protección de datos personales en méxico - gob.mx€¦ · ... persona física o moral de...
TRANSCRIPT
Protección de datos
personales en México
Septiembre 2010
Contenido de la exposición
I. Generalidades del derecho a la protección de datos
II. El derecho a la protección de datos en México
• Normatividad federal
• Normatividad estatal
• De aplicación general en toda la República
III. El derecho a la protección de datos en el sector
público LFTAIPG –Principios y Derechos-
IV. Actuación del IFAI como autoridad garante
VI. Retos
IGeneralidades del derecho a la
protección de datos
¿Cómo surge el derecho?
Del derecho a la intimidad (noción
tradicional “a ser dejado solo”).
Por el uso vertiginoso de las
tecnologías de la información.
¿En qué consiste el derecho?
Es el poder de disposición y control que faculta a su
titular a decidir cuáles de sus datos proporciona a un
tercero, así como el saber quién posee esos datos y para
qué, pudiendo oponerse a esa posesión o uso
(autodeterminación informativa).
Es el derecho que tiene toda persona a conocer y
decidir, quién, cómo y de qué manera recaban y utilizan
sus datos personales.
¿Qué son los datos personales?
Toda información concerniente o relativa
a una persona física identificada o
identificable.
Ejemplos
Identificación
Nombre, edad, domicilio, sexo, RFC, CURP...
Patrimoniales
Cuentas bancarias, saldos, propiedades...
Salud
Estados de salud físicos y mentales...
Biométricos
Huellas dactilares, iris, voz, firma autógrafa...
Íntimos
Ideología, afiliación política, religión, preferencia sexual...
Datos personales sensibles
Revelan aspectos íntimos o particulares de las personas:
• El origen racial o étnico.
• El estado de salud presente y futuro.
• La información genética.
• Las creencias religiosas, filosóficas y morales.
• La afiliación sindical.
• Las opiniones políticas.
• La preferencia sexual.
Los datos personales sensibles o especialmente protegidos al
revelar aspectos muy íntimos y particulares de la vida privada de
las personas, merecen de medidas de protección más exigentes
y robustas.
Otros conceptos importantes…
Titular: persona física a quien corresponden los datos personales.
Bases de datos: conjunto ordenado de datos personales referentes a una
persona identificada o identificable.
Tratamiento: obtención, uso, divulgación o almacenamiento de datos
personales, por cualquier medio. El uso abarca cualquier acción de acceso,
manejo, aprovechamiento, transferencia o disposición de datos personales.
Responsable: persona física o moral de carácter privado que decide sobre el
tratamiento de datos personales.
Encargado: persona física o jurídica que sola o conjuntamente con otras trate
datos personales por cuenta del responsable.
Transferencia: toda comunicación de datos realizada a persona distinta del
responsable o encargado del tratamiento.
IIEl derecho a la protección de
datos en México
La primera mención a nivel
constitucional
Reforma al artículo 6 constitucional, en la cual se reconoce el derecho
de acceso a la información como una garantía fundamental -el 20 de julio
de 2007-.
Las fracciones II y III tienen la virtud de ser las primeras menciones
constitucionales expresas que hacen un reconocimiento del derecho a la
protección de datos personales y se constituyen como limitantes al
ejercicio del derecho de acceso a la información.
Estas fracciones señalan que:
La información a que se refiere la vida privada será protegida en
términos de ley respectiva.
Toda persona tiene derecho a acceder y rectificar sus datos
personales.
Los artículos 16 y 73
constitucionales El 2009 se distingue por la concreción de dos relevantes acontecimientos relacionados
con la consolidación del derecho a la protección de datos en México, la aprobación de las
reformas a los artículos 16 y 73 de la Constitución.
El artículo 16 constitucional incorpora a la lista de garantías fundamentales consagradas
en nuestra Carta Magna, el derecho a la protección de datos personales y lo dota de
contenido, a saber:
“Artículo 16. …
Toda persona tiene derecho a la protección de sus datos personales, al acceso,
rectificación y cancelación de los mismos, así como a manifestar su oposición,
en los términos que fije la ley, la cual establecerá los supuestos de excepción a
los principios que rijan el tratamiento de datos, por razones de seguridad
nacional, disposiciones de orden público, seguridad y salud públicas o para
proteger los derechos de terceros”.
Por su parte, el artículo 73 constitucional dota de facultades al Congreso de la Unión para
legislar en materia de protección de datos personales en posesión de particulares.
A nivel Federal:
LFTAIPG
Este instrumento reconoce por primera vez enMéxico la protección de los datos personales.
Se limita a las bases de datos del sector público anivel federal. Es a la vez, una ley de acceso a lainformación y una ley de protección de datospersonales (limitada en su ámbito de aplicación).
Su capítulo IV establece un marco muy general queregula la obtención, almacenamiento, transmisión,uso y manejo de los datos personales en posesiónde dependencias y entidades federales.
A nivel estatal
En todos los Estados y el D.F. se regula la Protección de Datos Personales
en entes Públicos, ya sea en las mismas Leyes de Transparencia o en Leyes
especiales sobre Protección de Datos Personales.
En 4 Estados (Colima, D.F., Guanajuato y Oaxaca) existe Ley especial en
materia de Protección de Datos Personales (Ley de Datos Personales)
En 4 Estados (Colima, Jalisco, Querétaro y Tlaxcala) se regula la Protección
de Datos Personales en entes Privados o Particulares.
En 2 Estados (Jalisco y Querétaro) se aplica supletoriamente el Código Civil
Local para la Protección de Datos Personales en Privados. Cabe señalar que
no es claro lo establecido en el Código Civil Local.
21 Estados han emitido Lineamientos, Reglamentos o Manuales en materia
de Protección de Datos Personales en entes Públicos (Sujetos Obligados)
Sólo 2 Estados (Oaxaca y Tlaxcala) regulan la implementación de un
Registro Estatal de Datos Personales.
De aplicación en toda la República:
LFPDPPP
El 13 de abril de 2010 la Cámara de Diputados aprobó el
proyecto de decreto por el que se expide la Ley Federal de
Protección de Datos Personales en posesión de los
particulares.
Por su parte, la Cámara de Senadores aprobó porunanimidad dicho dictamen, el 27 de abril de 2010.
Finalmente, el 5 de julio de 2010 el Poder EjecutivoFederal publicó en el Diario Oficial de la Federación la Ley.
El derecho a la protección de datos
en el sector público LFTAIPG
-Principios y Derechos-
Uno de los objetivos de la
LFTAIPG es:
Artículo 4, fracción III: “Garantizar la
protección de los datos personales en
posesión de los sujetos obligados”.
Publicados por el IFAI el 30 de septiembre de 2005.
Establecen procedimientos para garantizar a las personas la
facultad de decisión sobre el uso y destino de sus datos, con el
propósito de asegurar su adecuado tratamiento e impedir su
transmisión ilícita y lesiva;
Establecen las condiciones y requisitos para el manejo y
custodia de los sistemas de datos personales en posesión de las
dependencias y entidades;
Definen los principios de la protección de datos personales que
deben observar las dependencias y entidades para su
tratamiento.
Lineamientos de protección de
datos personales
Principios
Tratamiento
Licitud
Finalidad
Proporcionalidad
CalidadInformación
Consentimiento
Custodia y Cuidado
Responsabilidad
Licitud
El tratamiento de datos debe obedecera una atribución conferida por una ley,reglamento, decreto, acuerdo o circularque faculte a recabar los datospersonales contenidos en los sistemasde datos personales.
Sexto de los Lineamientos de Protección de datos
Finalidad
Tratamiento en el ámbito de finalidades
determinadas, explícitas y legítimas.
El tratamiento para fines distintos a los
establecidos en la leyenda de información
(aviso de privacidad) requiere
consentimiento.
Sexto de los Lineamientos de Protección de
datos
Proporcionalidad
Sólo se deberán recabar los datos
adecuados o necesarios para la finalidad
que justifica el tratamiento.
El tratamiento obedecerá a tratar la mínima
cantidad de información necesaria para
conseguir la finalidad perseguida.
Séptimo de los Lineamientos de protección de
Datos Personales.
Calidad
Datos pertinentes, correctos y
actualizados.
Datos que reflejen la realidad.
Se debe implementar los plazos de
conservación de los datos personales,
Art. 20, fracción IV de la LFTAIPG y Séptimo de los
Lineamientos
Información
Dar a conocer a los titulares la existencia del
tratamiento y sus características.
En términos fácilmente comprensibles y
previo a la recolecta de los datos.
A través de la leyenda de información -
aviso de privacidad- por diversos medios.
Art. 20, fracción III y Noveno de los Lineamientos.
Información…
El principio de información se materializa en la leyenda
de información -aviso de privacidad-, mediante la cual se
hace del conocimiento del titular:
Identidad y domicilio del responsable que recaba sus
datos;
Finalidades del tratamiento;
Medios para ejercer los derechos de acceso,
rectificación, cancelación u oposición, y
Transferencias de datos.
Consentimiento
La voluntad del titular es la causa principal legitimadora
del tratamiento de los datos personales.
Excepciones: la ley, celebración de un contrato…
Aunque en la mayoría de los casos el consentimiento es
tácito, la manifestación deberá ser libre, específica,
inequívoca e informada.
Art. 21 y 22 de la LFTAIPG y Duodécimo de los
Lineamientos.
Custodia y Cuidado
Responsabilidad
Deber de la persona responsable del
tratamiento de los datos de velar por
el cumplimiento de los principios y
rendir cuentas al titular en caso de
incumplimiento.
Art. 20, fracción VI y Undécimo de los
Lineamientos.
Deberes
Deber de seguridad
Obligación de adoptar las medidas
necesarias para garantizar la
integridad, confidencialidad y
disponibilidad de los datos personales
mediante acciones que eviten su
alteración, pérdida, transmisión y
acceso no autorizado.
Obligaciones en materia de
seguridad de las bases de datos…
Todo responsable deberá establecer y mantener medidas de
seguridad de carácter administrativo, técnico y físico que
permitan proteger los datos personales contra daño, pérdida,
alteración, destrucción o el uso, acceso, o tratamiento no
autorizado.
Los responsables no deberán adoptar medidas de seguridad
menores a aquellas que mantengan para el manejo de su
información.
Para la implementación de dichas medidas éstos deberán tomar
en cuenta factores como riesgo existente y posibles
consecuencias para los titulares, la sensibilidad de los datos
personales y el desarrollo tecnológico.
Deber de confidencialidad
Secreto, discreción,
confidencialidad y custodia al que
está obligada toda persona que
maneja, usa, recaba o transfiere datos
personales en cualquier fase del
tratamiento.
Derechos
Derechos ARCO
Acceso: derecho del titular a obtener información sobre sísus propios datos están siendo objeto de tratamiento, lafinalidad del tratamiento que, en su caso, se estérealizando, así como la información disponible sobre elorigen de dichos datos y las comunicaciones realizadas oprevistas de los mismos.
Rectificación: derecho del titular a que se modifiquen losdatos que resulten ser inexactos o incompletos.
Cancelación: derecho del titular que da lugar a que sesupriman los datos que resulten ser inadecuados o excesivos.
Oposición: derecho del titular a que no se lleve a cabo eltratamiento de sus datos cuando se trate de sistemas dedatos que tengan por finalidad la realización de actividadesde publicidad
Oposición
El derecho a la protección de
datos en el sector privado
LFPDPPP
Generalidades de la ley
Reviste las características de ser unalegislación moderna que reconoce y protegelos llamados derechos de “tercerageneración”, en particular laautodeterminación informativa.
Coloca a la persona en el centro de la tuteladel Estado, reconociendo y respetando sudignidad y valía.
Establece un marco general que contemplareglas claras, concretas y mínimas para lograrun equilibrio entre protección de la informaciónpersonal y la libre circulación de la misma enun mundo globalizado, en concordancia con losestándares internacionales.
Ejes rectores de la ley1. Ámbito de aplicación.
2. Principios y derechos.
3. Régimen especial para datos sensibles.
4. Ejercicio de los derechos ARCO.
5. Transferencias de datos.
6. Autoridades:
• IFAI –garante- y
• Reguladoras.
7. Procedimientos:
• Protección de datos.
• Verificación.
• imposición de sanciones.
8. Infracciones y sanciones.
9. Delitos en materia de tratamiento indebido.
Actuación del IFAI como
autoridad garante
Actuación del IFAI
Emisión e implementación de regulación secundaria.
Solución de controversias para la tutela de derechos de
acceso y rectificación
Supervisión del cumplimiento regulatorio –
verificaciones/recomendaciones-.
Promoción de la cultura de seguridad de los datos
personales –documento de seguridad-.
Implementación de regulación
secundaria
Lineamientos de Protección de Datos
Personales:
Disposiciones generales que establecen las
condiciones y requisitos mínimos para el
debido manejo y custodia de las bases de
datos en posesión de la Administración
Pública Federal.
Supervisión del cumplimiento
regulatorio
Desde el año 2007, el IFAI se ha dado a la
tarea de verificar las bases de datos en
posesión de la Administración Pública
Federal.
Numeralia:
16 dependencias o entidades verificadas.
62 recomendaciones votadas por el Pleno del
IFAI.
Supervisión del cumplimiento
regulatorio
Destacan por su importancia las siguientes
bases de datos verificadas:
Base de Datos Nacional de la Clave Única de
Registro Nacional de Población.
Sistema de Acreditación de Derechohabiente.
Sistema Integral de Operación Migratoria.
Padrón de Beneficiarios de los Programas de
Desarrollo Social.
Elaboración de Manifestaciones de
Impacto a la Privacidad
NOM-024-SSA3-2007 del Expediente Clínico Electrónico
Esta política pública tiene como objetivo primordial promover el establecimiento de
reglas y estándares homogéneos que permitan la comunicación e interoperabilidad entre
los diferentes sistemas de información de salud que existen en el Sistema Nacional de
Salud.
Por la complejidad del diseño de la estructura funcional de la NOM, la Secretaría de
Salud y el IFAI, en su carácter de órgano garante, sometieron el proyecto a una
Manifestación de Impacto a la Privacidad.
Lo anterior, a fin de garantizar que antes de la puesta en operación dicha política pública
cumpliera con los estándares internacionales en materia de protección, teniendo especial
cuidado en los controles de seguridad que se requieren en un proyecto de tal
envergadura.
Emisión de una serie de recomendaciones tendientes a garantizar la confidencialidad,
disponibilidad e integridad de los datos de salud con la puesta en operación de esta
política pública.
Elaboración de Manifestaciones de
Impacto a la Privacidad
Cédula de Identidad Ciudadana
Este proyecto tiene como objeto expedir un documento que
acredite fehacientemente la identidad de los ciudadanos
mexicanos, a través de la obtención de datos biométricos –
huellas dactilares e iris-.
Emisión de una serie de recomendaciones relativas a:
Adecuar el marco jurídico para la expedición de la CEDI.
Recabar los datos estrictamente necesarios para la finalidad
perseguida.
Implementar estrictas medidas de seguridad.
Retos
Retos LFTAIPG
Para los organismos de transparencias estatales:
Adecuar las leyes de transparencia a las reformas constitucionales y
nuevas exigencias de la administración pública estatal y municipal.
Emitir regulación secundaria en materia de protección de datos
personales en posesión del sector público, tomando en
consideración los estándares internacionales.
Para el IFAI:
Impulsar el dictamen aprobado por el Senado de la República que
reforma la Ley Federal de Transparencia y Acceso a la información
Pública Gubernamental.
Establecer mecanismos de cooperación eficaces con los diversos
institutos de transparencia para la difusión y capacitación de este
nuevo derecho.
Retos LFPDPPP
Coadyuvar con el Ejecutivo Federal en la emisión del
reglamento, dentro del año siguiente a la entrada en vigor de la
ley.
Emitir criterios que coadyuven a un mejor cumplimiento de la ley.
Diseñar mecanismos eficaces para la recepción y atención de
solicitudes de protección de datos.
Difusión y capacitación al interior y exterior.
Solicitar a la Unión Europea el nivel de adecuación como un país
seguro en materia de protección de datos personales.
Diseñar la estructura organizacional más adecuada para asumir
y ejecutar con eficiencia las nuevas tareas y responsabilidades
del IFAI.
GRACIAS
www.ifai.org.mx 01800 TEL IFAI
http://www.infomex.org.mx