Ley de protección de datos personales en propiedad de terceros

1,319 views
1,034 views

Published on

Presentación del curso sobre la Ley de protección de datos personales en propiedad de terceros

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,319
On SlideShare
0
From Embeds
0
Number of Embeds
73
Actions
Shares
0
Downloads
22
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Ley de protección de datos personales en propiedad de terceros

  1. 1. LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES
  2. 2. Antecedentes Era Digital • Generamos, transmitimos, recibimos, utilizamos y almacenamos información como nunca antes en nuestra historia... y esta tendencia, lejos de aminorar, crece ininterrumpidamente. • Ejemplos como Facebook o Twitter son arquetípicos. • Incremento potencial de usuarios de portales electrónicos.
  3. 3. Antecedentes Lo público y lo privado La diferencia entre lo público y lo privado tiende a diluirse. Nuestros datos personales son tratados como una mercancía más, olvidando que un dato de carácter personal es propiedad de un individuo.
  4. 4. Antecedentes Declaración Universal de Derechos Humanos "Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su correspondencia, ni de ataques a su honra o su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques". (Art. 12. Declaración Universal de los Derechos Humanos)
  5. 5. Antecedentes Hackeos y Fishing • Nadie es inmune, ya que incluso los gobiernos o grandes corporativos con avanzados sistemas de seguridad tampoco están exentos de sufrir fuga de información, y ponen en evidencia que a mayor número de datos mayor es el riesgo y por tanto la necesidad de estar preparados para enfrentarlo. • Cada cuatro segundos se roba la identidad de una persona en Internet, así lo señaló la comisionada del Instituto Federal de Acceso a la Información y Protección de Datos (IFAI)
  6. 6. Antecedentes Experiencia Internacional Más de los 751 países que ya cuentan con legislaciones en materia de protección de datos personales. Entre los países que ya cuentan con legislación al respecto se encuentran: Islandia, Liechtenstein, Noruega, Suiza, Austria, Dinamarca, Francia, Alemania, Luxemburgo, Noruega, Suecia, Estados Unidos, Bélgica, Países Bajos, España, Venezuela, Perú, Argentina, Guatemala, Colombia, Nicaragua, Ecuador, Chile, Reino Unido,Panamá, Costa Rica, Uruguay, Italia, Canadá, entre otros.
  7. 7. Antecedentes Reformas a la Constitución Política de los Estados Unidos Mexicanos Artículo 16: se eleva a grado de Garantía Individual los Datos Personales (DOF. 1 de junio de 2009). Artículo 16.- […] Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.
  8. 8. Antecedentes Reformas a la Constitución Política de los Estados Unidos Mexicanos Artículo 73: : se establece que el Congreso de la Unión deberá expedir la ley en la materia en un plazo no mayor a 12 meses (DOF. el 30 de abril de 2009).
  9. 9. Antecedentes El derecho a la privacidad El derecho a la privacidad se refiere a la capacidad de la persona para controlar el uso de sus datos; de decir hasta qué momento otra persona los puede ocupar; a pedir información acerca de su uso cuando se desee, etc. Se trata, primero, del derecho a la intimidad, y en segundo lugar a la protección de datos personales, que representan nuestra identidad ante el mundo.
  10. 10. Objetivos de la Ley Regular el tratamiento de los datos, de manera controlada e informada, para garantizar la privacidad y el derecho a la autodeterminación de las personas. Faculta a los Titulares para decidir cómo, cuándo, dónde y por quién son ocupados sus datos personales.
  11. 11. Protección de Datos La protección de datos personales en México se garantiza a través de dos piezas legislativas: Al sector público federal le es aplicable la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental(LFTAIPG). Al sector privado le es aplicable la Ley Federal de Protección de Datos Personales en posesión de los Particulares (LFPDPPP). Ambos documentos dotan al Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) de atribuciones para garantizar el ejercicio de este derecho.
  12. 12. ¿Qué son los datos personales? Los datos personales son toda la información concerniente o relativa a una persona física identificada o identificable, tales como: • Datos de identificación • Nombre, edad, domicilio, sexo, RFC, CURP… • Datos patrimoniales • Cuentas bancarias, saldos, propiedades… • Datos de salud • Estados de salud físico y mental… • Datos biométricos • Huellas dactilares, iris, palma de la mano… • Otros • Ideología, afiliación política, religión, origen étnico, preferencia sexual…
  13. 13. ¿Qué son los datos personales? Si a partir de uno o más datos NO es posible identificar a quién le pertenecen, entonces no se consideran datos personales. Estos datos son considerados personales si y solo si: a.Se encuentran asociados a una persona, por ejemplo: Pedro Páramo del Bosque; b.Que a partir de uno o más de esos datos sea posible conocer que le pertenecen a Pedro Páramo del Bosque.
  14. 14. Excepciones El Reglamento de LFPDPPP introduce tres excepciones sobre información (datos personales) que no son sujetas a la aplicación del mismo Reglamento: I. Los datos relativos a personas morales; II. Los datos personales que refieran a personas físicas en su calidad de comerciantes y profesionistas. III. La de personas físicas que presten sus servicios para alguna persona moral o persona física con actividades empresariales y/o prestación de servicios.
  15. 15. Disociación En caso necesario, y con la finalidad de romper el vínculo entre un dato y una persona, la doctrina en la materia reconoce el proceso de disociación, situación que puede independizar un dato personal de su dueño. Es importante que cualquier dato personal, aunque sea sensible puede ser disociado para ser utilizados con fines estadísticos, históricos o de análisis interno.
  16. 16. ¿Cuáles son los datos sensibles? “Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida puede dar origen a discriminación o conlleve un riesgo grave para éste.”(artículo 3, fracción VI). “En particular son considerados sensibles aquellos que revelan aspectos como el origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas y preferencia sexual.”
  17. 17. ¿Cuáles son los datos sensibles? La Ley no permite crear bases de datos sensibles sin que exista una justificación con finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el responsable del tratamiento de los datos.
  18. 18. Ámbito de la Ley. La Ley, por ser federal, es de observancia general en toda la República y aplica a todas las personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales. I. Cuando sea efectuado en un establecimiento del Responsable ubicado en territorio mexicano; II. Sea efectuado por un Encargado con independencia de su ubicación, a nombre de un responsable establecido en territorio mexicano; III. El Responsable no esté establecido en territorio mexicano pero le resulte aplicable la legislación mexicana, derivado de la celebración de un contrato o en términos del derecho internacional; IV. El Responsable no esté establecido en territorio mexicano y utilice medios situados en México, salvo que tales medios se utilicen únicamente con fines de tránsito que no impliquen un tratamiento.
  19. 19. Sujetos de la Ley. • Titular: persona a quien le pertenecen los datos personales que serán tratados por el Responsable. • Responsable: persona física o moral que decide sobre el tratamiento de los datos. • Encargado: persona física o jurídica que sola o en conjunto con otras trate datos por instrucciones del Responsable. • Tercero: La ley considerará también como Responsable a un Tercero (distinto del Responsable y del Encargado), al que se le transfieran datos personales.
  20. 20. Principios de Protección de Datos Son ocho los principios que la Ley establece para ser cumplidos por el Responsable: 1. 2. 3. 4. 5. 6. 7. 8. Licitud Consentimiento Información Calidad Finalidad Lealtad Proporcionalidad Responsabilidad
  21. 21. Principio de Licitud Establece que todos los datos personales deben recabarse y tratarse de forma legal, siempre considerando lo establecido en la Ley.
  22. 22. Principio de Consentimiento El Responsable está obligado a solicitar el consentimiento (autorización) de los titulares antes de dar tratamiento a sus datos a través del Aviso de Privacidad. Dicho consentimiento puede ser: • Expreso: verbal, por escrito, a través de medios electrónicos, ópticos o cualquier otra tecnología, o por medios inequívocos (comprobables). • Tácito: cuando al poner a disposición del Titular el Aviso de Privacidad, éste no hace manifestación alguna de negativa.
  23. 23. Principio de Consentimiento El consentimiento del Titular debe tener ciertas características sin importar que sea tácito o expreso, como son: · Libre, sin que medie el error, la mala fe, violencia o dolo que puedan afectar la manifestación del Titular. · Específico, referido a una o varias finalidades o propósitos determinados que justifiquen el tratamiento. · Informado, que el titular tenga conocimiento del Aviso de Privacidad. . Inequívoco, que exista una acción u omisión que implique la existencia del consentimiento.
  24. 24. Principio de Consentimiento Existen casos en los que el consentimiento no es necesario, como: a) b) c) d) e) f) g) h) i) Cuando lo prevea una ley. Los datos provengan de fuentes de acceso público. Haya existido un procedimiento previo de disociación, es decir, El propósito sea cumplir con alguna obligación entre el Titular y el Responsable. Situación de emergencia. En caso de tratamiento médico o servicios sanitarios en que el Titular no esté en condiciones de dar su consentimiento. Se dicte resolución por autoridad competente.
  25. 25. Principio de Consentimiento Se requiere el consentimiento expreso cuando: a) b) c) d) e) Lo exija una ley. Se recaben y traten datos financieros o patrimoniales. Se recaben y traten datos sensibles. Lo solicite el responsable para acreditarse. Sea un acuerdo entre el Responsable y el Titular. El Titular podrá revocar en cualquier momento su consentimiento, para lo cual el Responsable deberá establecer mecanismos sencillos y gratuitos, siempre y cuando no lo impida una disposición legal.
  26. 26. CONSENTIMIENTO Regla General Excepción Transferencia de Datos Transferencia de Datos a Personas Autorizadas No se requiere Datos Personales Generales Consentimiento Tácito o Expreso por cualquier medio No se requiere Consentimiento Tácito o Expreso por cualquier medio Datos Sensibles Consentimiento Expreso y por Escrito No se requiere Consentimiento Expreso y por Escrito No se requiere Datos Patrimoniales o Financieros Consentimiento Expreso por cualquier medio No se requiere Consentimiento Expreso por cualquier medio No se requiere
  27. 27. Transferencia de Datos Es importante recordar que dicha transferencia se pueden hacer, siempre y cuando el titular lo autorice. Sin embargo, la Ley establece que la transmisión de datos se puede llevar a cabo sin que medie consentimiento cuando: 1. Esté prevista en una ley o en un tratado del cual México sea parte. 2. Sea necesaria para la prevención o diagnóstico médico. 3. Se realice entre empresas pertenecientes a un grupo empresarial que compartan determinados procesos o políticas internas. 4. Sea necesaria para el cumplimiento de un contrato que sea del interés del Titular y sea celebrado entre el Responsable y un Tercero. 5. Por el interés público de procuración o administración de justicia. 6. Cuando lo solicite un juez dentro de un proceso judicial.
  28. 28. Principio de Información El Responsable, por medio del Aviso de Privacidad, debe comunicar a los Titulares qué datos personales recaba y la finalidad o propósito de su tratamiento.
  29. 29. Principio de Calidad El Responsable debe buscar que los datos personales que trate sean exactos, completos, pertinentes, correctos y actualizados, a fin de disminuir posibles solicitudes de Rectificación por parte de los Titulares.
  30. 30. Principio de Finalidad El Responsable deberá tratar los datos exclusivamente para la finalidad establecida en el Aviso de Privacidad. Si el Responsable pretendiera tratar los datos para fines incompatibles a los establecidos en el Aviso de Privacidad, se requerirá recabar nuevamente consentimiento del Titular.
  31. 31. Principio de Lealtad El Responsable debe evitar en todo momento recolectar datos de particulares por medios engañosos o fraudulentos. Los datos deben tratarse conforme a la presunción de “expectativa razonable de privacidad”. En caso de vulnerar un dato personal, se estaría quebrantando la confianza y tratamiento de datos que los particulares depositaron en el responsable, lo que traería como consecuencia otro tipo de responsabilidades, como la civil o, en ciertos casos, la penal.
  32. 32. Principio de Proporcionalidad El Responsable deberá procurar en todo momento que el contenido de las bases de datos sean conducentes o concernientes exclusivamente para el tratamiento que se les dará, Este principio también será clave en la estrategia general de protección, ya que mientras menos datos personales se traten, más sencillo será su gestión y resguardo
  33. 33. Principio de Responsabilidad El Responsable tendrá la obligación de establecer y mantener medidas de seguridad Administrativas, Técnicas y Físicas que protejan los datos personales contra daños, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado, las cuales deberán ser al menos iguales a las aplicadas a su propia información. En caso de que la seguridad se vulnere y pueda afectar en forma significativa los derechos patrimoniales o morales del titular, el Responsable tendrá la obligación de informar en forma inmediata al Titular para que tome las medidas correspondientes.
  34. 34. Principio de Responsabilidad El Responsable, o cualquier Tercero que intervenga en el tratamiento de los datos, tiene la obligación de guardar confidencialidad respecto de los mismos aún después de concluida su relación con el responsable o los titulares.
  35. 35. Aviso de Privacidad El Aviso de Privacidad debe caracterizarse por ser sencillo, con información necesaria, expresado en lenguaje claro y comprensible, y con una estructura y diseño que facilite su entendimiento.
  36. 36. Aviso de Privacidad La información mínima que debe tener un Aviso de Privacidad es la siguiente: a) Nombre y domicilio del Responsable que recaba los datos. b) Relación detallada de los datos personales que se c) La(s) finalidad(es) del tratamiento de datos. d) Opciones que el responsable ofrece a los titulares para limitar el uso o divulgación de los datos. e) Medios para hacer valer los derechos ARCO (acceso, rectificación, cancelación u oposición). f) Mecanismos para revocar el consentimiento de tratamiento de datos. g) La aceptación o negación de que se transfieran los datos personales a Terceros. h) Formas y vías de comunicación respecto de cambios al aviso de privacidad.
  37. 37. Aviso de Privacidad Cuando el dato se recabe en forma personal (en presencia del Titular), el Responsable debe facilitar el Aviso de Privacidad en ese momento de forma clara y fehaciente, salvo que se hubiera facilitado con anterioridad. Si resulta imposible dar a conocer el Aviso de Privacidad al Titular, o esto exija esfuerzos desproporcionados en función del número de titulares o la antigüedad de los datos, el Responsable podrá instrumentar medidas compensatorias como la publicación en la página web del Responsable, diarios o carteles.
  38. 38. Recomendaciones • Contar con títulos cortos y claros, que de manera sencilla informen al titular sobre el contenido del aviso; • Utilizar un lenguaje claro y comprensible, a fin de que el mensaje se dirija de manera adecuada al público objetivo; • Brindar un contexto para facilitar la comprensión del contenido; • Tener una estructura clara y textos breves; • En el caso de que se requiera el consentimiento expreso utilizando medios verbales, incluir un mecanismo que permita al Titular elegir entre las opciones de otorgar o negar su consentimiento; • Evitar la inclusión de textos o formatos que induzca al Titular a elegir una opción en específico.
  39. 39. Aviso de privacidad de P&G • Alcance Este aviso de privacidad se aplica a toda la información e incluye la información personal recopilada sobre usted por P&G (The Procter & Gamble Company y sus empresas afiliadas y subsidiarias)
  40. 40. Aviso de privacidad de P&G • Información que recopilamos Recopilamos información sobre usted a partir de varias fuentes, que incluyen: • • Información que recopilamos de usted de forma directa. • Información que recopilamos sobre usted a partir de otras fuentes, como fuentes comercialmente disponibles. • Toda la información que recopilamos sobre usted puede combinarse para ayudarnos a adaptar nuestras comunicaciones a usted y desarrollar productos y servicios de talla mundial. Información que recopilamos de usted cuando visita nuestro sitio, utiliza nuestros servicios o ve nuestros anuncios en línea.
  41. 41. Aviso de privacidad de P&G • Cómo usamos o compartimos la información Utilizamos la información que recopilamos para brindarle los productos y servicios que solicita, para informarle acerca de otros productos y servicios ofrecidos por P&G y para administrar nuestros sitios y servicios. En general, no compartimos su información personal con terceros anunciantes, a menos que le hayamos solicitado y obtenido su consentimiento explicito. Podemos compartir su información: • Con terceros que nos proporcionan servicios, incluyendo aquellos que trabajan en nombre de P&G y nuestros socios comerciales, para enviarle comunicaciones conjuntas que esperamos sean de su interés. • • Si una marca de P&G es vendida a otra empresa. • Cuando lo requiera la ley o las autoridades públicas. Para proteger y defender el derecho y la propiedad de P&G (incluyendo hacer cumplir nuestros términos y condiciones).
  42. 42. Aviso de privacidad de P&G • Sus elecciones Le damos a elegir la manera en la que nos comunicamos con usted. Puede dejar de recibir correos electrónicos o comunicaciones postales promocionales de una marca o programa de P&G en particular mediante este aviso de privacidad. Por favor haga clic aquí para seleccionar su país y conocer cómo completar su solicitud. Tomamos acciones para mantener la exactitud de su información personal. Puede ver, corregir o actualizar la información de contacto que proporcione a P&G. Haga clic aquí para seleccionar su país y conocer cómo acceder y actualizar la información de contacto que proporcionó a P&G.
  43. 43. Aviso de privacidad de P&G • • Cómo contactarnos • Haga clic aquí para ver las respuestas a las preguntas más frecuentes. Si tiene alguna pregunta y desea contactarnos, haga clic aquí (para obtener direcciones de países específicos). O escríbanos a: P&G Global Privacy Team PO Box 599 Cincinnati, OH 45202 USA
  44. 44. DERECHOS ARCO Acceso: Facultad del Titular, para conocer o interesarse por sus datos personales en posesión del responsable de cualquier empresa. Rectificación: Facultad del Titular, de poder solicitar al responsable la corrección de datos personales que estén incorrectos, imprecisos, incompletos o desactualizados. Cancelación: Facultad del Titular, para que solicite al responsable, la eliminación de algún dato que sea innecesario o que no es utilizado para la finalidad con la que fue recabada. Oposición: Facultad del Titular, para que solicite al responsable, la no utilización o tratamiento de sus datos personales.
  45. 45. DERECHOS ARCO El ejercicio de cualquiera de los derechos ARCO no excluye la posibilidad de ejercer alguno de los otros, ni puede constituir un requisito previo para su ejercicio. La ejecución de los Derechos ARCO debe ser sencilla y gratuita, cubriendo solamente lo gastos de envío, reproducción y en su caso, certificación de documentos.
  46. 46. PLAZOS PARA EJERCER DERECHOS ARCO
  47. 47. SANCIONES Si derivado del procedimiento de Protección de Derechos o de la verificación que realice el IFAI, se identificara un presunto incumplimiento de alguno de los Principios o disposiciones de la Ley, se iniciará el Procedimiento de Imposición de Sanciones.
  48. 48. SANCIONES El apercibimiento para que el responsable cumpla los actos solicitados en caso de omisión en el cumplimiento de la solicitud del Titular para ejercer cualquier derecho ARCO. El apercibimiento es, por decirlo en pocas palabras, una llamada de atención del IFAI, a presentarse obligatoriamente, para considerar las posibles consecuencias que pueden derivar del proceso.
  49. 49. OTRAS SANCIONES • Multa de 100 ($5,746 pesos) a 160,000 ($9,193,600 pesos) días de salario mínimo. • Multa de 200 ($11,492 pesos) a 320,000 ($18,387,200 pesos) días de salario mínimo.
  50. 50. DELITOS En el caso de que una persona autorizada trate indebidamente datos personales con ánimo de lucro y provoque una vulneración en la seguridad de la base de datos, se considerará delito y se penalizará con prisión de 3 meses a 3 años. Si se tratan datos personales con el fin de obtener un lucro indebido y se traten los datos personales mediante engaño, aprovechándose del error en que se encuentre el Titular, se impondrá una sanción de 6 meses a 5 años de prisión.
  51. 51. SITUACIONES DE EXCEPCIÓN • Si los datos personales fueron obtenidos antes del 6 de julio de 2011, es necesario dar a conocer a los titulares el Aviso de Privacidad (Sitio web, envío masivo de e-mail o medidas compensatorias). • No se requiere del consentimiento expreso, aún tratándose de datos sensibles. • Si las finalidades del tratamiento son modificadas con posterioridad, se deberá comunicar a los Titulares nuevamente el Aviso de Privacidad.
  52. 52. DEPARTAMENTO DE DATOS PERSONALES Todo Responsable deberá designar a una persona o departamento de datos personales cuyas funciones sustantivas serán las siguientes: Atender las solicitudes de los titulares para el ejercicio de sus Derechos ARCO Diseñar y ejecutar una política de protección de datos personales al interior de la organización. Desarrollar mecanismos e instrumentos prácticos para evaluar periódicamente la eficacia y eficiencia de esta política.
  53. 53. Ciclo de Vida de los Datos Personales. Existen seis procesos que integran el Ciclo de Vida de Datos Personales: Obtención, Uso, Almacenamiento, Transferencia, Bloqueo y Supresión.
  54. 54. OBTENCIÓN La primera etapa en el tratamiento de los datos personales es su obtención, recolección o acopio. Es el momento en el cual el Titular de los datos los proporciona para ser tratados conforme a las finalidades establecidas en el Aviso de Privacidad de una organización o persona física.
  55. 55. OBTENCIÓN ¿Cómo se obtienen? • En presencia física del Titular (Ejemplos: Forma Verbal, escrita, captura, transcripción, scanneo, fotografia, videograbación). • Por medios directos (Ej. website, chat, twitter, facebook, youtube, blog, cuestionarios impresos o electrónicos, teléfono, kioskos, sms, e-mail, correo postal, fax, etc.) • Por medios indirectos (Fuentes de acceso público* tales como: sitios web, periódicos, revistas, directorios, gacetas, anuncios publicitarios, libros, museos, bibliotecas, bases de datos, archivos documentales y digitales, etc.)
  56. 56. OBTENCIÓN Inventario de momentos de recolección. La persona o personas designadas para implementar la estrategia de protección de datos al interior de la organización deben realizar un inventario detallado y exhaustivo de: 1. Medios y canales por los cuales se recaban datos personales. 2. Personal de la organización (interno) que recopila datos personales. 3. Encargados (externos) que recopilan datos personales. 4. Número y tipo de datos que se recaban (No sensibles, sensibles y patrimoniales). 5. Grado de conformidad con el principio de Proporcionalidad. 6. Nivel de seguridad con el cual se recopilan los datos.
  57. 57. USO Y ALMACENAMIENTO Estos procesos son, sin duda, los de tratamiento más intensivo de los datos personales, debido a que pueden intervenir múltiples personas o áreas al interior de la organización, así como Encargados externos a los cuales se les confían los datos para realizar actividades por cuenta del Responsable.
  58. 58. USO Y ALMACENAMIENTO El tratamiento que puede implicar el traslado de los datos del Responsable a un Encargado externo se denomina “transmisión” y no requiere de consentimiento del Titular.
  59. 59. USO Y ALMACENAMIENTO Medidas generales: A. Procurar que todo el personal que trata datos personales conozca y comprenda sus responsabilidades en la materia y se adhiera expresamente a la política de protección de datos de la organización. B. Distribuir el material básico de información entre los empleados y áreas para transmitir la importancia que tiene la privacidad y protección de datos en la organización. C. Resguardar bajo llave archivos y documentos físicos que contengan datos personales.
  60. 60. USO Y ALMACENAMIENTO Medidas generales: D. No utilizar equipos de terceros para tratar datos personales (Ej. Cafés internet). E. Evitar compartir datos personales, sobre todo sensibles, por canales que no sean los autorizados por la organización. F. Abstenerse de extraer y/o trasladar archivos con datos personales en medios magnéticos e impresos fuera de la organización.
  61. 61. USO Y ALMACENAMIENTO Correo Electrónico • No utilizar el correo electrónico para transferir documentos que contengan datos personales. • Solicitar al personal de informática que toda transmisión y consulta de correo electrónico se efectúe por puertos seguros. • Evitar utilizar cuentas de correo electrónico ajenos a la organización para propósitos laborales (hotmail, yahoo, gmail)
  62. 62. USO Y ALMACENAMIENTO Para los equipos informáticos de uso regular: • En la medida de lo posible, separa los datos personales del resto de la información que manejas, a fin de poder gestionarla y protegerla con facilidad. • Establece siempre contraseñas seguras de 8 o más caracteres alfanuméricos y procura cambiarlos cada 6 meses. • Utiliza protector de pantalla para bloquear el equipo cuando no se encuentre en uso en un lapso máximo de 5 a 10 minutos que requiera contraseña para su desbloqueo. • Utiliza software especializado para identificar los niveles de seguridad y riesgo que tienen los sitios web que se consultan desde la organización para evitar phishing, malware y boots.
  63. 63. USO Y ALMACENAMIENTO Para los equipos informáticos de uso regular: Encriptar y respalda de forma periódica la información almacenada en los equipos de cómputo de la organización, especialmente los equipos portátiles y dispositivos móviles. Evitar conectarse por WiFi en redes públicas abiertas con equipos portátiles y móviles de la organización. Instalar y actualizar regularmente los programas antivirus de todos los equipos de la organización. Evitar almacenar, trasladar y compartir registros e información que contengan datos personales mediante dispositivos externos (Memorias, USB, Discos duros externos, CD, DVD) Si no tienen encriptada dicha información.
  64. 64. TRANSFERENCIA El proceso de transferencia tiene lugar cuando los datos personales en poder del Responsable son comunicados a una persona o entidad distinta del Titular o Encargado. Toda transferencia debe ser acorde con los términos establecidos en el Aviso de Privacidad. Documentar que el receptor de los datos personales (Tercero) acepta tratar los datos personales conforme lo convenido en el Aviso de Privacidad
  65. 65. BLOQUEO Este proceso tiene como propósito impedir el uso y aprovechamiento de los datos personales por cualquier persona. A partir de su bloqueo los datos personales no deberán utilizarse, salvo que medie una solicitud de Acceso por parte del Titular o por disposición legal. Si el Titular solicita el Derecho de Cancelación (supresión) de sus datos o parte de ellos, el Responsable podrá determinar un periodo de bloqueo de hasta 120 meses con el único propósito de establecer posibles responsabilidades en relación con su tratamiento hasta el plazo de prescripción legal o contractual de éstas y deberá comunicarlo al Titular.
  66. 66. CANCELACIÓN El proceso de Cancelación consiste en la destrucción física de los datos personales, así como la eliminación de los archivos digitales y registros de datos personales que se encuentren en bases de datos. Los datos personales podrán someterse a un proceso previo de disociación con el propósito de mantener la información con fines estadísticos o de registro histórico.
  67. 67. CANCELACIÓN El proceso de Cancelación consiste en la destrucción física de los datos personales, así como la eliminación de los archivos digitales y registros de datos personales que se encuentren en bases de datos. Los datos personales podrán someterse a un proceso previo de disociación con el propósito de mantener la información con fines estadísticos o de registro histórico.
  68. 68. PROVEDORES DE SERVICIOS • Servicios Integrales Querétaro – Generación de avisos de privacidad – Implementación de sistemas de respaldo – Diseño Web – Campañas electrónicas – Etc. www.serviciosintegralesqro.com www.generatuavisodeprivacidad.com

×