Ley Federal de Protección de Datos Personales en Posesión de Particulares: consideraciones generales, principios y derechos

4,696 views

Published on

Ley Federal de Protección de Datos
Personales en Posesión de Particulares:
consideraciones generales, principios y derechos

2 Comments
2 Likes
Statistics
Notes
  • les quiero sugerir que hagan su aviso de privacidad para que no tengan ningun problema espero y les ayude en algo www.contratosfacil.com
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Encontré un sitio que te ayuda a generar tu aviso de privacidad, un documento muy importante, de una manera muy fácil y sencilla y con muy buena atención. Se los recomiendo:
    https://contratosfacil.com/category/Generador-Aviso-IFAI/4fda3e5d1d783/Aviso-de-Privacidad
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
No Downloads
Views
Total views
4,696
On SlideShare
0
From Embeds
0
Number of Embeds
261
Actions
Shares
0
Downloads
210
Comments
2
Likes
2
Embeds 0
No embeds

No notes for slide

Ley Federal de Protección de Datos Personales en Posesión de Particulares: consideraciones generales, principios y derechos

  1. 1. Ley Federal de Protección de Datos Personales en Posesión de Particulares: consideraciones generales, principios y derechos Dra. Isabel Davara Fdez. de Marcos Desayuno extraordinario SOCIOS AMIPCI 10 de Agosto de 2010 WTC - México, D.F. idavara@davara.com.mx
  2. 2. ¿Qué es la protección de datos? Un derecho Una obligación fundamental y del responsable del tratamiento y un derecho un compromiso del titular de con el titular de los datos los datos Derecho a la autodeterminación Se protege: informativa • Objeto: datos personales •Conocer y decidir quién, cómo y de qué manera recaba y utiliza referidos al titular de los sus datos personales datos (persona física) •Libertad para elegir qué desea • Garantizando comunicar, cuándo y a quién, • su privacidad y manteniendo el control •Derecho autónomo y • el derecho a la fundamental, directamente autodeterminación conectado con la dignidad y la informativa de las libertad de la persona personas
  3. 3. ¿Por qué cumplir la normativa? • Cumplimiento de una obligación legal (derecho fundamental, protección de los consumidores, medidas de seguridad) 1 • Cumplimiento de una obligación contractual (derivada de la Ley y del contrato –cláusulas de privacidad/confidencialidad, leyendas informativas, 2 contratos con prestadores de servicios que tienen acceso a datos, etc.). • Establecer controles internos que permitan una gestión adecuada del negocio (governance, risk management, and compliance). 3 • Cumplimiento de una obligación con la sociedad (generar una cultura de protección de datos/privacidad) 4
  4. 4. Ámbito de aplicación de la LFPD Objetivo Subjetivo Territorial Tratados por particulares, Tratamiento Toda la República personas físicas o morales Excepto Sociedades de Automatizado o no Información Crediticia Excepto uso exclusivamente De datos personales personal, y sin fines de divulgación o utilización comercial En posesión de los particulares, salvo excepciones previstas
  5. 5. Datos personales y datos sensibles Datos personales: “Cualquier información concerniente a una persona física identificada o identificable” (art. 3, fracción V) Datos personales sensibles: “Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual” (art. 3, fracción VI).
  6. 6. Tratamiento Tratamiento: “La obtención, uso, Fases del divulgación o tratamiento: De datos almacenamiento de recabar, tratar, personales comunicar datos personales, por (transferir vs cualquier medio. El uso Temporal o transmitir) abarca cualquier definitivo: mero alojamiento de acción de acceso, datos o manejo, Por cualquier realización de aprovechamiento, medio: una operación transferencia o “automatizado necesaria disposición de datos o no” personales” (art. 3, fracción XVIII)
  7. 7. Base de datos Conjunto ordenado de datos: ¿en un documento?, ¿una Clases tabla en una base Jurídico: finalidad de datos?, ¿varias del tratamiento bases de datos interrelacionadas Lógico: estructura en un sistema de lógica y tratamiento información? informático Otros aspectos a considerar: hosting, cloud computing, etc Base de datos: “El conjunto ordenado de datos personales referentes a una persona identificada o identificable” (art. 3, fracción II)
  8. 8. Otras definiciones Procedimiento de disociación: “El procedimiento mediante el cual los datos personales no Titular de los datos: pueden asociarse al titular ni permitir, por su estructura, “La persona física a Fuentes de acceso público: contenido o grado de quien corresponden “Aquellas bases de datos desagregación, la identificación cuya consulta puede ser los datos personales” realizada por cualquier del mismo” (art. 3, fracción VIII) (art. 3, fracción XVII) persona, sin más requisito que, en su caso, el pago de una contraprestación, de conformidad con lo señalado •La disociación es un tratamiento por el Reglamento” (art. 3, de datos fracción X) •Es más que un mero •Cualquier persona: nacional, enmascaramiento de los datos extranjero, residente, ilegal, •El dato disociado no puede etc. • Pendiente de identificar, en modo alguno, a •Menores de edad quien era su titular desarrollo •Supuestos de incapacidad •Si los datos han sido disociados, legal reglamentario deja de aplicarse la LFPDPPP •Exclusión de personas morales • Excepción a la (públicas o privadas) y aplicación de la empresarios individuales •Datos de ley contacto/representantes
  9. 9. Responsable, encargado y tercero Tercero: “La persona física o moral, nacional o extranjera, distinta del titular o del responsable de los datos” (art. 3, fracción XVI) Encargado: “La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable” (art. 3, fracción IX) Responsable:“Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales” (art. 3, fracción XIV)
  10. 10. Ejes rectores de la LFPDPPP Procedimientos: de ejercicio de los derechos ante el responsable y de protección de los derechos (“solicitud de protección de datos”) ante el IFAI. Derechos de los titulares de los datos (Acceso, Rectificación, Cancelación y Oposición). Principios internacionalmente reconocidos (licitud, consentimiento, finalidad, proporcionalidad, calidad, información y responsabilidad). Régimen sancionador: infracciones y sanciones IFAI
  11. 11. Principios: licitud, calidad, finalidad y proporcionalidad Licitud: recabados y Finalidad: explícita, tratados lícitamente, legítima y según la ley. determinada. Expectativa También para otras razonable de no incompatibles si privacidad. Lealtad: en aviso de no por medios privacidad. engañosos o fraudulentos Proporcionalidad: Calidad: veracidad y datos adecuados o a la exactitud para necesarios para la reflejo fiel. Exacta y finalidad; y mínima actualizada en cantidad de obtención. Medidas información razonables para que necesaria para así se mantenga. conseguir la finalidad (principio de minimización)
  12. 12. Principios - Consentimiento “Manifestación de la voluntad del Tácito: Cuando habiéndose puesto a titular de los datos mediante la cual disposición del titular se efectúa el tratamiento de los el aviso de privacidad, no mismos” (art. 3, fracción IV). manifieste su oposición •Características: libre, específico, inequívoco e informado Expreso: Datos financieros y •Revocable: en cualquier patrimoniales. Verbal/ momento, sin efectos retroactivos Por escrito, por medios electrónicos, •Regla general: Todo tratamiento ópticos o por de datos personales estará sujeto cualquier otra tecnología/ Por signos al consentimiento de su titular i n e q u í v o c o s •Excepciones: Para el tratamiento de datos (Artículo 10) Expreso y por Para la transferencia nacional o escrito: datos internacional (Artículo 37) sensibles Aplican a datos personales y a datos personales sensibles
  13. 13. Principios- Información- Aviso de Privacidad (I) Definición • “Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley” (art. 3, fracción I). Contenido •(i) identidad y domicilio del responsable que los recaba; (ii) finalidades del mínimo tratamiento; (iii) cualquier opción y medios que se ofrezcan a los titulares para limitar el uso o divulgación de los datos o ejercer derechos de acceso, rectificación, cancelación u oposición y; (iv) procedimiento y medio por el cual se comunicarán a los titulares cambios sustanciales al aviso de privacidad. Datos sensibles y •Deberá señalarse transferencias Datos obtenidos • En el momento en que se recaba el dato personalmente • De forma clara y fehaciente del titular • A través de los formatos por los que se recaban • Salvo que se hubiera facilitado el aviso con anterioridad Datos NO • Deberá darse a conocer el cambio obtenidos • Excepción: tratamiento de datos con fines históricos, estadísticos o directamente del científicos titular
  14. 14. Principios- Información- Aviso de Privacidad (II) Datos sensibles •Deberá señalarse que se tratan Excepciones • Cuando ya se hubiera informado con anterioridad • Cuando los datos no se obtengan directamente del titular y se traten con fines históricos, estadísticos o científicos • Cuando resulte imposible o exija esfuerzos desproporcionados • Número de titulares • Antigüedad de los datos • Previa autorización del IFAI • Necesidad de instrumentar medidas compensatorias Formatos • impresos, digitales, visuales, sonoros o cualquier otra tecnología Medios • Proporcionar al titular de manera inmediata, al menos la información electrónico, relativa a: óptico, sonoro, • La identidad y domicilio del responsable que los recaba visual, o a través • Las finalidades del tratamiento de datos de cualquier otra • Proveer los mecanismos para que el titular conozca el texto completo del tecnología aviso de privacidad
  15. 15. Responsabilidad rendir cuentas al titular asegurarse de que el cuidar porque tratamiento por terceros RESPONSA- lo asegurado (nacional e en el Aviso de internacionalme BILIDAD Privacidad se respete nte), cumple la normativa velar por el cumplimiento de los principios
  16. 16. Medidas de seguridad Que permitan proteger los datos No serán menores a aquellas que personales contra mantenga el responsable para el manejo • daño, de su información • pérdida, • alteración, • destrucción o • el uso, acceso o tratamiento no autorizado Administrativas, técnicas y físicas Se tomará en cuenta: Vulneraciones de seguridad • el riesgo existente, • Ocurridas en cualquier fase del tratamiento • las posibles consecuencias para los titulares, • Que afecten de forma significativa los derechos • la sensibilidad de los datos y patrimoniales o morales de los titulares, • el desarrollo tecnológico. • Serán informadas por el responsable al titular • de forma inmediata • a fin de que el titular pueda tomar las medidas correspondientes a la defensa de sus derechos.
  17. 17. Derechos en la LFPD Acceso Rectificación Cancelación Oposición
  18. 18. Ejercicio de los derechos El responsable El ejercicio de cualquiera de Los derechos podrán ser debe los derechos (ARCO): solicitados: resguardar los datos de manera que permitan el ejercicio sin por el titular dilación de no es ni impide el en cualquier o su los derechos requisito ejercicio de momento representant previo otro e legal respecto de los datos personales que le conciernen
  19. 19. Derecho de acceso El titular tiene derecho a acceder a: Conocer el aviso de Sus datos privacidad personales a que está sujeto el tratamiento
  20. 20. Respuesta al derecho de acceso Cuando se pongan a disposición del titular los datos personales Mediante la expedición de copias simples, documentos electrónicos o cualquier otro medio que determine el responsable en el aviso de privacidad Si el titular solicita el acceso a una persona que presume es el responsable y ésta resulta no ser, Bastará con que así se le indique al titular por cualquiera de los medios antes indicados, para tener por cumplida la solicitud
  21. 21. Derecho de rectificación El titular tiene derecho a rectificar sus datos cuando sean:
  22. 22. Comunicación de la rectificación Si los datos rectificados hubieran sido previamente transferidos Responsable Tercero receptor El responsable deberá hacer de El tercero receptor conocimiento del deberá también tercero dicha proceder a efectuar rectificación dicha rectificación
  23. 23. Derecho de cancelación El derecho de cancelación: Podrá ser ejercido en todo momento Dará lugar a un período de bloqueo tras el cual se procederá a la supresión del dato
  24. 24. Esquema básico de la cancelación (art. 25)
  25. 25. Excepciones a la cancelación (art. 26) Sean objeto de Se refiera a las partes de tratamiento para la un contrato privado, social prevención o para el o administrativo y sean diagnóstico médico o la necesarios para su gestión de servicios de desarrollo y cumplimiento; salud, siempre que dicho tratamiento se realice por un profesional de la salud sujeto a un deber de secreto. Sean necesarios para cumplir con una obligación Deban ser tratados por legalmente adquirida por el disposición legal; titular, y Obstaculice actuaciones judiciales o administrativas Sean necesarios para vinculadas a obligaciones realizar una acción en fiscales, la investigación y función del interés persecución de delitos o público, y la actualización de sanciones administrativas; Sean necesarios para proteger los intereses jurídicamente tutelados del titular;
  26. 26. Comunicación de la cancelación Si los datos rectificados hubieran sido previamente transferidos Responsable Tercero receptor El responsable deberá hacer de El tercero receptor conocimiento del deberá también tercero dicha proceder a efectuar cancelación dicha cancelación
  27. 27. Bloqueo La identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de estas. Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a su cancelación en la base de datos que corresponde (Artículo 3, fracción III)
  28. 28. Derecho de oposición ¿Cuándo? • En todo momento • Por causa legítima Consecuencia del ejercicio del derecho • De resultar procedente, el responsable no podrá tratar los datos relativos al titular
  29. 29. Solicitud de acceso, rectificación, cancelación u oposición • El nombre del titular y domicilio u otro medio para comunicarle la respuesta a su solicitud; • Los documentos que acrediten la identidad o, Contenido de en su caso, la representación legal del titular; • La descripción clara y precisa de los datos la solicitud personales respecto de los que se busca (art. 29): ejercer alguno de los derechos antes mencionados, y • Cualquier otro elemento o documento que facilite la localización de los datos personales.
  30. 30. Solicitud de rectificación (art. 31) Además de los requisitos señalados, el titular deberá: Indicar las Aportar la modificaciones a documentación que realizarse sustente su petición
  31. 31. Negativa a atender los derechos (art. 34) I. Cuando el solicitante no sea el titular de los datos personales, o el representante legal V. Cuando la no esté debidamente rectificación, acreditado para ello; cancelación u II. Cuando en su oposición haya sido base de datos, no previamente se encuentren los realizada. datos personales del solicitante; IV. Cuando exista un impedimento legal, o la resolución de una autoridad competente, que restrinja el acceso a III. Cuando se los datos personales, o lesionen los no permita la derechos de un rectificación, cancelación tercero; u oposición de los mismos, y
  32. 32. Carácter de la negativa (art. 34) Total Parcial *El responsable efectuará el acceso, rectificación, cancelación u oposición requerida por el titular
  33. 33. Coste de la entrega de los datos (art. 35) La entrega de los datos El derecho se ejercerá por será gratuita el titular en forma gratuita El titular deberá cubrir Si la misma persona reitera su únicamente solicitud en un periodo menor • Los gastos justificados de envío o a doce meses • Con el costo de reproducción en • Los costes no serán mayores a tres días copias u otros formatos de salario mínimo general vigente en el DF ($57,46) • A menos que existan modificaciones sustanciales al aviso de privacidad que motiven nuevas consultas
  34. 34. Resolución de la solicitud de derechos El plazo señalado podrá ser ampliado una sola vez por igual período cuando haya circunstancias que lo justifiquen.
  35. 35. Informar del motivo de la decisión (art. 34) - El motivo de su decisión ¿Qué? - Acompañando, en su caso, las pruebas que resulten pertinentes Al titular o, en su caso, al representante ¿A quién? legal ¿Cuándo? En los plazos establecidos Por el mismo medio por el que se llevó a ¿Cómo? cabo la solicitud
  36. 36. Referencias al desarrollo reglamentario Artículo Cuestión Art. 3, fracción X Fuentes accesibles al público Art. 18 Medidas compensatorias Art. 45 Forma, términos y plazos para el procedimiento de protección de derechos Art. 46 Forma y términos para acreditar la identidad del titular o la representación legal en relación con la solicitud de protección de datos Art. 54 Procedimiento de conciliación entre el titular de los datos y el responsable Art. 60 Términos y plazos en los que se sustanciará el procedimiento de verificación Art. 62 Forma, términos y plazos en que sustanciará el procedimiento de imposición de sanciones Disp. Transit. 2ª Desarrollo reglamentario de la Ley en el plazo de un año
  37. 37. Todavía queda un poco de tiempo Item Fecha Comentario Publicación de la Ley 5 de Julio de 2010 Diario Oficial de la Federación Entrada en vigor 6 de Julio de 2010 Transitorio Primero Aprobación del Reglamento 6 de Julio de 2011 Transitorio Segundo Designar a la persona o 6 de Julio de 2011 Art. 30 y Transitorio Tercero departamento de datos personales Expedir los avisos de privacidad 6 de Julio de 2011 Arts. 16 y 17 y Transitorio Tercero Ejercicio de los derechos de acceso, 6 de Enero de 2012 Transitorio Cuarto rectificación, cancelación y oposición (ARCO) Procedimiento de protección de 6 de Enero de 2012 Transitorio Cuarto derechos
  38. 38. ¿Qué hacer? Analizar el Adoptar las medidas Revisar la situación de la cumplimiento de los que permitan entidad a efectos de principios y derechos a controlar el riesgo preparar un Plan de lo largo del flujo lógico existente, Acción de la información reduciéndolo Adopción Situación de la Plan de Inicio del Recomen- de entidad Acción Plan daciones medidas Elaborar un Plan de Obtener Acción con la recomendaciones de participación del actuación que permitan equipo interno y/o decidir sobre las asesoramiento externo medidas a adoptar

×