Embed Size (px)
Citation preview
Ley Federal de Protección de Datos Personales en Posesión de los
ParticularesMayo de 2011
Carlos Chalico LI, CISA, CISSP, CISM, CGEIT, CRISCSocio de Asesoría en TIMéxico y Centroamérica
Ernst & Young
• ¿Qué es privacidad?
• Reglas en el Mundo
• En México
• Recorrido por la LFPDPPP*
• ¿Qué hacer?
• Conclusiones
Agenda
* Ley Federal de Protección de Datos Personales en Posesión de los Particulares
• En términos generalesprivacidad es la habilidad de controlar cómo un individuo es identificado, contactado y localizado.
• Por décadas, los principiossobre privacidad hanevolucionado presentandoalgunos temas en común a pesar de relacionarse con estructuras legales y sociales diferentesalrededor del mundo.
• “La Privacidad agrupa los derechos y obligaciones de los individuos y lasorganizaciones con respectoa la colección, uso, revelación y retención de información para identificarpersonas (personally identifiable information / PII)”
– Fuente: AICPA
¿Qué es Privacidad?
• El adagio:– “Puedes tener buena
seguridad sin tener buenaprivacidad, pero no puedestener buena privacidad sin tener buena seguridad.”
• ¿Qué significa?:
– La seguridad es un componente necesariode la privacidad
– Privacidad se refiere a:• Proteger datos personales
• Gobernar su tratamiento– Correcta y legalmente
– De acuerdo a lo mostradoen los avisos de privacidad
– Dentro de los límites del consentimiento del individuo (siempre queesto aplique)
Proteger los datos
¿Qué es Privacidad?
Privacidad
Gobernar su tratamiento
LEYENDAS
Ley Nacional de privacidad o protección de datos vigente
Otras leyes significativas vigentes
Leyes de Privacidad o Protección de Datos emergentes
Fuente: Ernst & Young
Reglas en el Mundo
Por venir:
• Reglamento de la LFPDPPP y criterios de la autoridad• Ejecución de acciones de verificación de cumplimiento de la LFPDPPP
IFAI2003Art.16 Const.
Leyes locales
2009LFPDPPPe IFAI (PD)
2010
En México
Ley Federal de Protección de Datos Personales en Posesión de Particulares
Aprobado por diputados:15 de abril, 2010
Aprobado por senadores: 27 de abril, 2010
Publicado en DOF: 5 de julio, 2010
Vigente a partir de: 6 de julio, 2010
En México
► El objeto de la LFPDPPP:
► “… la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminacióninformativa de las personas”
► ¿Quién debe acatar esta Ley?
► Los particulares (individuos, empresas, instituciones) que posean datospersonales
► ¿Quiénes son los Actores?
► El Titular
► El Responsable
► El Encargado
► Los otros (terceros, cuartos)
► ¿Qué son datos personales?
► Cualquier información concerniente a una persona física identificada o identificable (personales, patrimoniales, personales sensibles).
.
LFPDPPP
Tratamiento de aquellos datos personales que afecten a la esfera más íntimade su titular, o cuya utilización indebida pueda dar origen a discriminación oconlleve riesgo grave para éste, pudiendo ser:
► datos financieros o patrimoniales*
► origen racial o étnico
► estado de salud presente o futuro
► información genética
► creencias religiosas, filosóficas y morales
► afiliación sindical
* Los datos financieros o patrimoniales no son considerados por la LFPDPPP como sensibles pero sí requieren consideraciones de cuidadodiferentes o más robustas que las que se precisan para los datos personales.
Datos de mayor cuidado
Tratamiento de Datos Personales
Consentimiento: Todo tratamiento de datos personales estará sujeto al consentimiento de su titular (datos personales ‐ tácito, datos patrimoniales ‐ expreso, datos personales sensibles ‐ expreso y por escrito)
Aviso de Privacidad: mediante el cual se informe los datos que se recaban y el fin
Confidencialidad: cualquier involucrado en el tratamiento de datos personales deberá guardar su confidencialidad
Persona o Departamento de Privacidad: se deberá designar para dar trámite a las solicitudes de protección de derechos de los titulares y atender posibles ejercicios de verificación de cumplimiento.
Tratamiento: Obtención,Uso (acceso, manejo, aprovechamiento, transferencia o disposición), Divulgación, Almacenamiento
Nuevas Obligaciones
► Pincipios: licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad
► Los datos personales deben ser pertinentes, correctos y actualizados para los fines para los cuales fueron recabados
► Cuando los datos hayan dejado de ser necesarios para el fin previsto por el aviso de privacidad y las disposiciones legales aplicables, deberán ser cancelados
► Habrán de tomarse las medidas necesarias y suficientes para garantizar que el aviso de privacidad dado a conocer al titular, sea respetado en todo momento por el poseedor de los datos o por terceros (cuartos…)
► Se deberán establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
Nuevas Obligaciones
El titular podrá solicitar al responsable en cualquier momento el:
Acceso
Rectificación
Cancelación
Oposición A los datos personales objeto de tratamiento y/o al tratamiento mismo.
Derechos ARCO
► Los riesgos asociados a una falla de protección de datos personales puedencausar daños financieros y legales, pero irremediablemente afectarán la marca y reputación.
► Considerar la notificación de vulnerabilidades.
– Robo de identidad (usuarios, clientes, proveedores, socios, empleados)
– Daño a marca y reputación
– Litigios
– Sanciones y penas corporales
– Pérdidas financieras
– Pérdida de valor de mercado
– Pérdida de confianza del consumidor o socio de negocio
– Convertirse en el “ejemplo” de lo que puede salirmal
Consecuencias
Sanciones: 100 hasta 320,000 DSMVDF, con doble imposición para los casos de reincidencia.
* Desde $5,000 hasta $73’000,000 *
Penas: de 3 meses a 5 años de prisión.
Estas penas y sanciones se duplicarán en aquellos casos de infracciones relativas a datos personales sensibles.
Sanciones y Penas
Para que los responsables que traten datos designen a la persona o departamento de datos personales
1 año(Julio de 2011)
Para que los responsables que traten datos personales expidan los avisos de privacidad a los titulares
1 año(Julio de 2011)
Para que el Ejecutivo emita el Reglamento a la Ley
1 año(Julio de 2011)
Para que los titulares puedan ejercer sus derechos ARCO
18 meses(Enero de 2012)
Calendario de Aplicación
¿Qué Hacer?
Conocer…
Conocer…
Implantación y Mantenimiento
Definición y Diseño Avisos de
privacidad
ControlesTecnológicos
Normatividad
Departamento de datos personales
Adecuación de procesos de negocio
Preparación del Entorno Monitoreo
Convenios y contratos
Gobierno de Datos
Adecuación de procesos de TI
Avisos de privacidad
Departamenteode datospersonales
Convenios y contratos
ControlesTecnológicos
Normatividad
Adecuación de procesos de negocio
Gobierno de Datos
Adecuación de procesos de TI
Fuente: Ernst & Young, Derechos Reservados
Etapas
Nuestro Enfoque - Diagnóstico
Licitud
TratamientoLegítimo en
Procesos
Consentimiento
Información
Calidad
Lealtad
Finalidad
Proporcionalidad
Responsabilidad
AspectosLegales
Obtención
Uso
Divulgación
Almacenamiento
Contratos
Avisos de privacidad
DatosP
rinci
pios
Fuente: Ernst & Young, Derechos Reservados
Preparando el Entorno
Procesos de Negocio►Area de Recursos Humanos►Area de Ventas►Area de Compras►Area de Atención a Clientes►Area de Finanzas►Area de Mercadotecnia►Area Legal►Area de Operaciones
Procesos de TI►Proceso de adquisición, desarrollo y mantenimiento desistemas►Proceso de respados►Proceso de configuración desistemas y bases de dados►Proceso de control de acceso►Matriz de perfiles y privilegios►Seguridad física
Seguridad de datos
Técnicas
Adm
inistratiivas
Físicas
Medidas de Seguridad
Obtención Uso Divulgación Almacenamiento
Fuente: Ernst & Young, Derechos Reservados
Recuerde
Puntos Clave
►Cumplimiento razonado
►Consentimiento – Avisos de Privacidad
►Alcance – Todos los procesos que tratan datos personales
►Manejo de Incidentes – Notificaciones de vulneración
►Empatía con iniciativas de Gobierno, Riesgo y Cumplimiento
►Relaciones con terceros
►Manejo de dispositivos móviles
►Privacidad por diseño
►Redes Sociales
►Reporte a terceros
►Manejo integral de riesgos.
Conclusiones►Como ciudadanos, debemos comprender con claridad los derechos a los que tenemos acceso a través de la LFPDPPP
►En la medida en la que comprendamos esos derechos, comprenderemos la responsabilidad que tenemos al tratar datos personales de otros individuos
►La LFPDPPP es una regulación de mínimos
►Es importante comenzar a trabajar de inmediato, a fin de estar en posibilidades de atender oportunamente los compromisos requeridos por esta legislación
►Re‐visitar los procesos en los que se tratan datos personales, resulta una tarea clave en este ejercicio y apoya la efectividad de otra tarea importante que es la concientización
►No actuar hoy puede traer consecuencias relevantes.
Ley Federal de Protección de Datos Personales en Posesión de los
ParticularesCarlos Chalico, LI, CISA, CISSP, CISM, CGEIT, CRISC
Socio de Asesoría en TI
México y Centroamérica
Ernst & Young
Tel: +52‐55‐11016414
Tel (2): +52‐55‐52831326
http://www.linkedin.com/in/carloschalico
Twitter: @carloschalico
