LEY NÚMERO 581 PARA LA TUTELA DE LOS DATOS PERSONALES EN EL ESTADO DE VERACRUZ DE IGNACIO DE LA LLAVE

(1)

LEY NÚMERO 581

PARA LA TUTELA DE LOS DATOS PERSONALES

EN EL ESTADO DE VERACRUZ DE

(2)

Ar/culo 6. Para los efectos de la presente Ley, se en@ende por:

Datos personales: La información numérica, alfabé@ca,

gráfica, acús@ca o de cualquier otro @po concerniente a una persona Msica, iden@ficada o iden@ficable, concerniente a:

TÍTULO PRIMERO CAPÍTULO ÚNICO Disposiciones Generales

•  Su origen étnico

•  Caracterís@cas Msicas, morales o emocionales

•  Vida afec@va y familiar

•  Domicilio y teléfono par@culares •  Correo electrónico no oﬁcial

•  Patrimonio

(3)

Datos personales: La información numérica, alfabé@ca,

gráfica, acús@ca o de cualquier otro @po concerniente a una persona Msica, iden@ficada o iden@ficable, concerniente a:

•  Creencias

•  Convicciones religiosas y ﬁlosóﬁcas •  Estado de salud

•  Preferencia sexual •  Huella digital

•  ADN

•  Número de seguridad social •  Otros similares.

(4)

Sistema de Datos Personales: Todo conjunto organizado de

archivos, registros, ﬁcheros, bases o banco de datos personales de los entes públicos, cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización y acceso;

Sistema de Datos Personales

Sistema de información que en sus registros contenga datos personales

(5)

Ficheros de control de acceso: Registros de datos personales

que se requieren para controlar las entradas y salidas a un ediﬁcio público;

Sistema de Datos Personales Repositorio de datos que almacene

(6)

Tratamiento de Datos Personales: Cualquier operación o

conjunto de operaciones efectuadas mediante procedimientos automa@zados, informá@cos, manuales, mecánicos, digitales o electrónicos, aplicados a los sistemas de datos personales, relacionados con la obtención, registro, organización, conservación, elaboración, u@lización, cesión, difusión, cotejo o interconexión o cualquier otra forma que permita obtener información de los mismos y facilite al interesado el acceso, rec@ﬁcación, cancelación u oposición de sus datos, así como su bloqueo, supresión o destrucción;

(7)

CAPÍTULO V

Video-‐Vigilancia y Ficheros de Control de Acceso

Ar/culo 26. Cuando la u@lización de sistemas de vigilancia

mediante videocámaras dé lugar a la creación de ﬁcheros donde se almacenen las imágenes en un disco duro, o en cualquier otro soporte informá@co, que permitan localizarlas atendiendo a criterios como el día y hora de grabación, el cruce de imágenes o el lugar Msico registrado, el ente público deberá colocar de manera visible y de fácil localización la señalización correspondiente, en la que se indique la zona que es objeto de video vigilancia.

(8)

(9)

Ar/culo 10. Cada ente público determinará, a través de su

@tular o, en su caso, del área correspondiente, la creación, modiﬁcación o supresión de sistemas de datos personales, conforme a su ámbito de competencia, con respeto a los principios y garan]as establecidos en esta Ley.

TÍTULO SEGUNDO

Sistemas de Datos Personales CAPÍTULO I

Disposiciones Generales

(10)

La creación, modiﬁcación o supresión de sistemas se realizará

mediante acuerdo que deberá publicarse en la Gaceta Oﬁcial del

estado y en la página ins@tucional de internet del ente público, y

que deberá contener:

TÍTULO SEGUNDO

Ar/culo 10 Lin 7

I. La ﬁnalidad del sistema de datos personales y los usos previstos para el mismo;

II. El origen de los datos y el grupo de interesados al que va dirigido;

(11)

TÍTULO SEGUNDO

Ar/culo 10

III. Las personas o grupos de personas sobre los que se pretenda obtener datos de carácter personal o que resulten obligados a suministrarlos;

IV. El procedimiento de recopilación de los datos de carácter personal;

V. La estructura básica del sistema de datos personales y la descripción de los @pos de datos incluidos en el mismo;

(12)

TÍTULO SEGUNDO

Ar/culo 10

VI. La cesión de la que puedan ser objeto los datos;

VII. Las instancias responsables del tratamiento del sistema de datos personales;

VIII. La unidad administra@va ante la que podrán ejercitarse los derechos de acceso, rec@ﬁcación, cancelación u oposición;

IX. El plazo de conservación de los datos; y X. El nivel de protección exigible.

(13)

TÍTULO SEGUNDO

Ar/culo 13. Los sistemas de datos personales en posesión de

los entes públicos deberán inscribirse en el registro que al efecto habilite el Ins@tuto.

El registro deberá comprender como mínimo la información siguiente:

(14)

TÍTULO SEGUNDO

Ar/culo 13 I. Naturaleza de la información y su registro;

II. Obje@vos para los cuales se u@liza la información;

III. Medidas que deben tomarse si se desea tener acceso al expediente;

IV. Finalidad y periodo para el que se man@ene cada @po de registro;

V. Personas que @enen derecho de acceso a la información personal contenida en los registros y las condiciones para este derecho;

VI. Nombre, correo electrónico, dirección, teléfono y cargo del responsable, así como nombre de los usuarios;

VII. Forma de recopilación y actualización de datos;

VIII. Des@no de los datos y personas Msicas o morales a las

que pueden ser transmi@dos;

IX. Modo de interrelacionar la información registrada;

X. Fecha de publicación en la Gaceta Oﬁcial del estado;

XI. Norma@vidad aplicable al sistema, y XII. Medidas de seguridad.

(15)

CAPÍTULO VII

Medidas de Seguridad

Ar/culo 29. Los entes públicos establecerán las medidas de

seguridad técnica y organiza@va para garan@zar la conﬁdencialidad e integridad de cada sistema de datos personales que posean…

… Las medidas serán adoptadas en relación con el menor o mayor grado de protección que ameriten los datos personales, deberán constar por escrito y ser comunicadas al Ins@tuto para su registro…

(16)

CAPÍTULO VI

Bole@nes Judiciales, Listas de Acuerdos y Estrados

Ar/culo 28. Si la publicación de los datos personales lleva por

fin la no@ficación al @tular de un determinado acto, y la no@ficación se realiza por medios informá@cos, digitales o de internet, una vez efectuada aquélla y transcurridos los plazos de ejercicio de los posibles recursos, no se mantendrán dichos datos para su localización a través de los buscadores electrónicos. Al efecto, se dictarán las órdenes oportunas para limitar la indexación del nombre y apellidos de las personas en los mencionados documentos mediante la incorporación de un código norobot.txt, con objeto de que los motores de búsqueda de internet no puedan asociarlo al @tular.

(17)

CAPÍTULO VI

Bole@nes Judiciales, Listas de Acuerdos y Estrados

Ar/culo 28

El archivo robots.txt más simple u@liza dos reglas:

User-‐Agent: el robot al que se aplica la siguiente regla Disallow: la URL que quieres bloquear

Ejemplo:

User-‐Agent:* Disallow /

(18)

CAPÍTULO VII

Ar/culo 30. El ente público responsable de la tutela y tratamiento

del sistema de datos personales adoptará las medidas de seguridad conforme a lo siguiente:

I. Tipos de seguridad: a)  Física.

(19)

CAPÍTULO VII

(20)

CAPÍTULO VII

b) Lógica.

(21)

CAPÍTULO VII

b) Lógica.

c) De desarrollo y aplicaciones. d) De cifrado.

(22)

CAPÍTULO VII

b) Lógica.

c) De desarrollo y aplicaciones. d) De cifrado.

(23)

CAPÍTULO VII

Medidas de Seguridad

ARTÍCULO 30

II. Niveles de seguridad:

a) Básico. El rela@vo a las medidas generales de seguridad cuya

aplicación es obligatoria para todos los sistemas de datos personales.

(24)

CAPÍTULO VII

ARTÍCULO 30

a) Básico. El rela@vo a las medidas generales de seguridad cuya

aplicación es obligatoria para todos los sistemas de datos personales.

b) Medio. Se reﬁere a la adopción de medidas de seguridad cuya

aplicación corresponde a aquellos sistemas de datos rela@vos a la comisión de infracciones administra@vas o penales, hacienda pública, servicios ﬁnancieros, datos patrimoniales, así como a los sistemas que contengan datos personales suﬁcientes para obtener una evaluación de la personalidad del individuo.

(25)

CAPÍTULO VII

ARTÍCULO 30

c) Alto. Corresponde a las medidas de seguridad aplicables a

sistemas de datos concernientes a la ideología, religión, creencias, aﬁliación polí@ca, origen étnico, salud, biométricos, gené@cos o vida sexual, así como los que contengan datos recabados para ﬁnes policiales, de seguridad, prevención, inves@gación y persecución de delitos.

(26)

Alto

Datos concernientes a la ideología, religión, creencias, aﬁliación polí@ca, origen étnico, salud, biométricos, gené@cos o vida sexual, así como los que contengan datos recabados para ﬁnes policiales, de seguridad, prevención, inves@gación y persecución de delitos.

Medio

Datos rela@vos a la comisión de infracciones administra@vas o penales, hacienda pública, servicios ﬁnancieros, datos patrimoniales

Básico

NIVELES

MEDIDAS

Todos los sistemas de datos personales

1. Documento de seguridad (Lin 16); 2. Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales;

3. Registro de incidencias;

4. Iden@ﬁcación y auten@ﬁcación; 5. Control de acceso;

6. Ges@ón de soportes;

7. Copias de respaldo y recuperación. 8. Responsable de seguridad;

9. Auditoría;

10. Control de acceso Msico; 11. Pruebas con datos reales.

12. Distribución de soportes; 13. Registro de acceso; y 14. Telecomunicaciones.

CAPÍTULO VII Medidas de Seguridad

(27)

CAPÍTULO VII

Ar/culo 31. Las medidas de seguridad de los datos personales

tratados en bases de datos almacenadas o soportadas en sistemas informá@cos deberán ser analizadas y establecidas por medio del

Comité de Información de Acceso Restringido a que se reﬁere el

ar]culo 13 de la Ley de Transparencia y Acceso a la Información Pública para el Estado, que se cons@tuirá como el Comité para la Seguridad Informá@ca de los Datos Personales.

(28)

CAPÍTULO VII

Ar/culo 32. El responsable del área informá@ca de cada ente

público deberá integrarse de manera obligatoria al Comité para la

(29)

Elaborar análisis de riesgos de TICs

Desarrollar metodologías y procesos especíﬁcos rela@vos a la seguridad

y privacidad de la información

Desarrollar proceso de Admon. de la con@nuidad de las operaciones de las TICs ante la presencia de incidentes rela@vos

a la seguridad de la información

Proponer al Comité de Seguridad, para su aprobación,

la polí@ca de seguridad de la información y sus obje@vos, así como observar el cumplimiento

de los mismos

Establecer, operar, monitorear, mantener y

mejorar un sistema de administración de seguridad

de la información Monitorear cambios

signiﬁca@vos en los riesgos que afectan a los recursos de información Garan@zar que la

seguridad sea parte del proceso de planiﬁcación

de la información Conformar grupos de trabajo que permitan garan@zar la seguridad y

privacidad de los entes públicos

Promover la difusión de la cultura de seguridad

y privacidad de la información dentro del EP Plan de Contingencia Informático para la preservación de la Información Ar/culo 32

Sistema de Ges@ón de la Seguridad de

(30)

CAPÍTULO VII

Ar/culo 33. Las medidas de seguridad a las que se reﬁere el

presente Capítulo cons@tuyen mínimos exigibles, por lo que el ente público adoptará las medidas adicionales que es@me necesarias…

Por la naturaleza de la información, las medidas de seguridad que se adopten serán consideradas conﬁdenciales y únicamente se comunicará al Ins@tuto, para su registro, el nivel de seguridad aplicable.

Los entes públicos podrán hacer referencia a estándares, normas, marcos de referencia y buenas prác@cas estatales, nacionales e internacionales…

(31)

CAPÍTULO VII

Ar/culo 33

M a n u a l A d m i n i s t r a P v o d e Aplicación General en las materias de Tecnologías de la Información y Comunicaciones y de Seguridad de la Información

(32)

TÍTULO QUINTO

Responsabilidades y Sanciones CAPÍTULO I

De las Infracciones

Ar/culo 60. Cons@tuyen infracciones a la presente Ley:

IV. Crear sistema de datos de carácter personal, sin la publicación previa en la Gaceta

Oﬁcial del estado; 300-‐1000dsm

VI. Incumplir los principios y garan]as previstos por la presente Ley ; 300-‐1000dsm

VII. Transgredir las medidas de protección y conﬁdencialidad a las que se reﬁere la

presente Ley; 300-‐1,000dsm

IX. Omi@r o presentar de manera extemporánea los informes a que se reﬁere la presente

Ley; 300-‐1,000dsm

XII. Impedir u obstaculizar la inspección ordenada por el Ins@tuto o su instrucción de

bloqueo de sistemas de datos personales; 1,000 – 10,000dsm

XIII. Destruir, alterar, ceder datos personales, archivos o sistemas de datos personales sin

autorización; 1,000 – 10,000dsm

XV. El incumplimiento de cualquiera de las disposiciones contenidas en esta Ley. 1,000 – 10,000dsm

(33)

TRANSITORIOS

Primero. La presente Ley entrará en vigor al día siguiente de su

publicación en la Gaceta Oﬁcial del estado.

Segundo. Los entes públicos deberán no@ﬁcar al Ins@tuto, dentro de los

ciento ochenta días hábiles después de la entrada en vigor de la presente Ley, la relación de sistemas de datos personales que posean para su registro.

Tercero. Los entes públicos, dentro del plazo de trescientos sesenta días

naturales, contado a par@r de la entrada en vigor de la presente Ley, deberán ajustar los sistemas de datos personales que posean, así como adecuar su norma@vidad interna.

Cuarto. Los entes públicos que a la entrada en vigor de la presente Ley no

cuenten con un sistema de datos personales tendrán un plazo de trescientos sesenta días naturales para crear dicho sistema en términos de la presente Ley y demás norma@vidad que expida el Ins@tuto.

(34)

L.I. JORGE ARTURO GLORIA CARRALES DIRECTOR DE SISTEMA INFORMÁTICOS

[email protected] Tel: (228) 8420270 ext 213