
Cinco empleados o contratistas quienes accedieron a registros electrónicos de pasaportes sin permiso. Si el acceso no fue autorizado,podría violar leyes criminales relativas a fraudes y abuso con computadoras.
El Inspector General encargado del caso encontró que los archivos incluían a 150 políticos, artistas y atletas; 127 de esos expedientes habían sido accedidos al menos una vez entre septiembre de 2002 y marzo de 2008.
Esos 127 expedientes de pasaportes fueron accedidos un total de 4,148 veces en el periodo. El pasaporte de una persona fue buscado 356 veces por 77 usuarios distintos.
El Senado norteamericano busca persecución criminal a espías de Pasaportes 10-Jul-2008
http://www.pcworld.com/businesscenter/article/148173/senators_want_criminal_prosecutions_of_passport_snoopers.html
Abuso + Robo de identidad + Fraude
Un ex contratista del ejército de los Estados Unidos se declaró culpable de exceder el acceso autorizado a una computadora y robo agravado de identidad, después de ser acusado de vender nombres y números de seguro social de 17,000 empleados del ejército, indicó el Departamento de Justicia de los Estados Unidos
Contratista de servicios de cómputo en el sector militar condenado por cargo de robo de identidad 02-May-2008
http://www.cio.com/article/346663/Military_Computer_Contractor_Convicted_on_ID_Theft_Charges
Distribución masiva de malware + Técnicas de incursión en redes inalámbricas vulnerables + Robo de identidad + Fraude
Casi 50% de los comerciantes minoristas han sido víctimas de alguna clase de ataque a su seguridad de información. Sólo un pequeño porcentaje de estos ataques han sido reportados a sus clientes
En la cadena de supermercados Hannaford Bros, se estima que los criminales robaron 4.2 millones de números de cuenta de las computadoras atacadas
En 2006, ladrones de datos tuvieron acceso a 94 millones de números de tarjetas (robaron 46) de pago vía el acceso no autorizado a los sistemas de la cadena TJX. El minorista debió crear un fondo de 107 millones de dólares para cubrir las demandas de los emisores de tarjetas.
La mayoría de las fallas de seguridad de los comercios minoristas no se revelan, según la firma de investigación Gartner25-May-2008
http://www.cso.com.au/index.php/id;1397175505
Distribución masiva de malware + Extorsión
Autoridades Rusas encarcelaron a una banda que extorsionó a compañías de apuestas en líneas a través de ataques de “negación de servicio” (DDoS)
Casinos Online y sitios de apuestas fueron atacados por el grupo, quienes usaron computadoras “zombie” para lanzar ataques de negación del servicio
Se dice que la banda logró extorsionar por más de 4 millones de dólares de empresas británicas después de amenazarlos con ataques a sus sitios web, haciéndolos inaccesibles al mundo exterior
Una banda de extorsionadores en línea de origen ruso fueron encarcelados por un fraude de 4 millones de dólares a sitios de apuestas 05-Oct-2006 Sophos Labs
http://www.sophos.com/pressoffice/news/articles/2006/10/extort-ddos-blackmail.html
Distribución masiva de malware + Vandalismo
Podrían usar el método usado durante una “guerra” de dos semanas contra Estonia en 2007 en el que hackers derribaron los sitios web de bancos, instituciones de gobierno y partidos políticos usando ataques de “negación de servicio” (DoS), a través de olas masivas de requerimientos y accesos a sus sitios web.
Hackers advierten a las cadenas comerciales en Londres 25Hackers advierten a las cadenas comerciales en Londres 25--AbrAbr--2008 BBC News2008 BBC News
http://news.bbc.co.uk/2/hi/technology/7366995.stm
Distribución masiva de malware + Terrorismo
En Mayo de 2007, la nación Báltica experimentó una serie de ataques de “negación de servicio” (DoS) como resultado de una desición del gobierno de reubicar la estatua rusa de “personas desconocidas”asesinadas durante la segunda guerra mundial
En Estonia, país reconocido por su alto nivel de servicios en línea, ataques de negación de servicio (DoS) derribaron los servicios de acceso a Internet y bloquearon la posibilidad de comprar alimentos, combustibles o realizar transacciones bancarias por muchos días
Estonia establece su estrategia de cyberseuridad 02Estonia establece su estrategia de cyberseuridad 02--OctOct--2008 Robert Vamosi2008 Robert Vamosi
http://news.cnet.com/8301-1009_3-10056893-83.html
Amenazas para MenoresHábitos de Navegación
En relación al MSN, 75% de los adolescentes de 15 a 18 años aceptan a desconocidos, mientras que lo hace el 18% de los niños y niñas entre 9 y 11 años.
45,3% de niños, niñas y adolescentes tienen la computadora en su habitación. No reciben supervisión de adultos.
30% publica datos personales (dirección de su casa, teléfono, nombre de la escuela) en su fotolog o página personal.
32% abre correos con archivos adjuntos enviados por desconocidos.
Chatear con gente desconocida
El 49% de la muestra consideró que no es peligroso chatear con gente que no conoce.
Fuente: Chic@s y Tecnología: ¿Una interacción sin riesgos? Usos y costumbres de niñas, niños y adolescentes en relación a las Nuevas Tecnologías de la información y la Comunicación, Chicos.net A.C., Save the Children, y Ecpat, junio 2009.
Ir a una cita con una persona que conociópor Internet
43% no considera peligroso ir a una cita con una persona que se conoció en Internet o por mensaje de texto en el celular.
Fuente: Chicos y Tecnología: ¿Una interacción sin riesgos? Usos y costumbres de niñas, niños y adolescentes en relación a las Nuevas Tecnologías de la información y la Comunicación, Chicos.net A.C., Save the Children, y Ecpat, junio 2009.
56% ya se encontraron con amigos virtuales y 65% fueron al encuentro solos (Brasil)
Aceptar o agregar desconocidos en su MSN
El 48% no percibe peligrosidad al aceptar desconocidos en su MSN.
Fuente: Chic@s y Tecnología: ¿Una interacción sin riesgos? Usos y costumbres de niñas, niños y adolescentes en relación a las Nuevas Tecnologías de la información y la Comunicación, Chicos.net A.C., Save the Children, y Ecpat, junio 2009.
32% manifiesta que, a veces, entra a sitios con contenido únicamente para adultos (este porcentaje aumenta a medida que se avanza en edad).37% usa la webcam para conocer y que lo conozcan personas nuevas, comportamiento más acentuado en los adolescentes de 12 a 18 años. 48% en la franja de 15 a 18 años agregan a desconocidos en el MSN. 42,3% de los de 12 a 14 años y el 17% de 9 a 11 años.36% de adolescentes entre 12 y 18 años afirma que publica fotos suyas en poses provocativas.
Publicar fotos de otros sin su consentimiento
El 50% no considera que sea peligroso publicar fotos de otras personas sin su permiso.
Fuente: Chic@s y Tecnología: ¿Una interacción sin riesgos? Usos y costumbres de niñas, niños y adolescentes en relación a las Nuevas Tecnologías de la información y la Comunicación, Chicos.net A.C., Save the Children, y Ecpat, junio 2009.
Sujetos obligados de la Ley: Personas físicas o morales particulares que lleven a cabo el tratamiento de datos personales, excepto:
Las sociedades de información crediticia
Las personas que lleven a cabo la recolección y almacenamiento de datos personales sin fines de divulgación o utilización comercial.
(Artículo 2)
Limites a los principios y derechos previstos en la Ley: Seguridad nacional, el orden, seguridad y salud publica así como los derechos de terceros. (Artículo 4)
• Licitud (Artículo 7, primer párrafo)
• Consentimiento (Artículo 8)
• Información (Artículo 15)
• Calidad (Artículo 11)
• Finalidad (Artículo 12)
• Lealtad (Artículo 7 segundo párrafo)
• Proporcionalidad (Artículo 13)
• Responsabilidad
Artículo 6Artículo 6
El consentimiento no es necesario si:El consentimiento no es necesario si:
Así está previsto en una Ley.
Los datos consten en fuentes de acceso público.
Los datos personales se sometan a un procedimiento previo de disociación.
Es con el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable.
Existe una situación de emergencia que pueda dañar a un individuo en su persona o bienes.
Es indispensable para la atención médica, o asistencia sanitaria, sí el titular no esté en condiciones de hacerlo y su tratamiento se haga por una persona
sujeta al secreto profesional.
Se dicta resolución de autoridad competente.
Artículo 10Artículo 10 Excepciones al consentimientoExcepciones al consentimiento
Artículo 8Artículo 8 Consentimiento tácito y expreso y cuándo se requiere cada uno de ellosConsentimiento tácito y expreso y cuándo se requiere cada uno de ellos
Elementos del aviso de privacidad:Elementos del aviso de privacidad:
La identidad y domicilio del responsable que los recaba.
Finalidades del tratamiento de datos.
Opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos.
Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición, de conformidad con lo dispuesto en esta Ley.
Las transferencias de datos que se efectúen.
El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad, conforme a la Ley.
Artículo 16Artículo 16
Artículo 15Artículo 15 Principio de información: aviso de privacidadPrincipio de información: aviso de privacidad
¿Quién los puede ejercer?El titular o su representante
(Artículo 22)
¿Quién los puede ejercer?El titular o su representante
(Artículo 22)
Acceso(Artículo 23)
Rectificación(Artículo 24)
Cancelación (Artículo 25)
Bloqueo: para efectos de responsabilidades
nacidas del tratamiento(Artículo 25)
Causales de improcedencia de la
cancelación(Artículo 26). Cuando:
Sea para el desarrollo y cumplimiento de un contrato
legal
Sea necesario para proteger intereses jurídicamente tutelados
del titular
Sea por disposición legal
Sea necesario para una acción de interés público
Sea necesario para cumplir con una obligación legalmente
adquirida por el titular
el t
rata
mie
nto
:el
tra
tam
ien
to:
la c
ance
laci
ónla
can
cela
ción Obstaculice actuaciones judiciales o
administrativas vinculadas a obligaciones fiscales, investigación y persecución de delitos o sanciones
administrativa.
Oposición(Artículo 27)
Los derechos no son mutuamente excluyentes(Artículo 22)
Los derechos no son mutuamente excluyentes(Artículo 22)
Requisitos de la solicitud de A,R,C,O(Artículo 29)
Requisitos de la solicitud de A,R,C,O(Artículo 29)
I. Nombre del titular y domicilio u otro medio de notificación
II. Documentos que acrediten identidad o representación legal
Atención por parte del RESPONSABLEAtención por parte del RESPONSABLE
III. Descripción clara y precisa de los DP respecto de los cuales se ejerce
IV. Cualquier otro elemento o documento que facilite la localización
de los DP
Artículo 31: Para el caso de rectificación (R), debe incluir las modificaciones a
realizarse y la documentación que sustente la petición
Debe designar a una persona o departamento de DP para atender
solicitudes A,R,C,O(Artículo 30)
Debe ATENDER la solicitud en dos tiempos:
(Artículo 32)
20 días para comunicar al titular
la determinación adoptada
15 días para hacer efectiva la
determinación adoptada
Ambos plazos se pueden ampliar por una vez¿Problema?
Artículo 34Artículo 34
Causales para negativa del A, R, C O:
Cuando el solicitante no sea el titular de los datos personales, o el representante legal esté debidamente
acreditado para ello
Cuando exista un impedimento legal, o la resolución de una autoridad competente, que restrinja el A, R, C, O a
los datos personales
Cuando en su base datos no se encuentren los datos personales del solicitante
Cuando se lesionen los derechos a un tercero
Cuando la R, C O haya sido previamente realizada
Podrá ser parcial
Deberá estar justificada (informar el motivo de la
decisión) y aportar, “en su caso”, las pruebas
pertinentes.
Condiciones de la negativa del A, R, C O:
Negativa del A, R, C ONegativa del A, R, C O
Artículo 33Artículo 33
La obligación de acceso se dará por cumplida cuando se pongan a disposición del titular los datos personales; o bien, mediante la expedición de copias simples, documentos electrónicos o cualquier otro medio que determine el responsable en el aviso de privacidad
En el caso de que el titular solicite el acceso a los datos a una persona que presume es el responsable y ésta resulta no serlo, bastará con que así se le indique al titular por cualquier de los medios a que se refiere el párrafo anterior, para tener por cumplida la solicitud.
Especificaciones para el Acceso (A)Especificaciones para el Acceso (A)
Artículo 35Artículo 35
La entrega de los datos personales será gratuita, debiendo cubrir el titular únicamente los gastos justificados de envío o con el costo de reproducción en copias u otros formatos.
Cumplimiento de la obligaciónCumplimiento
de la obligación
CostosCostosNo obstante, si la misma persona reitera su solicitud en un período menor a doce meses, los costos no serán mayores a 3 días de SMGVDF, a menos que existan modificaciones sustanciales al avisode privacidad que motiven nuevas consultas.
Artículo 36: Cuando el responsable pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos del encargado, deberá comunicar a éstos el aviso de privacidad y las finalidades a las que el titular sujetó su tratamiento. El tratamiento de los datos se hará conforme a lo convenido en el aviso de privacidad, el cual contendrá una cláusula en la que se indique si el titular acepta o no la transferencia de sus datos, de igual manera, el tercero receptor, asumirá las mismas obligaciones que correspondan al responsable que transfirió los datos.
Es posible la transferencia sin el consentimiento del particular cuando:
• Esta prevista en la ley o un tratado
• Es necesaria por motivos médicos o sanitarios
• Es efectuada a sociedades controladoras, bajo el control del mismo grupo del responsable que opere bajo los mismas políticas internas;
• Es necesaria en razón de una contratación en interés del titular, por el responsable y un tercero;
• Es necesaria o legalmente exigida para la salvaguarda de un interés público, o la procuración o administración de justicia;
• Es necesaria para reconocer, ejercer o defender un derecho ante un proceso judicial;
• Es precisa para mantener y cumplir una relación judicial entre titular y responsable.
Artículo 37 Artículo 37
La expresión clara del contenido de la reclamación y de los preceptos de la
LFPDPPP que se consideran vulnerados
15 días después de la respuesta
Si no hay respuesta, una vez vencido el
plazo
¿Quién la puede interponer?El titular o su representante
¿Quién la puede interponer?El titular o su representante ¿Cuál es el plazo para interponerla?¿Cuál es el plazo para interponerla?
¿Problema? Se deberá acreditar la fecha de la solicitud
Naturaleza y procedencia del ACTO RECLAMADO
Naturaleza y procedencia del ACTO RECLAMADO
Artículo 45(Primera parte)
Artículo 45(Primera parte)
También procederá cuando
No se entreguen los datos solicitados
Se niegue a efectuar modificaciones o correcciones a los datos
Se entreguen en un formato incomprensible
El titular no esté conforme con la información entregada por considerar que
es incompleta o no corresponde.
Solicitud de protección de datos personalesSolicitud de protección de datos personales
Artículo 46Artículo 46
¿Qué debe contener? REQUISITOS FORMALES
¿Qué debe contener? REQUISITOS FORMALES
Por escrito libre o a través de los formatos electrónicos que establezca el Instituto, la solicitud de protección deberá contener:
El nombre del titular o representante legal, en su caso, así como del tercero interesado,
si lo hay
El domicilio para recibir y oír notificaciones
El nombre del responsable
La fecha de la respuesta, salvo que se trate de un procedimiento por falta de respuesta
Solicitud de protección de datos personalesSolicitud de protección de datos personales
¿Problema?
Los actos que motivan la solicitud (acto reclamado)
Los demás elementos que se considere procedente hacer del conocimiento del
Instituto
“La forma y términos en que deba acreditarse la identidad del titular o
bien, la representación legal se establecerán en el Reglamento”
“La forma y términos en que deba acreditarse la identidad del titular o
bien, la representación legal se establecerán en el Reglamento”
Asimismo, a la solicitud de protección de datos deberá acompañarse la solicitud y la respuesta que se recurre o, en su caso, los
datos que permitan su identificación.
Recepción de la solicitud de protección de
datos en el IFAI
Artículo 45(Segunda parte)
Artículo 45(Segunda parte)
El IFAI corre traslado al
responsable
15 días tiene el responsable para emitir
respuesta al traslado, ofrecer pruebas y
manifestar lo que a su derecho convenga
El IFAI admite y desahoga las pruebas
Concluido el desahogo las pruebas, el IFAI
notifica al responsable para que presente
alegatos
5 días tiene el responsable para
presentar sus alegatos
El IFAI valora las pruebas, los elementos de convicción y ¿puede o debe? Celebrar
audiencia con las partes
Bosquejo del procedimientoBosquejo del procedimiento
El Instituto resuelve dentro de 50 días (con posibilidad
de una ampliación) (Artículo 47)
Suplencia de la queja
(Artículo 50) / Prevención (Artículo 49)
Conciliación(Artículo 54)
Las resoluciones serán:Las resoluciones serán:
- ImpugnablesPodrán ser impugnadas por juicios de
nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa
(Artículo 56)
- Públicas (parcialmente)Todas las resoluciones del Instituto serán
susceptibles de difundirse públicamente en versiones públicas, eliminando aquellas
referencias al titular de los datos(Artículo 57)
-Cumplidas-Dentro de los diez días hábiles siguientes a
s u notificación (Artículo 48)
Los titulares que consideren que han sufrido un daño o lesión en sus bienes o
derechos como consecuencia del incumplimiento a lo dispuesto en la
presente Ley por el responsable o encargado, podrán ejercer los derechos que
estimen pertinentes para efectos de la indemnización que proceda, en términos de las disposiciones legales correspondientes.
(Artículo 58)
Recepción de la solicitud de protección de
datos en el IFAI , por falta
de respuesta
Artículo 55Artículo 55
El IFAI corre traslado al
responsable para que
acredite haber respondido
10 días tiene el responsable para acreditar haber
respondido en tiempo y forma a la solicitud, o dar
respuesta a la misma
En caso de que la respuesta atienda a lo solicitado, la solicitud de protección de
datos se consideraráimprocedente y se
sobreseerá el asunto.
Procedimiento de falta de respuestaProcedimiento de falta de respuesta
En caso de que se compruebe que no hay respuesta atienda a lo
solicitado, la resolución instruirá la entrega de la misma, sin costo para el
titular.
Procederá cuando:1.Se de el incumplimiento a
las resoluciones dictadas con motivo de procedimientos de
protección de derechos o2.Se presuma fundada y
motivadamente la existencia de violaciones a la presente
ley.
Facultad del Instituto: Verificar el cumplimiento de la Ley y de la normatividad
que se derive de la misma(Artículo 59)
Facultad del Instituto: Verificar el cumplimiento de la Ley y de la normatividad
que se derive de la misma(Artículo 59)
A petición de parte
A petición de parte
Procedimiento de verificación(Artículo 60)
El Instituto tendrá acceso a la información y documentación que considere necesarias, de
acuerdo con la resolución que lo motive
Los servidores públicos deberán guardar confidencialidad sobre la información que
conozcan en los procedimientos de verificación.
De oficioDe oficio
“El Reglamento desarrollara la forma, términos y plazos en que se
sustanciará el procedimiento”
“El Reglamento desarrollara la forma, términos y plazos en que se
sustanciará el procedimiento”
Si con motivo de esos dos procedimientos, el Instituto tuviera conocimiento de un
presunto incumplimiento de alguno de los principios o disposiciones de la Ley, se iniciará un procedimiento de sanción.
(Artículo 60)
Si con motivo de esos dos procedimientos, el Instituto tuviera conocimiento de un
presunto incumplimiento de alguno de los principios o disposiciones de la Ley, se iniciará un procedimiento de sanción.
(Artículo 60)
Procedimiento de verificaciónProcedimiento de verificación
Procedimiento de sanción
(Artículo 62)
Protección de derechos
Protección de derechos
Notificación al presunto infractor
15 días tendrá el presunto infractor para ofrecer
pruebas y manifestar lo que a su derecho convenga
En caso de no haber pruebas, el Instituto
resolverá con base en los elementos de convicción que
disponga
El Instituto admitirá las
pruebas y procederá a su
desahogo.
5 días tendrá el presunto
infractor para ofrecer alegatos
El IFAI valora las pruebas, los elementos de
convicción y formulará una resolución
El Instituto resuelve dentro de 50 días
(con posibilidad de ampliación)
“El Reglamento desarrollara la forma, términos y plazos en que se sustanciará el
procedimiento, incluyendo presentación de pruebas y alegatos, la celebración de audiencias y el cierre de instrucción”
“El Reglamento desarrollara la forma, términos y plazos en que se sustanciará el
procedimiento, incluyendo presentación de pruebas y alegatos, la celebración de audiencias y el cierre de instrucción”
No cumplir con la solicitud A, R, C O sin razón fundada
Declarar dolosamente la inexistencia de los datos personales cuando obren total o parcialmente en
sus bases de datos
Actuar con negligencia o dolo en la tramitación de solicitudes A, R, C, O
Dar tratamiento en contravención a los principios
Omitir el aviso de privacidad o alguno de sus elementos
Mantener datos inexactos cuando resulte imputable al responsable, o no efectuar R o C
cuando procedan legalmente
No cumplir con el apercibimiento a que se refiere la fracción I del artículo 64 de la Ley
Artículo 63. Son infracciones a la Ley, las siguientes conductas llevadas a cabo por el
responsable:
Artículo 63. Son infracciones a la Ley, las siguientes conductas llevadas a cabo por el
responsable:
Artículo 64. Las infracciones a la presente Ley serán sancionadas por el Instituto con:
Artículo 64. Las infracciones a la presente Ley serán sancionadas por el Instituto con:
Apercibimiento
Multa de 100 a 160,000 días de SMGVDF
Incumplir el deber de confidencialidad del artículo 21
Cambiar la finalidad del tratamiento de los DP, sin observar a lo dispuesto en el artículo 12.
Transferir datos a terceros sin comunicar a éstos el aviso de privacidad
Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al
responsable
Llevar a cabo transferencias o cesiones de bases de datos fuera de los casos permitidos
Recabar o transferir datos sin el consentimiento expreso del titular, en los casos en que éste sea
exigible
Recabar datos en forma engañosa y fraudulenta
Obstruir los actos de verificación de la autoridad
Continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del
mismo por el Instituto o los titularesTratar los datos personales de manera que se afecte o se impida el ejercicio de los derechos
ARCO
Cualquier incumplimiento del responsable a las obligaciones establecidas a su cargo en términos de
la Ley.
Crear bases de datos en contravención a lo dispuesto en el artículo 9, párrafo 2
Multa de 200 a 320,000 días de SMGVDF
Por si fuera poco…Por si fuera poco…
En caso de que de manera reiterada persistan las infracciones, se impondrá una multa adicional de
100 a 320,000 días de SMGVDF.
“En tratándose” de infracciones cometidas en el tratamiento de datos sensibles, las sanciones
podrán incrementarse hasta por dos veces
$57.46
SMGVDFSMGVDF
100 SMGVDF = $5746100 SMGVDF = $5746
200 SMGVDF = $11492200 SMGVDF = $11492
160,000 SMGVDF = $9’193,600160,000 SMGVDF = $9’193,600
320,000 SMGVDF = $18’387,200320,000 SMGVDF = $18’387,200
640,000 SMGVDF = $36’744,400640,000 SMGVDF = $36’744,400
1280,000 SMGVDF = $73’548,8001280,000 SMGVDF = $73’548,800
Provocar una vulneración de seguridad a las bases de datos bajo su custodia.
Lucrar indebidamente con datos personales ya sea por engaño o error del
titular
Artículo 67
Artículo 67
Artículo 68
Artículo 68
3 meses a 3 años de prisión 6 meses a 5 años de prisión
* Tratándose de datos sensibles la sanción se duplica
TransitoriosTransitorios
Un año para nombrar a encargado o departamento de datos personales y expedir avisos de privacidad
Un año para emitir el Reglamento
18 meses para que los particulares puedan ejercer derechos ARCO
Se abrogan las disposiciones locales y todas las que se opongan a la presente Ley