Ley Federal de Protección de Datos

(1)

Ley Federal de Protección de Datos

Personales en Posesión de los

Particulares y su Reglamento

(2)

Origen del derecho a la

protección de datos personales

(3)

El desarrollo vertiginoso de las Tecnologías de

la Información planteó y sigue planteando

nuevos retos y amenazas para la vida de las

personas con relación a su privacidad y

protección de sus datos personales.

¿Cómo surge el derecho a la

protección de datos personales?

(4)

Riesgos

Tecnologías de la Información

versusversus

protección de

datos personales: riesgos

 

Indexación

 

Phishing

 

hipercontextualizada

 

Fraudes

 

Spam

 

Suplantación de

Identidad

 

Geolocalización

 

Videovigilancia

(5)

Derecho

fundamental

de tercera

generación

queque

busca la busca la protección de protección de la persona en la persona en relación con el relación con el tratamiento de tratamiento de su información su información

Poder de

disposición y

control

que

faculta a su faculta a su titular a decidir titular a decidir cuáles de sus cuáles de sus datos proporciona datos proporciona a un tercero. a un tercero.

Derecho a la

Autodetermi

Autodetermi-

-nación

nación

Informativa

.. Derecho

Derecho queque

tiene toda tiene toda persona a persona a conocer y conocer y decidir,

decidir,

quién,

cómo y de qué

manera recaba,

utiliza y

comparte

sussus

datos personales.

¿En qué consiste el Derecho a la Protección

de Datos Personales (DPDP)?

(6)

La protección de datos personales

a nivel internacional

Directrices de la OCDE Directrices de la OCDE (1980) (1980) Convenio 108 (1981) Convenio 108 (1981) Resolución 45/95 dela ONU Resolución 45/95 dela ONU

(1990) (1990)

Directiva 95/46/CE(1995) Directiva 95/46/CE(1995)

Marco de Privacidad de APEC Marco de Privacidad de APEC

(1999) (1999)

Carta de Dere

Carta de Derechos Fundamentales dchos Fundamentales de lae la Unión Europa (2000) Unión Europa (2000) Directrices de Armonización de la Directrices de Armonización de la Red Iberoamericana (2007) Red Iberoamericana (2007) Estándares internaciona

(7)

Los datos personales como derecho

fundamental en México

El

artículo 6 constitucional

es la primera

referencia sobre el derecho a la protección de

datos personales

2007

El

artículo 16 constitucional

incorpora el Derecho a la

Protección de Datos Personales

como un derecho fundamental

2

0

9

9 Reconoce su autonomía y

Reconoce su autonomía y

lo dota de contenido

(8)

Marco normativo

Sector Público

Federal

Ley Federa

l de

T

ransparencia y Acceso a

la

Información Pública Gubernamental.

Ámbito

Privado

(a nivel nacional)

Ley Federal de

P

rotección de Datos

Personales en Posesión de los Particulares.

Entidades

Federativas

Leyes de protección de datos

Leyes de protección de datos o de transparenciao de transparencia con apartados específicos en el tema, con apartados específicos en el tema, que aplican únicamente para el sector

que aplican únicamente para el sector públicopúblico estatal. estatal.

APLICA

(9)

Ley Federal

de P

rotección de Datos

Personales en Posesión de los

Particulares

(10)

Definiciones

(11)

Relación establecida a

través de un instrumento

jurídico que acredite su

existencia, alcance y

contenido.

contenido. Persona física o moral de

Persona física o moral de

carácter privado que

DECIDE

DECIDE sobre el sobre el

tratamiento de los datos

personales

Responsable

Persona

Persona física física o jurídico jurídica, a, queque

sola o conjuntamente con

otras trate DP

otras trate DP A NOMBRE YA NOMBRE Y

POR CUENTA

POR CUENTA del responsabledel responsable

Encargado

Persona física o moral,

nacional o

nacional o extranjeraextranjera

distinta del

distinta del titulartitular, el, el

responsable y el encargado

Tercero

Persona o departamentoPersona o departamento

de datos per

de datos personalessonales

•

• Dar trámite a las solicitudes de derechosDar trámite a las solicitudes de derechos ARCO.

ARCO. •

• Fomentar la protección de datosFomentar la protección de datos personales.

personales. •

• Designado desde el 6 de julio de 2011.Designado desde el 6 de julio de 2011.

Sujetos involucrados en el tratamiento de

datos personales

Ajeno a la organización del

responsable

(12)

Garantiz

Garantizar la privacidad y ar la privacidad y el derecho a lael derecho a la autodeterminación informativ

autodeterminación informativa de las personasa de las personas

LFPDPPP

-- Orden público yOrden público y

-- Observancia generalObservancia general

-- FederalFederal Protección de datos Protección de datos personales en posesión de personales en posesión de los particulares los particulares Regular el tratamiento Regular el tratamiento -- LegítimoLegítimo -- ControladoControlado -- InformadoInformado

Naturaleza-objeto-finalidad

Naturaleza y

Naturaleza y ámbitoámbito de aplicación de aplicación Objeto Objeto Finalidad Finalidad

(13)

Particulares que Particulares que lleven a cabo el lleven a cabo el tratamiento de tratamiento de datos datos personales personales P

Personas físicas o ersonas físicas o morales de carácter privado.morales de carácter privado.

Con excepción de: Con excepción de: * Las sociedades de

* Las sociedades de información crediticia.información crediticia.

* Las personas físicas que recaben y almacenen datos * Las personas físicas que recaben y almacenen datos personales con fines exclusivamente personales.

personales con fines exclusivamente personales. * Las personas morales.

* Las personas morales.

* La información que se refiere exclusivamente a * La información que se refiere exclusivamente a personas físicas en su calidad de comerciantes y personas físicas en su calidad de comerciantes y profesionistas.

profesionistas.

* La información de identificación para fines de * La información de identificación para fines de representación de las personas que presten sus servicios representación de las personas que presten sus servicios a

a alguna alguna persona persona moral moral o o física física con con actividadesactividades empresariales y/o prestaci

empresariales y/o prestación ón de de serservicios como es:vicios como es: nombre completo y func

nombre completo y funciones o caiones o cargo, domicilio,rgo, domicilio, dirección electrónica, teléf

dirección electrónica, teléf ono y númeono y número de fax todosro de fax todos ellos institucionales

ellos institucionales..

Sujetos regulados

(14)

Ejes rectores

1.

1. Desarrollo de los principios

Desarrollo de los

principios

de protección de datos

personales internacionalmente

personales internacionalmente reconocidos.

reconocidos.

2.

2. Reconocimiento de los derechos ARCO

Reconocimiento de los

derechos ARCO

..

3.

3. Establecimiento de mecanismos sencillos, expeditos y

Establecimiento de

mecanismos sencillos, expeditos y

gratuitos

para el ejercicio y tutela de los derechos

ARCO.

4.

4. Incorporación de un régimen de infracciones y

Incorporación de un

régimen de infracciones y

sanciones

(15)

Diagnóstico inicial

1.

1. ¿Mi ¿Mi orgorganianizaczación uión utilitiliza daza datos ptos perersonasonales les en suen sus acts actividividadeadess cotidianas?

cotidianas? 2.

2. ¿D¿De dóe dóndnde se oe se obtbtieienenen los n los dadatotos ps perersosonanaleles?s? 3.

3. ¿Qu¿Qué áreaé áreas ints intervervienienen en een en el trl trataatamiemiento nto de dde datoatos pes persorsonalnales?es? 4.

4. ¿P¿Parara qua qué se ué se utitililizazan los dn los datatos peos persrsononalaleses?? 5.

5. ¿Co¿Con qun quién ién y pay para qra qué se ué se comcomparparten ten los los datdatos pos perersonsonaleales?s? 6.

6. ¿Fo¿Formrmatos eatos en qun que se ale se almacmacenaenan los dn los datoatos pers personsonaleales y tecs y tecnolnologíaogíass utilizadas?

utilizadas? 7.

(16)

Principales obligaciones

de las empresas

(17)

Principios

(18)

Primera fase: al momento de recabar

los datos personales

Se recaban Se recaban los datos los datos personales personales Uso o Uso o manejo de manejo de los datos los datos personales personales Supresión Supresión •

• No utilizar medios engañosos o fraudulentos.No utilizar medios engañosos o fraudulentos. •

• Poner a disposición elPoner a disposición el aviso de privacidadaviso de privacidad.. •

• Obtener el consentimiento del titular.Obtener el consentimiento del titular. •

• Recabar los datos Recabar los datos personales estrictamente necesarios.personales estrictamente necesarios. •

(19)

Lealtad en la obtención

Para la obtención de datos

personales

no debe valerse del

engaño o fraude

, de forma tal

que la persona no pueda

conocer con propiedad los

términos

y

condiciones

términos

y

condiciones

vinculados a ese tratamiento.

(20)

Información sobre el tratamiento

Dar a conocer la existencia misma del

tratamiento

y

sus

características

tratamiento

y

sus

características

esenciales en términos claros y sencillos

que

le

resulten

fácilmente

que

le

resulten

fácilmente

comprensibles, a través del aviso de

privacidad.

(21)

Consentimiento

El consentimient

El consentimiento o puede serpuede ser expresoexpreso o o tácito.tácito.

Por

Por regla generalregla general,, es válido el consentimiento tácito.es válido el consentimiento tácito.

El consentimiento es

El consentimiento es expresoexpreso para datos personales para datos personales patrimoniales

patrimoniales o o financieros.financieros.

El consentimiento es

El consentimiento es expreso y por escritoexpreso y por escrito parapara datos personales

datos personales sensibles.sensibles.

Es la

Es la manifestamanifestación dción de la voluntade la voluntad del titular que de maneradel titular que de manera libre, informada y específica

(22)

Excepciones del consentimiento:



 Se encuentre previsto en una Ley.Se encuentre previsto en una Ley.



 DP en fuentes de acceso DP en fuentes de acceso público.público.



 DP se hayan disociado.DP se hayan disociado.



 Cumplimiento de obligaciones derivadas de una relaciónCumplimiento de obligaciones derivadas de una relación jurídica entre el titular y el

jurídica entre el titular y el responsable.responsable.



 Exista una situación de emergencia que pueda dañar a unExista una situación de emergencia que pueda dañar a un individuo.

individuo.



 Sean indispensables para la atención, gestión o tratamientoSean indispensables para la atención, gestión o tratamiento médico o la prestación de asistencia sanitaria, siempre y cuando médico o la prestación de asistencia sanitaria, siempre y cuando el titular no esté en condiciones de otorgar su consentimiento. el titular no esté en condiciones de otorgar su consentimiento.



 Se dicte una resolución Se dicte una resolución de una autoridad competente.de una autoridad competente.

Excepciones del consentimiento

(23)

Datos estrictamente necesarios

El tratamiento de datos de carácter

personal debe circunscribirse a

aquéllos que resulten adecuados,

relevantes y no excesivos con

relación a las finalidades que

justificaron su obtención.

(24)

Segunda fase: durante el manejo o

utilización de los datos personales

Se recaban Se recaban los datos los datos personales personales Uso o Uso o manejo de manejo de los datos los datos personales personales Supresión Supresión •

• Utilizar la información Utilizar la información personal respetando la ley.personal respetando la ley. •

• Respetar la expectativa razonable de privacidad.Respetar la expectativa razonable de privacidad. •

• Limitar el uso de los datos personales al cumplimiento de lasLimitar el uso de los datos personales al cumplimiento de las finalidades determinadas.

finalidades determinadas. •

• Usar los datos que Usar los datos que resulten estrictamente necesarios.resulten estrictamente necesarios. •

• Mantener los datos actualizados.Mantener los datos actualizados. •

(25)

Licitud en el tratamiento

Todo responsable debe llevar a cabo

el tratamiento de datos personales

de forma lícita, esto es, respetando

la legislación aplicable, buena fe y

los derechos y libertades de las

personas.

(26)

Fines determinados en el uso

de datos personales

Primarias

Secundarias

Dan origen y son

necesarias

por lapor la relación jurídica relación jurídica

Finalidades distintas

Finalidades distintas a las quea las que dieron origen a la relación jurídica o dieron origen a la relación jurídica o

bien aquellas que sean

bien aquellas que sean permitidaspermitidas

de forma explícita por una ley de forma explícita por una ley oo

reglamento o el responsable haya reglamento o el responsable haya

obtenido el consentimiento. obtenido el consentimiento. El titular puede El titular puede negarse u oponerse negarse u oponerse alal

tratamiento de sus datos tratamiento de sus datos para estas finalidades, sin para estas finalidades, sin afectar la relación jurídica afectar la relación jurídica

Cualquier otra Cualquier otra finalidad, solo

finalidad, solo concon

previo previo consentimiento consentimiento deldel El tratamiento de

El tratamiento de datos personales debe ser sólo el datos personales debe ser sólo el necesarionecesario

para cumplir con la finalidad determinada

para cumplir con la finalidad determinada y legítima que sey legítima que se

señaló en el aviso de privacidad de manera clara y objetiva.

(27)

Usar los datos estrictamente

necesarios

El responsable sólo debe tratar la mínima

cantidad de información personal necesaria

para conseguir la finalidad perseguida, es

decir, realizar esfuerzos razonables para

limitar los datos personales tratados al

mínimo

necesario

(principio

de

mínimo

necesario

(principio

de

minimización).

(28)

Actualización de datos personales

Adoptar, siempre que ello sea posible,

medidas

razonables

para

que

la

medidas

razonables

para

que

la

información personal esté puesta al día a

efecto de responder a esa veracidad en

tanto persiste el tratamiento.

(29)

Velar por el cumplimiento

de los principios

Establecer mecanismos

necesarios para evidenciar dicho

cumplimiento, tanto ante los

titulares como ante la autoridad

de supervisión

Responsabilidad

Adoptar las medidas necesarias

para cumplir con los principios y

obligaciones en materia de

protección de datos personales

R

endir cuentas al

titular

en caso de

incumplimiento

(30)

Tercera fase: una vez agotada la

finalidad

Se recaban Se recaban los datos los datos personales personales Uso o Uso o manejo

manejo de de los datos los datos personales personales Supresión Supresión Cancelar los Cancelar los datos personales datos personales previo bloqueo previo bloqueo El responsable deberá El responsable deberá demostrar que los datos demostrar que los datos personales se conservan, personales se conservan, bloquean, suprimen o cancelan bloquean, suprimen o cancelan en los plazos establecidos.

en los plazos establecidos.

Para lo cual, deberá: Para lo cual, deberá:

Establecer y documentar Establecer y documentar procedimientos para la conservación, procedimientos para la conservación, bloqueo y supresión de los datos bloqueo y supresión de los datos personales, estableciendo los periodos personales, estableciendo los periodos para cada uno de ellos.

(31)

Seguridad de las bases de datos

personales

P

Para garantizar la integridad, confidencialidad y ara garantizar la integridad, confidencialidad y disponibilidad de losdisponibilidad de los datos personales, la LFPDPPP prevé lo siguiente:

datos personales, la LFPDPPP prevé lo siguiente:



 Todo responsable debe establecer y mantener medidas deTodo responsable debe establecer y mantener medidas de

seguridad de carácter administrativo, técnico y físico que seguridad de carácter administrativo, técnico y físico que permitan proteger los datos personales contra daño, pérdida, permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso, o tratamiento no alteración, destrucción o el uso, acceso, o tratamiento no autorizado.

autorizado.



 Para la implementación de dichas medidas se debe tomar enPara la implementación de dichas medidas se debe tomar en

cuenta factores como riesgo existente y posibles consecuencias cuenta factores como riesgo existente y posibles consecuencias para los titulares, la sensibilidad de los datos personales y el para los titulares, la sensibilidad de los datos personales y el desarrollo tecnológico.

(32)

Acciones de seguridad concretas: Acciones de seguridad concretas:



 Elaborar unElaborar un inventario de datos personalesinventario de datos personales.. 

 Determinar las funciones y obligacionesDeterminar las funciones y obligaciones de las personas que tratende las personas que traten

datos personales. datos personales.



 Contar con unContar con un análisis de riesgosanálisis de riesgos de datos personales que consiste ende datos personales que consiste en

identificar peligros y estimar los riesgos a los datos personales. identificar peligros y estimar los riesgos a los datos personales.



 Establecer lasEstablecer las medidas de seguridadmedidas de seguridad aplicables a los datos personales eaplicables a los datos personales e

identificar aquellas implementadas de manera efectiva. identificar aquellas implementadas de manera efectiva.



 Realizar elRealizar el análisis de brechaanálisis de brecha que consiste en la diferencia de lasque consiste en la diferencia de las

medidas de seguridad existentes y aquellas faltantes que resultan medidas de seguridad existentes y aquellas faltantes que resultan necesarias para la protección de datos

necesarias para la protección de datos personales.personales.



 Elaborar unElaborar un plan de trabajo para la implementación de las medidasplan de trabajo para la implementación de las medidas

de seguridad faltantes

de seguridad faltantes, derivadas del análisis de brecha., derivadas del análisis de brecha.



 Llevar a caboLlevar a cabo revisiones o auditoríasrevisiones o auditorías.. 

 Capacitar al personalCapacitar al personal que efectúe el que efectúe el tratamientotratamiento 

 Realizar unRealizar un registro registro de los de los medios medios de almacenamiento de almacenamiento de los de los datosdatos

personales.

Seguridad de las bases de datos

personales

(33)

Vulneraciones de seguridad

Las vulneraciones de seguridad ocurridas en

cualquier fase del tratamiento que afecten de

forma significativa los derechos patrimoniales o

morales de los titulares,

serán informadas de

forma inmediata por el responsable al titular

,

, a

a

fin de que este último pueda tomar las medidas

correspondientes a la defensa de sus derechos.

(34)

Se

erige

como

la

obligación

del

Se

erige

como

la

obligación

del

responsable y de quienes intervienen en

cualquier fase del tratamiento de datos

personales de

guardar y respetar la

confidencialidad

de los mismos

, obligación

que subsistirá aún después de finalizar sus

relaciones con el titular, o siendo el caso,

con el responsable.

Deber de confidencialidad

(35)

Cómputo en la nube

Modelo de provisión externa de s

Modelo de provisión externa de servicios de cómputo bajo demanda, que implica elervicios de cómputo bajo demanda, que implica el

suministro de infraestructura, plataforma o software, mediante procedimientos de

virtualización, en recursos compartidos.

El reglamento en su art. 52 El reglamento en su art. 52 establece las reglas mínimas establece las reglas mínimas para que el responsable se para que el responsable se pueda adherir a servicios de pueda adherir a servicios de cómputo en la nube.

cómputo en la nube.

El responsable no podrá El responsable no podrá

adherirse a servicios que no adherirse a servicios que no garanticen la debida

garanticen la debida protección de los datos protección de los datos personales.

(36)

Transferencia de bases de datos



La LFPDPPP facilita las transferencias de datos

personales dentro y fuera del país, si

personales dentro y fuera del país, siempre y

empre y

cuando

el responsable informe en el

aviso de

privacidad

la realización, la finalidad de las

transferencias y el titular acepte o consienta

éstas

..



La LFPDPPP señala excepciones para solicitar

el consentimiento del titular

, a fin de llevar a

cabo

transferencias

nacionales

o

cabo

transferencias

nacionales

o

internacionales.

(37)

Transferencia de bases de datos:

excepciones

Las transferencias nacionales o Las transferencias nacionales o internacionales de DP podrán

internacionales de DP podrán realizarserealizarse

sin el consentimiento del titular

cuando la transferencia: cuando la transferencia:

Esté prevista en una

Esté prevista en una Ley o TLey o Tratado en los que ratado en los que México forme parte.México forme parte. Sea necesaria para la prevención o

Sea necesaria para la prevención o el diagnóstico médico, lael diagnóstico médico, la

prestación de asistencia sanitaria, tratamiento médico o la gestión prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios.

de servicios sanitarios.

Sea efectuada a sociedades controladoras, subsidiarias o afiliadas Sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que

cualquier sociedad del mismo grupo del responsable que opere bajoopere bajo los mismos procesos y

los mismos procesos y políticas internaspolíticas internas (normas internas sobre la(normas internas sobre la protección de D

(38)

Sea necesaria por virtud de un

contrato celebrado o por

celebrar

en interés del titular, por el responsable y un

tercero.

Sea necesaria o legalmente exigida para la salvaguarda de

un

interés público

, o para la procuración y administración

de justicia.

Sea precisa para el reconocimiento, ejercicio o defensa de

un derecho en

proceso judicial.

Sea precisa para el

mantenimiento o cumplimiento de

una relación jurídica

entre el

entre el responsable y

responsable y el titula

el titularr

… podrán realizarse … podrán realizarse

sin el consentimiento del titular,

cuando la transferencia: cuando la transferencia:

Transferencia de bases de datos:

excepciones

(39)

Responsable

Encargado

Las remisiones o comunicaciones de datos personales, nacionales e Las remisiones o comunicaciones de datos personales, nacionales e internacionales,

internacionales, entre un responsable y un encargadoentre un responsable y un encargado no requerirán ser no requerirán ser informadas al titular ni contar con su consentimiento.

informadas al titular ni contar con su consentimiento.

El encargado se convierte El encargado se convierte en un responsable cuando: en un responsable cuando:

•

• Utilice los DP paraUtilice los DP para

finalidades

distintas

a las autorizadas.a las autorizadas. •

• Efectúe una transferencia,Efectúe una transferencia,

incumpliendo las

instrucciones

del responsable.del responsable.

El encargado

El encargado no incurrirá en responsabilidadno incurrirá en responsabilidad cuando previa indicacióncuando previa indicación

EXPRESA

EXPRESA del responsable, remita los DP a otro encargado. del responsable, remita los DP a otro encargado.

Remisión de datos

(40)

Mecanismos de autorregulación

Cualquier conjunto de normas de protección de datos que

Cualquier conjunto de normas de protección de datos que sese

apliquen a uno o varios responsables de un mis

apliquen a uno o varios responsables de un mismo sector ymo sector y

cuyo contenido es

cuyo contenido es determinado por dichos determinado por dichos responsables.responsables.

Con el objeto de armonizar los tr

Con el objeto de armonizar los tratamientoatamientos que lleven as que lleven a

cabo quienes se adhieren a los mismos y facilitar el

ejercicio de los

ejercicio de los derechos de los derechos de los titulares. Pudientitulares. Pudiendodo

demostrar con ello, el cumplimiento de las obligaciones

previstas en la normativa.

(41)

Derechos

(42)

Acceder a mis datos personales

Solicitar el Aviso de

Solicitar el Aviso de PrivacidadPrivacidad

Requerir información

Requerir información relacionadrelacionada a con con las condiciones las condiciones generales generales del del tratamientotratamiento

Datos personales

Datos personales inexactinexactosos

Datos personales

Datos personales incorrectincorrectosos

Supresión de los datos personales, previo bloqueo, cuando están siendo

tratados en contravención a la LFPDPPP, su Reglamento y demás disposiciones

aplicables

Solicitar el cese en el tratamien

Solicitar el cese en el tratamiento de los datos personales por razones lto de los datos personales por razones legítimas y egítimas y dede

manera jus

manera justificada, tificada, o bien, para fo bien, para fines específicos.ines específicos.

¿Cuáles son mis derechos?

Acceso

Oposición

Cancelación

Rectificación

(43)

P

rocedimiento para el

ejercicio de

los

derechos ARCO

(44)

Aspectos

gener

ales



El procedimiento específico para el ejercicio de los

derechos

derechos ARCO lo establece

ARCO lo establece cada responsable.

cada responsable.



Se debe designar a una persona o departamento de

datos personales para dar trámite a las solicitudes

de derechos ARCO. El designado también fomentará

la protección de los datos personales en la

organización.



El ejercicio de un derecho ARCO no excluye el

ejercicio de los otros, ni puede constituir requisito

previo.

(45)

Procedimientos de tutela del derecho

a la protección de datos personales

(46)

Ante el IFAI

Protección de

Derechos

Verificación

Imposición de

sanciones

(47)

Protección de derechos



 Inicia a instancia del titular de los datos o de suInicia a instancia del titular de los datos o de su

representante por inconformidad en la respuesta o por la representante por inconformidad en la respuesta o por la falta de respuesta por parte del responsable del falta de respuesta por parte del responsable del tratamiento de los datos personales.

tratamiento de los datos personales.

También procede cuando el responsable no le otorgó al También procede cuando el responsable no le otorgó al titular acceso a sus datos personales o lo hizo en un formato titular acceso a sus datos personales o lo hizo en un formato incomprensible, o se negó a rectificar o cancelar sus datos. incomprensible, o se negó a rectificar o cancelar sus datos.



 Se debe señalar claramente la reclamación y los preceptosSe debe señalar claramente la reclamación y los preceptos

de la LFPDPPP que se consideren

(48)



 El plazo para interponer este procedimiento es de 15 días aEl plazo para interponer este procedimiento es de 15 días a

partir de que el responsable le comunicó la respuesta al partir de que el responsable le comunicó la respuesta al responsable o cuando haya vencido el plazo de respuesta responsable o cuando haya vencido el plazo de respuesta previsto para el

previsto para el responsable.responsable.



 Contra la resolución de este procedimiento procede elContra la resolución de este procedimiento procede el

juicio de nulidad ante el Tribunal de Justicia Fiscal y juicio de nulidad ante el Tribunal de Justicia Fiscal y Administrativa.

Administrativa.

Protección de derechos

(49)

Procedimiento de verificación



 Tiene como finalidad que el IFAI compruebe el cumplimiento deTiene como finalidad que el IFAI compruebe el cumplimiento de

las disposiciones previstas en la LFPDPP

las disposiciones previstas en la LFPDPPP o en la regulación queP o en la regulación que derive de ella.

derive de ella.



 Las actuaciones de Las actuaciones de verificacióverificación n inicianinician:: 

 De oficio: derivado del incumplimiento a resoluciones De oficio: derivado del incumplimiento a resoluciones

dictadas con motivo de procedimientos de protección de dictadas con motivo de procedimientos de protección de derechos.

derechos.



 A petición de parte: cuando se presuma fundada y A petición de parte: cuando se presuma fundada y

motivada

motivadamente mente la la existencia existencia de de violaviolaciones ciones a a la la LeyLey..



 El procedimiento de verificación durará máximo 180 días, plazoEl procedimiento de verificación durará máximo 180 días, plazo

que puede ser ampliado por una sola vez. que puede ser ampliado por una sola vez.

(50)

Procedimiento de verificación



El IFAI está facultado para requerir al responsable la

documentación necesaria o también puede visitar el

establecimiento donde estén las bases de datos

personales.



Los servidores públicos del IFAI están obligados a guardar

confidencialidad sobre la información que conozcan a

partir de

partir de este procedimiento.

este procedimiento.



En contra de la resolución del Instituto al procedimiento

de verificación procede el juicio de nulidad ante el

Tribunal Federal de Justicia Fiscal y Administrativa.

(51)

Procedimiento de imposición de

sanciones

Se detona cuando el IFAI tenga conocimiento

de un presunto incumplimiento de alguno de

los principios o disposiciones de la LFPDPPP

como

consecuencia

del

desahogo

del

como

consecuencia

del

desahogo

del

procedimiento de protección de derechos o

del procedimiento de verificación.

(52)

Imposición de sanciones

(53)

Régimen de infracciones y sanciones



 La LFPDPPP prevé una serie de conductas consideradas comoLa LFPDPPP prevé una serie de conductas consideradas como

infracciones con su correspondiente sanción, misma que infracciones con su correspondiente sanción, misma que puede ir desde el

puede ir desde el apercibimientoapercibimiento hasta la imposición de hasta la imposición de multas máximas bajo un sistema de modulación de la

multas máximas bajo un sistema de modulación de la

penalidad

penalidad, de acuerdo con la gravedad de las conductas,, de acuerdo con la gravedad de las conductas, tomando en cuenta:

tomando en cuenta:



 LaLa naturaleza del datonaturaleza del dato..



 La notoria improcedencia de la negativa del responsableLa notoria improcedencia de la negativa del responsable

para realizar los actos solicitados por el titular. para realizar los actos solicitados por el titular.



 El carácter intencional de la El carácter intencional de la acción u omisión.acción u omisión.



 La capacidad económica del responsable.La capacidad económica del responsable.



(54)

Régimen de infracciones y sanciones

Tratándose de datos Tratándose de datos personales sensibles. personales sensibles.

Delito

Prisión

Delito

Prisión

P

Provocar una rovocar una vulneración devulneración de seguridad a las bases de seguridad a las bases de datos bajo su custodia. datos bajo su custodia.

3 meses a 3 años 3 meses a 3 años

T

Tratamiratamiento dento de DPe DP mediante el engaño, mediante el engaño, aprovechándose del error aprovechándose del error

del titular o del del titular o del

responsable. responsable. 6 meses a 5 años 6 meses a 5 años Penas Penas anteriores anteriores Delitos llevados Delitos llevados a cabo con a cabo con ánimo de lucro ánimo de lucro

(55)

Consecuencias de un manejo inadecuado de

datos personales para una organización

•

• Pérdida de confianza de los Pérdida de confianza de los clientes.clientes. •

• Riesgo reputacional frente a los Riesgo reputacional frente a los clientes.clientes. •

• Pérdida de activos en la organización.Pérdida de activos en la organización. •

• Pérdida de competitividad en un mercadoPérdida de competitividad en un mercado

globalizado globalizado..

Ley Federal de Protección de Datos