Transcript Aviso de Privacidad

2014
Definición
Datos
Personales
Es toda aquella
información concerniente
a una persona física
identificada o identificable
Pudiendo
ser:
- numérica
- alfabética
- gráfica
- fotográfica
- acústica
- o de cualquier otro tipo
Tipo de Datos Personales
1. De Identificación
2. Laborales
3. Patrimoniales
Nombre,
domicilio,
teléfono, correo
electrónico, firma
Puesto, domicilio
Créditos, cuentas
bancarias
RFC, CURP, fecha
de nacimiento,
edad,
nacionalidad,
edo. civil
Correo
electrónico y
teléfono del
trabajo
Ingresos y
egresos
Tipo de Datos Personales (2)
4. Académicos
5. Ideológicos
6. Salud
Título, cédula
profesional
Creencias
religiosas,
afiliación política
Historial clínico,
enfermedades
Pertenencia a
organizaciones
civiles
Información
concerniente a
cuestiones
psicológicas y/o
psiquiatras
Trayectoria
académica y
certificados
Tipo de Datos Personales (3)
7. Características
Personales
8. Características
Físicas
9. Vida: Sexual y
origen
Tipo de
sangre,
huellas
digitales
Color de piel,
iris y cabello
Preferencias y
hábitos
sexuales
ADN
Señas
particulares
Étnico y/o
racial
Datos Personales Sensibles
Son aquellos datos personales que afectan la
esfera más íntima de su titular o cuya
utilización indebida pueda dar origen a la
discriminación o conlleve un riesgo grave
para el titular.
Antecedentes del Derecho de
Protección de Datos Personales
Los avances
Tecnologías
Información
en
de
las
la
y
sus
implicaciones para la vida de las
personas dieron origen a un
derecho distinto, relacionado con la
protección de los datos personales.
¿En qué consiste el Derecho de
Protección de Datos Personales?
Es un derecho
fundamental de
tercera
generación que
busca la
protección de la
persona en
relación con el
tratamiento de
su información
Poder de
disposición y
control que
faculta a su
titular a decidir
cuáles de sus
datos
proporciona a un
tercero. Derecho
a la auto
determinación
informativa.
Derecho que
tiene toda
persona a
conocer y
decidir, quién,
cómo y de qué
manera
recaba, utiliza
y comparte
sus datos
personales.
¿Qué son los derechos de tercera
generación?
Derecho de Protección de Datos
Personales en el Mundo
 Ley Orgánica 15/1999, de Protección de Datos de Carácter
Personal:
 Autoridad independiente: Agencia Española de Protección de
Datos.
 Tiene leyes de protección de datos personales a nivel federal
y provincial.
 Tiene regulaciones sectoriales “Privacy Act” (safe harbour),
pero no reconoce el derecho como tal, ni cuenta con una
autoridad independiente en la materia.
 Los países latinoamericanos
constitucional del derecho
personales: Perú, Venezuela,
Ecuador, Guatemala, Nicaragua
con reconocimiento en sede
a la protección de datos
Argentina, Brasil, Colombia,
y México.
Derecho de Protección de los Datos
Personales en México
Fracción
II y III
Derechos
ARCO
• Primeras menciones
constitucionales
expresas.
•Limitantes al
ejercicio del
derecho de acceso a
la información.
• Reconocimiento
expreso del derecho
de las personas a la
protección de sus
datos personales y
al ejercicio de éste.
ART. 6
ART. 16
Disposiciones generales
Objeto
Naturaleza y
ámbito de
aplicación
Protección de datos
personales en posesión de
los particulares
Finalidad
Regular el acceso
- Legítimo
- Controlado
- Informado
- Orden público y
- Observancia general
- Federal
Ley Federal de
Protección de
Datos
Personales en
Posesión de los
Particulares
Garantizar la privacidad y el derecho a la
autodeterminación informativa de las personas
Periodos de implementación
• Designación de una persona o departamento
de datos personales.
• Expedir avisos de privacidad.
• Ejercicio de los derechos ARCO.
• Interposición de quejas ante el IFAI.
Sujetos Regulados
Personas físicas o
morales de carácter
privado
Particulares que llevan a
cabo el tratamiento de
datos personales
Con excepción de:
Sociedades de Información
Crediticia (en su función
sustantiva)
Personas que lleven a cabo la
recolección y almacenamiento de
DP para uso exclusivamente
personal,
sin fines de divulgación
o utilización comercial
Excepciones
La relativa a personas morales.
Aquella que refiera a personas físicas en su
calidad de comerciantes y profesionistas.
Personas físicas que presten sus servicios para alguna
persona moral o persona física con actividades
empresariales y/o prestación de servicios, consistente
únicamente en:
• Nombre y apellidos
• Funciones o puestos
desempeñados
• Domicilio físico
• Dirección electrónica,
teléfono y fax
Siempre y cuando esta
información sea tratada
para fines de
representación del
empleador o contratista.
Principios que rigen la PDP
Licitud
Responsabilidad
Proporcionalidad
Lealtad
Tratamiento
Calidad
Información
Consentimiento
Finalidad
Derechos ARCO
CCESO
Todos los titulares o
en su caso, el
representante legal
podrán ejercer los
derechos de:
A los datos personales, al
aviso y a las condiciones del
tratamiento
ECTIFICACIÓN
Cuando los DP sean inexactos
o incompletos. No cumplan
con el principio de calidad
ANCELACIÓN
Cuando no se cumplan los
principios y deberes (finalidad,
proporcionalidad…)
POSICIÓN
Impedir tratamiento por razones
legítimas de manera justificada.
Listados de exclusión (gratuito y
constancia de inscripción)
Algunas definiciones
Fuentes de
acceso público
Bases de
datos
Conjunto ordenado
de datos
personales
referentes a una
persona
identificada o
identificable
Medios remotos o
locales de comunicación
electrónica, óptica o de
otra tecnología, siempre
que el sitio donde se
encuentren los DP esté
concebido para facilitar
información al público.
Tratamiento
Remisión
Todo manejo de DP
por cualquier medio
Comunicación de DP
entre el responsable y
el encargado, dentro o
fuera del territorio
mexicano
Aviso de Privacidad
Un documento físico, electrónico o en cualquier otro
formato (visual, sonoro, etc.) generado por el responsable
que es puesto a disposición del titular, previo al
tratamiento de sus datos personales, con el fin de
informarle qué datos se recaban y con qué fines.
• Establecer los términos, alcances y condiciones
del tratamiento de los datos personales.
• Informar al titular para que pueda tomar
decisiones informadas sobre sus datos, a efecto
de mantener el control y disposición sobre
ellos.
19
Estructura y diseño del Aviso de
Privacidad
• Debe ser sencillo y con la información
necesaria
• Expresado en español
• Utilizar un lenguaje claro y comprensible
• Para su redacción tomar en cuenta el perfil
del titular
• No usar frases inexactas, ambiguas o vagas
• No incluir textos o formatos que induzcan al
titular a elegir una opción en específico
• No incluir casillas previamente marcadas, y
• No remitir a textos o documentos que no
estén disponibles para el titular.
Elementos que debe contener el
Aviso de Privacidad
Elementos del Aviso de Privacidad
1
La identidad y domicilio del responsable.
2
Los datos personales que serán sometidos al tratamiento.
3
El señalamiento expreso de los datos sensibles que se recaban.
4
Las finalidades del tratamiento.
5
Los mecanismos para que el titular manifieste su negativa para el tratamiento de datos que no
son necesarios para cumplir con la relación jurídica con el responsable.
6
Las transferencias que en su caso se efectúen, el tercero receptor y la finalidad de las mismas.
7
La cláusula que indica si el titular acepta o no la transferencia.
8
Los medios y procedimientos para el ejercicio de los derechos ARCO.
9
Los mecanismos y procedimientos para poder revocar el consentimiento.
10
Las opciones y medios para limitar el uso o divulgación de datos personales.
11
Informar sobre el uso de mecanismos en medios remotos o locales de comunicación que
permitan recabar datos de manera automática y simultánea cuando el titular hace contacto con
los mismos.
12
Los procedimientos y medios para comunicar cambios al aviso de privacidad.
¿Cuándo dar a conocer el Aviso de
Privacidad?
Si los datos se obtienen
de manera directa o
personal
El AP se pone a
disposición previo
a la obtención de
los datos
Si los datos se obtienen
de manera indirecta, de
una transferencia o de
una fuente de acceso
público
En el primer
contacto con el
titular o previo al
aprovechamiento de
los datos
Si el responsable
pretende tratar los DP
para una finalidad
distinta
Se da a conocer
previo al
aprovechamiento
de la nueva
finalidad
Cuando se pone a
Modalidades
del
disposición
Modalidad
Contenido
Integral
Artículos 8, 15, 16, 33 y 36 de la LFPDPPP.
Artículos 14, 24, 26, 30, 40, 41, 42, 68, 90 y 102 del
Reglamento.
Vigésimo, Vigésimo primero, Vigésimo segundo, Vigésimo
tercero, Vigésimo cuarto, Vigésimo quinto, Vigésimo sexto,
Vigésimo séptimo, Vigésimo octavo, Vigésimo noveno,
Trigésimo, Trigésimo primero, Trigésimo segundo y
Trigésimo tercero de los Lineamientos.
Cuando los datos se obtengan
personalmente del titular a
través de formatos por los que
se recaban
Simplificado
Artículos 17, fracción II de la LFPDPPP y 27 del
Reglamento.
Trigésimo cuarto, Trigésimo quinto, Trigésimo sexto y
Trigésimo séptimo de los Lineamientos.
Al menos lo siguiente:
• La identidad y domicilio del responsable.
• Las finalidades del tratamiento (distinguir entre
finalidades).
• Los mecanismos para conocer el aviso completo.
Cuando los datos se obtienen
de manera directa del titular
por cualquier medio
electrónico, óptico, sonoro,
visual, o a través de cualquier
otra tecnología
Corto
Artículo 28 del Reglamento.
Trigésimo octavo, Trigésimo noveno, Cuadragésimo y
Cuadragésimo primero de los Lineamientos.
Al menos lo siguiente:
• La identidad y domicilio del responsable.
• Las finalidades del tratamiento (NO es necesario
distinguir entre finalidades).
• Los mecanismos para conocer el aviso completo.
Aviso de Privacidad
Se deberá proporcionar de
manera inmediata al
momento de recabar los
datos. (espacio limitado)
23
Medidas compensatorias
Se utilizarán cuando resulte imposible dar a conocer al aviso de
privacidad al titular o exija esfuerzos desproporcionados, en
consideración al número de titulares o a la antigüedad de los
datos.
Contenido
Aviso de privacidad
simplificado
• La identidad y
domicilio del
responsable
• Las finalidades del
tratamiento
• Los mecanismos
para conocer el
aviso de privacidad
completo
Medios
• Diarios de circulación nacional,
locales o revistas especializadas
• Página de internet del
responsable
• Hipervínculos en la página del
Instituto, cuando el responsable
no cuente con página de internet
• Carteles informativos
• Cápsulas informativas en
radiodifusoras
• Medios alternos de comunicación
masiva
Medidas de seguridad
Establecer Medidas de seguridad: administrativas, físicas y/o técnicas
para la protección de los DP, mismas que deben ser documentadas
(acciones: análisis de riesgo, análisis de brecha, revisiones o auditorías,
capacitación, entre otras.
Considerando principalmente:
• Riesgo por tipo de DP.
• Sensibilidad de los DP.
• Desarrollo tecnológico.
• Posibles consecuencias para los titulares, por alguna
vulneración
• Número de titulares.
• Vulnerabilidades previas a los sistemas de tratamiento.
• El riesgo por el valor potencial que pudieran tener los DP
tratados para una tercera persona no autorizada.
• Demás factores que pudieran incidir en el nivel de riesgo o
que resulten de otras leyes o regulación que aplique al
responsable.
Procedimiento de verificación
Verificará el cumplimiento de la Ley y
De oficio
demás normatividad que de ésta derive
requiriendo la documentación necesaria o
bien con visitas en el establecimiento donde
estén las bases de datos del
A petición
de parte
responsable
Incumplimiento a
resoluciones / conocimiento
de violaciones
Cualquiera podrá denunciar las presuntas
violaciones, el Pleno del IFAI,
determinará de manera fundada y
motivada la procedencia
El procedimiento de verificación se desarrollará en
máximo 180 días, durante el cual el personal del
Instituto plenamente identificado, podrá realizar
visitas de máximo 10 días, para allegarse de
información necesaria de acuerdo al objeto y
alcance señalado por escrito en la orden
de la visita, concluyendo éstas con el
levantamiento del acta ante 2 testigos.
La verificación termina con la resolución del
Pleno del Instituto.
Capítulo IX del
Reglamento
Procedimiento para la imposición
de sanciones
Por procedimientos
de PD o por
verificaciones
(presunta
infracción)
Notifica al presunto
infractor y
proporciona
informe de hechos
Recibe notificación
• Ofrece pruebas
• Manifiesta por escrito lo
que a su derecho
convenga
15 días
Desahoga de acuerdo a las
pruebas admitidas, y en su
caso solicita aquéllas
adicionales que estime
necesarias
Notifica la
resolución a las
partes
Resolución del
Pleno
50 días máx.
Podrá presentar
alegatos si lo
considera necesario
5 días
Notifica al
presunto
infractor
Infracciones y sanciones
Infracciones
Días salario mínimo vigente en el Distrito Federal
$67.29
Sanciones
No dar atención a
las solicitudes
ARCO
El
apercibimiento
para que el
responsable
lleve a cabo los
actos
solicitados por
el titular
Omitir el aviso,
mantener DP
inexactos, negar la
existencia de DP con
dolo
De 100 a 160,000
días de s.m.v.D.F.
Multa de
$6,729 a
$10,776,400
Incumplir deber de
confidencialidad,
cambiar la finalidad
o realizar
transferencias sin dar
aviso de ello o
vulnerar la seguridad
de las bases de datos
De 200 a 320,000
días de s.m.v.D.F.
Multa de
$13,458 a
$21,532,800
Modelo de aviso completo
Aviso de Privacidad
[Nombre o razón o denominación social y comercial del responsable], con domicilio en [señalar calle, número, colonia,
ciudad, municipio o delegación y entidad federativa], es responsable de recabar sus datos personales, del uso que se le dé a
los mismos y de su protección.
Su información personal será utilizada para proveer los servicios y productos que ha solicitado, informarle sobre cambios
en los mismos y evaluar la calidad del servicio que le brindamos. Para las finalidades antes mencionadas, requerimos
obtener los siguientes datos personales: [dato 1], [dato 2], considerado como sensible según la Ley Federal de Protección de
Datos Personales en Posesión de los Particulares, [dato 3] y [dato 4].
Usted tiene derecho de acceder, rectificar y cancelar sus datos personales, así como de oponerse al tratamiento de los
mismos o revocar el consentimiento que para tal fin nos haya otorgado, a través de los procedimientos que hemos
implementado. Para conocer dichos procedimientos, los requisitos y plazos, se puede poner en contacto con nuestro
departamento de datos personales en [datos de contacto, domicilio, teléfono, coreo electrónico] o visitar nuestra página de
Internet [dirección electrónica].
Asimismo, le informamos que sus datos personales pueden ser transferidos y tratados dentro y fuera del país, por personas
distintas a esta empresa. En ese sentido, su información puede ser compartida con [señalar el tipo de destinatarios de estas
transferencias], para [describir finalidades]. Si usted no manifiesta su oposición para que sus datos personales sean
transferidos, se entenderá que ha otorgado su consentimiento para ello.
□ No consiento que mis datos personales sean transferidos en los términos que señala el presente aviso de privacidad.
Si usted desea dejar de recibir mensajes promocionales de nuestra parte puede solicitarlo a través de [teléfono, dirección,
correo electrónico].
Cualquier modificación a este aviso de privacidad podrá consultarla en [señalar medio].
Fecha última actualización [día/mes/año]
Modelo de aviso simplificado
Aviso de privacidad
[Nombre o razón o denominación social y comercial del responsable], con
domicilio en [domicilio] utilizará sus datos personales aquí recabados para
[finalidad explícita]. Para mayor información acerca del tratamiento y de los
derechos que puede hacer valer, usted puede acceder al aviso de privacidad
completo a través de [lugar físico o electrónico donde se encuentra ubicado u
opción a elegir para visualizarlo o escucharlo].
Dudas
Dudas
sobre la
LFPDPPP
[email protected]
01 800 TELIFAI
(01 800 8354324)
Capacitación virtual
El IFAI pone a tu disposición la
capacitación en línea a través de su
Centro Virtual de
Formación
• Introducción a la LFPDPPP
• Aviso de Privacidad
• Designación de la Persona o Departamento de
DP
• Atención a las Solicitudes de Derechos ARCO
http://cevifaiprivada.ifai.org.mx/
50.04.24.00
ext. 2983 y 2984
[email protected]
¡Gracias por su atención!
www.itea.org.mx
Tel. (449) 915 56 38 y 915 05 37
Av. Las Américas # 401 Int. 101
Fracc. La Fuente C.P. 20239
Aguascalientes, Ags.