La ley de proteccion de datos personales en México / The Law on protection of personal data in Mexico
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

La ley de proteccion de datos personales en México / The Law on protection of personal data in Mexico

on

  • 601 views

Ángel Trinidad Zaldívar. Comisionado del Instituto Federal de Acceso a la Información y Datos Personales de México (IFAI). ...

Ángel Trinidad Zaldívar. Comisionado del Instituto Federal de Acceso a la Información y Datos Personales de México (IFAI).
Angel Trinidad Zaldivar. Commissioner of the Federal Institute for Access to Information and Mexico Personal Data (IFAI).

Curso de Verano / Summer Course CIGTR/URJC 2011

Statistics

Views

Total Views
601
Views on SlideShare
601
Embed Views
0

Actions

Likes
0
Downloads
6
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

La ley de proteccion de datos personales en México / The Law on protection of personal data in Mexico Presentation Transcript

  • 1. Seminario: “La Lucha Tecnológica contra el Fraude Organizado” LA PROTECCIÓN DE LOS DATOS PERSONALES: EL CASO DE MÉXICO Ángel Trinidad Zaldívar Comisionado IFAI ARANJUEZ, ESPAÑA
  • 2. Orígenes (Repercusiones Jurídicas) 1967 - Consejo de Europa: “Comisión Consultiva para estudiar las tecnologías de información y su potencial agresividad a los derechos de la persona”. 1968 - Resolución 509 de CE: “Derechos Humanos y nuevos logros científicos y técnicos. 1981 – Convenio 108 de CE: Protección de las personas con respecto al tratamiento automatizado de los datos de carácter personal. 1995 - Directiva 95/46/CE sobre protección de personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos.
  • 3. Tribunal Constitucional Alemán Sentencia 15 Dic. 1983 Principio de autodeterminación informativa (Westin) “La proliferación de centros de datos ha permitido, gracias a los avances tecnológicos, producir una imagen total y pormenorizada de la persona respectiva –un perfil de la personalidad-, incluso en el ámbito de su intimidad, convirtiéndose así el ciudadano en un hombre de cristal”
  • 4. 2002 – LFTAIPG о Reconoce la protección de datos. Limitado al sector público. 2007 – Reforma 6º Constitucional Eleva a rango de garantía fundamental al derecho de acceso a la información con dos limitantes: II La información a que se refiere la vida privada será protegida en términos de ley respectiva. III Toda persona tiene derecho a acceder y rectificar sus datos personales. Breve recuento
  • 5. 2009 – Reforma 16 Constitucional Reconoce la protección de datos personales como un derecho autónomo e independiente Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros”. 2010 – Ley Federal de Protección de Datos Personales en Posesión de Particulares -LFPDPPP (aprobada 27 de abril publicada 5 de julio) Breve recuento
  • 6. Durante más de 9 años fueron presentadas un total de nueve proyectos. Las propuestas oscilaron del modelo garantista que obstaculiza el libre flujo de datos (opt-in) al modelo liberalizado sin puntos mínimos regulatorios que den certeza al ciudadano. Breve recuento
  • 7. Características: legislacilegislacióón modernan moderna que reconoce y protege los llamados derechos de “tercera generación”, en particular la autodeterminaciautodeterminacióónn informativa.informativa. Coloca a la persona en el centro de la tutela delcentro de la tutela del EstadoEstado, reconociendo y respetando su dignidad y valía. Establece un marco general que contempla reglas claras, concretas y mínimas para lograr un equilibriolograr un equilibrio entre protección de la información personal y la libre circulación de la misma en un mundo globalizado, en concordancia con los estándares internacionales. Generalidades de la LFPDPPP
  • 8. Se alinea a instrumentos internacionales (OCDE,OCDE, APEC y la UniAPEC y la Unióón Europea)n Europea), otorgándole alto grado de competitividad. Brinda certeza jurcerteza juríídica en los intercambiosdica en los intercambios comercialescomerciales nacionales y transfronterizos, propiciando con ello, el arribo de mayor inversión extranjera y por consecuencia la generación de empleos. Permite a las empresas establecer o mejorar, sus polpolííticas de privacidadticas de privacidad, incidiendo de manera directa, en una mayor seguridad en el manejo de la información. Generalidades de la LFPDPPP
  • 9. Recoge los “Estándares Internacionales para la Protección de la Privacidad”, adoptados en Madrid, en noviembre de 2009, así como elementos del marco de privacidad de APEC, en un marco de absoluta congruenciaabsoluta congruencia. Generalidades de la LFPDPPP
  • 10. No impone cargas excesivasNo impone cargas excesivas e innecesarias de cumplimiento, por ejemplo. • No se requiere un Registro de las bases de datos en posesión de los particulares. • Prevé que el consentimiento del titular sea tácito (opt-out) para casi la totalidad de tratamientos. • No se prevé la obligación de solicitar al órgano garante la autorización de las transferencias internacionales. Generalidades de la LFPDPPP
  • 11. 1. Ámbito de aplicación. 2. Principios y Derechos. 3. Régimen especial para datos sensibles. 4. Ejercicio de los derechos ARCO. 5. Transferencia de datos. 6. Autoridades: IFAI —garante— y Reguladoras. 7. Procedimientos: Protección de Datos. Verificación. Imposición de Sanciones. 8. Infracciones y Sanciones. 9. Delitos en materia de tratamiento indebido. Ejes Rectores de la LFPDPPP
  • 12. AutonomAutonomíía.a. Técnica, de gestión y de decisión, así como con personalidad jurídica y patrimonio propios. Unicidad de criterio.Unicidad de criterio. Se elimina el riesgo de asimetrías en el grado de observancia a los principios de protección de datos personales exigidos a los responsables, provengan del sector público o bien, del privado Curva de aprendizaje.Curva de aprendizaje. Se aprovecha la acumulación de conocimiento y especialización en materia de datos personales. IFAI: “doble autoridad” , Ventajas
  • 13. Los ministerios, en colaboraciLos ministerios, en colaboracióón con el IFAIn con el IFAI emitiremitiráán regulacin regulacióón especializada que involucren especializada que involucre el tratamiento de datos personales.el tratamiento de datos personales. Autoridades Reguladoras
  • 14. • Evitar que esta garantía constitucional se convierta en “letra muerta”. • Difundir el conocimiento de este nuevo derecho entre la sociedad mexicana, además de promover su ejercicio y vigilar su debida observancia. • Emitir la legislación secundaria que dé plena vigencia a las disposiciones contenidas en la Ley. • Construir un “compromiso de corresponsabilidad” con el sector privado, a fin de lograr altos niveles de acatamiento de la Ley. • Promover el modelo de terceros certificados (Autorregulación) Principales Desafíos
  • 15. • Brindar de manera rápida y oportuna, apoyo técnico a los responsables para el cumplimiento de las obligaciones. • Instrumentar los sistemas informáticos de atención de protección de derechos. • Crear conciencia entre los nativos informnativos informááticosticos, sobre la importancia de este derecho. • Iniciar las gestiones correspondientes para solicitar la adecuaciadecuacióón de Mn de Mééxicoxico ante la Comisión Europea. • Impulsar entre la comunidad internacional, la aprobación de desarrollos normativos en la materia. Principales Desafíos
  • 16. Creación de un sistema tecnológico de acceso libre en Internet Sistema Gestor de Casos Facilitará a los particulares el ejercicio de sus derechos ARCO Favorecerá la atención de quejas en todo el país Ofrecerá formatos tipo de aviso de privacidad para los responsables Facilitará la identificación de las medidas de seguridad adecuadas para el tipo de datos tratados Los responsable podrán consultar tabla de equivalencia entre regulación y normas para instaurar medidas de seguridad Primeras Acciones
  • 17. • Programas de sensibilización sobre la importancia del derecho. • Capacitación de: sujetos regulados, titulares de los datos, y a personal del Instituto. • Elaborar base de datos con preguntas frecuentes, que sirva para ofrecer orientación telefónica y por Internet. • Decidir el modelo de implantación territorial de atención a procedimientos. • Definir el sistema de atención de consultas, quejas y procedimientos de conciliación. • Definir la metodología para el desahogo de procedimientos de verificaciones y elaboración de temario y contenidos para la formación de inspectores. • Determinar el procedimiento de acreditación de terceros certificados. Primeras Acciones
  • 18. • El IFAI y el Ministerio de Economía concluimos la elaboracielaboracióón conjunta del Reglamenton conjunta del Reglamento, que será sometido a consulta pública. • Hemos diseñado modelos de aviso de privacidadmodelos de aviso de privacidad para disposición del sector privado. • Hemos sostenido reuniones conreuniones con algunos miembros del sector privadosector privado, a fin de despejar dudas concretas sobre la implementación de la Ley. En dónde estamos?
  • 19. En el IFAI aspiramos a construir un Compromiso de CorresponsabilidadCompromiso de Corresponsabilidad con todos los actores involucrados, a fin lograr un alto nivel de acatamientoalto nivel de acatamiento de la Ley, en aras de una efectiva protección de los datos personales. Compromiso Institucional
  • 20. Derechos Arco Procedimiento de Protección de derechos Procedimiento de verificación Procedimiento de Falta de Respuesta Procedimiento de Conciliación Procedimiento de Imposición de Sanciones
  • 21. ¿Quién los puede ejercer? El titular o su representante (Artículo 22) ¿Quién los puede ejercer? El titular o su representante (Artículo 22) Acceso (Artículo 23) Rectificación (Artículo 24) Cancelación (Artículo 25) Bloqueo: para efectos de responsabilidades nacidas del tratamiento (Artículo 25) Causales de improcedencia de la cancelación (Artículo 26). Cuando: Sea para el desarrollo y cumplimiento de un contrato legal Sea necesario para proteger intereses jurídicamente tutelados del titular Sea por disposición legal Sea necesario para una acción de interés público Sea necesario para cumplir con una obligación legalmente adquirida por el titular eltratamiento:eltratamiento:lacancelaciónlacancelación Obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, investigación y persecución de delitos o sanciones administrativa. Oposición (Artículo 27) Los derechos no son mutuamente excluyentes (Artículo 22) Los derechos no son mutuamente excluyentes (Artículo 22)
  • 22. Requisitos de la solicitud de A,R,C,O (Artículo 29) Requisitos de la solicitud de A,R,C,O (Artículo 29) I. Nombre del titular y domicilio u otro medio de notificación II. Documentos que acrediten identidad o representación legal Atención por parte del RESPONSABLEAtención por parte del RESPONSABLE III. Descripción clara y precisa de los DP respecto de los cuales se ejerce IV. Cualquier otro elemento o documento que facilite la localización de los DP Artículo 31: Para el caso de rectificación (R), debe incluir las modificaciones a realizarse y la documentación que sustente la petición Debe designar a una persona o departamento de DP para atender solicitudes A,R,C,O (Artículo 30) Debe ATENDER la solicitud en dos tiempos: (Artículo 32) 20 días para comunicar al titular la determinación adoptada 15 días para hacer efectiva la determinación adoptada Ambos plazos se pueden ampliar por una vez ¿Problema?
  • 23. Artículo 34Artículo 34 Causales para negativa del A, R, C O: Cuando el solicitante no sea el titular de los datos personales, o el representante legal esté debidamente acreditado para ello Cuando exista un impedimento legal, o la resolución de una autoridad competente, que restrinja el A, R, C, O a los datos personales Cuando en su base datos no se encuentren los datos personales del solicitante Cuando se lesionen los derechos a un tercero Cuando la R, C O haya sido previamente realizada Podrá ser parcial Deberá estar justificada (informar el motivo de la decisión) y aportar, “en su caso”, las pruebas pertinentes. Condiciones de la negativa del A, R, C O: Negativa del A, R, C ONegativa del A, R, C O
  • 24. La expresión clara del contenido de la reclamación y de los preceptos de la LFPDPPP que se consideran vulnerados 15 días después de la respuesta Si no hay respuesta, una vez vencido el plazo ¿Quién la puede interponer? El titular o su representante ¿Quién la puede interponer? El titular o su representante ¿Cuál es el plazo para interponerla?¿Cuál es el plazo para interponerla? ¿Problema? Se deberá acreditar la fecha de la solicitud Naturaleza y procedencia del ACTO RECLAMADO Naturaleza y procedencia del ACTO RECLAMADO Artículo 45 (Primera parte) Artículo 45 (Primera parte) También procederá cuando No se entreguen los datos solicitados Se niegue a efectuar modificaciones o correcciones a los datos Se entreguen en un formato incomprensible El titular no esté conforme con la información entregada por considerar que es incompleta o no corresponde. Solicitud de protección de datos personalesSolicitud de protección de datos personales
  • 25. Recepción de la solicitud de protección de datos en el IFAI Artículo 45 (Segunda parte) Artículo 45 (Segunda parte) El IFAI corre traslado al responsable 15 días tiene el responsable para emitir respuesta al traslado, ofrecer pruebas y manifestar lo que a su derecho convenga El IFAI admite y desahoga las pruebas Concluido el desahogo las pruebas, el IFAI notifica al responsable para que presente alegatos 5 días tiene el responsable para presentar sus alegatos El IFAI valora las pruebas, los elementos de convicción y ¿puede o debe? Celebrar audiencia con las partes Bosquejo del procedimientoBosquejo del procedimiento El Instituto resuelve dentro de 50 días (con posibilidad de una ampliación) (Artículo 47) Suplencia de la queja (Artículo 50) / Prevención (Artículo 49) Conciliación (Artículo 54)
  • 26. Procederá cuando: 1.Se de el incumplimiento a las resoluciones dictadas con motivo de procedimientos de protección de derechos o 2.Se presuma fundada y motivadamente la existencia de violaciones a la presente ley. Facultad del Instituto: Verificar el cumplimiento de la Ley y de la normatividad que se derive de la misma (Artículo 59) Facultad del Instituto: Verificar el cumplimiento de la Ley y de la normatividad que se derive de la misma (Artículo 59) A petición de parte A petición de parte Procedimiento de verificación (Artículo 60) El Instituto tendrá acceso a la información y documentación que considere necesarias, de acuerdo con la resolución que lo motive Los servidores públicos deberán guardar confidencialidad sobre la información que conozcan en los procedimientos de verificación. De oficioDe oficio “El Reglamento desarrollara la forma, términos y plazos en que se sustanciará el procedimiento” “El Reglamento desarrollara la forma, términos y plazos en que se sustanciará el procedimiento”
  • 27. Recepción de la solicitud de protección de datos en el IFAI , por falta de respuesta Artículo 55Artículo 55 El IFAI corre traslado al responsable para que acredite haber respondido 10 días tiene el responsable para acreditar haber respondido en tiempo y forma a la solicitud, o dar respuesta a la misma En caso de que la respuesta atienda a lo solicitado, la solicitud de protección de datos se considerará improcedente y se sobreseerá el asunto. En caso de que se compruebe que no hay respuesta atienda a lo solicitado, la resolución instruirá la entrega de la misma, sin costo para el titular.
  • 28. Artículo 54:“El Instituto podrá en cualquier momento del procedimiento buscar una conciliación. Se hará constar por escrito y tendrá efectos vinculantes. La solicitud de protección de datos quedará sin materia y el Instituto verificará el cumplimiento del acuerdo respectivo.
  • 29. Procedimiento de conciliación Características: Podrá celebrarse presencialmente, por medios remotos o locales de comunicación electrónica. Deberá hacerse constar por el medio que permita acreditar su existencia. En caso de que el titular de los datos sea menor de edad, se entenderá la conciliación con el representante legal. En caso de no existir acuerdo de conciliación, se continua el procedimiento de protección de derechos. Suspende el plazo del procedimiento de protección de derechos En caso de incumplimiento, se reanuda el procedimiento de protección de derechos
  • 30. Si de esos dos procedimientos, se tuviera conocimiento de un presunto incumplimiento de alguno de los principios o disposiciones, se iniciará el procedimiento. (Artículo 60) Si de esos dos procedimientos, se tuviera conocimiento de un presunto incumplimiento de alguno de los principios o disposiciones, se iniciará el procedimiento. (Artículo 60) Procedimiento de verificación Procedimiento de verificación Procedimiento de sanción (Artículo 62) Protección de derechos Protección de derechos Notificación al presunto infractor 15 días tendrá el presunto infractor para ofrecer pruebas y manifestar lo que a su derecho convenga En caso de no haber pruebas, el Instituto resolverá con base en los elementos de convicción que disponga El Instituto admitirá las pruebas y procederá a su desahogo. 5 días tendrá el presunto infractor para ofrecer alegatos El IFAI valora las pruebas, los elementos de convicción y formulará una resolución El Instituto resuelve dentro de 50 días (con posibilidad de ampliación) “El Reglamento desarrollara la forma, términos y plazos en que se sustanciará el procedimiento, incluyendo presentación de pruebas y alegatos, la celebración de audiencias y el cierre de instrucción” “El Reglamento desarrollara la forma, términos y plazos en que se sustanciará el procedimiento, incluyendo presentación de pruebas y alegatos, la celebración de audiencias y el cierre de instrucción”
  • 31. ImposiciImposicióón de sancionesn de sanciones Imposición de sanciones bajo un sistema de modulación, de acuerdo con la gravedad de las conductas. El Instituto tomará en cuenta factores como: La naturaleza del dato; La notoria improcedencia de la negativa del responsable para realizar los actos solicitados por el titular; El carácter intencional o no de la acción u omisión constitutiva de la infracción; La capacidad económica del responsable y la reincidencia. La reincidencia
  • 32. Apercibimiento Multa de 100 a 160,000 días de salario mínimo vigente en el Distrito Federal Multa de 200 a 320,000 días de salario mínimo vigente en el Distrito Federal Tipos de Sanciones No cumplir con la solicitud ARCO, en los términos de Ley Actuar con negligencia o dolo en la tramitación y respuesta de solicitudes ARCO Declarar dolosamente la inexistencia de datos personales Omitir en el aviso de privacidad los elementos que marca la Ley, Mantener datos personales inexactos o no efectuar las rectificaciones o cancelaciones que procedan Cambiar finalidad originaria del tratamiento de los datos, sin consentimiento Transferir datos a terceros sin comunicarles a éstos las limitaciones contenidas en el aviso de privacidad Recabar o transferir datos personales sin consentimiento Recabar datos en forma engañosa o fraudulenta Obstruir las verificaciones que realice el IFAI Infracciones cometidasInfracciones cometidas
  • 33. Delitos en materia de tratamiento deDelitos en materia de tratamiento de datos personalesdatos personales La LFPDPP establece tipos penales para sancionar hasta con 5 años de prisión a los responsables que hagan un uso ilícito de la información personal que tratan.
  • 34. Autorregulación LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES
  • 35. DEFINICIÓN DE AUTORREGULACIÓN Conjunto de normas de protección de datos que se apliquen a una pluralidad de responsables del tratamiento que pertenezcan a una misma profesión o al mismo sector industrial, cuyo contenido haya sido determinado fundamentalmente por miembros del sector industrial o profesión en cuestión. Working Paper 7 del Grupo de Trabajo del Artículo 29
  • 36. MODELO MEXICANO Las personas físicas o morales podrán convenir entre ellas o con organizaciones esquemas de autorregulación vinculante. La autorregulación: Complementa lo dispuesto por la LFPDPPP. Debe contener mecanismos para medir su eficacia, consecuencias y medidas correctivas. Podrá traducirse en códigos deontológicos o de buena práctica profesional, sellos de confianza u otros mecanismos. Debe facilitar el ejercicio de los derechos de los titulares. Los esquemas de autorregulación serán notificados de manera simultánea a las autoridades sectoriales correspondientes y al Instituto. Artículo 44 de la LFPDPPP
  • 37. MODELO MEXICANO Reconoce los beneficios de la autorregulación. Retoma la necesidad de que los responsables notifiquen ante la autoridad los esquemas de autorregulación. Permite el libre flujo de los datos personales (sin consentimiento del titular) entre empresas de un mismo grupo sujeto a un esquema de autorregulación que prevea al menos los principios de la LFPDPPP. Es compatible con esquemas de autorregulación que permiten el flujo internacional de datos como las Reglas Transfronterizas de Privacidad (CBPRs) y las Reglas Corporativas Vinculantes (BCRs).
  • 38. BENEFICIOS Los instrumentos de autorregulación ofrecen un valor añadido en la protección de datos personales porque: Constituyen un elemento de mayor calidad en el trato de los clientes de las organizaciones, ante la insuficiencia de las regulaciones aprobadas por el Estado o, añadiendo garantías adicionales a las existentes. Permiten adaptar la normativa a las especificidades que presenta el tratamiento de datos en un determinado sector de actividad, de forma que se generen estándares adaptados a las necesidades del sector, que faciliten su cumplimiento. Realizan una función preventiva más que reactiva: permiten ofrecer una solución rápida al titular de los datos.
  • 39. MARCO NORMATIVO La SE tiene la atribución de fijar los parámetros para el correcto desarrollo de los mecanismos y medidas de autorregulación, en coadyuvancia con el IFAI Artículo 43 fracción V Las transferencias de datos podrán realizarse sin el consentimiento del titular cuando sean efectuadas a sociedades bajo el control común de un responsable o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas. Artículo 37 fracción V
  • 40. ACREDITACIONES Y CERTIFICACIONES La propuesta Reglamento de la LFPDPPP señala lo siguiente: Dependencias e IFAI podrán acreditar a certificadores (terceros autorizados). Personas físicas o morales que sean acreditadas como certificadores deberán garantizar la independencia e imparcialidad para el otorgamiento de certificados. El procedimiento de acreditación se realizará de conformidad con los parámetros establecidos por la SE en coadyuvancia con el IFAI.
  • 41. ACREDITACIONES Y CERTIFICACIONES El certificado se otorgará cuando: Las políticas/programas de un responsable garanticen el debido tratamiento de los datos personales, para lo cual se podrá recurrir a los mecanismos de verificación y auditorías. Haya constancia de que el responsable cumple con la LFPDPPP, Reglamento, otras disposiciones y mecanismos de autorregulación. Prevé la revocación de una acreditación o certificación en caso de incumplimiento del certificador o del responsable.
  • 42. Retos El modelo debe garantizar el cumplimiento de los requisitos mínimos establecidos por ley. Debe considerar esquema de aseguramiento. Diseño de proceso de acreditación de Certificadores efectivo y transparente. Considerar sistema revisión y eventuales consecuencias.
  • 43. Corresponsabilidad
  • 44. Anteproyecto de ReglamentoAnteproyecto de Reglamento de la LFPDPPPde la LFPDPPP Proyecto IFAIProyecto IFAI--SESE
  • 45. Espíritu del Reglamento Inducir un bajo nivel contencioso y un alto nivel de acatamiento de la norma.
  • 46. Ejes rectores del Reglamento
  • 47. Ejes rectores del Reglamento
  • 48. Capítulo I. Disposiciones Generales Ámbito de aplicación objetivo: tratamiento de datos personales que obren en soportes físicos y/o electrónicos. Ámbito de aplicación territorial: responsable en México/ encargado de responsable en México/ por contrato o derecho internacional/ medios en México/ encargado en México de responsable fuera del país (sólo medidas de seguridad). Excepciones: detalla las excepciones previstas en la LFPDPPP. Fuente de acceso público: describe las fuentes de acceso público.
  • 49. Capítulo II. De los Principios de Protección de Datos Personales Consentimiento tácito como regla general. Consentimiento expreso para datos sensibles y patrimoniales, así como para datos de menores de edad, de personas en estado de interdicción e incapacitadas. Aviso de privacidad: aviso multicapas. El simplificado deberá contener la identidad y domicilio del responsable, la finalidad del tratamiento y el medio para conocer el completo. El completo deberá contener los elementos del artículo 16 de la LFPDPPP, más los que establezcan los lineamientos y la referencia de poder acudir al IFAI para defensa del derecho. Medidas compensatorias: medidas pre-autorizadas por el IFAI o, de ser el caso, procedimiento para autorización por parte del IFAI. Procedimiento ante el IFAI para tratamiento con fines históricos y científicos. Datos personales sensibles: establece precisiones con relación al tratamiento de este tipo de datos.
  • 50. Capítulo III. De la Seguridad de las Bases de Datos (avances) Se basa en la neutralidad tecnológica y en un enfoque de gestión de riesgos moderno y eficaz. Medidas de seguridad: control o grupo de controles que se determinarán según nivel de riesgo. Niveles de seguridad según: riesgo, sensibilidad de los datos, número de titulares, desarrollo tecnológico, consecuencias para titulares, vulnerabilidades, entre otros. Además prevé: Un cuestionario de autoevaluación para PYMES. Que se establezca el rol de encargado de medidas de seguridad. Que se elabore un documento de seguridad. Que el IFAI emita recomendaciones en materia de seguridad.
  • 51. Capítulo IV. Del tratamiento de datos personales con fines mercadotécnicos, publicitarios o de prospección comercial Deber del responsable de informar al titular mediante el aviso de privacidad, las finalidades relacionadas a mercadotecnia y prospección comercial. Posibilidad del titular de oponerse. Detalla el ejercicio del derecho de oposición para este tipo de tratamientos y los listados de exclusión.
  • 52. Capítulo V. De las Transferencias de Datos Personales Se requiere consentimiento del titular. Deber del responsable de informar al titular sobre la transferencia en el aviso de privacidad. Cláusulas contractuales.
  • 53. Capítulo VI. De las Atribuciones de las Autoridades y de la Coordinación entre ellas (pendiente) El IFAI podrá solicitar a la dependencia competente la elaboración de un anteproyecto de regulación secundaria. A su vez, la dependencia podrá impulsar la emisión de regulación específica. El IFAI emitirá opinión respecto de la regulación secundaria. La dependencia y el IFAI acordarán el proyecto. La dependencia y el IFAI aprobarán el proyecto definitivo. La dependencia publicará en el DOF. Ejemplo Lineamientos de archivos, publicados por SEGOB: “… Estados Unidos Mexicanos.- Secretaría de Gobernación.- Archivo General de la Nación.- Instituto Federal de Acceso a la Información Pública.”
  • 54. Capítulo VII. De la Autorregulación Vinculante (avances) Reglas o estándares para armonizar los tratamientos de datos y facilitar el ejercicio de los derechos de los titulares. La Secretaría de Economía, en coadyuvancia con el IFAI, emitirá los parámetros para el desarrollo de los mecanismos de autorregulación. La autoridad del sector que corresponda, en coadyuvancia del IFAI, podrá acreditar y revocar la acreditación de las personas físicas o morales como certificadores. Los mecanismos de autorregulación deberán ser notificados a la autoridad del sector que corresponda y al IFAI. Uno de los objetivos será encauzar mecanismos de solución alternativa de controversias.
  • 55. Capítulo VIII. De los Derechos de los Titulares de Datos Personales y su Ejercicio Reglas claras para el ejercicio de los derechos ARCO. Decisiones sin intervención humana valorativa: deber del responsable de informar sobre ello, mediante su aviso de privacidad, y de otorgar al titular mecanismos para solicitar la reconsideración de la decisión.
  • 56. Capítulo IX. Del Procedimiento de Protección de Derechos Conciliación: El IFAI promoverá la conciliación dentro de los primeros 15 días. El Instituto requerirá a las partes se manifiesten sobre su voluntad de conciliar y las exhortará para llegar a un arreglo. La conciliación podrá celebrarse presencialmente, por medios remotos o locales de comunicación electrónica o por cualquier otro medio. Aceptada la posibilidad de conciliar, se celebrará una audiencia. De no existir acuerdo en la audiencia, se continuará con el procedimiento. En caso de que en la audiencia se logre la conciliación, el acuerdo deberá constar por escrito y tendrá efectos vinculantes. El cumplimiento del acuerdo dará por concluido el procedimiento, en caso contrario, el Instituto lo reanudará.
  • 57. Capítulo X. Del Procedimiento de Verificación El procedimiento de verificación tendrá una duración máxima de 180 días, el cual se podrá ampliar por una vez. Visitas de verificación. Derecho de audiencia, presentación de pruebas y alegatos. La resolución del Pleno podrá establecer medidas que deberá adoptar el responsable, o bien, instruir el inicio del procedimiento de imposición de sanciones.
  • 58. Capítulo XI. De las medidas para el cese en el uso de los datos personales Condiciones para aplicar las medidas: I. Exista una presunción fundada y motivada de violaciones graves a la Ley, al Reglamento y demás disposiciones aplicables, y II. Cuando cualquier demora pueda ocasionar daños irreparables o de difícil reparación para el titular de los datos personales. Deberán ser conducentes al riesgo que se prevé. El responsable tendrá hasta 5 días para atender la medida, y en caso de no hacerlo se iniciará el procedimiento de imposición de sanciones. La medida se levantará tan pronto como cesen las causas que le dieron origen, mediante resolución del IFAI, la cual tendrá que emitirse en un plazo que no mayor a 10 días, a partir de la presentación de pruebas por parte del responsable.
  • 59. Capítulo XII. Del Procedimiento de Imposición de Sanciones 50 días para la sustanciación del procedimiento. Iniciará cuando de los procedimientos de protección de derechos o de verificación, se determinen infracciones a la Ley susceptibles de ser sancionadas. Ofrecimiento y desahogo de pruebas. Celebración de audiencia. La imposición de sanciones se determinará de conformidad con los criterios que emita el IFAI, considerando los previstos en el artículo 65 de la Ley.
  • 60. Fechas límite 6 de julio, contar con aviso de privacidad apegado a la ley y designar a la persona o departamento de datos personales que se encargue de tramitar las solicitudes de derechos ARCO, así como implantar las políticas de privacidad al interior de la organización; De julio a diciembre, poner en marcha los procedimientos de la organización para estar en condiciones de plantar atender las solicitudes de titulares, e implantar las medidas de seguridad correspondientes, y 6 de enero de 2012, entra en vigor el ejercicio de los derechos ARCO ante las empresas y la posibilidad de solicitar la tutela de derechos ante el IFAI.
  • 61. www.ifai.org.mx http://www.infomex.org.mx/gobiernofederal/home.action 01800 TEL IFAI 01800 835 4324 atencion@ifai.org.mx TEL. 50 04 24 00
  • 62. Artículo 36: Cuando el responsable pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos del encargado, deberá comunicar a éstos el aviso de privacidad y las finalidades a las que el titular sujetó su tratamiento. El tratamiento de los datos se hará conforme a lo convenido en el aviso de privacidad, el cual contendrá una cláusula en la que se indique si el titular acepta o no la transferencia de sus datos, de igual manera, el tercero receptor, asumirá las mismas obligaciones que correspondan al responsable que transfirió los datos. Es posible la transferencia sin el consentimiento del particular cuando: • Esta prevista en la ley o un tratado • Es necesaria por motivos médicos o sanitarios • Es efectuada a sociedades controladoras, bajo el control del mismo grupo del responsable que opere bajo los mismas políticas internas; • Es necesaria en razón de una contratación en interés del titular, por el responsable y un tercero; • Es necesaria o legalmente exigida para la salvaguarda de un interés público, o la procuración o administración de justicia; • Es necesaria para reconocer, ejercer o defender un derecho ante un proceso judicial; • Es precisa para mantener y cumplir una relación judicial entre titular y responsable. Artículo 37Artículo 37