Ley Federal de Protección de Datos Personales en Posesión de los Particulares Elementos de la Ley y el anteproyecto de Reglamento

¿Quién protege tus datos personales por Internet?

Dirección General de Comercio Interior y Economía Digital Subsecretaría de Industria y Comercio Secretaría de Economía

1. Contexto México 2. Características generales de la Ley y el Anteproyecto de Reglamento 3. Aviso de Privacidad 4. Autorregulación Vinculante 5. Equilibrio entre la protección del derecho fundamental y la práctica comercial 6. Las consideraciones sobre privacidad y el entorno digital 7. Consideraciones finales

Contexto para México

Perfil de México

  11° país poblado mundo y el 1° entre las naciones más del habla hispana de Más de millones habitantes 112 de     5.1 millones unidades  económicas 95.2% son micro  empresas 4.3% son pequeñas 0.2% son grandes 14ª economía más grande del mundo El valor de las exportaciones e importaciones representa el 59.7% del PIB   Tratados de apertura y libre comercio con más de 40 países EE.UU. es el destino del 80% de las exportaciones y 48% de las importaciones Fuentes: FMI, INEGI, Secretaría de Economía

Cultura de Privacidad Uno de los principales retos que enfrentan las empresas y los consumidores en nuestro país es la baja cultura de privacidad y por tanto de la protección de datos personales.

Empresas Cultura de Privacidad Consumidores

Encuesta sobre cultura de privacidad de datos en las MiPYMES

• • • • Con el objetivo de fomentar la cultura sobre Protección de Datos Personales en las Empresas e identificar las brechas en el conocimiento actual entre las empresas la Secretaría realizó una encuesta en línea enfocada a MiPYMES El periodo sobre el que se reportan los respuestas comprenden del 2 de febrero al 23 de febrero de 2011 Se establecieron sólo 9 reactivos con respuestas cerradads para facilitar el llenado y envío de información. Se recibieron las respuestas de 155 empresas

Encuesta Cultura de Privacidad: Tipo de empresa Tamaño Giro

45% 28% 27% Micro Pequeña Mediana 16% 3%

Sector

81% Servicios Industria Comercio 1% 5% 1%1% 7% 12% 5% 9% 3% 3% 2% 1% 16% 34% TI Legal Logística Salud Seguros Consultoría Alimentos Internacional Academia Automotriz BPO Financiero Internacional

Encuesta Cultura de Privacidad: Ámbito de operación Ubicación de clientes Medio de contacto con clientes

6% 14% 26% 54% Otro Ninguno Fax Módulo de… Página de Internet Nacional Extranjero Misma ciudad Varios estados Correo Electrónico Entre otros medios se señalan: chat, twitter, piezas impresas, redes sociales, vía postal Celular Teléfono 0 20 40 60 80

% utilizado por las encuestadas

Cultura de privacidad empresarial 100% 80% 60% 40% 20% 0%

Resultados de encuesta sobre cultura de privacidad

No Sí Fuente: Encuesta realizada en línea por la DGCIED de en febrero de 2011. Participaron 155 MiPYMES

Características de la Ley y el Reglamento

Regulación sobre Protección de Datos Personales

• Ley Federal de Protección de Datos personales en Posición de los Particulares •

Publicada en DOF el 5 de

julio de 2010 .

• Finalidad: • Regular el

tratamiento

legítimo, controlado

informado

, a e efecto de garantizar la

derecho privacidad a autodeterminación informativa de

personas.

y el la las

Federal Datos Personales Gobierno Estatal Particulares

Hitos importantes

•

Junio 2011

Guía para la generación de avisos de privacidad • •

Enero 2012

Ejercicio de derechos ARCO (titulares) Protección de derechos (IFAI)

Julio 2010

Expedición de la Ley • •

Julio 2011

Designación de persona o departamento que fomente la protección de datos personales Expedición de Avisos de Privacidad

2011

Expedición de Reglamento

Actores y Mecanismo Simplificado de aplicación de la Ley y Reglamento

Coadyuvancia Lineamientos

En México Secretaría de Economía

A

Entidades privadas Autorregulación

Parámetros 5

Aviso de privacidad Responsable Titular

Solicitud de Protección de derechos 1

Consentimiento

(tácito, expreso)

Derechos ARCO

(acceso, rectificación, corrección, oposición) B

IFAI

Verificación Sanción 2

En México u otro país Transmisión Encargado

3

Transferencia Terceros

4

Autoridades – resumen simplificado

• Autoridades – resumen simplificado

IFAI

• Procedimientos de verificación • Procedimientos de imposición de sanciones • Protección de los derechos • Cultura de privacidad a los individuos

Secretaría de Economía

• Lineamientos sobre Avisos de Privacidad • Parámetros Autorregulación Vinculante • Coordinación con la Iniciativa Privada – flujo comercial

Otras Secretarías

• Regulación secundaria - sectorial Trabajo conjunto para la elaboración del Reglamento

Avisos de privacidad

Definición - Aviso de Privacidad

Documento físico, electrónico o en cualquier otro formato

por el responsable

que es puesto a disposición del titular,

generado previo

al

tratamiento

de sus datos personales.

Finalidades Fortalecer

el nivel de

confianza

responsable y titular con relación tratamiento de su información personal entre al

Transparentar

al titular las finalidades y transferencias a que son sometidos sus datos personales

Informar

al titular cómo ejercer los derechos que la ley le otorga y los mecanismos para que decida sobre el tratamiento de sus datos.

Mejorar

el canal de comunicación

Disminuir las quejas,

inconformidades o disputas de los titulares.

Características

Es redactado de manera

concisa

Contiene la

información relevante

y necesaria que permita al titular identificar las

características

tratamiento

principales

del Cuenta con un

diseño y presentación

apropiada que facilite su comprensión Para la

difusión

se pueden usar formatos físicos, electrónicos, medios verbales o cualquier otra tecnología, siempre y cuando garantice y cumpla con el deber de informar al titular.

• Aviso de privacidad Se pone a disposición

previo

al tratamiento

Tipos de aviso de privacidad

Completo Art. 16 (…al menos) •

Identidad

y domicilio •

Finalidades

• Opciones y medios para

limitar el

• • • •

uso o divulgación

Medios para ejercer derechos

ARCO Transferencias

de datos Procedimiento y medio para comunicar

cambios al aviso

.

Señalar si se tratan datos

sensibles

• • • • Simplificado Art. 17

Identidad

y domicilio

Finalidades

Mecanismo para conocer el aviso

completo

Señalar si se tratan datos

sensible

La opción y el plazo que tiene el titular de presentar ante el IFAI el procedimiento de protección de derechos

Principio Vínculo con aviso de privacidad

•

Principios de la Ley y aviso de privacidad

Información recaban y con qué fines Consentimiento Finalidades Proporcionalidad Responsabilidad El consentimiento tácito se obtiene si se pone a disposición del titular El tratamiento se limita al cumplimiento de las finalidades previstas en él Los datos que se traten deberán ser los necesarios, adecuados y relevantes en relación con las finalidades establecidas en él El responsable debe tomar medidas para garantizar que el aviso sea respetado por él, encargados o terceros, aún cuando éstos estén fuera del país

Autorregulación Vinculante

Principio de responsabilidad y autorregulación vinculante

• • • • El responsable tiene la obligación de velar, responder, así como de rendir cuentas al titular sobre el tratamiento de sus datos personales.

Para cumplir con esta obligación, el responsable puede valerse de estándares y mejores prácticas internacionales, así como de esquemas de autorregulación.

Lo anterior puede traducirse en códigos deontológicos o de buenas prácticas profesionales, sellos de confianza u otros mecanismos Estos esquemas son vinculantes para quienes se adhieran a los mismos; no obstante, la adhesión es de carácter voluntario

Objetivos primordiales (1/2)

• • • • Establecer procesos y prácticas cualitativos Fomentar que los responsables establezcan

políticas, procesos y buenas prácticas

Promover que los responsables de manera voluntaria cuente con

constancias o certificaciones

sobre el cumplimiento de la Ley y mostrar su

compromiso

con la protección de datos personales

Identificar

a los responsables que cuenten con políticas de privacidad alineadas al cumplimiento de los principios y derechos, así como de competencia laboral

Objetivos primordiales (2/2)

• • Promover el compromiso de los responsables con la

rendición de cuentas

y adopción de

políticas internas

consistentes con criterios externos, así como para auspiciar mecanismos para implementar políticas de privacidad, incluyendo herramientas, transparencia, supervisión interna continua, evaluaciones de riesgo, verificaciones externas y sistemas de remediación; y Encauzar mecanismos de

solución alternativa de controversias

entre responsables, titulares y terceros, como son los de conciliación y mediación.

Esquemas de autorregulación reconocidos por autoridad

Establece parámetros para desarrollo y medidas de autorregulación IFAI SE Puede acreditar y revocar Puede sugerir revocar acreditaciones o certificados Pueden otorgar y revocar certificaciones Pueden realizar verificaciones y auditorías a certificados 5 Independientes e imparciales para otorgar certificados Puede encauzar mecanismos de solución alternativa de controversias 2 2 1 1 1 1 1 Se someten a la certificación de manera voluntaria pero se obligan a partir de ese momento

Equilibrio entre la protección del derecho fundamental y la práctica comercial

El equilibrio entre la práctica empresarial y el ejercicio de los derechos de los titulares

• • • Se busca precisar las disposiciones y los procedimientos para que: – – Los titulares de los datos hagan efectivo su derecho Los particulares cumplan con las obligaciones previstas por Ley Titulares del derecho y empresas se benefician: – – Regula aspectos que permiten su interacción y con autoridades.

Brinda seguridad y certeza jurídica a los sujetos involucrados.

Se propicia una cultura de protección de datos personales que fortalece el esquema legal para garantizar el poder de disposición de las personas respecto de sus datos personales y da certeza a las transacciones comerciales.

El equilibrio entre la práctica empresarial y el ejercicio de los derechos de los titulares

• • • • • •

Actividad de la empresa

La persona o departamento dentro de la organización designado para dar trámite a las solicitudes; Los medios de autenticación del titular; El plazo máximo de respuesta a las solicitudes; La forma de entrega de la información en caso de ejercer el derecho de acceso; El carácter gratuito de la atención de las solicitudes o el costo de reproducción en caso de que aplique, Entre otras cuestiones que el responsable considere relevantes incluir en el aviso de privacidad.

• • • • • • • • •

Actividad del titular del dato personal

Conocer la persona o departamento de datos personales designada por el responsable, ante el cual podrá ejercer sus derechos ARCO, y Ejercer sus derechos ARCO; Revocar el consentimiento otorgado Limitar el uso de su información.

Se encuentra informado y conoce los cambios en el aviso de privacidad Solicita ante el IFAI los procedimientos de protección de derechos o verificación.

Conocer el aviso de privacidad completo; Otorgar su consentimiento expreso; Conocer los listados de exclusión existentes.

Las consideraciones sobre privacidad y el entorno digital

La Importancia de los Datos Personales en el Desarrollo Económico

• Las tecnologías de Información en las últimas décadas han ido cambiando constantemente la dinámica comercial, derivado de la creación de nuevos modelos de negocio, lo que ha requerido un constante flujo de información entre consumidores y empresas.

Avances Tecnológico s/Cobertura Nuevos Modelos de Negocio Nuevos Consumidores

•

INFORMACIÓN

De igual forma, la necesidad de contar con presencia mundial ha obligado a las empresas y consumidores a crear procesos comerciales dependientes de la identificación de los mismos a través de la transferencia de datos globalmente para proveer o adquirir un producto o servicio.

La Importancia de los Datos Personales en el Desarrollo Económico

• Diversos países han podido encontrar beneficios económicos al contar con modelos que permiten el correcto y ágil flujo de datos con sus socios comerciales.

Economías de Alcance Incremento del comercio en TICS y Servicios Acceso al conocimiento Incremento en la productividad Oportunidades de crecimiento internacional Acceso a nuevos Productos y Servicios

Riesgos asociados al mal uso de datos personales Robo de identidad

Falta de

seguridad

en transaccion es

Impedir

ejercicio de derechos Pérdida o destrucción Daño o alteración

La ley y el anteproyecto fomentan la protección a bases de datos con información personal, ya sea física o electrónica, impulsando el tratamiento legítimo y control de los datos personales.

Medidas de seguridad en la normativa

Art 19 Ley

• Establecer y mantener medidas de seguridad • Proteger contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado

Art 20 Ley

• Las vulneraciones de seguridad ocurridas serán informadas de forma inmediata por el responsable al titular El Instituto desarrollará y pondrá a disposición de los responsables una herramienta para identificar las medidas de seguridad mínimas que aplicarán a los datos personales tratados.

Cuando exista un bajo riesgo para los datos personales tratados, de conformidad con las recomendaciones que emita el

Instituto, la herramienta facilitará la elaboración del documento de

seguridad y la identificación de las acciones.

¿Las empresas en México establecen medidas de seguridad?

– –

Un 56% de las empresa manifiesta invertir en el tema de protección de información personal.

En caso de no implementar medidas de seguridad, el 72% de los encuestados considera que las consecuencias más significativas son el daño a la reputación y la marca por la pérdida de la información para el desarrollo de los negocios, así como el no establecer dichas medidas podría representar sanciones y penas que la LFPDPPP establece por incumplimiento.

Fuente: Ernst&Young. Seguridad sin fronteras Resultados de la Encuesta Global de Seguridad de la Información.

Marzo, 2011

¿Las empresas en México establecen medidas de seguridad?

•

Las principales prioridades de seguridad de la información son: 1. Continuidad de negocio 2. Cumplimiento con requerimientos regulatorios



LFPDPPP 3. Cumplimiento con políticas corporativas

Fuente: Ernst&Young.

Seguridad sin fronteras

Información. Marzo, 2011 Resultados de la Encuesta Global de Seguridad de la

Consideraciones finales

Consideraciones finales - Beneficios de la Normatividad Certeza jurídica para los regulados.

Competitivida d Empoderamien to del titular Beneficios

Empresas

Cuidado de la información como activo Evitar malos usos de los datos personales Mejora de la percepción

Titulares

Ley Federal de Protección de Datos Personales en Posesión de los Particulares Elementos de la Ley y el anteproyecto de Reglamento

¿quién protege tus datos personales por Internet?

Dirección General de Comercio Interior y Economía Digital Subsecretaría de Industria y Comercio Secretaría de Economía