una apuesta por la especialización -...
TRANSCRIPT
Una apuesta por la especialización
“La Protección a la vida privada en situaciones de desastre y contingencia”
Dra. Isabel Davara F. de Marcos
30 de noviembre de 2017
ConclusionesProtección de datos personales en situaciones de emergencia
www.davara.com.mx
Normatividad aplicable en materia de protección de datos personales en México
Sector Privado Sector Público
El artículo 6, párrafo segundo, fracción II, el artículo 16, párrafo segundo, y el artículo 73 inciso XXIX-O de la Constitución Política de los Estados Unidos Mexicanos.
El artículo 6, párrafo segundo, fracción II, el artículo 16, párrafo segundo, y el artículo 73 inciso XXIX-O de la Constitución Política de los Estados Unidos Mexicanos.
Ley Federal de Protección de Datos Personales en Posesión de Particulares (“LFPDPPP”) (DOF 5/07/2010).
Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (DOF 26/01/17)
Reglamento de la LFPDPPP (DOF 21/12/2011) Ley General de Transparencia y Acceso a la Información Pública (DOF 04/05/2015).
Lineamientos para el Aviso de Privacidad. (DOF 17/01/2013) Estatuto Orgánico del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (DOF 17/01/17)
Estatuto Orgánico del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (DOF 17/01/17)
A nivel local tendremos los estados que cuentan con Leyes en materia de Protección de Datos son: Durango, Estado de México, Quintana Roo, Zacatecas, Aguascalientes,
Guanajuato, Baja California Sur, Sonora, Tamaulipas, San Luis Potosí, Yucatán, Guerrero, Tlaxcala, Coahuila, Morelos, Hidalgo, Sinaloa, Campeche, Colima, Puebla, Baja
California, Jalisco, Veracruz y Querétaro.
Criterios Generales para la Instrumentación de Medidas Compensatorias sin la Autorización Expresa del Instituto Federal de Acceso a la Información y Protección (DOF 18/04/2013)
Parámetros para el correcto desarrollo de los esquemas de autorregulación vinculante. (DOF 29/05/2014)
Reglas de Operación del Registro de Esquemas de Autorregulación Vinculante. (DOF18/02/2015)
Recomendaciones en materia de Seguridad de Datos Personales de la COFEMER (DOF 10/09/2013)
Lineamientos para difusión de avisos de privacidad en hiperenlaces o hipervínculos (19/01/2016).
www.davara.com.mx
Protección de datos personales en situaciones de emergencia
• Las situaciones de emergencia pueden afectar el bienestar y seguridad de las personas a una gran escala (epidemias, desastres naturales, terrorismo y pandemias) o en un nivel individual (violencia familiar), y para hacer frente a este tipo de contingencias y brindar asistencia a los afectados, las organizaciones públicas requerirán compartir determinada información personal.
• Puede existir incertidumbre en las organizaciones sobre la pertinencia de compartir información personal en un contexto de emergencia. Por ejemplo, algunas organizaciones podrían negarse a compartir información para no violar la Ley pues pueden asumir que la Ley prohíbe compartirla.
• Las consecuencias de no compartir información personal necesaria en situaciones de emergencia pueden ser funestas, ya que en un contexto de esta naturaleza el acceso oportuno a la información es fundamental para atender las contingencias y proteger los derechos.
• La normatividad de protección de datos personales no debe ser una barrera para compartir aquella información personal “apropiada” en situaciones de emergencia.
www.davara.com.mx
Límites al derecho a la protección de datos personales: artículo 6 LGPDPPSO
Desde la óptica de la LGPDPPSO la información personal podría ser compartida cuando se presenten estos supuestos:
www.davara.com.mx
Información personal en situaciones de emergencia
• Las organizaciones tratan una gran cantidad de datos personales para diversas finalidades. Sin embargo, durante una situación de emergencia, la información en posesión de una determinada entidad puede ser significativa y relevante para otra organización relacionada con la respuesta a este tipo de situaciones como las policías, servicios de ambulancia y servicios de salud.
• La información personal en una situación de emergencia puede ser útil para finalidades como las siguientes:
• Identificar personas heridas, perdidas, desaparecidas, fallecidas o en alguna situación similar. • Ayudar a las personas a que tengan acceso a ciertos servicios como servicios de salud, financieros,
ayuda humanitaria, repatriación, entre otros. • Colaborar en el cumplimiento de la Ley. • Coordinación o gestión de actividades para atender la emergencia. • Brindar información relevante a familiares o parientes de personas involucradas en la situación de
emergencia.
www.davara.com.mx
Información personal en situaciones de emergencia
• En ocasiones la información que requerirá ser compartida podrá ser información de salud, la cual reviste el carácter de información personal sensible.
• Esta información tiene que ser procesada con especial cautela y las organizaciones deberán de extremar la aplicación de medidas de seguridad adecuadas para proteger este tipo de datos.
www.davara.com.mx
Tratamiento de información personal en situaciones de emergencia
• Las organizaciones que realizan o podrían realizar el tratamiento de datos personales en un contexto de emergencia requieren cumplir con los principios y deberes establecidos en la LGPDPPSO:
www.davara.com.mx
¿Cómo realizar un adecuado tratamiento de datos en situaciones de emergencia?
• Las organizaciones deben asegurarse de que existe una base legítima para realizar el tratamiento de datos en un contexto de emergencia (como veremos más adelante, el consentimiento no es la única base legítima para el tratamiento).
• Informar, a través del aviso de privacidad sobre las condiciones generales a las que se sujetará el tratamiento de los datos, ya sea en el momento en que se obtienen los datos o de manera posterior a su obtención una vez que el responsable tenga la posibilidad práctica de informar al titular. Deben valorarse “caso por caso” las circunstancias bajo las cuales debería cumplirse el principio referido.
• Tratar únicamente los datos personales necesarios y relevantes para hacer frente a una situación de emergencia.
• No utilizar o divulgar los datos personles para finalidades que no sean necesarias para hacer frente a la situación de emergencia y/o contingencia que se presente.
• Cumplir con la expectativa razonable de privacidad del titular.
www.davara.com.mx
¿Es necesario el consentimiento?
• La naturaleza propia de la situación de emergencia, implica que no siempre será posible obtener el consentimiento del Titular cuando se requiere de una respuesta oportuna para atender la situación de emergencia que se presente.
• En una situación de este tipo puede ser inviable obtener el consentimiento del titular, y el hecho de realizar acciones para recabarlo podría entorpecer acciones necesarias para proteger los derechos del titular o incluso aumentar el riesgo de daño al titular o a terceras personas.
• El consentimiento no es la única base legítima para el tratamiento, pues el artículo 22 de la LGPDPPSO prevé otros supuestos bajo los cuales podría compartirse información personal.
www.davara.com.mx
Artículo 22. El responsable no estará obligado a recabar el consentimiento del titular para el tratamiento de sus datos personales en los siguientes casos: I. Cuando una ley así lo disponga, debiendo dichos supuestos ser acordes con las bases, principios y disposiciones establecidos en esta Ley, en ningún caso, podrán contravenirla; II. Cuando las transferencias que se realicen entre responsables, sean sobre datos personales que se utilicen para el ejercicio de facultades propias, compatibles o análogas con la finalidad que motivó el tratamiento de los datos personales; III. Cuando exista una orden judicial, resolución o mandato fundado y motivado de autoridad competente; IV. Para el reconocimiento o defensa de derechos del titular ante autoridad competente; V. Cuando los datos personales se requieran para ejercer un derecho o cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable; VI. Cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes; VII. Cuando los datos personales sean necesarios para efectuar un tratamiento para la prevención, diagnóstico, la prestación de asistencia sanitaria; VIII. Cuando los datos personales figuren en fuentes de acceso público; IX. Cuando los datos personales se sometan a un procedimiento previo de disociación, o X. Cuando el titular de los datos personales sea una persona reportada como desaparecida en los términos de la ley en la materia.
Excepciones al consentimiento: artículo 22 LGPDPPSO
www.davara.com.mx
Artículo 70. El responsable podrá realizar transferencias de datos personales sin necesidad de requerir el consentimiento del titular, en los siguientes supuestos: I. Cuando la transferencia esté prevista en esta Ley u otras leyes, convenios o Tratados Internacionales suscritos y ratificados por México; II. Cuando la transferencia se realice entre responsables, siempre y cuando los datos personales se utilicen para el ejercicio de facultades propias, compatibles o análogas con la finalidad que motivó el tratamiento de los datos personales; III. Cuando la transferencia sea legalmente exigida para la investigación y persecución de los delitos, así como la procuración o administración de justicia; IV. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho ante autoridad competente, siempre y cuando medie el requerimiento de esta última; V. Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios, siempre y cuando dichos fines sean acreditados; VI. Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular; VII. Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero; VIII. Cuando se trate de los casos en los que el responsable no esté obligado a recabar el consentimiento del titular para el tratamiento y transmisión de sus datos personales, conforme a lo dispuesto en el artículo 22 de la presente Ley, o IX. Cuando la transferencia sea necesaria por razones de seguridad nacional. La actualización de algunas de las excepciones previstas en este artículo, no exime al responsable de cumplir con las obligaciones previstas en el presente Capítulo que resulten aplicables.
Excepciones al consentimiento para la divulgación: artículo 70 LGPDPPSO
www.davara.com.mx
Realizar un análisis de riesgos
Buscar asesoría legal si es necesario
Comprender el entorno referente a la
autorización para compartir los datos (Ley,
consentimiento, excepciones)
Recomendaciones a seguir previo a compartir información de los titulares
Identificar y conocer la información sujeta
tratamiento
1 2 3 4
• Cuando se reciba una solicitud para la transferencia de información la organización debe evaluar si existen bases legítimas para compartir o recabar los datos. En cada supuesto se debe hacer un análisis caso por caso.
• Cunado una organización realice un análisis sobre si es pertinente o no compartir información personal en situaciones de emergencia puede considerar los siguientes pasos:
[email protected]@DavaraAbogados
T + 52 (55) 56 52 34 55F + 52 (55) 56 52 19 85
Una apuesta por la especialización