63
Seminario: “La Lucha Tecnológica contra el Fraude Organizado” LA PROTECCIÓN DE LOS DATOS PERSONALES: EL CASO DE MÉXICO Ángel Trinidad Zaldívar Comisionado IFAI ARANJUEZ, ESPAÑA
| Date post: | 12-May-2015 |
| Category: |
Documents |
| Upload: | centro-de-investigacion-para-la-gestion-tecnologica-del-riesgo-cigtr |
| View: | 397 times |
| Download: | 0 times |
Seminario: “La Lucha Tecnológica contra el Fraude
Organizado”
LA PROTECCIÓN DE LOS DATOS PERSONALES: EL CASO DE MÉXICO
Ángel Trinidad ZaldívarComisionado IFAI
ARANJUEZ, ESPAÑA
Orígenes (Repercusiones Jurídicas)
� 1967 - Consejo de Europa: “Comisión Consultiva para estudiar las tecnologías de información y su potencial agresividad a los derechos de la persona”.
� 1968 - Resolución 509 de CE: “Derechos Humanos y nuevos logros científicos y técnicos.
� 1981 – Convenio 108 de CE: Protección de las personas con respecto al tratamiento automatizado de los datos de carácter personal.
� 1995 - Directiva 95/46/CE sobre protección de personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos.
Tribunal Constitucional AlemánSentencia 15 Dic. 1983
� Principio de autodeterminación informativa (Westin)
� “La proliferación de centros de datos ha permitido, gracias a los avances tecnológicos, producir una imagen total y pormenorizada de la persona respectiva –un perfil de la personalidad-, incluso en el ámbito de su intimidad, convirtiéndose así el ciudadano en un hombre de cristal”
� 2002 – LFTAIPG
о Reconoce la protección de datos. Limitado al sector público.
� 2007 – Reforma 6º Constitucional
� Eleva a rango de garantía fundamental al derecho de acceso a la información con dos limitantes:
� II La información a que se refiere la vida privada seráprotegida en términos de ley respectiva.
� III Toda persona tiene derecho a acceder y rectificar sus datos personales.
Breve recuento
� 2009 – Reforma 16 Constitucional� Reconoce la protección de datos personales como un derecho autónomo e independiente� Toda persona tiene derecho a la protección de sus datos personales,
al acceso, rectificación y cancelación de los mismos, así como a
manifestar su oposición, en los términos que fije la ley, la cual
establecerá los supuestos de excepción a los principios que rijan el
tratamiento de datos, por razones de seguridad nacional,
disposiciones de orden público, seguridad y salud públicas o para
proteger los derechos de terceros”.
� 2010 – Ley Federal de Protección de Datos Personales en Posesión de Particulares -LFPDPPP (aprobada 27 de abril publicada 5 de julio)
Breve recuento
� Durante más de 9 años fueron presentadas un total de nueve proyectos.
� Las propuestas oscilaron del modelo garantista que obstaculiza el libre flujo de datos (opt-in) al modelo liberalizado sin puntos mínimos regulatorios que den certeza al ciudadano.
Breve recuento
� Características: legislacilegislacióón moderna n moderna que reconoce y protege los llamados derechos de “tercera generación”, en particular la autodeterminaciautodeterminacióón n informativa.informativa.
� Coloca a la persona en el centro de la tutela del centro de la tutela del EstadoEstado, reconociendo y respetando su dignidad y valía.
� Establece un marco general que contempla reglas claras, concretas y mínimas para lograr un equilibrio lograr un equilibrio entre protección de la información personal y la libre circulación de la misma en un mundo globalizado, en concordancia con los estándares internacionales.
Generalidades de la LFPDPPP
� Se alinea a instrumentos internacionales (OCDE, OCDE, APEC y la UniAPEC y la Unióón Europea)n Europea), otorgándole alto grado de competitividad.
� Brinda certeza jurcerteza juríídica en los intercambios dica en los intercambios comerciales comerciales nacionales y transfronterizos, propiciando con ello, el arribo de mayor inversión extranjera y por consecuencia la generación de empleos.
� Permite a las empresas establecer o mejorar, sus polpolííticas de privacidadticas de privacidad, incidiendo de manera directa, en una mayor seguridad en el manejo de la información.
Generalidades de la LFPDPPP
� Recoge los “Estándares Internacionales para la Protección de la Privacidad”, adoptados en Madrid, en noviembre de 2009, así como elementos del marco de privacidad de APEC, en un marco de absoluta congruenciaabsoluta congruencia.
Generalidades de la LFPDPPP
�� No impone cargas excesivas No impone cargas excesivas e innecesarias de cumplimiento, por ejemplo.
• No se requiere un Registro de las bases de datos en posesión de los particulares.
• Prevé que el consentimiento del titular sea tácito (opt-out) para casi la totalidad de tratamientos.
• No se prevé la obligación de solicitar al órgano garante la autorización de las transferencias internacionales.
Generalidades de la LFPDPPP
1.Ámbito de aplicación.2.Principios y Derechos.3.Régimen especial para datos sensibles.4.Ejercicio de los derechos ARCO.5.Transferencia de datos.6.Autoridades:
� IFAI —garante— y� Reguladoras.
7.Procedimientos:� Protección de Datos.� Verificación.� Imposición de Sanciones.
8. Infracciones y Sanciones.9.Delitos en materia de tratamiento indebido.
Ejes Rectores de la LFPDPPP
�� AutonomAutonomíía.a. Técnica, de gestión y de decisión, así como con personalidad jurídica y patrimonio propios.
�� Unicidad de criterio. Unicidad de criterio. Se elimina el riesgo de asimetrías en el grado de observancia a los principios de protección de datos personales exigidos a los responsables, provengan del sector público o bien, del privado
�� Curva de aprendizaje.Curva de aprendizaje. Se aprovecha la acumulación de conocimiento y especialización en materia de datos personales.
IFAI: “doble autoridad” ,
Ventajas
�� Los ministerios, en colaboraciLos ministerios, en colaboracióón con el IFAI n con el IFAI emitiremitiráán regulacin regulacióón especializada que involucre n especializada que involucre el tratamiento de datos personales.el tratamiento de datos personales.
Autoridades Reguladoras
• Evitar que esta garantía constitucional se convierta en “letra muerta”.
• Difundir el conocimiento de este nuevo derecho entre la sociedad mexicana, además de promover su ejercicio y vigilar su debida observancia.
• Emitir la legislación secundaria que dé plena vigencia a las disposiciones contenidas en la Ley.
• Construir un “compromiso de corresponsabilidad” con el sector privado, a fin de lograr altos niveles de acatamiento de la Ley.
• Promover el modelo de terceros certificados (Autorregulación)
Principales Desafíos
• Brindar de manera rápida y oportuna, apoyo técnico a los responsables para el cumplimiento de las obligaciones.
• Instrumentar los sistemas informáticos de atención de protección de derechos.
• Crear conciencia entre los nativos informnativos informááticosticos, sobre la importancia de este derecho.
• Iniciar las gestiones correspondientes para solicitar la adecuaciadecuacióón de Mn de Mééxico xico ante la Comisión Europea.
• Impulsar entre la comunidad internacional, la aprobación de desarrollos normativos en la materia.
Principales Desafíos
� Creación de un sistema tecnológico de acceso libre en Internet Sistema Gestor de Casos
� Facilitará a los particulares el ejercicio de sus derechos ARCO
� Favorecerá la atención de quejas en todo el país
� Ofrecerá formatos tipo de aviso de privacidad para los responsables
� Facilitará la identificación de las medidas de seguridad adecuadas para el tipo de datos tratados
� Los responsable podrán consultar tabla de equivalencia entre regulación y normas para instaurar medidas de seguridad
Primeras Acciones
• Programas de sensibilización sobre la importancia del derecho.
• Capacitación de: sujetos regulados, titulares de los datos, y a personal del Instituto.
• Elaborar base de datos con preguntas frecuentes, que sirva para ofrecer orientación telefónica y por Internet.
• Decidir el modelo de implantación territorial de atención a procedimientos.
• Definir el sistema de atención de consultas, quejas y procedimientos de conciliación.
• Definir la metodología para el desahogo de procedimientos de verificaciones y elaboración de temario y contenidos para la formación de inspectores.
• Determinar el procedimiento de acreditación de terceros certificados.
Primeras Acciones
• El IFAI y el Ministerio de Economía concluimos la elaboracielaboracióón conjunta del Reglamenton conjunta del Reglamento, que serásometido a consulta pública.
• Hemos diseñado modelos de aviso de privacidad modelos de aviso de privacidad para disposición del sector privado.
• Hemos sostenido reuniones con reuniones con algunos miembros del sector privadosector privado, a fin de despejar dudas concretas sobre la implementación de la Ley.
En dónde estamos?
� En el IFAI aspiramos a construir un Compromiso de Corresponsabilidad Compromiso de Corresponsabilidad con todos los actores involucrados, a fin lograr un alto nivel de acatamiento alto nivel de acatamiento de la Ley, en aras de una efectiva protección de los datos personales.
Compromiso Institucional
�Derechos Arco
�Procedimiento de Protección de derechos
�Procedimiento de verificación
�Procedimiento de Falta de Respuesta
�Procedimiento de Conciliación
�Procedimiento de Imposición de Sanciones
¿Quién los puede ejercer?El titular o su representante
(Artículo 22)
¿Quién los puede ejercer?El titular o su representante
(Artículo 22)
Acceso(Artículo 23)
Rectificación(Artículo 24)
Cancelación (Artículo 25)
Bloqueo: para efectos de responsabilidades nacidas del tratamiento
(Artículo 25)
Causales de improcedencia de la
cancelación(Artículo 26). Cuando:
Sea para el desarrollo y cumplimiento de un contrato
legal
Sea necesario para proteger intereses jurídicamente tutelados
del titular
Sea por disposición legal
Sea necesario para una acción de interés público
Sea necesario para cumplir con una obligación legalmente adquirida por el titular
el tratamiento:
el tratamiento:
la cancelación
la cancelación Obstaculice actuaciones judiciales o
administrativas vinculadas a obligaciones fiscales, investigación y persecución de delitos o sanciones
administrativa.
Oposición(Artículo 27)
Los derechos no son mutuamente excluyentes(Artículo 22)
Los derechos no son mutuamente excluyentes(Artículo 22)
Requisitos de la solicitud de A,R,C,O(Artículo 29)
Requisitos de la solicitud de A,R,C,O(Artículo 29)
I. Nombre del titular y domicilio u otro medio de notificación
II. Documentos que acrediten identidad o representación legal
Atención por parte del RESPONSABLEAtención por parte del RESPONSABLE
III. Descripción clara y precisa de los DP respecto de los cuales se ejerce
IV. Cualquier otro elemento o documento que facilite la localización
de los DP
Artículo 31: Para el caso de rectificación (R), debe incluir las modificaciones a realizarse y la documentación que
sustente la petición
Debe designar a una persona o departamento de DP para atender
solicitudes A,R,C,O(Artículo 30)
Debe ATENDER la solicitud en dos tiempos:
(Artículo 32)
20 días para comunicar al titular la determinación
adoptada
15 días para hacer efectiva la
determinación adoptada
Ambos plazos se pueden ampliar por una vez¿Problema?
Artículo 34Artículo 34
Causales para negativa del A, R, C O:
Cuando el solicitante no sea el titular de los datos personales, o el representante legal esté debidamente
acreditado para ello
Cuando exista un impedimento legal, o la resolución de una autoridad competente, que restrinja el A, R, C, O a
los datos personales
Cuando en su base datos no se encuentren los datos personales del solicitante
Cuando se lesionen los derechos a un tercero
Cuando la R, C O haya sido previamente realizada
Podrá ser parcial
Deberá estar justificada (informar el motivo de la decisión) y aportar, “en su
caso”, las pruebas pertinentes.
Condiciones de la negativa del A, R, C O:
Negativa del A, R, C ONegativa del A, R, C O
La expresión clara del contenido de la reclamación y de los preceptos de la
LFPDPPP que se consideran vulnerados
15 días después de la respuesta
Si no hay respuesta, una vez vencido el
plazo
¿Quién la puede interponer?El titular o su representante¿Quién la puede interponer?El titular o su representante ¿Cuál es el plazo para interponerla?¿Cuál es el plazo para interponerla?
¿Problema? Se deberá acreditar la fecha de la solicitud
Naturaleza y procedencia del ACTO RECLAMADO
Naturaleza y procedencia del ACTO RECLAMADO
Artículo 45(Primera parte)Artículo 45
(Primera parte)
También procederá cuando
No se entreguen los datos solicitados
Se niegue a efectuar modificaciones o correcciones a los datos
Se entreguen en un formato incomprensible
El titular no esté conforme con la información entregada por considerar que
es incompleta o no corresponde.
Solicitud de protección de datos personalesSolicitud de protección de datos personales
Recepción de la solicitud de protección de datos en el
IFAI
Artículo 45(Segunda parte)Artículo 45
(Segunda parte)
El IFAI corre traslado al responsable
15 días tiene el responsable para emitir respuesta al traslado, ofrecer pruebas y
manifestar lo que a su derecho convenga
El IFAI admite y desahoga las pruebas
Concluido el desahogo las pruebas, el IFAI
notifica al responsable para que presente
alegatos
5 días tiene el responsable para
presentar sus alegatos
El IFAI valora las pruebas, los elementos de convicción y ¿puede o debe? Celebrar audiencia con las partes
Bosquejo del procedimientoBosquejo del procedimiento
El Instituto resuelve dentro de 50 días (con posibilidad
de una ampliación) (Artículo 47)
Suplencia de la queja
(Artículo 50) / Prevención (Artículo 49)
Conciliación(Artículo 54)
Procederá cuando:1.Se de el incumplimiento a las resoluciones dictadas con motivo de procedimientos de protección de derechos o2.Se presuma fundada y
motivadamente la existencia de violaciones a la presente
ley.
Facultad del Instituto: Verificar el cumplimiento de la Ley y de la normatividad
que se derive de la misma(Artículo 59)
Facultad del Instituto: Verificar el cumplimiento de la Ley y de la normatividad
que se derive de la misma(Artículo 59)
A petición de parte
A petición de parte
Procedimiento de verificación(Artículo 60)
El Instituto tendrá acceso a la información y documentación que considere necesarias, de acuerdo con la resolución que lo motive
Los servidores públicos deberán guardar confidencialidad sobre la información que
conozcan en los procedimientos de verificación.
De oficioDe oficio
“El Reglamento desarrollara la forma, términos y plazos en que se
sustanciará el procedimiento”
“El Reglamento desarrollara la forma, términos y plazos en que se
sustanciará el procedimiento”
Recepción de la solicitud de protección de datos en el
IFAI , por falta de respuesta
Artículo 55Artículo 55
El IFAI corre traslado al responsable para que
acredite haber respondido
10 días tiene el responsable para acreditar haber
respondido en tiempo y forma a la solicitud, o dar respuesta a la misma
En caso de que la respuesta atienda a lo solicitado, la solicitud de protección de datos se consideraráimprocedente y se
sobreseerá el asunto.
En caso de que se compruebe que no hay respuesta atienda a lo solicitado, la resolución instruirá la entrega de la misma, sin costo para el
titular.
� Artículo 54:“El Instituto podrá en cualquier momento del procedimiento buscar una conciliación.
Se hará constar por escrito y tendrá efectos vinculantes. La solicitud de protección de datos quedará sin materia y el Instituto verificará el cumplimiento del acuerdo respectivo.
Procedimiento de conciliación
� Características:� Podrá celebrarse presencialmente, por medios remotos o locales de comunicación electrónica.
� Deberá hacerse constar por el medio que permita acreditar su existencia.
� En caso de que el titular de los datos sea menor de edad, se entenderá la conciliación con el representante legal.
� En caso de no existir acuerdo de conciliación, se continua el procedimiento de protección de derechos.
� Suspende el plazo del procedimiento de protección de derechos� En caso de incumplimiento, se reanuda el procedimiento de
protección de derechos
Si de esos dos procedimientos, se tuviera conocimiento de un presunto
incumplimiento de alguno de los principios o disposiciones, se iniciará el procedimiento.
(Artículo 60)
Si de esos dos procedimientos, se tuviera conocimiento de un presunto
incumplimiento de alguno de los principios o disposiciones, se iniciará el procedimiento.
(Artículo 60)
Procedimiento de verificaciónProcedimiento de verificación
Procedimiento de sanción(Artículo 62)
Protección de derechos
Protección de derechos
Notificación al presunto infractor
15 días tendrá el presunto infractor para ofrecer
pruebas y manifestar lo que a su derecho convenga
En caso de no haber pruebas, el Instituto resolverá con base en los elementos de convicción que
disponga
El Instituto admitirá las pruebas y
procederá a su desahogo.
5 días tendrá el presunto
infractor para ofrecer alegatos
El IFAI valora las pruebas, los elementos de
convicción y formulará una resolución
El Instituto resuelve dentro de 50 días (con posibilidad de
ampliación)
“El Reglamento desarrollara la forma, términos y plazos en que se sustanciará el procedimiento, incluyendo presentación de
pruebas y alegatos, la celebración de audiencias y el cierre de instrucción”
“El Reglamento desarrollara la forma, términos y plazos en que se sustanciará el procedimiento, incluyendo presentación de
pruebas y alegatos, la celebración de audiencias y el cierre de instrucción”
ImposiciImposicióón de sancionesn de sanciones
� Imposición de sanciones bajo un sistema de modulación, de acuerdo con la gravedad de las conductas.
� El Instituto tomará en cuenta factores como:
� La naturaleza del dato;
� La notoria improcedencia de la negativa del responsable para realizar los actos solicitados por el titular;
� El carácter intencional o no de la acción u omisión constitutiva de la infracción;
� La capacidad económica del responsable y la reincidencia.
� La reincidencia
Apercibimiento
Multa de 100 a 160,000 días de salario mínimo vigente en el Distrito Federal
Multa de 200 a 320,000 días de salario mínimo vigente en el Distrito Federal
Tipos de Sanciones
�No cumplir con la solicitud ARCO, en los términos de Ley
�Actuar con negligencia o dolo en la tramitación y respuesta de solicitudes ARCO�Declarar dolosamente la inexistencia de datos personales �Omitir en el aviso de privacidad los elementos que marca la Ley, �Mantener datos personales inexactos o no efectuar las rectificaciones o cancelaciones que procedan
�Cambiar finalidad originaria del tratamiento de los datos, sin consentimiento�Transferir datos a terceros sin comunicarles a éstos las limitaciones contenidas en el aviso de privacidad�Recabar o transferir datos personales sin consentimiento�Recabar datos en forma engañosa o fraudulenta�Obstruir las verificaciones que realice el IFAI
Infracciones cometidasInfracciones cometidas
Delitos en materia de tratamiento de Delitos en materia de tratamiento de datos personalesdatos personales
La LFPDPP establece tipos penales para sancionar hasta con 5 años de prisión a los responsables que hagan un uso ilícito de la información personal que tratan.
Autorregulación
LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES
DEFINICIÓN DE AUTORREGULACIÓN
Conjunto de normas de protección de datos que se apliquen a una pluralidad de responsables del tratamiento que pertenezcan a una misma profesión o al mismo sector industrial, cuyo contenido haya sido determinado fundamentalmente por miembros del sector industrial o profesión en cuestión.
Working Paper 7 del Grupo de Trabajo del Artículo 29
MODELO MEXICANO
� Las personas físicas o morales podrán convenir entre ellas o con organizaciones esquemas de autorregulación vinculante.
� La autorregulación: � Complementa lo dispuesto por la LFPDPPP. � Debe contener mecanismos para medir su eficacia, consecuencias ymedidas correctivas.
� Podrá traducirse en códigos deontológicos o de buena práctica profesional, sellos de confianza u otros mecanismos.
� Debe facilitar el ejercicio de los derechos de los titulares.
� Los esquemas de autorregulación serán notificados de manera simultánea a las autoridades sectoriales correspondientes y al Instituto.
Artículo 44 de la LFPDPPP
MODELO MEXICANO
� Reconoce los beneficios de la autorregulación.
� Retoma la necesidad de que los responsables notifiquen ante la autoridad los esquemas de autorregulación.
� Permite el libre flujo de los datos personales (sin consentimiento del titular) entre empresas de un mismo grupo sujeto a un esquema de autorregulación que prevea al menos los principios de la LFPDPPP.
� Es compatible con esquemas de autorregulación que permiten el flujo internacional de datos como las Reglas Transfronterizas de Privacidad (CBPRs) y las Reglas Corporativas Vinculantes (BCRs).
BENEFICIOS
� Los instrumentos de autorregulación ofrecen un valor añadido en la protección de datos personales porque:
� Constituyen un elemento de mayor calidad en el trato de los clientes de las organizaciones, ante la insuficiencia de las regulacionesaprobadas por el Estado o, añadiendo garantías adicionales a las existentes.
� Permiten adaptar la normativa a las especificidades que presenta el tratamiento de datos en un determinado sector de actividad, de forma que se generen estándares adaptados a las necesidades del sector, que faciliten su cumplimiento.
� Realizan una función preventiva más que reactiva: permiten ofrecer una solución rápida al titular de los datos.
MARCO NORMATIVO
La SE tiene la atribución de fijar los parámetros para el correcto desarrollo de los mecanismos y medidas de autorregulación, en coadyuvancia con el IFAI
Artículo 43 fracción V
Las transferencias de datos podrán realizarse sin el consentimiento del titular cuando sean efectuadas a sociedades bajo el control común de un responsable o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas.
Artículo 37 fracción V
ACREDITACIONES Y CERTIFICACIONES
La propuesta Reglamento de la LFPDPPP señala lo siguiente:
� Dependencias e IFAI podrán acreditar a certificadores (terceros autorizados).
� Personas físicas o morales que sean acreditadas como certificadores deberán garantizar la independencia e imparcialidad para el otorgamiento de certificados.
� El procedimiento de acreditación se realizará de conformidad con los parámetros establecidos por la SE en coadyuvancia con el IFAI.
ACREDITACIONES Y CERTIFICACIONES
� El certificado se otorgará cuando:
� Las políticas/programas de un responsable garanticen el debido tratamiento de los datos personales, para lo cual se podrá recurrir a los mecanismos de verificación y auditorías.
� Haya constancia de que el responsable cumple con la LFPDPPP, Reglamento, otras disposiciones y mecanismos de autorregulación.
� Prevé la revocación de una acreditación o certificación en caso de incumplimiento del certificador o del responsable.
Retos
� El modelo debe garantizar el cumplimiento de los requisitos mínimos establecidos por ley.
� Debe considerar esquema de aseguramiento.
� Diseño de proceso de acreditación de Certificadores efectivo y transparente.
� Considerar sistema revisión y eventuales consecuencias.
Corresponsabilidad
Anteproyecto de Reglamento Anteproyecto de Reglamento de la LFPDPPPde la LFPDPPP
Proyecto IFAIProyecto IFAI--SESE
Espíritu del Reglamento
Inducir un bajo nivel contencioso y un alto nivel de acatamiento de la norma.
Ejes rectores del Reglamento
Ejes rectores del Reglamento
Capítulo I. Disposiciones Generales
� Ámbito de aplicación objetivo: tratamiento de datos personales que obren en soportes físicos y/o electrónicos.
� Ámbito de aplicación territorial: responsable en México/ encargado de responsable en México/ por contrato o derecho internacional/ medios en México/ encargado en México de responsable fuera del país (sólo medidas de seguridad).
� Excepciones: detalla las excepciones previstas en la LFPDPPP.
� Fuente de acceso público: describe las fuentes de acceso público.
Capítulo II. De los Principios de Protección de Datos Personales
� Consentimiento tácito como regla general.
� Consentimiento expreso para datos sensibles y patrimoniales, así como para datos de menores de edad, de personas en estado de interdicción e incapacitadas.
� Aviso de privacidad: aviso multicapas. El simplificado deberá contener la identidad y domicilio del responsable, la finalidad del tratamiento y el medio para conocer el completo. El completo deberá contener los elementos del artículo 16 de la LFPDPPP, más los que establezcan los lineamientos y la referencia de poder acudir al IFAI para defensa del derecho.
� Medidas compensatorias: medidas pre-autorizadas por el IFAI o, de ser el caso, procedimiento para autorización por parte del IFAI.
� Procedimiento ante el IFAI para tratamiento con fines históricos y científicos.
� Datos personales sensibles: establece precisiones con relación al tratamiento de este tipo de datos.
Capítulo III. De la Seguridad de las Bases de Datos (avances)
� Se basa en la neutralidad tecnológica y en un enfoque de gestión de riesgos moderno y eficaz.
� Medidas de seguridad: control o grupo de controles que se determinarán según nivel de riesgo.
� Niveles de seguridad según: riesgo, sensibilidad de los datos, número de titulares, desarrollo tecnológico, consecuencias para titulares, vulnerabilidades, entre otros.
Además prevé:� Un cuestionario de autoevaluación para PYMES.� Que se establezca el rol de encargado de medidas de seguridad.� Que se elabore un documento de seguridad.� Que el IFAI emita recomendaciones en materia de seguridad.
Capítulo IV. Del tratamiento de datos personales con fines mercadotécnicos, publicitarios o de prospección comercial
� Deber del responsable de informar al titular mediante el aviso de privacidad, las finalidades relacionadas a mercadotecnia y prospección comercial.
� Posibilidad del titular de oponerse.
� Detalla el ejercicio del derecho de oposición para este tipo de tratamientos y los listados de exclusión.
Capítulo V. De las Transferencias de Datos Personales
� Se requiere consentimiento del titular.
� Deber del responsable de informar al titular sobre la transferencia en el aviso de privacidad.
� Cláusulas contractuales.
Capítulo VI. De las Atribuciones de las Autoridades y de la Coordinación entre ellas (pendiente)
� El IFAI podrá solicitar a la dependencia competente la elaboración de un anteproyecto de regulación secundaria. A su vez, la dependencia podráimpulsar la emisión de regulación específica.
� El IFAI emitirá opinión respecto de la regulación secundaria.
� La dependencia y el IFAI acordarán el proyecto.
� La dependencia y el IFAI aprobarán el proyecto definitivo.
� La dependencia publicará en el DOF.
Ejemplo Lineamientos de archivos, publicados por SEGOB: “… Estados Unidos Mexicanos.- Secretaría de Gobernación.- Archivo General de la Nación.- Instituto Federal de Acceso a la Información Pública.”
Capítulo VII. De la Autorregulación Vinculante (avances)
� Reglas o estándares para armonizar los tratamientos de datos y facilitar el ejercicio de los derechos de los titulares.
� La Secretaría de Economía, en coadyuvancia con el IFAI, emitirá los parámetros para el desarrollo de los mecanismos de autorregulación.
� La autoridad del sector que corresponda, en coadyuvancia del IFAI, podráacreditar y revocar la acreditación de las personas físicas o morales como certificadores.
� Los mecanismos de autorregulación deberán ser notificados a la autoridad del sector que corresponda y al IFAI.
� Uno de los objetivos será encauzar mecanismos de solución alternativa de controversias.
Capítulo VIII. De los Derechos de los Titulares de Datos Personales y su Ejercicio
� Reglas claras para el ejercicio de los derechos ARCO.
� Decisiones sin intervención humana valorativa: deber del responsable de informar sobre ello, mediante su aviso de privacidad, y de otorgar al titular mecanismos para solicitar lareconsideración de la decisión.
Capítulo IX. Del Procedimiento de Protección de Derechos
Conciliación:
� El IFAI promoverá la conciliación dentro de los primeros 15 días.
� El Instituto requerirá a las partes se manifiesten sobre su voluntad de conciliar y las exhortará para llegar a un arreglo.
� La conciliación podrá celebrarse presencialmente, por medios remotos o locales de comunicación electrónica o por cualquier otro medio.
� Aceptada la posibilidad de conciliar, se celebrará una audiencia.
� De no existir acuerdo en la audiencia, se continuará con el procedimiento.
� En caso de que en la audiencia se logre la conciliación, el acuerdo deberáconstar por escrito y tendrá efectos vinculantes.
� El cumplimiento del acuerdo dará por concluido el procedimiento, en caso contrario, el Instituto lo reanudará.
Capítulo X. Del Procedimiento de Verificación
� El procedimiento de verificación tendrá una duración máxima de 180 días, el cual se podrá ampliar por una vez.
� Visitas de verificación.
� Derecho de audiencia, presentación de pruebas y alegatos.
� La resolución del Pleno podrá establecer medidas que deberáadoptar el responsable, o bien, instruir el inicio del procedimiento de imposición de sanciones.
Capítulo XI. De las medidas para el cese en el uso de los datos personales
� Condiciones para aplicar las medidas:
I. Exista una presunción fundada y motivada de violaciones graves a la Ley, al Reglamento y demás disposiciones aplicables, y
II. Cuando cualquier demora pueda ocasionar daños irreparables o de difícil reparación para el titular de los datos personales.
� Deberán ser conducentes al riesgo que se prevé.
� El responsable tendrá hasta 5 días para atender la medida, y en caso de no hacerlo se iniciará el procedimiento de imposición de sanciones.
� La medida se levantará tan pronto como cesen las causas que le dieron origen, mediante resolución del IFAI, la cual tendrá que emitirse en un plazo que no mayor a 10 días, a partir de la presentación de pruebas por parte del responsable.
Capítulo XII. Del Procedimiento de Imposición de Sanciones
� 50 días para la sustanciación del procedimiento.
� Iniciará cuando de los procedimientos de protección de derechos o de verificación, se determinen infracciones a la Ley susceptibles de ser sancionadas.
� Ofrecimiento y desahogo de pruebas.
� Celebración de audiencia.
� La imposición de sanciones se determinará de conformidad con los criterios que emita el IFAI, considerando los previstos en el artículo 65 de la Ley.
Fechas límite
� 6 de julio, contar con aviso de privacidad apegado a la ley y designar a la persona o departamento de datos personales que se encargue de tramitar las solicitudes de derechos ARCO, asícomo implantar las políticas de privacidad al interior de la organización;
� De julio a diciembre, poner en marcha los procedimientos de la organización para estar en condiciones de plantar atender las solicitudes de titulares, e implantar las medidas de seguridad correspondientes, y
� 6 de enero de 2012, entra en vigor el ejercicio de los derechos ARCO ante las empresas y la posibilidad de solicitar la tutela de derechos ante el IFAI.
www.ifai.org.mx
http://www.infomex.org.mx/gobiernofederal/home.action
01800 TEL IFAI
01800 835 4324
TEL. 50 04 24 00
Artículo 36: Cuando el responsable pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos del encargado, deberá comunicar a éstos el aviso de privacidad y las finalidades a las que el titular sujetó su tratamiento. El tratamiento de los datos se hará conforme a lo convenido en el aviso de privacidad, el cual contendrá una cláusula en la que se indique si el titular acepta o no la transferencia de sus datos, de igual manera, el tercero receptor, asumirá las mismas obligaciones que correspondan al responsable que transfirió los datos.
Es posible la transferencia sin el consentimiento del particular cuando:
• Esta prevista en la ley o un tratado
• Es necesaria por motivos médicos o sanitarios
• Es efectuada a sociedades controladoras, bajo el control del mismo grupo del responsable que opere bajo los mismas políticas internas;
• Es necesaria en razón de una contratación en interés del titular, por el responsable y un tercero;
• Es necesaria o legalmente exigida para la salvaguarda de un interés público, o la procuración o administración de justicia;
• Es necesaria para reconocer, ejercer o defender un derecho ante un proceso judicial;
• Es precisa para mantener y cumplir una relación judicial entre titular y responsable.
Artículo 37 Artículo 37
