• Ley Federal de Protección de Datos Personales en Posesión de los Particulares Publicada en DOF el 5 de julio de 2010 . • Reglamento Publicado en DOF el 21 de diciembre de 2011 . • Lineamientos Publicados en DOF el 17 de enero de 2013 . • De IFAI a INAI Datos Personales Gobierno Federal Estatal Particulares
Sujetos Obligados
Conforme a la LFPDPPP, son
sujetos obligados, toda
persona física o moral que
para sus actividades
cotidianas recaben,
manejen y utilicen
Figuras que intervienen en la Protección de Datos Personales:
•Responsable.- Es la persona física o moral de carácter privado que decide sobre el tratamiento de datos personales, es quien deberá emitir el aviso de privacidad.
•Titular.- Es la persona FÍSICA a quien corresponden los datos personales.
•Encargado.- Persona física o moral que trate datos personales por cuenta del responsable.
•Persona o departamento encargado de datos personales.- Es quien dará trámite a la solicitud de derechos ARCO y fomentará la protección de datos personales.
•Tercero.- Persona física o moral, nacional o extranjera distinta del titular o del responsable.
Datos Personales
Es
toda Información que identifica o hace identificable a una una persona física:• Nombre • Domicilio • Teléfono • Correo electrónico • Estado civil • RFC • CURP • Núm. De Cartilla Militar
Datos Personales Sensibles
Son
aquellos
datos
personales que afectan
en la esfera más íntima
de sus titular, y cuya
utilización
indebida
pueda dar origen a
discriminación
o
conlleve
un
riesgo
grave para este
.
• Origen racial o étnico
• Estado de salud
• Información genética
• Creencias religiosas, filosóficas y morales • Afiliación sindical • Opiniones políticas • Preferencias sexuales • Datos financieros • Datos patrimoniales
Excepciones
•
Información de personas morales
•
Información de personas físicas en su
calidad de comerciantes o profesionistas
•
Información de personas físicas en
representación de alguna persona moral
•
Información de personas físicas con
actividad empresarial
•
Esté previsto en una disposición legal
•
Los datos figuren en fuentes de acceso
público
Obligaciones
•Llevar a cabo el tratamiento de los datos personales conforme a los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, y responsabilidad.
•Emitir un aviso de privacidad *
•Establecer y mantener medidas de seguridad de carácter administrativo, técnico y físico que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
•Designar un departamento o persona que se encargue del tratamiento y protección de los datos personales*
Aviso de Privacidad
Es el documento físico, electrónico o en cualquier otro formato, generado por el responsable, que es puesto a disposición del titular, previo al tratamiento de sus datos personales.
Su finalidad es transparentar y dar a conocer al titular las finalidades, usos, procedimientos y obligaciones en materia de privacidad adoptadas por el responsable, a fin de que dicho titular tome decisiones informadas con relación a sus datos personales.
•Hacer del conocimiento del titular de los datos personales que su información personal será recabada y utilizada para ciertos fines.
•Las características del tratamiento al que serán sometidos sus datos personales.
•Propiciar que el titular tome decisiones informadas
con relación a sus datos personales y controle el uso de su información personal.
El Aviso de Privacidad es una declaración que informa lo siguiente:
•Quién recaba los datos
•Qué datos se recaban
•Para qué se recaban
•Cómo limitar el uso o divulgación de los datos
•Cómo ejercer derechos ARCO
•Cómo se comunicarán los cambios al aviso
•Si se acepta o no que los datos se comuniquen a terceros (transferencias)
Características del aviso de privacidad
•No deberá contener frases inexactas, ambiguas o vagas;•En idioma español
•Con lenguaje claro y comprensible
•Utilizar un lenguaje acorde con el perfil de los titulares;
•No incluir casillas marcadas previamente, que requieran que el titular modifique la marcación para aceptar o denegar lo ahí
establecido;
•No remitir a textos o documentos que no estén disponibles para el titular, y
•No incluir referencias a textos normativos que obliguen al titular a remitirse a los mismos para conocer su contenido.
Elementos del Aviso de Privacidad
1. Identidad y domicilio del responsable2. Finalidades del tratamiento
3. Mecanismos para manifestar negativa 4. Datos personales a tratar
5. Señalamiento expreso de los datos personales sensibles 6. Transferencias
7. Cláusula para aceptar transferencias
8. Medios y procedimiento para ejercer derechos ARCO
9. Mecanismos y procedimientos para revocar consentimiento
10. Opciones y medios para limitar el usos o divulgación de sus datos personales
11. Uso de cookies, web beacons u otras tecnologías
12. Procedimientos y medios para comunicar cambios en el aviso de privacidad
1.Razón social, recomendando incluir el nombre comercial y domicilio completo.
2.Identificar las finalidades para las cuales se tratarán sus datos personales, diferenciando entre primarias y secundarias.
•Primarias: Son las que dan origen a la relación Jurídica – Comercial y necesarias para que subsista la misma. (No requiere consentimiento expreso)
•Secundarias: Son todas aquellas que derivan de las finalidades primarias y nos son necesarias para que subsista la relación Jurídica – Comercial. (Requieren de consentimiento expreso)
3.- Implementar un mecanismo para que el titular manifieste su negativa previamente al tratamiento de sus datos personales.
4.- Enlistar los datos personales que se van a recabar.
5.- Declarar expresamente que se recabarán datos sensibles y enlistar cada uno de estos, para lo cual se requiere el consentimiento expreso del titular, y se deberá redactar claramente la manifestación del mismo.
6.- Transferencias y Remisiones
Las transferencias se realizan a un tercero diferente al encargado, cuyas finalidades pueden ser distintas a las establecidas en el aviso de privacidad.
Las remisiones se realizan a un encargado, limitándose a las finalidades establecidas por el responsable.
En el caso de las transferencias, se deberá especificar a quién se le transfieren los datos, el país donde se encuentra y la finalidad de dicha transferencia.
7.- Consentimiento para las transferencias.
Deberá incluir una cláusula que permita que el titular indique si acepta o no cada una de las transferencias.
8.- Designar a una persona o departamento encargado de la protección de los datos personales que es quien deberá atender las solicitudes de derechos ARCO, asimismo, se deberá definir el mecanismo para presentar dichas solicitudes.
9.- Se recomienda implementar el mismo mecanismo de derechos ARCO, para la revocación del consentimiento.
10.-
Para la debida limitación del uso o divulgación de los
datos personales, se deberá canalizar al titular a los
portales de
PROFECO
y
CONDUSEF
para que conozca
los medios habilitados por dichas dependencias.
Se recomienda poner a disposición las ligas de dichas
páginas: PROFECO
http://www.profeco.gob.mx/
y
CONDUSEF
http://www.condusef.gob.mx/
(establecer
las ligas de los portales) y realizar su registro, a fin de
que quede debidamente limitado el uso y divulgación
de sus datos personales.
11.- En el caso de recabar datos personales por medio de su página web, deberá informar al titular si se utilizan cookies, web beacons u otras tecnologías, así como dar a conocer el procedimiento o la liga para deshabilitar las mismas y manifestar el nombre de los destinatarios, así como la finalidad de los datos personales compartidos.
Nota.- En caso de no utilizar dichas tecnologías se debe estipular lo siguiente:
Le informamos que en nuestra página de internet no utilizamos cookies, web beacons u otras tecnologías. (a fin de precisar y bridar seguridad en el tratamiento de los datos) 12.- Se deberá establecer el mecanismo implementado,
mediante el cual se darán a conocer los cambios que se realicen al aviso de privacidad
.
Modalidades del Aviso de Privacidad.
1. Aviso de Privacidad Integral
Contiene la totalidad de elementos.
2. Aviso de Privacidad Simplificado
Contiene la identidad y el domicilio del responsable; finalidades; mecanismos para manifestar negativa y remite al Aviso Integral.
3. Aviso de Privacidad Corto
Contiene la identidad y el domicilio del responsable; finalidades y el mecanismo para conocer el Aviso Integral.
Cuando debo entregar un Aviso de
Privacidad Integral, Simplificado o
Corto.
1. Aviso de Privacidad Integral
Cuando los datos se obtengan personalmente del titular.
2. Aviso de Privacidad Simplificado
Cuando los datos se obtienen directamente del titular pero por medio electrónico, óptico, sonoro, virtual u otras tecnologías.
3. Aviso de Privacidad Corto
Cuando el espacio para dar a conocer el Aviso es limitado y los datos personales recabados son mínimos.
1 3 2 4 Titular Responsable (Distribuidora) Aviso de privacidad Consentimiento (tácito, expreso) Encargado Terceros
En México u otro país
Derechos ARCO (acceso, rectificación, cancelación, oposición) B Solicitud de Protección de derechos Verificación Sanción INAI A Secretaría de Economía Lineamientos 5 Entidades privadas - Autorregulación Transferencia Consentimiento expreso Coadyuvancia Parámetros Remisión Consentimiento tácito En México
S a n c i o n e s
•De 100 a 160,000 días de SMVDF en el caso de datos no sensibles.•De 200 A 320,000 días de SMVDF en el caso de datos sensibles.
•Dichos montos pueden duplicarse por reincidencia
Delitos en Materia del Tratamiento Indebido de Datos Personales
•Artículo 67.- Se impondrán de 3 meses a 3 años de prisión al que estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia.
•Artículo 68.- Se sancionará con prisión de 6 meses a 5 años al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos.
•Artículo 69.- Tratándose de datos personales sensibles, las penas a que se refiere este Capítulo se duplicarán.