Upload
havily
View
39
Download
0
Embed Size (px)
DESCRIPTION
Ley Federal de Protección de Datos Personales y Derecho de Acceso a la Información. Culiacán, Sinaloa, 2012. Dr . Alfonso Páez Álvarez. Plan de exposición . ¿Cómo surge el derecho? ¿En qué consiste el derecho? Protección de datos personales en México. I. ¿Cómo surge el derecho?. - PowerPoint PPT Presentation
Citation preview
Ley Federal de Protección de Datos Personales y Derecho de Acceso a la
Información.
Dr. Alfonso Páez Álvarez
Culiacán, Sinaloa, 2012
Plan de exposición I. ¿Cómo surge el derecho?
II. ¿En qué consiste el derecho?
III. Protección de datos personales en México
I. ¿Cómo surge el derecho?
Informática versus protección datos personalesO Primera aproximación: reconocimiento del
derecho a la vida privada y familiar (no injerencia).
O Derecho a la autodeterminación.
O Tensión entre el uso cada vez más generalizado de la informática y el riesgo que implica para la vida privada.
O Incorpora a los principios esenciales del derecho a la privacidad el del consentimiento.
II. ¿En qué consiste el derecho?
Protección de datos personales ≠ privacidad e
intimidadO Derecho a la privacidad e intimidad: protege a la esfera privada e íntima de cualquier injerencia (derecho a estar solo).
O Derecho a la protección de datos personales: poder de disposición y control de la información personal, faculta a la persona para decidir cuáles datos proporcionar a un tercero; saber quién y para qué posee esos datos, y oponerse a esa posesión o uso (derecho a la autodeterminación informativa).
Entonces, la protección de datos personales…
Es el derecho que tiene toda persona a conocer y decidir quién, cómo y de qué manera recaba, utiliza y comparte sus datos personales.
Conceptos básicos
¿Qué son los datos personales?
Toda información concerniente o relativa a una persona física identificada o identificable.
EjemplosO Identificación
O Nombre, edad, domicilio, sexo, RFC, CURP...O Patrimoniales
O Cuentas bancarias, saldos, propiedades...O Salud
O Estados de salud físicos y mentales...O Biométricos
O Huellas dactilares, iris, voz, firma autógrafa...O Íntimos
O Ideología, afiliación política, religión, preferencia sexual...
Datos personales sensibles
O Revelan aspectos íntimos o particulares de las personas:
• El origen racial o étnico.• El estado de salud presente y futuro.• La información genética.• Las creencias religiosas, filosóficas y morales.• La afiliación sindical.• Las opiniones políticas.• La preferencia sexual.
O Los datos personales sensibles o especialmente protegidos al revelar aspectos muy íntimos y particulares de la vida privada de las personas, merecen de medidas de protección más exigentes y robustas.
Otros conceptos importantes…OTitular: persona física a quien corresponden los datos personales.
OBases de datos: conjunto ordenado de datos personales referentes a una persona identificada o identificable.
OTratamiento: obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.
OResponsable: persona física o moral de carácter privado que decide sobre el tratamiento de datos personales.
OEncargado: persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable.
O Transferencia: toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento.
Principios
Licitud y LealtadEl tratamiento de los datos personales deberá llevarse con pleno cumplimiento de:
O Legalidad; O Respeto a la buena fe y O Los derechos del individuo cuya
información es sometida a tratamiento.
FinalidadOTratamiento en el ámbito de
finalidades determinadas, explícitas y legítimas.
OEl tratamiento para fines distintos a los establecidos en el aviso de privacidad requiere consentimiento.
ProporcionalidadO Sólo se deberán recabar los datos adecuados
o necesarios para la finalidad que justifica el tratamiento.
O El tratamiento obedecerá a tratar la mínima cantidad de información necesaria para conseguir la finalidad perseguida.
CalidadO Datos pertinentes, correctos y actualizados.
O Datos que reflejen la realidad.
Información
ODar a conocer a los titulares la existencia del tratamiento y sus características.
O En términos fácilmente comprensibles y previo a la recolecta de los datos.
O A través del aviso de privacidad por diversos medios.
Información…
El principio de información se materializa en el aviso de privacidad, que informa al titular sobre:
O Identidad y domicilio del responsable que recaba sus datos;
O Finalidades del tratamiento de datos; O Medios para ejercer los derechos de
acceso, rectificación, cancelación u oposición;
O Transferencias de datos, y O Cambios al aviso.
ConsentimientoO La voluntad del titular es la causa principal
legitimadora del tratamiento de los datos personales.
O Excepciones: la ley, celebración de un contrato…
O Aunque en la mayoría de los casos el consentimiento es tácito, la manifestación deberá ser libre, específica, inequívoca e informada.
ResponsabilidadODeber de la persona
responsable del tratamiento de los datos de velar por el cumplimiento de los principios y rendir cuentas al titular en caso de incumplimiento.
Deberes
Deber de seguridadOObligación de adoptar las medidas
necesarias para garantizar la integridad, confidencialidad y disponibilidad de los datos personales mediante acciones que eviten su alteración, pérdida, transmisión y acceso no autorizado.
Obligaciones en materia de seguridad de las bases de
datos…O Todo responsable deberá establecer y mantener medidas
de seguridad de carácter administrativo, técnico y físico que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso, o tratamiento no autorizado.
O Los responsables no deberán adoptar medidas de seguridad menores a aquellas que mantengan para el manejo de su información.
O Para la implementación de dichas medidas éstos deberán tomar en cuenta factores como riesgo existente y posibles consecuencias para los titulares, la sensibilidad de los datos personales y el desarrollo tecnológico.
Las medidas de seguridad deberán atender…
OLa sensibilidad de la información personal (nivel básico, medio y alto).
OEl tipo de soporte de las bases de datos (físico, automatizado o mixto).
Vulneraciones de seguridad de las bases de datos…
OLas vulneraciones de seguridad deberán ser informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos.
Deber de confidencialidad
OSecreto, discreción, confidencialidad y custodia al que está obligada toda persona que maneja, usa, recaba o transfiere datos personales en cualquier fase del tratamiento.
Derechos
Derechos (ARCO)
OAccesoORectificaciónOCancelaciónOOposición
Acceso
Derecho del titular a obtener información sobre sí, así como si la misma está siendo objeto de tratamiento y el alcance del mismo.
Rectificación
Derecho del titular a que se modifiquen los datos que resulten ser inexactos o incompletos.
Cancelación
Derecho del titular que da lugar a que se supriman los datos que resulten ser inadecuados o excesivos.
BloqueoO Identificación y conservación de datos
personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades por su tratamiento, hasta el plazo de prescripción legal o contractual.
O Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a su cancelación.
Oposición
Prerrogativa que consiste en oponerse al uso de datos personales para una determinada finalidad.
III. Protección de datos personales en
México
Garantía fundamental
Constitución Política de los Estados Unidos Mexicanos
El artículo 6 constitucional reconoce el derecho de acceso a la información como una garantía fundamental y se constituye como limitante al ejercicio del derecho de acceso a la información, señala que:
• La información a que se refiere la vida privada será protegida en términos de ley respectiva, y
• Toda persona tiene derecho a acceder y rectificar sus datos personales.
Constitución Política de los Estados Unidos Mexicanos
El artículo 16 constitucional incorpora a la lista de garantías fundamentales consagradas en nuestra Carta Magna, el derecho a la protección de datos personales: “Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición…”
El artículo 73 constitucional dota de facultades al Congreso de la Unión para legislar en materia de protección de datos personales en posesión de particulares.
En el sector público federal y estatal…
LFTAIPGO Reconoce por primera vez en México la protección
de los datos personales.
O Se limita a las bases de datos del sector público a nivel federal.
O Es a la vez, una ley de acceso a la información y una ley de protección de datos personales (limitada en su ámbito de aplicación).
O Su capítulo IV establece un marco muy general que regula la obtención, almacenamiento, transmisión, uso y manejo de los datos personales en posesión de dependencias y entidades federales.
A nivel estatalO Los estados de Colima, Jalisco y Tlaxcala
cuentan con leyes de protección de datos para el sector público y privado.
O Los estados de Guanajuato, Coahuila, Oaxaca, Distrito Federal y Morelos sólo regulan la protección de datos personales en posesión del sector público.
O La mayoría de las legislaciones estatales contienen un capítulo de protección de datos personales en sus leyes de transparencia.
En el sector privado
LFPDPPP
2010, un año clave…O El 13 de abril de 2010 la Cámara de Diputados
aprobó el proyecto de decreto por el que se expide la Ley Federal de Protección de Datos Personales en posesión de los particulares.
O Por su parte, la Cámara de Senadores aprobó por unanimidad dicho dictamen, el 27 de abril de 2010.
O Finalmente, el 5 de julio de 2010 el Poder Ejecutivo Federal publicó en el Diario Oficial de la Federación la Ley.
Ejes rectores de la ley
1. Ámbito de aplicación2. Principios y derechos3. Ejercicio de los derechos ARCO4. Transferencias de datos5. Autoridades:
• Garante y• Reguladoras
6. Procedimientos:• Protección de datos• Verificación• imposición de sanciones
7. Infracciones y sanciones.8. Delitos en materia de tratamiento indebido.
Objeto y ámbito de aplicación
La ley es de observancia obligatoria en todo el territorio nacional y tiene por objeto regular el tratamiento legítimo, controlado e informado de los datos personales en posesión de los particulares.
Sujetos regulados Personas físicas o morales que para sus actividades cotidianas recaben, manejen y utilicen información personal, con excepción de:
• Las Sociedades de Información Crediticia.• Las personas que recolectan y almacenan
datos personales para uso exclusivamente personal o doméstico.
Principios y derechosO Principios: Licitud, consentimiento,
información, calidad; finalidad, lealtad, proporcionalidad y responsabilidad
O Derechos ARCO
O Deber de seguridad
O Deber de confidencialidad
IFAI como autoridad garante
Facultades del IFAI como autoridad garante
O InformativasO NormativasO De verificaciónO Preventivas O ResolutoriasO De cooperación nacional e internacionalO Sancionadoras
IFAI como autoridad garante
Sus facultades informativas:
O Proporcionar apoyo técnico a los responsables que los soliciten para el cumplimiento de las obligaciones establecidas en la Ley.
O Rendir al Congreso de la Unión un informe anual de sus actividades.
O Desarrollar, fomentar y difundir análisis, estudios e investigaciones en materia de protección de datos personales en posesión de los particulares.
IFAI como autoridad garante
Sus facultades normativas:
O Interpretar en el ámbito administrativo la ley.
O Emitir criterios y recomendaciones para garantizar el pleno derecho a la protección de datos personales.
O Divulgar estándares y mejores prácticas internacionales en materia de seguridad de la información.
IFAI como autoridad garante
Sus facultades en materia de verificación:O Vigilar y verificar el cumplimiento de la ley.
Sus facultades resolutorias:O Conocer y resolver los procedimientos de
protección de derechos, verificación e imposición de sanciones.
Sus facultades preventivas:O Elaborar estudios de impacto sobre la
privacidad previos a la puesta en práctica de una nueva modalidad de tratamiento de datos personales o a la realización de modificaciones sustanciales en tratamientos ya existentes.
IFAI como autoridad garante
Sus facultades en materia de cooperación nacional e internacional:
O Acudir a foros internacionales en la materia.
O Cooperar con otras autoridades de supervisión y organismos nacionales e internacionales, a efecto de coadyuvar en materia de protección de datos personales.
Sus facultades sancionadoras:O Llevar a cabo el procedimiento de
imposición de sanciones
Procedimientos
Ejercicio de los derechos ARCO
Procedimiento
Titular o Representante
Solicitud
Responsable
Requisitos de la solicitud
o Nombre del titular y domicilio u otro medio para recibir comunicaciones;
o Copia de su identificación o documento que acrediten la personalidad del representante;
o La descripción clara y precisa de los datos personales;
o En el caso de solicitudes de rectificación se deberá señalar las modificaciones a realizar y aportar la documentación que sustente la petición;
o En el caso de solicitudes de cancelación y oposición, especificar las razones por las que quiere que cancelen o se opone al tratamiento de sus datos, y
o Cualquier otro elemento o documento que facilite su localización.
Plazos
Solicitud de Derechos
ARCO
Ante el Responsab
le
15 días hábiles efectivo el derecho
20 días hábiles determinación
adoptada
Comunicación al Titular
Prorrogables x un plazo igual
Costoso El ejercicio de los derechos ARCO es
gratuito.o Únicamente se debe cubrir el costo
por reproducción y envío.o Excepciones al principio de gratuidad:
en caso de que el derecho se ejerciera sobre un mismo dato en un plazo menor a 12 meses, el costo no excederá del equivalente a 3 SMVDF.
Cuándo se puede negar el ejercicio de derechos…
o El solicitante no sea el Titular o representante legal;
o No se encuentren los datos en el sistema o sistemas del responsable;
o Se lesionen datos personales de un tercero;o Por impedimento legal o resolución de
autoridad competente que restringa el ejercicios de los derechos ARCO, y
o Se haya solicitado con anterioridad la rectificación, cancelación u oposición.
Procedimientos ante el IFAI
Procedimiento de Protección de Derechos
Titular
Instituto Federal de Acceso a la
información y Protección de Datos
Solicitud de
Protección de
Datos
Procedimiento de protección de derechos
O En caso de que el titular considere que en el ejercicio de sus derechos ARCO sus pretensiones no fueron satisfechas
O Este procedimiento tiene por objeto:O Sobreseer o confirmar la solicitud de
protección de datos por improcedente, oO Confirmar, revocar o modificar la respuesta
del responsable.
O El plazo máximo para dictar la resolución es de 50 días hábiles.
Requisitos de la Solicitud de Protección
o Nombre del titular o representante legal y domicilio para oír y recibir notificaciones;
o Nombre del responsable;o Fecha de la respuesta o bien la fecha en la
que se presentó la solicitud en caso de no tener respuesta;
o La solicitud y de ser el caso, la respuesta que se recurre, y
o Se deberá expresar con claridad el contenido de su reclamación y los preceptos de la Ley que se consideren violados.
Plazos
Inconformidad Ante el IFAI *
Resolución
50 días hábiles
15 días hábiles
Prorrogables x 50 días hábiles
Procedimiento conciliador
o Un elemento innovador de esta Ley es el procedimiento conciliatorio que las partes -responsable y titular- podrán llevar a cabo para solucionar el conflicto, en cualquier etapa del procedimiento de protección de derechos.
o De existir un acuerdo de conciliación entre las partes, éste se hará constar por escrito y tendrá efectos vinculantes. En este caso la solicitud de protección de datos quedará sin materia y el IFAI verificará el cumplimiento del acuerdo respectivo.
Procedimiento de verificación
O Las actuaciones de verificación del IFAI iniciarán: • De oficio: Derivada del incumplimiento a
resoluciones dictadas con motivo de procedimiento de protección de derechos
• A petición de parte: Cuando se presuma fundada y motivadamente, la existencia de violaciones a la ley.
O El IFAI tendrá acceso a la información y documentación que considere necesaria y los servidores públicos estarán obligados a guardar la confidencialidad sobre la información que conozcan.
Procedimiento de sanción
O Este procedimiento se detona cuando el IFAI tenga conocimiento de un presunto incumplimiento de alguno de los principios o disposiciones de la ley como consecuencia del desahogo del procedimiento de protección de derechos o del procedimiento de verificación.
O Se prevé un periodo para la presentación y desahogo de pruebas, al término del cual el Instituto deberá resolver en definitiva.
Medio de impugnación de las resoluciones del IFAI
Los particulares podrán impugnar las resoluciones del IFAI, promoviendo el juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa.
Infracciones y Sanciones
Infracciones y sanciones
La ley prevé una serie de conductas consideradas como infracciones, las cuales serán castigadas con las siguientes sanciones:
O No atender la solicitud del titular apercibimiento
O Tratar datos en contra de los principios; omitir el aviso de privacidad, mantener datos personales inexactos, declarar dolosamente la inexistencia de datos, etc. Multa de $5,746 a $9,193,600
O Incumplir deber de confidencialidad, cambiar sustancialmente de finalidad sin avisar al titular, vulnerar la seguridad de las bases; transferir datos sin consentimiento del titular, etc. Multa de $11,492 a $18,387,200
O Los montos pueden duplicarse por: O Reincidencia, oO Por tratarse de datos sensibles
Infracciones y sancionesO El Instituto para imponer las sanciones
correspondientes deberá tomar en cuenta:
O La naturaleza del dato.O La notoria improcedencia de la negativa del
responsable para realizar los actos solicitados por el titular.
O El carácter intencional de la acción u omisión.O La capacidad económica del responsable.O La reincidencia.
Delitos en materia de tratamiento de datos
personalesFue voluntad del legislador establecer tipos penales para sancionar a los responsables, que bajo ciertas circunstancias hagan uso ilícito de datos personales, con prisión de:
- 3 meses a 3 años (al que provoque, con ánimo de lucro, una vulneración de seguridad a las bases de datos)- 6 meses a 5 años (al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño)
Autoridades reguladoras
Autoridades reguladoras
La ley constituye el marco normativo para que las dependencias emitan regulación especializada que involucre el tratamiento de datos personales, con la coadyuvancia del IFAI.
Tratamiento en sectores específicos
Sectores específicoso Marketing y publicidad: tratamiento para
campañas publicitarias o envío de publicidad.o Telecomunicaciones: retención de datos personales
o registro de datos de identificación y localización.o Financiero: establecimiento de medidas de
seguridad en transacciones electrónicas.o Salud: reglas específicas para la realización de
ensayos clínicos o tratamiento del expediente clínico.o Sector educativo: bases de datos de alumnos.o Laboral: contenido y manejo del expediente de
personal.
Además, la Ley prevé…
Transferencias de datos
O La ley facilita las transferencias de datos personales dentro y fuera del país, siempre y cuando el responsable informe en el aviso de privacidad la realización, la finalidad de las transferencias y el titular acepte o consienta éstas.
O La Ley señala excepciones para solicitar el consentimiento del titular, a fin de llevar a cabo transferencias nacionales o internacionales.
Mecanismos de autorregulacióno La Ley faculta a los particulares a convenir entre ellos o con
organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulación vinculante en la materia, que tengan por objeto: • Complementar y adaptar a tratamiento específicos o
concretos las disposiciones de la Ley.• Desarrollar reglas o estándares específicos que permitan
armonizar los tratamientos de datos efectuados por los adheridos y facilitar el ejercicio de los derechos ARCO.
• Incluir mecanismos para medir su eficacia en la protección de los datos, consecuencias y medidas correctivas eficaces en caso de incumplimiento.
o Dichos esquemas serán notificados de manera simultánea a las autoridades sectoriales correspondientes y al IFAI.
Plazos de implementación de la
Ley
Plazos…6 de julio de 2010
O La Ley entra en vigor.
Julio de 2011O El Ejecutivo Federal deberá expedir su Reglamento.O Las empresas designarán a una persona o
departamento de datos personales para atender las solicitudes de derechos ARCO.
O Las empresas deberán expedir los avisos de privacidad.
Plazos…Enero de 2012
O Toda persona podrá ejerce sus derechos ARCO ante los responsables designados por las empresas.
Febrero de 2012O Toda persona podrá interponer su queja ante
el IFAI, en caso de que considere que cualquiera de sus derechos ARCO ejercido ha sido vulnerado por el responsable de que se trate.
Retos
RetosO Emitir el reglamento dentro del año siguiente a la
entrada en vigor de la ley.O Emitir criterios que coadyuven a un mejor
cumplimiento de la ley.O Diseñar mecanismos eficaces para la recepción y
atención de solicitudes de protección de datos.O Difusión y capacitación al interior y exterior.O Solicitar a la Unión Europea el nivel de adecuación
como un país seguro en materia de protección de datos personales.
O Diseñar la estructura organizacional más adecuada para asumir y ejecutar con eficiencia las nuevas tareas y responsabilidades del IFAI.